DOCUMENT D'ENREGISTREMENT UNIVERSEL 2023

Informations générales et éléments financiers

Identification du risque Procédures de gestion du risque
Identification du risque
  • Cyberattaques : attaques des systèmes d’information (SI).
  • Fuite d’information : déperdition ou divulgation de données.
  • Cyberespionnage : écoute ou vol de données confidentielles.

Conséquences possibles :

  • Atteinte à la réputation du Groupe.
  • Perte financière.
  • Indisponibilité des systèmes d’information.
  • Non-conformité.
 Procédures de gestion du risque

En 2023, VINCI a continué ses efforts de déploiement de sa politique générale de sécurité des systèmes d’information (SI), sous l’impulsion du référent cybersécurité au sein du comité Exécutif du Groupe. Afin d’accroître le niveau de sécurité du Groupe, un plan de transformation a été établi par le Ciso (chief information security officer) sur la période de 2022 à 2024. Ce plan, baptisé CyberShields, couvre quatre grandes thématiques :

  • la politique de sécurité, la gouvernance, les campagnes de sensibilisation à mener auprès des utilisateurs et les audits ;
  • la mise à disposition d’un socle technologique commun qui couvre la protection de la messagerie électronique, la sécurité du poste de travail, la conformité de l’Active Directory, la gestion des vulnérabilités et celle des identités et des accès ;
  • les services, avec une approche « Cyber as a Service » qui vise à mutualiser certains investissements. C’était déjà le cas du Cert (computer emergency response team), créé en 2019, et qui délivre des informations de sécurité à l’ensemble des pôles d’activité du Groupe. Ce dispositif a été complété il y a un an par un SOC (security operation center) externalisé ;
  • l’automatisation de la détection des attaques afin de bénéficier des progrès des algorithmes avancés, ainsi que de l’intelligence artificielle, pour améliorer l’efficacité des équipes de cybersécurité.

Les principales actions suivantes ont été menées :

  • présentations régulières par la direction des Systèmes d’information devant le comité Exécutif de l’avancement des projets qui constituent le programme de cybersécurité du Groupe ;
  • actualisation, avec les représentants de chacun des pôles, du plan pluriannuel sur la cybersécurité ;
  • déploiement de nouveaux services de l’équipe VINCI-Cert en central et dans les pôles, ayant pour objectif d’améliorer la gestion des incidents de cybersécurité. Une météo des incidents de cybersécurité en temps réel est désormais disponible pour les décideurs du Groupe ;
  • renforcement des audits et du contrôle de l’application de la politique de sécurité des SI réalisés conjointement avec la direction de l’Audit. Le responsable de ces audits reporte directement au Ciso de VINCI ;
  • actualisation du « cybersecurity radar » de VINCI, qui mesure le niveau de maturité en cybersécurité de l’ensemble des entités du Groupe ;
  • uniformisation et déploiement des mécanismes de sécurisation des postes de travail et de la gestion des identités numériques ;
  • déploiement de nombreuses actions de sensibilisation à destination de l’ensemble des collaborateurs ;
  • multiplication des campagnes de « faux phishing » auprès des collaborateurs à des fins de sensibilisation ;
  • campagne de tests d’intrusion sur les infrastructures critiques du Groupe ;
  • renforcement des dispositifs de résilience des infrastructures informatiques essentielles aux métiers du Groupe (redondance, reprise après incident) ;
  • réalisation d’exercices de simulation de cybercrises Groupe et ciblées par métier ;
  • mise en place d’un SOC externalisé actif 24/7 « follow the sun » auprès d’un partenaire externe ;
  • mise en place d’un dispositif cyberévènements en collaboration avec les équipes de VINCI Stadium, visant à sécuriser les infrastructures du groupe VINCI pendant les évènements majeurs tels que la Coupe du monde de rugby en 2023 et les Jeux Olympiques et Paralympiques en 2024.
1.3.2 Fraudes
Identification du risque Procédures de gestion du risque

Fraude : acte intentionnel d’un tiers ou d’un collaborateur visant à détourner des actifs du Groupe. Un groupe décentralisé et diversifié comme VINCI est exposé aux risques de fraude interne ou externe, notamment sur les moyens de paiement. Les tentatives de fraude visent généralement les personnes impliquées dans la chaîne de paiement aux tiers. Conséquences possibles :

  • Perte financière.
  • Atteinte à la réputation du Groupe.

Fraude : acte intentionnel d’un tiers ou d’un collaborateur visant à détourner des actifs du Groupe. Un groupe décentralisé et diversifié comme VINCI est exposé aux risques de fraude interne ou externe, notamment sur les moyens de paiement. Les tentatives de fraude visent généralement les personnes impliquées dans la chaîne de paiement aux tiers. Conséquences possibles :

  • Perte financière.
  • Atteinte à la réputation du Groupe.
Procédures de gestion du risque

La prévention de la fraude externe mobilise plusieurs services de la direction Financière, de la direction de la Sûreté et de la direction des Systèmes d’information du Groupe. Le dispositif central inclut un reporting sur une plateforme en ligne (avec un lien sur l’intranet VINCI) permettant une action immédiate des services centraux et une analyse des tentatives de fraude.

Le dispositif

de prévention des fraudes disponible sur l’intranet du Groupe comprend les instructions précisant la conduite à tenir dans les cas de suspicion de fraude, les lignes directrices concernant les moyens de paiement et les mesures de sensibilisation auprès des acteurs clés. Des informations spécifiques et des recommandations sont régulièrement diffusées aux directeurs administratifs et financiers et aux référents antifraude. La prévention de la fraude interne s’appuie, quant à elle, sur la Charte éthique et comportements de VINCI ainsi que sur des actions de sensibilisation ou de formation spécifiques. Elle est décrite dans la section E : Informations sociales, sociétales et environnementales, paragraphe 2.4 : L’éthique des affaires, pages 219 à 221. La procédure intitulée « Prévention et lutte contre la fraude VINCI SA », publiée sur l’intranet du Groupe, traite de la fraude externe et interne, et fait la synthèse des acteurs du Groupe impliqués dans la lutte contre la fraude ainsi que de l’ensemble des dispositifs mis en place pour prévenir et lutter efficacement contre la fraude.
1.4 Risques sociaux et sociétaux

Les risques sociaux et sociétaux du Groupe sont décrits et complétés dans la section E, chapitre 4 : Plan de vigilance du document d’enregistrement universel (voir page 260). Les informations disponibles dans cette section relèvent à la fois des enjeux extérieurs que les activités de VINCI font porter sur les questions sociales et sociétales, et de l’impact des enjeux sociaux et sociétaux sur le Groupe. Les entreprises du Groupe sont confrontées à des risques liés aux conditions de travail des salariés qu’elles emploient, mais aussi aux impacts significatifs sur les territoires dans lesquels elles agissent, auprès des populations et des parties prenantes concernées. Ces risques sociaux et sociétaux sont pris en compte à chaque étape des projets et analysés dès l’amont afin d’identifier les enjeux locaux et les attentes des parties prenantes, notamment des salariés et de leurs représentants. L’analyse des risques s’accompagne de la mise en place de mesures adaptées. Des analyses régulières sont menées tout au long de la vie d’un projet.