La cybersécurité et en particulier la protection des données à caractère personnel sont des enjeux majeurs pour un groupe de la taille d’ENGIE au cœur de la transition énergétique et de la révolution digitale.
La cybersécurité concerne la sécurité informatique des personnes, des actifs informatiques matériels et immatériels et des organisations. C’est devenue un enjeu crucial pour l’entreprise et ses parties prenantes.
Cybersécurité
Afin de couvrir les risques d’attaques ou fraudes cyber, divers dispositifs sont mis œuvre notamment :
- un centre de supervision cyber-sécurité permettant de surveiller en permanence nos réseaux et infrastructures critiques. Ce dispositif inclut une surveillance des correctifs de sécurité
- des campagnes de sensibilisation auprès des utilisateurs
- des tests réguliers des dispositifs de sécurité mis en place, incluant des campagnes de tests d’intrusion, de social engineering par hameçonnage (phishing) des utilisateurs et des tests de gestion de crise
- une surveillance des attaques et fraudes sur le web
- des actions complémentaires spécifiques sont mises en œuvre selon les cyber-réglementations comme la Directive Network and Information Security (NIS) en Europe
- pour certains périmètres de services, des certifications incluant la cyber-sécurité ont été obtenues ou sont en cours (ISO, SOC2)
ENGIE dispose aussi d’une cyber-assurance.
Ces dispositions sont mises à jour régulièrement pour s’adapter aux nouvelles cyber-attaques.
Ci-dessous les liens vers le site d’ENGIE Insight (Etats-Unis) relative à la Sécurité et la Conformité, le site de l’Agence Nationale de la Sécurité des Systèmes d’Information ou ANSSI (France) et le site du National CyberSecurity Centre ou NCSC (Royaume-Uni) :
- Security & compliance chez Engie Insight aux USA (ex-Ecova - certification SOC2)
- Agence National CyberSecurity Centre (NCSC) au UK pour les Cyber essentials
Protection des données personnelles
Les exigences du Règlement Européen sur la Protection des Données Personnelles (EU 2016/679) viennent renforcer les obligations des entreprises traitant des données personnelles (que ce soit celles de leurs salariés, de leurs clients, de leurs partenaires, ...). Ces nouvelles obligations ont conduit ENGIE à actualiser sa politique de protection des données personnelles et à amener ses traitements à la conformité.
Règles Contraignantes d’Entreprise (BCR)
ENGIE est amené à traiter de nombreuses données à caractère personnel, notamment celles de ses collaborateurs dans le cadre de la gestion de ses ressources humaines. Conscient de la sensibilité de ces données, le Groupe s’est doté de règles contraignantes d’entreprise ou « binding corporate rules » (BCR) afin d’assurer leur protection en cas de transfert de données vers d’autres entités du Groupe se situant en dehors de l’Union Européenne. Avec ces BCR, approuvées par l’ensemble des autorités européennes de protection des données à caractère personnel, ENGIE rejoint le cercle des entreprises qui portent une attention toute particulière à la protection des données à caractère personnel.
Contacts
Pour toute question concernant la protection des données à caractère personnel, n’hésitez pas à contacter ENGIE via son portail GDPR.