Document d'Enregistrement Universel 2024

FACTEURS DE RISQUES ET CONTRÔLE INTERNE 2 FACTEURS DE RISQUES

2.1.3 RISQUES DE MENACES EXTERNES

2 – A : RISQUES DE CYBERSÉCURITÉ Dans un contexte mondial d’augmentation des cyberattaques, le Groupe ADP peut être exposé à des actes de malveillance sur ses systèmes d’information.

Criticité +++

Évolution 2024 è

Description détaillée du facteur de risque Les cyberattaques touchent l’ensemble des secteurs de l’économie. À l'instar des autres entreprises, le Groupe ADP subit un nombre d'attaques croissant, année après année, principalement via des attaques en déni de service distribué (DDOS), sur ses systèmes d'information (SI) exposés sur Internet, et des campagnes de hameçonnage visant à voler les identifiants professionnels des collaborateurs et des collaboratrices.

Effets potentiels pour le groupe u Destruction totale ou partielle du Système d’Information/vol, chiffrement ou détournement de données/paralysie des activités aéroportuaires u Perte de valeur des actifs immatériels u Dégradation de l’image/de la réputation u Amendes, non-conformité réglementaire (RGPD, réglementations cyber)

Risques interconnectés u Risques géopolitiques u Risques de sûreté et sécurité

u Risques liés à la gestion des réseaux u Risques liés à la gestion du patrimoine u Risques liés à la gestion des données u Risques liés à la sécurité aéronautique

PRINCIPAUX DISPOSITIFS DE MAÎTRISE DU RISQUE Face à la recrudescence des cyberattaques, le Groupe ADP adapte en permanence ses dispositifs techniques de sécurité, ses processus de réaction, totalement intégrés dans la gestion de crise de l'entreprise, et la sensibilisation des collaboratrices et des collaborateurs afin de limiter au maximum les impacts potentiels sur la robustesse opérationnelle et l'image du groupe. Le Groupe ADP s'appuie sur une politique de sécurité des systèmes d'information et une gouvernance dédiée qui ont vocation à être uniformisées dans l'ensemble du groupe. L’activité de cybersécurité opérationnelle comprend trois volets : un maintien en conditions de sécurité du SI, une surveillance continue des événements de sécurité et un dispositif de réaction H24 7/7 à des actes de cybermalveillance.

En préparation des Jeux Olympiques et Paralympiques (JOP), le Groupe ADP a déroulé un programme de gestion des risques spécifiques liés à un tel événement. L'absence d'impact visible des nombreuses cyberattaques subies pendant les JOP a démontré la pertinence de ce programme, dont les réalisations sont ou seront pérennisées dans le socle de sécurité d’ADP SA.

111

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2024 w AÉROPORTS DE PARIS