Gouvernance et Éthique

Gouvernance

Le décret législatif 231/01, sous le titre « Règlement sur la responsabilité administrative des personnes morales, des sociétés et des associations, y compris celles sans personnalité juridique », conformément à l’art. 11 de la Loi n° 300 du 29.9.2000, a introduit pour la première fois en Italie la responsabilité des Entités pour les délits administratifs dépendant du crime commis par des individus dans l’intérêt ou à l’avantage des entités elles-mêmes. Ainsi, une responsabilité autonome de l’entité a été introduite pour les crimes survenant dans sa propre sphère et qui s’ajoute (se distingue) de la responsabilité spécifique de l’auteur matériel de l’infraction.

Namirial S.p.a. est la société mère d’un groupe de sociétés opérant dans le secteur des technologies de l’information. La société mère est responsable des activités stratégiques, de développement, de coordination et de contrôle ainsi que de certaines activités centralisées du personnel. Les principaux instruments de gouvernance dont s’est dotée la société peuvent être résumés comme suit.

Les statuts qui, conformément aux dispositions légales en vigueur, comprennent diverses dispositions relatives à la gouvernance d’entreprise visant à assurer le bon déroulement des activités de gestion.

Un organigramme/fonction qui permet de comprendre la structure de l’entreprise, la répartition des responsabilités et l’identification des personnes à qui ces responsabilités sont confiées.

Des contrats de services interentreprises qui réglementent formellement la prestation de services entre les sociétés du groupe, en garantissant la transparence des objets des services fournis et des honoraires correspondants.

Un système de protocoles (manuels, procédures, instructions) conçu pour réglementer clairement et efficacement les processus pertinents de la société.

En outre, Namirial S.p.a. définit des directives de groupe, dans le but d’aborder et de rendre aussi homogènes que possible les méthodes de gestion de processus spécifiques au sein du groupe.

L’ensemble des outils de gouvernance adoptés par Namirial S.p.a. et les dispositions de ce modèle permettent d’identifier, pour toutes les activités, comment les décisions de l’entité sont formées et mises en œuvre (Art. 6 (2) (B) décret législatif 231/01).

Cyber Security Statement

Sécurité de l’information

Le Groupe Namirial (le « Groupe ») est l’entité organisationnelle identifiée par la société Namirial S.p.A et ses filiales détenues ou contrôlées. Filiale contrôlée (la « Filiale ») signifie toute filiale de Namirial S.p.A, dont 50% ou plus des participations en circulation sont détenues par Namirial S.p.A et ses filiales directes ou indirectes et dont la société possède, directement ou indirectement, le pouvoir de diriger ou de faire diriger la gestion ou les politiques, que ce soit par la propriété de participations avec droit de vote, par un accord ou autrement.

Pour nous, la « sécurité de l’information » consiste à s’assurer que toutes les informations et tous les systèmes d’information dont dépend le Groupe, y compris ceux liés aux données des clients, des employés et de nos partenaires commerciaux, sont protégés de manière adéquate, garantissant ainsi la sécurité des services de la société et la continuité de nos activités commerciales. Le contexte actuel, caractérisé par l‘évolution continue des cybermenaces et les réglementations plus strictes imparties par les autorités, présente plusieurs défis majeurs pour les entreprises.

Systèmes de sécurité

Nous nous engageons à garantir que le Groupe est constamment équipé de systèmes de sécurité appropriés, devenant ainsi toujours plus fiables pour nos parties prenantes.

Plus précisément, nous nous engageons à :

  • protéger les services de l’entreprise et renforcer ses normes de sécurité
  • définir des règles de sécurité internes et contrôler leur mise en œuvre
  • définir un processus solide de gestion des risques informatiques
  • assurer la mise en œuvre de mesures de sécurité pour la gestion des cybermenaces
  • sensibiliser l’ensemble des employés à cette problématique et les amener à la comprendre.

Nous avons donc développé une stratégie pour améliorer continuellement le niveau de sécurité du Groupe, dans quatre domaines clés.

4 domaines clés pour améliorer la sécurité

Business Enablement

Se préparer aux nouvelles cybermenaces affectant les nouvelles entreprises numériques et soutenir le développement des entreprises

Nouvelles cybermenaces

Soyez résilient face aux cyberattaques grâce à des capacités de prévention, de détection et de réponse appropriées

Gouvernance

Être efficace dans la gestion des processus de sécurité de l’information, dans la gestion des cyber-risques et dans la conformité réglementaire

Personnel, compétences et éducation

Prendre conscience des cyberrisques et acquérir les compétences nécessaires pour faire face aux nouveaux cyberdéfis

Programme de transformation de la cybersécurité

Le Groupe a développé un programme de cybersécurité à long terme pour répondre aux problèmes de cybersécurité analysés. Ce programme comprend des contre-mesures adaptées à des situations spécifiques. Tous les projets définis et inclus dans le programme sont régulièrement revus selon un calendrier tandis que la stratégie à long terme est revue annuellement.

