gestion des risques et des crises

Protection des infrastructures critiques –
gestion des risques et des crises
Manuel destiné aux entreprises et aux administrations
www.bmi.bund.de
www.bmi.bund.de
Préface
L’existence de notre société dépend de sa capacité à assurer son approvisionnement en produits,
fonctions et services les plus divers. Garantir la protection des établissements vitaux s’inscrit donc
parmi les missions fondamentales dévolues à l’Etat en matière de mesures de sécurité préventives.
Aujourd’hui, face à la menace du terrorisme international et à la recrudescence des événements
extrêmes, les défis pesant sur la protection des infrastructures critiques se font de plus en plus nombreux, tandis que les technologies de l’information, qui interpénètrent tous les secteurs de la vie
et de l’économie, sont elles aussi soumises à de nouvelles menaces. La majorité des infrastructures
devant être considérées comme critiques au sein de notre société étant détenues par des exploitants
privés, l’Etat et le secteur privé œuvrent main dans la main en Allemagne pour assurer la protection
efficace des installations, des établissements et des systèmes concernés. Dans ce contexte, les autorités chargées de la sécurité apportent leur soutien aux entreprises en les faisant bénéficier de conseils,
de mises en réseau et de recommandations concrètes. Le secteur privé apporte, quant à lui, son
expertise et son expérience pratique à ce partenariat.
Le présent manuel est le fruit de cette coopération. S’adressant aux exploitants d’infrastructures critiques, il vise à leur apporter une aide pour élaborer et perfectionner leur propre gestion des risques
et des crises. Partant des recommandations générales figurant dans la brochure « Protection d’infrastructures critiques – concepts de base de protection » (ministère fédéral de l’Intérieur, 2005), il expose
plusieurs méthodes de mise en œuvre d’une gestion des risques et des crises, tout en les assortissant
d’exemples et de check-lists. Lors de la conception de ce manuel, le ministère fédéral de l’Intérieur,
l’Office fédéral pour la protection des populations et l’assistance en cas de catastrophes ainsi que l’Office
fédéral pour la sécurité des techniques de l’information ont été assistés par des experts de la pratique
entrepreneuriale. Aussi le ministère fédéral de l’Intérieur tient-il à exprimer ses remerciements à
■■ MM. Bernd Marquardt et Hans-Jürgen Penz – Berufsgenossenschaft der Banken, Versicherungen,
Verwaltungen, freien Berufe und besonderer Unternehmen – Verwaltungs-Berufsgenossenschaft
(Association mutuelle professionnelle d’assurance contre les accidents, secteur administratif – banques, assurances, administrations, professions libérales et entreprises spécifiques),
■■ M. Heinz-Peter Geil – Commerzbank AG,
■■ Mme Sonja Altstetter – Forschungszentrum Jülich GmbH,
■■ MM. Friedhelm Jungbluth et Jens Sanner – Fraport AG,
■■ M. Uwe Marquardt – Gelsenwasser AG,
■■ M. Wolfgang Czerni – Infraprotect GmbH,
■■ M. Frank Tesch – Trauboth Risk Management GmbH,
■■ M. Klaus Bockslaff – VERISMO GmbH,
ainsi qu’à leurs collaboratrices et collaborateurs pour leur coopération tout au long des travaux qui
ont donné naissance à ce manuel.
Nous tenons également à remercier les partenaires suivants pour les conseils et suggestions qu’ils ont
bien voulu nous apporter : la société EnBW Regional AG, l’Union générale des assureurs allemands
(Gesamtverband der Deutschen Versicherungswirtschaft e. V.) ainsi que l’Association allemande pour
la sécurité dans le secteur privé (Arbeitsgemeinschaft für Sicherheit der Wirtschaft e. V.). Faisant
suite à l’adoption du plan KRITIS (mise en œuvre du plan national de protection des infrastructures
d’information critiques) par le cabinet fédéral durant l’été 2007, le présent manuel constitue une
nouvelle contribution du ministère fédéral de l’Intérieur : visant à renforcer la protection des infrastructures critiques, il souligne l’intérêt d’une collaboration confiante et constructive entre l’Etat et le
secteur privé sur cet important chapitre de sécurité intérieure.
Berlin, Janvier 2008
������������������������
�����������������������������
1
Sommaire
Préface
1
Résumé
7
1. Introduction
9
2. Informations de base sur les infrastructures critiques
10
2.1 Secteurs
10
2.2 Environnement et caractéristiques
10
2.2.1
Evolution des menaces
10
2.2.2
Environnement socioéconomique
11
2.2.3
Caractéristiques particulières
12
2.3 Exigences juridiques relatives à la gestion des risques et des crises
13
3.Gestion des risques et des crises pour la protection
des infrastructures critiques 14
3.1 Phase 1 : Planification préalable
15
3.1.1
Mise en place
15
3.1.2
Répartition des responsabilités
15
3.1.3
Ressources nécessaires
15
3.1.4
Clarification des obligations légales
15
3.1.5
Objectifs stratégiques de protection
15
3.1.6
Communication sur les risques
16
3.2 Phase 2 : Analyse des risques 16
3.2.1
Analyse de criticité
17
3.2.2
Identification des risques
18
3.2.2.1
Analyse des aléas et élaboration de scénarios
18
3.2.2.2
Analyse de vulnérabilité
19
3.2.2.3
Calcul des risques
20
3.2.2.4
Comparaison et évaluation des risques
21
3.3 Phase 3 : Mesures et stratégies préventives
21
3.3.1
Réduction des risques
21
3.3.2
Prévention des risques
22
3.3.3
Transfert des risques 22
3.3.4
Acceptation des risques (risques résiduels)
22
3.3.5
Expériences des assureurs de choses en matière de dommages
22
3.4 Phase 4 : Gestion des crises
3.4.1
L’organisation de la gestion des crises
24
3.4.1.1
Plan de crise
24
3.4.1.2
Organisation structurelle
25
3.4.1.2.1
3.4.1.2.2
3.4.1.2.3
3.4.1.2.4
25
26
26
26
3.4.1.3
Organisation fonctionnelle
3.4.1.3.1 Circuits de signalement et alerte
3.4.1.3.2 Communication de crise
26
27
29
3.4.1.4
Quartier général de la cellule de crise
30
3.4.2
Maîtrise de la crise
Cellule de crise
Directeur de la cellule de crise
Equipe de la cellule de crise
Consultants au sein de la cellule de crise
22
30
3.4.2.1
Tableau de la situation
31
3.4.2.2
Evaluation de la situation, adoption et mise en œuvre de mesures
32
3.4.2.3
Contrôle 32
3.4.2.4
Garantie de la continuité d’activité et de service
32
3.4.2.5
Retour à l’activité normale
32
3.4.2.6
Documentation de la maîtrise de la crise
32
3.4.3
Suivi post-crise
33
3.4.4
Exercices 33
3.5 Phase 5 : Evaluation de la gestion des risques et des crises
34
Annexe
I. Bibliographie
36
II. Abréviations
38
III. Définitions
39
IV.Liste des aléas – Informations sur la nature,
l’exposition, l’intensité et l’impact,
ainsi que sur les personnes à contacter 44
V. Listes de contrôle
47
V.1 Mesures préventives
48
V.1.1
Gestion de risques et de crises – Généralités
48
V.1.2
Terrains, édifices, équipements – Crues 49
V.1.3
Terrains, édifices, équipements – Séismes
51
V.1.4
Terrains, édifices, équipements – Tempêtes
51
V.1.5
Terrains, édifices – Actes intentionnels d’origine criminelle et / ou terroriste V.1.6
Installations et équipements – Alimentation électrique 54
V.1.7
Installations et équipements – Informatique
56
V.1.8
Installations et équipements – Technologie de la communication 57
V.2 Audit de la gestion de crise
V.2.1
Organisation générale
58
V.2.2
Personnel – Généralités
63
V.2.3
Gestion de la crise – Plan de pandémie (en particulier pandémie grippale)
58
64
V.3 Gestion de la crise V.3.1
Procédures générales en cas de crise 65
V.3.2
Procédures spéciales durant la crise
68
V.4 Retour d’expérience
72
V.5 Exercices
73
V.6 Choix et aménagement d’un QG de cellule de crise 52
65
75
VI.Exemple d’une analyse des risques
79
VI.1 Analyse de criticité 79
VI.2 Analyse des aléas et élaboration de scénarios
80
VI.3 Analyse de vulnérabilité
81
VI.4 Calcul du risque
82
VI.5 Comparaison des risques
85
6
Résumé
Le présent manuel propose une stratégie de gestion visant à
aider les exploitants des infrastructures critiques, c’est-à-dire
des entreprises et des administrations, à identifier et répertorier les risques, à mettre en œuvre des mesures préventives et
à gérer les crises de manière efficace. Le terme « infrastructure
critique » désigne « les organisations et les établissements
revêtant une importance particulière pour la collectivité
publique et dont la défectuosité ou la perturbation provoqueraient des pénuries durables des approvisionnements, des
dysfonctionnements considérables de la sécurité publique ou
d’autres conséquences dramatiques ».
L’histoire récente a montré que les infrastructures peuvent
subir des dommages et que la perturbation des processus
critiques peut avoir de lourdes conséquences sociales et économiques.
En effet, les catastrophes naturelles, les défaillances techniques, les erreurs humaines, les actes de nature terroriste ou
criminelle ainsi que les conflits armés peuvent être à l’origine
de dégâts considérables.
Pour les exploitants d’infrastructures critiques, il est essentiel
de savoir identifier ces sources de dommages et de s’y préparer. En amont, l’enjeu sera donc de réussir à appréhender et
à réduire au maximum ces menaces tout en se préparant au
mieux aux crises inévitables. Tout en aidant à surmonter les
ravages engendrés par les crises, ce type de démarche apporte une contribution à la valeur ajoutée des entreprises, leur
permet de respecter les exigences réglementaires en matière
de sécurité, et soutient les administrations dans leur mission.
La stratégie de gestion des risques et des crises proposée dans
le présent manuel se compose de cinq phases : la planification d’une gestion solide des risques et des crises ; l’analyse
des risques, dont nous décrirons les aspects fondamentaux ;
la mise en œuvre de mesures préventives ; la gestion des crises, dont nous présenterons divers aspects ; et enfin l’évaluation – sur laquelle nous fournirons quelques précisions – de
la gestion des risques et des crises dans les établissements
concernés. Par « établissement », nous entendons toute entreprise ou administration entrant dans la définition des infra­
structures critiques donnée ci-dessus.
Phase 1 – planification préalable au sein de l’établissement
Une préparation minutieuse de la gestion des risques et des
crises est la condition sine qua non d’une mise en œuvre réussie de tout ou partie du présent manuel.
Préalablement à cette mise en œuvre, certaines questions
fondamentales doivent être abordées – comme l’ancrage de
la gestion des risques et des crises au sein de l’établissement,
la répartition des responsabilités, la mise à disposition des
ressources nécessaires, la clarification des obligations légales
de l’établissement en matière de gestion des risques et des
crises, et la détermination des objectifs stratégiques de protection qui devront être atteints par l’entreprise ou l’administration concernée.
Phase 2 – analyse des risques
L’analyse des risques permet à l’établissement de bénéficier
d’un aperçu structuré sur ses processus individuels, sur les
aléas auxquels ces processus peuvent être exposés et sur leur
vulnérabilité intrinsèque. Grâce au recoupement des informations obtenues, l’établissement peut analyser les risques
pour tous les processus étudiés sur la base de scénarios individuels.
Les informations recueillies peuvent faire l’objet de comparaisons qui permettront d’établir une image précise des risques,
tout en dégageant des priorités.
Confrontés aux objectifs stratégiques de protection déterminés en amont, les résultats de l’analyse des risques sont
soumis à une évaluation. Si la plupart de ces objectifs n’ont pu
être atteints, des mesures concrètes doivent être prises pour
réduire les risques existants et alléger la gestion des crises.
7
Phase 3 – mesures et stratégies préventives
Les mesures préventives permettent de restreindre les risques
pesant sur les processus et, par là-même, sur les prestations
de services ou la production. Renforçant la résistance des
établissements face aux crises, elles peuvent non seulement
réduire le nombre d’événements de crise, mais également
leur intensité. Leur objectif est de protéger activement les
éléments constitutifs de chaque établissement ou de créer des
redondances.
Il est également possible de prévenir, de transférer ou d’accepter les risques. Cela étant dit, il faut reconnaître que dans
la plupart des cas, éviter les risques a tendance à réduire la
flexibilité de l’entreprise ou de l’administration concernée,
tandis que le transfert des risques ne réduit pas les risques
physiques. Il garantit uniquement une compensation financière – loin, dans certains cas, de couvrir l’étendue des dommages provoqués.
Phase 4 – gestion des crises
Si, malgré les mesures préventives, une entreprise ou une
administration venait à subir des dommages importants de
quelque nature que ce soit, la gestion des crises devrait être à
même d’élaborer une procédure spéciale afin de surmonter
la situation.
La gestion des crises comprend des structures et des procédures qui diffèrent de celles utilisées en temps normal. En cas
de crise, le pouvoir décisionnel est concentré afin de pouvoir
réagir le plus rapidement possible et de manière adaptée à la
situation. Les effets de la crise sont alors amoindris et le temps
nécessaire à un retour à la normale réduit.
