Flux
Métropolis
I.S.B.N.sans
112 pages
p. 6 à 15
doi: en cours
Veille sur la revue
Veille sur l'auteur
Métropolis
I.S.B.N.sans
112 pages
p. 6 à 15
doi: en cours
Veille sur la revue
Veille sur l'auteur
Vous consultez
Dossier « Réseaux, risques et crises »
n° 51 2003/1
Risques catastrophiques et réseaux vitaux : de nouvelles vulnérabilités [1]
Erwann Michel-Kerjan Erwann Michel-Kerjan est spécialiste des risques à grande échelle. Il travaille au sein du Center for Risk Management de la Wharton Business School (Philadelphie, États-Unis) et du Laboratoire d’économétrie de l’École Polytechnique.École Polytechnique - Laboratoire d’économétrie1 rue Descartes 75005 Paris
Terrorisme de masse, désastres naturels d’ampleur exceptionnelle, catastrophes industrielles majeures, actes de malveillance à grande échelle…, autant de sinistres hier considérés comme des scénarios impossibles, qu’il convient aujourd’hui de traiter avec beaucoup d’attention. Nous montrons dans cet article que ces risques présentent des régularités et des caractéristiques communes. Il est donc possible de préparer les dirigeants des entreprises et des organisations (privées comme publiques) à y faire face. À une échelle nationale, il y a urgence à créer de l’apprentissage collectif sur ces sujets qui restent complexes à appréhender et à résoudre, sous peine, à court terme, de devoir subir des catastrophes plus nombreuses, plus coûteuses et plus dramatiques encore. Si la France demeure bien frileuse encore, des initiatives collectives sont à souligner, notamment en Amérique du Nord. Elles pourraient constituer des exemples à suivre ou à améliorer.
Terrorism, major natural or industrial disasters… such events were until very recently viewed as impossible ; today they require serious consideration. In this article, it is argued that these risks share common characteristics. It is therefore possible to prepare managers of public as well as private organisations to face them. At a national scale, it is urgent to develop collective forms of learning with regard to the complex issues at stake. Failing to do so would, shortly, lead to more frequent, more costly and more dramatic events than the ones we have already witnessed. Such collective approaches are little developed in France, but more so in other countries such as the United States, which provide examples to follow or to improve upon.
Introduction
Les attentats du 11 septembre 2001 ont créé un véritable électrochoc dans la communauté internationale : alors que nombreux actes de terrorisme ont déjà été perpétrés contre des populations civiles, aucun attentat contre un État en paix n’avait jamais tué ni blessé autant de civils à la fois. Les dommages matériels ont également été catastrophiques. Ces attentats constituent un point de rupture pour l’assurance et donc pour la continuité de certaines activités. Les montants de remboursements par les compagnies d’assurance et de réassurance dépassent les quarante milliards de dollars : cela constitue l’événement le plus coûteux de toute l’histoire de l’assurance mondiale
[2]. Mais ces attaques n’ont entraîné pas seulement une déstabilisation de l’industrie de l’assurance. La configuration même des attentats ne relève pas d’actes de terrorisme « classiques » tels que, l’explosion d’une voiture ou d’un colis piégé. Dans ce cas précis, un des grands services vitaux d’un pays — le transport aérien — a été détourné de son usage traditionnel pour atteindre un nombre important de victimes
[3]. Quelques semaines plus tard, ce fut la crise de l’anthrax. Là encore, un autre réseau, les services postaux, était détourné de son usage
[4].
Ces événements nécessitent une réflexion de fond sur la gestion de la sécurité des grands services indispensables au bon fonctionnement d’un pays, que l’on pense aux réseaux de distribution (eau, électricité, gaz, pétrole), de transport de personnes et de marchandises (aérien, ferroviaire, routier, maritime), de communication (services postaux, téléphonie, transport de l’information, télévision, Internet), aux maillages complexes des réseaux bancaires et financiers ou encore aux réseaux gouvernementaux de sécurité nationale. Le simple fait que les scénarios du pire que nous nous étions fixés comme étant une limite théorique qui ne serait jamais atteinte soient non seulement réalisés mais dépassés, nous oblige à considérer une limite catastrophique encore supérieure, comme ce fut le cas ces dernières années lors de grandes catastrophes d’origine naturelle tels que des séismes (Northridge, Kobe, Izmit) ou des tempêtes d’ampleur extrême (Mireille, Andrew, Lothar et Martin).
Au-delà de ces épisodes, il s’agit également de reconnaître aujourd’hui que la vulnérabilité des grands réseaux a été démultipliée en l’espace de dix ans. Et le paradoxe est important. D’un point de vue technologique, des avancées importantes ont été réalisées dans le domaine de l’ingénierie pour offrir une plus grande fiabilité technique aux grands ouvrages. En parallèle, le recours à des réseaux de très grande taille et leur interconnexion ont permis des réductions de coûts substantielles grâce aux économies d’échelle et d’envergure réalisées. Néanmoins, on ne peut occulter un versant plus sombre de l’utilisation des grands réseaux. Lorsqu’ils sont mis en défaut de fonctionnement, le sinistre touche alors un très grand nombre de personnes et d’entreprises et en cascade d’autres réseaux. De plus, de nouvelles sources de déstabilisation apparaissent et sont beaucoup plus difficiles à appréhender que les défaillances techniques : confrontations des grands réseaux à des événements climatiques d’une ampleur sans précédent, émergence significative d’actes de malveillance interne aux entreprises
[5], actes de malveillance externe et « terrorisme de masse ». Aux impacts directs pouvant affecter un réseau en particulier, il faut donc aussi tenir compte de l’interdépendance croissante des réseaux entre eux et d’une dépendance largement accrue des populations, entreprises et autres organisations, au bon fonctionnement quotidien des grandes infrastructures.
