< Retour

02/03/2016

​Votre supply chain, parée au pire ?

D’après une analyse BSI* récente réalisée sur près de 80 000 incidents terroristes, les supply chain sont ciblées au moins une fois tous les sept jours en moyenne. Cette réalité interroge sur la capacité de résilience des entreprises dans un contexte où la France a perdu 7 places entre 2013 et 2015 dans le classement international de FM Global (Supply Chain Resilience). Comment se préparer face à la montée d’une telle menace et comment réduire les facteurs de vulnérabilité ? 

Les systèmes d’information, le cœur du réacteur   
Quand on parle de supply chain, on ne sait jamais vraiment ce que cela comprend. Et bien souvent, on limite l’analyse à la logistique. Mais outre les transferts de matières premières, de produits finis, de stocks ou de supports promotionnels, la supply chain assure d’autres flux : les prévisions de ventes, les prises de commande, les paiements, les retours produits, les rappels de lots … Autant de mouvements qui impliquent de nombreuses parties prenantes internes (départements achat, approvisionnement, production, ventes) comme externes (fournisseurs, logisticiens, transporteurs, agences de sécurité) et ce, dans différents pays. Il est donc vital pour la supply chain de disposer de systèmes d’informations robustes ! En cas de contamination, la traçabilité sera facilitée par un système intégré sur l’ensemble de la chaîne ; vous isolerez rapidement les lots infectés et identifierez les marchés concernés. Il en va de même pour l’installation de capteurs dans les containers pour repérer les anomalies de transport comme par exemple un container ouvert hors d’une zone de transit, ou en circulation dans une zone non recommandée.  
Les systèmes d’information sont donc vos meilleurs alliés ! Mais comme l’un ne va pas sans l’autre… Ils sont aussi, et malheureusement, votre plus grande vulnérabilité. En cas d’indisponibilité durable, c’est la totalité de votre supply chain qui sera paralysée. Un plan de continuité informatique est évidemment nécessaire mais les simulations en mode dégradé, et d’un bout à l’autre de la chaîne, vous seront plus utiles. Et vous réaliserez à quel point l’utilisation du fax et du papier n’est pas tenable !

S’inspirer des catastrophes naturelles
Bien entendu, la supply chain n’est pas qu’une histoire de systèmes d’information. Pour renforcer sa résilience, il faut avoir l’horizon beaucoup plus large. Et c’est là qu’on peut prendre peur. Comment trouver des alternatives à autant de lieux, de systèmes, de personnes, de routes logistiques ? 
Bonne nouvelle, si vous vous êtes bien préparés à gérer une catastrophe naturelle, vous avez déjà entre vos mains des solutions de repli robustes en cas d’attaques. Même si la nature du risque est différente, les impacts sur la disponibilité des sites, des équipes, des systèmes ou des moyens de transport critiques sont d’une ampleur comparable. Les exercices et simulations déjà réalisés vous rassureront sur la capacité de vos collaborateurs à réagir de façon coordonnée et collective le jour J, ainsi que sur la viabilité technique et opérationnelle de vos dispositifs de secours. Les réflexes auprès des parties prenantes externes (services d’urgence, familles, autorités administratives, partenaires, etc.) auront déjà été testés. C’est déjà un bon bout de chemin parcouru. Pour autant, et ce serait trop simple, les similitudes ne sont pas totales : les impacts psychologiques, réglementaires ou sécuritaires d’une attaque sur une chaîne logistique impliquent des mesures très spécifiques. Les réponses à une prise d’otage, à la fermeture de frontières, aux contrôles systématiques des identités, à la restriction des partages de données ne s’improvisent pas ! Alors l’entreprise ne peut pas avancer seule sur ces sujets. Collaborer avec les partenaires logistiques et les services de l’État est plus que jamais essentiel pour construire des solutions appropriées.

Prendre le taureau par les cornes
Nous l’avons dit, assurer la résilience de sa supply chain en cas d’attaque est capitale. Mais pour éviter d’avoir à le vivre, certaines mesures sont nécessaires. Pour gérer un risque efficacement, il faut d’abord le connaître et savoir l’évaluer. Intégrer le risque terroriste – fortement corrélé au risque géopolitique et au risque pays –dans le dispositif général de gestion des risques est un passage obligé. Ce risque a beau être lié à l’environnement externe sur lequel l’entreprise a peu de contrôle, il mérite d’être appréhendé de la même façon que les autres risques. Cette analyse aidera notamment à assurer la proportionnalité des mesures de sécurité et ainsi à rationaliser les coûts. Les choix des zones géographiques, des moyens de transport, des routes logistiques, des temps de transits, des canaux de distribution dépendront de l’arbitrage réalisé entre les risques et les bénéfices associés. 
L’intégration au dispositif global permettra également de profiter de dispositifs de prévention existants, comme par exemple ceux mis en place contre la cybercriminalité. Intégrer la protection des SI logistiques dans une approche globale de protection des données sensibles de l’entreprise ne peut être que bénéfique ! 

*The British Standards Institution, Supply chain terrorism risks