gestion des risques et des crises
Transcription
gestion des risques et des crises
Protection des infrastructures critiques – gestion des risques et des crises Manuel destiné aux entreprises et aux administrations www.bmi.bund.de www.bmi.bund.de Préface L’existence de notre société dépend de sa capacité à assurer son approvisionnement en produits, fonctions et services les plus divers. Garantir la protection des établissements vitaux s’inscrit donc parmi les missions fondamentales dévolues à l’Etat en matière de mesures de sécurité préventives. Aujourd’hui, face à la menace du terrorisme international et à la recrudescence des événements extrêmes, les défis pesant sur la protection des infrastructures critiques se font de plus en plus nombreux, tandis que les technologies de l’information, qui interpénètrent tous les secteurs de la vie et de l’économie, sont elles aussi soumises à de nouvelles menaces. La majorité des infrastructures devant être considérées comme critiques au sein de notre société étant détenues par des exploitants privés, l’Etat et le secteur privé œuvrent main dans la main en Allemagne pour assurer la protection efficace des installations, des établissements et des systèmes concernés. Dans ce contexte, les autorités chargées de la sécurité apportent leur soutien aux entreprises en les faisant bénéficier de conseils, de mises en réseau et de recommandations concrètes. Le secteur privé apporte, quant à lui, son expertise et son expérience pratique à ce partenariat. Le présent manuel est le fruit de cette coopération. S’adressant aux exploitants d’infrastructures critiques, il vise à leur apporter une aide pour élaborer et perfectionner leur propre gestion des risques et des crises. Partant des recommandations générales figurant dans la brochure « Protection d’infrastructures critiques – concepts de base de protection » (ministère fédéral de l’Intérieur, 2005), il expose plusieurs méthodes de mise en œuvre d’une gestion des risques et des crises, tout en les assortissant d’exemples et de check-lists. Lors de la conception de ce manuel, le ministère fédéral de l’Intérieur, l’Office fédéral pour la protection des populations et l’assistance en cas de catastrophes ainsi que l’Office fédéral pour la sécurité des techniques de l’information ont été assistés par des experts de la pratique entrepreneuriale. Aussi le ministère fédéral de l’Intérieur tient-il à exprimer ses remerciements à ■■ MM. Bernd Marquardt et Hans-Jürgen Penz – Berufsgenossenschaft der Banken, Versicherungen, Verwaltungen, freien Berufe und besonderer Unternehmen – Verwaltungs-Berufsgenossenschaft (Association mutuelle professionnelle d’assurance contre les accidents, secteur administratif – banques, assurances, administrations, professions libérales et entreprises spécifiques), ■■ M. Heinz-Peter Geil – Commerzbank AG, ■■ Mme Sonja Altstetter – Forschungszentrum Jülich GmbH, ■■ MM. Friedhelm Jungbluth et Jens Sanner – Fraport AG, ■■ M. Uwe Marquardt – Gelsenwasser AG, ■■ M. Wolfgang Czerni – Infraprotect GmbH, ■■ M. Frank Tesch – Trauboth Risk Management GmbH, ■■ M. Klaus Bockslaff – VERISMO GmbH, ainsi qu’à leurs collaboratrices et collaborateurs pour leur coopération tout au long des travaux qui ont donné naissance à ce manuel. Nous tenons également à remercier les partenaires suivants pour les conseils et suggestions qu’ils ont bien voulu nous apporter : la société EnBW Regional AG, l’Union générale des assureurs allemands (Gesamtverband der Deutschen Versicherungswirtschaft e. V.) ainsi que l’Association allemande pour la sécurité dans le secteur privé (Arbeitsgemeinschaft für Sicherheit der Wirtschaft e. V.). Faisant suite à l’adoption du plan KRITIS (mise en œuvre du plan national de protection des infrastructures d’information critiques) par le cabinet fédéral durant l’été 2007, le présent manuel constitue une nouvelle contribution du ministère fédéral de l’Intérieur : visant à renforcer la protection des infrastructures critiques, il souligne l’intérêt d’une collaboration confiante et constructive entre l’Etat et le secteur privé sur cet important chapitre de sécurité intérieure. Berlin, Janvier 2008 ������������������������ ����������������������������� 1 Sommaire Préface 1 Résumé 7 1. Introduction 9 2. Informations de base sur les infrastructures critiques 10 2.1 Secteurs 10 2.2 Environnement et caractéristiques 10 2.2.1 Evolution des menaces 10 2.2.2 Environnement socioéconomique 11 2.2.3 Caractéristiques particulières 12 2.3 Exigences juridiques relatives à la gestion des risques et des crises 13 3.Gestion des risques et des crises pour la protection des infrastructures critiques 14 3.1 Phase 1 : Planification préalable 15 3.1.1 Mise en place 15 3.1.2 Répartition des responsabilités 15 3.1.3 Ressources nécessaires 15 3.1.4 Clarification des obligations légales 15 3.1.5 Objectifs stratégiques de protection 15 3.1.6 Communication sur les risques 16 3.2 Phase 2 : Analyse des risques 16 3.2.1 Analyse de criticité 17 3.2.2 Identification des risques 18 3.2.2.1 Analyse des aléas et élaboration de scénarios 18 3.2.2.2 Analyse de vulnérabilité 19 3.2.2.3 Calcul des risques 20 3.2.2.4 Comparaison et évaluation des risques 21 3.3 Phase 3 : Mesures et stratégies préventives 21 3.3.1 Réduction des risques 21 3.3.2 Prévention des risques 22 3.3.3 Transfert des risques 22 3.3.4 Acceptation des risques (risques résiduels) 22 3.3.5 Expériences des assureurs de choses en matière de dommages 22 3.4 Phase 4 : Gestion des crises 3.4.1 L’organisation de la gestion des crises 24 3.4.1.1 Plan de crise 24 3.4.1.2 Organisation structurelle 25 3.4.1.2.1 3.4.1.2.2 3.4.1.2.3 3.4.1.2.4 25 26 26 26 3.4.1.3 Organisation fonctionnelle 3.4.1.3.1 Circuits de signalement et alerte 3.4.1.3.2 Communication de crise 26 27 29 3.4.1.4 Quartier général de la cellule de crise 30 3.4.2 Maîtrise de la crise Cellule de crise Directeur de la cellule de crise Equipe de la cellule de crise Consultants au sein de la cellule de crise 22 30 3.4.2.1 Tableau de la situation 31 3.4.2.2 Evaluation de la situation, adoption et mise en œuvre de mesures 32 3.4.2.3 Contrôle 32 3.4.2.4 Garantie de la continuité d’activité et de service 32 3.4.2.5 Retour à l’activité normale 32 3.4.2.6 Documentation de la maîtrise de la crise 32 3.4.3 Suivi post-crise 33 3.4.4 Exercices 33 3.5 Phase 5 : Evaluation de la gestion des risques et des crises 34 Annexe I. Bibliographie 36 II. Abréviations 38 III. Définitions 39 IV.Liste des aléas – Informations sur la nature, l’exposition, l’intensité et l’impact, ainsi que sur les personnes à contacter 44 V. Listes de contrôle 47 V.1 Mesures préventives 48 V.1.1 Gestion de risques et de crises – Généralités 48 V.1.2 Terrains, édifices, équipements – Crues 49 V.1.3 Terrains, édifices, équipements – Séismes 51 V.1.4 Terrains, édifices, équipements – Tempêtes 51 V.1.5 Terrains, édifices – Actes intentionnels d’origine criminelle et / ou terroriste V.1.6 Installations et équipements – Alimentation électrique 54 V.1.7 Installations et équipements – Informatique 56 V.1.8 Installations et équipements – Technologie de la communication 57 V.2 Audit de la gestion de crise V.2.1 Organisation générale 58 V.2.2 Personnel – Généralités 63 V.2.3 Gestion de la crise – Plan de pandémie (en particulier pandémie grippale) 58 64 V.3 Gestion de la crise V.3.1 Procédures générales en cas de crise 65 V.3.2 Procédures spéciales durant la crise 68 V.4 Retour d’expérience 72 V.5 Exercices 73 V.6 Choix et aménagement d’un QG de cellule de crise 52 65 75 VI.Exemple d’une analyse des risques 79 VI.1 Analyse de criticité 79 VI.2 Analyse des aléas et élaboration de scénarios 80 VI.3 Analyse de vulnérabilité 81 VI.4 Calcul du risque 82 VI.5 Comparaison des risques 85 6 Résumé Le présent manuel propose une stratégie de gestion visant à aider les exploitants des infrastructures critiques, c’est-à-dire des entreprises et des administrations, à identifier et répertorier les risques, à mettre en œuvre des mesures préventives et à gérer les crises de manière efficace. Le terme « infrastructure critique » désigne « les organisations et les établissements revêtant une importance particulière pour la collectivité publique et dont la défectuosité ou la perturbation provoqueraient des pénuries durables des approvisionnements, des dysfonctionnements considérables de la sécurité publique ou d’autres conséquences dramatiques ». L’histoire récente a montré que les infrastructures peuvent subir des dommages et que la perturbation des processus critiques peut avoir de lourdes conséquences sociales et économiques. En effet, les catastrophes naturelles, les défaillances techniques, les erreurs humaines, les actes de nature terroriste ou criminelle ainsi que les conflits armés peuvent être à l’origine de dégâts considérables. Pour les exploitants d’infrastructures critiques, il est essentiel de savoir identifier ces sources de dommages et de s’y préparer. En amont, l’enjeu sera donc de réussir à appréhender et à réduire au maximum ces menaces tout en se préparant au mieux aux crises inévitables. Tout en aidant à surmonter les ravages engendrés par les crises, ce type de démarche apporte une contribution à la valeur ajoutée des entreprises, leur permet de respecter les exigences réglementaires en matière de sécurité, et soutient les administrations dans leur mission. La stratégie de gestion des risques et des crises proposée dans le présent manuel se compose de cinq phases : la planification d’une gestion solide des risques et des crises ; l’analyse des risques, dont nous décrirons les aspects fondamentaux ; la mise en œuvre de mesures préventives ; la gestion des crises, dont nous présenterons divers aspects ; et enfin l’évaluation – sur laquelle nous fournirons quelques précisions – de la gestion des risques et des crises dans les établissements concernés. Par « établissement », nous entendons toute entreprise ou administration entrant dans la définition des infra structures critiques donnée ci-dessus. Phase 1 – planification préalable au sein de l’établissement Une préparation minutieuse de la gestion des risques et des crises est la condition sine qua non d’une mise en œuvre réussie de tout ou partie du présent manuel. Préalablement à cette mise en œuvre, certaines questions fondamentales doivent être abordées – comme l’ancrage de la gestion des risques et des crises au sein de l’établissement, la répartition des responsabilités, la mise à disposition des ressources nécessaires, la clarification des obligations légales de l’établissement en matière de gestion des risques et des crises, et la détermination des objectifs stratégiques de protection qui devront être atteints par l’entreprise ou l’administration concernée. Phase 2 – analyse des risques L’analyse des risques permet à l’établissement de bénéficier d’un aperçu structuré sur ses processus individuels, sur les aléas auxquels ces processus peuvent être exposés et sur leur vulnérabilité intrinsèque. Grâce au recoupement des informations obtenues, l’établissement peut analyser les risques pour tous les processus étudiés sur la base de scénarios individuels. Les informations recueillies peuvent faire l’objet de comparaisons qui permettront d’établir une image précise des risques, tout en dégageant des priorités. Confrontés aux objectifs stratégiques de protection déterminés en amont, les résultats de l’analyse des risques sont soumis à une évaluation. Si la plupart de ces objectifs n’ont pu être atteints, des mesures concrètes doivent être prises pour réduire les risques existants et alléger la gestion des crises. 7 Phase 3 – mesures et stratégies préventives Les mesures préventives permettent de restreindre les risques pesant sur les processus et, par là-même, sur les prestations de services ou la production. Renforçant la résistance des établissements face aux crises, elles peuvent non seulement réduire le nombre d’événements de crise, mais également leur intensité. Leur objectif est de protéger activement les éléments constitutifs de chaque établissement ou de créer des redondances. Il est également possible de prévenir, de transférer ou d’accepter les risques. Cela étant dit, il faut reconnaître que dans la plupart des cas, éviter les risques a tendance à réduire la flexibilité de l’entreprise ou de l’administration concernée, tandis que le transfert des risques ne réduit pas les risques physiques. Il garantit uniquement une compensation financière – loin, dans certains cas, de couvrir l’étendue des dommages provoqués. Phase 4 – gestion des crises Si, malgré les mesures préventives, une entreprise ou une administration venait à subir des dommages importants de quelque nature que ce soit, la gestion des crises devrait être à même d’élaborer une procédure spéciale afin de surmonter la situation. La gestion des crises comprend des structures et des procédures qui diffèrent de celles utilisées en temps normal. En cas de crise, le pouvoir décisionnel est concentré afin de pouvoir réagir le plus rapidement possible et de manière adaptée à la situation. Les effets de la crise sont alors amoindris et le temps nécessaire à un retour à la normale réduit. 8 Phase 5 – évaluation de la gestion des risques et des crises L’évaluation reprend toutes les phases de la gestion des risques et des crises : elle consiste à vérifier les exigences réglementaires identifiées lors de la phase de planification, la pertinence des profils de risques établis, ainsi que l’efficacité des mesures préventives et de la gestion des crises. Il convient d’effectuer cette évaluation régulièrement. Des évaluations supplémentaires peuvent s’avérer nécessaires, ■■ après la mise en œuvre des mesures, ■■ après un élargissement ou une modification de l’établissement ou ■■ lors d’une évolution des menaces. Les annexes du présent manuel comportent un exemple de mise en œuvre d’analyse des risques ainsi que des listes destinées à contrôler les mesures appliquées au sein de l’établissement. Pour toute question relative à ce manuel, veuillez contacter : Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Abteilung II Notfallvorsorge, Kritische Infrastrukturen Provinzialstraße 93 53127 Bonn Allemagne http://www.bbk.bund.de 1 Introduction Les infrastructures sont une composante essentielle de notre société hautement développée. Au quotidien, nous dépendons tous de leur disponibilité et nous attendons à pouvoir les utiliser sans restriction. Depuis 1997, la Fédération se penche sur la protection des infrastructures dites « critiques » afin de déterminer la nécessité de mesures de protection supplémentaires. Dans ce contexte, le terme d’infrastructure critique désigne « les organisations et les établissements revêtant une importance particulière pour la collectivité publique et dont la défectuosité ou la perturbation entraîneraient des pénuries durables des approvisionnements, des dysfonctionnements considérables de la sécurité publique ou d’autres conséquences dramati1 ques . » Aléas naturels, défaillances techniques, erreurs humaines et actes de nature criminelle ou terroriste menacent la disponibilité permanente de ces infrastructures qui, en cas de conflit armé en Allemagne, subiraient des dommages considérables. Depuis quelques années, les menaces n’ont cessé de changer de visage. Qu’il s’agisse d’aléas naturels ou d’actes volontaires à mobiles criminels ou terroristes, force est de constater une recrudescence d’événements extrêmes confrontant la société à de nouveaux défis. Parallèlement aux menaces, la vulnérabilité des infrastructures a elle aussi évolué. La plupart de leurs systèmes sont aujourd’hui reliés les uns aux autres sous une forme ou une autre – et de fait, toute perturbation dans un domaine quel qu’il soit peut se répercuter dans un autre lieu, dans une autre branche ou un autre secteur, et avoir ainsi des conséquences bien au-delà de son point d’origine. 1 Les ressources financières et humaines dont disposent les exploitants d’infrastructures critiques pour protéger leurs systèmes étant limitées, il est particulièrement important de les employer avec efficacité. Pour ce faire, il est indispensable de connaître les dangers et les risques existants tout en ayant la possibilité de comparer et d’évaluer ces risques afin d’en déterminer les caractéristiques principales. Une fois cette analyse réalisée, des mesures de protection précises pourront être mises en œuvre. Le présent document (« Protection des infrastructures critiques - gestion des risques et des crises, manuel destiné aux entreprises et aux administrations) est le fruit commun d’acteurs issus de plusieurs entreprises et administrations et d’un organisme scientifique. Il s’adresse à tous les secteurs et vise à servir d’instrument d’auto-analyse aux entreprises et aux administrations. Associant principes théoriques sur la gestion des risques et des crises et listes pratiques, ce document donne également un exemple d’analyse des risques afin de permettre aux entreprises et aux administrations de développer ou de consolider, seules ou avec une aide extérieure, une gestion efficace des risques et des crises. Pour la Fédération, le présent manuel vise avant tout à réduire les répercussions des événements extrêmes sur les infrastructures critiques et à améliorer la gestion des crises prévisibles. Définition des infrastructures critiques établie par le groupe de travail KRITIS du ministère fédéral de l’Intérieur (BMI) le 17 novembre 2003. 9 2 Informations de base sur les infrastructures critiques 2.1 Secteurs 2.2.1 Evolution des menaces Au sens de la définition des infrastructures critiques donnée dans l’introduction, les entreprises et les administrations sont essentiellement présentes dans les secteurs suivants : La perturbation des processus critiques des systèmes des infrastructures critiques peut entraîner de lourdes conséquences sur le plan social et économique. Si les exemples qui suivent ne permettent pas de conclure catégoriquement à une tendance à l’aggravation des menaces, ils confirment néanmoins la nécessité de disposer d’une protection durable des infrastructures critiques. ■■ énergie (électricité, hydrocarbures et gaz), ■■ approvisionnement (eau, denrées alimentaires, services de santé et d’urgence), ■■ technologies de l’information et de la communication (TIC), ■■ transport et circulation, ■■ substances dangereuses (industrie chimique et substances biologiques), ■■ banques et finances, ■■ pouvoirs / services publics et justice, ■■ médias, grands instituts de recherche et biens culturels. 2.2 Environnement et caractéristiques Les perturbations qu’ont subies dans l’histoire récente les infra structures critiques ont révélé deux caractéristiques récurrentes. Première caractéristique : les infrastructures ont été exposées à des incidences de large échelle, découlant en particulier d’aléas naturels. Les dommages se sont étendus sur le plan régional, suprarégional, national ou encore européen (exemple : inondations de l’Elbe en 2002 et ouragan Kyrill en 2007). Seconde caractéristique : dysfonctionnements et dommages locaux ont entraîné des perturbations qui se sont propagées bien au-delà de la zone d’origine en raison d’interactions et de liens dépassant les frontières géographiques et les systèmes (exemple : coupure d’un fil électrique au-dessus de l’Ems en 2006 ayant causé des pannes d’électricité dans certaines parties de l’Europe). Ainsi, l’environnement et les propriétés des infrastructures critiques ont non seulement changé, mais continuent également d’évoluer au fil du temps. Dans la partie qui suit, nous en analyserons les composantes clés afin d’établir les bases qui permettront d’élaborer une gestion adéquate des risques et des crises. Evénements météorologiques extrêmes Les événements extrêmes peuvent avoir des conséquences directes sur les systèmes des infrastructures. A l’heure actuelle il est encore difficile, en Allemagne, de se prononcer de manière définitive sur l’évolution des événements météorologiques extrêmes due au changement climatique : les informations collectées jusqu’ici sur le réchauffement climatique et ses répercussions sur le pays ne sont pas encore suffisantes. Toutefois, les données relevées commencent à révéler certaines tendances telles que l’augmentation des précipitations abondantes – tendances qui se sont confirmées en 1997 avec la crue de l’Oder, en 2002 avec celle de l’Elbe et en 2005 dans les Alpes2. Menaces sanitaires (pandémie de grippe) Le siècle dernier a été frappé par plusieurs pandémies de grippe. Particulièrement sévère, celle de 1918 (la grippe espagnole) fit plus de 50 millions de victimes. Aujourd’hui, on estime que l’apparition – par mutation – d’un nouveau virus extrêmement dangereux pour l’homme n’est qu’une question de temps. Aujourd’hui, toute nouvelle pandémie de grippe se propagerait dans le monde entier, et notamment en Allemagne, par le biais des points de jonction des réseaux de transport internationaux. Dès lors, toutes les sphères de notre société, y compris l’ensemble des entreprises et des administrations, seraient menacées. Dans la mesure où les pandémies peuvent avoir des répercussions sur la demande de produits et de services, les infrastructures économiques et la société tout entière seraient également mises en danger. Un grand nombre de ressources et de services disparaîtraient ou se 2 10 Rahmstorf et al., 2006, page 70. Informations de base sur les infrastructures critiques verraient proposés de manière réduite. Cette dépendance réciproque aurait pour conséquence un effet domino qui pourrait mener à la paralysie d’une grande partie de l’Etat, de l’économie et de la société3. D’après les simulations effectuées pour l’Allemagne, entre 15 et 50 % de la population pourrait être touchée4. Outre les employés malades, d’autres ne se rendraient pas à leur travail afin de soigner les membres de leur famille atteints ou simplement de peur d’être contaminés, ce qui aurait pour conséquence d’augmenter considérablement le taux d’absentéisme. Terrorisme international Aujourd’hui, le terrorisme international s’organise en réseaux de structure lâche dont les différentes cellules ne sont plus reliées que par des objectifs communs – chaque cellule opérant en large partie indépendamment des autres, sans structure centrale. Agissant dans la plus grande discrétion, ces réseaux font preuve de flexibilité et de rapidité5. En Allemagne, il n’est pas à exclure que les systèmes des infrastructures soient frappés par des attaques terroristes. En 2006, des attaques contre deux trains régionaux de la Deutsche Bahn ont échoué pour des raisons techniques. En 2007, un projet d’attentat contre plusieurs sites américains implantés en Allemagne a pu être découvert et déjoué à temps. Technologie de l’information Tous les jours ou presque, les médias relatent des cas de piratage informatique ou d’espionnage industriel et économique. Parallèlement à ces menaces, les défaillances techniques de matériel ou de logiciels ou encore une simple erreur humaine dans l’utilisation des TIC peuvent entraîner des répercussions et des dommages importants sur les infrastructures critiques. La panne d’électricité à grande échelle qu’ont connue les Etats-Unis et le Canada en 2003, due en grande partie à une défaillance de la technologie de contrôle, en est un exemple typique. Autre exemple : celui de l’effondrement de l’ensemble du système de cartes EC en Suisse en 2000, provoqué par un dysfonctionnement dans un centre de calcul. 2.2.2 Environnement socioéconomique Une dépendance croissante Aujourd’hui, entreprises et administrations sont de plus en plus dépendantes de services et de produits qui leur sont externes. A cet égard, l’approvisionnement en électricité occupe une place particulièrement importante – car la quasitotalité des services reposent plus ou moins directement sur le bon fonctionnement du réseau électrique. 3 Perception subjective des risques Les entreprises et les administrations investissent beaucoup dans la sécurité de leurs établissements et partent du principe que ces investissements sont efficaces. La plupart du temps, cependant, les effets positifs des mesures de sécurité sont difficilement mesurables. Plutôt que de mesurer, la tendance sera donc de considérer les longues périodes exemptes de crises comme une confirmation de l’efficacité des mesures qui ont été prises. Or, ce raisonnement peut amener à ne plus savoir repérer les dangers potentiels ni les domaines vulnérables. Dans la pratique, les risques qui sont identifiés sont souvent ceux qui semblent gérables ou contrôlables et dont la relation de cause à effet apparaît comme évidente6. Les autres risques sont partiellement ignorés, consciemment ou non – si bien que lors de la mise en œuvre de mesures préventives, les répercussions éventuelles de tels risques ne sont pas prises en compte. Evolution démographique En Allemagne, du fait de l’évolution de la pyramide des âges et des répercussions des migrations sur la densité de population, les infrastructures critiques doivent répondre à de nouveaux défis – ce qui ne va pas sans influencer certains aspects essentiels de la sécurité. Une baisse des besoins en eau, et donc une réduction de la distribution d’eau au consommateur final, pourraient par exemple entraîner des problèmes d’ordre sanitaire dans les usines de distribution d’eau. Evolution de l’environnement économique7 Les évolutions du marché – comme celles qu’engendrent la libéralisation économique ou encore la privatisation d’infra structures étatiques – peuvent elles aussi influencer le niveau de sécurité et les investissements afférents aux mesures de sécurité. Aujourd’hui, la concurrence et la pression sur les prix tendent à créer un environnement qui laisse peu de place à des mesures de sécurité telles que les systèmes redondants et autres marges de sécurité. Si les exigences des réglementations en vigueur sont la plupart du temps respectées, il est néanmoins possible, grâce à des méthodes de calculs de plus en plus précises, de profiter d’une certaine latitude d’appréciation et de réduire les marges de sécurité. Or, ce sont précisément ces marges qui peuvent venir à manquer en cas de situation de crise. Office fédéral pour la protection des populations et l’assistance en cas de catastrophes, 2007. 4 Institut Robert Koch, 2007, page 4. 6 Dost, 2006. 5 Cf. Lewis, 2006, page 1. 7 Cf. International Risk Governance Council, 2006, pages 11–17. 