En d’autres termes, les risques ne relèvent plus aujourd’hui de simples mesures de sécurité locales. Il faut considérer des risques globaux dont les sources potentielles ont été multipliées en interne, et plus encore en externe. Cette globalisation des risques appelle une gestion globale des nouvelles vulnérabilités. La catastrophe de Toulouse comme les grands épisodes d’inondation ou les tempêtes de décembre 1999 auraient dû constituer autant d’alertes sérieuses
[6]. Or, à ce jour, ces sujets demeurent relativement peu analysés en France
[7].
Cet article offre un éclairage sur la question émergente des sinistres à grande échelle touchant les grands services vitaux. Trois exemples y sont discutés :
- l’arrêt brutal d’un satellite de télécommunication qui a touché plus de 45 millions d’Américains en mai 1998 (défaillance technologique locale).
- l’effondrement du réseau de distribution électrique lors de la grande tempête de verglas qui a dévasté l’Amérique du Nord, et plus particulièrement le Québec, en janvier 1998 (catastrophe naturelle à l’échelle nationale).
- la question du terrorisme de masse (utilisation malveillante de réseaux mondiaux).
Nous montrons ensuite pourquoi l’approche traditionnelle de gestion de risques, fondée sur le seul critère des pertes espérées, est inadaptée pour traiter de ces nouvelles vulnérabilités.
Lorsque ces scénarios se réalisent, ils sont porteurs d’un fort pouvoir de déstabilisation dans l’entreprise qui doit y faire face. La gestion de crise est particulièrement difficile, les pertes humaines et/ou financières potentiellement catastrophiques. De telles caractéristiques nécessitent la mise en place d’outils de réflexion stratégique à l’usage des décideurs du secteur privé et du secteur public
[8]. Cela passe par la reconnaissance de nouvelles sources de déstabilisation et par un apprentissage collectif sur ces questions complexes. Il y a aujourd’hui une nécessité pressante de développer de véritables éléments de gouvernance : dans les entreprises (EDF le fit avant les tempêtes de 1999) comme à l’échelle d’un pays.
Or, à ce jour, seuls les États-Unis ont considéré cette atteinte des grands services vitaux comme une source nouvelle de futures catastrophes. Les travaux de la Commission présidentielle mise en place par le Président Clinton et rendus publics en 1997 et 1998 s’inscrivent pleinement dans cette voie, une initiative que les Européens pourraient vouloir considérer avec intérêt. Ces éléments font l’objet de dernière section.
Grands réseaux, grands sinistres : trois exemples
Réseau de télécommunication hors d’état aux États-Unis : défaillance technologique locale
En mai 1998, le satellite de communication Galaxy IV, qui permettait d’envoyer de nombreuses ondes vers le territoire des États-Unis, subit une avarie qui le met hors d’usage. « L’incident » paralyse alors une grande partie du réseau d’ondes américain : les quarante-cinq millions de propriétaires de « bipeurs » ne peuvent plus recevoir de message, six cents stations de radio arrêtent leurs programmes, de très nombreux terminaux bancaires ne fonctionnent plus, etc. Les liens avec les services d’urgence n’ont été rétablis que le lendemain. Ainsi les médecins, les pompiers, et autres ambulanciers n’ont plus reçu aucune information sur leurs « bipeurs » pendant toute la journée qui a suivi la panne.
L’éventualité d’un dysfonctionnement étant prévue, il était convenu dans ce cas de rediriger les signaux à partir d’un autre satellite, Galaxy I. Cette manipulation a nécessité de réorienter manuellement des centaines de milliers d’antennes en direction du nouveau satellite émetteur. Cette modification a demandé le travail de trois mille personnes à plein temps pendant toute une semaine. À cela s’est ajouté le prix même de Galaxy IV, deux cent cinquante millions de dollars.
Quant aux pertes indirectes, il est difficile de les mesurer. Il convient de prendre la mesure de cet incident, qui n’a pas occasionné de pertes humaines. Alors qu’il ne s’agit que d’un seul satellite et d’une panne interne prévisible, la dépendance au réseau apparaît ici clairement. Les conséquences directes auraient pu devenir très lourdes si plusieurs satellites étaient tombés en panne simultanément (déconnexion du réseau) ou si la possibilité de réorienter les signaux d’un satellite défectueux vers un autre n’avait pas été effective. Si les experts des entreprises concernées cherchent à présenter ce cas comme extrêmement rare, le risque de nouveaux « blackouts » de nature similaire pourrait s’accroître sensiblement avec l’envoi de satellites plus nombreux dans les années à venir, notamment avec la constellation de satellites mise en place pour le système de communication GPS
[9].
L’accumulation importante de « déchets » dans la stratosphère (par exemple, des satellites ne fonctionnant plus ou ayant quitté leur orbite) augmente la probabilité que, lors de l’envoi d’un nouveau satellite dans l’espace, celui-ci percute les déchets existants. Une nouvelle collision produit de nouveaux déchets et accentue le phénomène. Dans les années à venir, on peut donc craindre un nombre croissant d’incidents de cette nature : la perte — momentanée ou définitive — de l’usage de certains réseaux de télécommunication par satellites.
Tempête de verglas au Canada : effondrement de réseaux en cascade à l’échelle nationale
Le Canada a connu la plus grave tempête climatique de son histoire en janvier 1998. Par vagues successives, des pluies verglaçantes se sont abattues sur plusieurs centaines de kilomètres, paralysant le sud du Québec, l’Ontario, et le nord des États-Unis. Des épaisseurs de verglas dépassant deux fois les normes de sécurité ont été relevées sur des lignes électriques qui n’ont pu résister à un tel poids. Quatre des cinq lignes principales qui alimentaient Montréal ont été coupées et plus de trois millions de Canadiens ont été privés d’électricité au plus fort de la crise. Plus de cent trente lignes du réseau ont été détruites (3 000 km de lignes), et 1 400 relais de transmission endommagés ou entièrement détruits : un réseau électrique hors d’état (avec des températures de l’ordre de –25° C).
