Nos pratiques de sécurité des données sont conformes à Sarbanes-Oxley, Règlement général de l’UE sur la protection des données (RGPD) et Greif’s Politique de gestion et de conservation des documents. L’équipe des technologies de l’information de Greif, dirigée par notre responsable de la sécurité informatique mondiale, gère la sécurité des données, qui comprend des audits annuels des processus de contrôle informatique, des examens trimestriels des autorisations de données et des simulations de phishing trimestrielles. Au centre de nos opérations de sécurité se trouve la formation. Tous les collègues ayant accès à des ordinateurs doivent suivre une formation trimestrielle sur la cybersécurité, recevoir des bulletins d’information trimestriels faisant la promotion de la sensibilisation à la cybersécurité et des conseils de sécurité hebdomadaires sur des sujets allant de la sécurité des mots de passe à la prévention des escroqueries par hameçonnage, et participer à notre mois annuel de la cybersécurité en octobre. Les cadres de Greif reçoivent des mises à jour via un tableau de bord de cybersécurité qui est partagé avec l’équipe de gestion des risques d’entreprise et le conseil d’administration de Greif tous les trimestres. Le tableau de bord suit actuellement nos performances à l’aide du score de l’indice de maturité NSF du National Institute of Standards and Technology . Si Greif est victime d’une violation de la cybersécurité, nous maintenons un plan de réponse et d’incident cybernétique des services informatiques et un plan mondial de continuité des activités des services informatiques, qui décrit nos étapes pour réagir rapidement et atténuer l’impact d’un incident. Greif n’a reçu aucune plainte fondée concernant des violations de la vie privée des clients et n’a identifié aucune fuite, vol ou perte de données client en 2020.

Pour gérer la sécurité physique de nos bâtiments, Greif installe des lecteurs de badges et des serrures à code PIN dans nos installations. Nous exigeons un connaissement pour chaque expédition ramassée dans nos installations. Greif soutient la sécurité des produits tout au long de notre chaîne d’approvisionnement en proposant des fermetures inviolables.

Depuis 2018, nous travaillons à la mise en œuvre des résultats d’une évaluation de la maturité de la cybersécurité que nous avons menée en collaboration avec un partenaire tiers. Nous avons lancé une formation annuelle en ligne sur la cybersécurité et la sensibilisation pour aider à améliorer la capacité de nos collègues à identifier et à répondre aux menaces potentielles et à minimiser les risques dans les espaces numériques et physiques. Après avoir terminé la formation, chacun de nos collègues doit effectuer un bilan de santé trimestriel, s’assurant que les connaissances sont conservées et mises en pratique. La formation est obligatoire pour tous les collègues ayant accès à des ordinateurs, y compris notre équipe de direction. Pour nous conformer davantage au RGPD, nous avons organisé une formation sur le RGPD pour nos collègues de la région EMEA et commencé à établir un cadre formel de classification des données. Le cadre nous aidera à mieux comprendre et, en fin de compte, à gérer les informations personnelles que nous stockons.

Chaque mois, les membres des services de cybersécurité et juridiques de Greif se réunissent pour discuter de la conformité aux réglementations actuelles et émergentes en matière de sécurité des données et de confidentialité des données. Nous surveillons les changements réglementaires et les actions nécessaires pour assurer la conformité.

En 2019, nous avons établi une stratégie triennale de cybersécurité que nous avons commencé à mettre en œuvre en 2020. Dans le cadre de cette stratégie, nous avons implémenté l’authentification unique (SSO) et l’authentification multifacteur (MFA) pour les applications exposées à Greif. Nous avons également mis en place des solutions antivirus de nouvelle génération avec des services de détection et de réponse des terminaux. Nos collègues ont désormais la possibilité d’auto-étiqueter leurs informations et leurs e-mails avec la classification de données appropriée basée sur notre nouveau cadre de classification des données. En 2021, nous continuerons à développer notre stratégie de cybersécurité en mettant l’accent sur l’Internet industriel des objets, la gestion des risques tiers et en augmentant notre capacité de réponse aux incidents.