Hervé Bodinier Consultant / Excellence opérationnelle Magic Software Industrial Functional Safety & cybersecurity OT
C’est un coup de tonnerre dont toutes les organisations n’ont pas encore pris la mesure : la nouvelle directive CSRD (Corporate Sustainability Reporting Directive) publiée au Journal Officiel de l’Union Européenne le 16 décembre dernier constitue un défi destiné à faire de l’information ESG un nouveau pilier de la performance économique des entreprises. De quoi est-il question exactement ? Rien de moins que de normaliser l’intégralité de l’information extra-financière en introduisant pour la première fois une obligation de reporting et de vérification des informations normées en matière de durabilité. Une évolution qui oblige de facto de nombreuses organisations à revoir entièrement leur politique en matière de data. À l’échelle européenne, 50 000 entreprises sont concernées, dont plus de 8000 en France – les ETI et les grands groupes principalement, mais également nombre de PME.
L’OT : à chaque lieu de production sa gestion de la data et de sa sécurité
Ce texte règlementaire représente une importante marche à franchir. C’est particulièrement le cas pour les organisations industrielles, au sein desquelles les data se révèlent disparates.
Prenons le cas de l’OT, c’est-à-dire de la partie technologique et opérationnelle de l’usine en temps réel : les contraintes qui s’y opèrent sont à la fois majeures et spécifiques. Majeures dans la mesure où les industriels ont des systèmes de sécurité procédés et/ou machines dont 70% de la problématique est technique, la partie humaine correspondant à 30%. Spécifique parce que nos industries fonctionnent encore avec des systèmes d’information (du type automation DCS ou SCADA, PLC, etc.) qui, parfois, sont relativement anciens.
Et l’on comprend bien pourquoi : produits de choix techniques ou technologiques opérés depuis plusieurs années, les machines et données qui permettent à l’usine d’assurer la production relèvent d’une architecture propre. À chaque établissement industriel ses contraintes, son histoire, ses choix de développement particuliers. À chaque usine ses outils d’automatismes, ses chaînages, le plus souvent en faisant preuve de créativité. Chaque cas est nécessairement unique : c’est de la spécificité du terrain dont il est question ici, et son articulation avec des normes globales telles que la CSRD entraîne nécessairement des remises en question sur les différents réseaux de communication, les logiciels, etc. Car il y a encore des organisations qui fonctionnent avec du DOS (Disk Operating System) dans l’industrie : les logiciels de production opérationnel n’ont pas toujours pu évoluer dans un univers Windows, pour des raisons tout à fait objectives.
Gérer l’interface entre OT et IT
Le premier pas à franchir, pour les organisations industrielles, est ainsi lié à la nécessité de s’interroger sur l’architecture data au niveau de l’OT. L’autre pas à réaliser relève d’un véritable challenge : la gestion de l’interface entre l’OT et l’IT. La directive CSRD de décembre dernier est globale : l’information ESG (Environnement, Société et Gouvernance) qu’elle traite englobe à la fois la data de l’OT et celle de l’IT. Or, ce sont deux mondes très différents. Avec l’OT, nous sommes dans la milliseconde. Il s’agit, en temps réel, de vérifier le bon fonctionnement de certains produits et il s’avère difficile voire impossible d’automatiser les mises à jour et les upgrades, gérées avec grandes précautions. On ne peut pas arrêter la chaîne de production pour installer un nouveau logiciel, car les conséquences seraient trop importantes en termes de productivité.
Avec l’IT, nous sommes dans une autre philosophie. Upgrader une solution fait partie des habitudes, voire des obligations qui pèsent sur les lignes managériales. Dans l’IT, on peut s’arrêter une demi-journée pour effectuer un saut qualitatif… Mais il y a toutefois une zone ou OT et IT se rejoignent nécessairement, à savoir la « zone démilitarisée », également appelée DMZ ou I-DMZ (pour « zone démilitarisé industrielle »). Ce sous-réseau contient les machines qui sont susceptibles d’être accédées depuis Internet, et qui ne sont pas reliées au réseau local. La DMZ ou I-DMZ, c’est le territoire tampon entre la production et l’entreprise : un lieu central d’échanges d’informations.