Aucun scénario de catastrophe n’avait prévu un événement de cette ampleur. Statistiquement, ce risque était considéré nul. Car la tempête de verglas de janvier 1998 au Québec n’a pas été une simple panne de grande ampleur, ce fut l’effondrement d’un réseau tout entier. Pire encore, par un effet de cascade, de grands réseaux nécessaires au bon fonctionnement de toute l’activité de la région ont été affectés sur une bonne partie du territoire (sept cents communes ont été touchées) :
- le réseau électrique a été mis hors d’état ;
- l’approvisionnement en eau de Montréal a failli s’arrêter de fonctionner ;
- les réseaux sociaux ont été fortement sollicités ;
- le réseau politique et diplomatique a également été affecté puisque le gouvernement a dû prendre en charge la situation, demander l’aide de l’armée américaine et a un moment envisagé de solliciter une aide logistique à la Russie.
Outre les vulnérabilités propres à chacun des réseaux, et des dégâts avoisinant les trois milliards de dollars, cet épisode a révélé de nouvelles vulnérabilités liées à une interconnexion croissante de réseaux complexes les rendant interdépendants.
De l’avis de tous, la compagnie Hydro-Québec a répondu avec efficacité à cette situation en assumant publiquement sa responsabilité sociale d’entreprise en situation de monopole, en faisant quotidiennement état de son engagement dans la crise et en communiquant — par la voie de son PDG — sur les avancées effectuées par ses équipes. Un mois après ce sinistre à grande échelle, une grande part du réseau était rétablie. L’implication des citoyens, très ancrée dans la culture nord-américaine, a tout autant contribué à une gestion efficace, par l’auto-organisation locale et régionale. Un tel événement devait impérativement faire l’objet d’une analyse approfondie a posteriori afin de tirer des leçons d’une telle catastrophe à l’échelle du pays et, nous le verrons plus loin, pour constituer une base de réflexion pour d’autres entreprises.
Quelques mois seulement après l’événement, le Gouvernement a provoqué la création d’une « Commission scientifique et technique chargée d’analyser les événements relatifs à la tempête de verglas survenue du 5 au 9 janvier 1998 »
[10] qui a été dotée de moyens conséquents (budget de fonctionnement de sept millions de dollars).
Le mandat de la Commission s’est articulé autour de trois axes principaux : le phénomène naturel en lui-même, les raisons de l’interruption des approvisionnements en électricité, et les impacts pour les citoyens et les entreprises du dysfonctionnement de certaines des infrastructures (études économiques, assurance, programmes d’indemnisation, responsabilités, etc.). Ce travail a permis de formuler près de cinq cents avis, conclusions, et recommandations. Ils s’articulent essentiellement autour de deux thèmes principaux :
- assurer les approvisionnements en énergie et renforcer la sécurité du réseau électrique, notamment en travaillant sur la configuration générale du réseau et en améliorant ses caractéristiques structurales ;
- adopter et mettre en Å“uvre une politique de sécurité civile comportant l’établissement d’un système de sécurité civile et aboutissant à l’émergence d’une véritable culture de sécurité face à des vulnérabilités d’ampleur nouvelle.
C’est là une des leçons essentielles de cette « crise du verglas » : à travers une consultation approfondie au niveau local, national et international, il s’agit de permettre de cicatriser les impacts physiques et psychologiques dus à la catastrophe en adoptant des mesures concrètes issues des recommandations d’une commission d’évaluation autonome scientifiquement et financièrement
[11]. La crise du verglas dépassait tous les scénarios de catastrophes imaginés par Hydro-Québec et les services de sécurité du pays avant l’événement, qui n’étaient pas spécifiquement « préparés » à affronter cette tempête. Mais la responsabilité collective face à un événement extrême fut certainement déterminante dans l’issue de cet épisode qui demeure encore présent, cinq ans après, dans l’esprit de tous les Québécois.
Actes terroristes : nouvelle potentialité avérée de sinistres à grande échelle
Nous le soulignions en introduction, les scénarios actuellement analysés en matière de terrorisme envisagent des niveaux d’attaques extrêmes. En cela, ils vont bien au-delà du terrorisme « traditionnel » (colis piégés par exemple), au-delà d’attentats ponctuels qui n’en sont pas moins dramatiques qu’ils touchent un nombre plus limité de victimes
[12]. On assiste depuis plusieurs années à une montée des potentialités d’actes de terrorisme (organisation de réseaux terroristes nationaux et internationaux).
Le terrorisme n’est pas cependant un risque nouveau puisque depuis trente ans, des milliers de personnes ont été tuées ou blessées dans le monde, victimes d’actes de terrorisme
[13]. La conférence « Terrorisme et responsabilité pénale internationale », organisée par l’association SOS Attentats, qui s’est tenue en février 2002 à l’Assemblée Nationale (Paris), témoigne de cette évolution. Un des enseignements fondamentaux de cette manifestation est la nécessité d’une coopération internationale sur ces questions, qui devient d’autant plus impérative que le développement de réseaux terroristes s’est considérablement accéléré ces dernières années
[14].
Les cibles ne sont plus seulement des bâtiments gouvernementaux, mais peuvent tout aussi bien être des entreprises représentant des intérêts économiques. Les attentats perpétrés au Pakistan (Karachi) le 9 mai 2002 contre des employés français de la direction des constructions navales qui ont tué quatorze personnes dont douze Français, ainsi que la forme de ces actes (opération suicide), témoignent d’une évolution certaine de ces risques dont on sait aujourd’hui qu’ils peuvent tout aussi bien se réaliser à une très grande échelle
[15]. Nous devons aujourd’hui considérer les potentialités d’atteinte aux infrastructures vitales d’un pays en changeant radicalement de référentiel. Cela est non seulement vrai parce que l’ampleur des événements du 11 septembre 2001 révèle une capacité à toucher des zones particulièrement peuplées et à forte concentration de biens, mais aussi parce qu’elle témoigne d’une volonté délibérée de frapper à une toute autre échelle.
