Sopra Steria - Document de référence 2018

PRÉSENTATION DÉTAILLÉE DE SOPRA STERIA Facteurs de risques et contrôle

❙ RISQUE LIÉ À LA CONTINUITÉ DES SERVICES ET À LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

Description du Risque

Gestion du Risque

Concernant la production, il est noté l’importance croissante de l’enjeu lié à la fiabilité des infrastructures informatiques et de communication. Compte tenu de son modèle industriel intégrant des centres de services, des Data Centers partagés nationaux ou globaux dans des pays Nearshore et Offshore , le Groupe est dépendant du bon fonctionnement de ses centres de production distants ainsi que des réseaux de télécommunications. Tout sinistre, défaillance, arrêt au niveau de ces centres pourraient avoir des impacts tant sur les systèmes internes que sur les systèmes clients, entraînant un risque potentiel de non-conformité dans l’exécution des prestations contractuelles, et par conséquent de potentielles demandes de dommages et intérêts et/ ou de perte de revenu. Il convient de préciser qu’une part des activités de production du Groupe est effectuée en Inde. L’Inde reste un pays présentant différentes caractéristiques pouvant constituer des facteurs de risques (perturbations politiques, économiques, sociales, inflation salariale, catastrophes naturelles, pandémies). Le Groupe dispose de centres de services en Espagne, Tunisie, en Pologne et en Inde.

La continuité et sécurité des services de nos clients est un des critères clefs dans la définition de la politique et dans le choix d’implémentation des sites de production du Groupe. La politique et les décisions concernant l’implantation des sites relèvent de décisions Groupe s’appuyant sur différents critères dont les exigences clients, la gestion des risques (risques naturels ou risques géopolitiques). La décision de multiplier les géographies, pays et zones d’implantations fait partie intégrante de cette politique de sécurisation et de réduction de l’exposition aux risques et permet la gestion des plans de secours notamment via l’organisation de redondances, duplications entre sites. Une fois le choix opéré, les sites de production informatique, les centres de services, les Data Centers sont soumis à des procédures de prévention et de sécurité strictes qui couvrent la sécurité physique, la sécurité des systèmes d’information, les ruptures énergétiques, la régulation des amplitudes thermiques, le stockage et la sauvegarde des données. Le Groupe dispose d’une stratégie de continuité d’activité qui définit un niveau de service nominal, un principe de redondance de l’ensemble des éléments critiques en s’appuyant notamment sur des réplications multisites. Les éléments critiques sont redondés sur site de manière distante. Des plans de continuité d’activité (PCA) et de reprise d’activité (PRA) sont mis en place et suivis régulièrement. Les contrats passés avec nos fournisseurs sont revus selon leur nature par la Direction des Systèmes d’Information ou par la Direction des Moyens généraux en tenant compte des mêmes exigences de sécurité et de niveaux de services. Dans le cas d’externalisation ou de sous-traitance, le même niveau de service est exigé de nos fournisseurs. En Inde, le Groupe dispose de quatre centres de production. Ces sites sont éloignés les uns des autres et répartis dans trois régions distinctes ; caractéristique permettant de réduire les conséquences liées à la survenance de certains incidents ou risques existants dans une région spécifique. Par ailleurs, le fait au niveau Groupe d’utiliser un grand nombre de centres de production et d’avoir une mixité des services entre On , Near et Offshore permet de disposer de solutions de secours.

33

SOPRA STERIA DOCUMENT DE RÉFÉRENCE 2018