Au sein de Publicis Groupe la sécurité de l’information relève de la responsabilité de chacun. Il s’agit de protéger les informations sensibles et notamment celles des clients. L’ensemble du programme de sécurité est dirigé par une équipe dédiée du Global Security Office (GSO), qui rassemble des professionnels très expérimentés, dont les expertises sont certifiées tels que CISSP, CISA, CISM, CRISC, etc. Le GSO a la responsabilité des politiques, des guidelines et des standards appliqués partout dans le Groupe. L’ensemble du programme repose sur une logique de d’amélioration continue, avec une évaluation en continu des risques de sécurité et le suivi de l’application des règles du Groupe. Les travaux du GSO sont pilotés et suivis par le Top Management du Groupe.
Le GSO pilote plusieurs programmes comme la conformité en sécurité, le risk management, les tests de sécurité et de vulnérabilité, les revues techniques, les plans de continuité de service et l’éducation des salariés à ces risques. Une attention particulière porte sur la formation de toutes les équipes en utilisant différents moyens (blogs, articles, vidéos, tests, graphiques…) en six langues (français, anglais, espagnol, chinois, portugais, allemand) afin de construire une culture de la sécurité dans l’ensemble du Groupe. Tous les salariés doivent suivre chaque année un module obligatoire sur la sécurité des données et informations, auquel s’ajoutent des formations à la demande comme la sécurité du code. L’équipe du GSO anime une communication régulière auprès de tous les salariés rappelant les bonnes pratiques de sécurité, détaillant les menaces existantes.
Une équipe dédiée, le SOC (Security Operations Center), suit des risques de cybercrime (ransomware, malware, phishing…). Le SOC est opérationnel 24/7 et prêt à intervenir pour protéger les infrastructures, les systèmes, les informations et les data et, le cas échéant, activer des plans de continuité (business continuity plan) et des plans de reprise après sinistre (disaster recovery plan).
Le programme GSO fait l’objet de multiples audits externes indépendants tout au long de l’année. Ces audits sont conduits par des tierces parties mais aussi à la demande de nos clients et partenaires, ceci afin de maintenir les meilleurs niveaux d’assurance et de continuer l’amélioration des systèmes d’année en année. Les équipes du GSO travaillent étroitement avec les équipes projets des agences afin de s’assurer de la conformité à l’égard des attentes des clients. Cela signifie suivre les certifications externes comme
l’ISO 27001 ou ISO 22301, tout comme les standards plus spécifiques comme Payment Card Industry data Security Standard (PCI DSS), pour la santé le Health Insurance Portability Accounting Act (HIPAA) ou pour le Service Organization Control (SOC) Trust Criteria. Les politiques Groupe de sécurité de l’information (Information Securities Policies) sont alignées sur les standards ISO 27001 ; les entités les plus importantes du Groupe aux États‑Unis, en Inde, au Royaume Uni et en Amérique latine sont certifiées ISO 27001. Le GSO assure le suivi de ces certifications ISO 27001 pour les entités et agences et les départements où c’est impératif, comme les centres de services partagés, avec l’IT et les infrastructures systèmes, les services généraux, les RH et la sécurité (GSO) représentant plus de 11 000 personnes dans le Groupe. Cette équipe prépare et suit les audits externes, afin de s’assurer que les standards sont respectés et assurés afin d’être en conformité. Certaines entités sont certifiées ISO 22301 pour les plans spécifiques de continuité (business continuity plan).
Les questions inhérentes à la sécurité des données sont centralisées et chaque salarié peut directement faire appel au GSO et aux équipes du help desk : askgso@publicisgroupe.com.
Les fournisseurs travaillant avec le Groupe doivent obligatoirement répondre à des critères de sécurité, partie intégrante du contrat. Le GSO pilote le programme de Supplier Security Risk management, en coopération avec la Direction des achats du Groupe (voir section 4.3.9). Il s’agit d’évaluations formelles des risques de sécurité, afin de passer en revue différents contrôles administratifs, techniques et de sécurité physique. Ces évaluations sont régulières et contractuelles, afin de protéger les systèmes d’information du Groupe.
La politique de Sécurité des Systèmes d’Information est partie intégrante du Code de conduite et d’éthique Janus ; elle est publiquement accessible dans la bibliothèque RSE du site Internet du Groupe.
Le Groupe est en conformité avec les dispositions de la loi française dite Sapin II. Le Groupe a mis en place un programme de conformité tel que requis par la loi, intégrant notamment le Code de conduite et d’éthique Janus et la Politique anti‑corruption, illustrant les comportements susceptibles de constituer des faits proscrits de corruption ou de trafic d’influence. Le Groupe est aussi en conformité avec les autres lois anti‑corruption applicables dans les zones où il est implanté.
