Nos pratiques de sécurité des données sont conformes à la loi Sarbanes-Oxley, au règlement général sur la protection des données de l’UE (RGPD) et à la politique de gestion et de conservation des enregistrements de Greif. L’équipe des technologies de l’information de Greif, dirigée par notre responsable de la sécurité informatique mondiale, gère la sécurité des données, qui comprend des audits annuels des processus de contrôle informatique, des examens trimestriels des autorisations de données et des simulations de phishing trimestrielles. Les cadres de Greif reçoivent des mises à jour via un tableau de bord de cybersécurité que nous partageons également tous les trimestres avec l’équipe et le conseil de gestion des risques d’entreprise de Greif. Le tableau de bord suit nos performances à l’aide du score de l’indice de maturité NSF du National Institute of Standards and Technology . Le vice-président et directeur administratif de Greif fournit périodiquement au conseil d’administration des mises à jour liées à la sécurité.

Si Greif est victime d’une violation de la cybersécurité, nous maintenons un plan de réponse et d’incident cybernétique des services informatiques et un plan mondial de continuité des activités des services informatiques, qui décrivent nos étapes pour répondre et atténuer rapidement l’impact d’un incident. En 2021, nous avons mené des exercices sur table basés sur des scénarios avec notre équipe de direction pour tester notre plan de réponse et d’incident cybernétique des services informatiques et le plan mondial de continuité des activités des services informatiques. À partir des apprentissages clés, nous avons identifié des opportunités et développé des manuels supplémentaires pour soutenir l’identification et le confinement des incidents. Nous travaillons avec des associations et des consortiums industriels et régionaux pour soutenir le partage des connaissances sur la réponse aux incidents, la continuité des activités et les meilleures pratiques en matière de cybersécurité.

En 2018, nous avons mené une évaluation de la maturité de la cybersécurité en collaboration avec un partenaire tiers. Nous avons commencé à travailler pour mettre en œuvre les conclusions de l’évaluation de la maturité et établi une stratégie de cybersécurité sur trois ans. Dans le cadre de cette stratégie, nous avons mis en place une authentification unique (SSO) et une authentification multifacteur (MFA) pour les applications exposées de Greif. Nous avons mis en place des solutions antivirus de nouvelle génération avec des services de détection et de réponse des terminaux. En 2021, nous avons étendu nos capacités pour surveiller et détecter les problèmes potentiels et automatiser les processus de détection et de prévention. Nous avons également jeté les bases de la gestion des risques tiers et prévoyons de mettre en œuvre ce programme en 2022. De plus, nous avons mis en place des solutions en Europe pour limiter l’accès physique au réseau aux seuls équipements autorisés par Greif et prévoyons d’étendre cet effort à l’Amérique du Nord à partir de 2022. Nous procédons à une autre évaluation de la maturité pour mesurer nos progrès et identifier les opportunités d’amélioration de notre approche en matière de sécurité.

Au centre de nos opérations de sécurité se trouve la formation. La formation à la cybersécurité et à la sensibilisation aide à améliorer la capacité de nos collègues à identifier et à répondre aux menaces potentielles et à minimiser les risques dans les espaces numériques et physiques. Nous formons des collègues sur des sujets tels que les attaques de phishing, l’hygiène de la cybersécurité et la sécurité générale sur Internet. Après avoir terminé la formation, tous les collègues doivent effectuer un bilan de santé trimestriel, s’assurant que les connaissances sont conservées et mises en pratique. La formation est obligatoire pour tout collègue ayant accès à des ordinateurs, y compris notre équipe de direction. Les collègues reçoivent également des newsletters trimestrielles faisant la promotion de la sensibilisation à la cybersécurité et des conseils de sécurité hebdomadaires sur des sujets allant de la sécurité des mots de passe à la prévention des escroqueries par hameçonnage, et ils participent à notre mois annuel de la cybersécurité en octobre. De plus, nous avons accueilli des conférenciers externes à présenter à nos collègues par le biais d’un webinaire en direct et d’un enregistrement mis à disposition par l’Université de Greif.

Chaque mois, les membres des services de cybersécurité, des ressources humaines et des services juridiques de Greif se réunissent pour discuter de la conformité aux réglementations actuelles et émergentes en matière de sécurité des données et de confidentialité des données. Nous surveillons les changements réglementaires et les actions nécessaires pour assurer la conformité. Greif n’a reçu aucune plainte fondée concernant des violations de la vie privée des clients et n’a identifié aucune fuite, vol ou perte de données client en 2021. Pour protéger les données client, nous suivons un modèle de besoin de savoir pour limiter le nombre de personnes ayant accès à des informations sécurisées. Cette année, nous avons mis en place des solutions logicielles pour protéger et chiffrer nos points de terminaison afin de limiter notre exposition à d’éventuelles violations de données et de classer nos données grâce à un marquage manuel. Nos collègues ont désormais la possibilité d’auto-étiqueter leurs informations et leurs e-mails avec la classification de données appropriée basée sur notre nouveau cadre de classification des données. Nous avons également lancé une nouvelle formation en 2021 pour informer nos collègues sur nos politiques de gestion et de conservation des documents et de confidentialité des données. Pour nous conformer davantage au RGPD, nous avons organisé une formation sur le RGPD pour nos collègues de la région EMEA et commencé à établir un cadre formel de classification des données. En 2022, nous continuerons de surveiller et d’ajuster notre approche de la protection de la vie privée des clients.

Pour gérer la sécurité physique de nos bâtiments, Greif installe des lecteurs de badges et des serrures à code PIN dans nos installations. Nous exigeons un connaissement pour chaque expédition ramassée dans nos installations. Greif soutient la sécurité des produits tout au long de notre chaîne d’approvisionnement en proposant des fermetures inviolables.