Eurazeo / Document d'enregistrement universel 2019

Gestion des risques Facteurs de risques

Technologies et données 4.2.1.6

MODÉRÉ Risque que des attaques et/ou des défaillances des systèmes d’information altèrent la confidentialité, la disponibilité et/ou l’intégrité des données numériques d’Eurazeo et de ses partenaires, et empêchent notamment Eurazeo d’assurer la continuité de ses opérations, la conformité avec les réglementations liées aux données personnelles et/ou à l’information privilégiée, ou encore de contenir l’altération de son image/sa réputation vis-à-vis de ses partenaires et parties prenantes. Pour la conduite de ses activités, Eurazeo s’appuie sur des infrastructures et applications informatiques qui permettent de collecter, traiter et produire des données, notamment confidentielles et stratégiques. Des défaillances techniques (matérielles, logicielles, réseau…) ou encore des attaques informatiques ( malware , intrusion…) pourraient nuire à la disponibilité, à l’intégrité et à la confidentialité de ses données, et avoir des conséquences négatives sur l’activité et la réputation de la Société. La transformation digitale de la Société, le développement du stockage de données dans des systèmes cloud ou encore le recours accru à des solutions clés et/ou métiers en mode Saas ont pour effet d’accroître la vulnérabilité d’Eurazeo face aux menaces des cyber attaquants. Ils augmentent également la dépendance d’Eurazeo à la fiabilité des systèmes informatiques des prestataires tiers. La sécurité informatique constitue une priorité d’Eurazeo. Aussi, depuis plusieurs années, un certain nombre d’initiatives ont vu le jour en vue de s’assurer de la mise en place de mesures adéquates pour protéger ses actifs numériques ainsi que ceux de ses participations. Le dispositif de prévention des risques Cyber ainsi développé s’appuie notamment sur : un Comité de Sécurité numérique (présidé par le Directeur Général Finances et membre du Directoire, réunissant la direction des risques, la direction du numérique, la direction de la sureté ainsi que la direction des systèmes d’information), un responsable de la sécurité des systèmes d’information (RSSI), une politique de sécurité du système d’information (PSSI), et le déploiement de nombreuses mesures techniques renforçant la sécurité de l’accès aux ressources numériques. Afin de valider l’efficience du dispositif, des audits de sécurité informatique et des tests d’intrusion sont régulièrement réalisés, et les vulnérabilités identifiées font l’objet d’actions correctrices. Par ailleurs, Eurazeo a souscrit des polices d’assurance Cyber et Fraude. Enfin, en matière de continuité, le plan de reprise d’activité d’Eurazeo (basé sur une infrastructure redondée sur deux sites distants) est testé annuellement ; il doit permettre à la Société de poursuivre son activité en cas de sinistre informatique et d‘éviter la perte de données. Effets potentiels

Exemples de mesure de réduction du risque Dispositif de prévention des menaces cyber : Comité de Sécurité • Numérique d’Eurazeo, Audits de sécurité Cyber, PSSI, RSSI, Feuille de route Cyber, campagnes de sensibilisations des collaborateurs et des participations… Plan de Reprise d’Activité, testé annuellement • Polices d’assurance : Cyber, Fraude • Gouvernance : cybersécurité à l’ordre du jour du Comité d’Audit • au moins deux fois par an

Fuites de données confidentielles et/ou stratégiques relatives • aux activités d’Eurazeo, de ses participations, de ses investisseurs partenaires ou d’autres parties prenantes Exploitation d’une information privilégiée par un cyber attaquant • Exploitation de données sensibles et confidentielles par un cyber • attaquant en vue de perpétrer une fraude (voir 4.2.1.7) Infractions aux réglementations en matière de protection • des données personnelles

04

Fraude 4.2.1.7

MODÉRÉ Risque qu’Eurazeo soit victime d’une fraude (typiquement un détournement de fonds) notamment à l’occasion de paiements réalisés dans le cadre d’opérations de closing et/ou de distributions. Lors des opérations de closing de transaction ou encore de distributions dans les fonds, des ordres de paiement sont donnés pour des sommes qui représentent parfois plusieurs centaines de millions d’euros, et qui transitent vers des comptes bancaires tiers. Ces transactions exposent Eurazeo à un risque accru de détournement par des fraudeurs. Des organisations criminelles ont développé des dispositifs de fraude de plus en plus sophistiqués qui peuvent notamment combiner usurpation d’identité, intelligence stratégique et cyberattaque. Pour atténuer ce risque, Eurazeo a mis en place un cadre strict en matière de contrôle interne sur les processus de mise en paiement, et sensibilise régulièrement ses collaborateurs sur le risque de fraude. En parallèle, le dispositif de prévention des risques cyber développé par Eurazeo (voir 4.2.1.5) veille à sécuriser les données liées aux transactions sensibles et aux paiements. Enfin, Eurazeo a souscrit des polices d’assurance Cyber et Fraude. Effets potentiels Pertes liées aux sommes détournées • Altération de la réputation vis-à-vis des banques, assureurs, • investisseurs partenaires et autres parties prenantes Exemples de mesure de réduction du risque Dispositif de prévention des risques cyber • Contrôles internes encadrant les mises en paiement •

Polices d’assurance : Cyber, Fraude • Sensibilisation/formation des équipes •

/ EURAZEO

119

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2019