WORLDLINE_DOCUMENT_REFERENCE_2017

D

Responsabilité sociétale d’entreprise Instaurer la confiance des clients avec des plates-formes entièrement disponibles et sécurisées

D.2.1.4

Construire une relation de confiance avec les clients grâce à un système informatique robuste et de qualité

Voici un récapitulatif des principaux engagements de Worldline concernant la sécurité : Conserver un niveau de sécurité élevé au sein de toute 1. l’organisation grâce à la certification ISO. L’un des défis principaux à relever est l’émergence de menaces liées à la cyber- sécurité susceptible d’entraîner une nouvelle exposition aux risques ; Renforcer les services liés aux opérations du centre de 2. sécurité. Les menaces en constante évolution doivent faire l’objet d’un suivi permanent et proactif des risques identifiés, assorti de mesures appropriées ; Maintenir la résolution des incidents à 100%, 3. conformément à la politique de sécurité. Les incidents sont signalés et les causes sont comprises afin d’éviter leur réapparition ; Former 100% des collaborateurs chaque année à la 4. norme PCI afin de maintenir et renforcer la sensibilisation à la sécurité de l’information dans le paiement. Indicateurs clés de performance de sécurité et reporting Outre le suivi de ces indicateurs clés de performance de haut niveau, des procédures techniques de suivi et de reporting ont été mises en place pour agir de manière proactive en cas d’anomalie de sécurité (analyse hebdomadaire des contrôles de sécurité, contrôle mensuel de la configuration des pare-feu, analyses de vulnérabilité hebdomadaires, tests d’intrusion annuels, revue des droits d’accès, systèmes de détection des intrusions et suivi et enregistrement des événements signalés par le système). Toutes ces mesures font partie du cadre défini par Worldline sur le plan de la sécurité. Procédures de protection des données personnelles La politique de protection des données personnelles de Worldline repose sur le concept de « Privacy by design » (confidentialité dès la conception), et c’est pourquoi le deuxième pilier de son programme comprend des procédures qui sont également décrites dans la politique de protection des données personnelles du groupe Atos. Ces procédures garantissent que la confidentialité est intégrée à tout traitement des données personnelles réalisé par Worldline pour son propre compte ou celui de ses clients. En 2017, Worldline n'a pas reçu de plaintes de clients pour atteinte à la vie privée [GRI 418-1]. Le rapport de sécurité relatif aux incidents constitue une base d’analyse pour déterminer les causes qui nécessitent d’être couvertes par des plans d’action et qui sont suivies dans le rapport de risques. Grâce à des évaluations régulières et proactives des risques liés à la sécurité, les risques existants devraient être traités au niveau de sécurité résiduelle convenue. Néanmoins, la remédiation en place pourrait ne pas être aussi efficace que souhaité si le résultat de l’analyse des risques était basé sur des hypothèses fausses. Il se pourrait également que de nouvelles menaces apparaissent et que les vecteurs d’attaque évoluent, entraînant des répercussions négatives sur la sécurité de l’information de Worldline. Ainsi, les rapports et enregistrements d’incidents liés à la sécurité couplés à une analyse rigoureuse des causes contribuent à réduire le risque existant au niveau adéquat et apportent un précieux support aux évaluations régulières des risques liés à la sécurité. Cette pratique est d’autant plus importante dans un contexte international dans la mesure où Worldline fournit ses services à des clients dans le monde entier.

D.2.1.4.1 Sécurité [GRI 418-1]

L’approche structurée deWorldline pour une protection complète de ses actifs La Direction de la Sécurité de Worldline et d’Atos a défini 101 politiques, normes et recommandations sur la sécurité et la sûreté qui sont déployées dans l’ensemble des pays où est implantée l’entreprise. Ces politiques de sécurité sont obligatoires et s’appliquent à l’ensemble des entités et collaborateurs de Worldline afin de garantir la sécurité de tous les processus internes et externes (c’est-à-dire en lien avec les clients) de la Société. Elles s’appliquent également à l’ensemble des prestataires et consultants externes de Worldline. Les politiques de sûreté et sécurité de Worldline couvrent la protection de l’ensemble des biens de l’entreprise, qu’ils lui appartiennent, qu’ils lui aient été confiés ou qu’ils soient utilisés par celle-ci (informations, propriété intellectuelle, sites, réseau, personnel, logiciels et matériel informatique). Pour répondre aux spécificités et aux exigences de ses activités, Worldline a développé depuis 2009 un ensemble de politiques et de normes en matière de sécurité des informations, pouvant comprendre des déclinaisons locales destinées à clarifier certains points ou à prendre en compte des spécificités locales. Ces politiques ont été établies en cohérence avec les politiques du Groupe Worldline en matière de sûreté et de sécurité et sont conformes à la norme ISO 27001:2013. Une instance de gouvernance a été mise en place pour gérer les politiques applicables en matière de sécurité. Son rôle est de les définir, d’en suivre la mise en œuvre et de les mettre à jour. En outre, Worldline a mis en place des mesures et des politiques spécifiques destinées à protéger sa propriété intellectuelle et ses informations confidentielles, prévoyant le cas échéant l’utilisation d’accords de confidentialité et de systèmes de cryptage et de protection physique et logique des informations. La Direction Juridique et de la Conformité de Worldline émet également un avis sur l’ensemble des transactions commerciales afin de s’assurer que des dispositions adéquates figurent dans l’ensemble des contrats conclus avec les clients et les fournisseurs, et que les questions confidentielles soient traitées de manière appropriée et dans le respect des lois applicables. Afin de soutenir sa démarche d’amélioration continue en matière de sécurité, Worldline participe également au programme de certification multisite ISO 27001 avec le groupe Atos. En 2017, Worldline a obtenu une certification pour 22 de ses 23 sites éligibles. En 2017, 94% des collaborateurs de Worldline ont assisté aux formations obligatoires en ligne consacrées au thème « Sûreté et Sécurité », afin de développer leurs connaissances en la matière. De plus, le département Sécurité de Worldline a organisé en 2017 une session de sensibilisation spéciale au niveau mondial afin d’apporter à ses collaborateurs une vision plus concrète des menaces informatiques et physiques qui pèsent sur l’entreprise ou sur eux grâce à des mises en situation et à des mesures de prévention pratiques. Pour répondre aux menaces croissantes liées aux attaques de phishing (logiciels malveillants), Worldline a organisé au cours de l’année des formations spécifiques de sensibilisation.

98

Worldline Document de Référence 2017