8
Phase 5 – évaluation de la gestion des risques et des crises
L’évaluation reprend toutes les phases de la gestion des
risques et des crises : elle consiste à vérifier les exigences
réglementaires identifiées lors de la phase de planification, la
pertinence des profils de risques établis, ainsi que l’efficacité
des mesures préventives et de la gestion des crises. Il convient
d’effectuer cette évaluation régulièrement.
Des évaluations supplémentaires peuvent s’avérer nécessaires,
■■ après la mise en œuvre des mesures,
■■ après un élargissement ou une modification de l’établissement ou
■■ lors d’une évolution des menaces.
Les annexes du présent manuel comportent un exemple
de mise en œuvre d’analyse des risques ainsi que des listes
destinées à contrôler les mesures appliquées au sein de l’établissement.
Pour toute question relative à ce manuel, veuillez contacter :
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Abteilung II
Notfallvorsorge, Kritische Infrastrukturen
Provinzialstraße 93
53127 Bonn
Allemagne
http://www.bbk.bund.de
1
Introduction
Les infrastructures sont une composante essentielle de notre
société hautement développée. Au quotidien, nous dépendons tous de leur disponibilité et nous attendons à pouvoir les
utiliser sans restriction.
Depuis 1997, la Fédération se penche sur la protection des
infrastructures dites « critiques » afin de déterminer la nécessité de mesures de protection supplémentaires. Dans ce
contexte, le terme d’infrastructure critique désigne « les organisations et les établissements revêtant une importance particulière pour la collectivité publique et dont la défectuosité
ou la perturbation entraîneraient des pénuries durables des
approvisionnements, des dysfonctionnements considérables
de la sécurité publique ou d’autres conséquences dramati1
ques . »
Aléas naturels, défaillances techniques, erreurs humaines et
actes de nature criminelle ou terroriste menacent la disponibilité permanente de ces infrastructures qui, en cas de conflit
armé en Allemagne, subiraient des dommages considérables.
Depuis quelques années, les menaces n’ont cessé de changer
de visage. Qu’il s’agisse d’aléas naturels ou d’actes volontaires
à mobiles criminels ou terroristes, force est de constater une
recrudescence d’événements extrêmes confrontant la société
à de nouveaux défis.
Parallèlement aux menaces, la vulnérabilité des infrastructures a elle aussi évolué. La plupart de leurs systèmes sont
aujourd’hui reliés les uns aux autres sous une forme ou une
autre – et de fait, toute perturbation dans un domaine quel
qu’il soit peut se répercuter dans un autre lieu, dans une autre
branche ou un autre secteur, et avoir ainsi des conséquences
bien au-delà de son point d’origine.
1
Les ressources financières et humaines dont disposent les
exploitants d’infrastructures critiques pour protéger leurs
systèmes étant limitées, il est particulièrement important de
les employer avec efficacité. Pour ce faire, il est indispensable
de connaître les dangers et les risques existants tout en ayant
la possibilité de comparer et d’évaluer ces risques afin d’en
déterminer les caractéristiques principales. Une fois cette
analyse réalisée, des mesures de protection précises pourront
être mises en œuvre.
Le présent document (« Protection des infrastructures critiques - gestion des risques et des crises, manuel destiné aux
entreprises et aux administrations) est le fruit commun d’acteurs issus de plusieurs entreprises et administrations et d’un
organisme scientifique. Il s’adresse à tous les secteurs et vise
à servir d’instrument d’auto-analyse aux entreprises et aux
administrations.
Associant principes théoriques sur la gestion des risques
et des crises et listes pratiques, ce document donne également un exemple d’analyse des risques afin de permettre
aux entreprises et aux administrations de développer ou de
consolider, seules ou avec une aide extérieure, une gestion
efficace des risques et des crises.
Pour la Fédération, le présent manuel vise avant tout à
réduire les répercussions des événements extrêmes sur les
infrastructures critiques et à améliorer la gestion des crises
prévisibles.
Définition des infrastructures critiques établie par le groupe de travail KRITIS du ministère fédéral de l’Intérieur (BMI) le 17 novembre
2003.
9
2
Informations de base
sur les infrastructures critiques
2.1 Secteurs
2.2.1 Evolution des menaces
Au sens de la définition des infrastructures critiques donnée
dans l’introduction, les entreprises et les administrations sont
essentiellement présentes dans les secteurs suivants :
La perturbation des processus critiques des systèmes des
infrastructures critiques peut entraîner de lourdes conséquences sur le plan social et économique. Si les exemples qui
suivent ne permettent pas de conclure catégoriquement à
une tendance à l’aggravation des menaces, ils confirment
néanmoins la nécessité de disposer d’une protection durable
des infrastructures critiques.
■■ énergie (électricité, hydrocarbures et gaz),
■■ approvisionnement (eau, denrées alimentaires, services
de santé et d’urgence),
■■ technologies de l’information et de la communication (TIC),
■■ transport et circulation,
■■ substances dangereuses (industrie chimique et substances
biologiques),
■■ banques et finances,
■■ pouvoirs / services publics et justice,
■■ médias, grands instituts de recherche et biens culturels.
2.2 Environnement et caractéristiques
Les perturbations qu’ont subies dans l’histoire récente les infra­
structures critiques ont révélé deux caractéristiques récurrentes.
Première caractéristique : les infrastructures ont été exposées
à des incidences de large échelle, découlant en particulier
d’aléas naturels. Les dommages se sont étendus sur le plan
régional, suprarégional, national ou encore européen (exemple : inondations de l’Elbe en 2002 et ouragan Kyrill en 2007).
Seconde caractéristique : dysfonctionnements et dommages
locaux ont entraîné des perturbations qui se sont propagées
bien au-delà de la zone d’origine en raison d’interactions et
de liens dépassant les frontières géographiques et les systèmes (exemple : coupure d’un fil électrique au-dessus de l’Ems
en 2006 ayant causé des pannes d’électricité dans certaines
parties de l’Europe).
Ainsi, l’environnement et les propriétés des infrastructures critiques ont non seulement changé, mais continuent également
d’évoluer au fil du temps. Dans la partie qui suit, nous en analyserons les composantes clés afin d’établir les bases qui permettront d’élaborer une gestion adéquate des risques et des crises.
Evénements météorologiques extrêmes
Les événements extrêmes peuvent avoir des conséquences
directes sur les systèmes des infrastructures. A l’heure actuelle il est encore difficile, en Allemagne, de se prononcer de
manière définitive sur l’évolution des événements météorologiques extrêmes due au changement climatique : les informations collectées jusqu’ici sur le réchauffement climatique
et ses répercussions sur le pays ne sont pas encore suffisantes.
Toutefois, les données relevées commencent à révéler certaines tendances telles que l’augmentation des précipitations
abondantes – tendances qui se sont confirmées en 1997 avec
la crue de l’Oder, en 2002 avec celle de l’Elbe et en 2005 dans
les Alpes2.
Menaces sanitaires (pandémie de grippe)
Le siècle dernier a été frappé par plusieurs pandémies de
grippe. Particulièrement sévère, celle de 1918 (la grippe
espagnole) fit plus de 50 millions de victimes. Aujourd’hui,
on estime que l’apparition – par mutation – d’un nouveau
virus extrêmement dangereux pour l’homme n’est qu’une
question de temps. Aujourd’hui, toute nouvelle pandémie de
grippe se propagerait dans le monde entier, et notamment en
Allemagne, par le biais des points de jonction des réseaux de
transport internationaux. Dès lors, toutes les sphères de notre
société, y compris l’ensemble des entreprises et des administrations, seraient menacées. Dans la mesure où les pandémies
peuvent avoir des répercussions sur la demande de produits
et de services, les infrastructures économiques et la société
tout entière seraient également mises en danger. Un grand
nombre de ressources et de services disparaîtraient ou se
2
10
Rahmstorf et al., 2006, page 70.
Informations de base sur les
infrastructures critiques
verraient proposés de manière réduite. Cette dépendance
réciproque aurait pour conséquence un effet domino qui
pourrait mener à la paralysie d’une grande partie de l’Etat, de
l’économie et de la société3. D’après les simulations effectuées
pour l’Allemagne, entre 15 et 50 % de la population pourrait
être touchée4. Outre les employés malades, d’autres ne se rendraient pas à leur travail afin de soigner les membres de leur
famille atteints ou simplement de peur d’être contaminés, ce
qui aurait pour conséquence d’augmenter considérablement
le taux d’absentéisme.
Terrorisme international
Aujourd’hui, le terrorisme international s’organise en réseaux
de structure lâche dont les différentes cellules ne sont plus
reliées que par des objectifs communs – chaque cellule
opérant en large partie indépendamment des autres, sans
structure centrale. Agissant dans la plus grande discrétion,
ces réseaux font preuve de flexibilité et de rapidité5. En Allemagne, il n’est pas à exclure que les systèmes des infrastructures soient frappés par des attaques terroristes. En 2006, des
attaques contre deux trains régionaux de la Deutsche Bahn
ont échoué pour des raisons techniques. En 2007, un projet
d’attentat contre plusieurs sites américains implantés en Allemagne a pu être découvert et déjoué à temps.
Technologie de l’information
Tous les jours ou presque, les médias relatent des cas de piratage informatique ou d’espionnage industriel et économique.
Parallèlement à ces menaces, les défaillances techniques de
matériel ou de logiciels ou encore une simple erreur humaine
dans l’utilisation des TIC peuvent entraîner des répercussions
et des dommages importants sur les infrastructures critiques.
La panne d’électricité à grande échelle qu’ont connue les
Etats-Unis et le Canada en 2003, due en grande partie à une
défaillance de la technologie de contrôle, en est un exemple
typique. Autre exemple : celui de l’effondrement de l’ensemble du système de cartes EC en Suisse en 2000, provoqué par
un dysfonctionnement dans un centre de calcul.
2.2.2 Environnement socioéconomique
Une dépendance croissante
Aujourd’hui, entreprises et administrations sont de plus en
plus dépendantes de services et de produits qui leur sont
externes. A cet égard, l’approvisionnement en électricité
occupe une place particulièrement importante – car la quasitotalité des services reposent plus ou moins directement sur
le bon fonctionnement du réseau électrique.
3
Perception subjective des risques
Les entreprises et les administrations investissent beaucoup
dans la sécurité de leurs établissements et partent du principe
que ces investissements sont efficaces. La plupart du temps,
cependant, les effets positifs des mesures de sécurité sont
difficilement mesurables. Plutôt que de mesurer, la tendance
sera donc de considérer les longues périodes exemptes de
crises comme une confirmation de l’efficacité des mesures
qui ont été prises. Or, ce raisonnement peut amener à ne plus
savoir repérer les dangers potentiels ni les domaines vulnérables.
Dans la pratique, les risques qui sont identifiés sont souvent
ceux qui semblent gérables ou contrôlables et dont la relation
de cause à effet apparaît comme évidente6. Les autres risques
sont partiellement ignorés, consciemment ou non – si bien
que lors de la mise en œuvre de mesures préventives, les
répercussions éventuelles de tels risques ne sont pas prises en
compte.
Evolution démographique
En Allemagne, du fait de l’évolution de la pyramide des âges
et des répercussions des migrations sur la densité de population, les infrastructures critiques doivent répondre à de nouveaux défis – ce qui ne va pas sans influencer certains aspects
essentiels de la sécurité. Une baisse des besoins en eau, et
donc une réduction de la distribution d’eau au consommateur final, pourraient par exemple entraîner des problèmes
d’ordre sanitaire dans les usines de distribution d’eau.
Evolution de l’environnement économique7
Les évolutions du marché – comme celles qu’engendrent la
libéralisation économique ou encore la privatisation d’infra­
structures étatiques – peuvent elles aussi influencer le niveau
de sécurité et les investissements afférents aux mesures de
sécurité. Aujourd’hui, la concurrence et la pression sur les
prix tendent à créer un environnement qui laisse peu de
place à des mesures de sécurité telles que les systèmes redondants et autres marges de sécurité. Si les exigences des réglementations en vigueur sont la plupart du temps respectées,
il est néanmoins possible, grâce à des méthodes de calculs de
plus en plus précises, de profiter d’une certaine latitude d’appréciation et de réduire les marges de sécurité. Or, ce sont
précisément ces marges qui peuvent venir à manquer en cas
de situation de crise.
Office fédéral pour la protection des populations et l’assistance en cas
de catastrophes, 2007.
4
Institut Robert Koch, 2007, page 4.
6
Dost, 2006.
5
Cf. Lewis, 2006, page 1.
7
Cf. International Risk Governance Council, 2006, pages 11–17.
11
2.2.3 Caractéristiques particulières
Interconnexion au sein des secteurs
C’est grâce à des réseaux physiques, virtuels ou logiques que
les infrastructures peuvent desservir des zones à large échelle. En croissance constante et de plus en plus complexes, ces
réseaux sont constitués de nœuds qui sont autant de points
névralgiques pouvant s’avérer vulnérables et dont la perturbation entraînerait des défaillances aux niveaux régional,
suprarégional, national voire mondial. Or, c’est sur ce type de
réseau que reposent – notamment – l’approvisionnement en
électricité, en eau et en gaz ainsi que les technologies de l’information et de la communication.
