Renforcer la résilience des entreprises : stratégies clés pour les environnements industriels

Les tensions géopolitiques récentes mettent en lumière les crises qui peuvent découler d’une décision économique, d’une perte d’un fournisseur clé ou d’activités dans une région basculant dans un conflit.

Par ailleurs, la numérisation des opérations ouvre la voie à de nouveaux leviers de performance, mais s’accompagne également d’une montée en puissance des risques de perturbations, notamment d’origine cyber. Ces perturbations engendrent de réels enjeux de continuité d’activité pour les entreprises du secteur industriel et manufacturier dont les pertes de production liées aux temps d’arrêt machines non planifiées sont estimées à 8% de leur chiffre d’affaires annuel.

Dans ce contexte, la résilience ne se limite pas à la capacité à gérer une crise, mais englobe également le niveau de préparation et l’agilité nécessaires pour s’adapter aux perturbations soudaines. Garantir la continuité d’activité devient une priorité stratégique pour les entreprises, alors même que la réglementation évolue pour adresser ces risques.

En effet, les systèmes industriels sont exposés à une multitude de menaces (cyber, physiques, environnementales…) qui peuvent perturber gravement les opérations avec des conséquences systémiques. L’attaque de Colonial Pipeline de 2021 en est un très bon exemple. L’opérateur du plus grand pipeline de produits raffinés des Etats-Unis a été contraint, à la suite d’un ransomware, d’interrompre toutes ses opérations pendant 5 jours, provoquant ainsi des pénuries de carburant dans tout le sud-est des Etats-Unis.

La résilience joue un rôle essentiel dans la continuité de production et livraison de services, parfois essentiels à l’économie et la société.

Une dépendance à une chaîne d’approvisionnement complexe

Les chaînes d’approvisionnement industrielles sont des écosystèmes de plus en plus complexes, mobilisant une multitude d’acteurs, répartis sur plusieurs géographies et s’appuyant sur des technologies hétérogènes.

Cette diversité de partenaires rend les systèmes plus vulnérables et démultiplie les risques de perturbation sur l’ensemble de la chaîne de valeur : risque de surdépendance (« vendor lock-in ») vis-à-vis de certains prestataires, risque d’un effet rebond d’une défaillance d’un prestataire, risque lié à l’augmentation des points d’entrée vers le système d’information pour se connecter avec des tiers, etc.

Les réglementations telles que NIS 2 en Europe mettent par ailleurs l’accent sur la résilience de la chaîne d’approvisionnement, imposant des exigences strictes en matière de gestion des risques, de notification des incidents notamment des prestataires de services numériques à leurs clients, et de coordination entre organisations et autorités.

La numérisation des processus : un accélérateur de risques

Les infrastructures industrielles deviennent de plus en plus interconnectées et dépendantes aux technologies numériques. Ainsi, la transformation numérique des environnements et processus industriels s’est traduite par une augmentation de la surface d’attaque et de sensibilité aux pannes numériques.

De plus, la convergence entre les systèmes d’information (IT) et les systèmes industriels (OT) augmente le risque de contagion de l’un vers l’autre en cas de cyber attaque. Si cette évolution offre de nombreuses opportunités – automatisation, supervision en temps réel, maintenance prédictive –, elle expose également les infrastructures à de nouvelles menaces. Les systèmes OT, historiquement conçus pour fonctionner en silo, sont désormais connectés à des réseaux informatiques, parfois même à Internet (IoT). Cela élargit considérablement la surface d’attaque et complexifie la gestion des vulnérabilités.

« Minimum Viable Company » : Identifier les activités les plus critiques

Pour bâtir une stratégie de résilience efficace, il est indispensable de maîtriser les processus métiers critiques de l’entreprise, nécessaires à sa survie en cas de crise (Minimum Viable Company). Il est également primordial d’identifier les actifs IT et OT qui permettent la mise en œuvre de ces processus (systèmes, équipements, données, infrastructures, fournisseurs, etc.).

En particulier dans le milieu industriel, certains systèmes sont essentiels au maintien des activités de production, comme les outils APS (Advanced Planning and Scheduling) de planification avancée ou de contrôle de la production (MES – Manufacturing Exécution System, SCADA – Supervisory Control And Data Acquisition, etc.).

Cette cartographie permet de prioriser les plans de secours en fonction de la valeur et d’identifier les dépendances critiques. Elle aide également à concentrer les efforts de protection et de contournement là où les perturbations auraient le plus d’impact.

Ce travail, à faire en transverse, implique une collaboration étroite entre les directions métiers, technologiques, industrielles et résilience/sécurité. Ces différentes contributions permettent de garantir la pertinence des plans de continuité (PCA) et solutions de contournement associées, et des plans de reprise d’activité (PRA), qui doivent être adaptés aux réalités du terrain et régulièrement testés.

Cette approche de la résilience, qui pousse à analyser les processus en profondeur et à faire ressortir ce qu’il y a de plus essentiel pour l’entreprise, ouvre également la voie à l’optimisation des processus et des coûts.

L’identification des actifs et des processus critiques permettent non seulement d’améliorer l’efficacité des stratégies de résilience des entreprises, de prioriser la récupération des activités critiques, mais aussi de cibler l’allocation des ressources en concentrant les efforts financiers là où ils ont le plus grand impact pour le métier.