La forme de ces attaques pourra bien différer à l’avenir. Par exemple, l’introduction de gaz toxique dans les circuits d’air conditionné d’immeubles de grande hauteur constitue un scénario possible. À une échelle bien plus large, tout opérateur de réseau d’alimentation d’eau potable n’est pas à l’abri de devoir gérer une crise aiguë : l’utilisation de son réseau à des fins d’intoxication à grande échelle par l’introduction de bactéries (le cas de l’anthrax illustre bien la paralysie immédiate de tout un réseau) ou, pire encore, de virus. La pollution du réseau de distribution d’eau par un agent pathogène hautement toxique, voire mortel, paraît bien plus simple à réaliser que le détournement simultané de quatre avions de ligne. Et il ne s’agit évidemment pas de poster un gardien à tous les endroits susceptibles d’être attaqués : cela est économiquement impossible.
Les opérateurs doivent néanmoins se préparer à de tels scénarios, par une réflexion stratégique sur ces questions nouvelles et la formation de leurs équipes, du plus haut niveau de la hiérarchie (en cas de crise, les médias — et plus tard les juges — interrogeront immédiatement le PDG de la compagnie touchée pour connaître son degré de préparation à ce type d’événement que « nul ne pouvait plus ignorer après le 11 septembre ») jusqu’aux ouvriers qui travaillent chaque jour sur le réseau.
Il est impératif de développer une culture du risque qui ne relève plus seulement des bonnes vieilles procédures de sécurité — totalement inadéquates pour ce type de risques catastrophiques — mais bien une attention et une préparation, assumée collectivement, pour limiter une utilisation malveillante du réseau pouvant conduire à de véritables catastrophes humaines et financières. Nous l’avons déjà mentionné, il ne s’agit plus de faire face à des risques majeurs locaux, mais bien à de véritables risques à grande échelle. Ce changement radical d’échelle par rapport à une culture de la sécurité « traditionnelle » nécessite, pour y faire face, d’adapter les solutions connues et d’inventer de nouvelles procédures.
Spécificités des risques à grande échelle
Quelles caractéristiques communes, quelle régularité, ces différents cas de sinistres à grande échelle touchant ou utilisant les réseaux vitaux présentent-ils ? Il semble bien que nous soyons face à des risques et sinistres de grande ampleur, dont la gestion se révèle très complexe : des risques inédits qui rendent inefficaces les approches classiques relevant d’un traitement local de la sécurité.
Effets domino : des niveaux de sinistres extrêmes
Une des caractéristiques des sinistres en question est « l’effet de cascade » auquel nous assistons le plus souvent, qui peut être interne ou externe. Il est interne à l’organisation lorsque l’événement déclencheur se diffuse au travers du réseau pour atteindre un nombre plus important de victimes utilisatrices de ce réseau.
Il peut également être externe : l’évolution actuelle vers une hyper connexion des réseaux contribue à augmenter le pouvoir de diffusion du sinistre au travers d’autres réseaux, avec un effet boule de neige. Supposons un instant que la probabilité d’un sinistre soit connue. Une courbe de niveau de risques peut être définie comme l’ensemble des scénarios associés au même niveau (produit d’un montant de pertes et d’une probabilité d’occurrence) de pertes espérées.
À cause de l’interdépendance entre les réseaux, en plus de la probabilité de défaillance interne au réseau lui-même, il faut aussi tenir compte de celle d’être touché par un effet indirect de diffusion provenant d’autres réseaux sinistrés. Ainsi, l’interdépendance des réseaux augmente significativement les niveaux de risque
[16]. Or, peu d’analyses tiennent compte de ces pertes provoquées par des défaillances extérieures
[17]. Le plus souvent on s’en tient aux défaillances internes ou aux effets de la nature sur le dit réseau.
Limite de l’approche probabiliste
Les sources de vulnérabilité se sont diversifiées et la nature même du risque à appréhender (et à réduire) est devenue plus confuse. Nous disposons pour certains risques bien connus de données historiques et de données scientifiques — comme les tremblements de terre ou certains risques industriels majeurs — qui permettent de bien les appréhender.
Il est ainsi possible de tracer des courbes de niveau de risques de type perte/probabilité associée. L’espérance des pertes se calcule alors comme le produit de ces deux nombres qui caractérisent un événement particulier de type « la probabilité qu’un événement E occasionne des pertes d’un montant L 1 sur une période de temps donnée est p 1 » (figure 1 ci-dessous). Cela constitue l’approche « traditionnelle » utilisée par les gestionnaires de risques.
Un premier élément d’incertitude doit être considéré lorsqu’il n’est pas véritablement possible de déterminer la probabilité (p 1 ou p 2 ?), le niveau de pertes (L 1 ou L 2 ?) ou, bien sûr, les deux à la fois : laquelle des deux courbes de niveau de risques est pertinente (C 1 ou C 2 sur la figure 1) ? Les politiques de gestion de risques et le type d’investissements humains et financiers peuvent alors grandement varier. Aussi, les probabilités d’atteinte sérieuse n’ont-elles, dans ce cas, pas vraiment de fondements statistiques. Le plus souvent, cette probabilité est incertaine. Le risque existe bien, mais il est impossible de fournir une distribution de probabilités sérieuse. Nous sommes dans une situation que les économistes qualifient d’incertitude radicale
[18] ou d’ignorance.
Figure 1
Incertitude et incertitude radicale
Pour beaucoup de nouveaux risques discutés dans cet article, nous faisons face à ces situations d’incertitude radicale. Quelle est la probabilité qu’une tempête plus puissante que celles de 1999 se produise cette année en France ? Quelle est la probabilité qu’un groupuscule malveillant déverse un virus dans le circuit d’alimentation en eau d’une grande capitale européenne dans les six mois à venir ? Quelle probabilité aurions-nous pu, avant le 11 septembre 2001, attribuer à un scénario dans lequel on détournerait simultanément quatre avions de lignes privées pour les faire s’écraser de la manière que l’on connaît ? Ainsi, vouloir proposer des études de risques fondées sur des distributions de probabilités paraît un argument peu convainquant pour traiter ces questions.
