EDF / Document d'enregistrement universel 2019

2. Facteurs de risques et cadre de maîtrise Risques auxquels le Groupe est exposé

la réalisation d’un exercice de crise cybersécurité au niveau Groupe permettant à ■ EDF de tester ses capacités à résister à des cyberattaques ; l’actualisation de la politique de lutte contre la malveillance ciblant le patrimoine ■ immatériel pour répondre aux nouveaux risques cyber et comportementaux ; la création d’une fonction de réponse à incident (CERT) de niveau Groupe. ■ 4E – Continuité opérationnelle des chaînes d’approvisionnement et des relations contractuelles. Le Groupe est exposé à la continuité opérationnelle des chaînes d’approvisionnement et des relations contractuelles avec ses fournisseurs ainsi qu’aux variations de prix et de disponibilité des matières, des matériels ou des prestations qu’il achète dans le cadre de l’exercice de ses métiers. Criticité compte tenu des actions de maîtrise engagées : Intermédiaire. Les besoins du Groupe peuvent s’exercer sur des marchés à surface réduite ou à tensions croissantes, de par notamment la structure et l’évolution de l’offre industrielle ou la montée de la concurrence de nouveaux usages, notamment avec les besoins croissants des systèmes d’information et les besoins des acteurs de l’énergie. La transition liée à l’évolution du climat peut aussi introduire de nouvelles tensions dans les chaînes d’approvisionnement. Certaines matières, certains matériels ou certaines prestations pourraient faire par ailleurs l’objet d’une demande accrue au regard de l’offre industrielle disponible, ce qui pourrait avoir un impact sur leur coût et leur disponibilité. Ces tensions sur les marchés peuvent renchérir le coût d’approvisionnement de certains produits ou prestations critiques et entraîner une diminution de l’offre par certains fournisseurs en réaction à une contraction de leurs marges. Les fluctuations de prix et de disponibilité de certaines matières premières ou produits structurants dans la constitution des prix de l’électricité et des services énergétiques peuvent affecter les capacités d’approvisionnement et les résultats du Groupe. Le Groupe fait appel, essentiellement dans les domaines de la production, nucléaire, hydraulique ou renouvelable, du stockage ou de la mobilité électrique, à des technologies qui nécessitent des matières ou des éléments auxquels l’accès peut représenter un enjeu fort (1) . La rareté ou les conditions d’accès à certaines matières premières peuvent être rendues critiques pour le Groupe en raison de limitations d’ordre géologique, géopolitique, industriel, réglementaire ou concurrentiel, particulièrement dans un contexte de transition énergétique. Le développement des usages, notamment liés au stockage, à la croissance des énergies renouvelables et à la pénétration de l’électricité bas carbone, pourrait générer des difficultés d’accès à certaines matières : Lithium pour batteries, terres rares ferromagnétiques pour l’éolien, Indium ou Sélenium pour le solaire… Ces difficultés pourraient limiter la capacité du Groupe à atteindre ses objectifs de développement. De plus, la maîtrise des conditions d’extraction, de transformation, de conditionnement ou de mise à disposition des matières premières ou semi-ouvrées pour les besoins du Groupe, peut faire l’objet de dispositions appelant à une maîtrise des exigences réglementaires et un devoir de vigilance renforcés. Par ailleurs, le Groupe dépend actuellement d’un nombre limité d’acteurs industriels disposant de compétences spécifiques et de l’expérience nécessaire. Cette situation réduit l’exercice de la concurrence sur des marchés où EDF est acheteur et crée un risque d’exposition pour le Groupe à la défaillance de l’un ou plusieurs de ces fournisseurs ou de prestataires disposant de compétences spécifiques. C’est le cas en particulier pour Orano (qui présente plus de 34 % des achats d’EDF de tous types de combustibles en 2019), Westinghouse et GE. Les changements d’actionnariat ou de gouvernance de ces différents prestataires peuvent également avoir une incidence sur la qualité, la continuité opérationnelle des contrats en cours, ou le coût des services rendus et des produits livrés. Une surveillance régulière de la situation de ces fournisseurs est réalisée au travers de revues spécifiques. La performance du Groupe repose aussi sur les contrats passés avec les fournisseurs d’équipements ou de services. Une meilleure gestion des contrats conclus est un enjeu majeur de maîtrise des opérations, des délais et des coûts associés. C’est le rôle de la fonction Contract Management qui vise à améliorer la gestion des risques et créer des opportunités dans la gestion des contrats. Cette fonction fait intervenir des Contract Managers positionnés dans les métiers tout au long du processus contractuel. Elle constitue une ligne de défense supplémentaire dans le management des contrats, en lien avec le corporate et les métiers. La Direction du Contract Management , rattachée au Secrétaire Général, a pour mission de structurer cette fonction, animer la filière Contract Management , mesurer sa performance et professionnaliser les acteurs.

