Eramet : Anticiper NIS 2 en sécurisant un fournisseur stratégique

Eramet est un groupe industriel international spécialisé dans la transformation responsable des ressources minières.

Ses activités couvrent l'extraction, la transformation et la distribution de métaux stratégiques, lesquelles reposent sur une supply chain étendue et sur des flux d'information essentiels à la qualité et à la continuité des opérations.

Dans le cadre de sa modernisation, Eramet a choisi de favoriser une stratégie cloud-first ; par conséquent, une large partie du système d'information se trouve désormais hors du périmètre interne. Cette ouverture augmente la dépendance, et le risque associé, à des prestataires externes.

Des prestataires de support technique connectés au SI aux fournisseurs manipulant les données d'Eramet, chacun de ces acteurs peut constituer une porte d'entrée potentielle pour une attaque, et sans contrôle rigoureux de leur maturité cyber, les efforts internes de surveillance et de protection peuvent être compromis par une faiblesse tierce.

L'objectif d'Eramet est de s'assurer que chaque fournisseur présente un niveau de maturité suffisant pour couvrir les risques cyber liés aux tiers. Les risques sont identifiés au cas par cas, généralement dès la phase projet.

Sans approche structurée, les pratiques traditionnelles, comme les questionnaires internes avec leurs formats non standardisés et leurs traitements manuels, deviennent difficiles à gérer à l'échelle. Le manque d'un référentiel commun complique la comparaison entre fournisseurs et augmente l'exposition résiduelle.

"Sans standardisation, pas de scalabilité"

Pour les tiers manipulant des données sensibles ou impliqués dans des services critiques, Eramet avait besoin d'un cadre clair pour évaluer et réévaluer la maturité sans réinventer la méthode à chaque nouvelle collaboration.

Pour structurer son Vendor Risk Management, Eramet applique trois conditions clairement définies pour évaluer la maturité de ses fournisseurs :

Les évaluations sont répétées à intervalles réguliers : tous les trois ans pour les certifications ISO 27001, chaque année pour les audits SOC 2 Type 2 et les évaluations CyberVadis.

Cela garantit une vision à jour du niveau de sécurité des fournisseurs et permet de suivre leur progression dans le temps.

Tilkal est une plateforme de traçabilité et de transparence basée sur une blockchain B2B combinée à des algorithmes d'analyse et de scoring. Elle fournit une représentation en temps réel de la supply chain et apporte une visibilité inédite aux entreprises et à leurs clients.

Eramet s'appuie sur Tilkal pour améliorer la traçabilité des alliages de manganèse depuis les mines jusqu'aux usines métallurgiques, puis aux clients finaux. Le projet vise à :

• Mieux suivre l'origine des minerais

• Documenter les processus de raffinage

• Tracer des indicateurs qualité et RSE

• Créer des product passports B2B pour démontrer la due diligence et se différencier sur le marché

Le service rendu par Tilkal est donc essentiel à la stratégie de transparence d'Eramet : l'intégrité des données manipulées est critique, et certaines informations utilisées pour construire cette chaîne de traçabilité sont sensibles. Ces deux éléments suffisent à justifier une évaluation approfondie de la maturité cyber du fournisseur.

Tilkal n'étant pas encore certifié ISO 27001, Eramet a décidé de s'appuyer sur CyberVadis pour obtenir une vue objective et détaillée de sa posture cyber.

Les résultats de la première évaluation CyberVadis ont mis en évidence une maturité insuffisante au regard des standards d'Eramet : Tilkal a obtenu un score de 592/1000. Compte tenu du rôle clef du fournisseur, Eramet a pris une décision stratégique : proposer un accompagnement direct pour renforcer sa posture de cybersécurité.

Ce type de support n'est pas habituel pour les équipes d'Eramet, déjà fortement sollicitées, mais l'enjeu était suffisamment élevé pour justifier cet investissement supplémentaire afin de sécuriser la relation.

Eramet a ainsi utilisé l'évaluation CyberVadis et son plan de remédiation pour :

1. Identifier les zones de risque prioritaires

1. Structurer sa propre roadmap des améliorations priorisées selon le niveau de criticité et les ressources de Tilkal

L'équipe d'Eramet a ensuite accompagné Tilkal dans la compréhension des attentes et la mise en œuvre des actions, via des réunions régulières et des échanges continus.

Des améliorations concrètes ont été réalisées, par exemple une gestion renforcée des comptes utilisateurs, la rédaction d'une charte de sécurité, ou encore la formalisation de procédures et de documents associés.

Profil de Tilkal :

À la suite de la mise en œuvre du plan d'amélioration et de la deuxième évaluation, le score de Tilkal a progressé pour atteindre 857/1000 (niveau Silver). Cette hausse significative reflète une montée en maturité structurée et mesurable, directement liée aux recommandations issues de l'évaluation et à leur mise en œuvre.

Au-delà du score, et comme observé précédemment, certains effets concrets sont mesurés (meilleure maîtrise des accès et des responsabilités, chartes et procédures formalisées) avec une posture cyber plus lisible pour les clients et prospects de Tilkal.

En accompagnant Tilkal dans l'amélioration de sa posture de cybersécurité, Eramet a sécurisé un maillon critique de sa supply chain et renforcé la protection de ses données. Cette collaboration a transformé un fournisseur en partenaire de confiance, consolidant ainsi la relation entre les deux organisations.

Ce partenariat contribue aussi à la stratégie globale d'Eramet : promouvoir des pratiques responsables et éthiques dans sa supply chain tout en assurant la sécurité de ses opérations.

Ce partenariat est antérieur à la directive NIS 2. Pourtant, analysé à la lumière du contexte réglementaire actuel, il apparaît comme un modèle de conformité. Il prouve qu’une approche structurée d’évaluation et de remédiation permet non seulement d'anticiper ces exigences, mais aussi de renforcer la résilience opérationnelle.