Les fournisseurs font l’objet d’une revue initiale (Initiale Due Diligence) dont l’objet est d’évaluer leurs process et politiques tant en matière de protection que de sécurité des données, de vérifier leur conformité et de comprendre leurs pratiques. La diffusion d’un DPA (Data Processing Addendum) est systématique auprès des fournisseurs, partenaires et éditeurs. Les différentes équipes GDPO, GDPOps et GSO travaillent ensemble pour ces revues initiales et pour celles qui suivront au cours de la durée du contrat, afin que le fournisseur soit en conformité avec les standards du Groupe. Ces travaux se font en coopération avec la Direction des achats (voir chapitre 4.2.5 du présent document).
Au sein de Publicis Groupe la sécurité de l’information relève de la responsabilité de chacun. Il s’agit de protéger les informations sensibles et notamment celles des clients. L’ensemble du programme de sécurité est dirigé par une équipe dédiée du Global Security Office (GSO), qui rassemble des professionnels très expérimentés, dont les expertises sont certifiées par des standards internationaux tels que CISSP, CISA, CISM, CRISC etc…. Le GSO a la responsabilité des politiques, des guidelines et des standards appliqués partout. L’ensemble du programme repose sur une logique de progrès permanent, avec une évaluation en continue des risques de sécurité et le suivi de l’application des règles du Groupe. Les travaux du GSO sont pilotés et suivis par le Top management du Groupe.
Le GSO pilote plusieurs programmes comme la conformité, le risk management, les tests de sécurité ou de vulnerabilité, les revues techniques, les plans de continuité de service et l’éducation des salariés à ces risques. Une attention particulière porte sur la formation de toutes équipes en utilisant différents moyens (blogs, articles, vidéos…) en six langues (français, anglais, espagnol, chinois, portugais, allemand) afin de construire une culture de la sécurité dans l’ensemble du Groupe. Tous les salariés doivent suivre chaque année un module obligatoire sur la sécurité des données et informations, auquel s’ajoute des formations à la demande comme par exemple le sécurité du code ou les bonnes pratiques pour créer une application très sécurisée. L’équipe du GSO anime une communication trimestrielle rappelant les bonnes pratiques de sécurité, et avec des mises en garde régulières par rapport à des procédés malhonnêtes.
Une équipe est dédiée au suivi des risques de cybercrime (ransom malware, phishing…), et le SOC – Security Office Center – est opérationnel 24/7 et prêt à intervenir pour protéger les infrastructures, les systèmes, les informations et les data et, le cas échéant, activer des plans de continuité (business continuity plan) et des plans de reprise après sinistre (disaster recovery plan).
Les questions inhérentes aux questions de sécurité sont centralisées et chaque salarié peut directement faire appel au GSO et à ses équipes : askgso@publicisgroupe.com.
En 2020 les équipes GSO ont été fortement impliquées pour le déploiement rapide du télétravail, veillant à la bonne continuité des systèmes et des services, et sont restées mobilisées face aux cyberattaques.
Le programme GSO fait l’objet tout au long de l’année de multiples audits externes indépendants conduits par des parties tierces, pour des raisons évidentes de conformité, mais aussi à la demande de nos clients et partenaires, ceci afin de maintenir les meilleurs niveaux d’assurance et de continuer l’amélioration des systèmes d’année en année. L es équipes du GSO travaillent étroitement avec les équipes projets des agences afin de s’assurer de la conformité à l’égard des attentes des clients. Cela signifie suivre les certifications externes comme l’ISO 27001 ou ISO 22301, tout comme les standards plus spécifiques comme Payment Card Industry Data Security Standard (PCI DSS) ou Health Insurance Portability Accounting Act (HIPAA) ou Service Organization Control (SOC) Trust Criteria. Les politiques Groupe de sécurité de l’information (Information Securities Policies) sont alignées sur les standards ISO 27001 et plusieurs entités du Groupe en Inde et au Royaume-Uni sont certifiées ISO 27001, le GSO assurant le suivi de ces certifications ; il travaille en étroite collaboration avec les équipes GDPO et GDPOps. (voir paragraphe précédent).
À titre d’exemples : les sites de Publicis Sapient en Inde – Gurgaon, Noida et Bangalore – sont certifiés ISO 27001 ; Epsilon a également des entités certifiées ISO 27001 notamment sur les volets continuité d’activités et plan de reprise.
L’un des principes-clés liés est d’étendre les exigences internes de sécurité aux fournisseurs et aux partenaires. Le GSO pilote le programme de Risk management des questions de sécurité, en coopération avec la Direction des achats (voir chapitre 4.2.5 du présent document). Il s’agit de procéder aux évaluations formelles des risques de sécurité, de passer en revue différents contrôles administratifs, techniques et de sécurité physiques allant au-delà des principes énoncés dans la politique générale publiquement accessible dans la bibliothèque RSE du site Internet du Groupe. Ces due diligence ont également lieu pendant la durée du contrat avec les fournisseurs concernés.
Les questions de justice sociale et environnementales ont été au cœur des aspirations citoyennes durant cette année sanitaire compliquée qui a mis en lumière plus crûment les déséquilibres dans la Société. Plus que jamais, les attentes des citoyens-consommateurs mettent en avant des aspirations en faveur d’une consommation plus responsable, durable et abordable. La question du prix reste centrale dans un contexte de crise économique et sociale.
Au cours de l’année 2020, les équipes de planning stratégique ou d’études ont été très à l’écoute des consommateurs , et ont partagé avec leurs clients de multiples recherches et travaux d’écoute sociale.
Pour les agences du Groupe, dans leurs recommandations auprès de leurs clients, il importe que le citoyen-consommateur puisse toujours exercer son libre arbitre et faire un choix éclairé, grâce à une communication transparente. Les agences aspirent à être des accompagnateurs et des facilitateurs des changements de comportements des
citoyens-consommateurs, et à accompagner leurs clients dans leurs projets complexes de transformation.