11 2.2.3 Caractéristiques particulières Interconnexion au sein des secteurs C’est grâce à des réseaux physiques, virtuels ou logiques que les infrastructures peuvent desservir des zones à large échelle. En croissance constante et de plus en plus complexes, ces réseaux sont constitués de nœuds qui sont autant de points névralgiques pouvant s’avérer vulnérables et dont la perturbation entraînerait des défaillances aux niveaux régional, suprarégional, national voire mondial. Or, c’est sur ce type de réseau que reposent – notamment – l’approvisionnement en électricité, en eau et en gaz ainsi que les technologies de l’information et de la communication. Interconnexions entre les secteurs (interdépendance) Les systèmes des infrastructures se caractérisent par leur haut degré d’interconnexion. Du fait du développement extrêmement rapide qu’ont connu les technologies de l’information durant les quinze dernières années, cette évolution s’est accélérée. Aujourd’hui, les interconnexions entraînent non seulement une amélioration des processus d’approvisionnement, mais également des interdépendances dont la portée ne peut faire l’objet, dans bien des cas, que d’une estimation qualitative. Nombre de dépendances physiques, virtuelles ou logiques ne sont en effet découvertes qu’en cas de crise, c’est-à-dire le jour où elles viennent à manquer. Un haut degré d’interdépendances peut en effet déclencher des pannes en cascade8. Dans le même temps, il suffit de dysfonctionnements de plus en plus minimes pour que des systèmes complexes soient victimes de conséquences dramatiques (« paradoxe de vulnérabilité9 »). Le schéma 1 illustre la dépendance réciproque (interdépendance) d’un certain nombre d’infrastructures critiques. Dans un premier temps, seules les dépendances directes existant entre les différents secteurs et les différentes branches ont été prises en compte. Evolution de l’environnement technologique Les technologies, en particulier celles de l’information, évoluent à un rythme effréné. Souvent, les derniers développements ne s’appliquent qu’à certains domaines. Les nouveaux composants côtoient alors les anciens et sont introduits dans des procédures déjà vieillissantes. L’insuffisance de tests, le manque de finition et les défaillances des nouveaux équipements et logiciels informatiques vers lesquels certaines migrations n’ont en outre pas été prévues, l’incompatibilité des systèmes ainsi que le manque de formation des employés relative à ces nouveaux composants entraînent des failles dans la sécurité qui, dans certaines circonstances, pourraient provoquer la défaillance du système tout entier. Types de sinistres Les infrastructures critiques peuvent être confrontées à de nombreux types de sinistres. Il peut s’agir de dommages corporels, matériels, économiques ou encore psychologiques tels qu’une inquiétude constante ou encore la perte de confiance de la population envers les autorités politiques. 8 Cf. Lewis, 2006, page 57. 9 Rosenthal, 1992, pages 74–75. Illustration 1 : Interdépendances entre certaines infrastructures critiques Organismes de recherche Gouvernement, administrations Biens culturels Radio Substances dangereuses Soins de santé Services financiers et assurances Services d’urgence et de secours Approvisionnement en eau et traitement de l’eau Approvisionnement en énergie (électricité, hydrocarbures, gaz) Transport, circulation, logistique et services postaux Technologies de l’information et de la communication Approvisionement en denrées alimentaires 12 Informations de base sur les infrastructures critiques 2.3 Exigences juridiques relatives à la gestion des risques et des crises Actuellement, un certain nombre d’exigences juridiques générales régissent la gestion des risques et des crises dans les sociétés anonymes (SA) et les grandes entreprises à responsabilité limitée (SARL). Dans le secteur financier, un certain nombre de dispositions particulières revêtent un caractère obligatoire dans la pratique – comme le respect d’un niveau minimal d’exigences en matière de gestion des risques (MaRisk). Dans ces dispositions, le concept de sécurité de l’entreprise englobe la protection des personnes et des biens matériels – tels que les bâtiments et les installations – ainsi que le maintien de l’activité commerciale en cas de dysfonctionnement ou de crise quels qu’ils soient (crise boursière, catastrophe naturelle ou attaque terroriste). La loi allemande sur le contrôle et la transparence dans l’entreprise (KonTraG) ajoute à celle sur les sociétés anonymes l’obligation de mettre en place un système de surveillance pour gérer les risques de l’entreprise. Cette loi concerne uniquement les sociétés anonymes mais s’applique également, dans la pratique, aux sociétés en commandite par actions et aux grandes SARL – en particulier celles qui possèdent un conseil de surveillance, qu’il soit facultatif ou soumis aux règles de la cogestion. Les risques liés au marché sont souvent gérés dans le respect de la loi allemande sur le contrôle et la transparence dans l’entreprise. En revanche, les risques sécuritaires10 et les risques liés aux catastrophes naturelles sont souvent sousestimés, bien que la loi s’applique à tous les risques pouvant menacer l’existence d’une entreprise. En vertu de l’article 91, paragraphe 2, de la loi allemande sur les sociétés anonymes, le directoire de telles sociétés, leur conseil de surveillance et leurs commissaires aux comptes sont tenus de « ...prendre les mesures qui s’imposent, dont la mise en place d’un système de surveillance, afin d’identifier au plus tôt l’apparition d’évolutions menaçant le maintien de l’entreprise ». Le législateur ne mentionnant aucune méthode de référence, la mise en œuvre concrète de ces mesures reste toutefois à l’appréciation de chaque entreprise. Cela étant dit, le système de surveillance interne doit permettre d’identifier à temps l’apparition d’évolutions dangereuses – c’est-à-dire suffisamment tôt pour que les mesures garantissant le maintien de l’activité de l’entreprise puissent être prises. Au sein de chaque société, la direction a donc l’obligation légale de mettre en place un système efficace de gestion des risques. En cas de manquement à cette obligation, le commissaire aux comptes peut refuser de certifier la comptabilité de l’entreprise. Ce dernier est par conséquent tenu de vérifier que le directoire a pris soin de mettre en place un système adéquat pour gérer les risques (article 317, paragraphe 4, du code du commerce allemand). Outre l’évaluation des risques, ce système doit comprendre l’étude de toutes les causes possibles d’arrêt de l’activité de l’entreprise, la mise en place de mesures systématiques permettant d’éviter de tels arrêts, ainsi que l’établissement et la révision régulière d’un plan 11 d’urgence . Au titre de l’article 76, paragraphe 1, de la loi allemande sur les sociétés anonymes, la mise en place d’un système de surveillance fait partie des obligations générales du directoire. En cas de sinistre et de négligence entraînant sa responsabilité, ce dernier peut donc, comme le stipule l’article 93, paragraphe 2, de ladite loi, être condamné au paiement de dommages et intérêts. A l’instar de la loi allemande sur le contrôle et la transparence dans l’entreprise, le droit européen harmonisé des assurances « Solvabilité II » exige lui aussi que la gestion des risques en entreprise tienne compte de tous les risques auxquels les assureurs peuvent être confrontés. En incluant les risques possibles dans les clauses du contrat, l’assureur peut soumettre la couverture d’assurance à la condition que l’assuré prenne des mesures préventives – ce qui revient implicitement à dire que l’assuré doit disposer d’un système de gestion des risques. En vertu de l’article 6, paragraphe 1, de la loi allemande sur le contrat d’assurance, tout manquement aux clauses de l’assurance entraîne l’annulation de la couverture. Destinés à minimiser les crises dans le secteur bancaire, les accords de Bâle II sur les capitaux propres exigent explicitement qu’en cas de prêt, il ne soit pas seulement tenu compte des risques liés au marché et au crédit, mais également des risques opérationnels encourus par les banques. Même si les accords de Bâle II ne concernent que les institutions financières, il n’est pas exclu que les banques exigent à leur tour des entreprises un compte-rendu relatif à leurs risques – ce qui signifierait que l’octroi de prêts dépendrait de l’existence d’un système de gestion des risques. Considérant et intégrant tous les risques de manière suffisante, un tel système réduirait les risques de défaut de paiement et permettrait la négociation de conditions de prêt plus avantageuses auprès des banques. 10 Voir à ce sujet : ministère fédéral de l’Intérieur, 2005. 11 Cf. Bockslaff, 1999, page 109. 13 3 Gestion des risques et des crises pour la protection des infrastructures critiques Tel que nous l’exposons dans le présent manuel, le concept de gestion des risques et des crises s’inscrit dans un processus systématique et s’articule autour de cinq phases différentes. Correspondant au champ que doit couvrir toute gestion des risques et des crises liée aux processus dans les entreprises et les administrations, ces cinq phases sont les suivantes : une phase de planification préalable visant à élaborer une gestion des risques et des crises (phase 1), une analyse des risques (phase 2), la description de mesures préventives (phase 3), la mise en place d’une gestion des crises (phase 4) et l’évaluation régulière des phases 1 à 4 (phase 5). Le schéma 2 illustre ce concept et son déroulement. La gestion des risques et des crises que nous décrivons ici repose sur un cycle général de gestion PDCA (« Plan, Do, Check, Act »). Cette démarche permet d’intégrer ladite gestion dans des structures de gestion déjà existantes – telles que la gestion de la qualité, la gestion des risques et des crises déjà en place ou encore la gestion des processus propre à l’établissement concerné. Dans ce contexte, le terme « établissement » désigne les entreprises et les administrations entrant dans la définition des infrastructures critiques donnée en introduction. Illustration 2 : C oncept en cinq phases de la gestion des risques et des crises12 Illustration 3 : P rocessus de gestion des risques et des crises selon le cycle PDCA13 Phase 1 : Planification préalable ACT Phase 2 : Analyse des risques Analyse de criticité PLAN • Mesures préventives • Mise en place d’un système de gestion des crises • Planification • Comparaison des risques • Estimation des risques • Vérification des objectifs de protection • Evaluation • Analyse de criticité • Identification des risques Identification des risques Analyse des dangers Analyse de vulnérabilité Calcul du risque Comparaison des risques, évaluation des risques Objectifs opérationnels de protection Objectifs de protection stratégiques et opérationnels remplis ? Phase 5 : Evaluation Communication relative aux risques, documentation sur tous les processus Elaboration / consolidation de la gestion des risques et des crises Objectifs stratégiques de protection CHECK DO Oui Non Phase 3 : Mesures préventives 12 Phase 4 : Gestion des crises Cf. Australian / New Zealand Standard, 2004, page 13 et Trauboth, 2002, page 23. 13 Cf. Gesellschaft für Anlagen- und Reaktorensicherheit (Société allemande pour la sûreté des installations et des réacteurs nucléaires), 2007, page 21. 14 Gestion des risques et des crises pour la protection des infrastructures critiques 3.1 Phase 1 : Planification préalable 3.1.3 Ressources nécessaires La mise en place réussie d’une gestion des risques et des crises au sein d’une entreprise ou d’une administration passe par une planification minutieuse. Les besoins relatifs à la mise en place d’une gestion des risques et des crises doivent être estimés en amont. Si cela s’avère nécessaire, un groupe de travail interdisciplinaire formé d’employés de l’établissement peut être constitué pour assister le chef de projet et se charger d’un certain nombre de tâches bien délimitées. Il est avantageux que les membres du groupe de travail aient une vue d’ensemble sur la structure de l’entreprise ou de l’administration concernée et il est préférable que tous les échelons de la hiérarchie soient représentés au sein dudit groupe de travail. Avant de mettre en pratique le présent manuel, il convient de répondre à certaines questions de fond. Ces questions porteront avant tout sur les points suivants : la manière dont la direction de l’établissement concerné met en place la gestion des risques et des crises, l’adhésion à la méthode adoptée, la répartition des responsabilités, l’allocation des ressources nécessaires et l’établissement d’objectifs stratégiques de protection. 3.1.1 Mise en place C’est à la direction qu’il revient de lancer la création ou la consolidation de la gestion des risques et des crises, et de définir clairement les objectifs poursuivis. Ladite gestion doit être non seulement mise en œuvre mais également appliquée au niveau opérationnel. Le personnel doit être impliqué dans le processus. Des efforts particuliers doivent être déployés pour faire prendre conscience des risques à l’ensemble du personnel de l’établissement (par le biais d’une politique des risques ferme et transparente) : en effet, la qualité de la gestion des risques dépend en large partie de l’adhésion et de la motivation des employés. 3.1.2 Répartition des responsabilités La mise en place d’une gestion des risques et des crises doit de préférence être dirigée par un chef de projet spécialisé, qui sera responsable du contenu du projet et consultera, si besoin est, la direction de l’établissement. Il serait judicieux de choisir ce chef de projet au sein de l’entreprise ou de l’administration concernée. Les décisions majeures liées soit à la mise en place soit à la consolidation de la gestion des risques et des crises seront prises par la direction de l’établissement – notamment lorsqu’il s’agira de questions touchant à l’octroi de ressources financières ou humaines. Si l’établissement ne dispose pas de l’expertise nécessaire en matière de gestion des risques et des crises, il est possible de former le personnel interne ou de combler les lacunes en faisant appel à des prestataires externes. Les ressources nécessaires à la mise en œuvre de la gestion des risques et des crises devront être identifiées au cours du projet. 3.1.4 Clarification des obligations légales Dans le cadre de la planification préalable à la mise en place d’une gestion des risques et des crises, il est nécessaire de clarifier les obligations légales. 3.1.5 Objectifs stratégiques de protection La mise en place d’une gestion des risques et des crises nécessite de formuler des objectifs stratégiques de protection. Ils définissent les buts à atteindre sur l’ensemble du processus. Les objectifs de protection sont fortement influencés par des aspects éthiques, opérationnels, techniques, financiers, légaux, sociaux et environnementaux14. Ils présentent les caractéristiques suivantes : ■■ ils décrivent les buts à atteindre, ■■ ils apportent des solutions pour la mise en place des différentes mesures et ■■ ils sont spécifiques, mesurables, réalisables, réalistes et définis dans le temps. Dans la mesure où il est très difficile de définir à l’avance les responsabilités qui devront être attribuées dans le cadre de la mise en œuvre de la gestion des risques et des crises, ces responsabilités seront établies au fur et à mesure. 14 Australian / New Zealand Standard, 2004, page 15. 15 En voici quelques exemples : déterminent son efficacité : la confiance que l’audience accorde à la source et la crédibilité de cette dernière.16 ■■ meilleure protection possible pour le personnel et les autres personnes présentes (les clients, par exemple), ■■ le maintien des capacités de fonctionnement de l’établis- 3.2 Phase 2 : Analyse des risques sement, même en cas de situation extrême, ■■ respect des obligations légales, ■■ prévention contre d’importants dommages économiques et ■■ prévention contre une éventuelle dégradation de l’image de l’établissement. 3.1.6 Communication sur les risques D’une manière générale, la communication sur les risques concerne « tous les processus de communication liés à l’identification, l’analyse, l’évaluation et la gestion des risques ainsi que les interactions qui en découlent entre les personnes impliquées15». La communication sur les risques constitue une plateforme sur laquelle se déploient à la fois la conscience et l’acceptation des risques au sein des entreprises et des administrations – deux aspects indispensables à une gestion efficace des risques. Dans le contexte actuel, les établissements doivent clairement différencier communication interne et communication externe. L’analyse des risques structure et objective les informations accumulées sur les dangers et les risques dans les entreprises et les administrations. Dans le présent manuel, les risques se rapportent à des processus et à leurs éléments constitutifs. Or, c’est précisément en analysant divers processus avec leurs éléments constitutifs que la phase 2 fait ressortir les risques sous-jacents pour les établissements – tout en permettant d’établir des comparaisons grâce auxquelles il sera possible de déterminer des degrés d’urgence et d’établir des priorités entre les mesures à même d’avoir un impact décisif sur les risques identifiés. Ce faisant, l’analyse des risques jette les bases d’un travail efficace avec des ressources financières et humaines limitées. L’analyse des risques au sens où l’entend le présent manuel répond aux questions suivantes : ■■ Quels sont les types d’aléas pouvant se manifester ? ■■ Quelles sont les probabilités que ces aléas se manifestent sur les sites de l’établissement ? ■■ Quels sont les points vulnérables sensibles aux incidences La communication interne sur les risques se réfère à toutes les interactions communicatives touchant de près ou de loin aux risques au sein même de l’établissement – de la mise en place du système à l’évaluation de la gestion des risques. Au moment de la mise en place du système, il convient d’apporter une attention particulière à la communication interne : il est en effet primordial d’établir aussi tôt que possible un dialogue avec les futurs responsables sur l’objet et les objectifs de la gestion des risques. La réussite de la communication interne sur les risques est déterminante pour une bonne communication externe. La communication externe sur les risques ne se contente pas d’informer et d’instruire les médias et les personnes concernées. Elle vise également à établir un dialogue personnalisé avec chaque interlocuteur. Dans ce contexte, il faut garder à l’esprit qu’en matière de communication sur les risques, tout malentendu entre émetteur et destinataire du message doit être évité. A titre d’exemple, l’expérience montre que les risques ne sont pas perçus de la même manière par les spécialistes et par les profanes. Afin d’éviter toute issue inacceptable, la communication externe sur les risques doit toujours se faire au bon moment et de manière claire. Elle doit également être adaptée au destinataire, cohérente et fiable. Deux facteurs de l’aléa ? Ces questions montrent que l’analyse des risques inhérents à un processus et à ses éléments constitutifs renseigne non seulement sur les aléas, mais également sur la vulnérabilité dudit processus et de ses éléments constitutifs. Le présent manuel traite de processus opérationnels. Ces processus se décomposent en processus clés et en processus d’accompagnement. Dans la mesure où nous n’opèrerons aucune distinction entre ces deux types de processus dans les parties qui suivent, nous parlerons simplement de processus et sous-processus. Par sous-processus, nous entendrons – dans le présent manuel – les différentes parties d’un processus. Le point de départ d’une analyse des risques consiste à subdiviser l’entreprise ou l’administration en processus et en sous-processus. L’établissement décide lui-même du niveau de subdivision à adopter. Par exemple, une salle de contrôle identifiée comme faisant partie d’un processus pourra être définie comme sous-processus qui pourra, à son tour, être subdivisé en plusieurs autres sous-processus. Plus la subdivision est précise, plus l’analyse des risques sera coûteuse en 17 temps et en argent ; mais elle n’en sera que plus pertinente . 15 Jungermann et al., 1991, page 5. 16 Vous trouverez de plus amples renseignements sur la planification 16 17 Vous trouvez de plus amples renseignements sur les processus et la de la communication sur les risques dans Wiedemann et al., 2000, représentation des processus dans Gesellschaft für Anlagen- und ainsi que dans Gray et al., 2000. Reaktorsicherheit 2007. Gestion des risques et des crises pour la protection des infrastructures critiques tinés à la production, au stockage ou à l’administration, et les garages. Illustration 4 : P rocessus, sous-processus et éléments de risque Début du processus Début du processus Installations et appareils : Les installations et les appareils des sous-processus peuvent se trouver à tous les niveaux de la chaîne de production de l’établissement, et plus particulièrement dans les domaines suivants : Fin du processus Sous-processus 3 Sous-processus divisés en trois autres sous-processus Sous-processus 3.1 Sous-processus 3.2 Sous-processus 3.3 Eléments de risque : • Personnel • Terrains • Bâtiments • Installations et appareils • Installations et appareils spécifiques à l’établissement • Données et documents • Moyens de production REMARQUE IMPORTANTE : L’identification des éléments de risque à la fois pertinents et spécifiques à l’établissement concerné est l’un des facteurs déterminants pour la réussite de l’analyse des risques. Il est en effet fréquent que les processus critiques dépendent directement des installations et des appareils spécifiques à chaque établissement. Le schéma 4 représente un processus et ses sous-processus ainsi qu’un exemple de subdivision d’un sous-processus en plusieurs autres sous-processus – avec les éléments dont ils sont constitués. Par éléments constitutifs des sous-processus, nous entendons les facteurs contribuant au bon fonctionnement d’un processus. Dans le présent manuel, nous qualifions ces éléments d’« éléments de risque » : éléments individuels matériels ou immatériels, ils sont susceptibles d’être endommagés – ce qui pourrait entraîner la perturbation du sous-processus en question. Le présent manuel traite des éléments de risque suivants : Autres installations et appareils spécifiques à l’établissement : Dans cette catégorie sont compris toutes les installations 18 spéciales et tous les appareils spéciaux . Données et documents : Sont considérées comme données et documents toutes les informations sous format électronique ou sur papier nécessaires au maintien de l’activité de sous-processus donnés au sein de l’établissement. ■■ Vies humaines (personnel et autres personnes présentes) : Il est essentiel de protéger de manière suffisante toutes les personnes présentes contre les incidences des aléas et de les mettre à l’abri en cas de danger imminent. A cet effet, l’ensemble des entreprises et des administrations sont tenues de prendre certaines précautions afin de garantir aux personnes présentes la meilleure protection possible en cas d’incident et ce, avant l’arrivée et après le départ des pompiers, des secours et de la police. Au regard du maintien du fonctionnement des sous-processus, les employés et en particulier le personnel spécialisé constituent des éléments de risque. Terrains : Font partie des terrains toutes les surfaces en plein air destinées à la circulation, au stockage ou au parking, les espaces verts et les aires essentielles à l’activité de l’établissement. Bâtiments : Les bâtiments comprennent toutes les structures construites en souterrain ou en surface, comme les bâtiments des- • approvisionnement en électricité, • approvisionnement en gaz, • chauffage urbain, • approvisionnement en eau, • technologies de l’information (TI), • technologies de la communication (TC) et • transports (y compris les véhicules et le carburant). Moyens de fonctionnement : Dans le présent manuel, les moyens de fonctionnement comprennent tous les moyens de production ne figurant pas dans les points précédents. 3.2.1 Analyse de criticité L’analyse de criticité permet d’identifier quels sont, parmi tous les processus de l’établissement concerné, ceux dont la perturbation aurait des conséquences importantes sur l’entreprise ou l’administration en question. Appelés processus critiques, ils doivent être protégés de manière suffisante par 18 Exemples : Eléments de contrôle, logiciels, appareils médicaux, installations techniques particulières dans les bâtiments, sas de sécurité, dépôts de carburant, avions. 17 le biais de mesures adaptées. Dans un premier temps, l’identification des risques, et tout particulièrement les mesures préventives retenues pour réduire ces risques, doivent s’intéresser aux éléments de risque des sous-processus issus des processus critiques. des sous-processus qui les composent ainsi que des éléments de risque que comportent ces sous-processus. L’identification des processus critiques peut s’appuyer sur les critères suivants19 : Les risques encourus par un établissement sont déterminés non seulement par les aléas susceptibles de se manifester sur son site (ou ses sites) et de menacer les éléments de risque, mais également par la vulnérabilité desdits éléments. C’est en rapprochant les informations pertinentes sur ces aléas et cette vulnérabilité qu’il est possible de calculer les risques pesant sur les éléments examinés et – à condition de les regrouper – sur les sous-processus analysés. Dans le présent manuel, les risques pesant sur les éléments de risques seront appelés risques partiels, tandis que l’ensemble des risques pesant sur les sous-processus sera désigné par le terme de risques globaux. Dans la partie qui suit, nous nous attacherons à décrire les différents aspects de l’identification des risques. Vie et santé humaines : Quelles sont les répercussions de la perturbation du processus sur la vie et la santé humaines ? Facteur temporel : En combien de temps la perturbation du processus se répercute-t-elle sur l’ensemble de la production de biens ou de services de l’établissement ? Plus ce laps de temps est court, plus le processus est critique. Volume : Quel volume de l’ensemble des biens et services serait concerné en cas de perturbation ou d’arrêt total du processus étudié ? Conséquences contractuelles, réglementaires et légales : Quelles répercussions la perturbation du processus en question aurait-elle sur l’établissement d’un point de vue contractuel, réglementaire et légal ? Dommages économiques : A combien peuvent être estimés les dommages économiques subis par l’établissement du fait de la perturbation du processus en question ? C’est à l’établissement concerné qu’il revient de déterminer les critères à prendre en compte et à considérer parallèlement, et la classification à adopter. L’analyse de criticité aboutit à l’identification et au listage de tous les processus critiques au sein de l’entreprise ou de l’administration concernée, et permet de dresser une description 19 The Business Continuity Institute, 2005, page 26. 