©
© freshidea / Fotolia
Transversal
Exposée à de nombreux risques, identifiés pour la plupart mais difficilement anticipables et maîtrisables, la supply chain étendue est amenée à subir des troubles d’ordre physique et, plus fréquemment désormais, des attaques immatérielles. Qu’il soit lié à une catastrophe naturelle ou un piratage informatique, l’évènement a un impact traumatisant sur les structures et les personnes qui les supportent. Le développement de la résilience des systèmes, à savoir leur capacité à absorber les chocs, à réagir pour poursuivre leurs missions, devient ainsi un enjeu fondamental pour l’ensemble des maillons de la chaîne. De l’amont à l’aval, toutes les entreprises membres d’une toile d’industriels, de distributeurs, de fournisseurs, de sous-traitants, doivent ainsi s’équiper pour se prémunir, s’adapter pour rebondir, collaborer pour mieux réfléchir.
1. Un contexte favorable à la multiplication des risques
Avec la démocratisation des systèmes d’information, la dépendance aux technologies ou encore la densification des réseaux d’échanges commerciaux internationaux, les entreprises de la supply chain évoluent dans un contexte de risque permanent, aux sources diverses et aux impacts bien souvent imprévisibles.
Conséquences des politiques de libre-échange dans le commerce international et du développement fulgurant de l’informatique, de l’internet et des technologies du numérique, les grandes entreprises, de dimension internationale pour la plupart, connaissent depuis de nombreuses années un processus de segmentation de leurs infrastructures. Qu’elle se caractérise par une hausse du nombre de filiales à l’étranger, une division des pôles d’activités, des externalisations des systèmes d’information ou des sous-traitances informatiques en interne, cette tendance à la fragmentation résulte d’une complexification de l’environnement commercial, réglementaire et technologique. En découle un accroissement du nombre de maillons de la chaîne de valeur des donneurs d’ordres, la rendant ainsi plus exposée. Une fragilité caractérisée en premier lieu par un manque de maîtrise de l’architecture informatique et une relation de dépendance envers les fournisseurs et les sous-traitants.
Dans son enquête Gestion des risques opérationnels de la supply chain, réalisée en 2015 auprès de 145 entreprises françaises, l’éditeur d’applications collaboratives Generix Group a élaboré un classement des craintes des dirigeants et des supply chain managers en particulier. Dans les cinq risques « jugés les plus impactants pour les opérations logistiques » figure en premier l’indisponibilité du système d’information (46,4 %), suivi de la défaillance ponctuelle d’un fournisseur (37,6 %), des pics de volumes imprévus (37,1 %), du risque social interne ou externe (24 %) et de la défaillance ponctuelle d’un prestataire. « Le fait que, dans cette étude, l’indisponibilité du système d’information soit le risque ressortant comme étant celui le plus impactant n’est pas étonnant, affirme Isabelle Badoc, responsable de l’offre supply chain de Generix Group. Les supply chains sont tellement équipées de systèmes d’information que l’on ne sait plus s’en passer. Dans un entrepôt équipé d’un WMS, on ne sait plus préparer à la main et on ne peut plus connaître l’état des stocks sans l’aide du logiciel. Nous percevons ce phénomène en tant qu’éditeur, surtout sur nos solutions SaaS avec lesquelles nous avons des service-level agreements (niveaux d’engagement) très élevés, pour garantir à nos clients que leur activité ne va jamais s’interrompre. Car si le système d’information s’arrête, tout le monde cesse de travailler. Ce risque est nouveau et va en s’accentuant car il y a de plus en plus de digital et d’informations dans les opérations de logistique ou transport. » Les systèmes d’information, sans cesse sollicités, ajustés et revisités, deviennent d’autant plus névralgiques qu’ils sont un support de richesse informative, avec des données, structurées ou non, plus ou moins sensibles et faciles à exploiter.
