ANTIN // Document d'enregistrement universel 2021

FACTEURS DE RISQUE 3 Dispositifs de gestion des risques et de contrôle interne

3.5.2.2 Délégation et externalisation Antin peut sous-traiter certaines fonctions à des tiers. Lorsqu’elle s’appuie de manière continue et satisfaisante sur un tiers pour l’exercice de fonctions opérationnelles critiques pour l’exercice d’activités réglementées, d’activités cotées ou de services annexes, Antin veille à prendre des mesures raisonnables pour éviter un risque opérationnel supplémentaire indu. Antin s’assure notamment que : 3 l’entité Antin a fait preuve d’un soin, d’une compétence et d’une diligence appropriés avant de nouer une telle relation ; 3 la partie externe a la capacité et l’expérience nécessaires pour exercer ces fonctions de manière satisfaisante ; 3 la partie externe exerce ces fonctions conformément à un contrat de niveau de service approprié ; Antin a mis en place un Plan de Continuité des Activités et de reprise après sinistre (« PCA ») visant à assurer, en cas d’interruption de ses systèmes et procédures, la poursuite des activités d’Antin ou, au minimum, la reprise de ses activités en temps opportun. Le PCA énonce les éléments suivants : 3 le processus de mise enœuvre du plan, ainsi que les coordonnées pertinentes ; 3 des lieux physiques de repli pour les Collaborateurs ; 3 la sauvegarde et la restauration des données ; 3 les modalités de communication entre les parties internes et externes, y compris les autorités de tutelle, les prestataires de services et les investisseurs ; et 3 des tests annuels visant à évaluer l’adéquation et l’efficacité du plan. Ant in prend les mesures appropr iées pour remédier aux dysfonctionnements constatés lors des tests annuels. Le responsable informatique veille à ce que chaque Collaborateur reçoive une copie du PCA d’Antin et soit formé à l’embauche et lors des exercices de révision. La Politique de Cybersécurité Antin a mis en place des politiques et procédures de cybersécurité (la « Politique de Cybersécurité ») pour protéger Antin et ses investisseurs contre les cybermenaces et lutter contre le risque de cybersécurité. Le responsable informatique dispense une formation sur la Politique de Cybersécurité d’Antin.

3 Antin assure un suivi périodique et continu de la qualité de la prestation externalisée ; 3 l’externalisation n’altère pas la qualité du contrôle interne d’Antin ; et 3 l’externalisation n’entrave pas la capacité de l’autorité de tutelle à contrôler la conformité d’Antin à ses obligations réglementaires. L’externalisation de toute fonction critique doit être approuvée par le Directeur de la Conformité qui examine et approuve tout nouveau contrat d’externalisation. Le Directeur de la Conformité supervise les accords de sous-traitance et entreprend périodiquement des examens des fournisseurs de services pour confirmer que les tiers ne font pas courir de risque excessif à Antin. Préalablement à la mise enœuvre de la Politique de Cybersécurité, Antin a réalisé une première évaluation afin de déterminer les éléments suivants : 3 la nature, la sensibilité et la localisation des informations qu’Antin collecte, traite et/ou stocke et les systèmes technologiques qu’elle utilise ; 3 les menaces internes et externes en matière de cybersécurité et les vulnérabilités des systèmes informatiques et technologiques d’Antin ; 3 les contrôles et processus de sécurité en place ; 3 l’impact en cas de compromission des systèmes d’information ou de technologie ; et 3 l’efficacité de la structure de gouvernance de la gestion du risque de cybersécurité. La Politique de Cybersécurité d’Antin s’organise autour des principes suivants : 3 l’hébergement des serveurs d’Antin est effectué dans un Datacenter sécurisé Tier IV, soit le meilleur standard en matière de sécurité et de prévention des risques ; 3 des politiques de mots de passe à authentification forte et multifactorielle sont en place pour la plupart des applications et pour les accès à distance ; 3 une protection efficace des terminaux par une solution antivirus qui s’appuie sur une plateforme de détection et de réponse aux terminaux ; 3 la mise à jour régulière de l’ensemble des équipements via un processus d’évaluation de la vulnérabilité ; et 3 la surveillance du système d’information d’Antin en temps réel par un cyberSecurity (centre d’opérations de sécurité), en charge d’identifier une éventuelle cyberattaque ou intrusion via la collecte des identifiants des terminaux, des pare-feu et des applications. Ils déterminent si une menace est réelle et agissent en conséquence et effectuent également une vérification régulière de la vulnérabilité de tous les systèmes. Antin réalise régulièrement des tests d’intrusion (externes et internes) afin de s’assurer que le système d’information est correctement sécurisé ou corrigé si nécessaire. Antin réal ise également régulièrement des campagnes de phishing pour aider les utilisateurs à mieux identifier cette menace ; les utilisateurs sont également régulièrement informés et formés aux bonnes pratiques en matière de cybersécurité. Tous les Collaborateurs doivent se familiariser avec les politiques et procédures d’Antin car elles peuvent imposer une obligation individuelle de déclaration ou de notification. Les politiques et procédures sont conçues pour aider Antin et ses équipes à respecter leurs obligations réglementaires. Le non-respect de ces procédures peut entraîner des sanctions disciplinaires à l’encontre des personnes physiques, en complément des mesures réglementaires à l’encontre d’Antin et/ou des personnes physiques.

3.5.2.3 Protection des systèmes et sécurité informatique Le Plan de Continuité d’Activité

3.5.2.4 Prévention des opérations d’initiés et conformité Les entités au sein d’Antin, en particulier les entités réglementées AIP UK, AIP SAS et AIP US, sont soumises à des obligations de conformité strictes en matière de lutte contre les abus de marché et délits d’initié.

Tous les Collaborateurs sont soumis aux règles du guide de la conformité et à la Charte de déontologie d’Antin, qui sont conçus pour fournir une vue d’ensemble des dispositifs, politiques et procédures de conformité mis en œuvre par Antin pour assurer la conformité aux lois et réglementations applicables.

84 ANTIN INFRASTRUCTURE PARTNERS S.A. - DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021