Interconnexions entre les secteurs (interdépendance)
Les systèmes des infrastructures se caractérisent par leur haut
degré d’interconnexion. Du fait du développement extrêmement rapide qu’ont connu les technologies de l’information
durant les quinze dernières années, cette évolution s’est accélérée. Aujourd’hui, les interconnexions entraînent non seulement une amélioration des processus d’approvisionnement,
mais également des interdépendances dont la portée ne peut
faire l’objet, dans bien des cas, que d’une estimation qualitative. Nombre de dépendances physiques, virtuelles ou logiques
ne sont en effet découvertes qu’en cas de crise, c’est-à-dire le
jour où elles viennent à manquer. Un haut degré d’interdépendances peut en effet déclencher des pannes en cascade8.
Dans le même temps, il suffit de dysfonctionnements de plus
en plus minimes pour que des systèmes complexes soient
victimes de conséquences dramatiques (« paradoxe de vulnérabilité9 »).
Le schéma 1 illustre la dépendance réciproque (interdépendance) d’un certain nombre d’infrastructures critiques. Dans
un premier temps, seules les dépendances directes existant
entre les différents secteurs et les différentes branches ont été
prises en compte.
Evolution de l’environnement technologique
Les technologies, en particulier celles de l’information, évoluent à un rythme effréné. Souvent, les derniers développements ne s’appliquent qu’à certains domaines. Les nouveaux
composants côtoient alors les anciens et sont introduits dans
des procédures déjà vieillissantes. L’insuffisance de tests, le
manque de finition et les défaillances des nouveaux équipements et logiciels informatiques vers lesquels certaines
migrations n’ont en outre pas été prévues, l’incompatibilité
des systèmes ainsi que le manque de formation des employés
relative à ces nouveaux composants entraînent des failles dans
la sécurité qui, dans certaines circonstances, pourraient provoquer la défaillance du système tout entier.
Types de sinistres
Les infrastructures critiques peuvent être confrontées à de
nombreux types de sinistres. Il peut s’agir de dommages corporels, matériels, économiques ou encore psychologiques tels
qu’une inquiétude constante ou encore la perte de confiance
de la population envers les autorités politiques.
8
Cf. Lewis, 2006, page 57.
9
Rosenthal, 1992, pages 74–75.
Illustration 1 : Interdépendances entre certaines infrastructures critiques
Organismes de recherche
Gouvernement, administrations
Biens culturels
Radio
Substances dangereuses
Soins de santé
Services financiers
et assurances
Services d’urgence et
de secours
Approvisionnement en eau
et traitement de l’eau
Approvisionnement en
énergie (électricité,
hydrocarbures, gaz)
Transport, circulation, logistique
et services postaux
Technologies de l’information
et de la communication
Approvisionement en denrées alimentaires
12
Informations de base sur les
infrastructures critiques
2.3 Exigences juridiques relatives à la gestion
des risques et des crises
Actuellement, un certain nombre d’exigences juridiques
générales régissent la gestion des risques et des crises dans les
sociétés anonymes (SA) et les grandes entreprises à responsabilité limitée (SARL). Dans le secteur financier, un certain
nombre de dispositions particulières revêtent un caractère
obligatoire dans la pratique – comme le respect d’un niveau
minimal d’exigences en matière de gestion des risques
(MaRisk). Dans ces dispositions, le concept de sécurité de
l’entreprise englobe la protection des personnes et des biens
matériels – tels que les bâtiments et les installations – ainsi
que le maintien de l’activité commerciale en cas de dysfonctionnement ou de crise quels qu’ils soient (crise boursière,
catastrophe naturelle ou attaque terroriste).
La loi allemande sur le contrôle et la transparence dans l’entreprise (KonTraG) ajoute à celle sur les sociétés anonymes
l’obligation de mettre en place un système de surveillance
pour gérer les risques de l’entreprise. Cette loi concerne uniquement les sociétés anonymes mais s’applique également,
dans la pratique, aux sociétés en commandite par actions
et aux grandes SARL – en particulier celles qui possèdent un
conseil de surveillance, qu’il soit facultatif ou soumis aux
règles de la cogestion.
Les risques liés au marché sont souvent gérés dans le respect
de la loi allemande sur le contrôle et la transparence dans
l’entreprise. En revanche, les risques sécuritaires10 et les
risques liés aux catastrophes naturelles sont souvent sousestimés, bien que la loi s’applique à tous les risques pouvant
menacer l’existence d’une entreprise. En vertu de l’article 91,
paragraphe 2, de la loi allemande sur les sociétés anonymes,
le directoire de telles sociétés, leur conseil de surveillance et
leurs commissaires aux comptes sont tenus de « ...prendre les
mesures qui s’imposent, dont la mise en place d’un système
de surveillance, afin d’identifier au plus tôt l’apparition d’évolutions menaçant le maintien de l’entreprise ». Le législateur
ne mentionnant aucune méthode de référence, la mise en
œuvre concrète de ces mesures reste toutefois à l’appréciation de chaque entreprise. Cela étant dit, le système de surveillance interne doit permettre d’identifier à temps l’apparition d’évolutions dangereuses – c’est-à-dire suffisamment tôt
pour que les mesures garantissant le maintien de l’activité de
l’entreprise puissent être prises.
Au sein de chaque société, la direction a donc l’obligation
légale de mettre en place un système efficace de gestion des
risques. En cas de manquement à cette obligation, le commissaire aux comptes peut refuser de certifier la comptabilité de
l’entreprise. Ce dernier est par conséquent tenu de vérifier
que le directoire a pris soin de mettre en place un système
adéquat pour gérer les risques (article 317, paragraphe 4, du
code du commerce allemand). Outre l’évaluation des risques,
ce système doit comprendre l’étude de toutes les causes
possibles d’arrêt de l’activité de l’entreprise, la mise en place
de mesures systématiques permettant d’éviter de tels arrêts,
ainsi que l’établissement et la révision régulière d’un plan
11
d’urgence . Au titre de l’article 76, paragraphe 1, de la loi
allemande sur les sociétés anonymes, la mise en place d’un
système de surveillance fait partie des obligations générales
du directoire. En cas de sinistre et de négligence entraînant
sa responsabilité, ce dernier peut donc, comme le stipule
l’article 93, paragraphe 2, de ladite loi, être condamné au
paiement de dommages et intérêts.
A l’instar de la loi allemande sur le contrôle et la transparence
dans l’entreprise, le droit européen harmonisé des assurances « Solvabilité II » exige lui aussi que la gestion des risques
en entreprise tienne compte de tous les risques auxquels les
assureurs peuvent être confrontés. En incluant les risques possibles dans les clauses du contrat, l’assureur peut soumettre
la couverture d’assurance à la condition que l’assuré prenne
des mesures préventives – ce qui revient implicitement à dire
que l’assuré doit disposer d’un système de gestion des risques.
En vertu de l’article 6, paragraphe 1, de la loi allemande sur le
contrat d’assurance, tout manquement aux clauses de l’assurance entraîne l’annulation de la couverture.
Destinés à minimiser les crises dans le secteur bancaire, les
accords de Bâle II sur les capitaux propres exigent explicitement qu’en cas de prêt, il ne soit pas seulement tenu compte
des risques liés au marché et au crédit, mais également des
risques opérationnels encourus par les banques. Même si les
accords de Bâle II ne concernent que les institutions financières, il n’est pas exclu que les banques exigent à leur tour
des entreprises un compte-rendu relatif à leurs risques – ce
qui signifierait que l’octroi de prêts dépendrait de l’existence
d’un système de gestion des risques. Considérant et intégrant
tous les risques de manière suffisante, un tel système réduirait
les risques de défaut de paiement et permettrait la négociation de conditions de prêt plus avantageuses auprès des
banques.
10
Voir à ce sujet : ministère fédéral de l’Intérieur, 2005.
11
Cf. Bockslaff, 1999, page 109.
13
3
Gestion des risques
et des crises
pour la protection des infrastructures
critiques
Tel que nous l’exposons dans le présent manuel, le concept
de gestion des risques et des crises s’inscrit dans un processus
systématique et s’articule autour de cinq phases différentes.
Correspondant au champ que doit couvrir toute gestion des
risques et des crises liée aux processus dans les entreprises et
les administrations, ces cinq phases sont les suivantes : une
phase de planification préalable visant à élaborer une gestion
des risques et des crises (phase 1), une analyse des risques
(phase 2), la description de mesures préventives (phase 3), la
mise en place d’une gestion des crises (phase 4) et l’évaluation
régulière des phases 1 à 4 (phase 5). Le schéma 2 illustre ce
concept et son déroulement.
La gestion des risques et des crises que nous décrivons ici
repose sur un cycle général de gestion PDCA (« Plan, Do,
Check, Act »). Cette démarche permet d’intégrer ladite gestion dans des structures de gestion déjà existantes – telles que
la gestion de la qualité, la gestion des risques et des crises déjà
en place ou encore la gestion des processus propre à l’établissement concerné. Dans ce contexte, le terme « établissement »
désigne les entreprises et les administrations entrant dans la
définition des infrastructures critiques donnée en introduction.
Illustration 2 : C
oncept en cinq phases de la gestion des
risques et des crises12
Illustration 3 : P
rocessus de gestion des risques et des
crises selon le cycle PDCA13
Phase 1 : Planification préalable
ACT
Phase 2 : Analyse des risques
Analyse de criticité
PLAN
• Mesures préventives
• Mise en place d’un système
de gestion des crises
• Planification
• Comparaison des risques
• Estimation des risques
• Vérification des objectifs
de protection
• Evaluation
• Analyse de criticité
• Identification des risques
Identification des risques
Analyse des dangers
Analyse de vulnérabilité
Calcul du risque
Comparaison des risques,
évaluation des risques
Objectifs opérationnels de protection
Objectifs de
protection stratégiques
et opérationnels
remplis ?
Phase 5 : Evaluation
Communication relative aux risques, documentation sur tous les processus
Elaboration / consolidation de la gestion des risques et des crises
Objectifs stratégiques de protection
CHECK
DO
Oui
Non
Phase 3 : Mesures préventives
12
Phase 4 : Gestion des crises
Cf. Australian / New Zealand Standard, 2004, page 13 et Trauboth,
2002, page 23.
13
Cf. Gesellschaft für Anlagen- und Reaktorensicherheit (Société allemande pour la sûreté des installations et des réacteurs nucléaires),
2007, page 21.
14
Gestion des risques et des crises pour la protection des infrastructures critiques 3.1 Phase 1 : Planification préalable
3.1.3 Ressources nécessaires
La mise en place réussie d’une gestion des risques et des crises
au sein d’une entreprise ou d’une administration passe par
une planification minutieuse.
Les besoins relatifs à la mise en place d’une gestion des risques
et des crises doivent être estimés en amont. Si cela s’avère
nécessaire, un groupe de travail interdisciplinaire formé d’employés de l’établissement peut être constitué pour assister le
chef de projet et se charger d’un certain nombre de tâches
bien délimitées. Il est avantageux que les membres du groupe
de travail aient une vue d’ensemble sur la structure de l’entreprise ou de l’administration concernée et il est préférable que
tous les échelons de la hiérarchie soient représentés au sein
dudit groupe de travail.
Avant de mettre en pratique le présent manuel, il convient
de répondre à certaines questions de fond. Ces questions porteront avant tout sur les points suivants : la manière dont la
direction de l’établissement concerné met en place la gestion
des risques et des crises, l’adhésion à la méthode adoptée, la
répartition des responsabilités, l’allocation des ressources
nécessaires et l’établissement d’objectifs stratégiques de protection.
3.1.1 Mise en place
C’est à la direction qu’il revient de lancer la création ou la
consolidation de la gestion des risques et des crises, et de définir clairement les objectifs poursuivis. Ladite gestion doit être
non seulement mise en œuvre mais également appliquée au
niveau opérationnel. Le personnel doit être impliqué dans le
processus.
Des efforts particuliers doivent être déployés pour faire
prendre conscience des risques à l’ensemble du personnel de
l’établissement (par le biais d’une politique des risques ferme
et transparente) : en effet, la qualité de la gestion des risques
dépend en large partie de l’adhésion et de la motivation des
employés.
3.1.2 Répartition des responsabilités
La mise en place d’une gestion des risques et des crises doit de
préférence être dirigée par un chef de projet spécialisé, qui
sera responsable du contenu du projet et consultera, si besoin
est, la direction de l’établissement. Il serait judicieux de choisir ce chef de projet au sein de l’entreprise ou de l’administration concernée.
Les décisions majeures liées soit à la mise en place soit à la
consolidation de la gestion des risques et des crises seront prises par la direction de l’établissement – notamment lorsqu’il
s’agira de questions touchant à l’octroi de ressources financières ou humaines.
Si l’établissement ne dispose pas de l’expertise nécessaire en
matière de gestion des risques et des crises, il est possible de
former le personnel interne ou de combler les lacunes en faisant appel à des prestataires externes.
Les ressources nécessaires à la mise en œuvre de la gestion des
risques et des crises devront être identifiées au cours du projet.
3.1.4 Clarification des obligations légales
Dans le cadre de la planification préalable à la mise en place
d’une gestion des risques et des crises, il est nécessaire de clarifier les obligations légales.
3.1.5 Objectifs stratégiques de protection
La mise en place d’une gestion des risques et des crises nécessite de formuler des objectifs stratégiques de protection. Ils
définissent les buts à atteindre sur l’ensemble du processus.
