Document d'Enregistrement Universel - Exercice 2025

EXÉCUTION DES CONTRATS CLIENTS, Y COMPRIS LA GESTION DE L’INFLATION	Niveau de risque : elevé
EXÉCUTION DES CONTRATS CLIENTS, Y COMPRIS LA GESTION DE L’INFLATION Risques relatifs à l’exécution d’un contrat client : mauvaise qualité de prestation de services, non-respect des obligations contractuelles et de performance, livraison de services supplémentaires non définis dans le contrat, mauvaise gestion des coûts des denrées alimentaires et de main-d’œuvre, incapacité à répercuter l’inflation.
EXÉCUTION DES CONTRATS CLIENTS, Y COMPRIS LA GESTION DE L’INFLATION Catégorie : Opérations
EXÉCUTION DES CONTRATS CLIENTS, Y COMPRIS LA GESTION DE L’INFLATION Impact Une mauvaise prestation de services aux clients ou le non-respect des obligations contractuelles pourrait donner lieu à une insatisfaction du client, à des pénalités contractuelles et éventuellement à la perte du contrat. La réalisation de services supplémentaires non prévus par le contrat et sans facturation associée pourrait entraîner un manque à gagner en termes de revenus et une perte de rentabilité. Une mauvaise gestion des coûts des denrées alimentaires et de main-d’œuvre pourrait entraîner une moindre rentabilité du contrat. L’inflation alimentaire continue de faire l’objet d’un suivi attentif. Si Sodexo n’est pas en mesure de répercuter l’inflation sur les clients via des clauses d’indexation, ou n'y parvient pas assez rapidement, cela pourrait entraîner une perte de rentabilité des contrats.	Niveau de risque : elevé Exemples de mesures de réduction du risque Définition de standards opérationnels et de bonnes pratiques qui sont partagés pour soutenir la performance (par exemple Innov’Challenge et Innovhub). Outils comme le Site Management System qui garantit la formation des collaborateurs dans de bonnes conditions et la réalisation des inspections qualité. Utilisation des systèmes de gestion des effectifs pour optimiser la planification du personnel. Processus de révision des prix robuste pour gérer l’inflation contractuelle avec nos clients. Gestion active des achats pour limiter l’inflation des coûts par rapport aux indices de marché. Plans actifs d’atténuation opérationnelle dans tous les pays : amélioration de la planification des ressources humaines, refonte des menus, réduction des déchets alimentaires. Suivi rigoureux des contrats sous-performants.

EXÉCUTION DES CONTRATS CLIENTS, Y COMPRIS LA GESTION DE L’INFLATION

Niveau de risque : elevé

Risques relatifs à l’exécution d’un contrat client : mauvaise qualité de prestation de services, non-respect des obligations contractuelles et de performance, livraison de services supplémentaires non définis dans le contrat, mauvaise gestion des coûts des denrées alimentaires et de main-d’œuvre, incapacité à répercuter l’inflation.

Catégorie : Opérations

Impact

Une mauvaise prestation de services aux clients ou le non-respect des obligations contractuelles pourrait donner lieu à une insatisfaction du client, à des pénalités contractuelles et éventuellement à la perte du contrat.

La réalisation de services supplémentaires non prévus par le contrat et sans facturation associée pourrait entraîner un manque à gagner en termes de revenus et une perte de rentabilité.

Une mauvaise gestion des coûts des denrées alimentaires et de main-d’œuvre pourrait entraîner une moindre rentabilité du contrat.

L’inflation alimentaire continue de faire l’objet d’un suivi attentif. Si Sodexo n’est pas en mesure de répercuter l’inflation sur les clients via des clauses d’indexation, ou n'y parvient pas assez rapidement, cela pourrait entraîner une perte de rentabilité des contrats.

