Worldline - Document d'enregistrement universel 2019

DECLARATION DE PERFORMANCE EXTRA-FINANCIERE Instaurer la confiance des clients avec des solutions fiables, sécurisées, innovantes et durables

Maintenir la couverture de la certification de sécurité ● ISO 27001 pour l’ensemble de l’organisation dans le cadre de l’ISMS global Worldline. Worldline s’est engagé dans un programme de certification multisite (MSC) ISO 27001 avec le groupe Atos jusqu’à fin 2019. Un programme MSC spécifique à Worldline est en cours de définition pour couvrir les normes : ISO 9001, 14001, 27001. Cette approche multisites donne aux clients de Worldline l’assurance que la Société assure une prestation de service uniforme et de qualité partout dans le monde. L’ISO/CEI 27000 aide la Société à gérer la sécurité de ses actifs tels que les informations financières, la propriété intellectuelle, les coordonnées de ses employés ou les informations qui lui sont confiées par des tiers. ISO/IEC 27001 est la norme la plus reconnue en ce qui concerne les exigences relatives à un système de management de la sécurité de l’information (ISMS). Le champ d’application actuel de la norme MSC ISO/IEC 27001:2013 couvre 35 des 61 sites éligibles de Worldline. Renforcer et étendre les services liés au Security ● Operation Center (SOC) afin de centraliser et d’homogénéiser les services de détection et d’analyse des menaces fournis par les entités Worldline. Cette offre de services de sécurité améliorée, fournie par Atos en tant que MSSP (Managed Security Services Provider), comprend : Un service de gestion des incidents de sécurité géré par ● des professionnels de la sécurité (SIEM/SOC/CSIRT) pour analyser les incidents potentiels et déterminer leur gravité, leur priorité et les activités à entreprendre pour atténuer la menace, Le Threat Intelligence Service (TI) a pour but de fournir ● une vue d’ensemble des menaces numériques, y compris l’exploitation des vulnérabilités des systèmes informatiques, le piratage organisé, l’abus de marque et la fraude informatique ou de réputation, La solution EDR (Endpoint Detection and Response). ● Continuer à maintenir 100% des résolutions d’incidents ● conformes à la politique de sécurité. Les incidents sont signalés et les causes profondes sont comprises pour éviter qu’ils ne se reproduisent. Les rapports fournissent également des informations précieuses pour les évaluations régulières des risques en matière de sécurité. Cette pratique est d’autant plus importante dans la mesure où Worldline fournit ses services à des clients dans le monde entier. Une communication hebdomadaire entre le Directeur de la Sécurité de Worldline et tous les agents de sécurité régionaux assure une surveillance étroite des incidents de sécurité enregistrés et le suivi des mesures d’amélioration convenues. En 2019, 99,64% des réponses

aux incidents ont été entièrement conformes à la politique de sécurité de Worldline, contre 98,74% en 2018 et 97% en 2016. Continuer à former 100% de nos collaborateurs chaque ● année à la norme PCI-DSS afin de renforcer et maintenir la sensibilisation à la sécurité des données. En 2019, 91% des employés ont été formés Cet objectif repose sur le fait que tout le personnel de Worldline constitue un point clé de la défense de l’entreprise, ce qui signifie qu’il est vital que tout le personnel, les prestataires et les consultants travaillant au sein de Worldline prennent la responsabilité d’adhérer aux politiques de sécurité de Worldline et aux normes, procédures et directives connexes. La Politique de Sécurité de l’Information de Worldline, qui fait partie du SMSI, s’applique à tous les employés de Worldline et décrit les processus de sécurité et les approches d’évaluation des risques qui doivent être appliqués. De plus, dans le cadre des formations en ligne annuelles obligatoires, 96% des collaborateurs de Worldline ont assisté à la formation consacrée au thème « Sûreté et sécurité » afin de développer leurs connaissances en la matière. En ce qui concerne plus particulièrement la menace croissante des attaques d’hameçonnage (logiciels malveillants), Worldline a organisé des formations et des simulations en 2019 afin de fournir aux collaborateurs une vision plus concrète des menaces informatiques et physiques auxquelles ils peuvent être confrontés. Atteindre des Indicateurs Clés de Performance en ● matière de sécurité. Une surveillance et des rapports techniques sont en place pour agir de manière proactive sur les anomalies de sécurité : analyse hebdomadaire des contrôles de sécurité, contrôle mensuel de la configuration des pare-feu, analyses de vulnérabilité hebdomadaires, tests d’intrusion annuels, examens des droits d’accès, systèmes de détection des intrusions, dont des systèmes d’atténuation DDoS, suivi et enregistrement des événements signalés par le système. Toutes ces mesures font partie de la Stratégie de Sécurité Worldline. En plus d’assurer la sécurité de ses activités, Worldline a mis en œuvre des mesures et des politiques pour protéger ses propres actifs intellectuels et ses informations confidentielles notamment par le biais d’accords de confidentialité ou du cryptage et protection logique et physique de certaines informations. De plus, le Service Juridique et Conformité de Worldline fournit des conseils sur toutes les transactions commerciales afin de s’assurer que les dispositions appropriées sont incluses dans les contrats avec ses clients et fournisseurs et que les questions confidentielles sont traitées de manière appropriée et en conformité avec les lois applicables.

D

109 Document d’Enregistrement Universel 2019