Les objectifs de protection sont fortement influencés par
des aspects éthiques, opérationnels, techniques, financiers,
légaux, sociaux et environnementaux14. Ils présentent les
caractéristiques suivantes :
■■ ils décrivent les buts à atteindre,
■■ ils apportent des solutions pour la mise en place des différentes mesures et
■■ ils sont spécifiques, mesurables, réalisables, réalistes et
définis dans le temps.
Dans la mesure où il est très difficile de définir à l’avance les
responsabilités qui devront être attribuées dans le cadre de la
mise en œuvre de la gestion des risques et des crises, ces responsabilités seront établies au fur et à mesure.
14
Australian / New Zealand Standard, 2004, page 15.
15
En voici quelques exemples :
déterminent son efficacité : la confiance que l’audience accorde à la source et la crédibilité de cette dernière.16
■■ meilleure protection possible pour le personnel et les
autres personnes présentes (les clients, par exemple),
■■ le maintien des capacités de fonctionnement de l’établis-
3.2 Phase 2 : Analyse des risques
sement, même en cas de situation extrême,
■■ respect des obligations légales,
■■ prévention contre d’importants dommages économiques et
■■ prévention contre une éventuelle dégradation de l’image
de l’établissement.
3.1.6 Communication sur les risques
D’une manière générale, la communication sur les risques concerne « tous les processus de communication liés
à l’identification, l’analyse, l’évaluation et la gestion des
risques ainsi que les interactions qui en découlent entre les
personnes impliquées15». La communication sur les risques
constitue une plateforme sur laquelle se déploient à la fois la
conscience et l’acceptation des risques au sein des entreprises
et des administrations – deux aspects indispensables à une
gestion efficace des risques. Dans le contexte actuel, les établissements doivent clairement différencier communication
interne et communication externe.
L’analyse des risques structure et objective les informations
accumulées sur les dangers et les risques dans les entreprises et
les administrations. Dans le présent manuel, les risques se rapportent à des processus et à leurs éléments constitutifs. Or, c’est
précisément en analysant divers processus avec leurs éléments
constitutifs que la phase 2 fait ressortir les risques sous-jacents
pour les établissements – tout en permettant d’établir des comparaisons grâce auxquelles il sera possible de déterminer des
degrés d’urgence et d’établir des priorités entre les mesures
à même d’avoir un impact décisif sur les risques identifiés. Ce
faisant, l’analyse des risques jette les bases d’un travail efficace
avec des ressources financières et humaines limitées.
L’analyse des risques au sens où l’entend le présent manuel
répond aux questions suivantes :
■■ Quels sont les types d’aléas pouvant se manifester ?
■■ Quelles sont les probabilités que ces aléas se manifestent
sur les sites de l’établissement ?
■■ Quels sont les points vulnérables sensibles aux incidences
La communication interne sur les risques se réfère à toutes
les interactions communicatives touchant de près ou de loin
aux risques au sein même de l’établissement – de la mise en
place du système à l’évaluation de la gestion des risques. Au
moment de la mise en place du système, il convient d’apporter une attention particulière à la communication interne :
il est en effet primordial d’établir aussi tôt que possible un
dialogue avec les futurs responsables sur l’objet et les objectifs de la gestion des risques. La réussite de la communication
interne sur les risques est déterminante pour une bonne communication externe.
La communication externe sur les risques ne se contente pas
d’informer et d’instruire les médias et les personnes concernées. Elle vise également à établir un dialogue personnalisé
avec chaque interlocuteur. Dans ce contexte, il faut garder
à l’esprit qu’en matière de communication sur les risques,
tout malentendu entre émetteur et destinataire du message
doit être évité. A titre d’exemple, l’expérience montre que les
risques ne sont pas perçus de la même manière par les spécialistes et par les profanes. Afin d’éviter toute issue inacceptable,
la communication externe sur les risques doit toujours se faire
au bon moment et de manière claire. Elle doit également être
adaptée au destinataire, cohérente et fiable. Deux facteurs
de l’aléa ?
Ces questions montrent que l’analyse des risques inhérents à
un processus et à ses éléments constitutifs renseigne non seulement sur les aléas, mais également sur la vulnérabilité dudit
processus et de ses éléments constitutifs.
Le présent manuel traite de processus opérationnels. Ces
processus se décomposent en processus clés et en processus
d’accompagnement. Dans la mesure où nous n’opèrerons
aucune distinction entre ces deux types de processus dans les
parties qui suivent, nous parlerons simplement de processus
et sous-processus. Par sous-processus, nous entendrons – dans
le présent manuel – les différentes parties d’un processus.
Le point de départ d’une analyse des risques consiste à subdiviser l’entreprise ou l’administration en processus et en
sous-processus. L’établissement décide lui-même du niveau
de subdivision à adopter. Par exemple, une salle de contrôle
identifiée comme faisant partie d’un processus pourra être
définie comme sous-processus qui pourra, à son tour, être
subdivisé en plusieurs autres sous-processus. Plus la subdivision est précise, plus l’analyse des risques sera coûteuse en
17
temps et en argent ; mais elle n’en sera que plus pertinente .
15
Jungermann et al., 1991, page 5.
16
Vous trouverez de plus amples renseignements sur la planification
16
17
Vous trouvez de plus amples renseignements sur les processus et la
de la communication sur les risques dans Wiedemann et al., 2000,
représentation des processus dans Gesellschaft für Anlagen- und
ainsi que dans Gray et al., 2000.
Reaktorsicherheit 2007.
Gestion des risques et des crises pour la protection des infrastructures critiques tinés à la production, au stockage ou à l’administration, et
les garages.
Illustration 4 : P
rocessus, sous-processus et éléments
de risque
Début du processus
Début du processus
Installations et appareils :
Les installations et les appareils des sous-processus peuvent se trouver à tous les niveaux de la chaîne de production de l’établissement, et plus particulièrement dans les
domaines suivants :
Fin du processus
Sous-processus 3
Sous-processus divisés en
trois autres sous-processus
Sous-processus 3.1
Sous-processus 3.2
Sous-processus 3.3
Eléments de risque :
• Personnel
• Terrains
• Bâtiments
• Installations et appareils
• Installations et appareils spécifiques
à l’établissement
• Données et documents
• Moyens de production
REMARQUE IMPORTANTE :
L’identification des éléments de risque à la fois pertinents et
spécifiques à l’établissement concerné est l’un des facteurs
déterminants pour la réussite de l’analyse des risques. Il est
en effet fréquent que les processus critiques dépendent
directement des installations et des appareils spécifiques à
chaque établissement.
Le schéma 4 représente un processus et ses sous-processus
ainsi qu’un exemple de subdivision d’un sous-processus en
plusieurs autres sous-processus – avec les éléments dont ils
sont constitués.
Par éléments constitutifs des sous-processus, nous entendons
les facteurs contribuant au bon fonctionnement d’un processus. Dans le présent manuel, nous qualifions ces éléments
d’« éléments de risque » : éléments individuels matériels ou
immatériels, ils sont susceptibles d’être endommagés – ce
qui pourrait entraîner la perturbation du sous-processus en
question. Le présent manuel traite des éléments de risque
suivants :
Autres installations et appareils spécifiques à l’établissement :
Dans cette catégorie sont compris toutes les installations
18
spéciales et tous les appareils spéciaux .
Données et documents :
Sont considérées comme données et documents toutes
les informations sous format électronique ou sur papier
nécessaires au maintien de l’activité de sous-processus
donnés au sein de l’établissement.
■■ Vies humaines (personnel et autres personnes présentes) :
Il est essentiel de protéger de manière suffisante toutes
les personnes présentes contre les incidences des aléas
et de les mettre à l’abri en cas de danger imminent. A cet
effet, l’ensemble des entreprises et des administrations
sont tenues de prendre certaines précautions afin de
garantir aux personnes présentes la meilleure protection
possible en cas d’incident et ce, avant l’arrivée et après le
départ des pompiers, des secours et de la police. Au regard
du maintien du fonctionnement des sous-processus, les
employés et en particulier le personnel spécialisé constituent des éléments de risque.
Terrains :
Font partie des terrains toutes les surfaces en plein air destinées à la circulation, au stockage ou au parking, les espaces
verts et les aires essentielles à l’activité de l’établissement.
Bâtiments :
Les bâtiments comprennent toutes les structures construites en souterrain ou en surface, comme les bâtiments des-
• approvisionnement en électricité,
• approvisionnement en gaz,
• chauffage urbain,
• approvisionnement en eau,
• technologies de l’information (TI),
• technologies de la communication (TC) et
• transports (y compris les véhicules et le carburant).
Moyens de fonctionnement :
Dans le présent manuel, les moyens de fonctionnement
comprennent tous les moyens de production ne figurant
pas dans les points précédents.
3.2.1 Analyse de criticité
L’analyse de criticité permet d’identifier quels sont, parmi
tous les processus de l’établissement concerné, ceux dont la
perturbation aurait des conséquences importantes sur l’entreprise ou l’administration en question. Appelés processus
critiques, ils doivent être protégés de manière suffisante par
18
Exemples : Eléments de contrôle, logiciels, appareils médicaux,
installations techniques particulières dans les bâtiments, sas de sécurité, dépôts de carburant, avions.
17
le biais de mesures adaptées. Dans un premier temps, l’identification des risques, et tout particulièrement les mesures
préventives retenues pour réduire ces risques, doivent s’intéresser aux éléments de risque des sous-processus issus des
processus critiques.
des sous-processus qui les composent ainsi que des éléments
de risque que comportent ces sous-processus.
L’identification des processus critiques peut s’appuyer sur les
critères suivants19 :
Les risques encourus par un établissement sont déterminés
non seulement par les aléas susceptibles de se manifester sur
son site (ou ses sites) et de menacer les éléments de risque,
mais également par la vulnérabilité desdits éléments. C’est en
rapprochant les informations pertinentes sur ces aléas et cette
vulnérabilité qu’il est possible de calculer les risques pesant
sur les éléments examinés et – à condition de les regrouper
– sur les sous-processus analysés. Dans le présent manuel, les
risques pesant sur les éléments de risques seront appelés risques partiels, tandis que l’ensemble des risques pesant sur les
sous-processus sera désigné par le terme de risques globaux.
Dans la partie qui suit, nous nous attacherons à décrire les différents aspects de l’identification des risques.
Vie et santé humaines :
Quelles sont les répercussions de la perturbation du processus sur la vie et la santé humaines ?
Facteur temporel :
En combien de temps la perturbation du processus se
répercute-t-elle sur l’ensemble de la production de biens
ou de services de l’établissement ? Plus ce laps de temps
est court, plus le processus est critique.
Volume :
Quel volume de l’ensemble des biens et services serait
concerné en cas de perturbation ou d’arrêt total du processus étudié ?
Conséquences contractuelles, réglementaires et légales :
Quelles répercussions la perturbation du processus en
question aurait-elle sur l’établissement d’un point de vue
contractuel, réglementaire et légal ?
Dommages économiques :
A combien peuvent être estimés les dommages économiques subis par l’établissement du fait de la perturbation
du processus en question ?
C’est à l’établissement concerné qu’il revient de déterminer
les critères à prendre en compte et à considérer parallèlement, et la classification à adopter.
L’analyse de criticité aboutit à l’identification et au listage de
tous les processus critiques au sein de l’entreprise ou de l’administration concernée, et permet de dresser une description
19
The Business Continuity Institute, 2005, page 26.
20
L’annexe IV fournit un aperçu des dangers éventuels et de leurs
3.2.2 Identification des risques
3.2.2.1 Analyse des aléas et élaboration de scénarios
Une analyse des risques réussie passe par l’identification et la
documentation de tous les aléas pertinents. La première étape
de l’analyse des aléas et de l’élaboration de scénarios consiste
à lister les aléas pouvant se manifester sur le(s) site(s) de l’établissement. Cette liste complète indique les caractéristiques
générales desdits aléas, leur intensité, leur durée ainsi que leurs
20
éventuelles conséquences .
Grâce à la liste des aléas spécifiques à un site, il est ensuite possible d’établir plusieurs scénarios. Ces derniers contiennent
des informations complémentaires nécessitées dans le cadre
de l’analyse des risques et de la gestion des crises. Les scénarios
doivent mettre en scène des événements réalistes pouvant
mener à une situation de crise. Le nombre de scénarios abordés
dans l’analyse sera déterminé par le professionnel en charge de
la gestion des risques et des crises – l’objectif étant de couvrir de
manière la plus exhaustive possible tous les aléas potentiels.
Chaque scénario devra comprendre les informations complémentaires suivantes :
Degré d’exposition attendu
Quels sont les sous-processus et les éléments de risques susceptibles d’être concernés ?
caractéristiques ainsi que d’interlocuteurs pouvant être contactés
pour l’analyse de ces dangers. La liste des dangers donnée en annexe
se limite aux événements liés aux catastrophes naturelles, aux
défaillances techniques, aux erreurs humaines, aux actes intentionnels et aux conflits armés. Cette liste n’est en aucun cas exhaustive et
peut, le cas échéant, être complétée par les éléments propres à chac­
un et par des types de dangers supplémentaires. A titre d’exemple,
le présent manuel ne prend pas en compte les dangers survenant
progressivement et pouvant entraîner des risques financiers, stratégiques ou de marché.
