[TRIBUNE de Hervé Bodinier, MAGIC SOFTWARE] La directive CSRD qui vient d’être votée par l’Union européenne a des conséquences majeures sur le traitement des données au sein des entreprises. Le secteur de l’industrie, et notamment le tissu des PME, PMI et ETI, est particulièrement concerné.
C’est un coup de tonnerre dont toutes les organisations n’ont pas encore pris la mesure. La nouvelle directive CSRD (Corporate Sustainability Reporting Directive) publiée au Journal officiel de l’Union européenne le 16 décembre dernier constitue en effet un défi destiné à faire de l’information ESG (Environnement, société et gouvernance) un nouveau pilier de la performance économique des entreprises.
De quoi est-il question exactement ? Rien de moins que de normaliser l’intégralité de l’information extrafinancière en introduisant pour la première fois une obligation de reporting et de vérification des informations normées en matière de durabilité. Une évolution qui oblige de facto de nombreuses organisations à revoir leur politique en matière de "data". À l’échelle européenne, 50 000 entreprises sont concernées, dont plus de 8 000 en France, les ETI et les grands groupes principalement, mais également nombre de PME.
L’OT : à chaque lieu de production sa gestion de la "data" et de sa sécurité
Ce texte règlementaire représente une importante marche à franchir, notamment pour les organisations industrielles au sein desquelles les "data" se révèlent disparates. Prenons le cas de l’OT, c’est-à-dire de la partie technologique et opérationnelle de l’usine en temps réel ; les contraintes qui s’y opèrent sont à la fois majeures et spécifiques. Majeures dans la mesure où les industriels ont des systèmes de sécurité pour procédés et/ou machines dont 70% de la problématique est technique, la partie humaine correspondant à 30%. Spécifique parce que ces industries fonctionnent encore avec des systèmes d’information du type DCS, SCADA, PLC… qui, parfois, sont relativement anciens. Car ces choix techniques ou technologiques définis depuis plusieurs années, grâce auxquels les machines et les données générées permettent à l’usine d’assurer la production, relèvent d’une architecture propre.
À chaque établissement industriel ses contraintes, son histoire, ses choix de développement particuliers. À chaque usine ses outils d’automatismes, ses chaînages, le plus souvent en faisant preuve de créativité. Conséquence, chaque cas est nécessairement unique et c’est de la spécificité du terrain dont il est question ici, et de son articulation avec des normes globales telles que la CSRD qui entraîne nécessairement des remises en question sur les différents réseaux de communication, les logiciels, etc. Car il y a encore des organisations qui fonctionnent avec du DOS (Disk Operating System) dans l’industrie et les logiciels de production opérationnels n’ont pas toujours pu évoluer dans un univers Windows.
Gérer l’interface entre OT et IT
Le premier pas à franchir, pour ces organisations industrielles, est ainsi lié à la nécessité de s’interroger sur l’architecture "data" au niveau de l’OT. L’autre pas à réaliser relève d’un véritable challenge : la gestion de l’interface entre l’OT et l’IT. La directive CSRD de décembre dernier est globale et l’information ESG qu’elle traite englobe à la fois la "data" de l’OT et celle de l’IT. Or, ce sont deux mondes très différents.
Avec l’OT, nous sommes dans la milliseconde. Il s’agit, en temps réel, de vérifier le bon fonctionnement de certains produits et il s’avère difficile, voire impossible, d’automatiser les mises à jour et les "upgrades", gérées avec grandes précautions. On ne peut pas arrêter la chaîne de production pour installer un nouveau logiciel, car les conséquences seraient trop importantes en matière de productivité.
Avec l’IT, nous sommes dans une autre philosophie. "Upgrader" une solution fait partie des habitudes, voire des obligations qui pèsent sur les lignes managériales. Dans l’IT, on peut s’arrêter une demi-journée pour effectuer un saut qualitatif…
Mais il y a toutefois une zone où OT et IT se rejoignent nécessairement, à savoir la “zone démilitarisée” également appelée DMZ ou I-DMZ, pour “zone démilitarisée industrielle”. Ce sous-réseau contient les machines qui sont susceptibles d’être accédées depuis Internet, et qui ne sont pas reliées au réseau local. La DMZ ou I-DMZ, c’est le territoire tampon entre la production et l’entreprise : un lieu central d’échanges d’informations.
Une plateforme pour transformer les "data" en tableaux de pilotage
Dans un tel contexte, la directive CSRD constitue une contrainte car cette règle nouvelle oblige les industriels à collecter, enrichir et exporter une grande diversité de "data/information" dispersée au sein de nombreux systèmes et applications très hétérogènes de l’entreprise. Elle amène nécessairement les usines à se poser des questions structurelles, particulièrement sur leurs ERP (Enterprise Ressource Planning), leurs systèmes de gestion de la relation client et commerciale CRM (Customer Relationship Management) et autres logiciels pour les ressources humaines et pour la gestion de la production MES (Manufacturing Execution Systems). Le défi est de taille.
La bonne nouvelle, c’est qu’il existe des solutions émergentes qui permettent d’y faire face. Certaines plateformes du marché se révèlent capables de centraliser l’ensemble des données des organisations grâce à une technologie qui transforme en temps réel les "data" en tableaux de pilotage. Ces plateformes permettent de décloisonner, en mode SaaS, les données en circulation au sein de l’usine. Opérations, finances, qualité, IT, production, chaîne d’approvisionnement (clients, fournisseurs)… l’ensemble de l’information est hébergé dans le cloud, sécurisé, et traité afin d’être contextualisé et réutilisable. Au final, un moteur d’analyse permet de surveiller les indicateurs clés de performances KPI et d’établir des rapports d’organisation et de fabrication. Ce type de solution ne remplace pas l’ERP mais permet en revanche de créer des autoroutes entre les systèmes, de gérer les flux et processus, et également l’interface entre l’IT et l’OT. En cela, elle répond pleinement au cadre de la nouvelle directive CSRD. On le voit, gérer le Big Data est un défi auquel l’ensemble des entreprises sont confrontées depuis de nombreuses années déjà.
Avec la parution au Journal officiel de la CSRD, le monde industriel se trouve désormais concrètement en présence d’un important défi que les grands groupes ont déjà commencé à prendre en considération. Les PME et PMI, en revanche, ne sont pas toujours outillées pour y faire face. Ce sont elles qui doivent impérativement prendre conscience de cette marche à franchir : à partir du 1er janvier 2025, la CSRD s’appliquera à toutes les entreprises remplissant deux des trois critères suivants : 250 employés, 40 millions d’euros de chiffre d’affaires, ou 20 millions de total du bilan.