20 L’annexe IV fournit un aperçu des dangers éventuels et de leurs 3.2.2 Identification des risques 3.2.2.1 Analyse des aléas et élaboration de scénarios Une analyse des risques réussie passe par l’identification et la documentation de tous les aléas pertinents. La première étape de l’analyse des aléas et de l’élaboration de scénarios consiste à lister les aléas pouvant se manifester sur le(s) site(s) de l’établissement. Cette liste complète indique les caractéristiques générales desdits aléas, leur intensité, leur durée ainsi que leurs 20 éventuelles conséquences . Grâce à la liste des aléas spécifiques à un site, il est ensuite possible d’établir plusieurs scénarios. Ces derniers contiennent des informations complémentaires nécessitées dans le cadre de l’analyse des risques et de la gestion des crises. Les scénarios doivent mettre en scène des événements réalistes pouvant mener à une situation de crise. Le nombre de scénarios abordés dans l’analyse sera déterminé par le professionnel en charge de la gestion des risques et des crises – l’objectif étant de couvrir de manière la plus exhaustive possible tous les aléas potentiels. Chaque scénario devra comprendre les informations complémentaires suivantes : Degré d’exposition attendu Quels sont les sous-processus et les éléments de risques susceptibles d’être concernés ? caractéristiques ainsi que d’interlocuteurs pouvant être contactés pour l’analyse de ces dangers. La liste des dangers donnée en annexe se limite aux événements liés aux catastrophes naturelles, aux défaillances techniques, aux erreurs humaines, aux actes intentionnels et aux conflits armés. Cette liste n’est en aucun cas exhaustive et peut, le cas échéant, être complétée par les éléments propres à chac un et par des types de dangers supplémentaires. A titre d’exemple, le présent manuel ne prend pas en compte les dangers survenant progressivement et pouvant entraîner des risques financiers, stratégiques ou de marché. 18 REMARQUE IMPORTANTE : La perturbation d’un processus, d’un sous-processus ou d’un élément de risque est principalement déterminée par son degré d’exposition. Tout comme les incidences sur le plan local, les expositions à grande échelle peuvent entraîner des pannes – le critère déterminant étant le degré d’atteinte des sous-processus et des éléments de risque. Gestion des risques et des crises pour la protection des infrastructures critiques Degré d’intensité attendu Quel est le potentiel de destruction du scénario sur les sous-processus et leurs éléments de risque ? pratique, lors de l’élaboration de scénarios au sein des entreprises et des administrations, il est recommandé d’estimer les pro21 babilités de survenance à l’aide d’un système de classification . Durée attendue Combien de temps l’événement peut-il durer ? Les scénarios retenus devront être régulièrement contrôlés, retravaillés et complétés. En cas de besoin, d’autres scénarios pertinents pourront venir compléter les scénarios existants, afin de garantir l’identification d’un maximum de risques spécifiques à l’établissement. Alerte préventive Combien de temps peut-il s’écouler entre l’alerte préventive et l’événement ? Effets secondaires Quels seraient les effets engendrés par les dépendances entre les processus ? Quelles conséquences psychologiques l’événement pourrait-il entraîner ? Quels impacts l’événement aurait-t-il sur l’opinion publique et quelles seraient les retombées médiatiques ? Incidents de référence Quels événements de référence peuvent servir à illustrer le scénario envisagé ? Probabilité de survenance Quelle est, d’après les estimations ou les calculs, la probabilité de survenance de l’événement ? Bien souvent, il est impossible de déterminer avec précision la probabilité de survenance d’un scénario dont l’intensité, l’ampleur géographique, la durée, l’alerte préventive et les effets secondaires ont été définis au préalable. A titre d’exemple, seules certaines catastrophes naturelles et certaines défaillances de composants ont fait l’objet de longues séries d’observations permettant de calculer des probabilités de survenance. Dans la 3.2.2.2 Analyse de vulnérabilité Outre les aléas potentiels, la vulnérabilité des sous-processus et des éléments de risque est essentielle pour déterminer le type et l’ampleur des dommages pouvant être causés à l’établissement. Plus le degré de vulnérabilité des sous-processus et des éléments de risque sera élevé, plus l’impact des aléas sur les services ou produits de l’établissement pourra être important. Le calcul de la vulnérabilité des sous-processus et des différents éléments de risque se fait à l’aide d’un catalogue de critères. Il peut également se faire par le biais d’un système de 22 classification . La liste de critères présentée ci-dessous aidera les établissements à dresser un catalogue adapté à leur propre situation ou bien à compléter le leur. Dépendance vis-à-vis des éléments de risque Lorsque la performance d’un sous-processus donné est dépendante d’un élément de risque, l’éventuelle indisponibilité ou modification de ce dernier rend le sous-processus vulnérable. Dans le cadre du calcul des risques, ce critère peut servir de pondération pour mesurer l’importance d’un certain nombre d’éléments de risque vis-à-vis 23 d’un sous-processus donné . REMARQUE IMPORTANTE – dépendances et élaboration des scénarios : En général, les événements extrêmes provoquent un grand nombre de perturbations. Une coupure de courant peut par exemple avoir des répercussions sur l’approvisionnement externe en eau ou empêcher les prestations de services de certains fournisseurs. Pour élaborer les scénarios, il convient de les considérer séparément les uns des autres. A titre d’exemple, scénario 1 : défaillance de l’approvisionnement externe en électricité, scénario 2 : défaillance de l’approvisionnement externe en eau. Cela permet d’éviter d’obtenir un nombre réduit de scénarios très complexes dont les répercussions sont difficilement prévisibles. Dépendance vis-à-vis des infrastructures externes Lorsque la performance d’un élément de risque est dépendante d’une infrastructure externe, l’éventuelle indisponibilité ou modification de cette dernière rend cet élément de risque vulnérable. 21 L’exemple d’analyse des risques fourni en annexe VI se fonde sur une classification à cinq niveaux de la probabilité de survenance d’un scénario réaliste. 22 L’exemple d’analyse des risques fourni en annexe VI recourt à une échelle à six niveaux pour appréhender la vulnérabilité (y compris un niveau 0 signifiant « non pertinent »). 23 Dans l’exemple d’analyse des risques fourni en annexe, ce critère est Cependant, les scénarios devront tenir compte des effets marginaux découlant d’un certain nombre de dépendances. Cela vaut particulièrement pour les effets entraînant une aggravation des répercussions. utilisé comme facteur de pondération. Il entre dans le calcul des risques en tant que facteur individuel. Les estimations des autres critères de vulnérabilité sont additionnées et utilisées en tant que facteur global dans le calcul des risques. 19 Dépendance vis-à-vis de conditions environnementales spécifiques Les établissements opèrent dans les conditions environnementales existantes sur leur(s) site(s). Un établissement dépendant de conditions environnementales extrêmement spécifiques est vulnérable aux modifications éventuelles de ces conditions. Dépendance vis-à-vis des infrastructures internes Lorsque la performance d’un élément de risque est dépendante d’une infrastructure interne, l’éventuelle indisponibilité de cette dernière rend cet élément de risque vulnérable. Robustesse La robustesse physique (en particulier des installations, des appareils et des bâtiments) détermine l’ampleur des dommages que subiraient les éléments de risque en cas d’événement extrême – et par là-même l’ampleur de la perturbation du ou des sous-processus concerné(s). Niveau de protection atteint Lorsqu’ils ne sont pas suffisamment protégés contre un aléa donné, les éléments de risques seront vulnérables lorsque ledit aléa vient à se manifester (exemple : mesures de sécurité existantes / non existantes au sein d’un bâtiment). Redondance, remplacement La défectuosité de certains éléments de risque est plus facile à appréhender lorsqu’il existe des structures parallèles ou des structures de remplacement capables de fournir les mêmes prestations de services. La présence d’éléments de risque redondants ou d’éléments de remplacement permet de réduire la vulnérabilité des sous-processus. 3.2.2.3 Calcul des risques Dans le cadre du calcul des risques, les calculs, estimations et résultats issus des scénarios et de l’analyse de vulnérabilité sont combinés les uns avec les autres pour engendrer des valeurs ou des résultats relatifs aux risques. Ces valeurs sont combinées à l’aide d’une fonction. Dans le présent manuel, les « risques partiels » pesant sur les éléments de risque sont considérés comme fonction de la probabilité de survenance du scénario en question ainsi que de la vulnérabilité desdits éléments de risque. Le risque global de chaque sous-processus est formé par la somme des risques partiels de ses éléments de risque. En principe, les risques peuvent être calculés de trois maniè24 res différentes : Calcul qualitatif des risques : ce procédé permet d’obtenir des estimations approximatives sur des risques dont il fournit une description écrite. Il ne permet d’établir aucune comparaison chiffrée. Coût de réparation Le coût de réparation désigne le prix de la remise en état d’un élément de risque à la suite d’un endommagement. Au regard de la vulnérabilité d’un sous-processus, il s’agit non seulement des dépenses financières, mais également du coût en temps et en ressources humaines pour permettre la remise en état. Capacité d’adaptation Un sous-processus est vulnérable lorsque ses éléments de risque ne peuvent pas, ou difficilement, s’adapter aux changements de leur environnement (c’est notamment le cas des équipements utilisant de l’eau de refroidissement, lorsque survient une forte chaleur entraînant une augmentation de la température des fleuves). Capacité de tolérance La capacité de tolérance signifie que le sous-processus peut supporter un événement dans une certaine mesure et pendant une durée donnée sans subir de perturbation. Calcul semi-quantitatif des risques : le calcul semi-quantitatif consiste à déterminer des valeurs pour les différents facteurs de risque au moyen d’une classification afin d’établir des comparaisons chiffrées. Calcul quantitatif des risques : l’analyse quantitative a pour objectif de calculer mathématiquement les facteurs de risque – par exemple à l’aide d’analyses de séries chronologiques dans le cas de la probabilité de survenance ou encore au moyen de modèles de simulation permettant d’appréhender un certain nombre de répercussions sur un établissement donné. Le choix de la méthode de calcul est déterminé d’une part par le coût en temps et en argent que l’exploitant veut ou peut investir et d’autre part par la disponibilité des informations et 25 des données. 24 Cf. Australian / New Zealand Standard, 2004, pages 18–19. Transparence On parle de transparence lorsque la constitution et le mode de fonctionnement de l’élément de risque sont facilement compréhensibles – ce qui, en cas de crise, représente un avantage pour une réparation rapide. 25 L’annexe VI décrit un exemple de mise en place d’une analyse des risques s’appuyant sur un calcul semi-quantitatif des risques partiels pesant sur les éléments de risque ainsi que des risques globaux pesant sur les sous-processus. Pour consulter une méthode d’analyse des risques spécifique au domaine des technologies de l’information, cf. : Office fédéral pour la sécurité des systèmes d’information, 2005. 20 Gestion des risques et des crises pour la protection des infrastructures critiques 3.2.2.4 Comparaison et évaluation des risques A ce stade, les valeurs ou descriptions de risques ainsi établies peuvent être comparées entre elles. Cette comparaison est particulièrement pertinente en cas d’analyses qualitatives ou semi-quantitatives, car les valeurs et les descriptions obtenues ne font en aucun cas office de résultat absolu. Mis en relation les uns avec les autres, c’est-à-dire comparés en interne, les résultats des analyses qualitatives et semi-quantitatives sont très parlants. L’objectif d’une telle comparaison est d’identifier les éléments de risque et les sous-processus qui sont soumis aux risques les plus élevés. L’évaluation des risques doit montrer si les objectifs stratégiques, définis initialement, de protection contre les risques existants ont pu être atteints. S’il existe trop de risques partiels importants, des objectifs opérationnels de protection devront être définis. Ils serviront de point de départ à la mise en place de mesures préventives. Voici quelques exemples d’objectifs opérationnels de protection : Bien souvent, toutefois, l’analyse des risques et l’analyse des coûts-avantages ne sauraient être la seule base justifiant la prise de mesures visant à réduire des risques n’ayant qu’une faible probabilité de survenance mais des répercussions dramatiques. En sus du cadre juridique, il est également judicieux, en pareils cas, de faire entrer en ligne de compte des considérations sociales et éthiques dans la décision relative aux mesures de protection. Les stratégies préventives font appel à trois outils : la prévention des risques, le transfert des risques et l’acceptation des risques. Ces stratégies ne doivent être utilisées qu’en complément de mesures de réduction des risques car elles peuvent soit restreindre fortement la souplesse de l’établissement – cas de la prévention des risques – soit n’apporter aucune contribution à la réduction matérielle des risques – cas du transfert et de l’acceptation des risques. Illustration 5 : Intensité de l’événement et seuil de crise Intensité de l'événement la réduction du risque global pour le sous-processus X et la réduction des risques partiels les plus importants dans tous les sous-processus appartenant à des processus critiques. Intensité de l'événement Les mesures mises en place devront avant tout être destinées aux sous-processus présentant les risques partiels les plus importants. Relèvement du seuil de crise par le biais de mesures préventives Finalement, il incombe aux responsables de l’établissement et au chef de projet spécialisé de décider des mesures et des objectifs opérationnels de protection à appliquer. Activité normale, y compris la gestion des dysfonctionnements Crise Evénement Seuil de crise 3.3 Phase 3 : Mesures et stratégies préventives 3.3.1 Réduction des risques Au sein de l’établissement, les mesures préventives contribuent à la réduction des risques pesant sur les processus critiques. Elles permettent d’atteindre les objectifs opérationnels de protection et, par là-même, de relever le seuil de crise des événements à potentiel de crise (voir également l’illustration 5). Ainsi, ces mesures permettent de minimiser le nombre de situations de crise et, le cas échéant, de réduire leur intensité. Les mesures préventives doivent être soumises à une analyse coûts-avantages. L’enjeu étant de réduire le risque global, l’examen consiste à comparer les investissements potentiels aux coûts directs et indirects qu’occasionnerait une perturbation de l’établissement à la suite d’un événement extrême. Les résultats de l’analyse des risques sont ensuite confrontés à ceux de l’analyse coûts-avantages pour sélectionner les mesures présentant une efficacité particulière dans le cadre du budget existant.26 Les mesures de réduction des risques sont de deux ordres : soit elles diminuent la vulnérabilité des éléments de risque face aux incidences de certains aléas, soit elles visent à garantir la continuité opérationnelle des processus critiques en instaurant des systèmes redondants et / ou des systèmes de remplacement : même s’ils peuvent perturber certains éléments critiques, ces systèmes ont l’avantage d’assurer une continuité opérationnelle dans le cadre de la gestion de la reprise sur incident27. 26 Cf. Australian/New Zealand Standard, 2004, pages 21–22. 27 On trouvera en annexe V.1 une liste de contrôle détaillée de mise en œuvre de mesures préventives. 21 3.3.2 Prévention des risques Il est possible de parer les risques soit en évitant les régions menacées, soit en mettant en œuvre des mesures destinées à empêcher l’apparition de dangers. Face aux aléas naturels et à l’environnement des dispositifs à haut risque (songeons aux itinéraires de transport des marchandises dangereuses), les zones exposées – autrement dit menacées – peuvent souvent être identifiées. Une révision de la conception des sites, des bâtiments et des dispositifs concernés permettra d’éviter ces zones. La prévention totale des risques est toutefois impossible, aucun site n’en étant exempt. 3.3.5 E xpériences des assureurs de choses en matière de dommages Les assureurs de choses portent par essence un vif intérêt à la protection contre les sinistres et à la réduction de leurs conséquences sur la pérennité de l’entreprise. Nombre de publications (recommandations, directives et fiches) de l’Union générale des assureurs allemands résument 28 les enseignements que l’on peut tirer de divers sinistres . Source d’information supplémentaire, ces publications peuvent servir à renforcer la protection de certains établissements et, par là même, apporter une contribution à la protection des infrastructures critiques. 3.4 Phase 4 : Gestion des crises 3.3.3 Transfert des risques Le transfert des risques consiste à déplacer ces derniers sur d’autres entreprises ou contractants afin de réduire l’étendue financière d’éventuels dommages portés à son propre établissement. Au nombre des instruments du transfert des risques figurent : le transfert des risques sur les assurances et le transfert des risques sur les fournisseurs ou les clients. REMARQUE IMPORTANTE : Le transfert n’entraîne pas de réduction physique des risques pesant sur les personnes ou les biens matériels. Elle modifie seulement les conséquences financières que doit supporter l’établissement à la suite des dommages survenus. 3.3.4 Acceptation des risques (risques résiduels) Les mesures et stratégies préventives accroissent le niveau de sécurité global de l’établissement. Cependant, certains risques ne peuvent être totalement éliminés. De ce fait, l’établissement devra documenter les risques résiduels et consigner leur acceptation par écrit. Au sens où l’entend le présent manuel, une crise constitue par rapport à la situation normale un écart ne pouvant plus être surmonté à l’aide des seules structures opérationnelles normales. Les crises survenant au sein d’infrastructures critiques peuvent considérablement entraver la fonctionnalité des entreprises et des administrations et, de ce fait, être préjudiciables à la population ou perturber le système politique, social et économique. La loi allemande relative au contrôle et à la transparence des entreprises (dite « KonTraG ») utilise la notion de « danger pour la continuité de l’exploitation » – une notion qui se prête particulièrement bien à l’établissement d’une définition29. La crise doit être clairement distinguée des événements de portée moyenne, désignés sous le terme de « dysfonctionnements » dans le cadre du présent manuel (cf. illustration 6, page 23). Les éléments qui vont déclencher une crise peuvent apparaître au sein même de l’entreprise ou de l’administration – c’est par exemple le cas des crises financières découlant de mauvaises pratiques de gestion ou de malversations (voir illustration 6) – ou provenir de l’extérieur. Les crises provenant de l’extérieur peuvent être induites à la suite d’effondrements boursiers, de manchettes négatives ou de difficultés de livraison. A côté de cela, les aléas naturels, les défaillances techniques, les erreurs humaines, les actes de nature terroriste ou criminelle et les conflits armés peuvent être considérés comme principaux éléments déclencheurs de crises affectant les infrastructures critiques. Les risques résiduels peuvent déclencher des crises face auxquelles l’organisation fonctionnelle et structurelle normale est généralement démunie. Ainsi, il est nécessaire de disposer d’une gestion des crises qui donne à l’établissement les moyens de surmonter efficacement la situation. 28 Cf. par exemple VdS-Richtlinien 2007 (directives de 2007 de l’Association allemande des compagnies d’assurances dommages). 29 Cf. Trauboth, 2002, pages 14–15. 22 Gestion des risques et des crises pour la protection des infrastructures critiques Illustration 6 : Eléments déclencheurs de crises internes et externes Infrastructure critique Difficultés de livraison Evolution négative de la Bourse Pénuries suite à des modifications subites de la demande Dysfonctionnements Pannes mécaniques Mauvaise gestion Grève Couverture médiatique La gestion des crises fournit une contribution notable à la protection des entreprises et des administrations et, par là-même, à la protection des infrastructures critiques et de la population. Elle n’est pas dissociée de la gestion des risques. En effet, la préparation aux crises sur le plan conceptuel, organisationnel, procédural et matériel s’appuie partiellement sur les résultats de la gestion des risques : la nature et l’ampleur des risques résiduels qui en découlent influencent le degré de préparation aux crises. Tous les risques ne pouvant être réduits à l’aide de mesures d’atténuation et un risque résiduel subsistant toujours, la gestion des crises sert à surmonter les crises qui ne sauraient être empêchées via la seule prévention. Dans les établissements constituant des infrastructures critiques, la gestion des crises a pour objectif de surmonter les crises tout en maintenant une fonctionnalité maximale et / ou permettant une reprise des processus critiques dans les meilleurs délais. Catastrophes naturelles Défaillances techniques / erreurs humaines Actes de nature terroriste / criminelle Conflits armés Une gestion des crises bien menée s’insère dans d’autres concepts de gestion, tels que la gestion des risques précédemment décrite. Les mesures préparées et activées dans le cadre de la gestion des crises permettent de garantir le fonctionnement de l’organisation, la continuité d’exploitation ou de service et le retour à l’activité normale. Effectuée pendant et après l’événement, l’évaluation du déroulement de la gestion des crises permettra de la perfectionner et de l’améliorer. La gestion des crises peut donc être appréhendée comme un sous-cycle PDCA s’inscrivant dans la gestion des risques. L’illustration 7 schématise le processus de la gestion des crises. Illustration 7 : Processus de la gestion des crises30 ACT PLAN • Remaniement du plan de crise et optimisation • Préparation • Organisation structurelle – cellule de crise – QG de la cellule de crise • Organisation fonctionnelle – plan de crise – fonctions • Evaluation • Gestion – situation – mise en œuvre de mesures – communication – reprise sur incident et retour à l’activité normale – documentation CHECK DO 30 Cf. Gesellschaft für Anlagen- und Reaktorsicherheit (Société allemande pour la sûreté des installations et des réacteurs nucléaires), 2007, page 21. 23 Les principales missions de la gestion des crises sont les suivantes : Le plan de crise contient les points suivants (fixation des compétences comprise)32 : Instaurer les pré-requis conceptuels, organisationnels et procéduraux permettant la gestion optimale d’un événement extrême Etablir des structures spécifiques – y compris la mise sur pied d’une cellule de crise – pour réagir à la situation de crise. Les principales caractéristiques de la gestion des crises sont les suivantes : But, finalité et domaine d’application du plan de crise Bases légales Mise au point d’une organisation structurelle pour la situation de crise • cellule de crise • fixation de tâches, de responsabilités et de compétences suivie d’une répartition entre les référents qui ont été désignés33 La gestion des crises est un processus qui englobe l’organisation, la mise en œuvre et l’évaluation du plan qui, avec les actions qui en découlent, permettra de réagir efficacement en cas de crise. Les mesures sont généralement prises en faisant appel à des ressources et à des informations qui ne sont disponibles que de manière restreinte. Le soutien de services ou de ressources externes peut s’avérer nécessaire. • compétences et activités concrètes en vue de la maîtrise de la crise Mise au point d’une organisation fonctionnelle en vue de la maîtrise de la crise, du retour à la normale et du suivi • circuits de signalement et alerte • modèle d’escalade / désescalade • joignabilité d’interlocuteurs à l’intérieur et à l’extérieur de l’établissement • mesures de reprise sur incident et de retour à l’activité normale spécifiques à l’événement considéré • consignes relatives au suivi de la crise Les décisions sont prises dans l’urgence et en l’absence d’un niveau complet d’information. 