relatives à l’hygiène et à la sécurité dans les différents pays dans lesquels il exerce ses activités et considère avoir pris les mesures destinées à assurer la santé et la sécurité de ses salariés et des salariés des sous-traitants. Chaque entité du Groupe porte des plans d’actions visant à améliorer en permanence la sécurité et la santé au travail. Des actions sont également menées à l’échelle du Groupe dans son ensemble : définition et promotion des règles vitales, journée d’arrêt du 3 octobre 2019 pour mener des réflexions collectives face à la persistance d’accidents mortels (voir section 3.3.3 « EDF, entreprise responsable à l'égard de ses salariés et de ses prestataires »). 4D – Attaque du patrimoine, notamment cyber. Le Groupe est exposé à des risques d’actions malveillantes sur son patrimoine matériel ou immatériel, notamment sur son système d’information. Criticité compte tenu des actions de maîtrise engagées : Intermédiaire. Les installations ou actifs exploités par le Groupe, ou ses salariés, pourraient constituer des objectifs pour des agressions externes ou des actes de malveillance de toute nature. Une agression ou un acte de malveillance commis sur ces installations pourrait avoir pour conséquences des dommages aux personnes et/ou aux biens, entraîner la responsabilité du Groupe sur le fondement de mesures jugées insuffisantes et causer des interruptions de l’exploitation. Le Groupe serait par ailleurs contraint à des investissements ou des coûts additionnels si les lois et réglementations relatives à la protection des sites sensibles et infrastructures critiques devenaient plus contraignantes. Le Groupe exploite des systèmes d’information multiples, interconnectés et complexes (bases de données, serveurs, réseaux, applications, etc.) indispensables à la conduite de son activité commerciale et industrielle, à la préservation de son patrimoine humain, industriel et commercial, à la protection des données personnelles (clients et salariés), et devant s’adapter à un contexte en forte évolution (transition numérique, développement du télétravail, nouveaux modes de travail partagé en entreprise étendue avec les fournisseurs, évolution de la réglementation etc.). La fréquence et la sophistication des incidents de piratage des systèmes d’information ou de corruption des données sont au niveau mondial en augmentation. L’impact d’une agression malveillante peut être négatif sur l’activité opérationnelle, sur la situation financière, juridique, patrimoniale ou la réputation du Groupe. Le groupe EDF a défini une politique Sécurité du Patrimoine face à la malveillance et une politique Sécurité des systèmes d’information afin de prévenir ce risque et d’en limiter les impacts en cas d’agression. Ces politiques sont complétées par une instruction relative à la protection des données personnelles. Cependant le Groupe ne peut exclure une attaque de ses systèmes d’information qui aurait des conséquences sur l’activité opérationnelle du Groupe, ses finances, sa position juridique, en particulier vis-à-vis de l’intégrité des données personnelles, ou sa réputation. Une charte d’utilisation des ressources IT est annexée au règlement intérieur de l’entreprise. Des formations à la sécurité SI adaptées aux différents profils (utilisateurs, chefs de projets, Responsables sécurité SI…) sont proposées aux salariés. Un reporting relatif à la maîtrise du risque cyber sécurité est assuré auprès du Comité d’audit du Conseil d’administration. Plusieurs dizaines d’audits de sécurité sont réalisés chaque année par des sociétés externes d’audit sécurité SI qualifiées « PASSI » (Prestataires d’audit de la sécurité des SI) par l’ANSSI (Agence Nationale de la Sécurité des SI), tant sur des infrastructures IT que sur des systèmes d’information métiers. En outre, un reporting mensuel des incidents de sécurité SI est réalisé par le SOC Groupe (Security Operational Center) d’EDF. En 2019, les principales actions déployées en matière de cybersécurité et de protection du patrimoine immatériel sont : la notification d’objectifs cybersécurité aux Directeurs des principales Entités du ■ Groupe ; la définition d’un référentiel de sécurité basé sur les règles de l’Agence Nationale ■ de la Sécurité des Systèmes d’Information ; la conduite de six campagnes de sensibilisation à la protection de l’information ■ au niveau du Groupe, et de très nombreuses campagnes portées par le management de proximité et adaptées aux spécificités métiers conduites par les Entités ; la réalisation de deux exercices de crise sur les data centers d’EDF, ■

(1) Le thème d’approvisionnement en Uranium n’est pas considéré ici. Il est abordé dans le risque 5D Maîtrise du cycle du combustible.

121

EDF | Document d'enregistrement universel 2019