LEGRAND_DOCUMENT_REFERENCE_2017

03

CONTRÔLE INTERNE ET GESTION DES RISQUES Facteurs de risques et dispositifs de maîtrise en place

R 3.6.2.4 CONTINUITÉ D’EXPLOITATION D’éventuels événements de natures ou d’origines diverses (incendie, catastrophe naturelle, changement climatique, risque sanitaire, événement géopolitique, défaillance machines, etc.) sont susceptibles de perturber ou d’interrompre l’activité d’un site. Le risque de survenance de tels événements et l’exposition globale du Groupe qui pourrait en résulter se trouvent limités par le nombre et la dispersion géographique des sites industriels pour l’ensemble des activités opérationnelles. Par ailleurs, une analyse régulière des risques et vulnérabilités des sites du Groupe est réalisée conjointement avec les assureurs du Groupe. Ces analyses intègrent les événements liés aux risques climatiques (inondations, neiges, tempêtes) et les risques techniques (incendie, bris de machines, fuite de gaz, etc.). Ces analyses permettent d’évaluer les dommages aux biens et les pertes d’exploitation liées. En fonction de ces analyses, la Direction de l’Immobilier Groupe pilote les investissements consacrés à la prévention, à la protection, à la modernisation et à l’entretien des moyens industriels et logistiques. De même, ces analyses sont effectuées en amont sur les projets de construction de nouveaux bâtiments. Dans le cadre de cette politique de prévention, Legrand mène en particulier des audits conjoints avec les experts des compagnies d’assurance du Groupe pour évaluer au mieux les installations de protection contre les incendies et engager les actions jugées nécessaires. En 2017, 49 visites de ce type ont été réalisées sur les installations du Groupe. Enfin, Legrand a souscrit un programme mondial d’assurance pour couvrir les dommages matériels directs liés aux sinistres d’origine accidentelle, ainsi que les potentielles pertes d’exploitation qui en résulteraient. R 3.6.2.5 CONTINUITÉ ET SÉCURITÉ DES SYSTÈMES D’INFORMATION Du fait de la multiplicité de ses opérations, de ses processus et de ses implantations internationales, l’activité de Legrand repose sur des systèmes d’information multiples et souvent interconnectés. Par ailleurs, le développement des produits connectés (Eliot) constitue un nouvel aspect relatif à l’exposition du Groupe aux risques spécifiques de cybercriminalité. Le risque de défaillance des systèmes (réseaux, cloud, infrastructures et applicatifs), exploités directement ou par l’intermédiaire de prestataires ou, dans ces deux cas, le risque de faille dans leur système de sécurité, pourrait ralentir ou interrompre partiellement l’activité industrielle et commerciale du Groupe, impacter la qualité de service à ses clients, ou pourrait compromettre le niveau de sécurité et de confidentialité attendus par nos parties prenantes. De telles défaillances pourraient avoir pour origine aussi bien des causes internes (défaut de paramétrages, obsolescence des systèmes, défaut de maintenance d’infrastructures, mauvaise maîtrise des projets informatiques, malveillance) qu’externes (virus, cybercriminalité, etc.).

Face à ces risques, Legrand s’appuie sur une organisation, un dispositif et des ressources et spécifiques. Les compétences suivantes sont mises en œuvre au sein de la DSI : W un Responsable de la Sécurité des Systèmes d’Information (RSSI) et son équipe, dédiés à l’amélioration de la qualité et de la sécurité des systèmes d’information, en charge de définir et mettre en œuvre les politiques et les projets spécifiques à ces domaines : sauvegarde des données et plans de sécurité informatique, protection des données personnelles, déploiement des chartes d’utilisationdesmoyens informatiques et de sécurité de l’information auprès de chaque collaborateur, sauvegarde des données etc. Cette fonction conduit aussi, régulièrement, avec le support de prestataires externes, des audits de sécurité et des tests d’intrusion sur les systèmes d’information ; W les équipes « Projets », en charge de la mise en œuvre de systèmes et d’infrastructures sont organisées selon des structures de gouvernance établies ; W les équipes « Support » en charge de la continuité de service des infrastructures et des applications, définissent les programmes d’investissement et de maintenance nécessaires ; W une équipe spécifique qui assiste et contrôle les filiales, aussi bien pour les structures que pour les projets applicatifs. Par ailleurs, Legrand a acté la mise en place d’un master plan cyber sécurité qui vise à consolider et compléter l’ensemble des mesures de protection, de détection, et de réaction déjà mise en œuvre dans le cadre de sa politique de sécurité. Ce master plan est structuré autour des 7 éléments suivants : W une analyse détaillée des risques informatiques ; W une politique de sécurité des systèmes d’information basée sur les standards applicables et les bonnes pratiques de place (ISO 27002, recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information, etc.) ; W l’intégration de la sécurité dans les projets informatiques grâce à une méthodologie spécifique ; W un programme de sensibilisation des employés à la cyber sécurité ; W un processus structuré de traitement des incidents impliquant un CERT ( Computer Emergency Response Team ) ; W un dispositif de veille juridique et réglementaire ; W un programme spécifique dédié à la sécurité et au traitement des données personnelles des objets connectés Eliot et de son cloud. Les relations avec les fournisseurs en charge des prestations informatiques externalisées sont encadrées par des contrats intégrant des clauses relatives à la continuité et à la sécurité et par une gouvernance dédiée. Les risques relatifs aux systèmes d’information sont pilotés par une gouvernance spécifique (comités mensuels, trimestriels et annuels dédiés supervisés par le Comité des risques Groupe).

52

DOCUMENT DE RÉFÉRENCE 2017 - LEGRAND

Made with FlippingBook - Online catalogs