3.4.1 L’organisation de la gestion des crises La gestion des crises comporte deux composantes élémentaires : une organisation structurelle et fonctionnelle spécifique opérant dans toute période de crise, et des plannings partiels adaptés à différents scénarios et destinés à garantir la continuité d’activité. Dans ce contexte, tous les plannings préliminaires requis et envisageables sont regroupés dans un plan de crise. Mise au point de différents volets de plan déclinés par scénario, par exemple • évacuation • panne de courant • pandémie • panne au niveau de l’informatique ou de la communication. Le plan de crise doit être régulièrement actualisé et donner lieu à des exercices de mise en application. 3.4.1.1 Plan de crise Le plan de crise consigne toutes les structures organisationnelles et toutes les mesures planifiables qui, en cas de crise, doivent être respectées ou mises en place par les collaborateurs chargés de la gestion des crises et de la continuité d’activité ou de service. Un bon plan de crise se distingue par sa concision et sa précision. Des check-lists31 envisageant REMARQUE IMPORTANTE : Un plan de crise doit systématiquement être élaboré même si un grand nombre de mesures préventives ont déjà été mises en œuvre en amont. l’éventualité d’une crise facilitent la préparation des mesures nécessaires et empêchent l’omission de tâches importantes. 32 L’Office fédéral pour la sécurité des systèmes d’information (2008) 31 fournit un exemple de plan de crise ainsi qu’un Mémento des situa- L’annexe V.2 contient des listes de contrôle permettant de contrôler tions d’urgence dans le secteur des TI. un certain nombre de points de détail dans le cadre de la préparation aux crises. 24 33 Jungbluth, 2005, page 15. Gestion des risques et des crises pour la protection des infrastructures critiques 3.4.1.2 Organisation structurelle Alors que les situations de crise requièrent une organisation spécifique, chaque établissement constituant une infrastructure critique se dote d’une organisation structurelle adaptée à sa nature et à ses besoins. Le « bureau » dédié à ces situations (la cellule de crise) a pour objectif de maîtriser les crises le plus rapidement possible et de manière compétente. En amont de la crise et dans l’éventualité de celle-ci, la cellule de crise doit faire l’objet d’une réglementation spécifique du temps de travail (comprenant un système de roulement) tout en prévoyant un temps de passation des compétences à chaque fois que les équipes se relaient. Les périodes de crise sont des périodes de stress : il est donc conseillé de ne pas excéder une durée d’intervention de six à sept heures. 3.4.1.2.1 Cellule de crise La cellule de crise est l’instrument central de réaction face aux crises. Elle constitue une organisation structurelle spécifique transcendant l’organisation structurelle normalement chargée de gérer les situations particulières dans les unités impliquées, et regroupe des compétences intersectorielles sous une direction unique. La cellule de crise est un instrument décisionnel investi de fonctions annexes de coordination, d’information, de conseil et d’appui. Sur le plan de la forme, elle est constituée d’un directeur34 entouré d’une équipe. Au sein de l’équipe de la cellule de crise, il faut opérer une distinction entre Dans le domaine de la prévention de la menace et de la protection civile, le modèle de cellule de crise qui s’est imposé est exposé en détail dans l’instruction de service 100 à l’attention des sapeurs-pompiers37. D’inspiration militaire, ce modèle l’équipe centrale, composée d’un directeur et d’une à trois personnes qui seront les principaux référents en cas de crise, la cellule de crise élargie, composée de personnes affec35 tées à des fonctions spéciales ou de groupes d’appui et les consultants qui, comme leur nom l’indique, conseillent la cellule de crise. Tous les membres affectés à la cellule de crise, ainsi que leurs suppléants, doivent connaître leur tâche spécifique et y être préparés. Lors de la désignation des suppléants, il ne faut pas perdre de vue les scénarios dans lesquels d’importantes défections de personnel pourraient se répercuter sur les collaborateurs de la cellule de crise (épidémies de grande ampleur 36 ou pandémies, par exemple ). Afin de pouvoir faire face à ce genre de situation, il convient donc de nommer plusieurs suppléants. 34 La direction de la cellule de crise peut être assumée par la direction de l’entreprise ou de l’administration. Une séparation est cependant décrit l’organisation d’un état-major et s’adresse à toutes les organisations agissant principalement dans le domaine tactique et opérationnel. Dans le domaine de la protection civile, un autre type d’étatmajor intervient au niveau administratif parallèlement à la cellule de crise tactique et opérationnelle. Assumant avant tout des tâches administratives, il apporte son assistance à la cellule de crise. En temps de crise, il a cependant aussi faculté d’agir de son propre chef lorsqu’aucune composante opérationnelle n’entre en jeu. Dans les entreprises et les administrations n’opérant pas dans la prévention de la menace ou la protection civile, l’organisation de la cellule de crise dépend des exigences auxquelles l’établissement doit faire face en cas de crise. Dans certaines entreprises, une organisation de la cellule de crise analogue à celle que présentent les états-majors administratifs et les états-majors de commandement peut s’avérer judicieuse lorsqu’il est, par exemple, nécessaire de mener des activités similaires ou qu’il faut coopérer étroitement avec les forces d’intervention de la protection civile. Dans d’autres entreprises et administrations, cette structure ne sera pas retenue38. L’important est que la communication entre l’exploitant de l’infrastructure critique et les autorités en charge de la prévention de la menace ou les organismes de protection civile fonctionne. Il est par ailleurs souhaitable que les collaborateurs des différentes cellules de crise communiquent de manière suivie les uns avec les autres et que cet échange soit explicitement prévu dans l’organisation de l’état-major administratif. recommandée afin d’offrir à l’exécutif une latitude suffisante pour la prise de décisions importantes et indépendantes. 35 Cf. Trauboth, 2002, page 45. 36 La politique de protection du personnel et, surtout, de l’état-major, comprendra par exemple des mesures d’hygiène adéquates, des masques de protection et la mise en place de postes en télétravail. Pour toute aide et information complémentaire, cf. l’Office fédéral pour la protection des populations et l’assistance en cas de catastrophes, 2007, le Robert Koch Institut, 2005 et 2007a, ainsi que l’annexe V.2. 37 « Feuerwehrdienstvorschrift 100 » (instruction de service à l’attention des sapeurs-pompiers), 1999. 38 Le standard BSI 100-4 décrit une autre possibilité destinée aux établissements œuvrant dans le contexte des TI. Cf. à ce sujet l’Office fédéral pour la sécurité des systèmes d’information, 2008. 25 Toute cellule de crise doit, indépendamment des missions imparties à l’établissement, assumer les fonctions d’étatmajor et les tâches suivantes 39 : règlement de l’ensemble des aspects ayant trait au personnel, recensement de la situation et actualisation régulière des informations, distribution de missions visant à remédier à la crise et coordination des interventions qui sont requises à cette fin et sont exécutées par le personnel de l’établissement, relations avec la presse et les médias, règlement de l’ensemble des aspects ayant trait à l’information et à la communication, soutien du personnel employé dans le cadre de la gestion des crises. Dans les structures entrepreneuriales, les fonctions suivantes peuvent également être représentées au sein de la cellule de crise : affaires juridiques finances / budget marketing logistique gestion de la qualité distribution sécurité du site protection de l’environnement sécurité des installations toxicologie pompiers d’usine services de secours. Pour chacune de ces fonctions, il est possible de rédiger – en amont de toute crise – un descriptif de tâches détaillant les activités générales et récurrentes à exécuter pendant la phase de maîtrise de la crise. Pour les entreprises opérant à l’échelle internationale ou les sociétés et administrations en rapport direct avec l’international, il est judicieux d’instaurer une fonction intitulée « relations internationales ». Il est également envisageable d’offrir une assistance supplémentaire à la cellule de crise, notamment pour établir des évaluations de la situation. Lorsqu’une entreprise ou une administration comporte plusieurs succursales, agences ou annexes, il est conseillé de mettre en place un état-major consortial ou général en sus des cellules de crise in situ pour le cas où la totalité de l’entreprise ou de l’administration serait touchée par la crise. 39 D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’attention des sapeurs-pompiers), 1999. 26 3.4.1.2.2 Directeur de la cellule de crise Lors de la réaction à un événement extrême, le directeur de la cellule de crise assume le pilotage de l’ensemble des opérations liées à la crise et prend toutes les décisions liées à la maîtrise de la crise. Il devra donc déjà occuper une position dirigeante au sein de l’entreprise ou de l’administration concernée. Le directeur de la cellule de crise ne peut mener son travail que dans un cadre juridique et financier préalablement défini. Le pilotage d’une cellule de crise suppose une forte personnalité et des qualités empiriques telles que leadership, haute endurance dans les situations extrêmes, aptitude marquée à la prise de décision dans l’urgence, capacité de travail en équipe et compétence sociale. Le directeur de la cellule de crise s’illustre par un don de compréhension et une faculté d’analyse rapides. Il faut néanmoins qu’il ait également la confiance de la direction de l’entreprise ainsi que celle de l’équipe de la cellule de crise. Le recours à des généralistes assistés par des spécialistes est une option avantageuse. Il est recommandé que le directeur de la cellule de crise s’approprie des connaissances spécifiques en matière de maîtrise de crise lors de stages de formation initiale et continue. 3.4.1.2.3 Equipe de la cellule de crise Selon le type de crise, l’équipe centrale déjà existante sera complétée par des fonctions spéciales adaptées à l’événement. Ces fonctions spéciales sont assumées par des personnes disposant de compétences spécifiques – et les besoins sont fonction de la nature de la crise. La décision relative à la composition de l’équipe de la cellule de crise est prise par le directeur de la cellule. L’équipe centrale a pour tâche de préparer les décisions à l’attention du directeur de la cellule et d’ordonner des mesures visant à surmonter la crise ou à limiter les dommages. 3.4.1.2.4 Consultants au sein de la cellule de crise Des consultants internes et externes peuvent venir compléter la cellule de crise sans en faire formellement partie. Ils peuvent notamment être associés aux processus décisionnels nécessitant des informations pointues. A titre d’exemple, il pourra s’agir de connaissances en matière de cycles d’activité, de logiciels utilisés, de mesures de sécurité, de finances, d’environnement, de production, de lutte contre l’incendie et de secours, ainsi que de protection civile au niveau communal, régional ou national. 3.4.1.3 Organisation fonctionnelle L’organisation fonctionnelle régit l’activation de la gestion des crises ainsi que les tâches imparties à la cellule de crise. Cela se traduit par l’exercice de fonctions d’état-major spécifiques assumées par des collaborateurs nommés en conséquence. Gestion des risques et des crises pour la protection des infrastructures critiques Les tâches menées dans le cadre de la maîtrise d’une crise sont les suivantes : notification, compte rendu, alerte ; constatation et évaluation de la situation ainsi que de son évolution probable (y compris la fourniture d’informations) ; développement de stratégies concrètes de maîtrise de la crise suivies de l’ordre de les mettre en œuvre ; surveillance et contrôle de la mise en œuvre ; documentation de la démarche ; communication de la démarche, tant en interne qu’en externe ; activation de mesures visant à permettre la reprise des processus ; rétablissement de la continuité d’activité et de service. 3.4.1.3.1 Circuits de signalement et alerte La rapidité et l’exhaustivité du flux d’informations sont indissociables du succès de la gestion des crises. Ses éléments centraux sont les comptes rendus transmis verbalement ou par écrit. Lorsqu’ils sont de qualité, le processus de maîtrise de la crise 40 s’en trouve facilité. Tel est le cas lorsque les comptes rendus cellule de crise, la cellule de crise élargie, les centres de coordination et la direction de l’établissement. Les entités externes telles que fournisseurs et clients, organisations et diverses institutions d’aide, établissements publics (écoles et crèches, par exemple), administrations et service publics de santé (y compris, notamment, médecins et hôpitaux) sont informées de l’événement s’il y a lieu. La procédure est sous-tendue par des listes d’alerte contenant les coordonnées du personnel appelé à intervenir dans la gestion des crises et les coordonnées des services extérieurs concernés. Les listes d’alerte et de notification doivent être établies au préalable par l’entreprise ou l’administration concernée et actualisées régulièrement. Le passage de l’activité normale à la gestion des crises et à l’alerte du personnel peut s’effectuer de manière abrupte ou par escalade. De ce fait, les deux modèles suivants sont envisageables : Modèle de seuil Dans ce cas, il n’existe qu’un seul niveau d’alarme entre l’activité normale (gestion de dysfonctionnement comprise) et la gestion des crises. Si ce seuil est dépassé, on passe automatiquement à la situation dans laquelle le plan de crise est activé, avec une cellule de crise assumant la direction de la crise. L’ensemble du personnel et des services œuvrant dans la gestion des crises sont alertés. sont livrés immédiatement, précisent l’instant et le lieu du constat, sont clairs, concrets et sans équivoque, sont concis tout en étant complets, discernent clairement les faits des suppositions, sont classés par urgence. Modèle d’escalade Dans ce cas, le plan de crise comporte une subdivision en plusieurs niveaux d’alerte, à partir desquels la mobilisation du personnel et le recours à tels ou tels moyens et mesures sont fixés en fonction de l’événement. Ce modèle permet de réagir avec précision à différents types d’événements et de répercussions, mais implique une planifica41 tion plus complexe de la crise . La transmission de comptes rendus internes relatifs à des événements ou à des dommages donnés impose donc de fixer non seulement un circuit de signalement standardisé mais aussi une procédure standardisée garantissant la saisie et l’acheminement de toutes les informations nécessaires. Lorsque survient un événement qu’il est impossible de maîtriser grâce à la seule gestion interne des dysfonctionnements et lorsque cet événement est susceptible d’engendrer une crise, il est nécessaire d’informer le plus rapidement possible le directeur de la cellule de crise. Les constats relatifs aux dégâts occasionnés dans l’environnement de l’établissement peuvent être communiqués par le personnel, les clients, les habitants ou encore des entreprises et administrations externes. En fonction de l’ampleur de l’événement, un décideur – généralement le supérieur hiérarchique – doit être informé. Si l’événement ne peut être maîtrisé dans le cadre de ses attributions, il le signale au directeur de la cellule de crise ou à la direction de l’établissement. Le directeur de la cellule de crise décide de l’activation de l’organisation structurelle et fonctionnelle spécifique. Le directeur de la cellule de crise évalue la menace et assure l’alerte des personnes appelées à intervenir dans la gestion des crises et / ou des entités telles que l’équipe centrale de la Une fois qu’un événement a été rapporté au directeur de la cellule de crise et que l’ensemble des services internes et externes concernés ont été alertés, la cellule lance des ordres visant à répartir les tâches au sein de l’établissement. Le personnel appelé à intervenir dans la gestion des crises notifie l’état des choses par le biais de comptes rendus à la cellule de crise. Quant aux services externes, ils informent directement, en règle générale, la cellule de crise. L’illustration 8 (page 28) récapitule les circuits de signalement au sein d’un établissement et les modalités d’alerte des personnes concernées. 40 Feuerwehr-Dienstvorschrift (instruction de service à l’attention des sapeurs-pompiers), 1999, page 29. 41 Jungbluth, 2005, page 17. 27 Kernteam Illustration 8 : Circuits de signalement et alerte Signalement d’un événement par le personnel Signalement d’un événement par des établissements externes Signalement d’un événement par les clients, les habitants Service récepteur (centre de coordination, accueil, service d’astreinte, …) Transmission du signalement à un décideur Evénement en-deçà du seuil de crise ? oui Transmission au service spécialisé compétent ; contrôle des mesures non Information du directeur de cellule de crise non Evénement maîtrisable au sein du service spécialisé ? oui Répartition entre les services spécialisés oui Contrôle : événement en-deçà du seuil de crise ? Traitement au sein du service spécialisé non Convocation de la cellule de crise Alerte et notifications externes indispensables dans le cadre de la gestion des crises Service spécialisé A 28 Service spécialisé N Information de la direction Alerte et notifications externes indispensables dans le cadre de la gestion des crises Administrations (protection civile, autorités en charge de l’environnement, police, etc.) Médias Gestion des risques et des crises pour la protection des infrastructures critiques 3.4.1.3.2 Communication de crise Cette notion recouvre la communication de la crise auprès du public et là notamment auprès des médias. Cette tâche est assumée par le service des relations avec la presse dans le cadre des relations publiques. Durant la phase initiale, et capitale, de développement d’une crise, il est primordial d’associer et d’informer en temps quasi réel les autres organisations, les médias et la population, ainsi que de tenir sa propre organisation au courant. En cas de crise, le travail d’information doit démarrer exactement en même temps que la phase de maîtrise de la crise. Les communiqués de presse doivent pouvoir être émis en un temps très bref. Cependant, la non-divulgation d’informations constitue elle aussi une forme de communication de crise : il est donc essentiel d’identifier les informations devant rester confidentielles. Les crises affectant la population nécessitent la préparation de permanences téléphoniques et de pages Internet conviviales. Des agents spécifiquement formés, équipes de renfort comprises, doivent pouvoir être convoqués immédiatement en cas de crise afin de pouvoir maîtriser des exigences accrues en matière de communication auprès de la population. Durant cette phase, il est également impératif d’intensifier la communication interne. Lors de crises concernant le grand public, il est important que les décideurs responsables (chefs d’entreprise, responsables d’administrations, attachés de presse ou responsables de l’information au sein de l’établissement) interviennent tôt / en temps opportun et de manière adéquate dans les médias. Formulées avec pondération, les déclarations doivent transmettre des informations véridiques et sans équivoque dans un langage intelligible. Les règles de base de la communication externe sont les suivantes : toute crise est également une crise d’information ; la gestion des crises implique une gestion de l’information ; les premières heures d’une crise sont d’une importance décisive : les informations transmises durant cette phase laissent une impression qui a de grandes chances de s’ancrer durablement ; c’est en fonction de la qualité de la communication de crise que le public sera convaincu – ou non – que les responsables sont à la hauteur de la crise ; l’information doit satisfaire les besoins du public ; Les premiers comptes rendus relatifs à un événement ou à une crise sont souvent faits par les médias. Il est donc conseillé de désigner, en amont de toute crise, au moins un porte-parole par lequel passera toute la communication avec les médias. Ainsi, l’établissement sera en contact avec les journalistes dès le stade le plus précoce du déroulement des événements. La perception de la crise et l’image de sa gestion dépendent dans une très forte mesure de la couverture médiatique. Une communication fructueuse et performante avec les médias suppose notamment, un réseau avec les médias locaux, régionaux et nationaux, des recommandations pour gérer les premiers contacts avec les médias en cas de crise, la préparation de dossiers de fonds et de modèles pour les communiqués de presse, les notes de discussion, etc., de l’expérience en matière de conférences de presse et une formation spéciale aux médias, le cas échéant, une assistance externe par des spécialistes de la communication de crise. les responsables de l’information doivent instruire la cellule de crise des besoins en information de l’opinion publique et des médias, ainsi que des effets engendrés par la communication. REMARQUE IMPORTANTE : Il faut veiller à ce que seul le personnel autorisé délivre des informations à l’extérieur. Lors d’événements longs et graves, il est conseillé qu’un représentant de la direction de l’entreprise ou de l’administration assume la communication vers l’extérieur. Pour ce faire, il reçoit des informations continuellement mises à jour et des conseils approfondis de la part de la cellule de crise. Dans ce cas, le directeur de la cellule de crise assume la coordination de la maîtrise interne de la crise et continue de prendre l’ensemble des décisions. L’illustration qui suit récapitule schématiquement la manière dont s’articule l’organisation structurelle et fonctionnelle. 29 Illustration 9 : Organisation structurelle et fonctionnelle En interne A l'extérieur Cellule de crise Directeur de la cellule de crise Equipe centrale Cellule de crise élargie Consultants RH Situation Comptes rendus instructions Ordres / intervention Soutien du personnel Relations presse / médias Tâches spécifiques à l'organisme informations, signalements Services externes (par exemple administrations en charge de la prévention de la menace, protection civile), clients, presse Comptes rendus Département Département Département Département A B C D … 3.4.1.4 Quartier général de la cellule de crise Le quartier général (QG) de la cellule de crise désigne l’espace spécialement mis à disposition de cette dernière avant, pendant et après la crise. On l’appelle également centre de situation, centre des opérations d’urgence ou PC de crise. Le QG de la cellule de crise sert de lieu de rassemblement aux membres de la cellule de crise. Lors de la planification et de l’aménagement de cet espace, il convient de tenir compte du site, du site de repli et de l’équipement. L’emplacement du QG doit être fixé à l’avance. Simple d’accès, il doit également offrir une protection contre les incidences d’un aléa. Pour pouvoir faire face à l’éventualité d’une panne fonctionnelle sur ce premier emplacement, un emplacement de remplacement doit être désigné ; seuls la direction de l’entreprise / administration, la cellule de crise et son directeur en connaîtront l’existence et sauront à quel endroit il se trouve. Le QG de la cellule de crise doit être équipé d’une infrastructure redondante de communication et d’information et doit disposer des moyens techniques efficaces pour se procurer 42 L’annexe V.6 fournit une liste détaillée des locaux et de l’équipement technique du QG de la cellule de crise ; elle apporte également des précisions supplémentaires sur les équipements nécessaires. 30 Informatique et communication Département N informations, demandes l’information, la traiter et la présenter. Il doit également être doté d’une alimentation électrique de secours pour tous les appareils techniques et l’éclairage42. Sur le plan de la sécurité, certains aspects doivent éventuellement être observés : le QG de la cellule de crise pourra par exemple vouloir éviter d’être observé ou mis sur écoutes. Par ailleurs, la fonctionnalité de la salle et de son équipement devra être contrôlée à intervalles réguliers. Le personnel, l’espace et les équipements techniques impartis à la cellule de crise et à la salle qui lui aura été attribuée dépendent, tant dans leur nature que dans leur ampleur, des risques existants, de la définition et de l’étendue des tâches et processus, de la taille et de la diversité sectorielle de l’établissement, de particularités locales et du statut de l’établissement : s’agit-il du siège principal, de succursales ou d’établissements secondaires ? 3.4.2 Maîtrise de la crise Une fois que la cellule de crise a été activée, les activités visant à surmonter la crise peuvent commencer. Dès lors, le QG de la cellule de crise sert de lieu de rassemblement et les activités sont exécutées conformément au plan de crise. La transmis- Gestion des risques et des crises pour la protection des infrastructures critiques Illustration 10 : C ycle de maîtrise d’événements extrêmes43 Constatation de la situation Contrôle Durant la phase de maîtrise de la crise, le recueil d’informations est facilité lorsque des plans et de cartes ont été préparés en amont de la crise. Parmi les documents servant au recueil d’informations figurent les plans d’ensemble et les cartes (terrains, bâtiments), les plans de bâtiments (extincteurs, sorties, issues et sorties de secours, abris, salle du QG de la cellule de crise), les plans des installations et des réseaux (interrupteur principal pour l’alimentation en courant, robinets principaux d’eau et de gaz, tuyauteries). Evaluation de la situation Adoption et mise en œuvre de mesures Les plans et les cartes doivent être actualisés régulièrement. sion de l’information et les moyens de communication sont une condition sine qua non à la maîtrise de la crise. Ils doivent fonctionner (ou se remettre à fonctionner). Toutes les actions et décisions intervenant dans le cadre de la maîtrise de la crise sont documentées dès le début des travaux de la cellule de crise. La maîtrise d’un événement extrême s’accomplit selon un cycle comportant quatre stades : la constatation de la situation, l’évaluation de la situation, l’adoption/mise en œuvre de mesures et le contrôle. Ce cycle est repris au terme de chaque sous-événement et de chaque mesure modifiant substantiellement la situation, jusqu’au retour à la situation normale. 