Sopra Steria - Document d'enregistrement universel 2019

2 FACTEURS DE RISQUE ET CONTRÔLE INTERNE Facteurs de risque

PERTE, ALTÉRATION OU DIVULGATION DE DONNÉES ❙

Description du Risque

Gestion du Risque

Une cyberattaque, une faille de sécurité ou une défaillance humaine pourraient conduire à la perte, l’altération ou la divulgation de données. Ce risque est accru dans le contexte de la transformation digitale et notamment du basculement vers le Cloud computing et les technologies mobiles. Il est présent à la fois pour les systèmes d’information gérés par le Groupe pour le compte de ses clients, pour ceux mis à disposition des équipes projets pour développer et pour les systèmes internes. En plus des lourdes conséquences financières de réclamations client, de non-conformité et/ou un risque de dommages aux biens, une défaillance majeure en matière de sécurité pourrait avoir un impact considérable sur la réputation du Groupe et entraîner la perte de marchés.

Sopra Steria dispose d’une politique de sécurité de l’information s’appuyant sur les standards internationaux et d’une organisation solide, pilotée au niveau Groupe. L’organisation comprend les responsables de la sécurité des systèmes d’information (RSSI), de la Direction des Systèmes d’Information et du centre d’expertise cybersécurité du Groupe – SOC ( Security Operations Center ). Cette organisation avec l’ensemble de ses relais en local, au plus près des obligations règlementaires des différents pays et des besoins des clients, permet de disposer d’une connaissance fine des sujets à risque et des exigences métiers. Les politiques et procédures, l’organisation et les investissements sont revus au moins chaque année, ou dès qu’un événement le nécessite, pour s’adapter au contexte, aux risques et pour renforcer continuellement l’ensemble du dispositif. En 2019, le Groupe a continué à investir fortement dans le programme de sensibilisation et de formation à destination des collaborateurs sur l’ensemble du Groupe (e-learning, campagnes de sensibilisation, vidéos, formations sur site), dans des outils de protection et de surveillance et dans le renforcement des équipes. L’ensemble du dispositif est contrôlé régulièrement notamment au travers du programme annuel d’audits et de certifications ISO 27001 et ISAE 34-02 couvrant les périmètres stratégiques et sensibles du Groupe. Le Groupe a déployé un programme visant à assurer la conformité au Règlement Général sur la Protection des Données (RGPD) dans l’ensemble du Groupe. Enfin, le programme d’assurance cybersécurité est réévalué chaque année afin de couvrir de façon adaptée les risques qui peuvent peser sur le Groupe.

41

SOPRA STERIA DOCUMENT D'ENREGISTREMENT UNIVERSEL 2019