18
REMARQUE IMPORTANTE :
La perturbation d’un processus, d’un sous-processus ou d’un
élément de risque est principalement déterminée par son
degré d’exposition. Tout comme les incidences sur le plan
local, les expositions à grande échelle peuvent entraîner des
pannes – le critère déterminant étant le degré d’atteinte
des sous-processus et des éléments de risque.
Gestion des risques et des crises pour la protection des infrastructures critiques Degré d’intensité attendu
Quel est le potentiel de destruction du scénario sur les
sous-processus et leurs éléments de risque ?
pratique, lors de l’élaboration de scénarios au sein des entreprises et des administrations, il est recommandé d’estimer les pro21
babilités de survenance à l’aide d’un système de classification .
Durée attendue
Combien de temps l’événement peut-il durer ?
Les scénarios retenus devront être régulièrement contrôlés,
retravaillés et complétés. En cas de besoin, d’autres scénarios
pertinents pourront venir compléter les scénarios existants,
afin de garantir l’identification d’un maximum de risques
spécifiques à l’établissement.
Alerte préventive
Combien de temps peut-il s’écouler entre l’alerte préventive et l’événement ?
Effets secondaires
Quels seraient les effets engendrés par les dépendances
entre les processus ? Quelles conséquences psychologiques l’événement pourrait-il entraîner ? Quels impacts
l’événement aurait-t-il sur l’opinion publique et quelles
seraient les retombées médiatiques ?
Incidents de référence
Quels événements de référence peuvent servir à illustrer le
scénario envisagé ?
Probabilité de survenance
Quelle est, d’après les estimations ou les calculs, la probabilité de survenance de l’événement ?
Bien souvent, il est impossible de déterminer avec précision la
probabilité de survenance d’un scénario dont l’intensité, l’ampleur géographique, la durée, l’alerte préventive et les effets
secondaires ont été définis au préalable. A titre d’exemple, seules certaines catastrophes naturelles et certaines défaillances
de composants ont fait l’objet de longues séries d’observations
permettant de calculer des probabilités de survenance. Dans la
3.2.2.2 Analyse de vulnérabilité
Outre les aléas potentiels, la vulnérabilité des sous-processus
et des éléments de risque est essentielle pour déterminer le
type et l’ampleur des dommages pouvant être causés à l’établissement. Plus le degré de vulnérabilité des sous-processus
et des éléments de risque sera élevé, plus l’impact des aléas
sur les services ou produits de l’établissement pourra être
important.
Le calcul de la vulnérabilité des sous-processus et des différents éléments de risque se fait à l’aide d’un catalogue de
critères. Il peut également se faire par le biais d’un système de
22
classification .
La liste de critères présentée ci-dessous aidera les établissements à dresser un catalogue adapté à leur propre situation
ou bien à compléter le leur.
Dépendance vis-à-vis des éléments de risque
Lorsque la performance d’un sous-processus donné est
dépendante d’un élément de risque, l’éventuelle indisponibilité ou modification de ce dernier rend le sous-processus vulnérable. Dans le cadre du calcul des risques, ce
critère peut servir de pondération pour mesurer l’importance d’un certain nombre d’éléments de risque vis-à-vis
23
d’un sous-processus donné .
REMARQUE IMPORTANTE – dépendances et élaboration des scénarios :
En général, les événements extrêmes provoquent un grand
nombre de perturbations. Une coupure de courant peut par
exemple avoir des répercussions sur l’approvisionnement
externe en eau ou empêcher les prestations de services de
certains fournisseurs.
Pour élaborer les scénarios, il convient de les considérer
séparément les uns des autres. A titre d’exemple, scénario 1 :
défaillance de l’approvisionnement externe en électricité,
scénario 2 : défaillance de l’approvisionnement externe en
eau. Cela permet d’éviter d’obtenir un nombre réduit de
scénarios très complexes dont les répercussions sont difficilement prévisibles.
Dépendance vis-à-vis des infrastructures externes
Lorsque la performance d’un élément de risque est dépendante d’une infrastructure externe, l’éventuelle indisponibilité ou modification de cette dernière rend cet élément
de risque vulnérable.
21
L’exemple d’analyse des risques fourni en annexe VI se fonde sur une
classification à cinq niveaux de la probabilité de survenance d’un
scénario réaliste.
22
L’exemple d’analyse des risques fourni en annexe VI recourt à une
échelle à six niveaux pour appréhender la vulnérabilité (y compris
un niveau 0 signifiant « non pertinent »).
23
Dans l’exemple d’analyse des risques fourni en annexe, ce critère est
Cependant, les scénarios devront tenir compte des effets
marginaux découlant d’un certain nombre de dépendances.
Cela vaut particulièrement pour les effets entraînant une
aggravation des répercussions.
utilisé comme facteur de pondération. Il entre dans le calcul des risques en tant que facteur individuel. Les estimations des autres critères de vulnérabilité sont additionnées et utilisées en tant que facteur
global dans le calcul des risques.
19
Dépendance vis-à-vis de conditions environnementales
spécifiques
Les établissements opèrent dans les conditions environnementales existantes sur leur(s) site(s). Un établissement
dépendant de conditions environnementales extrêmement spécifiques est vulnérable aux modifications éventuelles de ces conditions.
Dépendance vis-à-vis des infrastructures internes
Lorsque la performance d’un élément de risque est dépendante d’une infrastructure interne, l’éventuelle indisponibilité de cette dernière rend cet élément de risque
vulnérable.
Robustesse
La robustesse physique (en particulier des installations,
des appareils et des bâtiments) détermine l’ampleur des
dommages que subiraient les éléments de risque en cas
d’événement extrême – et par là-même l’ampleur de la
perturbation du ou des sous-processus concerné(s).
Niveau de protection atteint
Lorsqu’ils ne sont pas suffisamment protégés contre un
aléa donné, les éléments de risques seront vulnérables lorsque ledit aléa vient à se manifester (exemple : mesures de
sécurité existantes / non existantes au sein d’un bâtiment).
Redondance, remplacement
La défectuosité de certains éléments de risque est plus
facile à appréhender lorsqu’il existe des structures parallèles ou des structures de remplacement capables de fournir
les mêmes prestations de services. La présence d’éléments
de risque redondants ou d’éléments de remplacement
permet de réduire la vulnérabilité des sous-processus.
3.2.2.3 Calcul des risques
Dans le cadre du calcul des risques, les calculs, estimations et
résultats issus des scénarios et de l’analyse de vulnérabilité
sont combinés les uns avec les autres pour engendrer des
valeurs ou des résultats relatifs aux risques. Ces valeurs sont
combinées à l’aide d’une fonction. Dans le présent manuel, les
« risques partiels » pesant sur les éléments de risque sont considérés comme fonction de la probabilité de survenance du scénario en question ainsi que de la vulnérabilité desdits éléments
de risque. Le risque global de chaque sous-processus est formé
par la somme des risques partiels de ses éléments de risque.
En principe, les risques peuvent être calculés de trois maniè24 res différentes :
Calcul qualitatif des risques : ce procédé permet d’obtenir
des estimations approximatives sur des risques dont il
fournit une description écrite. Il ne permet d’établir aucune comparaison chiffrée.
Coût de réparation
Le coût de réparation désigne le prix de la remise en état
d’un élément de risque à la suite d’un endommagement.
Au regard de la vulnérabilité d’un sous-processus, il s’agit
non seulement des dépenses financières, mais également
du coût en temps et en ressources humaines pour permettre la remise en état.
Capacité d’adaptation
Un sous-processus est vulnérable lorsque ses éléments
de risque ne peuvent pas, ou difficilement, s’adapter aux
changements de leur environnement (c’est notamment le
cas des équipements utilisant de l’eau de refroidissement,
lorsque survient une forte chaleur entraînant une augmentation de la température des fleuves).
Capacité de tolérance
La capacité de tolérance signifie que le sous-processus
peut supporter un événement dans une certaine mesure
et pendant une durée donnée sans subir de perturbation.
Calcul semi-quantitatif des risques : le calcul semi-quantitatif consiste à déterminer des valeurs pour les différents
facteurs de risque au moyen d’une classification afin d’établir des comparaisons chiffrées.
Calcul quantitatif des risques : l’analyse quantitative a
pour objectif de calculer mathématiquement les facteurs
de risque – par exemple à l’aide d’analyses de séries chronologiques dans le cas de la probabilité de survenance ou
encore au moyen de modèles de simulation permettant
d’appréhender un certain nombre de répercussions sur un
établissement donné.
Le choix de la méthode de calcul est déterminé d’une part par
le coût en temps et en argent que l’exploitant veut ou peut
investir et d’autre part par la disponibilité des informations et
25
des données.
24
Cf. Australian / New Zealand Standard, 2004, pages 18–19.
Transparence
On parle de transparence lorsque la constitution et le
mode de fonctionnement de l’élément de risque sont facilement compréhensibles – ce qui, en cas de crise, représente un avantage pour une réparation rapide.
25
L’annexe VI décrit un exemple de mise en place d’une analyse des
risques s’appuyant sur un calcul semi-quantitatif des risques partiels
pesant sur les éléments de risque ainsi que des risques globaux
pesant sur les sous-processus. Pour consulter une méthode d’analyse
des risques spécifique au domaine des technologies de l’information, cf. : Office fédéral pour la sécurité des systèmes d’information,
2005.
20
Gestion des risques et des crises pour la protection des infrastructures critiques 3.2.2.4 Comparaison et évaluation des risques
A ce stade, les valeurs ou descriptions de risques ainsi établies
peuvent être comparées entre elles. Cette comparaison est
particulièrement pertinente en cas d’analyses qualitatives ou
semi-quantitatives, car les valeurs et les descriptions obtenues
ne font en aucun cas office de résultat absolu. Mis en relation
les uns avec les autres, c’est-à-dire comparés en interne, les
résultats des analyses qualitatives et semi-quantitatives sont
très parlants.
L’objectif d’une telle comparaison est d’identifier les éléments
de risque et les sous-processus qui sont soumis aux risques les
plus élevés.
L’évaluation des risques doit montrer si les objectifs stratégiques, définis initialement, de protection contre les risques
existants ont pu être atteints. S’il existe trop de risques partiels importants, des objectifs opérationnels de protection
devront être définis. Ils serviront de point de départ à la mise
en place de mesures préventives. Voici quelques exemples
d’objectifs opérationnels de protection :
Bien souvent, toutefois, l’analyse des risques et l’analyse des
coûts-avantages ne sauraient être la seule base justifiant la
prise de mesures visant à réduire des risques n’ayant qu’une
faible probabilité de survenance mais des répercussions
dramatiques. En sus du cadre juridique, il est également judicieux, en pareils cas, de faire entrer en ligne de compte des
considérations sociales et éthiques dans la décision relative
aux mesures de protection.
Les stratégies préventives font appel à trois outils : la prévention des risques, le transfert des risques et l’acceptation des
risques. Ces stratégies ne doivent être utilisées qu’en complément de mesures de réduction des risques car elles peuvent
soit restreindre fortement la souplesse de l’établissement
– cas de la prévention des risques – soit n’apporter aucune
contribution à la réduction matérielle des risques – cas du
transfert et de l’acceptation des risques.
Illustration 5 : Intensité de l’événement et seuil de crise
Intensité de l'événement
la réduction du risque global pour le sous-processus X et
la réduction des risques partiels les plus importants dans
tous les sous-processus appartenant à des processus critiques.
Intensité de l'événement
Les mesures mises en place devront avant tout être destinées
aux sous-processus présentant les risques partiels les plus
importants.
Relèvement du seuil de crise par le
biais de mesures préventives
Finalement, il incombe aux responsables de l’établissement
et au chef de projet spécialisé de décider des mesures et des
objectifs opérationnels de protection à appliquer.
Activité normale,
y compris la gestion
des dysfonctionnements
Crise
Evénement
Seuil de crise
3.3 Phase 3 : Mesures et stratégies préventives
3.3.1 Réduction des risques
Au sein de l’établissement, les mesures préventives contribuent
à la réduction des risques pesant sur les processus critiques.
Elles permettent d’atteindre les objectifs opérationnels de
protection et, par là-même, de relever le seuil de crise des événements à potentiel de crise (voir également l’illustration 5).
Ainsi, ces mesures permettent de minimiser le nombre de
situations de crise et, le cas échéant, de réduire leur intensité.
Les mesures préventives doivent être soumises à une analyse
coûts-avantages. L’enjeu étant de réduire le risque global,
l’examen consiste à comparer les investissements potentiels
aux coûts directs et indirects qu’occasionnerait une perturbation de l’établissement à la suite d’un événement extrême.
Les résultats de l’analyse des risques sont ensuite confrontés
à ceux de l’analyse coûts-avantages pour sélectionner les
mesures présentant une efficacité particulière dans le cadre
du budget existant.26
Les mesures de réduction des risques sont de deux ordres :
soit elles diminuent la vulnérabilité des éléments de risque face aux incidences de certains aléas, soit elles visent à
garantir la continuité opérationnelle des processus critiques
en instaurant des systèmes redondants et / ou des systèmes
de remplacement : même s’ils peuvent perturber certains
éléments critiques, ces systèmes ont l’avantage d’assurer une
continuité opérationnelle dans le cadre de la gestion de la
reprise sur incident27.