Une plateforme pour transformer les data en tableaux de pilotage
Dans un tel contexte, la directive CSRD constitue une contrainte : cette règle nouvelle oblige les industriels à collecter, enrichir et exporter une grande diversité de data/information dispersée au sein de nombreux systèmes et applications très hétérogènes de l’entreprise. Elle amène nécessairement les usines à se poser des questions structurelles, particulièrement sur leurs ERP (Enterprise Ressource Planning), Gestion relation client et commerciaux CRM (Customer Relationship Management) et autres logiciels pour les Ressources Humaines et pour la gestion de la production MES (Manufacturing Execution Systems).
Ce défi est de taille. La bonne nouvelle, c’est qu’il existe des solutions émergentes qui permettent d’y faire face. Certaines plateformes du marché se révèlent capables de centraliser l’ensemble des données des organisations grâce à une technologie qui transforme en temps réel les data en tableaux de pilotage. Ces plateformes permettent de décloisonner, en mode SaaS, les données en circulation au sein de l’usine. Opérations, finances, qualité, IT, production, chaîne d’approvisionnement (clients, fournisseurs)… L’ensemble de l’information est hébergé dans le cloud, sécurisé, et traité afin d’être contextualisé et réutilisable. Au final, un moteur d’analyse permet de surveiller les KPI’s et d’établir des rapports d’organisation et de fabrication. Ce type de solution ne remplace pas l’ERP : il permet en revanche de créer des autoroutes entre les systèmes, de gérer les flux et processus, et également l’interface entre l’IT et l’OT. En cela, il répond pleinement au cadre de la nouvelle directive CSRD.
Gérer le Big Data est un défi auquel l’ensemble des entreprises sont confrontées depuis de nombreuses années déjà. Avec la parution au Journal Officiel de la CSRD, le monde industriel se trouve concrètement en présence d’un important défi, que nos grands groupes ont déjà commencé à prendre en considération. Les PME et PMI, en revanche, ne sont pas toujours outillées pour y faire face. Ce sont elles qui doivent impérativement prendre conscience de cette marche à franchir : à partir du 1er janvier 2025, la CSRD s’appliquera à toutes les entreprises remplissant deux des trois critères suivants : 250 employés, 40 M€ de chiffre d’affaires, ou 20 M€ de total du bilan.
Qu’on se le dise…
L’OT : à chaque lieu de production sa gestion de la data et de sa sécurité
Ce texte règlementaire représente une importante marche à franchir. C’est particulièrement le cas pour les organisations industrielles, au sein desquelles les data se révèlent disparates.
Prenons le cas de l’OT, c’est-à-dire de la partie technologique et opérationnelle de l’usine en temps réel : les contraintes qui s’y opèrent sont à la fois majeures et spécifiques. Majeures dans la mesure où les industriels ont des systèmes de sécurité procédés et/ou machines dont 70% de la problématique est technique, la partie humaine correspondant à 30%. Spécifique parce que nos industries fonctionnent encore avec des systèmes d’information (du type automation DCS ou SCADA, PLC, etc.) qui, parfois, sont relativement anciens.
Et l’on comprend bien pourquoi : produits de choix techniques ou technologiques opérés depuis plusieurs années, les machines et données qui permettent à l’usine d’assurer la production relèvent d’une architecture propre. À chaque établissement industriel ses contraintes, son histoire, ses choix de développement particuliers. À chaque usine ses outils d’automatismes, ses chaînages, le plus souvent en faisant preuve de créativité. Chaque cas est nécessairement unique : c’est de la spécificité du terrain dont il est question ici, et son articulation avec des normes globales telles que la CSRD entraîne nécessairement des remises en question sur les différents réseaux de communication, les logiciels, etc. Car il y a encore des organisations qui fonctionnent avec du DOS (Disk Operating System) dans l’industrie : les logiciels de production opérationnel n’ont pas toujours pu évoluer dans un univers Windows, pour des raisons tout à fait objectives.
