Nos pratiques de sécurité des données sont conformes à la loi Sarbanes-Oxley, Règlement général sur la protection des données de l'UE (RGPD) et les politiques internes de Greif, y compris Politique de gestion et de conservation des documents, Politique de confidentialité des données, la politique de sécurité de l'information et la politique d'achat et de dépenses informatiques. La sécurité est une responsabilité partagée dans toute l'organisation, dirigée par le directeur technique (CTO), la cybersécurité, en particulier, relevant de la responsabilité du directeur de l'information et du numérique. Le CTO de Greif fournit au conseil d'administration et au comité d'audit des mises à jour périodiques liées à la sécurité. Les dirigeants de Greif reçoivent également des mises à jour via un tableau de bord de cybersécurité partagé trimestriellement avec l'équipe de gestion des risques d'entreprise et le conseil d'administration de Greif. Le tableau de bord suit nos performances à l'aide de l'outil de gestion des risques de Greif. Cadre de cybersécurité de l'Institut national des normes et de la technologie à titre de référence. L'équipe informatique de Greif joue également un rôle dans la sécurité globale des données, en effectuant des audits annuels des processus de contrôle informatique et des simulations mensuelles de phishing et des articles de sensibilisation, qui augmenteront par rapport à une fréquence trimestrielle en 2021.

Si Greif est victime d'une violation de cybersécurité, nous disposons d'un plan d'intervention et de réponse aux incidents cybernétiques et d'un plan mondial de continuité des activités des services informatiques, qui décrit les mesures que nous prenons pour réagir et atténuer rapidement l'impact d'un incident. La hotline éthique de Greif est disponible pour tous les collègues en cas de violation de données suspecte, et une option de signalement automatique de phishing est disponible pour tous les collègues ayant accès à la messagerie électronique. Nous travaillons avec des associations et consortiums sectoriels et régionaux pour soutenir le partage des connaissances en matière de réponse aux incidents, de continuité des activités et de meilleures pratiques en matière de cybersécurité.

La formation est un élément essentiel du programme de cybersécurité de Greif. La formation à la cybersécurité et à la sensibilisation permet d'améliorer la capacité de nos collègues à identifier et à répondre aux menaces potentielles et à minimiser les risques dans les espaces numériques et physiques. Nous formons nos collègues sur les attaques de phishing, l'hygiène de la cybersécurité et la sécurité générale sur Internet, entre autres sujets. Après avoir terminé la formation, tous les collègues doivent effectuer un contrôle trimestriel, s'assurant que les connaissances sont conservées et mises en pratique. Cette formation est obligatoire pour tous les collègues ayant accès à un ordinateur, y compris notre équipe de direction. Nos collègues reçoivent également des bulletins d'information trimestriels promouvant la sensibilisation à la cybersécurité, des conseils de sécurité hebdomadaires sur des sujets allant de la sécurité des mots de passe à la prévention des escroqueries par phishing et des connexions avec des intervenants externes en sécurité via l'Université Greif. Ils participent également à notre campagne annuelle de sensibilisation au Mois de la cybersécurité chaque mois d'octobre. Greif travaille avec un partenaire tiers pour mettre en œuvre ces initiatives de formation, et le score global de Greif en matière de vulnérabilité au phishing est 11 % supérieur à la moyenne de notre secteur pour les fabricants à grande échelle.

Chaque mois, les membres des départements Cybersécurité, Ressources humaines et Juridique se réunissent pour discuter de la conformité aux réglementations actuelles et émergentes en matière de sécurité et de confidentialité des données. Nous surveillons les changements réglementaires et les mesures requises pour assurer la conformité. Pour protéger les données des clients, nous suivons un modèle de besoin de savoir pour limiter le nombre de personnes ayant accès aux informations sécurisées, tant en interne qu'en externe. De plus, pour assurer une bonne gestion des données confidentielles, nous obtenons le consentement par le biais d'accords et de clauses contractuelles et nous nous conformons à toutes les réglementations pertinentes. Nous mettons en œuvre des solutions logicielles pour protéger et crypter nos terminaux afin de limiter notre exposition aux violations de données potentielles, et nous continuons à informer nos collègues sur nos politiques de gestion et de conservation des enregistrements et de confidentialité des données. Pour mieux nous conformer au RGPD, nous avons organisé une formation au RGPD pour nos collègues en Europe, au Moyen-Orient et en Afrique. De plus, nous détruisons régulièrement et en toute sécurité le matériel et les copies papier contenant des informations confidentielles auprès de fournisseurs de services vérifiés.

Nous protégeons l'accès physique à nos installations en installant des lecteurs d'étiquettes et des serrures à code PIN, et nous exigeons un connaissement pour chaque expédition récupérée dans nos installations. De plus, des boîtiers inviolables sont utilisés tout au long de la chaîne d'approvisionnement pour donner aux clients l'assurance que leurs produits sont protégés et sécurisés.