En réponse aux dispositifs réglementaires et législatifs adoptés par les USA et la Chine, et afin d’assurer sa conformité à ces lois et décisions, le groupe EDF (EDF, NNB, Framatome, etc.) a pris des mesures de sauvegarde dans le cadre de l’organisation de ses projets nucléaires, en particulier au Royaume-Uni.
4C : Atteinte à la sécurité ou à la santé au travail (salariés et prestataires)
Résumé : Le Groupe est exposé aux risques relatifs à la santé et à la sécurité au travail, pour son personnel comme pour celui de ses prestataires.
Criticité : 
Intermédiaire
a) Risques principaux
Le patrimoine humain et les compétences qui y sont associées, constituent un enjeu de premier ordre pour le Groupe comme pour ses prestataires. La nature industrielle et la diversité des activités du Groupe renforcent le caractère fondamental du respect des règles et de la prise en compte des différents risques susceptibles de porter atteinte aux personnes intervenant dans les installations industrielles du Groupe pour préserver la sécurité et la santé au travail.
Le risque d’accidents du travail ou de maladies professionnelles ne peut être exclu sur l’ensemble des domaines d’activité du Groupe. Or, la survenance de tels événements pourrait donner lieu à des actions en justice à l’encontre du Groupe et, le cas échéant, au paiement de dommages et intérêts qui pourraient s’avérer significatifs.
b) Actions de maîtrise
Le Groupe met en œuvre depuis de nombreuses années les moyens nécessaires pour être en conformité avec les dispositions légales et réglementaires relatives à l’hygiène et à la sécurité dans les différents pays dans lesquels il exerce ses activités et considère prendre les mesures destinées à assurer la santé et la sécurité de ses salariés et des salariés des sous-traitants.
Chaque entité du Groupe porte des plans d’actions visant à améliorer en permanence la sécurité et la santé au travail. Des actions sont également menées à l’échelle du Groupe dans son ensemble : définition et promotion des règles vitales et du cadre de référence BEST pour le management de la santé sécurité, organisation d’un temps d’arrêt du 13 octobre 2022 pour mener, dans chaque équipe, des réflexions collectives visant à améliorer et renforcer les plans d’actions sécurité sur le terrain (voir section 3.3.1.3 « Santé et sécurité des salariés et des sous-traitants »).
4D : Atteintes au patrimoine, notamment attaques cyber
Résumé : Le Groupe est exposé à des risques de défaillances ou d’atteintes à son patrimoine matériel ou immatériel, incluant son système d’information. Ces risques peuvent notamment provenir d’actions malveillantes, y compris cyber.
Criticité : Intermédiaire
a) Atteintes au patrimoine
Risques principaux
Le patrimoine du Groupe est constitué de ses personnels, des actifs matériels et immatériels. Les installations ou actifs exploités par le Groupe, ou ses salariés, pourraient constituer des objectifs pour des actes de malveillance de toute nature. Ces actes pourraient avoir des conséquences négatives sur l’activité opérationnelle, la situation financière, juridique, patrimoniale ou la réputation du Groupe.
Le Groupe serait par ailleurs contraint à des investissements ou des coûts additionnels si les lois et réglementations relatives à la protection des sites sensibles et infrastructures critiques devenaient plus contraignantes.
Actions de maîtrise
Le groupe EDF s’est doté d’une politique Sécurité du patrimoine face à la malveillance afin de prévenir ces risques et d’en limiter les impacts en cas d’agression. Cette politique est complétée par des procédures relatives à la protection des personnes, des actifs immobiliers, des actifs immatériels, des instructions et un outil informatique permettant de collecter les incidents de sécurité. Cette politique et procédure ont été actualisées en 2021 pour tenir compte de l’évolution des menaces. Ces politiques et procédures s’appuient sur un réseau de Responsables Sécurité du Patrimoine (RSP) membre des codirs d’entités.
Les principales actions au titre de la protection du patrimoine sont :
- animation du réseau des RSP, une formation des nouveaux RSP, des lettres (DSIE@eDF), des appuis à la demande (ex. : sécurité des locaux, projet à l’étranger et sécurité…) et des animations sur les sujets d’actualité (IGI 1300 et protection du secret, nouvel outil de collecte des incidents de sécurité…) ;
- réalisation d’un e-learning sur la politique Sécurité du patrimoine face à la malveillance ;
- déclinaison des procédures EDF afférentes à la politique Groupe Sécurité du patrimoine face à la malveillance, notamment de la note Classification et Protection des Informations, de la procédure des déclarations des incidents de sécurité ;
- mise en service de la nouvelle application de collecte des incidents de sécurité ;
- participation au pilotage de la mise en œuvre des directives NIS et de la LPM en lien avec l’ANSSI, la DSIG et les entités ;
- contribution à la mise en place des obligations liées à la nouvelle version de l’IGI 1300, instruction impliquant des évolutions importantes pour le Groupe :
- participation à la rédaction des notes ministérielles de l’IGI 1300 avec le MTE et les autres opérateurs concernés,
- rédaction des notes internes d’application de l’IGI,
- accompagnement des entités dans la mise en œuvre de cette instruction en s’assurant de la bonne mise en œuvre de l’ensemble des obligations réglementaires ;
- mise en place d’une formation avec la DGSI et la DRHG sur la radicalisation et le fait religieux en entreprise à destination de DRH, de managers et de juristes ;
- contribution à la prise en compte des dossiers « Sécurité du Patrimoine » dans les développements des applications SI… ;
- contribution à la constitution de dossiers de compliance.
b) Défaillance des Systèmes d’Information dont attaques cyber
Risques principaux
Le Groupe exploite des systèmes d’information multiples, interconnectés et complexes (bases de données, serveurs, réseaux, applications, etc.) indispensables à la conduite de son activité commerciale et industrielle, à la préservation de son patrimoine humain, industriel et commercial, à la protection des données personnelles (clients et salariés), et devant s’adapter à un contexte en forte évolution (transition numérique, développement du télétravail, nouveaux modes de travail partagé en entreprise étendue avec les fournisseurs, évolution de la réglementation, etc.).
Les installations ou actifs exploités par le Groupe, ou ses salariés, pourraient constituer des objectifs pour des agressions externes ou des actes de malveillance de toute nature. Une agression ou un acte de malveillance commis sur ces installations pourrait avoir pour conséquences des dommages aux personnes et/ou aux biens, entraîner la responsabilité du Groupe sur le fondement de mesures jugées insuffisantes et causer des interruptions de l’exploitation. Le Groupe serait, par ailleurs, contraint à des investissements ou des coûts additionnels si les lois et réglementations relatives à la protection des sites sensibles et infrastructures critiques devenaient plus contraignantes.
La fréquence et la sophistication des incidents de piratage des systèmes d’information ou de corruption des données sont au niveau mondial en augmentation. L’impact d’une agression malveillante – ou de toute autre défaillance provoquant une indisponibilité des systèmes d’information – peut être négatif sur l’activité opérationnelle, sur la situation financière, juridique, patrimoniale ou la réputation du Groupe.