Document d'enregistrement universel 2024

Identification du risque	Procédures de gestion du risque
Identification du risque Dans le domaine des concessions, outre les changements de dispositions législatives, réglementaires ou fiscales toujours possibles sur les durées longues de ces contrats, le Groupe se trouve dans une situation de dépendance à l’égard des autorités concédantes, qui peuvent disposer du pouvoir de modifier unilatéralement les termes et conditions des contrats en cours d’exécution (contrats de délégation de service public, de partenariat public-privé ou de concession), voire de résilier ces contrats moyennant une compensation. Dans le cadre de leurs activités, les sociétés du Groupe sont susceptibles d’engager leur responsabilité civile contractuelle, délictuelle ou pénale, et ainsi de devoir en assumer les conséquences pécuniaires ou administratives. Par ailleurs, la responsabilité pénale des dirigeants ou des collaborateurs du Groupe peut être mise en cause. Une large part des risques de non-conformité est ainsi susceptible de peser sur les dirigeants mandataires sociaux et les collaborateurs détenant une délégation de responsabilité, mais également sur les personnes morales. Les conséquences peuvent être financières (amendes) ou pénales (condamnation et/ou interdiction de soumissionner).	Procédures de gestion du risque La capacité du Groupe à s’adapter à l’évolution des marchés sur lesquels il opère et aux nouvelles réglementations ainsi que la veille normative qu’il effectue lui permettent un contrôle significatif des risques de conformité législative et réglementaire. Les risques financiers afférents à la mise en jeu éventuelle de la responsabilité civile des sociétés du Groupe sont couverts dans certaines limites par des polices d’assurance décrites au paragraphe 2.5 : Couverture des risques par les assurances, pages 186-187.

Identification du risque

Procédures de gestion du risque

Dans le domaine des concessions, outre les changements de dispositions législatives, réglementaires ou fiscales toujours possibles sur les durées longues de ces contrats, le Groupe se trouve dans une situation de dépendance à l’égard des autorités concédantes, qui peuvent disposer du pouvoir de modifier unilatéralement les termes et conditions des contrats en cours d’exécution (contrats de délégation de service public, de partenariat public-privé ou de concession), voire de résilier ces contrats moyennant une compensation.

Dans le cadre de leurs activités, les sociétés du Groupe sont susceptibles d’engager leur responsabilité civile contractuelle, délictuelle ou pénale, et ainsi de devoir en assumer les conséquences pécuniaires ou administratives. Par ailleurs, la responsabilité pénale des dirigeants ou des collaborateurs du Groupe peut être mise en cause.

Une large part des risques de non-conformité est ainsi susceptible de peser sur les dirigeants mandataires sociaux et les collaborateurs détenant une délégation de responsabilité, mais également sur les personnes morales. Les conséquences peuvent être financières (amendes) ou pénales (condamnation et/ou interdiction de soumissionner).

La capacité du Groupe à s’adapter à l’évolution des marchés sur lesquels il opère et aux nouvelles réglementations ainsi que la veille normative qu’il effectue lui permettent un contrôle significatif des risques de conformité législative et réglementaire.

Les risques financiers afférents à la mise en jeu éventuelle de la responsabilité civile des sociétés du Groupe sont couverts dans certaines limites par des polices d’assurance décrites au paragraphe 2.5 : Couverture des risques par les assurances, pages 186-187.

1.3 Cyberrisques

La protection du capital informationnel de VINCI constitue un enjeu stratégique pour le Groupe, particulièrement à l’heure où tous ses métiers se digitalisent. Les cyberrisques, accrus dans un monde où l’intelligence artificielle se développe très rapidement et sans garde-fous, constituent une préoccupation permanente pour le Groupe. Celui-ci travaille en continu sur le renforcement de la sécurité de ses systèmes d’information et la sensibilisation de l’ensemble de ses salariés.

1.3.1 Cyberattaques

Les nouvelles pratiques collaboratives permettent de travailler au bureau, sur site ou à distance de manière fluide et efficace. Dans un monde hyperconnecté, elles sont devenues une source de vulnérabilité. Les systèmes d’information, essentiels à l’efficacité opérationnelle du Groupe, sont en effet exposés aux cyberattaques, lesquelles peuvent revêtir des formes très diverses et de plus en plus sophistiquées.