3.4.2.1 Tableau de la situation Recueil de l’information La cellule de crise recueille des informations sur l’événement afin de dresser un tableau de la situation. Condition sine qua non d’une appréciation pertinente de la crise et du choix des activités qui permettront de minimiser les dégâts, ce tableau renseigne sur la nature, l’ampleur et le déroulement des événements, les répercussions et l’évolution potentielle de la situation, les possibilités de réaction, 44 les mesures prises jusqu’alors . Outils de recueil et de traitement de l’information Le recueil de l’information s’appuie sur les comptes rendus fournis par le personnel de l’établissement, les habitants, divers acteurs publics et privés externes à l’établissement (comme les clients, la police et la protection civile) ainsi que les médias. Les équipements nécessaires au recueil de l’information coïncident en partie avec les caractéristiques d’équipement du QG de 45 la cellule de crise – comme les téléphones, l’accès à Internet, la radio et les téléviseurs. Ces ressources sont complétées par le matériel cartographique susmentionné ainsi que par un certain nombre d’ouvrages de référence. Un traitement graphique de l’information permettra de faciliter une appréhension intuitive des événements chez tous les protagonistes. Si l’établissement utilise un système d’information géographique46, les informations spatiales clés pourront être sauvegardées – en amont – et affichées par voie électronique en temps voulu. Présentation d’un tableau de la situation La cellule de crise élabore un tableau actuel de la situation. Ce tableau comprend les éléments suivants : le lieu, l’heure, éventuellement la météo, la nature du sinistre et la situation de la menace, les mesures engagées et toutes les autres possibilités de réaction. Constituant une synthèse de tous les comptes rendus émis et de toutes les informations reçues jusqu’à ce moment, il fournit une description condensée des faits les plus récents. L’ensemble des comptes rendus qui ont été émis et des reconnaissances qui ont été personnellement menées est recensé. Il est également nécessaire de disposer d’informations sur la situation de la menace et l’ampleur des dégâts, ainsi que sur les ressources humaines et les capacités techniques disponibles. 45 Voir annexe V.6. 46 Les systèmes d’information géographique sont des logiciels relayés par des bases de donnés à l’aide desquelles on peut saisir et analyser 43 des données spatiales. D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’attention des sapeurs-pompiers), 1999, page 25. 44 Jungbluth, 2005, page 38. 47 Feuerwehr-Dienstvorschrift (instruction de service à l’attention des sapeurs-pompiers), 1999, page 26. 31 Parmi les documents essentiels à une présentation de la situation figurent : les cartes de situation, les plans de bâtiments, les comptes rendus relatifs à l’événement 48 les enregistrements audio et audiovisuels . Le schéma ci-après récapitule les principaux points permettant de dépeindre l’état de la situation. Illustration 11 : Aperçu des éléments constitutifs d’un tableau de la situation49 Sinistre • type de dommage • cause du dommage Maîtrise de la crise • direction de la cellule de crise • cellule de crise Bâtiment sinistré • nature • taille • matériau • construction • alentours Personnel investi de fonctions en cas de crise • effectifs • disponibilité • formation complémentaire (par ex. premiers secours) • aptitudes Ampleur du sinistre • personnes • fonctionnalité • faune, environnement • biens matériels • processus de production • état de la fonctionnalité de l’entreprise ou de l’administration • dommages indirects Moyens • TI • véhicules • appareils 3.4.2.2 Evaluation de la situation, adoption et mise en œuvre de mesures Le tableau de la situation donne lieu à une évaluation systématique débouchant sur une décision quant aux mesures à prendre. Une fois dressé l’état de la situation, le directeur de la cellule de crise tranche sur la suite de la démarche. 50 Parmi les moyens d’évaluation de la situation figurent : le tableau de la situation lui-même, les bases légales, les directives, les fiches d’information. 3.4.2.3 Contrôle Le contrôle vise à vérifier si le personnel (des succursales ou des forces d’intervention, par exemple) a bien reçu les instructions de la cellule de crise, s’il les a comprises et correctement mises en œuvre. Le contrôle a également pour objectif de surveiller les répercussions des décisions qui ont été prises. Après avoir été mise en œuvre, chaque mesure engendre un nouveau tableau de la situation – qui doit à son tour être dressé, puis présenté. Chaque nouveau tableau sert de base au contrôle des répercussions des mesures prises à ce moment précis et à la planification de la démarche ultérieure. 3.4.2.4 Garantie de la continuité d’activité et de service L’un des éléments essentiels de la maîtrise des crises au sein des établissements constituant des infrastructures critiques est l’activation de mesures d’urgence, de systèmes redondants et de systèmes de remplacement préalablement définis, dans le cadre de la gestion des risques, afin de garantir la continuité d’activité et de service52. 3.4.2.5 Retour à l’activité normale Tout comme dans le cas de l’activation de la gestion de crise, c’est au directeur de la cellule de crise qu’il revient de lever la gestion active de la crise et d’annoncer le retour à l’activité normale. Un modèle de seuil et un modèle de désescalade sont, là aussi, envisageables53. Dans le cas du modèle de seuil, la transition vers l’activité normale s’opère immédiatement. Dans le cas du modèle de désescalade, la transition s’effectue graduellement. Il est fort probable que ce second modèle soit mis à contribution dans la plupart des situations de crise, et plus particulièrement celles possédant des répercussions sur différents secteurs de l’établissement. 3.4.2.6 Documentation de la maîtrise de la crise Tous les comptes rendus entrants et sortants (par téléphone, fax et e-mail par exemple) de même que l’ensemble des décisions, mesures et activités doivent être consignés par écrit. Pour ce faire, il est possible de recourir à des formulaires standardisés mentionnant chacun la date et le nom de l’auteur. Parmi les autres outils de documentation figurent : 48 Adapté d’après la Feuerwehr-Dienstvorschrift (instruction de service à l’attention des sapeurs-pompiers), 1999, page 41. La situation fait l’objet de mises au point régulières – présentées dans le cadre de briefings si cela s’avère nécessaire. Quel que soit le type de crise auquel il a affaire, le directeur de la cellule de crise doit prendre des décisions claires sur les mesu51 res à mettre en œuvre . 49 D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’attention des sapeurs-pompiers), 1999, page 27. 50 D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’attention des sapeurs-pompiers), 1999, page 45. 51 L’annexe V.3. contient, pour tout un éventail de situations de crise, des check-lists en vue de la mise en œuvre de premières mesures. 52 Cf. chapitre 3.3.1. 53 Cf. chapitre 3.4.1.3.1. 32 Gestion des risques et des crises pour la protection des infrastructures critiques les formulaires pré-imprimés, les bordereaux d’envoi et les accusés de réception, les journaux et carnets de bord, les comptes rendus relatifs aux signalements, les médias électroniques. La documentation établie pendant une crise sert à évaluer et à clarifier les problèmes d’assurance de même que les problèmes financiers et juridiques. Elle doit donc être défendable devant les tribunaux. 3.4.3 Suivi post-crise Après le retour à l’activité normale, la documentation permet de procéder à un suivi post-crise. Ce suivi peut prendre la forme d’un rapport élaboré en toute confidentialité et en temps quasi réel par le directeur de la cellule de crise, qui le transmet à la direction de l’établissement en vue d’une évaluation des éventuelles conséquences juridiques pour l’établissement et le personnel employé. Un autre objectif majeur du suivi post-crise est le contrôle de la fonctionnalité et de la transposabilité pratique du plan de crise, dans le but de mettre en évidence les lacunes de la gestion de crises et de les combler 54 grâce à une planification complémentaire . 3.4.4 Exercices Les événements extrêmes sont généralement très rares. Les structures et le déroulement de crises doivent donc donner lieu à des exercices à intervalles réguliers afin de pouvoir fonctionner impeccablement en cas d’événement. Les objec55 tifs de tels exercices sont de vérifier la fonctionnalité et la transposabilité pratique du plan de crise, s’entraîner à la coordination et à la communication de crise et tester des déroulements de crises. Pour ce faire, il existe différents types et diverses méthodes d’exercices, qui se distinguent tant par leur degré d’abstraction que par leur coût. Dans ce contexte, nous citerons 54 Proposant une liste de premières démarches concrètes à suivre dans les exercices d’état-major (portant sur la maîtrise théorique d’un scénario de sinistre ; participants : membres de la cellule de crise), les exercices « table top » (portant sur la maîtrise théorique d’un scénario de sinistre ; participants : membres de la cellule de crise et d’autres secteurs), les exercices de grande envergure (déroulement réel d’un exercice ; participants : tous les niveaux et postes de direction), les exercices ciblant des sous-fonctions (par exemple exercices d’évacuation, entraînement à la communication), les exercices d’alerte (pour déterminer la joignabilité et les délais d’intervention). Les critères de sélection de telle ou telle méthode d’exercice sont l’objectif imparti, les intervalles de répétition souhaités et le degré d’intensité voulu. Associant toute la hiérarchie et tous les collaborateurs, les exercices de grande envergure sont particulièrement proches de la réalité. Leur préparation et leur réalisation sont cependant très coûteuses – en temps, en efforts et en argent. A l’inverse, les exercices d’état-major et les exercices « table top » portent sur la maîtrise théorique des scénarios de sinistres. Les exercices d’état-major traitent des principaux aspects de la structure de gestion des crises – tels que la cellule de crise et la fonctionnalité du plan de crise. Les exercices « table top » associent des secteurs supplémentaires, y compris d’autres circuits de décision et de signalement. Dans le cas des exercices d’état-major et « table top », tous les événements partiels sont passés en revue à l’aide d’un scénario permettant à l’équipe d’encadrement de surveiller et de piloter l’exercice. Ce scénario est en général inconnu des acteurs se livrant à l’exercice. Il anticipe de possibles réactions de leur part. Des réactions imprévues peuvent être intégrées au dernier moment dans l’exercice par l’équipe d’encadrement. L’inconvénient des exercices d’état-major et « table top » réside dans le caractère théorique de la maîtrise du scénario. Toutefois, ce type d’exercice permet aux intervenants clés de la gestion des crises de s’exercer, sans avoir à déployer les moyens nécessités par un exercice de grande envergure impliquant la participation de tous les acteurs. le cadre d’un suivi post-crise, l’annexe V.4 analyse plusieurs options d’amélioration afin de se préparer à toute nouvelle crise. Pour de plus amples informations, il est par exemple conseillé de consulter l’Office fédéral pour la sécurité des systèmes d’information, 2006. 55 Gustin, 2004, page 226. Les exercices ciblant des sous-fonctions permettent de poursuivre des objectifs bien précis, tout en déployant des efforts de planification moindres par rapport aux exercices de grande envergure. 33 Les exercices d’alerte servent à tester les plans d’alerte et le modèle de seuil ou d’escalade. 3.5 Phase 5 : Evaluation de la gestion des risques et des crises Les préparatifs impliquent de trancher sur un certain nombre de principes d’élaboration56 applicables à tout type d’exercice : L’évaluation porte sur l’ensemble des phases, c’est-à-dire tant sur le contrôle des points arrêtés lors du planning préliminaire, que sur le contrôle des risques existants et de l’efficacité des mesures préventives mises en œuvre – sans oublier le contrôle de la gestion des risques. Elle doit intervenir régulièrement, de préférence chaque année. Quel type d’exercice choisit-on ? Quels objectifs l’exercice poursuit-il ? Qui doit participer à l’exercice ? Qui doit assumer le pilotage de l’exercice ? Quand et où l’exercice doit-il avoir lieu ? Quels outils techniques sont nécessaires à la réalisation de l’exercice ? Quels aspects le scénario de l’exercice doit-il contenir ? Comment l’exercice est-il évalué et documenté ? A l’issue de l’exercice, la documentation permet de contrôler les réactions des participants et plus particulièrement le déroulement impeccable du plan de crise. Cela permet d’identifier les faiblesses existantes et d’actualiser le plan de 57 crise . 56 Gustin, 2004, page 262. 57 L’annexe V.5 contient une liste de contrôle pour les exercices de crise. 34 Des évaluations supplémentaires sont nécessaires après la mise en place de mesures, suite à un élargissement / un changement dans l’établissement lors d’une modification des dangers et des risques existants. La gestion des risques et des crises doit s’inscrire dans la réalité vécue. Elle ne pourra se muer en plus-value durable pour l’établissement que si toutes les phases sont régulièrement passées au crible, fournissant ainsi la base d’une optimisation constante du niveau de sécurité au sein de l’entreprise ou de l’administration. Annexe 35 I. Bibliographie American Water Works Association (2001) (édit.) : Emergency Planning for Water Utilities, Manual of Water Supply Practices M19. Denver. Australian / New Zealand Standard (2004) (édit.) : Risk Management AS / NZS 4360:2004. Standards Australia / Standards New Zealand. Sydney / Wellington. Federal Emergency Management Agency (2003) (édit.) : Risk Management Series Reference Manual to Mitigate Potential Terrorist Attacks Against Buildings – FEMA 426. http:// www.fema.gov/plan/prevent/rms/rmsp426 (15 octobre 2007). Bockslaff, K. (1999) : Die eventuelle Verpflichtung zur Errichtung eines sicherungstechnischen Risikomanagements. Dans : NVersZ. n° 3, pages 104–110. Feuerwehr-Dienstvorschrift 100 (1999) : Führung und Leitung im Einsatz – Führungssystem. http://www.idf.nrw.de/ download/normen/fwdv100.pdf (15 octobre 2007). Bockslaff, K. (2004) : Sicherheit – ein Beitrag zur Wert schöpfung im Unternehmen. Dans : WIK – Zeitschrift für die Sicherheit der Wirtschaft. n° 5, pages 27–32. Gesellschaft für Anlagen- und Reaktorsicherheit (2007) (édit.) : Managementsysteme in Kernkraftwerken, GRS – 229. Cologne. British Standard (2006) (édit.) : DPC BS 25999-1 Code of practice for business continuity management. London (projet). Gray, P. C. R. et al. (2000) : Risk communication in print and on the web. A critical guide to manuals and internet resources on risk communication and issues management. http:// www.fz-juelich.de/inb/inb-mut/rc/inhalt.html (4 octobre 2007). Centre de recherche sur l’environnement alpin (2000) (édit.) : Leitfaden für erdbebensicheres Bauen. Sion. Department of Health and Human Services and the Centers for Disease Control and Prevention (2007) : Business Pandemic Influenza Planning Checklist. http://www.pandemicflu.gov/plan/workplaceplanning/businesschecklist.html (15 octobre 2007). [Traduction du Verband deutscher Betriebsund Werksärzte, Berufsverband deutscher Arbeitsmediziner VDBW e. V. : http://www.vdbw.de/de/grippe_pandemie/ Checkliste_fuer_Firmen_im_Rahmen_der_Influenza.pdf (15. octobre 2007)]. Department of Homeland Security (2006) : Pandemic Influenza Preparedness, Response, and Recovery Guide for Critical Infrastructures. http://www.pandemicflu.gov/plan/ pdf/cikrpandemicinfluenzaguide.pdf (15 octobre 2007). Dost, S. (2006) : Risk Management – Features of corporate risks and the likelihood of identification. Innovation and Technical Progress: Benefit without Risk? Dans : Book of Abstracts of the 15th Annual Conference of the Society for Risk Analysis (Ljublijana, 11–13 septembre, 2006), page 21. 36 Egli, T. (1999) : Richtlinie Objektschutz gegen Naturgefahren. Saint-Gall. Gustin J. F (2004) : Disaster & Recovery Planning : A Guide for Facility Managers. Lilburn. Institut Robert Koch (2005) : Beispiel von Maßnahmenplanungen im Influenza-Pandemiefall. http://www.rki.de/ cln_049/nn_200120/DE/Content/InfAZ/I/Influenza/Pandemieplanung__Konzern-28102005,templateId=raw,property=pu blicationFile.pdf/Pandemieplanung_Konzern-28102005.pdf (22 octobre 2007). Institut Robert Koch (2007a) : Nationaler Pandemieplan, Teil II. http://www.rki.de/cln_048/nn_200132/DE/Content/ InfAZ/I/Influenza/influenzapandemieplan__II,templateId=r aw,property=publicationFile.pdf/influenzapandemieplan_ II.pdf (6 octobre 2007). Institut Robert Koch (2007b) : Anhang zum Influenzapandemieplan. http://www.rki.de/cln_048/nn_200132/DE/Content/ InfAZ/I/Influenza/Influenzapandemieplan__Anhang,templa teId=raw,property=publicationFile.pdf/Influenzapandemieplan_Anhang.pdf (6 octobre 2007). Bibliographie International Risk Governance Council (2006) (édit.) : White paper on managing and reducing social vulnerabilities from coupled critical infrastructures. http://www.irgc.org/ irgc/IMG/pdf/IRGC%20WP%20No%203%20Critical%20Infrastructures.pdf (15 octobre 2007). Jungbluth, F. (2005) (édit. Euroforum Verlag) : Recht & Haftung für technische Manager, Grundlagen, Aufbau und Methoden eines effektiven Notfallmanagements. Düsseldorf. Jungermann, H. et al. (1991) : Risikokontroversen – Konzepte, Konflikte, Kommunikation. Berlin. Lewis, T.G. (2006) : Critical Infrastructure Protection in Homeland Security – Defending a Networked Nation. Hoboken. Ministère fédéral de l’Intérieur (2005) : Schutz Kritischer Infrastrukturen – Basisschutzkonzept, Empfehlungen für Unternehmen. http://www.bbk.bund.de/cln_007/nn_398726/ DE/05__Publikationen/05__Fachpublikationen/03__Leitfaeden/Leitfaeden__node.html__nnn=true (15 octobre 2007). National Fire Protection Association – NFPA 1600 (2004) (édit.) : Standard on Disaster/Emergency Management and Business Continuity. Quincy. Office fédéral de l’Environnement de la République fédérale d’Allemagne (2001a) : Checklisten für die Untersuchung und Beurteilung des Zustandes von Anlagen mit wassergefährdenden Stoffen und Zubereitungen ; Nr. 10 Betriebliche Alarm- und Gefahrenabwehrplanung. http:// www.umweltbundesamt.de/anlagen/jeg/downloads/deutsch/ check10_bagap_rev00.pdf (15 octobre 2007). Office fédéral de l’Environnement de la République fédérale d’Allemagne (2001b) : Checklisten für die Untersuchung und Beurteilung des Zustandes von Anlagen mit wassergefährdenden Stoffen und Zubereitungen ; Nr. 11 Hochwassergefährdete Anlagen. http://www.umweltbundesamt.de/ anlagen/jeg/downloads/deutsch/check11_hochwasser_rev00. pdf (15 octobre 2007). Office fédéral pour la protection des populations et l’assistance en cas de catastrophes (2005) : Leitfaden für die Errichtung und den Betrieb einer Notstromversorgung in Behörden und anderen wichtigen öffentlichen Einrichtungen. http://www.bbk.bund.de/cln_007/nn_398726/DE/05__ Publikationen/05__Fachpublikationen/03__Leitfaeden/Leitfaeden__node.html__nnn=true (15 octobre 2007). Office fédéral pour la protection des populations et l’assistance en cas de catastrophes (2007) : Betriebliche Pandemieplanung – Kurzinformation der Bund-Länder-Arbeitsgruppe « Influenzapandemieplanung in Unternehmen ». http://www.bbk.bund.de/cln_027/nn_402322/SharedDocs/ Publikationen/Publikation_20KatMed/Betr-Pandemiepla,tem plateId=raw,property=publicationFile.pdf/Betr-Pandemiepla. pdf (15 octobre 2007). Office fédéral pour la sécurité des systèmes d’information (2005) : BSI-Standard 100-3 « Risikoanalyse auf der Basis von IT-Grundschutz ». http://www.bsi.bund.de/literat/bsi_standard/standard_1003.pdf (4 octobre 2007). Office fédéral pour la sécurité des systèmes d’information (2006) : COMCHECK und ALEX. Beschreibungen, Checkliste und Hilfen für Kommunikationsüberprüfungen und Alarmierungsübungen. http://www.bsi.bund.de/fachthem/kritis/ comcheck.pdf (16 octobre 2007). Office fédéral pour la sécurité des systèmes d’information (2007) : G 1 Gefährdungskatalog Höhere Gewalt. http://www. bsi.bund.de/gshb/deutsch/g/g01.htm (10 octobre 2007). Office fédéral pour la sécurité des systèmes d’information (2008) : BSI-Standard 100-4 « Notfallmanagement ». (Publication sur le web prévue pour janvier 2008). Rahmstorf S. et al. (2006) : Der Klimawandel. Munich. Rosenthal, U. (1992) : Crisis management : On the thin line between success and failure. In : Asian Review of Public Administration. Vol. IV n° 2, pages 73–78. Rössing, R. von (2005) : Betriebliches Kontinuitätsmanagement. Bonn. The Business Continuity Institute (2005) : Business Continuity Management, Good Practice Richtlinien. http://www. thebci.org/BCIGPG2005_de.pdf (15 octobre 2007). Trauboth, J. H. (2002) : Krisenmanagement bei Unternehmensbedrohungen. Präventions- und Bewältigungsstrategien. Stuttgart ; Munich ; Hanovre ; Berlin ; Weimar ; Dresde. VdS-Richtlinien (2007) : Gesamtprogramm. http://www.vds. de/Gesamtverzeichnis.487.0.html (9 novembre 2007). Verwaltungs- Berufsgenossenschaft VBG (2007) (édit) : Zwischenfall, Notfall, Katastrophe – Leitfaden für die Sicherheits- und Notfallorganisation. Hambourg. Wiedemann, P. M. et al. (2000) : Risikokommunikation für Unternehmen. Düsseldorf. 37 II. Abréviations AktGLoi (allemande) relative aux sociétés anonymes BKA Office fédéral de police criminelle BSIOffice fédéral pour la sécurité des systèmes d’information DER Dépendances d’éléments de risque DIN Institut allemand de normalisation HGB Code (allemand) du commerce IT Informatique KGaA Société en commandite par actions KonTraGLoi (allemande) sur le contrôle et la transparence dans les entreprises NBC Nucléaire, biologique, chimique PS Probabilité de survenance TC Technique de communication THW Agence fédérale de Secours technique TUISDispositif d’information et d’aide en cas d’accidents de transport V1 (jusqu’à 5) Critère de vulnérabilité 1 (jusqu’à 5) VVG Loi (allemande) sur le contrat d’assurance 38 III. Définitions Remarque importante : Au fur et à mesure qu’a été rédigé ce manuel, il s’est avéré qu’il n’existait actuellement pas de définition généralement reconnue pour les domaines touchant à la gestion des risques et des crises. Les définitions ci-dessous donnent donc la signification des termes tels qu’ils sont employés dans le présent manuel. Utilisés dans d’autres publications, ces termes peuvent avoir un sens quelque peu différent de celui du manuel. Terme Définition 58 AléaCause potentielle d’un préjudice. AlerteInformation du personnel, des forces d’intervention et de la population d’un danger immédiat. Analyse du risqueMéthode systématique permettant de déterminer la valeur à attribuer au risque.59 Aux termes du présent manuel, cela inclut : une analyse des aléas et de l’exposition ; une analyse de la vulnérabilité de tous les sous-processus et éléments de risque pertinents ; une comparaison de risques partiels concernant des éléments de risque donnés, et une comparaison de risques totaux de sous-processus liés à un scénario donné. Appréciation de la situation Evaluation des préjudices et sinistres du point de vue de leur impact et des mesures possibles. CatastropheSinistre d’une ampleur largement supérieure à la normale, qui menace considérablement ou détruit la vie, la santé, des biens matériels ou des infrastructures importantes. Cellule de criseStructure qui crée les conditions permettant de coordonner toutes les activités liées à la crise. Communication de criseToutes les activités de communication effectuées dans le contexte d’une crise afin d’empêcher ou de limiter la perte de confiance et une dégradation de l’image, et de circonscrire les dommages. La communication de crise implique une répartition claire des compétences et des responsabilités, ainsi qu’une ligne de communication sans ambiguïté, propre à garantir des contenus et une argumentation homogènes. 58 Australian / New Zealand Standard 2004, page 3. 59 Australian / New Zealand Standard 2004, page 4. 39 Terme Définition Communication sur les risquesDans le cadre de la gestion du risque, procédure permettant à une entreprise ou à un service public de recevoir et de fournir des informations sur un risque. La communication sur les risques s’étend à tous les processus de communication concernant l’identification, l’analyse, l’évaluation et la gestion de risques, ainsi que l’interaction nécessaire entre tous les acteurs concernés.50 Compte renduInformations brèves et précises sur des événements, perceptions et faits, destinées à renseigner sur une situation. CriseUne situation extraordinaire qui survient malgré des mesures préventives prises par l’entreprise ou par les services publics, et que l’organisation structurelle et fonctionnelle normale ne permet pas de maîtriser. Critère de vulnérabilité Conditions permettant d’apprécier la vulnérabilité. Cycle Plan, Do, Check, Act (PDCA)Démarche de gestion de processus visant à en améliorer continuellement la qualité. « Plan » représente la préparation générale et complète des processus, « Do » la mise en œuvre de ces processus, « Check » le contrôle de leur efficacité et « Act » leur amélioration. Dans la gestion de risques et de crises décrite ici, ce cycle est appliqué à divers niveaux. DangerEffet négatif provoqué par un aléa sur des personnes, des biens, des états de fait, l’environnement ou des animaux. DysfonctionnementEcart par rapport à la situation normale ou au processus normal. Il peut être provoqué par des facteurs internes ou externes. Un dysfonctionnement est maîtrisé par l’organisation structurelle et fonctionnelle normale. Elément de risqueElément constituant de sous-processus critiques.Sont considérés comme tels pour les besoins du présent manuel : • les individus (personnel, autres personnes présentes) • le terrain • les bâtiments • les installations et équipements • les installations et équipements spéciaux, spécifiques à l’établissement • les données et documents • autres ressources EpidémieApparition, sur une période et dans une région données, d’un nombre élevé de cas d’une maladie au sein d’une population. EtablissementSe réfère dans le présent manuel à toute entreprise, service public et autres institutions exploitant une infrastructure critique. Evaluation 60 Jungermann et al. 1991, page 5. 