LEGRAND / Document de référence 2018

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

CONTRÔLE INTERNE ET GESTION DES RISQUES FACTEURS DE RISQUES ET DISPOSITIFS DE MAÎTRISE EN PLACE

3.6.2 – Risques opérationnels

R 3.6.2.1 CYBERSÉCURITÉ, CONTINUITÉ ET PERFORMANCE DES SYSTÈMES D’INFORMATION Du fait de la multiplicité de ses opérations, de ses processus et de ses implantations internationales, l’activité de Legrand repose sur des systèmes d’information multiples et souvent interconnectés. Par ailleurs, le développement des produits connectés (programme Eliot) constitue pour le Groupe une exposition potentielle aux risques spécifiques de cybercriminalité et de sécurité des données. La défaillance des systèmes (réseaux, cloud , infrastructures et applicatifs), utilisés par le Groupe (que ce soit directement ou par l’intermédiaire de prestataires) ou, l’existence de faille dans leur système de sécurité, pourrait ralentir ou interrompre partiellement l’activité industrielle et commerciale du Groupe, impacter la qualité de service à ses clients, ou pourrait compromettre le niveau de sécurité et de confidentialité attendu par les parties prenantes. De telles défaillances pourraient avoir pour origine aussi bien des causes internes (défaut de paramétrages, obsolescence des systèmes, défaut de maintenance d’infrastructures, mauvaise maîtrise des projets informatiques, malveillance) que des causes externes (virus, cybercriminalité, etc.). Les risques relatifs aux systèmes d’information sont encadrés par une gouvernance spécifique (comités mensuels, trimestriels et annuels dédiés supervisés par le Comité des risques Groupe). La gestion de l’informatique est organisée de façon centralisée au sein d’une Direction des Systèmes d’Information mondiale. Les compétences suivantes sont mises en œuvre au sein de la DSI : W un Responsable de la Sécurité des Systèmes d’Information (RSSI) et son équipe, dédiés à l’amélioration de la qualité et de la sécurité des systèmes d’information, sont en charge de définir et mettre en œuvre les politiques et les projets spécifiques à ces domaines : plan de sécurité informatique, protection des données personnelles, déploiement de la Charte d’utilisation des systèmes d’information auprès de chaque collaborateur, sauvegarde des données etc. Cette fonction conduit aussi, régulièrement, avec le support de prestataires externes, des audits de sécurité et des tests d’intrusion sur les systèmes d’information ; W les équipes « Projets » et « Architectures et Expertises », mettent en œuvre les systèmes et les infrastructures selon des structures de gouvernance établies ; W les équipes « Support » en charge de la continuité de service des infrastructures et des applications. Elles définissent les programmes d’investissement et de maintenance nécessaires, pilote le processus de gestion des changements ; W une équipe spécifique qui assiste et contrôle les filiales, aussi bien pour les structures que pour les projets applicatifs.

La gestion des infrastructures des systèmes d’information est centralisée et une gouvernance propre est en place. Elle comprend des dispositifs de sauvegardes, des serveurs et leur virtualisation ; la gestion des accès utilisateurs via Active Directory ; la gestion du matériel informatique, les réseaux LAN et WAN, le pilotage des Services externalisés et la gestion des contrats. La gestion des applications utilisées dans le Groupe est également centralisée. Néanmoins certaines applications à usage domestique sont néanmoins gérées localement. En termes de dispositif, Legrand déploie un master plan cyber- sécurité qui vise à consolider et compléter l’ensemble des mesures de protection, de détection, et de réaction déjà mise en œuvre dans le cadre de sa politique de sécurité. Ce master plan est structuré autour des 7 éléments suivants : W une analyse détaillée des risques informatiques ; W une politique de sécurité des systèmes d’information basée sur les standards applicables et les bonnes pratiques de place (ISO 27002, recommandations de l’Agence nationale de la sécurité des systèmes d’information, etc.) ; W l’intégration de la sécurité dans les projets informatiques grâce à une méthodologie spécifique ; W un programme de sensibilisation des employés à la cyber-sécurité ; W un processus structuré de traitement des incidents impliquant un CERT ( Computer Emergency Response Team ) et un MSSP ( Managed Service Security Provider ) ; W un dispositif de veille juridique, réglementaire et normatif ; W un programme spécifique dédié à la sécurité et au traitement des données personnelles des objets connectés Eliot et de son cloud . Les applications critiques bénéficient d’une maintenance 24/7 et des indicateurs de qualité sont suivis permettant de mesurer la performance des applications. Un service support unique (Hotline) est disponible dans tous les pays pour tous les salariés. Par ailleurs, les relations avec les fournisseurs en charge des prestations informatiques externalisées sont encadrées par des contrats intégrant des clauses relatives à la continuité et à la sécurité et par une gouvernance dédiée. Des audits informatiques sont effectués par des consultants externes ou en interne par l’équipe d’audit interne. Enfin, en cas de dommages, un contrat d’assurance couvre les dommages sur le matériel, la perte d’exploitation et les coûts de récupération ou de reconstitution des données. Une assurance cyber risks est également contractée.

3

65

LEGRAND

DOCUMENT DE RÉFÉRENCE 2018

Made with FlippingBook - professional solution for displaying marketing and sales documents online