SBM // URD 2023-24

Facteurs de risques et contrôle interne

Facteurs de risques

Nature des risques

Libellé du risque

Criticité

Cyberattaques, violation de données personnelles et interruption des Systèmes d’Information (voir 2.1.1.1) 4 – Majeure Dégradation de la situation économique, géopolitique ou sanitaire (voir 2.1.1.2) 3 – Élevée Sûreté et sécurité des clients et des collaborateurs (voir 2.1.1.3) 2 – Modérée Sécurité alimentaire (voir 2.1.1.4) 1 – Faible

Risques liés aux opérations

2

Attractivité clients (voir 2.1.2.1)

2 – Modérée 2 – Modérée

Risques stratégiques

Risques liés au développement international (voir 2.1.2.2) Changement climatique et raréfaction des ressources (voir 2.1.3.1)

3 – Élevée

Risques environnementaux

Impacts des activités du Groupe et de la chaîne d’approvisionnement (voir 2.1.3.2)

2 – Modérée 2 – Modérée

Risques liés aux ressources humaines Attractivité et rétention insuffisante des collaborateurs (voir 2.1.4.1)

Décisions réglementaires impactant l’attractivité (voir 2.1.5.1)

3 – Élevée 3 – Élevée

Risques réglementaires

Non-respect des obligations relatives à la lutte contre le blanchiment (voir 2.1.5.2)

2.1.1 Risques liés aux opérations

Sous la supervision de la Direction des Systèmes d’Information et du Digital, le Groupe S.B.M. a mis en place un ensemble de mesures techniques et organisationnelles permettant d’assurer la protection des données et systèmes sensibles. Afin de se prémunir contre les risques liés aux cyberattaques, le Groupe S.B.M. a mis en place une surveillance et une détection des événements suspects pour répondre dans les meilleures conditions aux incidents avérés. Les équipes du Groupe S.B.M. travaillent à la mise à jour et à l’évolution perpétuelle de ces dispositifs afin d’en assurer leur adéquation. Pour réduire les conséquences opérationnelles de ces risques, le Groupe S.B.M. a amélioré, au cours des dernières années, la résilience de son infrastructure, en optimisant ses dispositifs de continuité d’exploitation et de reprise sur incident, en renforçant par exemple sa stratégie de back-up. Par ailleurs, il est à noter que la Principauté de Monaco dispose d’une réglementation propre en matière de protection des données, sous la supervision de la Commission de Contrôle des Informations Nominatives (CCIN), autorité administrative indépendante monégasque. La CCIN veille au respect des libertés et des droits des personnes dont on utilise les informations personnelles. Le Groupe S.B.M. est soumis à une obligation déclarative auprès de la CCIN pour chaque traitement de données effectué dans le cadre de ses activités. De plus, le Groupe S.B.M. dispose d’un Data Protection Officer et applique le Règlement Général sur la Protection des Données (RGPD) s’agissant du traitement des données personnelles de résidents européens (clients, fournisseurs, employés, partenaires, etc.). Enfin, le Groupe S.B.M. a travaillé sur une nouvelle feuille de route de mise en sécurité sur 4 ans qui a été partagée et suivie par l’Agence Monégasque de Sécurité Numérique (AMSN), destinée à renforcer encore davantage la protection des systèmes et des données. La mise en application de cette nouvelle feuille de route a démarré en fin d’exercice 2023/2024.

2.1.1.1 CYBERATTAQUES, VIOLATION DE DONNÉES PERSONNELLES ET INTERRUPTION DES SYSTÈMES D’INFORMATION Description du risque Le Groupe S.B.M. est exposé aux risques liés aux cyberattaques, ainsi qu’à ceux liés aux défaillances de ses Systèmes d’Information, pouvant résulter de malveillances internes ou externes ou bien d’événements non intentionnels, le développement de la digitalisation au sein des établissements du Groupe S.B.M. agissant comme un facteur d’aggravation. Ces risques peuvent se matérialiser par la perte, la corruption ou la divulgation de données sensibles, telles que les données personnelles des clients (en particulier celles collectées dans le cadre des activités jeux) et celles des salariés, les données stratégiques et les données financières du Groupe S.B.M. (traitées dans ses propres systèmes ou dans ceux de ses sous-traitants). De tels risques peuvent également se traduire par une indisponibilité partielle ou totale de certains systèmes, rendant l’exécution des opérations journalières impossibles et désorganisant les processus et activités concernés. Malgré les investissements significatifs réalisés par le Groupe S.B.M. pour protéger ses Systèmes d’Information, les menaces grandissantes dans le domaine de la cybercriminalité conjuguées à la dépendance croissante du Groupe S.B.M. à ses systèmes et ses données font augmenter l’exposition du Groupe S.B.M. à ces risques. En outre, le renforcement des réglementations en matière de protection des données personnelles accroît les risques de non-conformité réglementaire et expose le Groupe S.B.M. à des sanctions qui pourraient être prononcées par les autorités de contrôle compétentes. Gestion du risque Pour faire face à ces défis, les ressources dédiées à la sécurisation des systèmes et des données ont été renforcées.

35

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2023/2024

SOCIÉTÉ ANONYME DES BAINS DE MER ET DU CERCLE DES ÉTRANGERS À MONACO