L’intégrité, la fiabilité et la sécurité de l’information sous toutes ses formes sont essentielles aux activités quotidiennes de notre entreprise. Des renseignements inexacts, incomplets ou indisponibles, des intrusions externes dans les systèmes d’information ou un accès non autorisé aux informations peuvent perturber nos activités et avoir des répercussions tant financières que sur notre réputation. Nos clients nous confient leurs renseignements personnels afin que nous puissions répondre à leurs besoins dans différents secteurs de nos activités, y compris nos pharmacies, nos plateformes de commerce électronique, notre programme de fidélisation et plus encore. Nous avons également l’obligation de protéger les renseignements qui nous sont confiés par nos employés.
Faits saillants de la performance pour l’exercice 2023
97 % des employés de bureau de l’entreprise ont suivi la formation supplémentaire sur l’hameçonnage à l’exercice 2023.
93 % des employés de bureau de l’entreprise ont suivi la formation sur les principes fondamentaux de la sensibilisation à la sécurité à l’exercice 2023.
Notre approche
Notre stratégie d’affaires (voir À propos de nous) est mise en œuvre grâce à un ambitieux programme de transformation numérique.
En raison de l’augmentation des investissements dans les outils numériques et de l’utilisation qui en est faite, nous faisons également face à un risque accru de cyberattaque. C’est pourquoi, au cours de l’exercice 2023, nous avons continué de mettre à jour et d’accélérer notre feuille de route triennale sur la cybersécurité pour nous assurer de suivre l’évolution de nos initiatives commerciales et des menaces externes. Nous prévoyons obtenir une certification ISO27K en gestion de la sécurité de l’information d’ici 2025. Notre approche en matière de cybersécurité repose sur la mise en place de nombreuses couches de protection pour les appareils, les transactions, les données et le personnel, ainsi que sur une surveillance rigoureuse en permanence.
Nous exploitons des systèmes de technologie de l’information complets et complexes qui sont essentiels au bon fonctionnement de nos stratégies commerciales. Nos systèmes comprennent des solutions avancées de détection et réponse aux terminaux, de protection et de surveillance, de contrôles de sécurité de l’infonuagique, de recherche de menaces, de renseignements sur les menaces, de gestion des vulnérabilités et de surveillance en tout temps. De plus, tous les projets font l’objet d’évaluations des risques de sécurité, comme une évaluation des risques liés aux menaces, une évaluation des risques liés aux fournisseurs et une évaluation des répercussions sur la conformité. Nous veillons à faire preuve de diligence raisonnable dans l’évaluation de tout partenaire fournisseur essentiel nouveau ou existant.
Nous accordons une grande importance à la sensibilisation et à la formation des employés ainsi qu’aux politiques régissant l’utilisation acceptable des appareils et des actifs de l’entreprise. Notre programme de sensibilisation et de formation des employés en cybersécurité fournit aux membres de notre équipe les connaissances dont ils ont besoin pour prendre des décisions éclairées afin de protéger notre entreprise contre les cybermenaces. Nous offrons de la formation par l’entremise de notre système de gestion de l’apprentissage et de campagnes d’hameçonnage ciblées mensuelles, de modules de formation obligatoire, de communications régulières avec les employés sur des sujets pertinents liés à la cybersécurité et de l’affichage numérique.
Notre politique de confidentialité est accessible au public sur nos sites Web. Tout cela fait partie de notre plan pour protéger notre entreprise et notre clientèle.
Cyberincident de 2022
Le 7 novembre 2022, nous avons informé nos parties prenantes, par voie de communiqué de presse, que l’entreprise avait été touchée par un important problème de réseau. Nous avons mobilisé des équipes mondiales de cybersécurité pour mener une enquête et signalé l’incident aux autorités et aux organismes de réglementation pertinents. À la suite de cette démarche, nous avons confirmé publiquement le 15 décembre 2022 que l’entreprise avait été touchée par un événement de cybersécurité. Le processus visant à déterminer les données touchées était extrêmement complexe et, en mars 2023, les personnes susceptibles d’être touchées ont été avisées. Nous avons fait preuve d’un excès de prudence, conformément à nos obligations réglementaires. Nous avons notamment indiqué n’avoir aucune preuve que des renseignements personnels ont été consultés ou extraits de nos serveurs, que nous accordons une grande importance à la transparence, et que nous regrettons que cet événement se soit produit. La cybersécurité a toujours été au cœur de nos priorités. Il en va de même pour la protection des renseignements personnels.