Document d'enregistrement Universel 2022

2. Facteurs De Risques Et Cadres De Maîtrise

Actions de maîtrise

Le groupe EDF a défini une politique Sécurité du Patrimoine face à la malveillance et une politique Sécurité des systèmes d’information afin de prévenir ces risques et d’en limiter les impacts en cas d’agression. Ces politiques sont complétées par une instruction relative à la protection des données personnelles.

Une charte d’utilisation des ressources IT est annexée au règlement intérieur d’EDF. Des formations à la sécurité SI adaptées aux différents profils (utilisateurs, chefs de projets, développeurs d’applications, responsables sécurité SI…) sont proposées aux salariés. Un reporting relatif à la maîtrise du risque cybersécurité est assuré auprès du Comex et Comité d’audit du Conseil d’administration. Plusieurs dizaines d’audits de sécurité sont réalisés chaque année par des sociétés externes d’audit sécurité SI qualifiées «  PASSI  » (Prestataires d’audit de la sécurité des SI) par l’ANSSI (Agence Nationale de la Sécurité des SI), tant sur des infrastructures IT que sur des systèmes d’information métiers. En outre, un reporting mensuel des incidents de sécurité SI est réalisé par le SOC Groupe (Security Operational Center) d’EDF, lequel est désormais qualifié PDIS (Prestataire de Détection d’Incidents de Sécurité).

En  2022, les principales actions déployées en matière de cybersécurité, de protection du patrimoine immatériel, et plus généralement de résilience de l’entreprise face aux risques d’atteinte aux systèmes d’information, sont :

  • la définition d’objectifs en matière de cybersécurité aux entités du Groupe, dont l’atteinte est mesurée au travers de revues de cybersécurité ;
  • le déploiement d’un e-learning « Passeport cybersécurité » accessible à tous (y compris les filiales) et rendu obligatoire pour tous les dirigeants et managers du Groupe en France ;
  • le déploiement de campagnes de faux hameçonnage au sein des entités du Groupe (96 000 personnes ciblées en 2022) ;
  • la poursuite du renforcement de la fonction opérationnelle cybersécurité permettant de garantir une réponse efficiente en cas d’incident sécurité : étoffement des équipes d’expertise, publication d’une politique de gestion des incidents de cybersécurité ;
  • l’inauguration du site de Rennes. Cette implantation complète le dispositif cyber d’EDF au sein d’un territoire de référence européen en la matière (écoles, centres de recherche, entreprises, start-ups, ministère des Armées et Agence nationale de sécurité des systèmes d’information) ;
  • la création du Vulnerability Operation Center dont l’objectif est de détecter les vulnérabilités par des scans réguliers et des audits sur tous types de SI ;
  • la poursuite du déploiement et de l’évaluation, au sein des entités, d’un référentiel de sécurité basé sur les règles de l’Agence nationale de la sécurité des systèmes d’information ;
  • la publication périodique d’un tableau de bord à destination du Comex reflétant le niveau de cybersécurité du Groupe, également décliné par entité rattachée pour chacun des membres de Comex.

De plus des exercices de crise SI et cybersécurité sont régulièrement réalisés en vue d’éprouver les différents dispositifs mis en place.

4E – Atteinte à la sûreté hydraulique

Résumé : Les ouvrages hydroélectriques exploités par le Groupe présentent des risques aux conséquences potentiellement graves pour les populations, les biens et l’environnement, avec un impact financier et réputationnel pour le Groupe.

Criticité : Intermédiaire

La sûreté hydraulique est constituée de l’ensemble des dispositions prises lors de la conception des aménagements et durant leur exploitation pour assurer la protection des personnes et des biens contre les dangers liés à l’eau et dus à la présence ou au fonctionnement des ouvrages.

a) Risques principaux

Les ouvrages hydrauliques du Groupe présentent des risques spécifiques  aux conséquences potentiellement très graves : rupture, débordement lors de crue, manœuvres d’exploitation.

b) Actions de maîtrise

La sûreté hydraulique est la préoccupation majeure et permanente du producteur. Elle relève de l’enjeu « sûreté nucléaire, santé, sécurité » de la RSE du Groupe (voir section 3.3.1 « Sûreté, santé et sécurité de tous »). Elle comporte trois activités principales :

  • la prévention du risque majeur que représente la rupture d’un ouvrage hydraulique, par la surveillance et la maintenance des ouvrages sous le contrôle des services de l’État, principalement des Directions Régionales de l’Environnement, de l’Aménagement et du Logement (DREAL). Parmi les barrages les plus importants, 67  d’entre eux font l’objet d’une procédure administrative particulière mise en œuvre par le préfet compétent ;
  • la gestion des ouvrages durant les périodes de crues, pour assurer la sécurité des installations et des populations ;
  • la maîtrise des risques liés à l’exploitation  : variations de niveau des plans d’eau ou de débit des cours d’eau à l’aval des ouvrages.

EDF pratique une surveillance et une maintenance régulières de ses barrages, notamment par une auscultation continue. Le relevé et l’analyse en temps réel, sur chaque site, de multiples données (mesures de tassements, de pression, de fuites, conjuguées à l’inspection visuelle du béton et au contrôle des parties mécaniques, etc.) permettent à EDF d’établir régulièrement un diagnostic sur l’état de ses barrages. À Grenoble et à Toulouse, les équipes d’EDF peuvent analyser à distance et si besoin en temps réel, grâce à une série de capteurs, les barrages les plus importants ou les plus difficiles d’accès.

De plus, pour chacun des grands barrages, une étude de danger comprenant un examen exhaustif est réalisée tous les dix ou quinze ans (respectivement pour un barrage de classe A et un barrage de classe B). Cet examen nécessite une vidange ou une inspection des parties immergées avec des moyens subaquatiques. Ces opérations sont effectuées sous le contrôle rigoureux des services de l’État (Service de Contrôle et de Sécurité des Ouvrages Hydrauliques au sein de chaque DREAL).

Au niveau organisationnel, l’Inspecteur de la sûreté hydraulique établit chaque année un rapport destiné au Président-Directeur Général d’EDF, auquel il est directement rattaché, ainsi qu’aux acteurs de la sûreté hydraulique (voir section 1.4.1.3.1.3 « La sûreté hydraulique  »). Ce rapport a pour objectif, après un travail d’analyses, d’inspections et d’évaluations menées par l’Inspecteur de la sûreté hydraulique, de donner un avis sur le niveau de sûreté hydraulique des installations du Groupe et de fournir des pistes de réflexion et de progrès pour en garantir l’amélioration et la consolidation. Ce rapport est rendu public sur le site Internet du Groupe.