Quelle démarche adopter ? À défaut de quantifier le risque par une distribution de probabilités, on peut, dans un premier temps, définir plusieurs scénarios. Il est alors plus aisé d’identifier les impacts éventuels de tels scénarios et de tester le degré de préparation face aux risques. Une telle démarche est en particulier utilisée pour des scénarios susceptibles, s’ils se réalisaient, de conduire à la faillite la compagnie (au-delà d’un plafond L max ; rectangle d’incertitude F dans la figure 1). Écarter un scénario sous prétexte qu’il paraît aberrant (et donc associé à une probabilité infime), ne saurait ici être pertinent dans la définition de la stratégie à adopter
[19].
Quelques pistes à étudier
Au cÅ“ur de la crise : gérer en temps réel
Un élément est trop souvent absent des travaux théoriques portant sur la gestion des risques majeurs et des crises : le stress des décideurs. La gestion en temps réel de tels sinistres est particulièrement stressante pour celles et ceux qui doivent la piloter. Ce fait constitue un élément fondamental pour expliquer, en partie du moins, une possible déstabilisation des équipes dirigeantes qui doivent affronter ce type de situations. Cette déstabilisation peut, suivant les cas, se traduire de différentes manières ; pour n’en citer que quelques unes : prise de décisions qui apparaîtront, ex post, tout à fait irrationnelles ; non-dits permanents ; effet de réseaux
[20] ; absence totale de communication ; refus de ses responsabilités ; refus de l’événement en lui-même (« ce n’est rien, ça passera bien ») ; sentiment d’invisibilité ou au contraire de profond désarroi.
Or, en période de crise, les décideurs seront jugés, précisément, sur leurs capacités à gérer, quasiment en temps réel, un sinistre en propagation qui touche simultanément tout un ensemble de réseaux. Dans de telles circonstances, la question centrale ne sera plus alors seulement de remettre en état de fonctionnement une portion de son réseau, mais bien de jongler avec tous les systèmes dont peut dépendre ou faire dépendre le bon fonctionnement de celui-ci. Le nombre d’interlocuteurs à considérer sera multiplié en conséquence et la demande de remettre en état l’ensemble du réseau dans un délai très court d’autant plus pesante. Il sera demandé aux dirigeants d’assumer leurs responsabilités, de prendre des décisions cruciales alors même qu’ils ne disposent que de très peu d’éléments — vérifiables — sur lesquels ils peuvent s’appuyer. Ils devront aussi faire face aux différents médias, dont l’action peut être décisive en temps de crise. Ces univers sont des univers de stress profond.
Une telle capacité de réaction ne s’improvise pas — bien que l’argument de type « si cela arrive, on saura bien faire face » — soit souvent de mise. Les spécialistes travaillant sur cette problématique des risques émergents, tout comme les personnes et les institutions (au sens large) qui y ont été confrontées, savent que gérer ce type de sinistres est un art difficile, qui nécessite de s’y être préparé.
Les entreprises et les organisations non préparées devront expérimenter en pleine crise : devant apprendre à gérer des sinistres inédits, elles courent de manière certaine au fiasco, pouvant entraîner avec elles celles qui ne s’y étaient préparées que de manière superficielle ou inadaptée
[21].
Une nécessité urgente d’apprentissage
Il est possible d’apprendre sur ces risques. Des éléments de réponse importants peuvent être assimilés lors de retour d’expérience sur certains grands événements déstabilisants
[22]. Ces retours d’expérience sur les grands épisodes d’atteinte des réseaux doivent devenir systématiques. Ils doivent être conduits non plus seulement en interne par chacune des entreprises touchées (lorsque de telles interrogations ex post peuvent être mises à l’ordre du jour : trop souvent la politique interne s’inscrit plutôt sur le thème « AZF, connais pas ! »), mais avec l’ensemble de la communauté, acteurs internes et externes. Ils devraient alors constituer une base solide pour appréhender, comprendre, et solutionner ces situations complexes : des sinistres dont les conséquences explosent du fait même d’un effet de diffusion lié à l’utilisation de systèmes en réseau, et face à des risques difficilement probabilisables.
Un exemple : après la tempête de verglas au Canada, une mission a été mise sur pied avec certains dirigeants d’EDF pour rencontrer leurs homologues québécois qui avaient du gérer cette crise. Bien sûr, il ne s’agissait pas de préparer l’entreprise française à faire face à une telle tempête de verglas, mais bien de comprendre les principales difficultés à traiter efficacement de telles catastrophes ; en d’autres termes, se préparer à affronter l’imprévisible.
EDF a pu ainsi ramener les éléments clés qui furent très largement appliqués pour gérer les conséquences des tempêtes de décembre 1999. Nous pouvons en citer ici quelques-uns qui furent, et c’est là l’essentiel, intégrés dès le début de la gestion des tempêtes comme les éléments fondamentaux à respecter :
- reconnaissance officielle et en interne de l’ampleur du sinistre ;
- élaboration d’une stratégie de gestion du sinistre à l’échelle nationale ;
- coopération internationale immédiate ;
- reprise de contact avec les retraités pour qu’ils apportent leur savoir-faire ;
- interaction avec les médias locaux et nationaux ;
- information donnée publiquement quant aux progressions effectuées sur le terrain par les équipes ;
- implication auprès des populations civiles (privées de courant en période de fêtes de fin d’année).
Ce type de stratégie dans la gestion d’un sinistre de l’ampleur des tempêtes que nous avons connues témoigne d’un apprentissage des équipes dirigeantes, d’une volonté de comprendre — avant qu’ils ne se réalisent — des phénomènes inédits qui sortent des scénarios d’école, mais surtout, d’une politique interne affirmée de mettre en place une stratégie globale à une échelle comparable aux risques encourus.
De l’avis de tous, EDF a donc bien géré la crise. D’autres entreprises de réseaux, sans doute moins préparées, n’ont pas eu la même chance.
