Worldline - Document de référence 2016

Rapport de responsabilité sociale et environnementale Annexe III - Améliorer la relation de confiance avec nos clients grâce à la disponibilité et la sécurité de nos plateformes

A.2.1.3.2

Industrie 4.0 : Infrastructure informatique robuste pour les entreprises [WL1]

annuels, revue des droits d’accès, systèmes de détection des intrusions et suivi et enregistrement des événements signalés par le système). Toutes ces mesures font partie du cadre défini par Worldline sur le plan de la sécurité. analyses de vulnérabilité hebdomadaires, tests d’intrusion

Une infrastructure informatique robuste pour les entreprises

Procédures de protection des données personnelles

de disponibilité des services de Worldline dépassait les 99,88% pour la solution Sips, ce qui souligne le caractère sécurisé et robuste de la plateforme. Worldline délivre ses services aux clients par le biais de plateformes redondantes de haute technologie. En 2016, le taux Worldline fournit des services qui s’appuient sur ses propres solutions d’infrastructure informatique. Cette stratégie confère à Worldline tous les leviers nécessaires pour minimiser les impacts l’environnement, avec une attention particulière sur l’empreinte écologique de ses data-centers. opérationnels de ses infrastructures sur ses coûts et disponibles. Ce haut niveau de disponibilité est obtenu par la mise en œuvre de plusieurs niveaux de redondance : socle de base robuste (composants redondants, RAID…) des services fonctionnant sur plusieurs serveurs distincts en parallèle, Worldline fournit à ses clients des services hautement répartition des moyens dans des data-centers distincts. Cette Robustesse des plateformes conception permet une résilience globale très élevée en s’assurant que la panne d’un élément quelconque ne génère pas une indisponibilité globale du service. Worldline intègre les exigences de haute disponibilité dès les premières phases de la conception des plateformes. entre les composants (service actif-actif) sur plusieurs sites, ou la reprise du service (actif-passif) sur le site de secours. En cas de panne sur un site, le trafic est dirigé vers un autre site disponible, permettant ainsi aux utilisateurs de toujours disposer d’un En pratique, cela est mis en œuvre par l’équilibrage de la charge de réplication des données permettent d’assurer la continuité des activités, avec plusieurs technologies disponibles selon le RTO/RPO (Objectifs de temps de reprise/Objectif de restauration de données). service disponible. Ces principes de redondance s’appliquent aux serveurs, aux bases de données et aux baies de stockage, afin d’éviter tout maillon faible dans l’infrastructure. Les fonctions Des tests sont effectués régulièrement sur chaque composant clé de notre infrastructure pour vérifier la redondance et la robustesse des plateformes. La sécurité est au cœur des systèmes de Worldline, des audits de sécurité et des tests d’intrusions sont régulièrement menés sur nos plateformes afin de contrôler le niveau de sécurité de nos serveurs et applications. Un processus de suivi et de déploiement des correctifs de sécurité est défini afin de corriger les failles de sécurité détectées par les fournisseurs de logiciels ou la communauté open-source. Cela se traduit par l’obtention de certifications de sécurité reconnues (PCI, ISO 27001, TÜV IT). Afin d’optimiser l’efficacité des infrastructures, Worldline a mis en place une organisation internationale et transverse de ses services d’infrastructures industrialisés. infrastructures internationales partagées (Centre Serveurs, connexions Internet, stockage, virtualisation, etc.). Worldline est en mesure d’offrir des solutions évolutives à coûts réduits grâce à la mise en œuvre d’un niveau de standardisation élevé et de opérations techniques. Cela permet de tirer profit des

la vie privée [GRI 418-1]. La confidentialité constitue par nature le moteur de la protection des données personnelles chez Worldline, et c’est pourquoi le deuxième pilier de son programme comprend des procédures qui sont également décrites dans la politique de protection des données personnelles du groupe Atos. Ces procédures garantissent une confidentialité intégrée à tout traitement des données personnelles réalisé par Worldline pour son propre compte ou celui de ses clients. C’est la raison pour laquelle en 2016, Worldline n’a reçu aucune plainte de clients pour atteinte à Le rapport de sécurité relatif aux incidents constitue la base des analyses visant à identifier les causes qui sont à couvrir dans les plans d’action et que sont suivies dans le rapport de risques. Grâce à des évaluations régulières et proactives des risques liés à la sécurité, les risques existants devraient être traités au niveau de sécurité résiduelle convenu. Néanmoins, la remédiation en place pourrait ne pas être aussi efficace que souhaité si le résultat de l’analyse des risques était basé sur des hypothèses fausses. Il se pourrait également que de nouvelles menaces et l’information de Worldline de manière négative. vecteurs d’attaque progressent, ce qui impactera la sécurité de Ainsi, les rapports et enregistrements d’incidents liés à la sécurité appuyés par une analyse solide des causes profondes aident à continuer à réduire le risque existant au niveau adéquat et apportent une contribution précieuse aux évaluations régulières des risques liés à la sécurité. Cette pratique est d’autant plus importante dans le contexte international où Worldline fournit ses services à ses clients à travers le monde. Worldline et tous les responsables locaux de la sécurité permettent un contrôle rigoureux des enregistrements des Des réunions hebdomadaires entre le Chef de la Sécurité de Pour sécuriser et supporter cela, le Chef de la Sécurité de Worldline a initié en 2016 : L’installation et le déploiement au niveau mondial d’une ● solution « Incident Ticketing » ; La formation de tous les responsables de la sécurité de ● Worldline utilisant cette solution « Incident Ticketing » ; La mise en place d’ateliers pour utiliser cette solution ● « Incident Ticketing » ; traitement des incidents liés à la sécurité ; La revue et mise à jour de la politique existante de ● L’amélioration des traitements des incidents liés aux ● attaques Ddos factuelles ou annoncées (par exemple par chantage). risques liés à la sécurité et un suivi des mesures d’amélioration convenues.

A

287

Worldline Document de Référence 2016