40 Appréciation d’activités. Définitions Terme Définition Evaluation de la situationCollecte, classement, enregistrement et représentation d’informations concernant une situation donnée. Evaluation du risque Estimation du risque que présente un événement pour un sous-processus ou élément de risque par rapport à des objectifs préalablement définis. Cette procédure permet de déterminer l’acceptabilité du risque et de risques résiduels éventuels. Evénement extrêmeEvénement rare qui s’écarte fortement d’une moyenne statistique et est susceptible de provoquer une crise. Exercice d’état-major Exercice auquel participent uniquement les membres de la cellule de crise et les dirigeants de l’établissement. Exercice « table top »Exercice d’état-major auquel participent des niveaux institutionnels supplémentaires (p. ex. de services concernés). Exposition Action d’être exposé à un aléa. Gestion de crisesToute activité propre à préparer à des crises, à les maîtriser et à en assurer le retour d’expérience. Gestion de dysfonctionnementConditions conceptuelles, organisationnelles, méthodiques et physiques dans l’organisation structurelle et fonctionnelle de l’établissement, qui permettent de maîtriser le dysfonctionnement de la meilleure façon possible. Gestion des risques Processus et procédure permettant de gérer systématiquement les risques. Infrastructures critiquesLes infrastructures critiques sont des organisations et établissements qui présentent une importance particulière pour la collectivité publique, et dont la défaillance ou la perturbation provoquerait des pénuries à l’impact durable, des troubles considérables de la sécurité publique, ou d’autres conséquences dramatiques.61 Management de la continuité d’activitéGestion des mesures propres à maintenir l’activité en cas de crise, par exemple en activant un centre opérationnel redondant (Management de la continuité d’activité = Business Continuity Management).62 Mesures préparatoiresActions optionnelles élaborées en amont de crises, mais mises en œuvre seulement en cas de crise. Mesures préventivesActions et moyens élaborés et mis en œuvre en amont de crises, ou bien qui sont utilisés et qui réduisent les risques pour une entreprise ou un service public. Ceci inclut les mesures propres à réduire les risques en assurant la protection physique d’éléments de risque, ou qui favorisent le bon fonctionnement de processus par des systèmes redondants ou par des systèmes de remplacement. Ces deux aspects contribuent à assurer la continuité des activités. 61 Définition donnée par le Groupe de travail sur la protection des infrastructures (AK KRITIS) au sein du ministère fédéral de l’Inté- 62 rieur (BMI) le 17 novembre 2003. 63 Von Rössing 2005, page 426. Cf. von Rössing 2005, page 428. 41 Terme Définition Modèle d’escalade Système permettant d’évaluer la situation et d’en référer au management.63 Niveau d’alerte Classification d’une situation dans l’optique des mesures à prendre. Objectifs stratégiques de protectionDescription d’objectifs à atteindre, à laquelle on peut recourir pour évaluer des mesures mises en œuvre. Organisation fonctionnelleL’organisation fonctionnelle décrit et réglemente les processus de travail d’une unité organisationnelle, en tenant compte de l’espace, du temps, des personnes et des moyens matériels. Organisation structurelleL’organisation structurelle concerne la division d’une entreprise en unités statiques, principalement de nature hiérarchique. Quartier général (QG) de la cellule de crise Local mis à la disposition de la cellule de crise, pendant et après la crise, et en amont des exercices de crise. Pandémie Epidémie d’ampleur internationale, voire planétaire. Plan de crisePlan directeur pour la gestion de la crise, qui couvre toutes les mesures à prendre au cours d’une crise. Points critiques Cf. points névralgiques Points névralgiquesDomaines d’un processus ou éléments individuels de risque dont la perturbation est susceptible de provoquer des défaillances ou des sinistres de grande ampleur. Prévention des risquesDécisions stratégiques qui ont pour effet de supprimer des aléas, ou de faire en sorte que la probabilité de leur manifestation se rapproche de zéro, empêchant ainsi l’apparition de risques. Probabilité Mesure comprise entre 0 et 1 de la possibilité qu’un événement se produise. Protection des populations Mesures civiles destinées à protéger contre, et à limiter et maîtriser les effets de guerres, de conflits armés, de catastrophes naturelles et d’accidents particulièrement graves. La Fédération, les Länder, les communes et les organisations humanitaires travaillent ensemble pour protéger les populations. Réduction des risquesMesures propres à diminuer la probabilité d’occurrence d’événements ou leur 64 impact sur l’établissement. Reprise sur incidentPhase se situant entre la fin de la réaction à la crise et la mise en place d’un régime de secours.65 RétablissementRétablissement total de l’état normal, tel qu’il était avant la survenance de la crise. 66 64 Australian / New Zealand Standard 2004, page 5. 65 Rössing 2005, page 439. 42 66 Rössing 2005, page 439. Définitions Terme Définition Risque Le risque est considéré comme étant fonction du danger et de la vulnérabilité des éléments de risque et des sous-processus. L’aspect de la probabilité d’occurrence d’un événement fait partie intégrante de l’analyse du danger. Risque partiel Risque concernant un élément de risque donné. Risques résiduels Les risques qui subsistent après la mise en œuvre de mesures préventives.67 Scénario Combinaison d’hypothèses sur l’enchaînement possible d’événements concernant l’objet en question, afin de déterminer les relations de cause à effet et les points devant faire l’objet d’une prise de décision. Situation Nature et ampleur des préjudices ou des sinistres, et leur évolution probable. Transfert des risquesStratégie consistant à répercuter les risques existants sur d’autres entreprises, services publics ou assurances. Vulnérabilité Fragilité d’un objet ou d’un système face à des aléas. Vulnérabilité individuelleSe réfère dans le présent manuel à un élément de risque et à un critère de vulnérabilité donnés. Vulnérabilité partielle Vulnérabilité concernant un élément de risque donné. 67 Adapté, d’après : Australian / New Zealand Standard 2004, page 3. 43 IV. Liste des aléas – Informations sur la nature, l’exposition, l’intensité et l’impact, ainsi que sur les personnes à contacter REMARQUE IMPORTANTE : Cette liste d’exemples renvoie à des aléas susceptibles de survenir dans l’environnement de l’établissement. Cette liste ne prétend pas être exhaustive, et devra, le cas échéant, être adaptée aux spécificités des sites concernés. Nature de l’aléa Exposition Intensité possible Effet possible 44 Compétences, source possible d’informations Crues Particulièrement dans les régions proches de cours d’eau et les terrains bas, sous-sols et rez-dechaussée Inondations de vastes superficies, niveau de l’eau pouvant atteindre plusieurs mètres au-dessus du niveau normal ; vitesses de ruissellement élevées en moyenne montagne Lessivages, accumulation (dégâts des eaux) Services publics en charge de l’environnement, services de prévision des crues, assurances Tempêtes / tornades Possible dans toute l’Allemagne Pouvant atteindre des vitesses très élevées en rafales Effet de pression et d’aspiration sur les édifices et autres objets ; destruction Services publics en charge de l’environnement, services météorologiques allemands Séisme Sites dans les régions sismiques (fossé rhénan, région de Cologne, Vogtland, Jura souabe) Forces horizontales et verticales gigantesques ; apport élevé d’énergie Destruction de conduites, de réservoirs, de transformateurs, de liaisons entre équipements et d’édifices ; décombres Institut fédéral de géosciences et de ressources naturelles Incendie géant / incendie de forêt Régions très boisées Développement de chaleur extrême Menace pour le personnel, destructions d’équipements dues à la chaleur ; touche les installations d’approvisionnement en électricité et les équipements informatiques Services publics en charge de l’environnement, services météorologiques allemands, sapeurs-pompiers, services du maintien de l’ordre public Liste des aléas – Informations sur la nature, l’exposition, l’intensité et l’impact, ainsi que sur les personnes à contacter Nature de l’aléa Exposition Intensité possible Effet possible Compétences, source possible d’informations Sécheresse Surtout les régions sèches à faible taux de précipitations Absence de précipitations sur une longue période, très faibles précipitations Baisse du niveau de la nappe phréatique, pénurie d’eau de refroidissement, pénurie d’eau potable, pannes de courant, problèmes de transport sur les voies fluviales Services publics en charge de l’environnement, services météorologiques allemands Canicule Possible dans toute l’Allemagne Températures élevées le jour et la nuit Impact sur la santé du personnel et de la clientèle Services de l’hygiène et de la santé publique, services météorologiques allemands Grande épidémie / pandémie Possible au niveau mondial / national / régional Niveau de contamination élevé, propagation rapide, forte réduction des effectifs disponibles Maladie du personnel et de la clientèle ; inquiétude parmi le personnel (effets psychologiques, p. ex. panique), absentéisme d’employés pour soigner des parents malades Services de l’hygiène et de la santé publique, Institut Robert Koch Institut, Office fédéral pour la protection des populations et l’assistance en cas de catastrophes Panne d’alimentation externe en électricité Possible dans toute l’Allemagne ; peut durer plusieurs jours et toucher de vastes territoires – Impact sur les installations et équipements Distributeurs, sapeurs-pompiers, organisations humanitaires Panne d’alimentation externe en eau Possible dans toute l’Allemagne – Impact sur le personnel, les installations et les équipements Distributeurs, sapeurs-pompiers, organisations humanitaires Défaillance de services spécialisés soustraités Possible dans toute l’Allemagne – Impact sur le personnel et les moyens de production Services du maintien de l’ordre public, autorités en charge des transports, en fonction du transporteur 68 Depuis 1982, le dispositif TUIS d’information et d’aide en cas d’accidents survenus lors du transport et du stockage de produits chimi- sont joignables par téléphone, 24 heures sur 24 et 365 jours par an, ques fournit son assistance dans toute l’Allemagne. Le réseau TUIS se à la disposition des services publics comme les sapeurs-pompiers, la compose de quelque 130 entreprises chimiques, avec leurs pompiers police et autres organismes impliqués dans la gestion de catastro- d’entreprise et leurs spécialistes (chimistes, toxicologues, experts phe, ainsi que de la Deutsche Bahn, leur fournissant une assistance appartenant à la production.) Les entreprises qui adhèrent à TUIS selon un système à trois niveaux. 45 Nature de l’aléa Exposition Intensité possible Effet possible Accident lors d’un transport de matières dangereuses, à l’intérieur ou à proximité immédiate du site A proximité de voies de circulation de matières dangereuses (chemin de fer ou route) ; à proximité d’installations dans lesquelles sont utilisées des matières dangereuses Forte concentration de l’agent libéré ; toxicité élevée de l’agent libéré Impact sur le personnel, la clientèle, les édifices (contamination) Services publics en charge de l’environnement, sapeurspompiers, TUIS , Services de l’hygiène et de la santé publique, Attentat à l’aide de dispositifs incendiaires et engins explosifs conventionnels Possible dans toute l’Allemagne Puissance destructrice locale extrêmement forte Impact sur le personnel, la clientèle, les édifices et installations ; décombres Police, sapeurs-pompiers Attentat à l’aide d’engins explosifs et dispositifs incendiaires non-conventionnels, ou libération d’agents NBC à l’intérieur ou à proximité immédiate du site Possible dans toute l’Allemagne Concentration élevée de l’agent libéré ; toxicité élevée de l’agent libéré Impact sur le personnel, la clientèle, les édifices et installations (contamination) Police, sapeurs-pompiers Panne informatique Possible dans toute l’Allemagne Potentiel nuisible élevé, propagation rapide Impact sur les installations et équipements Agence fédérale de la sécurité des systèmes d’information / relevé des dangers69 Erreur humaine dans le contexte de systèmes informatiques Possible dans toute l’Allemagne Potentiel nuisible élevé, propagation rapide Impact sur les installations et équipements Agence fédérale de la sécurité des systèmes d’information / relevé des dangers69 Actes intentionnels commis à l’aide ou à l’encontre de systèmes informatiques Possible dans toute l’Allemagne Potentiel nuisible élevé, propagation rapide Impact sur les installations et équipements Agence fédérale de la sécurité des systèmes d’information / 69 relevé des dangers Enlèvement Possible dans toute l’Allemagne – Impact sur le personnel Police Chantage Possible dans toute l’Allemagne – Impact sur le personnel ou les produits Police Vol d’installations, équipements et / ou autres moyens de production critiques Possible dans toute l’Allemagne – Impact possible sur les données, documents, installations et équipements Police 69 Agence fédérale de la sécurité des systèmes d’information 2007. 46 Compétences, source possible d’informations V. Listes de contrôle REMARQUE IMPORTANTE : Il conviendra d’adapter les listes de contrôle ci-dessous aux spécificités de l’établissement. L’utilisation de ces listes de contrôle ne remplace pas la mise en place complète d’un système de gestion de risques et de crises. Cette liste ne prétend pas être exhaustive. Les listes de contrôle ci-dessous ont été élaborées à l’aide des publications suivantes : American Water Works Association 2001 British Standard 2006 Office fédéral pour la protection des populations et l’assistance en cas de catastrophes 2005 Ministère fédéral de l’Intérieur 2005 Egli 1999 Federal Emergency Management Agency 2003 Gustin 2004 Jungbluth 2005 National Fire Protection Association 2004 Office fédéral de l’Environnement 2005a Office fédéral de l’Environnement 2005b Centre de recherche sur l’environnement alpin 2000 On trouvera des renseignements plus détaillés, en particulier sur le plan pandémie auprès de : Office fédéral pour la protection des populations et l’assistance en cas de catastrophes 2007 Department of Health and Human Services and the Centers for Disease Control and Prevention Department of Homeland Security 2006 Pour plus d’informations, voir : Verwaltungs- Berufsgenossenschaft VBG 2007 Consignes VdS : programme complet 2007 47 V.1 Mesures préventives V.1.1 Gestion de risques et de crises – Généralités Questions 1.Un dispositif de gestion des risques a-t-il été mis en place ? Précisions Planification, mise en œuvre, actualisation et amélioration constante 2.Les opérations à effectuer sont-elles définies précisément par le système de gestion des risques ? 3.Des objectifs de protection stratégiques ontils été définis ? 48 4.Existe-t-il un inventaire des processus critiques, sont-ils catégorisés, et existe-t-il des recommandations quant à leur application ? Inventaire, analyse de criticité, définition de priorités dans les processus critiques 5.Un dispositif de gestion de crise a-t-il été mis en place ? (gestion d’incidents) Canal et procédures de remontée de l’information, gestion d’incidents et améliorations 6.Des dispositifs de planification et de management de continuité d’activité ont-ils été mis en place ? Planification de systèmes redondants et de systèmes de remplacement, ainsi que de leur gestion en cas d’incident 7.Le respect d’obligations légales et juridiques est-il contrôlé ? Respect d’obligations légales, de directives et de normes, audit de systèmes 8.Les aspects relatifs à la sécurité sont-ils pris en compte dans le développement du personnel ? Missions et responsabilités, contrôle, formation et sensibilisation Oui Non Sans objet Commentaire Listes de contrôle V.1.2 Terrains, édifices, équipements – Crues 1. Questions Précisions Oui Non Sans objet Commentaire Edifices 1.1Peut-on exclure que des installations existantes ou prévues soient inondées ? a) en raison de crues b) en raison de l’engorgement du réseau d’égouts c) en raison de la montée du niveau de la nappe phréatique d) par l’eau utilisée pour combattre un incendie 1.2Des mesures ont-elles été mises en place pour protéger le site contre les crues ? 1.3Lors de l’étude de nouveaux édifices, veillet-on, si possible, à les surélever ? Ceci concerne les édifices proprement dits, ainsi que toutes les ouvertures d’entrée. 1.4L’enveloppe externe de l’édifice est-elle protégée contre les crues ? 1.5Les ouvertures dans l’enveloppe externe de l’édifice sont-elles protégées contre les crues ? Ceci inclut les mesures temporaires, mobiles ou permanentes. 1.6L’aménagement et l’utilisation des pièces intérieures sont-ils adaptés à l’éventualité d’une crue ? Exemple : emploi de matériaux de construction hydrorésistants. 49 Questions Précisions 1.7En cas de montée du niveau de la nappe phréatique due à une crue, la stabilité de l’édifice est-elle menacée ? Par exemple au niveau des étages inférieurs (effet de flottaison) 1.8Le terrain sur lequel est érigé l’édifice est-il susceptible de se trouver altéré par des affouillements? 2. Equipements 2.1La fixation et l’ancrage des réservoirs et conduites sont-ils suffisants pour les empêcher d’être soulevés ? Ceci inclut les dispositifs d’ancrage, la conception des réservoirs d’huile et de fuel, en tenant compte de la pression hydrostatique, la conception des conduites d’alimentation et d’évacuation, le système de ventilation des réservoirs, ainsi que les conduites d’arrivée au brûleur. 2.2La fixation et l’ancrage des réservoirs et conduites sont-ils suffisants pour les empêcher de subir des dommages mécaniques provoqués par des objets emportés par les eaux ? Ceci inclut les dispositifs d’ancrage, la conception des réservoirs d’huile et de fuel, en tenant compte de la pression hydrostatique, la conception des conduites d’alimentation et d’évacuation, le système de ventilation des réservoirs, ainsi que les conduites d’arrivée au brûleur. 2.3Le système d’égout estil équipé d’un dispositif anti-reflux ? 50 Oui Non Sans objet Commentaire Listes de contrôle V.1.3 Terrains, édifices, équipements – Séismes 1. Questions Précisions Oui Non Sans objet Commentaire Oui Non Sans objet Commentaire Edifices 1.1 L es édifices / constructions offrent-ils une résistance suffisante aux séismes ? Ceci inclut le respect des collections normatives (DIN 4149, Eurocode 8), ainsi que l’application, sur une base volontaire, de recommandations allant au-delà de ces normes. 1.2L’ancrage des équipements situés à l’intérieur des édifices est-il suffisant ? Ceci inclut les réservoirs, transformateurs, etc… 1.3Peut-on exclure que des éléments porteurs ont fait l’objet d’altérations susceptibles d’en affaiblir la structure ? Ceci inclut le perçage de gros trous, ou des alésages réalisés ultérieurement. 2.Equipements souterrains 2.1Dans une région sismique, les tuyauteries sont-elles posées en tenant compte des contraintes potentielles ? Ceci inclut la prise en compte de la structure du sol, une pose à angle droit par rapport à des failles connues, avec des raccordements souples et des soupapes de sûreté, ainsi que la pose de tuyauteries redondantes. V.1.4 Terrains, édifices, équipements – Tempêtes 1. Questions Précisions Toits 1.1Les toits sont-ils suffisamment solidaires des édifices ? 51 V.1.5 Terrains, édifices – Actes intentionnels d’origine criminelle et / ou terroriste 1. Questions Précisions Accès 1.1L’accès au site de l’établissement est-il contrôlé ? 1.2Existe-t-il des zones sécurisées dans l’enceinte du site de l’établissement ? Un élément important pour la prévention d’attentats terroristes ou de sabotage consiste à créer une distance entre les édifices et une attaque possible à l’aide d’explosifs contenus dans une voiture piégée. Les barrières et obstacles destinées à créer cette distance (surélèvement du sol, poteaux de dissuasion, clôtures ou éléments de béton) peuvent gêner les véhicules tentant de s’approcher des zones sensibles, ou les en empêcher totalement. 1.3Existe-t-il des zones sécurisées à l’intérieur des bâtiments ? Il conviendra de vérifier s’il est possible d’installer des systèmes de contrôle d’accès physique (passage d’une personne à la fois) à l’entrée du bâtiment ou aux points d’accès aux zones sensibles, éventuellement en combinaison avec des lecteurs de cartes, afin d’en contrôler l’entrée et de la rendre plus difficile pour les personnes ne faisant pas partie du personnel. 1.4Des contrôles d’accès sont-ils effectués à l’intérieur des bâtiments ? Par exemple par le gardien. 1.5Les secteurs critiques sont-ils fermés à clé et accessibles uniquement par le personnel autorisé ? 52 Oui Non Sans objet Commentaire Listes de contrôle 2. Questions Précisions Oui Non Sans objet Commentaire Construction 2.1Les façades – incluant les fenêtres et les portes – sont-elles renforcées ? Les portes et les fenêtres doivent être dotées de verre feuilleté de sécurité. 2.2Des locaux protégés ont-ils été aménagés pour le personnel et autres personnes présentes sur les lieux ? En cas d’attentat terroriste, d’accident mettant en cause des matières dangereuses ou d’incident industriel, il peut s’avérer utile d’aménager des zones protégées au sein du site, dans lesquelles le personnel et les autres personnes présentes pourront se réfugier. Conviennent à cet effet les structures porteuses statiques, comme les cages d’escalier, ou encore les pièces des étages inférieurs équipées de portes pare-fumée et de systèmes de communication. On vérifiera, à partir des plans du site, si l’aménagement de ces locaux est possible. 2.3Les entrées d’aération sont-elles aménagées à des endroits difficilement accessibles de l’extérieur ? Cela signifie qu’elles sont placées à une hauteur suffisante, ou à des endroits inaccessibles. 3. Surveillance électronique 3.1Les secteurs critiques sont-ils dotés d’un dispositif de vidéosurveillance ? 3.2Les enregistrements de la vidéosurveillance sont-ils analysés ? 3.3Des systèmes d’alarme sont-ils installés dans les zones noyau? 53 4. Questions Précisions Oui Non Sans objet Commentaire Oui Non Sans objet Commentaire Interlocuteurs 4.1Connaît-on des interlocuteurs spécialisés, que l’on pourra contacter en cas d’attentat mettant en cause des agents chimiques, biologiques ou radiologiques ? En cas d’accident ou d’attentat terroriste, les entreprises et services publics peuvent se voir confrontés à des agents dont l’évaluation requiert des connaissances spéciales. Outre les services sanitaires, il conviendra donc d’identifier en amont des partenaires de coopération potentiels, qui pourront être contactés le cas échéant. V.1.6 Installations et équipements – Alimentation électrique Questions Précisions 1. Alimentation électrique 1.1Existe-t-il plusieurs arrivées d’électricité, et se trouvent-elles de préférence dans des secteurs du réseau indépendants les uns des autres ? 2. Alimentation de secours 2.1Les secteurs critiques qui, en cas de crise, devront être approvisionnés par une alimentation de secours, sont-ils identifiés ? 2.1S’est-on assuré que les consommateurs des secteurs critiques prévus pour fonctionner en régime de secours sont les seuls à être branchés sur l’alimentation de secours ? 2.3Est-ce qu’il a été défini pendant quelle durée les secteurs critiques devront fonctionner sur l’alimentation de secours ? 54 Ces secteurs critiques incluent les salles de commande, les centres informatiques, la climatisation des centres informatiques. Listes de contrôle Questions Précisions Oui Non Sans objet Commentaire 2.4A-t-on calculé les besoins totaux en énergie nécessaires pour maintenir les secteurs critiques en fonctionnement ? 2.5 L es groupes électrogènes sont-ils conçus pour répondre à l’évolution des exigences, en termes de capacité et de qualité ? Les exigences en termes de capacité et de qualité évoluent avec l’apparition d’installations nouvelles, plus modernes. 2.6Est-ce que la réserve en carburant est suffisante pour la durée de fonctionnement définie pour l’alimentation de secours ? 2.7Les groupes électrogènes font-ils tous l’objet d’une maintenance régulière ? 2.8Des essais en pleine charge sont-ils effectués régulièrement sur tous les groupes électrogènes ? 2.9Est-il garanti que, en cas de crise, les groupes électrogènes pourront être mis en marche sans problème ? En cas de crise, il peut arriver que les démarreurs électriques ou sur batterie ne fonctionnent pas. Le carburant doit souvent être préchauffé. 2.10En cas de crise, le fait qu’il faille faire le plein de carburant du groupe électrogène est-il signalé ? Comment et où ? 2.11Les composants techniques sensibles sont-ils sécurisés par une alimentation électrique non interruptible ? Ceci inclut l’utilisation d’une batterie tampon capable de maintenir le fonctionnement d’installations informatiques pendant quelques minutes. 55 Questions Précisions Oui Non Sans objet Commentaire Non Sans objet Commentaire 2.12Avez-vous conclu des accords ou contrats avec les fournisseurs qui vous livrent les carburants pour les groupes électrogènes ? 3.Systèmes de sécurité et d’alarme indépendants du courant électrique 3.1Un éclairage de secours indépendant du réseau public d’électricité a-t-il été installé ? Un éclairage de secours est indépendant du réseau public d’électricité s’il est alimenté par exemple par une batterie. 3.2Un système d’alarme et d’alerte indépendant du réseau électrique a-t-il été installé ? Un système d’alarme et d’alerte est indépendant du réseau public d’électricité s’il est alimenté par exemple par une batterie. V.1.7 Installations et équipements – Informatique 1. Questions Généralités 1.1Est-ce qu’il existe un dispositif opérationnel de gestion de l’informatique (achat, développement et maintenance des systèmes informatiques) 2.Sécurisation de l’accès 2.1Le système informatique connecté aux réseaux publics est-il suffisamment protégé contre les intrus ? 