Anticiper sur les vulnérabilités à venir
Néanmoins, devrons-nous toujours attendre qu’un nombre « suffisant » de sinistres surviennent pour entamer des démarches d’apprentissage collectif sur ces questions ? À cet égard, nous pouvons souligner ici l’initiative américaine mise en place par le Président Clinton en 1997 : la création d’une commission spéciale, la President’s Commission on Critical Infrastruture Protection, qui s’inscrit dans une volonté affirmée de développer une politique de protection des infrastructures constituant le support de vie du pays. L’objectif premier de cette commission était de déterminer les principales vulnérabilités auxquelles les grands réseaux d’infrastructures américains pourraient être confrontés à l’avenir.
Il s’agissait donc bien d’une initiative de réflexion prospective. Le rapport intitulé Critical Foundation: Protecting Americans’ Infrastructures, publié en 1997, s’inscrit dans cette voie
[23]. Il ne s’agit pas ici de reprendre ce rapport final d’un travail de quinze mois regroupant, sur l’ensemble du pays, des équipes de spécialistes des secteurs public et privé. Ce qui importe plus est l’existence même d’une telle initiative.
Ces travaux mirent notamment en avant une dépendance aux réseaux croissante, qui constitue la source de nouvelles vulnérabilités sur lesquelles la Commission présidentielle américaine a focalisé son attention : menaces d’origine naturelle d’une part, menaces intentionnelles pour paralyser un secteur d’activité déterminé de l’autre.
Or, comme la plupart de ces grands réseaux sont possédés et gérés par le secteur privé, il convient de définir des responsabilités partagées entre ce secteur et le secteur public, de manière à assurer la continuité de l’activité économique. Comme le soulignait déjà Robert Marsh, président de la Commission, « la seule voie véritablement efficace pour cela est la mise en place de réels partenariats entre les propriétaires de réseaux, leurs opérateurs et les organes gouvernementaux. Seuls des systèmes prenant appui sur les capacités et la connaissance des deux secteurs pourront permettre de mieux mesurer nos vulnérabilités, et de les diminuer significativement »
[24].
À ce jour, et à ma connaissance, cette étude — effectuée en collaboration avec les acteurs privés et qui s’inscrivait par anticipation et souci de prospective — demeure unique au monde. Suite aux événements du 11 septembre 2001 et aux attaques à l’anthrax, ces travaux prennent une importance plus capitale encore.
Conclusion
La plupart des cas et des scénarios de risques émergents étudiés à ce jour par les équipes les plus avancées sur ces sujets au niveau national et international présentent, au-delà de ce qui a été discuté plus haut, une caractéristique commune tout à fait fondamentale. Qu’il s’agisse de catastrophe naturelle d’une ampleur nouvelle ou d’acte de malveillance à grande échelle, l’événement n’apparaîtra pas progressivement : il ne laissera pas aux organisations le temps nécessaire pour s’adapter. Le facteur temps est déterminant car il engendre une profonde déstabilisation, à laquelle s’ajoute un changement radical dans le rythme de gestion et dans l’échelle des enjeux mis en cause. À l’image de la foudre qui s’abat, les nouvelles vulnérabilités se concrétisent ponctuellement, soudainement. En quelques jours seulement, toute l’organisation peut être profondément déstabilisée, ses dirigeants mis en cause, quand ce n’est pas tout un pan d’activités. Les séquelles de telles expériences perdurent souvent très longtemps au sein des organisations qui ont eu à les gérer alors qu’elles n’y étaient pas préparées ; les pertes humaines et financières peuvent être catastrophiques.
Sur un plan plus académique, ces sujets sont difficiles à appréhender car, d’une part, ils se situent à la croisée de plusieurs disciplines et, de l’autre, parce que les approches théoriques traditionnelles de modélisation mathématique s’appliquent assez mal.
Néanmoins, nous avons montré dans cet article qu’il est possible d’apprendre sur ces sujets. Dans certains pays anglo-saxons, ils sont intégrés, depuis plus de vingt ans parfois, au cÅ“ur de la formation continue et initiale des décideurs et des futurs dirigeants. Or, en France, les formations d’enseignement supérieur dispensées sur ces questions demeurent encore exceptionnelles. Le thème retenu pour le seizième congrès de la Conférence des Grandes Écoles qui s’est tenu en octobre 2002 était, précisément, « Systèmes et risques : Quelles nouvelles approches pédagogiques pour les Grandes Écoles ? ».
Un premier pas, assurément.
NOTES
[1]
L’écriture de cet article a bénéficié du soutien scientifique et financier du programme IDS joint Wharton-Columbia, de l’Institut Vivendi Environnement, et de l’École Polytechnique.
L’écriture de cet article a bénéficié du soutien scientifique et financier du programme IDS joint Wharton-Columbia, de l’Institut Vivendi Environnement, et de l’École Polytechnique.
[2]Swiss Re (2002), Terrorism-dealing with the new spectre, Zurich.
Swiss Re (2002), Terrorism-dealing with the new spectre, Zurich.
[3]Voir le dernier chapitre de O. Godard, C. Henry, P. Lagadec et E. Michel-Kerjan (2002), Traité des nouveaux risques. Précaution, Crise, Assurance, Paris, Éditions Gallimard, coll. Folio, 620 p.
Voir le dernier chapitre de O. Godard, C. Henry, P. Lagadec et E. Michel-Kerjan (2002), Traité des nouveaux risques. Précaution, Crise, Assurance, Paris, Éditions Gallimard, coll. Folio, 620 p.
[4]Voir le numéro spécial de l’International Journal of Contingencies and Crisis Management, à paraître.
Voir le numéro spécial de l’International Journal of Contingencies and Crisis Management, à paraître.
[5]À titre illustratif, dans une étude publiée en 1999 sur les risques informatiques au sein des entreprises, les auteurs estimaient à 50 % la part des sinistres informatiques due à un acte de malveillance interne à l’entreprise ; De Marcellis et Gratacap (1999), « TIC et Gestion des Risques : bilan et perspectives assurantiels pour l’entreprise », Communication & Stratégies, n° 33.
À titre illustratif, dans une étude publiée en 1999 sur les risques informatiques au sein des entreprises, les auteurs estimaient à 50 % la part des sinistres informatiques due à un acte de malveillance interne à l’entreprise ; De Marcellis et Gratacap (1999), « TIC et Gestion des Risques : bilan et perspectives assurantiels pour l’entreprise », Communication & Stratégies, n° 33.