Le programme de cybersécurité a été approuvé par la direction générale du groupe.

Pour renforcer la sécurité et la gestion des risques informatiques, le Conseil d’administration a mis en place un comité de pilotage spécifiquement dédié à la définition et au développement de la stratégie de sécurité du Groupe ainsi qu’à la gestion et au suivi des risques informatiques de l’entreprise. Ce comité, qui opère au niveau du groupe, est appelé Corporate Security & IT Risk Steering Committee et ses membres effectifs sont le CEO, le CFO, le CHRO, le CTO et le CISO.

Nous sommes convaincus que le facteur humain est essentiel pour protéger nos informations. En fait, nous avons mis au point un programme de sensibilisation à la cybersécurité pour tous nos employés, sous la forme de simulations périodiques d’attaques de phishing et d’une mini-série de vidéos didactiques. Tout le matériel est disponible sur des portails internes dédiés aux employés. Les épisodes concernent des domaines spécifiques de la sécurité de l’information, par exemple la sécurité des smartphones et des tablettes et l’ingénierie sociale.

Namirial S.p.A, la société du groupe qui fournit les services de confiance qualifiés et d’autres services réglementés par l’organisme de surveillance italien AgID, fournit également les services et infrastructures informatiques aux principales sociétés du groupe et est certifiée selon les normes suivantes :

  • ISO/IEC 27001:2013
  • ISO/IEC 27017:2015
  • ISO/IEC 27018:2015
  • Règlement (UE) 910/2014 eIDAS en tant que fournisseur de services de confiance qualifié
  • ETSI EN 319 401 pour le service de confiance d’identification électronique
  • Règlement (UE) 910/2014 eIDAS item 24 pour la fourniture de services de confiance de stockage de documents informatiques
  • Réglementation AgID pour la conservation à long terme des documents
  • Réglementation AgID pour SPID (système public italien pour l’identité numérique)

Les certifications de la série ISO/IEC 27k sont conçues pour mettre en œuvre les normes sectorielles liées aux services Namirial sans aucune exclusion dans la déclaration d’applicabilité ; les contrôles de sécurité reflètent ceux requis par l’ETSI 319 401 et par les directives AgID.

Nous sommes soumis à des audits annuels pour les certifications ISO/IEC et toutes les normes précédentes par Bureau Veritas et par l’organisme national de surveillance AgID depuis 2010, ainsi qu’à des audits réguliers pour le rapport financier.

La conformité à ces réglementations est assurée par le comité de pilotage des risques juridiques et de conformité de l’entreprise, formé par le directeur financier, les responsables juridiques et de conformité et l’auditeur principal.

Afin d’éviter tout conflit avec les normes et réglementations pour lesquelles la société est auditée, et en vertu des certifications détenues, Namirial ne mettra pas en œuvre sur ses services les politiques de sécurité spécifiques émises et fournies par ses clients.

De plus, en raison de la criticité des services fournis, Namirial ne partage pas les documents ou informations relatifs à ses systèmes et contrôles de sécurité pour répondre aux demandes de compléments et de clarifications concernant la sécurité des informations faites par des tiers, qu’ils soient Clients, Fournisseurs et/ou Partenaires.

A cet effet, Namirial dispose de certifications internationales et techniques qui peuvent être vérifiées sur des sites publics à valeur légale et contractuelle. En effet, la protection de la confidentialité, de l’intégrité et de la disponibilité des informations, objet des activités de Namirial, pourrait être compromise si certaines informations étaient rendues disponibles en dehors du contexte de Namirial et/ou faisaient l’objet d’une quelconque forme de publication non autorisée. Par ailleurs, certains systèmes et protections sont partiellement ou totalement intégrés dans des services soumis à des contraintes de sécurité techniques, réglementaires, contractuelles et légales ; ils ne seront donc pas divulgués à des tiers.

Namirial s’adapte en permanence à l’évolution du paysage de la cybersécurité et s’efforce de devancer les menaces qui pèsent sur nos systèmes et applications. Cependant, la sécurité des informations de nos clients et de nos employés ne peut être assurée par la technologie seule, elle nécessite des employés, des clients et des partenaires alertes, qui savent reconnaître et signaler les problèmes. Pour cette raison, nous permettons à nos clients et partenaires de soumettre les vulnérabilités et/ou les événements de sécurité qu’ils peuvent découvrir sur tout site Web ou application accessible au public, détenu, exploité ou contrôlé par Namirial, par le biais d’un programme de divulgation responsable.