Une exposition aux risques de piratage
Parallèlement, les risques de piratages informatiques gagnent en importance, avec des conséquences de plus en plus lourdes pour les personnes affectées. « Avec le numérique et ses innovations, toutes les entreprises se connectent de plus en plus à leurs fournisseurs, à leurs clients, introduit Stéphane Crosnier, managing director au sein de l’activité conseil en stratégie du cabinet Accenture. Elles ont également des technologies pour faire du tracking, des fonctionnalités issues de l’internet des objets pour faire communiquer des machines, des objets, des conteneurs, des produits, etc. Autour de cela, les paramètres de sécurité ne sont toujours pas assez robustes, ce qui entraîne une exposition aux risques de piratage. Nous avons ainsi de plus en plus de demandes clients sur l’aspect cybersécurité. » Les attaques revêtent diverses formes, plus ou moins insidieuses, allant par exemple de l’usurpation d’adresse IP à l’intrusion dans un réseau informatique en passant par l’extorsion de données.
Ces notions d’usurpation et d’extorsion prennent de l’ampleur depuis quelques années, avec entre autres le perfectionnement des ransomwares, ou rançongiciels, qui lors de leur téléchargement (le logiciel malveillant est glissé le plus souvent dans un fichier-joint trompeur envoyé par un expéditeur qui semble de confiance) chiffrent les données d’un ordinateur. Les fichiers ne peuvent redevenir accessibles qu’en l’échange d’une clé de décryptage, que le pirate décide d’envoyer ou non après avoir reçu paiement de sa rançon. L’ingénierie sociale ou social engineering, soit l’obtention par un escroc d’informations confidentielles d’une entreprise en manipulant (usurpation d’identité, exploitation de personnes vulnérables, intimidation…) un ou plusieurs collaborateurs de la société par contact direct, par voie téléphonique, par internet et par courrier, fait également de nombreuses victimes. Le risque de piratage informatique d’une entreprise, bien que présent depuis les années 80 avec notamment l’arrestation par le FBI du groupe de hackers de Milwaukee appelé « 414s », s’est considérablement intensifié avec la démocratisation des appareils mobiles et des objets connectés, le perfectionnement des algorithmes informatiques et des technologies de cryptage des données, la montée en puissance du cloud, l’accès aux données personnelles par les réseaux sociaux ou via une monétarisation, la vulgarisation des connaissances sur internet et l’accès facilité à des logiciels malveillants « clé en main ».
Défaillance des fournisseurs et rupture de chaînes
Empêtrés dans des schémas embrouillés, composés de fournisseurs principaux et secondaires, pouvant eux-mêmes faire appel à leurs propres fournisseurs, qui sous-traitent également certaines de leurs activités, et cetera, les acteurs de la supply chain peinent à cartographier efficacement l’ensemble des membres participant, de manière plus ou moins lointaine, à leur approvisionnement ou leur production. Un manque de visibilité nuisible à l’efficacité des entreprises les plus en amont, subissant des aléas sans souvent pouvoir en déterminer leur origine après coup. « Les risques de rupture de la supply chain se sont accrus ces dernières années, liés à l’évolution de chaînes d’approvisionnement de plus en plus étendues, complexes et difficiles à appréhender, mais aussi à une délocalisation des fournisseurs rendant difficile l’appréhension de leur niveau de prévention et de protection », explique Sophie Loeb, consultante en risques d’entreprise au sein du département Business risk consulting de FM Global, assureur mutualiste spécialisé dans la prévention, la gestion et la couverture des risques industriels.
Generix Group, dans son enquête Gestion des risques opérationnels de la supply chain de 2015, rejoint l’analyste de FM Global et cite également d’autres facteurs contribuant « à aggraver les risques opérationnels et les conséquences de défaillances de fournisseurs », à l’instar de « la dépendance accrue à l’égard de fournisseurs stratégiques, la tendance à privilégier le zéro-stock et les flux tendus, et la spécialisation des chaînes de production selon les produits ou les composants ». Au sein de cet écosystème nébuleux et mouvant, les industriels et distributeurs, mais aussi les prestataires et les fournisseurs, font face à ces dangers si non nouveaux, du moins plus impactants qu’avant et auxquels se joignent d’autres types de risques connus de longue date.