Hermès // Extrait RSE 2023

FACTEURS ET GESTION DES RISQUES FACTEURS DE RISQUE

La direction cybersécurité a renforcé ses capacités de détection et de traitement des incidents. Tous les ordinateurs et serveurs sont dotés d’un logiciel permettant de détecter des anomalies ( Endpoint Detection Response – EDR), d’installer des correctifs de sécurité et de conduire des investigations. Le traitement des incidents de sécurité est réalisé par une équipe dédiée comprenant les composantes de la réponse à incident, SOC ( Security Operation Center ) et CERT ( Computer Emergency Response Team ). Le CERT Hermès est membre de l’InterCERT France qui regroupe les cellules de réponse à incidents matures des grandes organisations françaises. Des exercices menés régulièrement par les équipes internes sont destinés à tester et ajuster en continu le dispositif de réponse (démarches red/blue/purple team ). Une deuxième équipe dédiée à la qualification et au traitement des vulnérabilités permet de gérer la surface d’attaque du groupe. De nouvelles actions de sensibilisation des collaborateurs à la sécurité ont été menées sous différentes formes au sein d’un programme global (conférences, films, e‑learnings, escape games, site web dédié en huit langues). Chaque année, le mois de la cybersécurité permet de donner une emphase particulière à ces sujets. Les employés sont encouragés à utiliser un dispositif d’alerte interne pour signaler les incidents de sécurité dont ils auraient connaissance pour leur traitement immédiat. Des tests d’intrusion via les réseaux internes, Wi‑Fi et externes ainsi que des simulations de sinistres informatiques ont été réalisés, et les plans d’action correspondants formalisés. La continuité des opérations informatiques est également testée régulièrement. Des exercices de simulation de crise sont réalisés annuellement et sont suivis de retours d’expérience et de plans d’action. Ils impliquent, outre la direction des systèmes d’information, différents départements du groupe (la direction de la communication interne, la direction de la communication financière et des relations investisseurs, la direction des assurances et de la prévention, la direction de l’audit et des risques, la direction juridique conformité et le délégué à la protection des données, etc.) ainsi qu’un membre du Comité exécutif. Par ailleurs, le groupe veille à respecter les différents standards et réglementations applicables pour la protection des données personnelles (notamment le RGPD, standard du groupe en matière de données personnelles) et des données des cartes de paiement (PCI‑DSS). La conformité au standard RGPD est assurée par une gouvernance mondiale constituée de relais (groupe et locaux) et évaluée régulièrement par le biais de contrôles internes et d’audits externes. En 2022, le standard groupe de protection des données personnelles a été audité, par un cabinet externe, sur différentes thématiques, notamment liées à la gouvernance des données et aux traitements de données clients, salariés et tiers. La direction des systèmes d’information travaille ainsi avec les autres directions à réduire les risques d’atteinte aux systèmes d’information et leurs impacts en cas de survenance.

4

Stratégie & opérations

Industrie

RSE

Conformité réglementaire

Finance

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2023 HERMÈS INTERNATIONAL EXTRAIT DU DOCUMENT D’ENREGISTREMENT UNIVERSEL 2023 HERMÈS INTERNATIONAL

387