Sopra Steria - Document d'enregistrement universel 2019

2 FACTEURS DE RISQUE ET CONTRÔLE INTERNE Facteurs de risque

INDISPONIBILITÉ DES SERVICES ET DES INFRASTRUCTURES INFORMATIQUES ET/OU INTERRUPTION D'ACTIVITÉ DE SITES ❙

Description du Risque

Gestion du Risque

Une cyberattaque, un sinistre ou un incident rendant l’accès aux réseaux électriques ou de télécommunications impossible peuvent entraîner une indisponibilité des services et des infrastructures informatiques ou une interruption d’activité de site. La fiabilité des systèmes informatiques et des infrastructures et de communication revêt une importance croissante compte tenu du modèle industriel intégrant des centres de services, des centres d’hébergement ( Data Centers ) partagés nationaux ou globaux dans des pays Nearshore et Offshore . Toute défaillance pourrait avoir des impacts tant sur les systèmes internes que sur les systèmes clients, entraînant un risque potentiel de non-conformité dans l’exécution des prestations contractuelles, et par conséquent de potentielles demandes de dommages et intérêts et/ou de perte de revenu.

La continuité d’activité pour servir nos engagements clients et nos besoins de fonctionnement interne est un des critères clefs dans la définition de la politique et dans le choix d’implémentation des sites de production du Groupe. La politique et les décisions concernant l’implantation des sites relèvent de décisions Groupe. La décision de multiplier les pays et zones d’implantations fait partie intégrante de cette politique de sécurisation et de réduction de l’exposition aux risques et permet la gestion des plans de secours. Un principe de redondance de l’ensemble des éléments critiques est appliqué grâce à des réplications multisites et des redondances des fournisseurs. Les contrats passés avec nos fournisseurs sont revus selon leur nature par la Direction des Systèmes d’Information ou par la Direction des Moyens généraux en tenant compte des mêmes exigences de sécurité et de niveaux de services. Dans le cas d’externalisation ou de sous-traitance, le même niveau de service est exigé de nos fournisseurs. Le Groupe a mis en place des procédures de prévention et de sécurité strictes qui couvrent en particulier, la sécurité physique, les ruptures énergétiques sur les sites critiques, la sécurité des systèmes d’information, le stockage et la sauvegarde des données. Ces procédures et mesures techniques sont réévaluées en permanence afin d’adapter les mesures de remédiation. En complément de tous ces éléments, la Direction des Systèmes d’Information a renforcé ses équipes en matière de veille sur la cybersécurité, de gestion des vulnérabilités, de suivi des bulletins de sécurité CERT ( Computer Emergency Response Team ) et la gestion de l’obsolescence des environnements. Le Groupe s’assure de la continuité d’activité des systèmes existants via des plans de tests préventifs et pratique régulièrement des tests d’intrusion pour mesurer la résistance des nouveaux systèmes mis en service en cours d’année.

43

SOPRA STERIA DOCUMENT D'ENREGISTREMENT UNIVERSEL 2019