Compagnies des Alpes // Document d'enregistrement universel 2019

2 FACTEURS DE RISQUES Risques opérationnels

2.3 Risques opérationnels RISQUES D’ATTAQUE INFORMATIQUE Dans ce contexte de développement de l’activité numérique des entreprises, où chaque pan de son fonctionnement dépend de la sécurité de ses systèmes d’information, le Groupe comme toute autre se doit de se préparer à toute éventualité d’être confronté des cyber- attaques, cybermenaces, ou encore des cyber-espionnages. De la perte de données à l’arrêt de certaines activités et à la détérioration de la réputation, le Groupe s’est lancé depuis plusieurs années dans la protection et le contrôle de ses systèmes. Afin de garder les niveaux de performance et la continuité d’activité requis, un grand nombre de projets ont été menés à bien tels que :  la cartographie des sites ; 2.3.1

 le renforcement des sites vitrines du Groupe sur internet ;  des standards Groupe pour les fournisseurs ;  le suivi des spams et des alertes ;  la sensibilisation de l’ensemble des utilisateurs ;  la protection de la messagerie du Groupe ;  la remise à niveau de tout équipement devenu obsolète donc sensible.

2.3.2 RISQUES DE DÉFAILLANCE DES SYSTÈMES D’INFORMATIONS Le Groupe est dépendant de ses systèmes informatiques essentiellement dans les domaines financiers, administratifs et de billetterie et de ventes internes. Par ailleurs, le Groupe recourt à l’utilisation de sites de commerce électronique et procède à des ventes dématérialisées de billets ou de forfaits ; il porte une attention particulière à l’intégrité de ses sites Internet, qu’ils soient commerciaux ou bien institutionnels.

La commercialisation étant de moins en moins physique, la sécurité des systèmes d’informations utilisés devient primordiale. Le Groupe a mis en place un ensemble de protections, de processus et d’analyses régulières pour pallier un éventuel arrêt d’un système clé, et permettant d’optimiser sa capacité de résilience, parmi lesquels :  redondance des données et des réseaux ;  suivi des incidents ;  sauvegarde et restauration de l’intégralité des environnements applicatifs ;  plans de reprise d’activité ;  plan de maintenance préventive. processus de contrôle. Des plans de secours sont prévus en cas d’accident grave pour en limiter au maximum les conséquences, ainsi qu’un dispositif complet de gestion de crise, aussi bien sur les sites qu’au siège du Groupe. Le Groupe procède régulièrement à des visites de prévention en responsabilité civile, accompagné d’ingénieurs prévention de son courtier d’assurance, portant sur l’ensemble de ces risques spécifiques, qui participent à l’amélioration continue de la gestion de ces risques d’accident corporel. Dans les Parcs de loisirs, de nombreux contrôles sont réalisés par les équipes techniques afin d’assurer une expérience visiteur en toute sécurité :  contrôle et certification par un tiers indépendant avant ouverture de la saison puis en préparation de la maintenance hivernale : un organisme agréé par les ministères de chaque pays procède au contrôle de 100 % des attractions, aires de jeu et toboggans aquatiques deux fois par an. L’organisme de contrôle rédige un rapport et délivre une certification pour chacune des attractions. Le contrôle est étendu au bon fonctionnement de l’attraction dans son environnement, et sur les risques exogènes associés (ex : critères de taille, zones d’embarquement, procédures internes etc.) ;  contrôles internes réguliers avant ouverture au public : des contrôles internes journaliers, hebdomadaires, mensuels, trimestriels ou annuels sont réalisés en reprenant l’ensemble des points à vérifier, et supervisés hiérarchiquement avant leur mise en service ;

C’est pourquoi le Groupe a mis en place une politique de gestion des risques SI animée par la Direction des systèmes d’information et son responsable de la sécurité des SI, avec l’appui de la Direction des risques, assurances et gestion de crise.

2.3.3 LES RISQUES D’ACCIDENT CORPOREL

La sécurité du public est une préoccupation majeure pour l’ensemble des dirigeants et collaborateurs du Groupe. Le Groupe veille à ce que :  les matériels utilisés soient conçus, fabriqués, installés, exploités et entretenus de façon à présenter, dans des conditions normales d’utilisation ou dans d’autres conditions raisonnablement prévisibles par le professionnel, la sécurité à laquelle on peut légitimement s’attendre et ne pas porter atteinte à la sécurité des personnes, dans le respect des normes en vigueur ;  les produits, consommables et autres, soient conformes aux normes et règlements en vigueur ;  tous les contrôles réglementaires soient effectués et que chaque installation fasse l’objet de vérification régulière avant et pendant la saison d’ouverture des sites. Le Groupe porte une attention particulière à la conformité et au niveau de sécurité des articles thématisés vendus dans les boutiques des Parcs de loisirs. Les jouets font notamment l’objet d’une procédure de contrôle rigoureuse afin de garantir une sécurité optimale de ces produits lors de leur utilisation. De plus, des audits sont menés dans les principales usines fabriquant des jouets et des articles de vaisselle, portant sur les systèmes qualité des usines (contrôle des matières premières, processus de fabrication, respect de la réglementation CE…). Le Groupe s’appuie sur un réseau de correspondants dans les domaines de la qualité et de la sécurité chargés de suivre et d’améliorer les

35

Compagnie des Alpes I Document d'enregistrement universel 2019