NEXITY - Document d'enregistrement universel 2019

2 GESTION DES RISQUES

Les facteurs de risques spécifiques et leur gestion

Risques sur le système d’information (SI) 2.2.2.2 DÉFAILLANCE DANS LA SÉCURITÉ ET L’EXPLOITATION DU SYSTÈME D’INFORMATION Description du risque

Gestion du risque

Le pilotage de l’activité du Groupe et le déversement des informations depuis les systèmes de gestion vers les systèmes d’information (comptables par exemple) doivent pouvoir être fiables, sécurisés et maintenus. En l’absence de stratégie de continuité sur ses systèmes, le Groupe pourrait être confronté à une interruption prolongée (au-delà d’une semaine) de ses systèmes d’information. La forte croissance de Nexity (chiffre d’affaires en croissance de 71% par rapport à 2014) et de ses effectifs a rendu le système d’information complexe, en silo par métier et parfois obsolète. À fin 2019, le Groupe compte plus de 11.000 collaborateurs (+ 58% par rapport à 2014), soit autant d’accès et d’habilitations à gérer. L’absence d’une stratégie de sécurisation et de modernisation des systèmes d’information, pourrait exposer le Groupe à l’émergence de failles de sécurité exploitables ainsi qu’à des impacts négatifs avec des effets en cascade : blocage de certains flux (flux des systèmes d'information de gestion vers les systèmes d'information comptables), accès non autorisés aux données voire fuite de données sensibles, des cumuls de fonctions incompatibles, etc.

Nexity a engagé plusieurs chantiers stratégiques en vue de renforcer la maîtrise des risques liés au système d'information et la résilience des activités du Groupe. Un nombre important de projets de remplacement et de refonte d’applications métiers et transverses ont été lancés dans le cadre des programmes de transformation des SI du Groupe. On peut citer notamment la mise en place d’un ERP finance commun au Groupe (progiciel de gestion) et un plan de transformationet modernisationdes couches basses duSI. Nexity se positionne également dans une démarche d’innovation et de migration de ses outils vers des technologies plus récentes (comme les services de cloud sécurisés) en contractualisant avec des acteurs compétitifs qui garantissent un engagement de service adapté. En matière de gestion des accès, un projet IAM (Identity Access Management ) dont l’objectif est de définir la stratégie en matière de gestion des identités et des droits pour l’ensemble des SI du Groupe a été lancé. De plus, des actions à court et moyen terme sont engagées : Revue des politiques de sécurité ; • Migration progressive des applications et outils critiques • vers des prestataires spécialisés ; Pilotage en central des sujets liés à la sécurité et • accompagnement des métiers sur les évolutions en matière de sécurité ; Actions de sensibilisation des collaborateurs aux risques • Cyber ; Renforcement du dispositif de protection des données • personnelles (RGPD) en lien avec la Direction juridique ; et Souscription à une police d’assurance Cyber. •

Nexity / DOCUMENT D’ENREGISTREMENT UNIVERSEL 2019 /94