Sopra Steria - Document de référence 2018

PRÉSENTATION DÉTAILLÉE DE SOPRA STERIA Facteurs de risques et contrôle

❙ RISQUE LIÉ À LA PROTECTION ET À LA SÉCURITÉ DES DONNÉES CLIENTS

Description du Risque

Gestion du Risque

Une cyberattaque sur les systèmes du Groupe, une faille de sécurité dans les systèmes du Groupe et/ ou dans les systèmes de nos clients pourraient entraîner des pertes d’informations, de données, et selon les sujets traités, la perte, divulgation d’informations, de données confidentielles notamment dans des activités sensibles. Ce risque de perte ou de divulgation pourrait concerner des données à caractère personnel dans les activités de BPS, de maintenance, et/ou de managed services , notamment dans les activités de paiements et/ou activités de paye. De telles situations pourraient engendrer un risque de réclamation clients, un risque de conformité et/ou un risque de dommages aux biens, aux données du Groupe, un risque de pertes de revenus. Compte tenu de l’activité du Groupe, une défaillance majeure en matière de sécurité peut entraîner potentiellement un risque d’image pour le Groupe et une remise en cause de la confiance accordée par nos clients et par conséquent la perte de marchés.

Les sujets liés à la sécurité, à la protection des données clients sont des sujets clefs pour le Groupe. Afin d’éviter les incidents de sécurité pouvant impacter les systèmes d’information du Groupe, de réduire les délais de réaction et de mettre en place les actions nécessaires notamment en cas d’attaque, le Groupe dispose d’une politique de sécurité de l’information et d’une organisation solide, qui s’appuient sur les différents responsables de la sécurité des systèmes d’information (RSSI) existants dans les différentes entités. Cette organisation avec l’ensemble de ses relais en local, au plus près des exigences réglementaires des différents pays et exigences clients, permet de disposer d’une bonne connaissance des sujets à risque et des exigences métiers de nos clients. Cette organisation est animée de manière transverse sur l’ensemble du périmètre du Groupe, et pilotée au niveau Groupe. Des points de pilotage communs et de reporting réguliers sont organisés. Les politiques, procédures et organisation sont revues chaque année pour s’adapter au contexte, aux risques et renforcer l’ensemble du dispositif. Le Groupe a opté pour une organisation transverse permettant de regrouper et mobiliser l’ensemble des acteurs, et agir en amont en matière de prévention : Responsable Sécurité, Direction des Systèmes d’Information, Directeur Industrialisation, Responsable des centres de services, Direction Juridique, Responsable communication, Responsable assurance, Directeur de la conformité, du contrôle interne et de la gestion des risques mais également Direction Achats. L’ensemble est contrôlé et audité régulièrement. Le Groupe dispose actuellement de 12 certifications ISO 27001, couvrant des activités au Royaume Uni, Norvège, Allemagne, Suisse, Italie, Espagne, Inde et France, ainsi que pour les services informatiques fournis par la DSI à l’ensemble des entités. D’autres audit de type ISAE34-02 sont effectués sur les entités SBS, SHR, IM (France et Pologne). La revue des contrats, via la Direction Juridique, permet de maîtriser et contrôler la conformité des engagements contractés. Sopra Steria intervient en matière de sécurité majoritairement en prestations de conseil ou dans le cadre de projets en exécution des politiques et des niveaux de sécurité décidés et définis par les clients. Le Groupe profite notamment des compétences et des services spécifiques en matière de sécurité développés dans son centre d’expertise de cybersécurité, et proposés à ses clients. Ce centre d’expertise situé à Toulouse ( Security Operation Center − SOC) offre notamment des services d’investigation, de surveillance et de traitement des menaces permettant de procéder tant à des investigations, des tests réguliers qu’à des interventions automatiques en cas de menaces ou toute opération permettant d’intervenir en amont et/ou de gérer une situation de crise. En 2018, le Groupe a fortement investi sur un programme de sensibilisation et de formation à destination des collaborateurs sur l’ensemble du Groupe (e-learning, campagnes de phishing, vidéos, formations sur site). Une assurance cybersécurité a été souscrite auprès et en complément de l’assurance Responsabilité civile professionnelle du Groupe et ce afin d’organiser une cohérence des couvertures et programmes d’assurance du Groupe, notamment en cas de risque de cyberattaque, et permettre de gérer et couvrir au mieux les différentes natures de risques : dommages et intérêts suite à des réclamations de tiers, dommages aux biens matériels, immatériels, perte d’exploitation, frais additionnels ou coûts liés à la gestion d’une communication de crise suite à une faille de sécurité notamment. En ce qui concerne les différentes réglementations internationales et locales relatives à la protection et sécurité des données, l’ensemble des entités du Groupe est conforme aux réglementations nationales relatives à la protection des données à caractère personnel, et notamment aux exigences de la CNIL en France. Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, le « RGPD » est entré en application le 25 mai 2018. Sopra Steria Group et ses filiales ont déployé un programme visant à assurer leur conformité à ce règlement et aux législations locales spécifiques. Ce programme, piloté par la Direction Juridique Groupe, qui coordonne le dispositif sur l’ensemble des filiales, comprend notamment :

p la désignation de DPO (Délégué à la Protection des Données) ;

p le déploiement d’une formation à destination de l’ensemble des collaborateurs du Groupe ;

p l’adaptation des contrats ;

p la mise en place de procédures internes spécifiques. Par ailleurs, Sopra HR Software , la filiale de Sopra Steria Group éditrice de solutions RH, a mis enœuvre depuis 2015 les Binding Corporate Rules (BCR) au sein de ses entités.

31

SOPRA STERIA DOCUMENT DE RÉFÉRENCE 2018