Exemples de mesures de réduction du risque

Définition de standards opérationnels et de bonnes pratiques qui sont partagés pour soutenir la performance (par exemple Innov’Challenge et Innovhub).
Outils comme le Site Management System qui garantit la formation des collaborateurs dans de bonnes conditions et la réalisation des inspections qualité.
Utilisation des systèmes de gestion des effectifs pour optimiser la planification du personnel.
Processus de révision des prix robuste pour gérer l’inflation contractuelle avec nos clients.
Gestion active des achats pour limiter l’inflation des coûts par rapport aux indices de marché.
Plans actifs d’atténuation opérationnelle dans tous les pays : amélioration de la planification des ressources humaines, refonte des menus, réduction des déchets alimentaires.
Suivi rigoureux des contrats sous-performants.

Télécharger le tableau

TECHNOLOGIES ET SÉCURITÉ INFORMATIQUE	Niveau de risque : moyen
TECHNOLOGIES ET SÉCURITÉ INFORMATIQUE Risques liés à la gestion des données de Sodexo ainsi que celles des clients et consommateurs, au maintien de la confidentialité, de la disponibilité et de l’intégrité des actifs informationnels, à la supervision des systèmes cloud et des fournisseurs tiers, à la défense contre les cybermenaces externes, ainsi qu'à la prise en compte des nouveaux risques liés à l’adoption des technologies d’intelligence artificielle.
TECHNOLOGIES ET SÉCURITÉ INFORMATIQUE Catégorie : Opérations
TECHNOLOGIES ET SÉCURITÉ INFORMATIQUE Impact Les systèmes d'information de Sodexo traitent les données de 426 000 collaborateurs de Sodexo et de 80 millions de consommateurs au sein de l’activité de services de Restauration. Par ailleurs, avec le besoin croissant de disposer de données fiables accessibles à tout moment et en tout lieu, les systèmes technologiques, numériques et de données de Sodexo sont de plus en plus complexes et interconnectés. Sodexo peut également être la cible de cybermenaces externes, telles que le phishing et les attaques de logiciels malveillants, susceptibles de perturber des systèmes clés ou l’infrastructure sous-jacente, avec un impact potentiel sur sa capacité à fournir des services aux clients. Dans cet environnement exigeant, toute atteinte à la sécurité informatique comme une faible intégrité des données, des pertes de données confidentielles, l’indisponibilité de systèmes clés, ou des services de collaboration, peuvent entraîner des conséquences en termes de coûts élevés et/ou un grand impact comme : des perturbations opérationnelles ; des pénalités contractuelles ; des amendes réglementaires ; l'atteinte à la réputation auprès des actionnaires, des clients, des consommateurs, des fournisseurs et des collaborateurs de Sodexo.	Niveau de risque : moyen Exemples de mesures de réduction du risque Politiques du Groupe de sécurité de l'information et de cybersécurité alignées sur le cadre ISO 27001, soutenues par des directives de sécurité détaillées couvrant des domaines critiques tels que les services cloud et la gestion des incidents. Investissements continus dans l'infrastructure, les outils et les services de sécurité avancés — incluant l’authentification multifacteur, la détection et réponse aux points de terminaison, le chiffrement des appareils, les solutions anti-programmes malveillants, le déploiement d'un proxy global et de passerelles de messagerie sécurisées, renforçant ainsi les défenses contre les cybermenaces. Surveillance continue des événements et incidents de sécurité via un Centre des opérations de sécurité dédié, permettant une détection et une réponse rapides. Gestion proactive des vulnérabilités et remédiation, soutenue par un Centre des opérations de vulnérabilités pour identifier et traiter les faiblesses de sécurité. La sécurité des applications est assurée par des activités régulières de scannage et de remédiation, incluant les tests de sécurité applicative statique et l’analyse de la composition logicielle. Processus mondial de gestion et de réponse aux incidents de cybersécurité qui garantit une prise en charge coordonnée et efficace des incidents de sécurité. Stratégie globale cloud qui privilégie une prestation de services sécurisée grâce à une collaboration avec des partenaires de confiance et une supervision rigoureuse. Formation complète de sensibilisation à la sécurité pour tous les utilisateurs, s’appuyant sur des exercices de simulation de phishing, des modules de formation formels, des supports visuels et un apprentissage ludique afin de favoriser une culture forte de la sécurité. Collaboration à l’échelle de l’organisation sur la sécurité et la conformité, incluant la protection des données, les menaces cyber, les technologies émergentes et les contrôles internes IT, facilitée par des comités de gouvernance formels et des réseaux inter-entité.