[6]Comme le souligne le rapport de la Commission de retour d’expérience sur les tempêtes de 1999, sans une volonté affirmée de les étudier et de les solutionner, au moins partiellement, on peut craindre la recrudescence d’événements paralysant le pays ou tout un secteur industriel en particulier; voir Sanson (2001), L’évaluation des dispositifs de secours et d’intervention mis en Å“uvre à l’occasion des tempêtes des 26 et 28 décembre 1999, Rapport complémentaire à la mission interministérielle, Paris.
Comme le souligne le rapport de la Commission de retour d’expérience sur les tempêtes de 1999, sans une volonté affirmée de les étudier et de les solutionner, au moins partiellement, on peut craindre la recrudescence d’événements paralysant le pays ou tout un secteur industriel en particulier; voir Sanson (2001), L’évaluation des dispositifs de secours et d’intervention mis en Å“uvre à l’occasion des tempêtes des 26 et 28 décembre 1999, Rapport complémentaire à la mission interministérielle, Paris.
[7]Sur la question de la sécurité des grands sites chimiques dans les zones industrialisées, voir notamment l’éditorial du Journal Le Monde du 21 septembre 2002, « AZF, connais pas ! ».
Sur la question de la sécurité des grands sites chimiques dans les zones industrialisées, voir notamment l’éditorial du Journal Le Monde du 21 septembre 2002, « AZF, connais pas ! ».
[8]D. Moss (2002), When All Else Fails: Government as the Ultimate Risk Manager, Cambridge, Harvard University Press.
D. Moss (2002), When All Else Fails: Government as the Ultimate Risk Manager, Cambridge, Harvard University Press.
[9]Élaboré aux États-Unis, ce système fut d’abord réservé à un usage exclusivement militaire, utilisé en particulier pendant la guerre du Golfe. Il a été commercialisé par la suite dans le domaine civil, même si son fonctionnement repose aujourd’hui encore sur un réseau de 24 satellites militaires américains. En Amérique du Nord, il est utilisé par plus de 400 000 personnes. Les États-Unis ont convenu d’utiliser exclusivement le système GPS d’ici 2010. Il constituera alors l’unique système de radionavigation de leur système aéronautique et spatial (le National Airspace System). Cette décision n’est pas sans risque puisqu’elle revient à faire reposer un système complexe de première importance pour le pays sur une seule technologie de réseau.
Élaboré aux États-Unis, ce système fut d’abord réservé à un usage exclusivement militaire, utilisé en particulier pendant la guerre du Golfe. Il a été commercialisé par la suite dans le domaine civil, même si son fonctionnement repose aujourd’hui encore sur un réseau de 24 satellites militaires américains. En Amérique du Nord, il est utilisé par plus de 400 000 personnes. Les États-Unis ont convenu d’utiliser exclusivement le système GPS d’ici 2010. Il constituera alors l’unique système de radionavigation de leur système aéronautique et spatial (le National Airspace System). Cette décision n’est pas sans risque puisqu’elle revient à faire reposer un système complexe de première importance pour le pays sur une seule technologie de réseau.
[10]Commission Nicolet (1999), Rapport de la Commission scientifique et technique sur la crise du verglas de janvier 1998, cinq volumes, Publications du Québec, Montréal.
Commission Nicolet (1999), Rapport de la Commission scientifique et technique sur la crise du verglas de janvier 1998, cinq volumes, Publications du Québec, Montréal.
[11]P. Lagadec et E. Michel-Kerjan (2000), « D’un continent à l’autre », Journal Le Monde, mardi 11 janvier.
P. Lagadec et E. Michel-Kerjan (2000), « D’un continent à l’autre », Journal Le Monde, mardi 11 janvier.
[12]En France, l’association SOS Attentats est particulièrement active pour la reconnaissance des victimes d’actes de terrorisme. Voir notamment F. Rudetzki (2002), « Terrorisme. La primauté du droit, pour les victimes », dans X. Guilhou et P Lagadec (2002), La fin du risque zéro, Paris, Eyrolles Société.
En France, l’association SOS Attentats est particulièrement active pour la reconnaissance des victimes d’actes de terrorisme. Voir notamment F. Rudetzki (2002), « Terrorisme. La primauté du droit, pour les victimes », dans X. Guilhou et P Lagadec (2002), La fin du risque zéro, Paris, Eyrolles Société.
[13]T. Vareilles (2001), Encyclopédie du terrorisme international, Paris, Éditions l’Harmattan, coll. « culture du renseignement ».
T. Vareilles (2001), Encyclopédie du terrorisme international, Paris, Éditions l’Harmattan, coll. « culture du renseignement ».
[14]Assemblée Nationale (2002), Livre noir. Contributions à la conférence internationale « Terrorisme et responsabilité pénale internationale », Paris.
Assemblée Nationale (2002), Livre noir. Contributions à la conférence internationale « Terrorisme et responsabilité pénale internationale », Paris.
[15]Les attaques bio-terroristes ne sont pas à exclure des scénarios liés aux nouvelles vulnérabilités. Or, le degré de préparation pour gérer de telles attaques est pauvre. Aux États-Unis, une étude récente a analysé le degré de préparation de plus de deux cents services d’urgence (cliniques, hôpitaux, pompiers…) à des scénarios d’attaque bio-terroristes de faible taille et, qui plus est, locale. À la question « disposez-vous d’un plan d’urgence et l’avez-vous expérimenté ces deux dernières années », à peine 7 % de ces services ont répondu — sur la base de déclaration volontaire — par l’affirmative. Voir R. Fricker, J. Jacobson et L. Davis (2002), « Measuring and Evaluating Local Preparedness for a Chemical or Biological Terrorist Attack », Issue Paper, Publication de la Rand Corporation. Une telle étude n’existe pas en France.