3.Sauvegarde des données 3.1Un plan de sauvegarde des données a-t-il été mis en place ? 56 Précisions Exigences de sécurité auxquelles doivent répondre les systèmes, traitement correct dans les applications, mesures cryptographiques, sécurité des fichiers système et des processus, gestion de la vulnérabilité Oui Listes de contrôle Questions Précisions Oui Non Sans objet Commentaire Non Sans objet Commentaire 3.2Les données critiques sont-elles stockées à différents endroits ? 4. Pilotage des processus 4.1Est-ce qu’il existe un système redondant et séparé physiquement de pilotage des processus ? 4.2Le pilotage des processus et les systèmes de sécurité (dispositifs d’alarme, vidéosurveillance, etc.) sont-ils indépendants les uns des autres (réseaux séparés) ? Si le pilotage des processus s’effectue alors que l’on est connecté à l’Internet, et que le système de pilotage des processus et les systèmes de sécurité sont connectés les uns avec les autres, ces deux systèmes peuvent subir des manipulations provenant de l’extérieur. V.1.8 Installations et équipements – Technologie de la communication 1. Questions Précisions Oui Réseau fixe 1.1L’installation téléphonique est-elle sécurisée par une alimentation électrique non interruptible ? 1.2L’installation téléphonique est-elle également sécurisée par un groupe électrogène ? 1.3Une demande d’accès prioritaire au réseau a-t-elle été faite ? 2. Téléphonie mobile 2.1Les membres du personnel sont-ils équipés de téléphones mobiles pour les situations de crise ? 57 3. Questions Précisions Oui Non Sans objet Commentaire Précisions Oui Non Sans objet Commentaire Radio 3.1L’entreprise est-elle équipée d’un système de radiocommunication pour les situations de crise ? V.2 Audit de la gestion de crise V.2.1 Organisation générale 1. Questions Responsabilités et missions 1.1Les personnes devant occuper les postes nécessaires pour la gestion de crise dans l’établissement sontelles désignées ? 1.2Toutes les tâches pertinentes de la gestion de crise sont-elles définies et attribuées à des personnes et à leurs suppléants ? 1.3Les membres du personnel sont-il formés (formation initiale et continue) pour la mission qui leur sera confiée en cas de crise ? 2. Alerte 2.1Les opérations d’alerte et d’information internes et externes sont-elles clairement définies ? 2.2Existe-t-il des consignes d’action concrètes pour les personnes qui, en situation de danger, seront responsables de la transmission de comptes rendus ? 58 Listes de contrôle Questions Précisions Oui Non Sans objet Commentaire 2.3Les actions concrètes menées et les décisions prises pendant la crise sont-elles consignées par écrit ? 2.4Des exercices sont-ils effectués pour répéter les opérations internes et externes d’alerte et d’information ? 3. Ceci inclut les exercices internes, ainsi que la participation à des exercices de sécurité civile effectués au niveau local. Alerte 3.1L’alerte est-elle adaptée aux effets possibles d’événements extrêmes ? Définition simplifiée, par exemple selon les critères suivants : 1) Les effets restent limités à une partie du site. 2) Les effets se manifestent sur l’ensemble du site, mais restent limités au site proprement dit. 3) Les effets concernent l’ensemble du site, ainsi que le voisinage / la région. 4) Les effets concernent le site et le voisinage immédiat, et s’exercent aussi au niveau suprarégional. 4. Avertissement 4.1Des règles ont-elles été fixées pour l’avertissement des populations touchées par un événement extrême survenu sur le site ? 5. Riverains, clients, etc... Etats-majors 5.1En cas de crise, une cellule de crise se réunit-elle dans l’établissement ? 59 Questions 5.2En cas de crise, l’établissement est-il représenté au sein des cellules de crise de la sécurité civile (commandement des opérations de secours, état-major administratif) par du personnel de liaison ? Précisions En cas de crise, une influence plus grande peut être exercée sur les décisions qui concernent l’établissement lorsque du personnel de liaison est représenté au sein de ces états-majors. Contactez les services publics locaux chargés de la sécurité civile. Les interlocuteurs sont les sapeurs-pompiers locaux, ou les services administratifs au niveau de la circonscription, de la ville ou de la commune. 5.3Est-il prévu dans l’établissement des locaux qui, en cas de crise, seront mis à la disposition de la cellule de crise, et qui sont dotés de l’équipement technique nécessaire ainsi que d’une alimentation électrique de secours ? 5.4Des plans existent-ils pour le maintien du fonctionnement de la cellule de crise en cas de défaillance des systèmes de communication ? Par exemple par l’institution de messagers, motorisés ou non (voiture, moto). 5.5Des plans existent-ils pour le maintien du fonctionnement de la cellule de crise en cas de défaillance des systèmes de traitement des données ? Par exemple en conservant des exemplaires sur papier des plans et informations. 5.6Des plans existent-ils pour le maintien du fonctionnement de la cellule de crise si son QG est devenu inutilisable ? 6. Informations et documents nécessaires 6.1Existe-t-il des plans des différents étages du 60 Les conduites d’alimentation et d’évacuation concer- Oui Non Sans objet Commentaire Listes de contrôle Questions bâtiment, précisant les emplacements des conduites d’alimentation et d’évacuation, ainsi que des voies d’accès, si possible sur support numérique et sur papier ? Précisions Oui Non Sans objet Commentaire nent l’électricité, le gaz et l’eau 6.2Les plans des étages contiennent-ils toutes les informations nécessaires en cas de crise, et celle-ci sont-elles particulièrement signalées ? Ceci inclut les issues et portes de secours, cages d’escalier, extincteurs, pharmacie portative, pièces sécurisées pouvant servir de refuge, pièces contenant des provisions, pièces contenant les équipements nécessaires, groupes électrogènes, points de rassemblement, conduites, valves et vannes, etc. 6.3Tous les documents importants sont-ils rapidement accessibles ? Exemple : contrats 6.4Les plans et documents susceptibles d’être également utilisés en extérieur en cas de crise sont-ils protégés contre l’humidité ? 6.5Existe-t-il des formulaires pour consigner les réceptions et envois de messages ? 6.6Existe-t-il des formulaires sur lesquels seront rédigées les informations destinées à la population ? 7. Coordonnées des personnes à contacter 7.1Existe-t-il des listes actualisées, à la mise à jour centralisée, du personnel et des personnes à contacter ? Les listes contiennent les noms, adresses, numéros de téléphone (professionnels et personnels), ainsi qu’une description de la position au sein de l’établissement. 61 Questions 7.2Existe-t-il des listes actualisées renseignant sur les entreprises et services publics externes importants ? Précisions Les listes contiennent des renseignements sur l’organisation, son adresse, le nom de l’interlocuteur, les numéros de téléphone, une description des prestations de services, ainsi que des informations sur des accords contractuels et des priorités en matière d’approvisionnement. Ceci inclut notamment les hôpitaux, crèches, établissements scolaires et fournisseurs de carburants. 7.3Est-il vérifié régulièrement que toutes les listes sont mises à jour ? 8. Concertation éventuelle avec les services publics compétents 8.1Les différents services publics à informer figurent-ils sur le plan de crise ? Exemples : police, service de l’hygiène et de la santé publique, autorités en charge de l’environnement, sapeurs-pompiers, services de sécurité civile 8.2Les différentes personnes investies d’une fonction au sein de l’établissement sontelles connues de ces services publics ? 8.3Les services publics concernés sont-ils informés des plans de crise ? 8.4Existe-t-il un contact avec les services de police en charge des mesures préventives de sûreté ? 62 Ces services (police de la Fédération et des Länder, offices régionaux de police criminelle, office fédéral de police criminelle) vous conseillent pour toute question relative à des événements d’origine criminelle ou terroriste, ou à un sabotage. Oui Non Sans objet Commentaire Listes de contrôle V.2.2 Personnel – Généralités Questions 1.Existe-t-il des plans et mesures propres à assurer la protection du personnel, même dans des situations extrêmes ? Précisions Oui Non Sans objet Commentaire Ceci inclut la formation de collaborateurs choisis, qui les habilite à intervenir comme guides d’évacuation, secouristes et auxiliaires en cas de pandémie, ainsi que des plans d’évacuation, des issues de secours ne pouvant être bloquées par les inondations ou les décombres, des points de rassemblement, des espaces de repli, des locaux protégés, des équipements de protection, des équipements de premiers secours, ainsi qu’une réserve de produits alimentaires. 2.L’établissement dispose-t-il de suffisamment de personnel connaissant parfaitement le site ? 3.Les membres du personnel ont-ils acquis une expérience dans d’autres domaines que le leur (principe de rotation) ? Les activités effectuées selon le principe de rotation dans différents domaines permettent aux employés d’assumer des fonctions en dehors de leur domaine habituel de responsabilité, en cas de défaillance du personnel responsable. 4.Peut-on, en cas de crise, recourir à du personnel de remplacement ? Par exemple en cas de pandémie, il est éventuellement possible de recourir au personnel d’entreprises et de services publics du voisinage, à d’anciens employés en retraite ou à du personnel en cours de formation. 5. Ceci inclut les boutons d’alarme, ainsi qu’une alerte à déclenchement automatique en cas de dysfonctionnements, d’erreurs de manœuvre et d’absence de mesure corrective dans les centres opérationnels / salles de contrôle. st-ce qu’il existe des E plans d’alerte pour les postes de travail à une seule personne ? 63 Questions Précisions Oui Non Sans objet Commentaire Sans objet Commentaire 6.Les membres du personnel de l’établissement sont-ils informés de la gestion de la crise ? V.2.3 Gestion de la crise – Plan de pandémie (en particulier pandémie grippale) 1. Questions Précisions Généralités 1.1Est-il prévu que, en cas d’absentéisme aggravé, on puisse procéder à un arrêt contrôlé des activités de l’établissement ? 1.2Des solutions de repli sont-elles prévues pour l’éventualité d’une épidémie ou d’une pandémie ? Exemple : télétravail 1.3Des accords ont-ils été conclus avec des prestataires de services externes concernant la prise en charge de certaines tâches ? 1.4Une coopération avec les autorités sanitaires locales est-elle prévue dans le cadre du plan de continuité ? 1.5Des réserves de médicaments antiviraux ontelles été constituées ? 1.6Une vaccination estelle proposée dans l’établissement, ou le personnel y est-il informé des possibilités de vaccination ? 1.7Est-il prévu d’arrêter une partie de la climatisation si la gravité de 64 On veillera ici au fait que certaines pièces et installations nécessitent une clima- Oui Non Listes de contrôle Questions la situation l’exige ? 2. Précisions Oui Non Sans objet Commentaire Oui Non Sans objet Commentaire tisation ininterrompue (p. ex. les pièces où se trouvent les serveurs informatiques). La climatisation de ces pièces et installations devra être contrôlée séparément. Personnel 2.1 L es membres du personnel sont-ils sensibilisés au problème ? 2.2 L es membres du personnel apprennent-ils comment se comporter en cas d’événement ? Exemples : éviter de porter les mains au visage ; éviter les poignées de main ; se laver régulièrement les mains ; porter des équipements de protection individuelle (masque sur la bouche et le nez, lunettes) 2.3Du personnel à risque a-t-il été identifié ? 2.4L’isolement en cas d’événement a-t-il été évoqué avec le personnel à risque ? 2.5Du personnel supplémentaire est-il formé dans l’établissement pour effectuer des opérations spéciales ? V.3 Gestion de la crise V.3.1 Procédures générales en cas de crise 1. Questions Précisions Procédures générales 1.1Une évaluation de la situation a-t-elle été effectuée ? 65 Questions 1.2Est-il possible de rétablir le bon fonctionnement de l’établissement ? 1.3Des mesures de précaution sont-elles prises pour protéger le personnel, les clients et autres personnes présentes ? 1.4 D es mesures de précaution sont-elles prises pour protéger les bâtiments, les installations et les équipements, les données et les documents ? 2.Procédures administratives 2.1 L e personnel, les clients et les autres personnes présentes sont-ils mis en garde en cas de survenance d’un événement extrême ? 2.2 T ous les employés qui ont à intervenir dans le cadre de la gestion de la crise sont-ils recensés ? 2.3Tous les employés qui ont à intervenir dans des zones dangereuses sont-ils recensés ? 2.4 U ne assistance estelle fournie pour les employés blessés, bloqués ou égarés ? 2.5Des informations relatives à l’événement sont-elles fournies au personnel ? 2.6Des informations relatives à l’événement sont-elles fournies aux familles des employés ? 66 Précisions Oui Non Sans objet Commentaire Listes de contrôle Questions Précisions Oui Non Sans objet Commentaire 2.7Toutes les blessures et mesures prises à ce propos sont-elles consignées par écrit ? 2.8Chaque sous-événement est-il consigné par écrit ? 2.9Les installations et équipements sont-ils, dans la mesure du possible, tous transférés en dehors des zones dangereuses ? 2.10Des contrôles sont-ils effectués aux accès de la zone sinistrée ? 2.11Est-il tenu un journal de tous les appels téléphoniques ? 2.12Des communiqués de presse sont-ils publiés ? 2.13La situation de crise une fois terminée, l’arrêt de l’alerte et le rétablissement de l’organisation structurelle sont-ils diligentés ? 3.Logistique 3.1Tous les équipements nécessaires sont-ils fournis ? 3.2De la nourriture et des objets de nécessité sont-ils fournis ? 3.3Le QG de la cellule de crise est-il opérationnel ? 3.4Tous les plans nécessaires sont-ils fournis ? Plans des bâtiments, alimentation en énergie et en eau, élimination, etc. 67 Questions 3.5Tous les dispositifs et équipements redondants sont-ils fournis ? Précisions Oui Non Sans objet Commentaire Oui Non Sans objet Commentaire QG de remplacement pour la cellule de crise, postes radio, etc. 3.6Une réparation des installations endommagées est-elle effectuée ou initiée ? 3.7Est-il prévu une assistance médicale pour des blessures susceptibles de survenir ? Matériel de premier secours 3.8L’alimentation électrique d’urgence a-t-elle été mise en marche ? V.3.2 Procédures spéciales durant la crise 1. Questions Précisions Sauver, récupérer, lutter contre les incendies 1.1Toutes les opérations nécessaires sont-elles déclenchées pour le sauvetage des personnes et la récupération des objets ? 1.2Toutes les opérations sont-elles lancées pour l’extinction des incendies ? Propres mesures, prévenir des organismes externes 2. Premiers secours médicaux 68 2.1Toutes les opérations nécessaires aux premiers secours médicaux sont-elles déclenchées ? Propres mesures, prévenir des organismes externes 2.2Tous les organismes externes devant intervenir pour les premiers secours médicaux ontils été alarmés ? SAMU, pompiers, etc. Listes de contrôle Questions Précisions Oui Non Sans objet Commentaire 3.Bouclage de secteurs et contrôles d’accès 3.1Toutes les mesures nécessaires au bouclage de secteurs ont-elles été mises en place ? 3.2Des contrôles d’accès sont-ils effectués dans les secteurs de crise ? 4.Lieux d’hébergement sécurisés 4.1Des lieux d’hébergement sécurisés sont-ils mis à la disposition de tous les membres de la cellule de crise ? Pour s’y tenir durant la journée et pouvoir y dormir si besoin est. 4.2 D es lieux d’hébergement sécurisés sont-ils mis à la disposition du personnel, des clients et autres personnes présentes sur les lieux ? Pour s’y tenir durant la journée et pouvoir y dormir si besoin est. 5. Evacuation de bâtiments 5.1Toutes les personnes présentes sont-elles accompagnées par les guides d’évacuation vers le point de rassemblement convenu ? 5.2Sur le point de rassemblement, est-il vérifié que toutes les personnes sont au complet ? 5.3La fin de l’évacuation est-elle signalée ? 5.4Des moyens de transport sont-ils fournis pour évacuer toutes les personnes présentes ? 6. Réaction en cas d’alerte à la bombe 6.1La police a-t-elle été prévenue ? 69 Questions Précisions Oui Non Sans objet 6.2Les éléments d’information concernant des activités suspectes sont-ils enregistrés et transmis ? 6.3Les éléments d’information concernant des objets suspects sont-ils enregistrés et transmis ? p. ex. en utilisant un formulaire 7. Coordination de la collaboration avec des entreprises externes et des services publics 7.1La procédure prévue pour travailler avec des entreprises externes et des services publics estelle activée ? Exemples : sapeurs-pompiers, police 7.2L’accès des collaborateurs d’établissements externes est-il contrôlé ? 7.3Un contrôle d’identité est-il effectué auprès des membres du personnel d’entreprises externes et de services publics ? 7.4Les canaux de communication nécessaires sont-ils activés ? 8. Arrêt et remise en service contrôlés d’installations 8.1Le site est-il mis hors service, totalement ou en partie, après concertation avec le responsable de la cellule de crise ? 8.2Tous les délais sont-ils pris en compte ? 8.3Les effets d’une mise hors service – partielle ou totale – d’installations sont-ils recensés et pris en compte ? 70 Délai de préparation éventuellement nécessaire Commentaire Listes de contrôle 9. Questions Précisions Oui Non Sans objet Commentaire Gestion des données et documents critiques 9.1Les supports de données et documents importants sont-ils toujours emballés dans des contenants étanches à l’eau et ignifugés ? 9.2Les supports de donnés, documents et contenants importants sontils marqués comme tels ? 9.3Les supports de donnés et documents importants sont-ils évacués du secteur sinistré ? 10. Médias 10.1 Toutes les personnes qualifiées pour intervenir comme porteparole face aux médias sont-elles convoquées ? 10.2Tous les textes prérédigés sont-ils immédiatement accessibles ? 10.3Une documentation générale concernant l’établissement est-elle disponible ? 10.4La procédure définie pour l’autorisation de révéler les informations vers l’extérieur est-elle respectée ? 10.5Toutes les listes des interlocuteurs de l’établissement pour les représentants des médias sont-elles disponibles ? 10.6 Un questionnaire permettant de contrôler les représentants des médias est-il disponible ? Authenticité, contrôle du document d’identité 71 Questions Précisions Oui Non Sans objet Commentaire Oui Non Sans objet Commentaire 10.7Tous les représentants des médias font-ils l’objet d’un traitement identique ? 10.8 Médias a. Est-il publié des communiqués de presse ? b. Des conférences de presse sont-elles tenues ? c. Est-il publié des annonces visant à informer le public ? d. Des informations sontelles diffusées par le biais de la radio et de la télévision ? 11. Soutien financier en cas de crise 11.1Des fonds nécessaires à la gestion de la crise sont-ils fournis ? 12. Consignation par écrit / conservation des preuves 12.1Toutes les décisions sont-elles consignées par écrit ? Formulaires, procès-verbaux 12.2Tous les dommages corporels sont-ils consignés, preuves à l’appui ? Rapports, photos, matériel vidéo 12.3Tous les dommages matériels sont-ils documentés ? Rapports, photos, matériel vidéo V.4 Retour d’expérience Questions 1.Des actions prioritaires sont-elles définies ? 2.Le niveau des dangers résiduels est-il évalué ? 72 Précisions Listes de contrôle Questions 3. ne enquête est-elle U effectuée auprès du personnel sur la manière dont la crise a été gérée ? 4. L es informations concernant les dommages sont-elles analysées ? Précisions Oui Non Sans objet Commentaire Oui Non Sans objet Commentaire Rapports, photos, matériel vidéo 5.Toutes les factures sont-elles payées ? 6.Les acteurs externes sont-ils informés sur la situation ? Assurances, administrations 7.Les clients concernés ont-ils été contactés ? 8. -t-on fait en sorte que A tous les travaux de déblaiement nécessaires soient effectués ? 9. n inventaire est-il dresU sé de tous les bâtiments, installations et équipements détériorés ? Aérer, déblayer les décombres, sécher, etc. 10.Une estimation du dommage financier est-elle effectuée ? 11. L es conclusions du retour d’expérience sont-elles mises à profit pour un ajustement de la gestion des crises ? V.5 Exercices 1. Questions Précisions Exercices « table top » 1.1Est-il procédé à des exercices concernant la prise en charge de missions et de responsabilités en cas de crise ? 73 Questions Précisions 1.2Est-il procédé à des exercices portant sur les procédures d’alerte, de remontée de l’information et d’avertissement ? 1.3Les canaux de communication internes et externes sont-ils testés ? 1.4Les moyens de communication sont-ils testés ? 1.5Des listes de contacts sont-elles testées ? Exemple : listes téléphoniques 2. Exercices partiels, exercices complets 2.1Est-il procédé à des évacuations ? 2.2Après une évacuation, est-il vérifié que le personnel est au complet ? 2.3Tous les équipements sont-ils testés ? 2.4Est-il procédé à des exercices portant sur l’arrêt contrôlé d’installations et de secteurs ? 2.5L’activation de sites et / ou d’équipements alternatifs est-elle testée ? 2.6L’activation de systèmes redondants en mode de fonctionnement « de secours » est-elle testée ? 2.7Est-il procédé à des exercices portant sur le retour au mode normal de fonctionnement ? 74 Exemple : équipements de protection individuelle Oui Non Sans objet Commentaire Listes de contrôle V.6 Choix et aménagement d’un QG de cellule de crise 1. Questions Précisions Oui Non Sans objet Commentaire Infrastructure des locaux 1.1Le QG de la cellule de crise se trouve-t-il si possible dans un secteur sécurisé du site, ou sur un site alternatif ? 1.2Le QG de la cellule de crise est-il situé à un emplacement central, facilement accessible ? 1.3Les membres / unités de la cellule de crise peuvent-ils être joints directement ? 1.4Des espaces de parking en quantité suffisante sont-ils disponibles à proximité immédiate ? 1.5Existe-t-il une salle de réunion (sans téléphone) suffisamment spacieuse et séparée de la salle de travail, pour faire le point de la situation ? 1.6Existe-t-il en outre des petites salles de réunion pour les groupes de travail / les concertations sur des points de détail ? 1.7Est-il prévu une salle de travail suffisamment spacieuse pour accueillir la cellule de crise et les unités de soutien ? 1.8A-t-on pensé, pour le QG de la cellule de crise, à mettre en place un dispositif pare-vue côté fenêtres, et un dispositif anti-écoute ? 1.9Existe-t-il, à proximité du QG, des pièces / zones 75 Questions Précisions permettant la cellule de crise de se retirer pour prendre du repos, se restaurer et éventuellement dormir ? 1.10Est-il possible d’assombrir la salle, pour les présentations ? 2. Infrastructure technique 2.1Des postes informatiques, avec accès Internet, courrier électronique et supports externes de stockage pour le transport des données sont-ils disponibles ? CD-ROM, disques durs externes, clés USB 2.2Des ordinateurs portables, notebooks et PDA sont-ils disponibles ? 2.3Existe-il une boîte mail partagée, à distribution contrôlée ? 2.4Des téléphones portables avec câbles chargeurs, ainsi que des téléphones analogiques indépendants du réseau électrique sont-ils disponibles ? 2.5Existe-t-il éventuellement une ligne directe avec les principales entreprises et administrations ? 2.6Les fax et serveurs fax sur PC sont-ils en nombre suffisant ? 2.7Des scanners sont-ils disponibles ? 2.8L’accès au système interne de vidéosurveillance est-il possible ? 76 Pour scanner des documents, photos, etc… Oui Non Sans objet Commentaire Listes de contrôle Questions Précisions Oui Non Sans objet Commentaire 2.9L’accès aux systèmes informatiques internes est-il possible ? 2.10L’accès au système radio et à la technique radio du site est-il possible ? 2.11A-t-on prévu une technique de visualisation ? Exemple : écran, beamer, chevalet de présentation, tableau blanc 2.12 Dispose-t-on d’un nombre suffisant de téléviseurs, radios et magnétoscopes ? Pour suivre, analyser et enregistrer les images prises par caméra et reportages. 2.13Est-il garanti que les enregistrements sont disponibles dans un format lisible ? 2.14Une photocopieuse estelle disponible ? 2.15Des appareils photo sont-ils disponibles ? 2.16Une alimentation électrique non interruptible, et / ou un système d’alimentation de secours sont-ils prévus ? 3. Divers 3.1Des formulaires, feuilles de procèsverbal et modèles de documents sont-ils disponibles ? 3.2Des formulaires sont-ils disponibles pour les réunions où il est fait le point de situation ? 3.3Des listes téléphoniques, listes de contacts et inventaires de ressources sont-ils disponibles ? Personnel, équipements, stocks, prestations de services en cas de crise, contrats sous forme numérique et sur papier. 77 Questions Précisions 3.4Existe-t-il des listes des participants aux réunions où il est fait le point de la situation ? 3.5Existe-t-il un plan de table pour la cellule de crise ? 3.6Des plans et photos récents du site sont-ils disponibles ? 3.7Des badges personnalisés indiquant la fonction sont-ils prévus pour les membres de la cellule de crise ? Eventuellement aussi des porte-nom pour la table, avec désignation du domaine d’activité, en cas de changement de personnes au sein de la cellule de crise. 3.8Les fournitures de bureau sont-elles en quantité suffisante ? Papier, crayons, stylos, etc. 3.9Y a-t-il un centre de presse correctement équipé (TV, radio) ? Pour les grosses entreprises et administrations. 3.10Est-il prévu de mettre en place un contrôle d’accès pour pénétrer dans le QG de la cellule de crise ? 3.11Est-il effectué un contrôle des papiers d’identité et des laissez-passer ? 3.12Des cartes de visite sont-elles disponibles ? Par exemple pour les représentants des médias 3.13Est-il prévu des repas pour l’éventualité d’un événement ? 3.14Des équipements de protection sont-ils prévus pour l’ensemble du personnel ? 