Saint-Gobain // Document d'enregistrement universel 2021

Risques et contrôle Contrôle Interne

La Doctrine générale de sécurité 2.5.4 des systèmes d’information La Direction des Systèmes d’Information définit les politiques et règles de sécurité dans le domaine des systèmes d’information et des réseaux, sous forme de quatre ensembles de règles minimales obligatoires de sécurité couvrant les domaines suivants : les infrastructures, avec les 23 règles minimales de ■ sécurité (31 points de contrôle, 94 entités) et le SGTS Security Reporting (34 points de contrôle, 15 SGTS couvrant 776 entités) ; les applications et sites Web avec les 25 règles ■ minimales de sécurité (50 points de contrôle, 28 centres de compétences) ; l’informatique industrielle avec les 28 règles minimales ■ de sécurité (68 points de contrôle, 891 entités dont 189 entités avec des systèmes IT industriels critiques ou importants) ; les centres de Recherche et Développement avec ■ sept règles minimales de sécurité (13 points de contrôle, 16 centres de recherche) ; l’hébergement des ressources dans les Datacenters ou ■ dans les solutions Cloud opérés par des partenaires pilotés par la DSI du Groupe ou les SGTS (99 points de contrôle, 17 Datacenters / Cloud privés, 33 règles de sécurité Cloud Public, une solution Cloud Public Azure). Ces règles sont la déclinaison opérationnelle par thématique de deux autres documents clés en amont du nouveau référentiel documentaire de la Sécurité des SI : la lettre de Politique Générale de Sécurité des SI, ■ assurant l’importance du sujet et le sponsorship du top management ; la Doctrine de Sécurité du SI Groupe, référentiel ■ primordial qui constitue la Politique de sécurité des Systèmes d’Information ; le cadre de référence des actions, à court et moyen ■ terme, visant à renforcer la cyberdéfense de Saint-Gobain pour surmonter de potentielles nouvelles cyberattaques. Ce cadre est décliné en quatre plans d’actions cyberdéfense opérationnels spécifiques portant sur les infrastructures globales, les infrastructures locales, les applications et sites Web et les systèmes industriels. Ces règles sont aussi complétées en aval par des normes techniques périodiquement mises à jour (25 nouveaux documents en 2021) pour suivre les évolutions technologiques et contrôler les services d’infrastructure. La Direction des Systèmes d’Information a notamment défini et déployé : un outil (RMT, Rights Management Tool) pour le ■ contrôle des utilisateurs SAP et la gestion des conflits de séparation des tâches intégré progressivement dans tous les systèmes SAP du Groupe ; une norme technique (SAP4SG) pour renforcer la ■ sécurité des environnements SAP. Un outil (SAP4SG) est déployé sur 47 environnements SAP hébergés dans le Datacenter IBM (P1) et permet un suivi et un contrôle des points couverts par cette norme : l’implémentation des patches de sécurité dans les ■ environnements de production SAP,

la configuration technique des environnements ■ permettant de renforcer la sécurité, le suivi des rôles, profils et comptes techniques, ainsi ■ que des comptes à haut privilège ; une norme technique pour gérer les comptes ■ techniques et business qui accèdent aux applications (ATA/ABA, Application Technical Accounts/Application Business Accounts ) ; une norme de développement sécurisé des applications ■ Web (WASD, Web Application Secured Development 3.2 ) ; une norme technique pour sécuriser l’hébergement des ■ applications Web publiques (SHIA, Secure the Hosting of the Internet Applications ) ; une norme technique pour les applications SaaS qui ■ définit les responsabilités et les mesures de sécurité à implémenter ; un ensemble de règles de sécurité pour contrôler ■ annuellement la sécurité des Datacenters centraux et régionaux ( Datacenter Security Rules 4 SG) et des solutions Cloud Public ( Public Cloud Security Rules ) ; une norme technique pour sécuriser les applications qui ■ sont hébergées chez des partenaires afin d’être publiées sur Internet ; la méthodologie d’évaluation des risques Cybersécurité ■ utilisée pour évaluer les mesures à mettre en œuvre pour intégrer la sécurité dans les projets dès la conception et dans les contrats avec les fournisseurs. En outre, le référentiel ITAC a été publié en 2012. C’est un complément au Référentiel de Contrôle Interne qui décrit les contrôles automatiques ou semi-automatiques des cinq processus clés les achats, les ventes, les stocks, la trésorerie et la comptabilité. Il est décliné sur les principaux ERP du Groupe avec : un référentiel pour SAP : ITAC4SAP avec 143 points de ■ contrôle ; un référentiel pour MOVEX M3 : ITAC4M3 avec ■ 96 points de contrôle ; un référentiel pour EXACT : ITAC4EXACT avec ■ 85 points de contrôle. Le référentiel ITAC4SAP a été mis à jour pour être en cohérence avec l’actualisation du Référentiel de Contrôle Interne (143 points de contrôle en incluant les contrôles pour la ségrégation des tâches). Les contrôles sont intégrés progressivement dans les systèmes d’information en s’appuyant sur les référentiels suivants : les ITAC100 ITAC4SAP pour les systèmes SAP ■ (déployés dans 47 systèmes SAP couvrant 323 sociétés du Groupe) incluant une mise à jour pour les spécificités de l’activité distribution bâtiment ; les ITAC96 ITAC4M3 pour les systèmes MOVEX M3 ■ (déployés sur quatre systèmes M3 couvrant 37 sociétés du Groupe) ; les ITAC85 ITAC4EXACT pour les systèmes EXACT ■ (déployés sur un système EXACT couvrant 24 sociétés du Groupe) ; les principes ITAC déployés sur un système MS ■ Dynamics couvrant une société du Groupe, et les systèmes SAP Business One couvrant 23 sociétés.

6

SAINT-GOBAIN DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021 249