Identification du risque	Procédures de gestion du risque
Identification du risque Cyberattaques : attaques des systèmes d’information (SI). Fuite d’information : déperdition ou divulgation de données. Cyberespionnage : écoute ou vol de données confidentielles. Conséquences possibles : Atteinte à la réputation du Groupe. Perturbation ou arrêt de l’activité de l’entité cible de l’attaque. Perte financière. Indisponibilité des systèmes d’information. Non-conformité.	Procédures de gestion du risque En 2024, VINCI a continué ses efforts de déploiement de sa politique générale de sécurité des systèmes d’information (SI), sous l’impulsion du référent cybersécurité au sein du comité Exécutif du Groupe. Afin d’accroître le niveau de sécurité du Groupe, le plan de transformation établi par la direction des Systèmes d’information (DSI) du Groupe pour la période courant de 2022 à 2024 a été finalisé. Le nouveau plan 2025-2027 s’inscrit dans la continuité du programme précédent et prend en compte l’évolution des menaces et des risques. Ce plan, baptisé VINCI CyberShields, couvre quatre grandes thématiques : a politique de sécurité, la gouvernance, les campagnes de sensibilisation à mener auprès des utilisateurs et les audits ; la mise à disposition d’un socle technologique commun qui couvre la protection de la messagerie électronique, la sécurité du poste de travail, la conformité de l’ Active Directory, la gestion des vulnérabilités et celle des identités et des accès ; les services, avec une approche « Cyber as a Service » qui vise à mutualiser certains investissements, notamment autour des activités du CERT (computer emergency response team), qui délivre des informations de sécurité à l’ensemble des filiales du Groupe et une assistance en cas d’incident de sécurité. Ce dispositif a été complété il y a deux ans par un SOC (security operation center) ayant pour rôle de détecter au plus tôt les incidents de sécurité et d’exécuter des actions de mise en sécurité ; l’automatisation de la détection et du traitement des incidents afin de bénéficier des progrès des algorithmes avancés, ainsi que de l’intelligence artificielle, pour améliorer l’efficacité des dispositifs de cybersécurité. Les principales actions suivantes ont été menées : présentations régulières par la DSI devant le comité Exécutif de l’avancement des projets qui constituent le programme de cybersécurité du Groupe ; actualisation du plan pluriannuel VINCI CyberShields publication d’une nouvelle directive cybersécurité traitant des enjeux de l’intelligence artificielle générative ; continuité des audits et du contrôle de l’application de la politique de sécurité des SI réalisés conjointement avec la direction de l’Audit. Le responsable de ces audits reporte directement au CISO (Chief Information Security Officer) de VINCI ; actualisation annuelle du « cybersecurity radar » de VINCI, qui mesure le niveau de maturité en cybersécurité de l’ensemble des entités du Groupe ; uniformisation et déploiement des mécanismes de sécurisation des postes de travail et de la gestion des identités numériques ; déploiement de nombreuses actions de sensibilisation à destination de l’ensemble des collaborateurs, notamment des campagnes de « faux phishing », un « cyberpassport » (module d’e-learning) obligatoire pour tous les utilisateurs des SI et une semaine évènementielle de la cybersécurité de VINCI dédiée au partage de bonnes pratiques de cybersécurité ; campagne de tests d’intrusion sur les infrastructures critiques du Groupe ; renforcement des dispositifs de résilience des infrastructures informatiques essentielles aux métiers du Groupe (redondance, reprise après incident) ; réalisation d’exercices de simulation de cybercrises (exercices techniques et managériaux ciblés par métier).

Identification du risque

Procédures de gestion du risque

Cyberattaques : attaques des systèmes d’information (SI).
Fuite d’information : déperdition ou divulgation de données.
Cyberespionnage : écoute ou vol de données confidentielles.

Conséquences possibles :

Atteinte à la réputation du Groupe.
Perturbation ou arrêt de l’activité de l’entité cible de l’attaque.
Perte financière.
Indisponibilité des systèmes d’information.
Non-conformité.

En 2024, VINCI a continué ses efforts de déploiement de sa politique générale de sécurité des systèmes d’information (SI), sous l’impulsion du référent cybersécurité au sein du comité Exécutif du Groupe.

Afin d’accroître le niveau de sécurité du Groupe, le plan de transformation établi par la direction des Systèmes d’information (DSI) du Groupe pour la période courant de 2022 à 2024 a été finalisé. Le nouveau plan 2025-2027 s’inscrit dans la continuité du programme précédent et prend en compte l’évolution des menaces et des risques.

Ce plan, baptisé VINCI CyberShields, couvre quatre grandes thématiques :

a politique de sécurité, la gouvernance, les campagnes de sensibilisation à mener auprès des utilisateurs et les audits ;
la mise à disposition d’un socle technologique commun qui couvre la protection de la messagerie électronique, la sécurité du poste de travail, la conformité de l’ Active Directory, la gestion des vulnérabilités et celle des identités et des accès ;
les services, avec une approche « Cyber as a Service » qui vise à mutualiser certains investissements, notamment autour des activités du CERT (computer emergency response team), qui délivre des informations de sécurité à l’ensemble des filiales du Groupe et une assistance en cas d’incident de sécurité. Ce dispositif a été complété il y a deux ans par un SOC (security operation center) ayant pour rôle de détecter au plus tôt les incidents de sécurité et d’exécuter des actions de mise en sécurité ;
l’automatisation de la détection et du traitement des incidents afin de bénéficier des progrès des algorithmes avancés, ainsi que de l’intelligence artificielle, pour améliorer l’efficacité des dispositifs de cybersécurité.

Les principales actions suivantes ont été menées :

présentations régulières par la DSI devant le comité Exécutif de l’avancement des projets qui constituent le programme de cybersécurité du Groupe ;
actualisation du plan pluriannuel VINCI CyberShields
publication d’une nouvelle directive cybersécurité traitant des enjeux de l’intelligence artificielle générative ;
continuité des audits et du contrôle de l’application de la politique de sécurité des SI réalisés conjointement avec la direction de l’Audit. Le responsable de ces audits reporte directement au CISO (Chief Information Security Officer) de VINCI ;
actualisation annuelle du « cybersecurity radar » de VINCI, qui mesure le niveau de maturité en cybersécurité de l’ensemble des entités du Groupe ;
uniformisation et déploiement des mécanismes de sécurisation des postes de travail et de la gestion des identités numériques ;
déploiement de nombreuses actions de sensibilisation à destination de l’ensemble des collaborateurs, notamment des campagnes de « faux phishing », un « cyberpassport » (module d’e-learning) obligatoire pour tous les utilisateurs des SI et une semaine évènementielle de la cybersécurité de VINCI dédiée au partage de bonnes pratiques de cybersécurité ;
campagne de tests d’intrusion sur les infrastructures critiques du Groupe ;
renforcement des dispositifs de résilience des infrastructures informatiques essentielles aux métiers du Groupe (redondance, reprise après incident) ;
réalisation d’exercices de simulation de cybercrises (exercices techniques et managériaux ciblés par métier).

Document d'enregistrement universel 2024

Informations générales et éléments financiers

1.3 Cyberrisques

1.3.1 Cyberattaques