3. Cybercriminalité et défaillances des systèmes d’information
Description du risque
Dans un monde où le numérique évolue à une vitesse vertigineuse, la dépendance aux technologies de l’information est un enjeu stratégique majeur. Cette dépendance expose le Groupe à des risques significatifs accrus, notamment des attaques malveillantes de plus en plus sophistiquées, des défaillances techniques et des menaces internes, pouvant entraîner des interruptions de service, des altérations de données, des fuites de données personnelles ou sensibles et la divulgation d’informations confidentielles.
L’année 2025 a été marquée par une poursuite de l’intensification des attaques exploitant l’intelligence artificielle, les chaînes d’approvisionnement et les vulnérabilités des infrastructures Cloud. La montée en puissance des attaques automatisées et des menaces persistantes avancées (Advanced Persistent Threat) augmente la complexité de la protection des actifs numériques du Groupe et de ses partenaires. L’asymétrie entre attaquants et défenseurs devient de plus en plus aiguë.
Depuis 2020, la transformation digitale rapide et le recours massif au travail hybride combinés à une utilisation étendue des solutions en Cloud et des infrastructures informatiques externalisées, ont élargi la surface d’attaque du Groupe. Nous observons une augmentation continue des attaques par déni de service distribué (DDoS), des rançongiciels (ransomware) et des campagnes de phishing avancées exploitant l’IA générative. Ces menaces peuvent affecter directement l’activité du Groupe, perturber ses opérations et exposer ses clients et partenaires à des risques de sécurité.
Les défaillances systémiques peuvent être le résultat d’activités malveillantes, de catastrophes naturelles ou de pannes techniques. Elles peuvent affecter non seulement le Groupe, mais également ses partenaires et fournisseurs, pouvant entraîner potentiellement de longues périodes de dysfonctionnement et compromettre ainsi la capacité à servir nos clients.
Par ailleurs, les exigences réglementaires en matière de cybersécurité continuent d’évoluer, imposant une surveillance accrue des risques, une meilleure gouvernance et une réponse plus rapide aux incidents. Face à ces changements, le Groupe adapte en permanence ses pratiques et renforce ses contrôles de sécurité afin d’assurer sa conformité aux attentes des clients, partenaires et régulateurs.
Enfin, les risques internes restent une préoccupation majeure. Un personnel insuffisamment formé ou une mauvaise gestion des accès peuvent conduire à la divulgation involontaire d’informations critiques. Des actes malveillants internes, quoique rares, peuvent également gravement nuire à la réputation du Groupe.
Gestion du risque
Le Global Security Office (GSO) met en œuvre des stratégies de remédiation et de résilience, incluant des politiques de sécurité rigoureuses, la formation continue des employés, des audits de sécurité réguliers et des plans de réponse aux incidents bien établis. La conformité aux réglementations en constante évolution est également une priorité absolue pour minimiser les risques de non-conformité et les amendes potentielles.
L’adoption de pratiques de maintenance régulière et l’application systématique des mises à jour de sécurité sont cruciales pour prévenir les vulnérabilités. Le Groupe s’est également employé à améliorer ses plans de continuité et de résilience via des exercices de simulation de crise et des tests d’attaques. En outre, l’exposition accrue liée aux modèles de travail hybrides et aux accès distants nécessite une attention particulière aux sécurités des réseaux domestiques et à l’accès à distance sécurisé aux systèmes d’information du Groupe.
Dans le cadre de sa démarche de gestion des risques, le Groupe continue de déployer la certification ISO 27001 sur ses sites. Une quantification des risques de cybersécurité est également conduite à intervalles réguliers. La Cybersécurité a été un sujet de travail du Conseil d’Administration et du Comité stratégique, environnemental et social ainsi que du Comité d’audit et des risques financiers début 2025.
Le Groupe évalue et atténue également les risques liés à la chaîne d’approvisionnement, en s’assurant que les fournisseurs et partenaires respectent des normes de sécurité strictes pour prévenir les attaques transversales. Le Groupe déploie également des solutions CNAPP (Cloud Native Application Protection Platform) et SSPM (SaaS Security Posture Management) pour assurer une surveillance continue et renforcer les contrôles de cybersécurité chez les fournisseurs critiques.
Face à l’augmentation des attaques d’hameçonnage (phishing) et d’ingénierie sociale, le Groupe met en œuvre des stratégies proactives pour sauvegarder sa réputation et assurer la sécurité interne, en sensibilisant nos équipes aux meilleures pratiques de vigilance et de sécurité numérique et en augmentant la fréquence des simulations de phishing. Le Groupe a également renforcé les capacités du Security Operations Center (SOC) avec des solutions d’intelligence artificielle.
Ces mesures visent à minimiser les impacts potentiels de la cybercriminalité et des défaillances systémiques, y compris les coûts de remédiation, les pertes de revenus et les dommages à la réputation du Groupe.