Hermès // RSE 2022

4

FACTEURS ET GESTION DES RISQUES FACTEURS DE RISQUE

SYSTÈMES D’INFORMATION ET CYBERATTAQUE ӳ

4.1.1.3

DESCRIPTIF DU RISQUE ◆

IMPACTS POTENTIELS SUR LE GROUPE ◆

Une indisponibilité partielle ou totale de certains éléments du système d’information peut désorganiser ou paralyser les processus et les activités concernés. Une atteinte aux systèmes d’information, provoquée par exemple par une cyberattaque, peut entraîner une violation de données, telle qu’une divulgation non autorisée de données personnelles.

Les systèmes d’information ont une importance primordiale dans le bon déroulement des opérations quotidiennes du groupe. Elles concernent les clients, les fournisseurs et les salariés, et sont relatives en particulier au traitement et au stockage de leurs données. La protection des données personnelles est une priorité pour le groupe.

IMPACT PROBABILITÉ

GESTION DU RISQUE ◆

Un modèle de gouvernance globale des systèmes d’information définit clairement les rôles et responsabilités du siège et des filiales du groupe. Des règles d’architecture et d’urbanisation communes favorisent un modèle centralisé lorsque les contraintes techniques ou réglementaires le permettent. Les fonctions régaliennes des systèmes d’information restent gérées par le siège. Une communauté cybersécurité est animée par l’équipe groupe qui s’appuie sur des experts dédiés et des responsables locaux. La collaboration entre ces différents acteurs est facilitée notamment par l’animation de points mensuels (partage sur l’actualité et l’évolution de la menace, suivi de la feuille de route, rappel de bonnes pratiques), de webcasts thématiques mensuels et par l’organisation de séminaires bisannuels dédiés. Les dépenses effectuées par Hermès dans le domaine informatique (budget d’investissement et de fonctionnement) sont réévaluées chaque année pour assurer un bon alignement des investissements avec les enjeux stratégiques du groupe. Elles ont pour objectifs d’aligner les infrastructures techniques et les systèmes avec les besoins croissants des utilisateurs, tout en garantissant une bonne performance opérationnelle. Elles visent également à maintenir sous contrôle les risques informatiques et à faire évoluer les systèmes d’information, notamment sur les nouveaux usages digitaux et cloud avec un souci de responsabilité sociale et environnementale. La direction des systèmes d’information travaille dans le cadre d’une charte informatique et d’un ensemble de procédures applicables à toutes les sociétés du groupe. Notamment, une politique de sécurité des systèmes d’information (PSSI) est actualisée annuellement pour s’adapter à la menace. Des audits de sécurité informatique et de conformité aux procédures sont réalisés périodiquement sur l’ensemble des filiales, en collaboration avec la direction de l’audit et des risques et avec l’aide de prestataires externes. Des exercices menés régulièrement sont destinés à renforcer les capacités de détection et de réponse à incident (démarche red team et blue team ). Les termes red team et blue team , largement adoptés par la communauté cybersécurité, sont issus du vocabulaire militaire et désignent l’attaquant ( red) et le défenseur ( blue). L’objectif est de vérifier que les capacités de défense sont au niveau et de les améliorer. Le terme purple team signifie que l’entreprise a internalisé des capacités d’attaque afin de tester ses défenses de façon continue. En matière de prévention des risques informatiques, la cartographie des risques IT est régulièrement mise à jour et présentée au Comité d’audit et des risques. Les travaux précédemment initiés ont été poursuivis en 2022. Ils concernaient notamment le renforcement de la sécurité des systèmes centraux, la sécurité des annuaires, la segmentation et le filtrage des réseaux, la gestion du cycle de vie des identités, la sécurisation des accès internes et externes, la prévention de la fuite de données, la protection des applications cloud et la sécurisation physique des centres de données. Une attention spécifique a été portée sur les installations industrielles et la sécurité des objets connectés. L’amélioration des dispositifs de secours et de tolérance de panne des systèmes critiques était également incluse pour garantir la continuité de fonctionnement en cas d’incident. La direction des systèmes d’information a renforcé ses capacités de détection et de traitement des incidents. Tous les ordinateurs et serveurs sont dotés d’un logiciel permettant de détecter des anomalies ( Endpoint Detection Response – EDR), d’installer des correctifs de sécurité et de conduire des investigations en cas de doute. Le traitement des incidents de sécurité est réalisé par une équipe dédiée comprenant les composantes de la réponse à incident, SOC ( Security Operation Center ) et CERT ( Computer Emergency Response Team ). En 2022, le CERT Hermès a été admis comme membre de l’InterCERT France qui regroupe les cellules de réponse à incidents matures des grandes organisations françaises. De nouvelles actions de sensibilisation des collaborateurs à la sécurité ont été menées sous différentes formes au sein d’un programme global (conférences, films, e‑learnings , escape games , site web dédié en huit langues). Chaque année, le mois de la cybersécurité permet de donner une emphase particulière à ces sujets.

● Stratégie & opérations

● Industrie

● RSE

● Conformité réglementaire

● Finance

EXTRAIT DU DOCUMENT D’ENREGISTREMENT UNIVERSEL 2022 HERMÈS INTERNATIONAL

370