TECHNOLOGIES ET SÉCURITÉ INFORMATIQUE

Niveau de risque : moyen

Risques liés à la gestion des données de Sodexo ainsi que celles des clients et consommateurs, au maintien de la confidentialité, de la disponibilité et de l’intégrité des actifs informationnels, à la supervision des systèmes cloud et des fournisseurs tiers, à la défense contre les cybermenaces externes, ainsi qu'à la prise en compte des nouveaux risques liés à l’adoption des technologies d’intelligence artificielle.

Catégorie : Opérations

Impact

Les systèmes d'information de Sodexo traitent les données de 426 000 collaborateurs de Sodexo et de 80 millions de consommateurs au sein de l’activité de services de Restauration. Par ailleurs, avec le besoin croissant de disposer de données fiables accessibles à tout moment et en tout lieu, les systèmes technologiques, numériques et de données de Sodexo sont de plus en plus complexes et interconnectés.

Sodexo peut également être la cible de cybermenaces externes, telles que le phishing et les attaques de logiciels malveillants, susceptibles de perturber des systèmes clés ou l’infrastructure sous-jacente, avec un impact potentiel sur sa capacité à fournir des services aux clients.

Dans cet environnement exigeant, toute atteinte à la sécurité informatique comme une faible intégrité des données, des pertes de données confidentielles, l’indisponibilité de systèmes clés, ou des services de collaboration, peuvent entraîner des conséquences en termes de coûts élevés et/ou un grand impact comme :

des perturbations opérationnelles ;
des pénalités contractuelles ;
des amendes réglementaires ;
l'atteinte à la réputation auprès des actionnaires, des clients, des consommateurs, des fournisseurs et des collaborateurs de Sodexo.

Exemples de mesures de réduction du risque

Politiques du Groupe de sécurité de l'information et de cybersécurité alignées sur le cadre ISO 27001, soutenues par des directives de sécurité détaillées couvrant des domaines critiques tels que les services cloud et la gestion des incidents.
Investissements continus dans l'infrastructure, les outils et les services de sécurité avancés — incluant l’authentification multifacteur, la détection et réponse aux points de terminaison, le chiffrement des appareils, les solutions anti-programmes malveillants, le déploiement d'un proxy global et de passerelles de messagerie sécurisées, renforçant ainsi les défenses contre les cybermenaces.
Surveillance continue des événements et incidents de sécurité via un Centre des opérations de sécurité dédié, permettant une détection et une réponse rapides.
Gestion proactive des vulnérabilités et remédiation, soutenue par un Centre des opérations de vulnérabilités pour identifier et traiter les faiblesses de sécurité.
La sécurité des applications est assurée par des activités régulières de scannage et de remédiation, incluant les tests de sécurité applicative statique et l’analyse de la composition logicielle.
Processus mondial de gestion et de réponse aux incidents de cybersécurité qui garantit une prise en charge coordonnée et efficace des incidents de sécurité.
Stratégie globale cloud qui privilégie une prestation de services sécurisée grâce à une collaboration avec des partenaires de confiance et une supervision rigoureuse.
Formation complète de sensibilisation à la sécurité pour tous les utilisateurs, s’appuyant sur des exercices de simulation de phishing, des modules de formation formels, des supports visuels et un apprentissage ludique afin de favoriser une culture forte de la sécurité.
Collaboration à l’échelle de l’organisation sur la sécurité et la conformité, incluant la protection des données, les menaces cyber, les technologies émergentes et les contrôles internes IT, facilitée par des comités de gouvernance formels et des réseaux inter-entité.

Télécharger le tableau

Document d'Enregistrement Universel - Exercice 2025

6. Gestion des risques