Les fournisseurs font l’objet d’une revue initiale dont l’objet est d’évaluer leurs process et politiques tant en matière de protection que de sécurité des données, de vérifier leur conformité et de comprendre leurs pratiques. Les différentes équipes GDPO, GDPOps et GSO travaillent ensemble pour ces revues initiales. Les fournisseurs et partenaires doivent aussi répondre à une autoévaluation de conformité avec les lois et règlements ou encore avec les bonnes pratiques. Les contrats contiennent des obligations contractuelles strictes notamment des déclarations et garanties en matière de protection des données. La diffusion d’un DPA (Data Processing Addendum) est systématique auprès des fournisseurs, partenaires et éditeurs. Dès lors qu’il s’agit de données sensibles (RH, financières, santé…) des analyses approfondies sont conduites pour vérifier les questions de protection, sécurité et conformité. Ces travaux se font en coopération avec la Direction des achats (voir chapitre 4.2.7 du présent document). La politique de Protection des données est partie intégrante du Code d'éthique Janus ; elle est publiquement accessible dans la bibliothèque RSE du site Internet du Groupe.
Au sein de Publicis Groupe la sécurité de l’information relève de la responsabilité de chacun. Il s’agit de protéger les informations sensibles et notamment celles des clients. L’ensemble du programme de sécurité est dirigé par une équipe dédiée du Global Security Office (GSO), qui rassemble des professionnels très expérimentés, dont les expertises sont certifiées tels que CISSP, CISA, CISM, CRISC, etc. Le GSO a la responsabilité des politiques, des guidelines et des standards appliqués partout dans le Groupe. L’ensemble du programme repose sur une logique de d’amélioration continue, avec une évaluation en continu des risques de sécurité et le suivi de l’application des règles du Groupe. Les travaux du GSO sont pilotés et suivis par le Top management du Groupe.
Le GSO pilote plusieurs programmes comme la conformité en sécurité, le risk management, les tests de sécurité et de vulnérabilité, les revues techniques, les plans de continuité de service et l’éducation des salariés à ces risques. Une attention particulière porte sur la formation de toutes les équipes en utilisant différents moyens (blogs, articles, vidéos, tests, graphiques…) en six langues (français, anglais, espagnol, chinois, portugais, allemand) afin de construire une culture de la sécurité dans l’ensemble du Groupe. Tous les salariés doivent suivre chaque année un module obligatoire sur la sécurité des données et informations, auquel s’ajoute des formations à la demande comme la sécurité du code. L’équipe du GSO anime une communication régulière auprès de tous les salariés rappelant les bonnes pratiques de sécurité, détaillant les menaces existantes.
Une équipe dédiée, le SOC (Security Operations Center) suit des risques de cybercrime (ransomware, malware, phishing…). Le SOC est opérationnel 24/7 et prêt à intervenir pour protéger les infrastructures, les systèmes, les informations et les data et, le cas échéant, activer des plans de continuité (business continuity plan) et des plans de reprise après sinistre (disaster recovery plan).
85% des équipes GSO sont certifiées ISO 27001. Le programme GSO fait l’objet de multiples audits externes indépendants tout au long de l’année. Ces audits sont conduits par des tierces parties mais aussi à la demande de nos clients et partenaires, ceci afin de maintenir les meilleurs niveaux d’assurance et de continuer l’amélioration des systèmes d’année en année. Les équipes du GSO travaillent étroitement avec les équipes projets des agences afin de s’assurer de la conformité à l’égard des attentes des clients. Cela signifie suivre les certifications externes comme l’ISO 27001 ou ISO 22301, tout comme les standards plus spécifiques comme Payment Card Industry data Security Standard (PCI DSS), pour la santé le Health Insurance Portability Accounting Act (HIPAA) ou pour le Service Organization Control (SOC) Trust Criteria. Les politiques Groupe de sécurité de l’information (Information Securities Policies) sont alignées sur les standards ISO 27001 ; les entités les plus importantes du Groupe aux États-Unis, en Inde, au Royaume-Uni et en Amérique Latine sont certifiées ISO 27001. Le GSO assure le suivi de ces certifications. Ils travaillent en étroite collaboration avec les équipes GDPO (voir paragraphe précédent). Les activités d’Epsilon ont également une certification ISO 22301 pour les plans spécifiques de continuité (business continuity plan).
Les questions inhérentes à la sécurité des données sont centralisées et chaque salarié peut directement faire appel au GSO et aux équipes du help desk : askgso@publicisgroupe.com
L’un des principes-clés est d’étendre les exigences internes de sécurité aux fournisseurs et aux partenaires. Le GSO pilote le programme de Supplier Security Risk management, en coopération avec la Direction des achats du Groupe (voir chapitre 4.2.7 du présent document). Il s’agit d’évaluations formelles des risques de sécurité, de passer en revue différents contrôles administratifs, techniques et de sécurité physique.
La politique de Sécurité des Systèmes d’Information est partie intégrante du code d'éthique Janus ; elle est publiquement accessible dans la bibliothèque RSE du site Internet du Groupe.