Le Groupe exploite des systèmes d’information multiples, interconnectés et complexes (bases de données, serveurs, réseaux, applications, etc.) indispensables à la conduite de son activité commerciale et industrielle, à la préservation de son patrimoine humain, industriel et commercial, à la protection des données personnelles (clients et salariés), et devant s’adapter à un contexte en forte évolution (transition numérique, développement du télétravail, nouveaux modes de travail partagé en entreprise étendue avec les fournisseurs, évolution de la réglementation, etc.).
Les installations ou actifs exploités par le Groupe, ou ses salariés, pourraient constituer des objectifs pour des agressions externes ou des actes de malveillance de toute nature. Une agression ou un acte de malveillance commis sur ces installations pourrait avoir pour conséquences des dommages aux personnes et/ou aux biens, entraîner la responsabilité du Groupe sur le fondement de mesures jugées insuffisantes et causer des interruptions de l’exploitation. Le Groupe serait par ailleurs contraint à des investissements ou des coûts additionnels si les lois et réglementations relatives à la protection des sites sensibles et infrastructures critiques devenaient plus contraignantes.
La fréquence et la sophistication des incidents de piratage des systèmes d'information ou de corruption des données sont au niveau mondial en augmentation. L’impact d’une agression malveillante – ou de toute autre défaillance provoquant une indisponibilité des systèmes d’information – peut être négatif sur l’activité opérationnelle, sur la situation financière, juridique, patrimoniale ou la réputation du Groupe.
Le groupe EDF a défini une politique Sécurité du Patrimoine face à la malveillance et une politique Sécurité des systèmes d’information afin de prévenir ces risques et d'en limiter les impacts en cas d’agression. Ces politiques sont complétées par une instruction relative à la protection des données personnelles.
Une charte d’utilisation des ressources IT est annexée au règlement intérieur d’EDF. Des formations à la sécurité SI adaptées aux différents profils (utilisateurs, chefs de projets, Responsables sécurité SI…) sont proposées aux salariés. Un reporting relatif à la maîtrise du risque cybersécurité est assuré auprès du Comex et Comité d'audit du Conseil d’administration. Plusieurs dizaines d’audits de sécurité sont réalisés chaque année par des sociétés externes d’audit sécurité SI qualifiées « PASSI » (Prestataires d’audit de la sécurité des SI) par l’ANSSI (Agence Nationale De la Sécurité des SI), tant sur des infrastructures IT que sur des systèmes d'information métiers. En outre, un reporting mensuel des incidents de sécurité SI est réalisé par le SOC Groupe (Security Operational Center) d’EDF. Le SOC Groupe a d'ailleurs effectué une démarche de qualification auprès de l’ANSSI qui a rendu un avis favorable en août 2021( https://www.ssi.gouv.fr/uploads/2021_2047_np.pdf).
En 2021, les principales actions déployées en matière de cybersécurité, de protection du patrimoine immatériel, et plus généralement de résilience de l'entreprise face aux risques d’atteinte aux systèmes d’information, sont :
De plus, des exercices de crise SI et cybersécurité sont régulièrement réalisés en vue d'éprouver les différents dispositifs mis en place.
Résumé : Les ouvrages hydroélectriques exploités par le Groupe présentent des risques aux conséquences potentiellement graves pour les populations, les biens etl’environnement, avec un impact financier et réputationnel pour le Groupe.
Criticité : ●● Intermédiaire
La sûreté hydraulique est constituée de l’ensemble des dispositions prises lors de la conception des aménagements et durant leur exploitation pour assurer la protection des personnes et des biens contre les dangers liés à l’eau et dus à la présence ou au fonctionnement des ouvrages.
Les ouvrages hydrauliques du Groupe présentent des risques spécifiques aux conséquences potentiellement très graves : rupture, débordement lors de crue, manœuvres d’exploitation.
La sûreté hydraulique est la préoccupation majeure et permanente du producteur ; elle relève de l’enjeu « sûreté nucléaire, santé, sécurité » de la RSE du Groupe (voir section 3.3.1 « Santé et sécurité de tous »). Elle comporte trois activités principales :
EDF pratique une surveillance et une maintenance régulières de ses barrages,notamment par une auscultation continue. Le relevé et l’analyse en temps réel, sur chaque site, de multiples données (mesures de tassements, de pression, de fuites,conjuguées à l’inspection visuelle du béton et au contrôle des parties mécaniques, etc.) permettent à EDF d’établir régulièrement un diagnostic sur l'état de ses barrages. À Grenoble et à Toulouse, les équipes d’EDF peuvent analyser à distance et si besoin en temps réel, grâce à une série de capteurs, les barrages les plus importants ou les plus difficiles d’accès.
De plus, pour chacun des grands barrages, une étude de danger comprenant un examen exhaustif est réalisée tous les dix ans ou quinze ans (respectivement pour un barrage de classe A et un barrage de classe B). Cet examen nécessite une vidange ou une inspection des parties immergées avec des moyens subaquatiques. Ces opérations sont effectuées sous le contrôle rigoureux des services de l’État (Service de Contrôle et de Sécurité des Ouvrages Hydrauliques au sein de chaque DREAL).
Au niveau organisationnel, l’Inspecteur de la sûreté hydraulique établit chaque année un rapport destiné au Président-Directeur Général d’EDF, auquel il est directement rattaché, ainsi qu’aux acteurs de la sûreté hydraulique (Voir section 1.4.1.3.1.3 « La sûreté hydraulique »). Ce rapport a pour objectif, après un travail d’analyses, d’inspections et d’évaluations menées par l’Inspecteur de la sûreté hydraulique, de donner un avis sur le niveau de sûreté hydraulique des installations du Groupe et de fournir des pistes de réflexion et de progrès pour en garantir l’amélioration et la consolidation. Ce rapport est rendu public sur le site Internet du Groupe.