26
Cf. Australian/New Zealand Standard, 2004, pages 21–22.
27
On trouvera en annexe V.1 une liste de contrôle détaillée de mise en
œuvre de mesures préventives.
21
3.3.2 Prévention des risques
Il est possible de parer les risques soit en évitant les régions
menacées, soit en mettant en œuvre des mesures destinées à
empêcher l’apparition de dangers.
Face aux aléas naturels et à l’environnement des dispositifs à
haut risque (songeons aux itinéraires de transport des marchandises dangereuses), les zones exposées – autrement dit
menacées – peuvent souvent être identifiées. Une révision
de la conception des sites, des bâtiments et des dispositifs
concernés permettra d’éviter ces zones.
La prévention totale des risques est toutefois impossible,
aucun site n’en étant exempt.
3.3.5 E
xpériences des assureurs de choses en matière de
dommages
Les assureurs de choses portent par essence un vif intérêt à la
protection contre les sinistres et à la réduction de leurs conséquences sur la pérennité de l’entreprise.
Nombre de publications (recommandations, directives et
fiches) de l’Union générale des assureurs allemands résument
28
les enseignements que l’on peut tirer de divers sinistres .
Source d’information supplémentaire, ces publications
peuvent servir à renforcer la protection de certains établissements et, par là même, apporter une contribution à la protection des infrastructures critiques.
3.4 Phase 4 : Gestion des crises
3.3.3 Transfert des risques
Le transfert des risques consiste à déplacer ces derniers sur
d’autres entreprises ou contractants afin de réduire l’étendue
financière d’éventuels dommages portés à son propre établissement. Au nombre des instruments du transfert des risques
figurent :
le transfert des risques sur les assurances et
le transfert des risques sur les fournisseurs ou les clients.
REMARQUE IMPORTANTE :
Le transfert n’entraîne pas de réduction physique des risques
pesant sur les personnes ou les biens matériels. Elle modifie
seulement les conséquences financières que doit supporter
l’établissement à la suite des dommages survenus.
3.3.4 Acceptation des risques (risques résiduels)
Les mesures et stratégies préventives accroissent le niveau de
sécurité global de l’établissement. Cependant, certains risques ne peuvent être totalement éliminés. De ce fait, l’établissement devra documenter les risques résiduels et consigner
leur acceptation par écrit.
Au sens où l’entend le présent manuel, une crise constitue
par rapport à la situation normale un écart ne pouvant plus
être surmonté à l’aide des seules structures opérationnelles
normales. Les crises survenant au sein d’infrastructures critiques peuvent considérablement entraver la fonctionnalité
des entreprises et des administrations et, de ce fait, être préjudiciables à la population ou perturber le système politique,
social et économique. La loi allemande relative au contrôle et
à la transparence des entreprises (dite « KonTraG ») utilise la
notion de « danger pour la continuité de l’exploitation » – une
notion qui se prête particulièrement bien à l’établissement
d’une définition29. La crise doit être clairement distinguée des
événements de portée moyenne, désignés sous le terme de
« dysfonctionnements » dans le cadre du présent manuel (cf.
illustration 6, page 23).
Les éléments qui vont déclencher une crise peuvent apparaître au sein même de l’entreprise ou de l’administration – c’est
par exemple le cas des crises financières découlant de mauvaises pratiques de gestion ou de malversations (voir illustration 6) – ou provenir de l’extérieur. Les crises provenant de
l’extérieur peuvent être induites à la suite d’effondrements
boursiers, de manchettes négatives ou de difficultés de livraison. A côté de cela, les aléas naturels, les défaillances techniques, les erreurs humaines, les actes de nature terroriste
ou criminelle et les conflits armés peuvent être considérés
comme principaux éléments déclencheurs de crises affectant
les infrastructures critiques.
Les risques résiduels peuvent déclencher des crises face auxquelles l’organisation fonctionnelle et structurelle normale
est généralement démunie. Ainsi, il est nécessaire de disposer d’une gestion des crises qui donne à l’établissement les
moyens de surmonter efficacement la situation.
28
Cf. par exemple VdS-Richtlinien 2007 (directives de 2007 de
l’Association allemande des compagnies d’assurances dommages).
29
Cf. Trauboth, 2002, pages 14–15.
22
Gestion des risques et des crises pour la protection des infrastructures critiques Illustration 6 : Eléments déclencheurs de crises internes et externes
Infrastructure critique
Difficultés de livraison
Evolution négative de la Bourse
Pénuries suite à des modifications
subites de la demande
Dysfonctionnements
Pannes mécaniques
Mauvaise gestion
Grève
Couverture médiatique
La gestion des crises fournit une contribution notable à la
protection des entreprises et des administrations et, par
là-même, à la protection des infrastructures critiques et de la
population. Elle n’est pas dissociée de la gestion des risques.
En effet, la préparation aux crises sur le plan conceptuel, organisationnel, procédural et matériel s’appuie partiellement sur
les résultats de la gestion des risques : la nature et l’ampleur
des risques résiduels qui en découlent influencent le degré de
préparation aux crises. Tous les risques ne pouvant être réduits
à l’aide de mesures d’atténuation et un risque résiduel subsistant toujours, la gestion des crises sert à surmonter les crises
qui ne sauraient être empêchées via la seule prévention.
Dans les établissements constituant des infrastructures critiques, la gestion des crises a pour objectif de surmonter les
crises tout en
maintenant une fonctionnalité maximale et / ou
permettant une reprise des processus critiques dans les
meilleurs délais.
Catastrophes naturelles
Défaillances techniques /
erreurs humaines
Actes de nature terroriste /
criminelle
Conflits armés
Une gestion des crises bien menée s’insère dans d’autres
concepts de gestion, tels que la gestion des risques précédemment décrite. Les mesures préparées et activées dans le cadre
de la gestion des crises permettent de garantir le fonctionnement de l’organisation, la continuité d’exploitation ou de
service et le retour à l’activité normale. Effectuée pendant et
après l’événement, l’évaluation du déroulement de la gestion
des crises permettra de la perfectionner et de l’améliorer. La
gestion des crises peut donc être appréhendée comme un
sous-cycle PDCA s’inscrivant dans la gestion des risques. L’illustration 7 schématise le processus de la gestion des crises.
Illustration 7 : Processus de la gestion des crises30
ACT
PLAN
• Remaniement du plan de
crise et optimisation
• Préparation
• Organisation structurelle
– cellule de crise
– QG de la cellule de crise
• Organisation fonctionnelle
– plan de crise
– fonctions
• Evaluation
• Gestion
– situation
– mise en œuvre de mesures
– communication
– reprise sur incident et retour à
l’activité normale
– documentation
CHECK
DO
30
Cf. Gesellschaft für Anlagen- und Reaktorsicherheit (Société allemande pour la sûreté des installations et des réacteurs nucléaires),
2007, page 21.
23
Les principales missions de la gestion des crises sont les suivantes :
Le plan de crise contient les points suivants (fixation des compétences comprise)32 :
Instaurer les pré-requis conceptuels, organisationnels et
procéduraux permettant la gestion optimale d’un événement extrême
Etablir des structures spécifiques – y compris la mise sur pied
d’une cellule de crise – pour réagir à la situation de crise.
Les principales caractéristiques de la gestion des crises sont les
suivantes :
But, finalité et domaine d’application du plan de crise
Bases légales
Mise au point d’une organisation structurelle pour la
situation de crise
• cellule de crise
• fixation de tâches, de responsabilités et de compétences
suivie d’une répartition entre les référents qui ont été
désignés33
La gestion des crises est un processus qui englobe l’organisation, la mise en œuvre et l’évaluation du plan qui, avec
les actions qui en découlent, permettra de réagir efficacement en cas de crise.
Les mesures sont généralement prises en faisant appel à
des ressources et à des informations qui ne sont disponibles que de manière restreinte.
Le soutien de services ou de ressources externes peut s’avérer nécessaire.
• compétences et activités concrètes en vue de la maîtrise
de la crise
Mise au point d’une organisation fonctionnelle en vue de
la maîtrise de la crise, du retour à la normale et du suivi
• circuits de signalement et alerte
• modèle d’escalade / désescalade
• joignabilité d’interlocuteurs à l’intérieur et à l’extérieur
de l’établissement
• mesures de reprise sur incident et de retour à l’activité
normale spécifiques à l’événement considéré
• consignes relatives au suivi de la crise
Les décisions sont prises dans l’urgence et en l’absence
d’un niveau complet d’information.
3.4.1 L’organisation de la gestion des crises
La gestion des crises comporte deux composantes élémentaires : une organisation structurelle et fonctionnelle spécifique opérant dans toute période de crise, et des plannings
partiels adaptés à différents scénarios et destinés à garantir
la continuité d’activité. Dans ce contexte, tous les plannings
préliminaires requis et envisageables sont regroupés dans un
plan de crise.
Mise au point de différents volets de plan déclinés par scénario, par exemple
• évacuation
• panne de courant
• pandémie
• panne au niveau de l’informatique ou de la communication.
Le plan de crise doit être régulièrement actualisé et donner
lieu à des exercices de mise en application.
3.4.1.1 Plan de crise
Le plan de crise consigne toutes les structures organisationnelles et toutes les mesures planifiables qui, en cas de crise,
doivent être respectées ou mises en place par les collaborateurs chargés de la gestion des crises et de la continuité
d’activité ou de service. Un bon plan de crise se distingue
par sa concision et sa précision. Des check-lists31 envisageant
REMARQUE IMPORTANTE :
Un plan de crise doit systématiquement être élaboré même
si un grand nombre de mesures préventives ont déjà été
mises en œuvre en amont.
l’éventualité d’une crise facilitent la préparation des mesures
nécessaires et empêchent l’omission de tâches importantes.
32
L’Office fédéral pour la sécurité des systèmes d’information (2008)
31
fournit un exemple de plan de crise ainsi qu’un Mémento des situa-
L’annexe V.2 contient des listes de contrôle permettant de contrôler
tions d’urgence dans le secteur des TI.
un certain nombre de points de détail dans le cadre de la préparation aux crises.
24
33
Jungbluth, 2005, page 15.
Gestion des risques et des crises pour la protection des infrastructures critiques 3.4.1.2 Organisation structurelle
Alors que les situations de crise requièrent une organisation
spécifique, chaque établissement constituant une infrastructure critique se dote d’une organisation structurelle adaptée
à sa nature et à ses besoins. Le « bureau » dédié à ces situations
(la cellule de crise) a pour objectif de maîtriser les crises le plus
rapidement possible et de manière compétente.
En amont de la crise et dans l’éventualité de celle-ci, la cellule
de crise doit faire l’objet d’une réglementation spécifique du
temps de travail (comprenant un système de roulement) tout
en prévoyant un temps de passation des compétences à chaque fois que les équipes se relaient. Les périodes de crise sont
des périodes de stress : il est donc conseillé de ne pas excéder
une durée d’intervention de six à sept heures.
3.4.1.2.1 Cellule de crise
La cellule de crise est l’instrument central de réaction face
aux crises. Elle constitue une organisation structurelle spécifique transcendant l’organisation structurelle normalement
chargée de gérer les situations particulières dans les unités
impliquées, et regroupe des compétences intersectorielles
sous une direction unique. La cellule de crise est un instrument décisionnel investi de fonctions annexes de coordination, d’information, de conseil et d’appui. Sur le plan de
la forme, elle est constituée d’un directeur34 entouré d’une
équipe. Au sein de l’équipe de la cellule de crise, il faut opérer
une distinction entre
Dans le domaine de la prévention de la menace et de la protection civile, le modèle de cellule de crise qui s’est imposé est
exposé en détail dans l’instruction de service 100 à l’attention
des sapeurs-pompiers37. D’inspiration militaire, ce modèle
l’équipe centrale, composée d’un directeur et d’une à trois
personnes qui seront les principaux référents en cas de
crise,
la cellule de crise élargie, composée de personnes affec35
tées à des fonctions spéciales ou de groupes d’appui et
les consultants qui, comme leur nom l’indique, conseillent
la cellule de crise.
Tous les membres affectés à la cellule de crise, ainsi que leurs
suppléants, doivent connaître leur tâche spécifique et y être
préparés. Lors de la désignation des suppléants, il ne faut
pas perdre de vue les scénarios dans lesquels d’importantes
défections de personnel pourraient se répercuter sur les collaborateurs de la cellule de crise (épidémies de grande ampleur
36
ou pandémies, par exemple ). Afin de pouvoir faire face à
ce genre de situation, il convient donc de nommer plusieurs
suppléants.
34
La direction de la cellule de crise peut être assumée par la direction
de l’entreprise ou de l’administration. Une séparation est cependant
décrit l’organisation d’un état-major et s’adresse à toutes les
organisations agissant principalement dans le domaine tactique et opérationnel.
Dans le domaine de la protection civile, un autre type d’étatmajor intervient au niveau administratif parallèlement à la
cellule de crise tactique et opérationnelle. Assumant avant
tout des tâches administratives, il apporte son assistance à la
cellule de crise. En temps de crise, il a cependant aussi faculté
d’agir de son propre chef lorsqu’aucune composante opérationnelle n’entre en jeu.
