Les activités de paiement à usages spécifiques du Groupe sont, par nature, éloignées des risques de blanchiment d’argent et de financement du terrorisme. Pour autant, certaines de ses solutions pourraient être détournées à des fins de blanchiment d’argent ou, dans une moindre mesure, de financement d’organisations ou d’actions terroristes. Dans un contexte d’accélération de la digitalisation de ses solutions, le renforcement croissant des obligations de vigilance, applicables aux activités de services de paiement réglementés, se traduit par un renforcement des moyens mobilisés.

Dans certains pays, notamment en Amérique latine, des filiales sont soumises au respect de réglementations relatives à la lutte contre le crime organisé, le blanchiment de capitaux et/ou le financement du terrorisme. C’est également le cas des quatre filiales disposant de l’agrément d’établissements de monnaie électronique en Europe, dont une filiale au Royaume-Uni, et des activités du Groupe qui relèvent des régimes de la monnaie électronique et des services de paiements.

 

Gestion du risque

La Direction des Affaires juridiques et réglementaires a défini et communiqué à l’ensemble des Directions générales des filiales du Groupe un dispositif de lutte contre la corruption. Ce dispositif repose sur une cartographie des risques de corruption, un Code de conduite anti-corruption, des politiques, procédures, formations et autres outils visant à maîtriser les risques identifiés, des dispositifs d’alerte interne. Les mesures engagées ont permis en 2020 de renforcer le dispositif existant au regard des recommandations de l’Agence Française Anti-Corruption (AFA).

Anticipant la transposition de la directive (UE) 2019/1937 sur la protection des lanceurs d’alerte, le Groupe a mis à jour début 2021 sa Charte éthique et étendu le nouveau dispositif d’alertes internes à l’ensemble des pratiques contraires aux prescriptions de cette dernière. À fin 2021, plus de 85% des collaborateurs avaient suivi la formation anticorruption.

La Direction de la Conformité du Groupe accompagne les filiales dans la gestion de l’enjeu de conformité avec les lois et réglementations relatives à la lutte contre le crime organisé, le blanchiment de capitaux et/ou le financement du terrorisme.

Les quatre établissements de monnaie électronique européens ont notamment revu et modifié leurs politiques de lutte contre le blanchiment de capitaux et le financement du terrorisme, suite à l’entrée en vigueur de lois et réglementations transposant la directive (UE) 2018/1673, laquelle modifie les contraintes applicables au sein de l’Union Européenne.

Ces mesures ont été renforcées en 2021 par le lancement d’une formation à destination de l’ensemble des salariés du Groupe sur les risques liés à des mécanismes de blanchiment d’argent et/ou de financement du terrorisme. À fin 2021, plus de 75% des collaborateurs avaient suivi la formation anti-blanchiment.

 

4.1.3 Risques liés à la cybercriminalité et aux systèmes d’information

4.1.3.1 Risques liés à la cybercriminalité

Identification du risque

Dans le cadre de son activité, le groupe Edenred et/ou ses prestataires utilisent un certain nombre d’outils informatiques et de systèmes d’information, en particulier pour la gestion de ses supports dématérialisés et pour son activité de gestion de programmes prépayés, notamment dans ses activités de paiement. Dans le contexte actuel de croissance de la cybercriminalité, le Groupe est donc plus exposé au risque de cyberattaques à son encontre, lesquelles pourraient affecter la disponibilité, l’intégrité ou la confidentialité de données confidentielles ou sensibles pour Edenred ou ses clients.

 

Gestion du risque

La Direction de la Sécurité et de la Conformité des systèmes d’information d’Edenred a initié en 2019 une réorganisation de ses équipes de cybersécurité Groupe afin de répondre plus efficacement aux risques liés à la cybercriminalité (voir également la section 5.4.2.1 « Enjeu prioritaire : sécurité informatique »).

De plus, les analyses et retours d’expériences de l’attaque du 21 novembre 2019 ont été pris en compte par Edenred afin de renforcer sa protection contre de potentielles attaques informatiques ainsi que sa résilience face à ces potentielles attaques.

En parallèle, le Groupe réalise des audits internes ou externes dédiés à ses sites et infrastructures informatiques sensibles afin d’en contrôler notamment la sécurité et d’en améliorer la qualité si nécessaire.

 

Mesures techniques de sécurité des données et de détection des menaces

Les mesures de sécurité mises en œuvre par le groupe Edenred afin de prévenir les incidents de sécurité sont, à titre principal, la gestion des droits d’accès, la traçabilité des accès, la surveillance du réseau externe (internet et darknets), les audits externes des services sensibles, le déploiement d’antivirus sur les postes de travail et les serveurs, la sécurisation des accès entrant et sortant de l’entreprise (pare-feu, proxy, WAF, VPN) et le chiffrement des disques durs des postes de travail.

 

Mise en œuvre d’un nouveau programme de cybersécurité

Le groupe Edenred a initié en 2020 un programme de cybersécurité au sein de la Direction de la Sécurité et de la Conformité des Systèmes d’information du groupe Edenred. Ce programme vise à suivre et améliorer toujours plus le degré de cybersécurité au niveau des filiales et du Groupe vis-à-vis des standards de sécurité internationaux.

Dans le cadre de ce programme de cybersécurité, seront notamment adressés les sujets de gouvernance, de security by design, de sensibilisation à la cybersécurité, de gestion des vulnérabilités et des correctifs, de sécurité des infrastructures et applications informatiques, de gestion des accès et des identités, de gestion des incidents de cybersécurité et de résilience des systèmes informatiques critiques.