78 Lunettes de protection, casques, chaussures de sécurité, masques respiratoires, combinaisons de protection. Oui Non Sans objet Commentaire VI. Exemple d’une analyse des risques L’exemple suivant illustre la manière dont peut être réalisée dans la pratique une analyse des risques, pour un établissement fictif. Le sous-processus choisi comme exemple et examiné est celui d’une salle de contrôle. En l’occurrence, le processus de la salle de contrôle n’a pas été lui-même divisé en d’autres sous-processus. Un tableau de risques généré par un logiciel tableur a été utilisé pour procéder à l’analyse des risques pour la salle de contrôle VI.1 Analyse de criticité Pour déterminer la criticité de la salle de contrôle, on a recours à deux des quatre critères listés au chapitre 3.2.1, qui sont évalués à partir de la classification suivante. Cette classification doit être comprise comme étant une suggestion, qui pourra être adaptée aux spécificités de l’établissement concerné. Les catégories encadrées d’un trait épais ont été choisies pour le sous-processus « salle de contrôle ». a) Facteur temporel : En combien de temps la perturbation du processus se répercute-t-elle sur l’ensemble de la production de biens ou de services de l’établissement ? Laps de temps s’écoulant avant que les services Catégorie ou la production soient perturbés Classification verbale 1 Laps de temps très court (p. ex. : secondes ou minutes) le sous-processus est très critique 2 Laps de temps court (p. ex. : heures) le sous-processus est critique 3 Laps de temps moyen (p. ex. : jours) le sous-processus est important, mais pas critique 4 Laps de temps long (p. ex. : semaines) le sous-processus n’est pas très critique 5 Laps de temps très long (p. ex. : mois, années) le sous-processus n’est quasiment pas critique Tableau 1 : Classification selon le critère de criticité « Facteur temporel » 79 b) Volume : Quel volume de l’ensemble des biens et services serait concerné en cas de perturbation ou d’arrêt total du sous-processus critique en question ? Catégorie Volume de services ou de la production perturbé Classification verbale 1 Très gros volume (p. ex. : 80 à 100 % de l’ensemble des services ou de la production) le sous-processus est très critique 2 Gros volume (p. ex. : 50 à 80 % de l’ensemble des services ou de la production) le sous-processus est critique 3 Volume moyen (p. ex. : 30 à 50 % de l’ensemble des services ou de la production) le sous-processus est important, mais pas critique 4 Faible volume (p. ex. : 10 à 30 % de l’ensemble des services ou de la production) le sous-processus n’est pas très critique 5 Très faible volume (p. ex. : 0 à 10 % de l’ensemble des services ou de la production) le sous-processus n’est quasiment pas critique Tableau 2 : Classification selon le critère de criticité « Volume » Dans le cas de l’établissement fictif, le laps de temps qui s’écoule jusqu’à ce que l’ensemble des services fournis soient perturbés est très court, il peut dont être classé dans la catégorie 1. Selon le critère de criticité « Facteur temporel », le sous-processus doit donc être considéré comme très critique. Au total, le sous-processus « Salle de contrôle » est classé comme étant très critique. Il fait l’objet d’un examen plus détaillé dans le cadre de l’analyse des risques. VI.2 Analyse des aléas et élaboration de scénarios En cas de perturbation de la salle de contrôle, il est présumé que le volume de services ne pouvant pas être fourni est très élevé – il est classé dans la catégorie 2. Du point de vue du critère « Volume », le sous-processus doit donc être considéré comme étant critique. L’exemple choisi d’un aléa susceptible d’affecter l’établissement fictif est une panne d’électricité. A partir de ce cas de figure, on peut élaborer le scénario suivant. Scénario : panne d’électricité Intensité5 millions de personnes privées d’électricité dans toute l’Europe Toutes les installations fonctionnant à l’électricité, sans alimentation de secours, sont immobilisées. Les groupes électrogènes fournis par la protection civile sont loin d’être suffisants pour couvrir les besoins en alimentation de secours. Ampleur géographique Pannes régionales touchant de nombreux réseaux régionaux partiels ; la salle de contrôle de l’établissement est affectée par la panne d’électricité Durée de la panne 4 jours Avertissement Aucun avertissement préalable Événements de référencePanne d’électricité dans la région du Münsterland en novembre 2005, avec des coupures régionales qui ont duré jusqu’à 5 jours, affectant jusqu’à 250.000 personnes. Tableau 3 : Scénario d’une panne de l’alimentation externe en électricité 80 Exemple d’une analyse des risques Il est quasiment impossible de déterminer quantitativement la probabilité de survenance de ce scénario. Il faut donc l’estimer. Le passé récent a montré qu’il est tout à fait possible que des pannes d’électricité surviennent subitement. Dans le contexte d’un accroissement des catastrophes naturelles extrêmes et de la montée des menaces terroristes, la probabilité de survenance de ce scénario est considérée comme « moyenne ». Ce classement correspond à la catégorie n° 3. Question : Comment estimez-vous la probabilité de survenance d’un tel scénario, dans l’ampleur décrite ? Catégorie Catégorie verbale Points 1 très faible 1 2 faible 2 3 moyenne 3 4 élevée 4 5 très élevée 5 Tableau 4 : Classification de la probabilité de survenance VI.3 Analyse de vulnérabilité Parmi les critères de vulnérabilité décrits au chapitre 3.2.2.2, on a sélectionné les critères suivants pour la salle de contrôle : Dépendance vis-à-vis des éléments de risque Dépendance vis-à-vis des infrastructures externes – alimentation électrique Dépendance vis-à-vis des infrastructures externes – trafic, transport et logistique Robustesse / Niveau de protection atteint Redondance / Remplacement Coût de réparation Comme pour l’estimation de la probabilité de survenance du scénario, les valeurs relatives à la vulnérabilité des éléments de risque sont estimées à l’aide de catégories verbales, avec une attribution de points pour chacune de ces catégories. La vulnérabilité est différente d’un scénario à l’autre, ce qui explique que chaque case n’est pas nécessairement remplie. C’est pourquoi il a été créé une catégorie 0, qui permet de neutraliser la combinaison concernée. Les autres catégories sont les mêmes que celles utilisées pour évaluer la probabilité de survenance. On part du principe que ces critères sont particulièrement pertinents pour l’établissement fictif. Afin de simplifier l’exemple, il ne sera donné aucune raison justifiant le choix de ces critères, ce choix indiquant toutefois que les critères ne doivent pas nécessairement être retenus dans leur totalité pour tous les établissements. Le critère « Dépendance vis-à-vis des éléments de risque » sert de facteur de pondération, la somme des autres valeurs relatives à la vulnérabilité étant utilisée pour le calcul des risques. 81 Catégorie Catégorie verbale Description Points 0 non pertinent Le scénario est absolument sans importance pour l’élément de risque. 0 1 très faible Le scénario n’a aucun impact – ou un impact très faible – sur le déroulement des activités. 1 2 faible Le scénario requiert la mise en place de mesures organisationnelles (changement de personnel, réparations, etc.) 2 3 moyen Le scénario entraîne un dysfonctionnement partiel, s’étendant sur une courte période 3 4 élevé Le scénario entraîne un dysfonctionnement partiel, s’étendant sur une longue période 4 5 très élevé Le scénario entraîne un dysfonctionnement de grande ampleur, s’étendant sur une longue période 5 Tableau 5 : Classification de la vulnérabilité Dans le tableau des risques, on procède alors à l’estimation d’une vulnérabilité, pour chaque élément de risque et pour chaque critère de vulnérabilité. Les valeurs correspondantes, V1 à V570, sont inscrites dans les cases prévues à cet effet. L’opération est répétée pour chaque élément de risque. Cette démarche une fois terminée, on obtient un tableau des risques qui, pour le sous-processus choisi, indique les vulnérabilités partielles et les risques partiels, ainsi que la vulnérabilité globale et le risque global. V2 :Dépendance vis-à-vis des infrastructures externes – trafic, transport et logistique V3 : Robustesse / Niveau de protection atteint V4 : Redondance / Remplacement V5 : Coût de réparation Valeurs relatives aux éléments de risque calculés dans le tableau : Vulnérabilité partielle = DER * (V1 + V2 + V3 + V4 + V5) Risque partiel = PS * DER * (V1 + V2 + V3 + V4 + V5) VI.4 Calcul du risque Valeurs relatives au processus, calculées dans le tableau : Le recoupement, et donc le calcul des valeurs, s’effectue de la manière suivante, à partir du tableau des risques décrit ci-dessus : Vulnérabilité totale Risque total Points inscrits dans le tableau : PS : Probabilité de survenance DER : Dépendance vis-à-vis des éléments de risque V1 : Dépendance vis-à-vis d’infrastructures externes - alimentation électrique 82 70 Cf. Tableau 6 et 7. = somme de toutes les vulnérabilités partielles = somme de tous les risques partiels Personnel La salle de contrôle est très tributaire du personnel. 5 Points Dans quelle mesure la salle de contrôle estelle, à votre avis, tributaire d’un personnel spécialisé ? Dépendance vis-à-vis des éléments de risques Commentaires Questions 3 Panne de l’alimentation externe en électricité Scénario : PS : Salle de contrôle Sousprocessus: 1 Le personnel n’est tributaire de l’alimentation en électricité que dans une certaine mesure. L’absence d’un éclairage de secours, par exemple peut le gêner dans son travail. Quelle est, à votre avis, la vulnérabilité de la salle de contrôle en raison de la dépendance du personnel vis-àvis de l’alimentation électrique externe ? Dépendance vis-à-vis des infrastructures externes - alimentation électrique 3 La panne d’électricité externe peut affecter également le trafic et les transport. Il est possible que le personnel ne puisse pas se rendre à son travail. Quelle est, à votre avis, la vulnérabilité de la salle de contrôle en raison de la dépendance du personnel vis-àvis du trafic, des transports et de la logistique ? Dépendance vis-à-vis d’infrastructures externes - trafic, transport et logistique 1 L’absence d’un éclairage de secours peut provoquer des accidents et des blessures. Quelle est, à votre avis, la vulnérabilité de la salle de contrôle en raison de l’absence de protection physique pour le personnel ? Robustesse / Niveau de protection atteint 2 La panne d’électricité n’aura probablemeent qu’un impact faible ou moyen sur la disponibilité de personnel de remplacement (gêne dans les transports en commun, le trafic ferroviaire). Quelle est, à votre avis, la vulnérabilité de la salle de contrôle en raison de l’absence de personnel de remplacement en cas de panne d’électricité ? Redondance, remplacement Critères de vulnérabilité de la salle de contrôle 1 La panne une fois terminée, le personnel ne sera plus affecté. Quelle peut être la vulnérabilité du sous-processus du point de vus du temps nécessaire pour rétablir le personnel dans ses fonctions ? Coût de réparation 40 Vulnérabilité partielle 120 Risque partiel Calcul Exemple d’une analyse des risques Tableau 6 : Extrait du tableau des risques pour la salle de contrôle 83 Le tableau suivant montre le résultat d’un exemple pour tous les éléments de risque de la salle de contrôle. Dans un souci de clarté, les questions et les commentaires ont été effacés de ce Salle de contrôle Dépendance vis-à-vis d’infrastructures externes - trafic, transport et logistique Robustesse / Niveau de protection atteint Redondance, remplacement Coût de réparation Vulnérabilité partielle Risque partiel 3 Personnel Points 5 1 3 1 2 1 40 120 Site, bâtiments Points 5 0 0 0 3 0 15 45 Installations, équipements Points 5 5 0 3 1 2 55 165 Données, logiciels Points 5 5 1 4 5 3 90 270 Documents Points 2 0 0 0 0 0 0 0 Moyens de fonctionnement Points 5 2 2 0 4 0 40 120 240 720 Panne de l’alimentaiton externe en électricité PS : Scénario : Vulnérabilité totale, risque total (sous-processus, scénario) : Tableau 7 : Tableau des risques pour la salle de contrôle, sans questions ni commentaires 84 Calcul infrastructures externes - alimentation électrique Critères de vulnérabilité de la salle de contrôle Dépendance vis-à-vis des éléments de risques Sousprocessus : tableau. Toutes les installations et tous les équipements spécifiques à l’établissement sont regroupés dans l’exemple à la rubrique « Installations et équipements ». Exemple d’une analyse des risques VI.5 Comparaison des risques les vulnérabilités partielles et les risques partiels de différents sous-processus ; les vulnérabilités totales et les risques totaux de différents sous-processus ; En analysant tous les processus critiques, ainsi que leurs sousprocessus au sein de l’établissement, de même que les différents scénarios pertinents pour l’établissement, on obtient une série de tableaux de risques, qui peuvent être alors placés les uns à côté des autres. Les résultats sont générés sur la même base standardisée, tant au niveau de la méthode que du contenu, ce qui permet de procéder à une comparaison exhaustive des aspects suivants : L’exemple ne peut fournir qu’une comparaison de vulnérabilités partielles et de risques partiels relatifs à la salle de contrôle. En étendant cette démarche à d’autres sous-processus, on obtient une comparaison de vaste portée pour l’ensemble de l’établissement. les vulnérabilités partielles et les risques partiels des éléments de risque au sein d’un sous-processus ; les vulnérabilités partielles et les risques partiels des mêmes éléments de risque de sous-processus différents ; L’illustration suivante représente schématiquement la comparaison de deux sous-processus et de différents scénarios. Illustration 12 : Deux sous-processus, plusieurs scénarios (?IGK;ÞF7HJ?;B EsJÞ:;ÞHcF7H7J?ED Þ ,KBDcH78?B?JcÞF7HJ?;BB; ÞÞÞÞ7B9KB (;:ED:7D9;ÞH;CFB79;C;DJ (E8KIJ;II;ÞÞ$?L;7KÞ :;ÞFHEJ;9J?EDÞ7JJ;?DJ Þ cF;D:7D9;ÞL?I]L?IÞ Þ :?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ D cF;D:7D9;ÞL?I]L?IÞ:;IÞ Þ cBcC;DJIÞ:;ÞH?IGK;I )9cD7H?EÞÞ H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB; Þ ?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ Þ 7B?C;DJ7J?EDÞcB;9JH?GK; Õ &)Þ 'K;IJ?ED &;HIEDD;B ECC;DJ7?H; &E?DJI 'K;IJ?ED &E?DJI &E?DJI Õ 'K;IJ?ED #EO;DIÞ:;Þ ECC;DJ7?H; <ED9J?EDD;C;DJ &E?DJI 'K;IJ?ED #EO;DIÞ:;Þ <ED9J?EDD;C;DJ 'K;IJ?ED (?IGK;ÞF7HJ?;B ,KBDcH78?B?JcÞF7HJ?;BB; EsJÞ:;ÞHcF7H7J?ED Þ (;:ED:7D9;ÞH;CFB79;C;DJ Þ (E8KIJ;II;ÞÞ$?L;7KÞ :;ÞFHEJ;9J?EDÞ7JJ;?DJ Þ cF;D:7D9;ÞL?I]L?IÞ :?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ ECC;DJ7?H; H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB; &E?DJI )9cD7H?EÞÞ D 'K;IJ?ED ECC;DJ7?H; &E?DJI D &)Þ ,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ ECC;DJ7?H; &E?DJI &;HIEDD;B ,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ DIJ7BB7J?EDIÞ ECC;DJ7?H; DcGK?F;C;DJIÞ H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB; &E?DJI 'K;IJ?ED EDDc;IÞÞ H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB; ECC;DJ7?H; BE=?9?;BI &)Þ &E?DJI 'K;IJ?ED &;HIEDD;B 'K;IJ?ED ECC;DJ7?H; 'K;IJ?ED ÞÞÞÞ7B9KB 'K;IJ?ED ECC;DJ7?H; E9KC;DJI &E?DJI ECC;DJ7?H; )?J;Þ 8^J?C;DJI &E?DJI &)Þ 'K;IJ?ED ECC;DJ7?H; #EO;DIÞ:;Þ &E?DJI <ED9J?EDD;C;DJ &E?DJI 'K;IJ?ED ÞÞÞÞ7B9KB ÞÞÞÞ7B9KB (?IGK;ÞF7HJ?;B ECC;DJ7?H; )9cD7H?EÞÞ 'K;IJ?ED E9KC;DJI )9cD7H?EÞÞ 'K;IJ?ED ECC;DJ7?H;#EO;DIÞ:;Þ <ED9J?EDD;C;DJ &E?DJI )?J;Þ 8^J?C;DJI &E?DJI ,KBDcH78?B?JcÞF7HJ?;BB; × 'K;IJ?ED ECC;DJ7?H; Ö 'K;IJ?ED ECC;DJ7?H; E9KC;DJI &E?DJI Þ ?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ Þ 7B?C;DJ7J?EDÞcB;9JH?GK; 'K;IJ?ED EsJÞ:;ÞHcF7H7J?ED Þ 'K;IJ?ED ECC;DJ7?H;EDDc;IÞÞ BE=?9?;BI &E?DJI cF;D:7D9;ÞL?I]L?IÞ:;IÞ Þ cBcC;DJIÞ:;ÞH?IGK;I (?IGK;ÞF7HJ?;B ,KBDcH78?B?JcÞF7HJ?;BB; (?IGK;ÞF7HJ?;B EsJÞ:;ÞHcF7H7J?ED Þ (;:ED:7D9;ÞH;CFB79;C;DJ Þ EsJÞ:;ÞHcF7H7J?ED Þ (E8KIJ;II;ÞÞ$?L;7KÞ :;ÞFHEJ;9J?EDÞ7JJ;?DJ cF;D:7D9;ÞL?I]L?IÞ Þ :?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ (;:ED:7D9;ÞH;CFB79;C;DJ JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ ,KBDcH78?B?JcÞF7HJ?;BB; (?IGK;ÞF7HJ?;B &E?DJI &E?DJI Þ &E?DJI ,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ ECC;DJ7?H; (?IGK;ÞF7HJ?;B 'K;IJ?ED ECC;DJ7?H; 'K;IJ?ED ECC;DJ7?H; DIJ7BB7J?EDIÞ cGK?F;C;DJIÞ ,KBDcH78?B?JcÞF7HJ?;BB; (;:ED:7D9;ÞH;CFB79;C;DJ ECC;DJ7?H; E9KC;DJI 'K;IJ?ED &;HIEDD;B (E8KIJ;II;ÞÞ$?L;7KÞ Þ :;ÞFHEJ;9J?EDÞ7JJ;?DJ EsJÞ:;ÞHcF7H7J?ED EDDc;IÞÞ BE=?9?;BI &)Þ ECC;DJ7?H; &E?DJI 'K;IJ?ED D ÞÞÞÞ7B9KB (?IGK;ÞF7HJ?;B EDDc;IÞÞ ECC;DJ7?H; BE=?9?;BI &E?DJI 'K;IJ?ED )9cD7H?EÞÞ Þ ?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ Þ 7B?C;DJ7J?EDÞcB;9JH?GK; (E8KIJ;II;ÞÞ$?L;7KÞ Þ :;ÞFHEJ;9J?EDÞ7JJ;?DJ EsJÞ:;ÞHcF7H7J?ED Þ Þ cF;D:7D9;ÞL?I]L?IÞ :?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ (;:ED:7D9;ÞH;CFB79;C;DJ ,KBDcH78?B?JcÞF7HJ?;BB; 'K;IJ?ED DIJ7BB7J?EDIÞ cGK?F;C;DJIÞ #EO;DIÞ:;Þ &E?DJI <ED9J?EDD;C;DJ &E?DJI H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB; (;:ED:7D9;ÞH;CFB79;C;DJ &E?DJI 'K;IJ?ED ECC;DJ7?H; 'K;IJ?ED ECC;DJ7?H; (E8KIJ;II;ÞÞ$?L;7KÞ Þ :;ÞFHEJ;9J?EDÞ7JJ;?DJ cF;D:7D9;ÞL?I]L?IÞ Þ cF;D:7D9;ÞL?I]L?IÞ:;IÞ Þ :?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ cBcC;DJIÞ:;ÞH?IGK;I Þ JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ DIJ7BB7J?EDIÞ ECC;DJ7?H; cGK?F;C;DJIÞ &E?DJI E9KC;DJI Ö cF;D:7D9;ÞL?I]L?IÞ:;IÞ Þ cF;D:7D9;ÞL?I]L?IÞ Þ cBcC;DJIÞ:;ÞH?IGK;I :?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ Þ ?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ Þ 7B?C;DJ7J?EDÞcB;9JH?GK; 'K;IJ?ED )?J;Þ 8^J?C;DJI ECC;DJ7?H; )?J;Þ 8^J?C;DJI &E?DJI 'K;IJ?ED ECC;DJ7?H; ÞÞÞÞ7B9KB Þ ?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ Þ 7B?C;DJ7J?EDÞcB;9JH?GK; &E?DJI &;HIEDD;B ÞÞÞÞ7B9KB ÞÞÞÞ7B9KB cF;D:7D9;ÞL?I]L?IÞ:;IÞ Þ cBcC;DJIÞ:;ÞH?IGK;I &;HIEDD;B 'K;IJ?ED )?J;Þ ECC;DJ7?H; 8^J?C;DJI 'K;IJ?ED EsJÞ:;ÞHcF7H7J?ED Þ 'K;IJ?ED &;HIEDD;B &)Þ Þ (;:ED:7D9;ÞH;CFB79;C;DJ ?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ (E8KIJ;II;ÞÞ$?L;7KÞ Þ Þ 7B?C;DJ7J?EDÞcB;9JH?GK; :;ÞFHEJ;9J?EDÞ7JJ;?DJ cF;D:7D9;ÞL?I]L?IÞ:;IÞ Þ cBcC;DJIÞ:;ÞH?IGK;I D &)Þ &E?DJI EDDc;IÞÞ H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB; ECC;DJ7?H; BE=?9?;BI &)Þ &E?DJI Õ )9cD7H?EÞÞ Þ (E8KIJ;II;ÞÞ$?L;7KÞ cF;D:7D9;ÞL?I]L?IÞ Þ :;ÞFHEJ;9J?EDÞ7JJ;?DJ:?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ cF;D:7D9;ÞL?I]L?IÞ:;IÞ Þ JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ cBcC;DJIÞ:;ÞH?IGK;I D 'K;IJ?ED DDIJ7BB7J?EDIÞ H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB; ECC;DJ7?H; cGK?F;C;DJIÞ cF;D:7D9;ÞL?I]L?IÞ Þ Þ :?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ ?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ Þ 7B?C;DJ7J?EDÞcB;9JH?GK; )9cD7H?EÞÞ )9cD7H?EÞÞ Þ ?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ Þ 7B?C;DJ7J?EDÞcB;9JH?GK; cF;D:7D9;ÞL?I]L?IÞ:;IÞ Þ cBcC;DJIÞ:;ÞH?IGK;I Ö ECC;DJ7?H; H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB; &E?DJI ,KBDcH78?B?JcÞF7HJ?;BB; )?J;Þ × 8^J?C;DJI ECC;DJ7?H; &E?DJI ECC;DJ7?H; 'K;IJ?ED &E?DJI &;HIEDD;B 'K;IJ?ED )?J;Þ ECC;DJ7?H; 8^J?C;DJI ECC;DJ7?H; DIJ7BB7J?EDIÞ cGK?F;C;DJIÞ &E?DJI &E?DJI ,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ 'K;IJ?ED )?J;Þ 8^J?C;DJI 'K;IJ?ED ,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ ECC;DJ7?H; &E?DJI 'K;IJ?ED DIJ7BB7J?EDIÞ ECC;DJ7?H; cGK?F;C;DJIÞ &E?DJI 'K;IJ?ED ECC;DJ7?H; EDDc;IÞÞ &E?DJI BE=?9?;BI ECC;DJ7?H; &E?DJI 'K;IJ?ED DIJ7BB7J?EDIÞ cGK?F;C;DJIÞ 'K;IJ?ED ECC;DJ7?H; EDDc;IÞ Þ BE=?9?;BI &E?DJI ECC;DJ7?H; E9KC;DJI &E?DJI 'K;IJ?ED EDDc;IÞ Þ BE=?9?;BI 'K;IJ?ED ECC;DJ7?H; E9KC;DJI ECC;DJ7?H; #EO;DIÞ:;Þ <ED9J?EDD;C;DJ &E?DJI &E?DJI 'K;IJ?ED E9KC;DJI #EO;DIÞ:;Þ ECC;DJ7?H; <ED9J?EDD;C;DJ &E?DJI 'K;IJ?ED #EO;DIÞ:;Þ <ED9J?EDD;C;DJ 'K;IJ?ED 'K;IJ?ED ECC;DJ7?H; &E?DJI 'K;IJ?ED ECC;DJ7?H; &E?DJI ,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ ECC;DJ7?H; &E?DJI ,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ ECC;DJ7?H; &E?DJI ,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ 85 Les résultats du calcul des vulnérabilités partielles et risques partiels peuvent être classés en catégories verbales. Dans le classement suivant, une valeur appartient à la catégorie supérieure lorsqu’elle dépasse d’un point la valeur maximum de la catégorie concernée. Pour l’élément de risque « Données, logiciels », on obtient les résultats suivants. Se chiffrant à 90, la vulnérabilité partielle doit être considérée comme étant très élevée. Avec 270 points, le risque partiel est élevé.71 La vulnérabilité totale et le risque total du sous-processus « salle de contrôle » peuvent, eux aussi, être catégorisés selon cette méthode. Se chiffrant respectivement à 240 et 720, la vulnérabilité totale et le risque total peuvent être qualifiés de moyens. Vulnérabilité totale Points Catégories verbales 0 aucune vulnérabilité totale 1 à 35 vulnérabilité totale très faible Vulnérabilité partielle Points Catégories verbales 0 aucune vulnérabilité partielle 36 à 140 vulnérabilité totale faible 1à5 vulnérabilité partielle très faible 141 à 315 vulnérabilité totale moyenne 6 à 20 vulnérabilité partielle faible 316 à 560 vulnérabilité totale élevée 21 à 45 vulnérabilité partielle moyenne 561 à 875 vulnérabilité totale très élevée 46 à 80 vulnérabilité partielle élevée 81 à 125 vulnérabilité partielle très élevée Tableau 8 : Classification des résultats du calcul des vulnérabilités Tableau 10 : Classification des résultats du calcul des vulnérabilités totales Risques totaux partielles Risques partiels Catégorie 86 Points Catégories verbales 0 0 aucun risque total 1 1 à 35 risque total très faible Points Catégories verbales 0 0 aucun risque partiel 2 36 à 280 1 1à5 risque partiel très faible risque total faible 3 281 à 945 risque total moyen 4 946 à 2240 risque total élevé 5 2241 à 4375 risque total très élevé 2 6 à 40 risque partiel faible 3 41 à 135 risque partiel moyen 4 136 à 320 risque partiel élevé 5 321 à 625 risque partiel très élevé Tableau 9 : Classification des résultats du calcul des risques partiels 71 Catégories Cf. chap. VI. 4. Calcul du risque, Tableau 7. Tableau 11 : Classification des résultats du calcul des risques totaux Exemple d’une analyse des risques La salle de contrôle présente une vulnérabilité totale moyenne et un risque total moyen. Pour l’élément de risque « Données et logiciels », en revanche, tant la vulnérabilité partielle que le risque partiel s’avèrent très élevés. En termes de risques partiels élevés, les « installations et équipements » arrivent en deuxième position. Ce risque partiel peut, lui aussi, être considéré comme élevé. Si, dans la réalité, il était prévu des mesures de sécurité supplémentaires, c’est au niveau de ces deux éléments de risque qu’il conviendrait de les mettre en place. REMARQUE IMPORTANTE : Lors d’une comparaison des risques, l’accent doit être mis sur une comparaison des risques partiels. Les risques partiels élevés fragilisent considérablement un sous-processus, et doivent donc être réduits. Lorsqu’ils sont élevés, la vulnérabilité totale ou le risque total d’un sous-processus peuvent indiquer que l’on est en présence de plusieurs risques partiels élevés. Dans un tel cas, des efforts particulièrement importants doivent être faits pour réduire ces risques. En revanche, les risques totaux résultant uniquement de risques partiels moyens sont moins pertinents. Au lieu de comparer les tableaux de risques imprimés sur papier, il est également possible de transférer dans un nouveau tableau toutes les valeurs calculées, comme les vulnérabilités partielles ou les risques partiels. Ceci permet de synthétiser tous les résultats dans un seul tableau et de procéder simplement à une analyse graphique, à l’aide de la fonction Diagramme du tableur. 87 Cette brochure est distribuée à titre gratuit dans le cadre du travail de relations publiques du ministère fédéral de l’Intérieur. Est illégale toute utilisation par des partis politiques ou des candidats ou leurs supporteurs à des fins de propagande électorale pendant des campagnes électorales. Ceci s’applique aux élections européennes, aux élections législatives au niveau fédéral et régional ainsi qu’aux élections municipales. Est notamment considérée comme abusive la distribution de la brochure lors d’événements électoraux ou sur des stands d’information des partis politiques ainsi que l’insertion, l’impression ou l’apposition d’informations ou de supports de propagande relatifs à un parti politique dans ou sur la brochure. Est en outre interdite toute communication à des tiers à des fins de propagande électorale. Indépendamment de la voie par laquelle le destinataire a reçu la présente brochure, du moment de la réception et du nombre d’exemplaires reçus, cette brochure ne doit pas être utilisée – même en dehors d’une période préélectorale – de manière à pouvoir suggérer une prise de position du gouvernement fédéral en faveur d’un groupement politique particulier. Edité par le Ministère fédéral de l’Intérieur Division KM 4 Alt-Moabit 101 D 10559 Berlin, Allemagne www.bmi.bund.de Rédaction : Office fédéral pour la protection des populations et l’assistance en cas de catastrophe Direction générale II – Prévention des situations d’urgence et infrastructures critiques Conception générale : MEDIA CONSULTA Deutschland GmbH Crédits photographiques : Office fédéral pour la protection des populations et l’assistance en cas de catastrophe Agence fédérale de secours technique Impression : Silber Druck oHG, Niestetal Cette brochure peut être commandée gratuitement. Service d’envoi des publications du gouvernement fédéral Postfach 48 10 09 18132 Rostock, Allemagne Téléphone : +49 18 05-77 80 90 (14 centimes la minute depuis un poste fixe en Allemagne, prix différents à partir d’un réseau de téléphonie mobile ; dernière mise à jour sept. 2007) Télécopieur : +49 18 05-77 80 94 (14 centimes la minute depuis un poste fixe en Allemagne, prix différents à partir d’un réseau de téléphonie mobile ; dernière mise à jour sept. 2007) e-mail : publikationen@bundesregierung.de Référence / Artikelnummer : BMI08321 Les données personnelles communiquées en vue de l’envoi sont effacées une fois la livraison effectuée.
Similar documents
Die BUCHSTAVIER - Das Dosierte Leben
- Dies ist Werner Rabus gewidmet, der uns frei Haus diese Buchstabenkombinationen errechnete und lieferte. - Dies ist Jochen Kunzmann gewidmet, der – inspiriert durch DDL 75 – derart intensiv diese...
More information