Dans les entreprises et les administrations n’opérant pas dans
la prévention de la menace ou la protection civile, l’organisation de la cellule de crise dépend des exigences auxquelles
l’établissement doit faire face en cas de crise. Dans certaines
entreprises, une organisation de la cellule de crise analogue
à celle que présentent les états-majors administratifs et les
états-majors de commandement peut s’avérer judicieuse
lorsqu’il est, par exemple, nécessaire de mener des activités
similaires ou qu’il faut coopérer étroitement avec les forces
d’intervention de la protection civile. Dans d’autres entreprises et administrations, cette structure ne sera pas retenue38.
L’important est que la communication entre l’exploitant
de l’infrastructure critique et les autorités en charge de la
prévention de la menace ou les organismes de protection
civile fonctionne. Il est par ailleurs souhaitable que les collaborateurs des différentes cellules de crise communiquent
de manière suivie les uns avec les autres et que cet échange
soit explicitement prévu dans l’organisation de l’état-major
administratif.
recommandée afin d’offrir à l’exécutif une latitude suffisante pour la
prise de décisions importantes et indépendantes.
35
Cf. Trauboth, 2002, page 45.
36
La politique de protection du personnel et, surtout, de l’état-major,
comprendra par exemple des mesures d’hygiène adéquates, des
masques de protection et la mise en place de postes en télétravail.
Pour toute aide et information complémentaire, cf. l’Office fédéral
pour la protection des populations et l’assistance en cas de catastrophes, 2007, le Robert Koch Institut, 2005 et 2007a, ainsi que l’annexe
V.2.
37
« Feuerwehrdienstvorschrift 100 » (instruction de service à l’attention
des sapeurs-pompiers), 1999.
38
Le standard BSI 100-4 décrit une autre possibilité destinée aux établissements œuvrant dans le contexte des TI. Cf. à ce sujet l’Office
fédéral pour la sécurité des systèmes d’information, 2008.
25
Toute cellule de crise doit, indépendamment des missions
imparties à l’établissement, assumer les fonctions d’étatmajor et les tâches suivantes 39 :
règlement de l’ensemble des aspects ayant trait au personnel,
recensement de la situation et actualisation régulière des
informations,
distribution de missions visant à remédier à la crise et
coordination des interventions qui sont requises à cette fin
et sont exécutées par le personnel de l’établissement,
relations avec la presse et les médias,
règlement de l’ensemble des aspects ayant trait à l’information et à la communication,
soutien du personnel employé dans le cadre de la gestion
des crises.
Dans les structures entrepreneuriales, les fonctions suivantes
peuvent également être représentées au sein de la cellule de
crise :
affaires juridiques
finances / budget
marketing
logistique
gestion de la qualité
distribution
sécurité du site
protection de l’environnement
sécurité des installations
toxicologie
pompiers d’usine
services de secours.
Pour chacune de ces fonctions, il est possible de rédiger – en
amont de toute crise – un descriptif de tâches détaillant les
activités générales et récurrentes à exécuter pendant la phase
de maîtrise de la crise.
Pour les entreprises opérant à l’échelle internationale ou les
sociétés et administrations en rapport direct avec l’international, il est judicieux d’instaurer une fonction intitulée « relations internationales ». Il est également envisageable d’offrir
une assistance supplémentaire à la cellule de crise, notamment pour établir des évaluations de la situation.
Lorsqu’une entreprise ou une administration comporte plusieurs succursales, agences ou annexes, il est conseillé de mettre en place un état-major consortial ou général en sus des
cellules de crise in situ pour le cas où la totalité de l’entreprise
ou de l’administration serait touchée par la crise.
39
D’après la Feuerwehr-Dienstvorschrift (instruction de service à
l’attention des sapeurs-pompiers), 1999.
26
3.4.1.2.2 Directeur de la cellule de crise
Lors de la réaction à un événement extrême, le directeur de
la cellule de crise assume le pilotage de l’ensemble des opérations liées à la crise et prend toutes les décisions liées à la
maîtrise de la crise. Il devra donc déjà occuper une position
dirigeante au sein de l’entreprise ou de l’administration
concernée. Le directeur de la cellule de crise ne peut mener
son travail que dans un cadre juridique et financier préalablement défini.
Le pilotage d’une cellule de crise suppose une forte personnalité et des qualités empiriques telles que leadership, haute
endurance dans les situations extrêmes, aptitude marquée
à la prise de décision dans l’urgence, capacité de travail en
équipe et compétence sociale. Le directeur de la cellule de
crise s’illustre par un don de compréhension et une faculté
d’analyse rapides. Il faut néanmoins qu’il ait également la
confiance de la direction de l’entreprise ainsi que celle de
l’équipe de la cellule de crise. Le recours à des généralistes
assistés par des spécialistes est une option avantageuse.
Il est recommandé que le directeur de la cellule de crise s’approprie des connaissances spécifiques en matière de maîtrise
de crise lors de stages de formation initiale et continue.
3.4.1.2.3 Equipe de la cellule de crise
Selon le type de crise, l’équipe centrale déjà existante sera
complétée par des fonctions spéciales adaptées à l’événement. Ces fonctions spéciales sont assumées par des personnes disposant de compétences spécifiques – et les besoins
sont fonction de la nature de la crise. La décision relative à
la composition de l’équipe de la cellule de crise est prise par
le directeur de la cellule. L’équipe centrale a pour tâche de
préparer les décisions à l’attention du directeur de la cellule
et d’ordonner des mesures visant à surmonter la crise ou à
limiter les dommages.
3.4.1.2.4 Consultants au sein de la cellule de crise
Des consultants internes et externes peuvent venir compléter la cellule de crise sans en faire formellement partie. Ils
peuvent notamment être associés aux processus décisionnels
nécessitant des informations pointues. A titre d’exemple, il
pourra s’agir de connaissances en matière de cycles d’activité,
de logiciels utilisés, de mesures de sécurité, de finances, d’environnement, de production, de lutte contre l’incendie et de
secours, ainsi que de protection civile au niveau communal,
régional ou national.
3.4.1.3 Organisation fonctionnelle
L’organisation fonctionnelle régit l’activation de la gestion
des crises ainsi que les tâches imparties à la cellule de crise.
Cela se traduit par l’exercice de fonctions d’état-major spécifiques assumées par des collaborateurs nommés en conséquence.
Gestion des risques et des crises pour la protection des infrastructures critiques Les tâches menées dans le cadre de la maîtrise d’une crise
sont les suivantes :
notification, compte rendu, alerte ;
constatation et évaluation de la situation ainsi que de son
évolution probable (y compris la fourniture d’informations) ;
développement de stratégies concrètes de maîtrise de la
crise suivies de l’ordre de les mettre en œuvre ;
surveillance et contrôle de la mise en œuvre ;
documentation de la démarche ;
communication de la démarche, tant en interne qu’en
externe ;
activation de mesures visant à permettre la reprise des
processus ;
rétablissement de la continuité d’activité et de service.
3.4.1.3.1 Circuits de signalement et alerte
La rapidité et l’exhaustivité du flux d’informations sont indissociables du succès de la gestion des crises. Ses éléments centraux
sont les comptes rendus transmis verbalement ou par écrit.
Lorsqu’ils sont de qualité, le processus de maîtrise de la crise
40
s’en trouve facilité. Tel est le cas lorsque les comptes rendus
cellule de crise, la cellule de crise élargie, les centres de coordination et la direction de l’établissement. Les entités externes telles que fournisseurs et clients, organisations et diverses
institutions d’aide, établissements publics (écoles et crèches,
par exemple), administrations et service publics de santé (y
compris, notamment, médecins et hôpitaux) sont informées
de l’événement s’il y a lieu.
La procédure est sous-tendue par des listes d’alerte contenant
les coordonnées du personnel appelé à intervenir dans la
gestion des crises et les coordonnées des services extérieurs
concernés. Les listes d’alerte et de notification doivent être
établies au préalable par l’entreprise ou l’administration
concernée et actualisées régulièrement.
Le passage de l’activité normale à la gestion des crises et à
l’alerte du personnel peut s’effectuer de manière abrupte ou
par escalade. De ce fait, les deux modèles suivants sont envisageables :
Modèle de seuil
Dans ce cas, il n’existe qu’un seul niveau d’alarme entre
l’activité normale (gestion de dysfonctionnement comprise) et la gestion des crises. Si ce seuil est dépassé, on passe
automatiquement à la situation dans laquelle le plan de
crise est activé, avec une cellule de crise assumant la direction de la crise. L’ensemble du personnel et des services
œuvrant dans la gestion des crises sont alertés.
sont livrés immédiatement,
précisent l’instant et le lieu du constat,
sont clairs, concrets et sans équivoque,
sont concis tout en étant complets,
discernent clairement les faits des suppositions,
sont classés par urgence.
Modèle d’escalade
Dans ce cas, le plan de crise comporte une subdivision
en plusieurs niveaux d’alerte, à partir desquels la mobilisation du personnel et le recours à tels ou tels moyens et
mesures sont fixés en fonction de l’événement. Ce modèle
permet de réagir avec précision à différents types d’événements et de répercussions, mais implique une planifica41
tion plus complexe de la crise .
La transmission de comptes rendus internes relatifs à des
événements ou à des dommages donnés impose donc de fixer
non seulement un circuit de signalement standardisé mais
aussi une procédure standardisée garantissant la saisie et
l’acheminement de toutes les informations nécessaires.
Lorsque survient un événement qu’il est impossible de maîtriser grâce à la seule gestion interne des dysfonctionnements et
lorsque cet événement est susceptible d’engendrer une crise,
il est nécessaire d’informer le plus rapidement possible le
directeur de la cellule de crise. Les constats relatifs aux dégâts
occasionnés dans l’environnement de l’établissement peuvent
être communiqués par le personnel, les clients, les habitants
ou encore des entreprises et administrations externes. En fonction de l’ampleur de l’événement, un décideur – généralement
le supérieur hiérarchique – doit être informé. Si l’événement ne
peut être maîtrisé dans le cadre de ses attributions, il le signale
au directeur de la cellule de crise ou à la direction de l’établissement. Le directeur de la cellule de crise décide de l’activation
de l’organisation structurelle et fonctionnelle spécifique.
Le directeur de la cellule de crise évalue la menace et assure
l’alerte des personnes appelées à intervenir dans la gestion
des crises et / ou des entités telles que l’équipe centrale de la
Une fois qu’un événement a été rapporté au directeur de
la cellule de crise et que l’ensemble des services internes et
externes concernés ont été alertés, la cellule lance des ordres
visant à répartir les tâches au sein de l’établissement. Le personnel appelé à intervenir dans la gestion des crises notifie
l’état des choses par le biais de comptes rendus à la cellule de
crise. Quant aux services externes, ils informent directement,
en règle générale, la cellule de crise.
L’illustration 8 (page 28) récapitule les circuits de signalement
au sein d’un établissement et les modalités d’alerte des personnes concernées.
40
Feuerwehr-Dienstvorschrift (instruction de service à l’attention des
sapeurs-pompiers), 1999, page 29.
41
Jungbluth, 2005, page 17.
27
Kernteam
Illustration 8 : Circuits de signalement et alerte
Signalement d’un événement
par le personnel
Signalement d’un événement
par des établissements externes
Signalement d’un événement
par les clients, les habitants
Service récepteur (centre de coordination, accueil, service d’astreinte, …)
Transmission du signalement
à un décideur
Evénement en-deçà du
seuil de crise ?
oui
Transmission au service spécialisé
compétent ; contrôle des mesures
non
Information du directeur
de cellule de crise
non
Evénement maîtrisable au
sein du service spécialisé ?
oui
Répartition entre les
services spécialisés
oui
Contrôle : événement en-deçà
du seuil de crise ?
Traitement au sein du service spécialisé
non
Convocation de la cellule de crise
Alerte et notifications externes
indispensables dans le cadre de
la gestion des crises
Service spécialisé A
28
Service spécialisé N
Information de la direction
Alerte et notifications externes
indispensables dans le cadre de
la gestion des crises
Administrations
(protection civile,
autorités en charge de
l’environnement, police, etc.)
Médias
Gestion des risques et des crises pour la protection des infrastructures critiques 3.4.1.3.2 Communication de crise
Cette notion recouvre la communication de la crise auprès
du public et là notamment auprès des médias. Cette tâche
est assumée par le service des relations avec la presse dans le
cadre des relations publiques.
Durant la phase initiale, et capitale, de développement d’une
crise, il est primordial d’associer et d’informer en temps quasi
réel les autres organisations, les médias et la population, ainsi
que de tenir sa propre organisation au courant. En cas de crise,
le travail d’information doit démarrer exactement en même
temps que la phase de maîtrise de la crise. Les communiqués
de presse doivent pouvoir être émis en un temps très bref.
Cependant, la non-divulgation d’informations constitue elle
aussi une forme de communication de crise : il est donc essentiel d’identifier les informations devant rester confidentielles.
Les crises affectant la population nécessitent la préparation
de permanences téléphoniques et de pages Internet conviviales. Des agents spécifiquement formés, équipes de renfort
comprises, doivent pouvoir être convoqués immédiatement
en cas de crise afin de pouvoir maîtriser des exigences accrues
en matière de communication auprès de la population.
Durant cette phase, il est également impératif d’intensifier la
communication interne.