Les attaques bio-terroristes ne sont pas à exclure des scénarios liés aux nouvelles vulnérabilités. Or, le degré de préparation pour gérer de telles attaques est pauvre. Aux États-Unis, une étude récente a analysé le degré de préparation de plus de deux cents services d’urgence (cliniques, hôpitaux, pompiers…) à des scénarios d’attaque bio-terroristes de faible taille et, qui plus est, locale. À la question « disposez-vous d’un plan d’urgence et l’avez-vous expérimenté ces deux dernières années », à peine 7 % de ces services ont répondu — sur la base de déclaration volontaire — par l’affirmative. Voir R. Fricker, J. Jacobson et L. Davis (2002), « Measuring and Evaluating Local Preparedness for a Chemical or Biological Terrorist Attack », Issue Paper, Publication de la Rand Corporation. Une telle étude n’existe pas en France.
[16]Considérons le cas simpliste de deux réseaux, A et B, d’abord indépendants, chacun ayant une probabilité p d’être touché par un sinistre conduisant à des pertes de niveau L (état noté 1) sur le réseau. En regardant l’ensemble des deux réseaux, il y a donc quatre états du système (0/0 ; 0/1 ; 1/0 ; 1/1). Il vient que l’espérance des pertes égale 2Lp. Supposons ensuite les deux réseaux interdépendants et l’existence d’un potentiel de diffusion : un réseau atteint affecte l’autre réseau. Il a alors deux états possibles après diffusion : (0/0 ; 1/1). L’espérance des pertes égale 2p (1-p) (2L) + p2 (2L), soit 2Lp [2-p] - 2Lp.Pour une analyse de cette question, voir aussi H. Kunreuther et G. Heal (2002), « Interdependent Security : The Case of Identical Agents », Working paper, The Wharton School, Center for Risk Management, Philadelphie.
Considérons le cas simpliste de deux réseaux, A et B, d’abord indépendants, chacun ayant une probabilité p d’être touché par un sinistre conduisant à des pertes de niveau L (état noté 1) sur le réseau. En regardant l’ensemble des deux réseaux, il y a donc quatre états du système (0/0 ; 0/1 ; 1/0 ; 1/1). Il vient que l’espérance des pertes égale 2Lp. Supposons ensuite les deux réseaux interdépendants et l’existence d’un potentiel de diffusion : un réseau atteint affecte l’autre réseau. Il a alors deux états possibles après diffusion : (0/0 ; 1/1). L’espérance des pertes égale 2p (1-p) (2L) + p2 (2L), soit 2Lp [2-p] - 2Lp.Pour une analyse de cette question, voir aussi H. Kunreuther et G. Heal (2002), « Interdependent Security : The Case of Identical Agents », Working paper, The Wharton School, Center for Risk Management, Philadelphie.
[17]À noter d’ailleurs que les conséquences sont toujours sans commune mesure avec le coût de l’élément défaillant du réseau.
À noter d’ailleurs que les conséquences sont toujours sans commune mesure avec le coût de l’élément défaillant du réseau.
[18]Il existe trois niveaux de connaissance des possibles : celui où l’ensemble des possibles est déterminé et les probabilités sont connues, celui où les possibles sont connus mais pas leurs probabilités, enfin celui où « l’univers des possibles » n’est pas complètement connu. Dans ce dernier cas, on parle d’incertitude radicale.
Il existe trois niveaux de connaissance des possibles : celui où l’ensemble des possibles est déterminé et les probabilités sont connues, celui où les possibles sont connus mais pas leurs probabilités, enfin celui où « l’univers des possibles » n’est pas complètement connu. Dans ce dernier cas, on parle d’incertitude radicale.
[19]Voir H. Kunreuther et G. Heal (2002), « A Firm Can Only Bankrupt Once. Risk Management Strategies in an Uncertain World », article présenté lors de la conférence Organizational Encouters with Risk organisée par la London School of Economics.
Voir H. Kunreuther et G. Heal (2002), « A Firm Can Only Bankrupt Once. Risk Management Strategies in an Uncertain World », article présenté lors de la conférence Organizational Encouters with Risk organisée par la London School of Economics.
[20]On ne fait confiance qu’aux personnes du même département, de la même formation, de la même école, du même niveau hiérarchique, etc.
On ne fait confiance qu’aux personnes du même département, de la même formation, de la même école, du même niveau hiérarchique, etc.
[21]Pour une analyse de plusieurs cas de crises aux États-Unis, voir notamment Harvard Business Review on Crisis Management (1996) ; Cambridge, MA : Harvard University Press.
Pour une analyse de plusieurs cas de crises aux États-Unis, voir notamment Harvard Business Review on Crisis Management (1996) ; Cambridge, MA : Harvard University Press.
[22]Voir P. Lagadec (2000), Ruptures créatrices, Paris, Éditions d’Organisation.
Voir P. Lagadec (2000), Ruptures créatrices, Paris, Éditions d’Organisation.
[23]Les informations sur la Commission et le rapport sont disponibles sur www.pccip.gov.
Les informations sur la Commission et le rapport sont disponibles sur www.pccip.gov.
[24]La création en 1999 du Critical Infrastructure Assurance Office, qui a notamment pour mission l’étude des scénarios pouvant porter atteinte aux grands réseaux vitaux américains, constitue une première réponse ciblée ; ce bureau est doté d’un budget de fonctionnement annuel de cinq millions de dollars.
La création en 1999 du Critical Infrastructure Assurance Office, qui a notamment pour mission l’étude des scénarios pouvant porter atteinte aux grands réseaux vitaux américains, constitue une première réponse ciblée ; ce bureau est doté d’un budget de fonctionnement annuel de cinq millions de dollars.
© Cairn 2007
Vie privée |
Conditions d’utilisation |
Conditions générales de vente
À propos | Éditeurs | Bibliothèques | Aide à la navigation | Plan du site | Raccourcis
À propos | Éditeurs | Bibliothèques | Aide à la navigation | Plan du site | Raccourcis
Retour en haut de page
Ici s'achève le contenu de la page, la suite ne concerne que les attributs d'affichage
