La cybersécurité est une responsabilité partagée par l'ensemble de l'organisation, dirigée par notre directeur des systèmes d'information et du numérique, qui fournit des mises à jour trimestrielles au comité d'audit et deux fois par an au conseil d'administration. En outre, l'équipe cyber de Greif effectue des évaluations périodiques de la maturité de la sécurité et des mises à jour de la feuille de route pour garantir que notre programme continue de répondre aux besoins de Greif et s'aligne sur les meilleures pratiques du secteur.

Nous utilisons un tableau de bord de sécurité que nous partageons avec les dirigeants, notre équipe de gestion des risques d'entreprise et le conseil d'administration. Le tableau de bord suit nos performances en utilisant le cadre de cybersécurité du National Institute of Standards and Technology comme référence. Nous maintenons également un plan de réponse aux incidents de cybersécurité et un plan mondial de continuité des activités, qui décrivent nos mesures pour répondre et atténuer les impacts en cas d'incident.

Greif maintient des politiques internes pour protéger nos données, y compris nos Politique de gestion et de conservation des documents, Politique de confidentialité des données, la politique de sécurité de l'information et la politique d'achat et de dépenses informatiques, qui guident toutes nos pratiques de sécurité des données en adéquation avec les cadres et réglementations du secteur tels que Sarbanes-Oxley et le règlement général sur la protection des données (RGPD) de l'UE. L'équipe informatique de Greif effectue des audits annuels par rapport à ces politiques pour les processus de contrôle informatique liés à Sarbanes-Oxley et assigne des formations aux collègues sur le RGPD et les concepts de confidentialité des données pour s'assurer que nous respectons ou dépassons les exigences politiques et réglementaires. En 2023, nos collègues du monde entier ont reçu une formation sur la confidentialité des données couvrant les éléments du RGPD et d'autres réglementations pertinentes en matière de confidentialité. Les collègues occupant des postes où le traitement des données personnelles est plus courant, comme les rôles des ressources humaines ou de l'informatique, ont reçu des détails supplémentaires sur nos attentes et notre engagement à protéger les informations personnelles. Environ 93 % des collègues concernés ont suivi la formation sur la confidentialité des données en 2023.

Chaque mois, les membres du département Cybersécurité, Ressources humaines et Juridique se réunissent pour suivre et discuter des changements réglementaires en matière de confidentialité des données et examiner les mesures requises pour garantir la conformité. Nous collaborons également avec des associations et consortiums sectoriels et régionaux pour soutenir le partage des connaissances concernant les réglementations, les problèmes technologiques émergents et les meilleures pratiques en matière de cybersécurité.

Pour protéger les données de nos clients et de nos collègues, nous suivons un modèle de besoin de savoir pour limiter le nombre de personnes ayant accès aux informations sécurisées en interne et en externe. De plus, pour assurer une bonne gestion des données confidentielles, nous obtenons le consentement par le biais d'accords et de clauses contractuelles et nous nous conformons à toutes les réglementations en vigueur. Nous mettons en œuvre des solutions logicielles pour protéger et crypter nos terminaux afin de limiter notre exposition aux violations de données potentielles, et nous continuons à informer nos collègues sur nos Gestion et conservation des documents et Confidentialité des données politiques. De plus, nous détruisons systématiquement et en toute sécurité le matériel et les copies papier des informations confidentielles auprès de fournisseurs de services vérifiés.

La formation à la cybersécurité et à la sensibilisation permet à nos collègues d’identifier et de réagir aux menaces potentielles et de minimiser les risques numériques et physiques. Nous formons nos collègues sur la sécurité des informations personnelles, l’hygiène de la cybersécurité et la sécurité générale sur Internet, entre autres sujets. Tous les collègues ayant accès à un ordinateur, y compris notre équipe de direction, doivent suivre la formation. Tous les collègues administratifs et professionnels reçoivent une formation sur la cybersécurité et la confidentialité et 93 % des collègues assignés ont terminé la formation en 2023.

Nous complétons la formation générale en sécurité par une formation spécifique sur le phishing. Notre programme comprend des courriels de simulation de phishing envoyés mensuellement à nos collègues administratifs et professionnels. Ces messages testent leur capacité à identifier et à signaler les messages suspects. Ceux qui n'y parviennent pas bénéficient d'une formation supplémentaire pour les aider à identifier les risques de phishing.

Nos collègues reçoivent également des bulletins d'information trimestriels de sensibilisation à la cybersécurité, des conseils de sécurité hebdomadaires sur des sujets allant de la sécurité des mots de passe à la prévention des escroqueries par phishing et des liens vers des contenus de formation à la sécurité externes via l'Université Greif. Nous organisons également une campagne annuelle de sensibilisation au Mois de la cybersécurité chaque mois d'octobre.

Nous protégeons l'accès physique à nos installations en installant des lecteurs d'étiquettes et des serrures à code PIN, et nous exigeons un connaissement pour chaque expédition récupérée dans nos installations. De plus, des boîtiers inviolables sont utilisés tout au long de la chaîne d'approvisionnement pour donner aux clients l'assurance que leurs produits sont protégés et sécurisés.

Greif propose à ses collaborateurs différentes options pour signaler des comportements suspects, des violations de données potentielles, des activités de phishing et d'autres incidents. La hotline éthique de Greif est également à la disposition de tous les collaborateurs pour signaler des problèmes préoccupants.