Gérer l’interface entre OT et IT
Le premier pas à franchir, pour les organisations industrielles, est ainsi lié à la nécessité de s’interroger sur l’architecture data au niveau de l’OT. L’autre pas à réaliser relève d’un véritable challenge : la gestion de l’interface entre l’OT et l’IT. La directive CSRD de décembre dernier est globale : l’information ESG (Environnement, Société et Gouvernance) qu’elle traite englobe à la fois la data de l’OT et celle de l’IT. Or, ce sont deux mondes très différents. Avec l’OT, nous sommes dans la milliseconde. Il s’agit, en temps réel, de vérifier le bon fonctionnement de certains produits et il s’avère difficile voire impossible d’automatiser les mises à jour et les upgrades, gérées avec grandes précautions. On ne peut pas arrêter la chaîne de production pour installer un nouveau logiciel, car les conséquences seraient trop importantes en termes de productivité.
Avec l’IT, nous sommes dans une autre philosophie. Upgrader une solution fait partie des habitudes, voire des obligations qui pèsent sur les lignes managériales. Dans l’IT, on peut s’arrêter une demi-journée pour effectuer un saut qualitatif… Mais il y a toutefois une zone ou OT et IT se rejoignent nécessairement, à savoir la « zone démilitarisée », également appelée DMZ ou I-DMZ (pour « zone démilitarisé industrielle »). Ce sous-réseau contient les machines qui sont susceptibles d’être accédées depuis Internet, et qui ne sont pas reliées au réseau local. La DMZ ou I-DMZ, c’est le territoire tampon entre la production et l’entreprise : un lieu central d’échanges d’informations.
Une plateforme pour transformer les data en tableaux de pilotage
Dans un tel contexte, la directive CSRD constitue une contrainte : cette règle nouvelle oblige les industriels à collecter, enrichir et exporter une grande diversité de data/information dispersée au sein de nombreux systèmes et applications très hétérogènes de l’entreprise. Elle amène nécessairement les usines à se poser des questions structurelles, particulièrement sur leurs ERP (Enterprise Ressource Planning), Gestion relation client et commerciaux CRM (Customer Relationship Management) et autres logiciels pour les Ressources Humaines et pour la gestion de la production MES (Manufacturing Execution Systems).
Ce défi est de taille. La bonne nouvelle, c’est qu’il existe des solutions émergentes qui permettent d’y faire face. Certaines plateformes du marché se révèlent capables de centraliser l’ensemble des données des organisations grâce à une technologie qui transforme en temps réel les data en tableaux de pilotage. Ces plateformes permettent de décloisonner, en mode SaaS, les données en circulation au sein de l’usine. Opérations, finances, qualité, IT, production, chaîne d’approvisionnement (clients, fournisseurs)… L’ensemble de l’information est hébergé dans le cloud, sécurisé, et traité afin d’être contextualisé et réutilisable. Au final, un moteur d’analyse permet de surveiller les KPI’s et d’établir des rapports d’organisation et de fabrication. Ce type de solution ne remplace pas l’ERP : il permet en revanche de créer des autoroutes entre les systèmes, de gérer les flux et processus, et également l’interface entre l’IT et l’OT. En cela, il répond pleinement au cadre de la nouvelle directive CSRD.
Gérer le Big Data est un défi auquel l’ensemble des entreprises sont confrontées depuis de nombreuses années déjà. Avec la parution au Journal Officiel de la CSRD, le monde industriel se trouve concrètement en présence d’un important défi, que nos grands groupes ont déjà commencé à prendre en considération. Les PME et PMI, en revanche, ne sont pas toujours outillées pour y faire face. Ce sont elles qui doivent impérativement prendre conscience de cette marche à franchir : à partir du 1er janvier 2025, la CSRD s’appliquera à toutes les entreprises remplissant deux des trois critères suivants : 250 employés, 40 M€ de chiffre d’affaires, ou 20 M€ de total du bilan.
Qu’on se le dise…