La gestion de risques de tiers (sous-traitants, fournisseurs…) est de plus en plus cruciale pour éviter des situations de crise dans les secteurs de l’énergie et des services publics. Livre blanc NTT DATA.
- Le livre blanc est accessible en fin d’article
Communiqué – NTT DATA, leader mondial des services numériques et informatiques, publie un livre blanc sur l’importance croissante de la gestion des risques liés aux tiers dans les secteurs de l’énergie et des services publics (E&U).
Les secteurs E&U – autrement dit le secteur de l’énergie et les sociétés de services publics actives dans la production, le trading, la distribution et la commercialisation d’électricité et de gaz, ainsi que dans le traitement de l’eau – ont connu ces dernières années une digitalisation rapide et des avancées technologiques importantes qui ont permis d’améliorer la production, de réduire les coûts et de répondre aux nouveau besoins des consommateurs. On parle ici de réseaux intelligents, de sources d’énergie renouvelables, de jumeaux numériques, d’Internet industriel des objets (IIoT), etc.
L’adoption de ces technologies a cependant son revers : les secteurs E&U sont devenus bien plus dépendants de leurs fournisseurs de technologie qu’auparavant et sont dès lors exposés à des risques provenant de leurs partenaires externes.
L’interconnectivité et l’interdépendance croissantes des systèmes, tant au sein de l’entreprise qu’à l’extérieur, augmentent les risques de violations de données, de cyberattaques et de défaillances technologiques. Sans oublier les risques géopolitiques lorsque les fournisseurs sont établis dans des régions critiques, ainsi que les risques financiers lorsque les fournisseurs sont eux-mêmes en difficulté financière ou ne sont pas en mesure d’assurer les services et livraisons prévus.
Plus de régulation en matière de gestion des risques
Les exigences réglementaires et les normes de conformité évoluent en permanence (exigences renforcées en matière de cybersécurité et de sécurité de la chaîne d’approvisionnement, réglementations environnementales plus strictes…). En conséquence, les entreprises doivent s’assurer que leurs partenaires externes respectent les réglementations en vigueur. Faute de quoi elles s’exposent à des amendes, à une atteinte à leur réputation, voire à des arrêts de production ou d’activité.
Ainsi, la directive européenne NIS2 (Network and Information Security, adoptée en janvier 2023 et à intégrer en droit national avant octobre 2024), obligera des milliers d’entreprises de services « essentiels » – notamment dans les secteurs E&U – à renforcer leurs normes en matière de sécurité informatique. Signalement des incidents de sécurité, gestion des risques cyber, tests et audits de sécurité, sécurité de la supply chain, autant de points d’attention à ne pas négliger sous peine d’astreintes ou d’amende jusqu’à 10 millions d’euros (ou 2% du chiffre d’affaires mondial si ce montant est plus élevé).
Se donner les moyens de gérer les risques
Pour s’assurer que leurs fournisseurs, sous-traitants et autres partenaires respectent leurs normes de sécurité, de conformité, de durabilité, de stabilité financière, etc., les organisations s’appuient souvent sur des feuilles de calcul. Une approche qui consomme beaucoup de temps (car elle implique la collecte, l’analyse et la mise à jour de grandes quantités de données provenant de diverses sources), qui est sujette à des d’erreurs humaines d’encodage ou de formules, et qui offre des capacités limitées en matière de surveillance, d’analyse et de reporting en temps réel, ce qui complique l’identification des risques et des tendances émergentes.
La difficulté d’accès à l’information peut aussi entraîner une communication inefficace entre les services concernés (logistique, juridique, risques et compliance, financier…). De plus, les secteurs de l’E&U sont confrontés à une pénurie de personnel qualifié en matière de gestion des risques pouvant entraver leur capacité à identifier, évaluer et réduire les risques.
Les capacités de surveillance en temps réel constituent un aspect essentiel d’une gestion efficace des risques liés aux tiers.
« Aujourd’hui, les entreprises peuvent s’appuyer sur des solutions de surveillance en temps réel qui utilisent l’automatisation et l’apprentissage automatique pour surveiller en permanence le niveau de risque de leurs fournisseurs et partenaires », explique Juan Rubio Bonilla, Head of Utilities France & Belgique chez NTT DATA. « Notre plateforme 3rdRisk, repose sur une méthodologie d’évaluation des risques de tiers conçue spécifiquement pour les secteurs E&U. Un système d’alertes en temps réel avertit les responsables de la gestion des risques dès qu’un risque potentiel est détecté. Elle permet aussi d’accéder à de précieuses données fournies par nos fournisseurs de contenu (dont BitSight, SecurityScorecard, Altares – Dun & Bradstreet, EcoVadis et Refinitiv). »
Anticiper pour améliorer la résilience de l’entreprise
En traitant les vulnérabilités de manière proactive, les entreprises du secteur E&U peuvent renforcer la résilience de leurs opérations et assurer la continuité des services essentiels, même en cas de perturbations. Non seulement elles se prémunissent de coûteuses ruptures d’activité ou de crises de réputation, mais elles peuvent identifier et traiter les faiblesses de leur chaîne d’approvisionnement et améliorer leurs performances opérationnelles. Elles gagnent ainsi en compétitivité.
« La réputation d’une organisation est fortement influencée par les actions et les performances de ses partenaires tiers. En gérant efficacement les risques liés aux tiers, les organisations peuvent s’assurer que leurs partenaires respectent des normes élevées en matière de cybersécurité, d’environnement et de responsabilité sociétale. Investir dans des outils performants peut les aider à établir et à maintenir la confiance avec leurs parties prenantes », ajoute Juan Rubio Bonilla.