Sopra Steria - Document d'enregistrement universel 2020

2 FACTEURS DE RISQUE ET CONTRÔLE INTERNE Facteurs de risque

' (&* ( ! H( *, ) + )H( $%H' ) $## !! (

CYBERATTAQUES, SÉCURITÉ DES SYSTÈMES, PROTECTION DES DONNÉES ❙

Description du risque Une campagne de phishing , l’exploitation d’une faille de sécurité des infrastructures techniques ou des solutions utilisées par Sopra Steria pourraient conduire : à une panne ou une perturbation des systèmes essentiels pour les activités contractuellement agréées avec les clients et/ou pour les opérations internes du Groupe ; à la perte, l’altération ou la divulgation de données. Une cyberattaque d’un client, occasionnée même indirectement par une prestation de services fournie par le Groupe, pourrait pareillement avoir des répercussions majeures pour Sopra Steria. Ce risque s’accroit inévitablement dans le contexte de la transformation numérique (incluant les services hébergés dans le Cloud et les technologies mobiles). Le recours au travail à distance à grande échelle est aussi un facteur d’augmentation des menaces cyber. Les attaques sur les systèmes des entreprises et des organisations par des acteurs malveillants (hackers, organisations criminelles voire liées à des états) augmentent ces derniers mois de façon exponentielle en nombre, en fréquence, en sophistication et cette tendance ne devrait que s’amplifier à l’avenir. Le Groupe a ainsi été touché par une cyberattaque inédite en octobre 2020. Le malware concerné était une nouvelle version du ransomware Ryuk, jusqu’alors inconnue des éditeurs d’antivirus et des agences de sécurité. Ces risques sont importants en termes de probabilité et d’impact. Ils sont au cœur des enjeux stratégiques de Sopra Steria : en plus des conséquences financières de réclamations client relatives aux engagements contractuels, des interruptions d’opérations internes, des frais de recouvrements élevés liés à un incident, de non-conformité réglementaire, une défaillance majeure en matière de sécurité pourrait avoir un impact significatif sur la réputation du Groupe et entraîner la perte de marchés futurs.

Gestion du risque Sopra Steria dispose d’une politique de sécurité de l’information s’appuyant sur les standards internationaux et d’une organisation solide, pilotée au plus haut niveau du Groupe. L’organisation comprend les responsables de la sécurité des systèmes d’information (RSSI), la Direction des Systèmes d’Information (DSI) et le centre d’expertise cybersécurité du Groupe – SOC ( Security Operations Center ). Cette organisation avec l’ensemble de ses relais dans les entités, au plus près des obligations réglementaires des différents pays et des besoins des clients, permet de disposer d’une connaissance fine des sujets à risque et des exigences métiers. Le Groupe investit continuellement dans le programme de sensibilisation et de formation à destination des collaborateurs ( e-learning , campagnes de sensibilisation, vidéos, formations sur site et à distance), dans des outils de protection et de surveillance et dans le renforcement des équipes. Ainsi, la DSI renforce en permanence ses dispositifs en matière de veille sur la cybersécurité, de gestion des vulnérabilités, de suivi des bulletins de sécurité CERT ( Computer Emergency Response Team ), de gestion de l’obsolescence des environnements, de cloisonnement et du durcissement des systèmes. Les tests de sécurité des livraisons des prestations du Groupe sont renforcés en permanence grâce à des process, un outillage et la formation des collaborateurs. Sopra Steria s’assure de la fiabilité des dispositifs existants via des plans de tests préventifs et pratique régulièrement des tests d’intrusion pour mesurer la résistance des nouveaux systèmes mis en

service en cours d’année. L’ensemble du dispositif est contrôlé régulièrement notamment au travers du programme annuel d’audits et de certifications ISO 27001 et ISAE 34-02 couvrant les périmètres stratégiques et sensibles du Groupe. Les politiques et procédures, l’organisation et les investissements sont revus au moins chaque année, ou dès qu’un événement le nécessite, pour s’adapter au contexte et aux risques car ils demeurent malgré tout importants pour le Groupe compte tenu de l’intensification jusque-là inconnue des menaces. Grâce à ce dispositif complet, le Groupe a eu la capacité de diminuer les impacts potentiellement extrêmement critiques de l’attaque massive détectée par le Groupe en octobre 2020. Cette dernière a été rapidement bloquée par les équipes informatiques et cybersécurité internes. Les mesures immédiatement mises en œuvre ont permis de contenir la propagation du malware à une partie limitée des installations du Groupe et de préserver ses clients et partenaires. Le plan de remédiation a permis de relancer, de manière sécurisée, les postes de travail, les serveurs de production et de R&D, les outils et applications internes ainsi que les connexions clients. A la lumière de cet événement, le Groupe a décidé d’accélérer encore ce qui était déjà prévu et a ainsi démarré un programme de renforcement dont les deux objectifs principaux sont d’améliorer la réponse sécurité du Groupe et d’augmenter la vitesse de redémarrage du système d’information.

39

SOPRA STERIA DOCUMENT D'ENREGISTREMENT UNIVERSEL 2020