Lors de crises concernant le grand public, il est important que
les décideurs responsables (chefs d’entreprise, responsables
d’administrations, attachés de presse ou responsables de
l’information au sein de l’établissement) interviennent tôt /
en temps opportun et de manière adéquate dans les médias.
Formulées avec pondération, les déclarations doivent transmettre des informations véridiques et sans équivoque dans
un langage intelligible.
Les règles de base de la communication externe sont les suivantes :
toute crise est également une crise d’information ;
la gestion des crises implique une gestion de l’information ;
les premières heures d’une crise sont d’une importance
décisive : les informations transmises durant cette phase
laissent une impression qui a de grandes chances de s’ancrer durablement ;
c’est en fonction de la qualité de la communication de
crise que le public sera convaincu – ou non – que les responsables sont à la hauteur de la crise ;
l’information doit satisfaire les besoins du public ;
Les premiers comptes rendus relatifs à un événement ou
à une crise sont souvent faits par les médias. Il est donc
conseillé de désigner, en amont de toute crise, au moins un
porte-parole par lequel passera toute la communication avec
les médias. Ainsi, l’établissement sera en contact avec les
journalistes dès le stade le plus précoce du déroulement des
événements. La perception de la crise et l’image de sa gestion dépendent dans une très forte mesure de la couverture
médiatique. Une communication fructueuse et performante
avec les médias suppose notamment,
un réseau avec les médias locaux, régionaux et nationaux,
des recommandations pour gérer les premiers contacts
avec les médias en cas de crise,
la préparation de dossiers de fonds et de modèles pour les
communiqués de presse, les notes de discussion, etc.,
de l’expérience en matière de conférences de presse et une
formation spéciale aux médias,
le cas échéant, une assistance externe par des spécialistes
de la communication de crise.
les responsables de l’information doivent instruire la
cellule de crise des besoins en information de l’opinion
publique et des médias, ainsi que des effets engendrés par
la communication.
REMARQUE IMPORTANTE :
Il faut veiller à ce que seul le personnel autorisé délivre des
informations à l’extérieur.
Lors d’événements longs et graves, il est conseillé qu’un
représentant de la direction de l’entreprise ou de l’administration assume la communication vers l’extérieur. Pour ce
faire, il reçoit des informations continuellement mises à jour
et des conseils approfondis de la part de la cellule de crise.
Dans ce cas, le directeur de la cellule de crise assume la
coordination de la maîtrise interne de la crise et continue de
prendre l’ensemble des décisions.
L’illustration qui suit récapitule schématiquement la
manière dont s’articule l’organisation structurelle et fonctionnelle.
29
Illustration 9 : Organisation structurelle et fonctionnelle
En interne
A l'extérieur
Cellule de crise
Directeur de la cellule de crise
Equipe centrale
Cellule de crise élargie
Consultants
RH
Situation
Comptes rendus
instructions
Ordres /
intervention
Soutien du
personnel
Relations
presse / médias
Tâches
spécifiques
à l'organisme
informations,
signalements
Services externes
(par exemple administrations
en charge de la prévention
de la menace, protection
civile), clients, presse
Comptes rendus
Département Département Département Département
A
B
C
D
…
3.4.1.4 Quartier général de la cellule de crise
Le quartier général (QG) de la cellule de crise désigne l’espace
spécialement mis à disposition de cette dernière avant, pendant et après la crise. On l’appelle également centre de situation, centre des opérations d’urgence ou PC de crise.
Le QG de la cellule de crise sert de lieu de rassemblement aux
membres de la cellule de crise. Lors de la planification et de
l’aménagement de cet espace, il convient de tenir compte du
site, du site de repli et de l’équipement.
L’emplacement du QG doit être fixé à l’avance. Simple d’accès,
il doit également offrir une protection contre les incidences
d’un aléa. Pour pouvoir faire face à l’éventualité d’une panne
fonctionnelle sur ce premier emplacement, un emplacement
de remplacement doit être désigné ; seuls la direction de l’entreprise / administration, la cellule de crise et son directeur en
connaîtront l’existence et sauront à quel endroit il se trouve.
Le QG de la cellule de crise doit être équipé d’une infrastructure redondante de communication et d’information et doit
disposer des moyens techniques efficaces pour se procurer
42
L’annexe V.6 fournit une liste détaillée des locaux et de l’équipement
technique du QG de la cellule de crise ; elle apporte également des
précisions supplémentaires sur les équipements nécessaires.
30
Informatique et
communication
Département
N
informations,
demandes
l’information, la traiter et la présenter. Il doit également être
doté d’une alimentation électrique de secours pour tous les
appareils techniques et l’éclairage42.
Sur le plan de la sécurité, certains aspects doivent éventuellement être observés : le QG de la cellule de crise pourra par
exemple vouloir éviter d’être observé ou mis sur écoutes. Par
ailleurs, la fonctionnalité de la salle et de son équipement
devra être contrôlée à intervalles réguliers.
Le personnel, l’espace et les équipements techniques impartis à la cellule de crise et à la salle qui lui aura été attribuée
dépendent, tant dans leur nature que dans leur ampleur, des
risques existants, de la définition et de l’étendue des tâches
et processus, de la taille et de la diversité sectorielle de l’établissement, de particularités locales et du statut de l’établissement : s’agit-il du siège principal, de succursales ou d’établissements secondaires ?
3.4.2 Maîtrise de la crise
Une fois que la cellule de crise a été activée, les activités visant
à surmonter la crise peuvent commencer. Dès lors, le QG de la
cellule de crise sert de lieu de rassemblement et les activités
sont exécutées conformément au plan de crise. La transmis-
Gestion des risques et des crises pour la protection des infrastructures critiques Illustration 10 : C
ycle de maîtrise d’événements
extrêmes43
Constatation
de la situation
Contrôle
Durant la phase de maîtrise de la crise, le recueil d’informations est facilité lorsque des plans et de cartes ont été préparés
en amont de la crise. Parmi les documents servant au recueil
d’informations figurent
les plans d’ensemble et les cartes (terrains, bâtiments),
les plans de bâtiments (extincteurs, sorties, issues et sorties
de secours, abris, salle du QG de la cellule de crise),
les plans des installations et des réseaux (interrupteur
principal pour l’alimentation en courant, robinets principaux d’eau et de gaz, tuyauteries).
Evaluation de la situation
Adoption et mise en
œuvre de mesures
Les plans et les cartes doivent être actualisés régulièrement.
sion de l’information et les moyens de communication sont
une condition sine qua non à la maîtrise de la crise. Ils doivent
fonctionner (ou se remettre à fonctionner). Toutes les actions
et décisions intervenant dans le cadre de la maîtrise de la
crise sont documentées dès le début des travaux de la cellule
de crise.
La maîtrise d’un événement extrême s’accomplit selon un
cycle comportant quatre stades : la constatation de la situation, l’évaluation de la situation, l’adoption/mise en œuvre de
mesures et le contrôle. Ce cycle est repris au terme de chaque
sous-événement et de chaque mesure modifiant substantiellement la situation, jusqu’au retour à la situation normale.
3.4.2.1 Tableau de la situation
Recueil de l’information
La cellule de crise recueille des informations sur l’événement
afin de dresser un tableau de la situation. Condition sine qua
non d’une appréciation pertinente de la crise et du choix des
activités qui permettront de minimiser les dégâts, ce tableau
renseigne sur
la nature, l’ampleur et le déroulement des événements,
les répercussions et l’évolution potentielle de la situation,
les possibilités de réaction,
44
les mesures prises jusqu’alors .
Outils de recueil et de traitement de l’information
Le recueil de l’information s’appuie sur les comptes rendus
fournis par le personnel de l’établissement, les habitants, divers
acteurs publics et privés externes à l’établissement (comme les
clients, la police et la protection civile) ainsi que les médias.
Les équipements nécessaires au recueil de l’information coïncident en partie avec les caractéristiques d’équipement du QG de
45
la cellule de crise – comme les téléphones, l’accès à Internet,
la radio et les téléviseurs. Ces ressources sont complétées par le
matériel cartographique susmentionné ainsi que par un certain
nombre d’ouvrages de référence.
Un traitement graphique de l’information permettra de faciliter une appréhension intuitive des événements chez tous les
protagonistes. Si l’établissement utilise un système d’information géographique46, les informations spatiales clés pourront
être sauvegardées – en amont – et affichées par voie électronique en temps voulu.
Présentation d’un tableau de la situation
La cellule de crise élabore un tableau actuel de la situation.
Ce tableau comprend les éléments suivants : le lieu, l’heure,
éventuellement la météo, la nature du sinistre et la situation de la menace, les mesures engagées et toutes les autres
possibilités de réaction. Constituant une synthèse de tous
les comptes rendus émis et de toutes les informations reçues
jusqu’à ce moment, il fournit une description condensée des
faits les plus récents.
L’ensemble des comptes rendus qui ont été émis et des reconnaissances qui ont été personnellement menées est recensé.
Il est également nécessaire de disposer d’informations sur la
situation de la menace et l’ampleur des dégâts, ainsi que sur
les ressources humaines et les capacités techniques disponibles.
45
Voir annexe V.6.
46
Les systèmes d’information géographique sont des logiciels relayés
par des bases de donnés à l’aide desquelles on peut saisir et analyser
43
des données spatiales.
D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’attention des sapeurs-pompiers), 1999, page 25.
44
Jungbluth, 2005, page 38.
47
Feuerwehr-Dienstvorschrift (instruction de service à l’attention des
sapeurs-pompiers), 1999, page 26.
31
Parmi les documents essentiels à une présentation de la situation figurent :
les cartes de situation,
les plans de bâtiments,
les comptes rendus relatifs à l’événement
48
les enregistrements audio et audiovisuels .
Le schéma ci-après récapitule les principaux points permettant de dépeindre l’état de la situation.
Illustration 11 : Aperçu des éléments constitutifs
d’un tableau de la situation49
Sinistre
• type de dommage
• cause du dommage
Maîtrise de la crise
• direction de la cellule de crise
• cellule de crise
Bâtiment sinistré
• nature
• taille
• matériau
• construction
• alentours
Personnel investi de
fonctions en cas de crise
• effectifs
• disponibilité
• formation complémentaire
(par ex. premiers secours)
• aptitudes
Ampleur du sinistre
• personnes
• fonctionnalité
• faune, environnement
• biens matériels
• processus de production
• état de la fonctionnalité de
l’entreprise ou de
l’administration
• dommages indirects
Moyens
• TI
• véhicules
• appareils
3.4.2.2 Evaluation de la situation, adoption et mise en
œuvre de mesures
Le tableau de la situation donne lieu à une évaluation systématique débouchant sur une décision quant aux mesures à
prendre. Une fois dressé l’état de la situation, le directeur de
la cellule de crise tranche sur la suite de la démarche.
50
Parmi les moyens d’évaluation de la situation figurent :
le tableau de la situation lui-même,
les bases légales,
les directives,
les fiches d’information.
3.4.2.3 Contrôle
Le contrôle vise à vérifier si le personnel (des succursales ou
des forces d’intervention, par exemple) a bien reçu les instructions de la cellule de crise, s’il les a comprises et correctement mises en œuvre. Le contrôle a également pour objectif
de surveiller les répercussions des décisions qui ont été prises.
Après avoir été mise en œuvre, chaque mesure engendre un
nouveau tableau de la situation – qui doit à son tour être dressé, puis présenté. Chaque nouveau tableau sert de base au
contrôle des répercussions des mesures prises à ce moment
précis et à la planification de la démarche ultérieure.
3.4.2.4 Garantie de la continuité d’activité et de service
L’un des éléments essentiels de la maîtrise des crises au sein
des établissements constituant des infrastructures critiques
est l’activation de mesures d’urgence, de systèmes redondants et de systèmes de remplacement préalablement définis,
dans le cadre de la gestion des risques, afin de garantir la
continuité d’activité et de service52.
3.4.2.5 Retour à l’activité normale
Tout comme dans le cas de l’activation de la gestion de crise,
c’est au directeur de la cellule de crise qu’il revient de lever
la gestion active de la crise et d’annoncer le retour à l’activité
normale. Un modèle de seuil et un modèle de désescalade
sont, là aussi, envisageables53. Dans le cas du modèle de seuil,
la transition vers l’activité normale s’opère immédiatement.
Dans le cas du modèle de désescalade, la transition s’effectue
graduellement. Il est fort probable que ce second modèle soit
mis à contribution dans la plupart des situations de crise, et
plus particulièrement celles possédant des répercussions sur
différents secteurs de l’établissement.
3.4.2.6 Documentation de la maîtrise de la crise
Tous les comptes rendus entrants et sortants (par téléphone,
fax et e-mail par exemple) de même que l’ensemble des décisions, mesures et activités doivent être consignés par écrit.
Pour ce faire, il est possible de recourir à des formulaires standardisés mentionnant chacun la date et le nom de l’auteur.
Parmi les autres outils de documentation figurent :
48
Adapté d’après la Feuerwehr-Dienstvorschrift (instruction de service
à l’attention des sapeurs-pompiers), 1999, page 41.
La situation fait l’objet de mises au point régulières – présentées dans le cadre de briefings si cela s’avère nécessaire. Quel
que soit le type de crise auquel il a affaire, le directeur de la
cellule de crise doit prendre des décisions claires sur les mesu51
res à mettre en œuvre .
49
D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’attention des sapeurs-pompiers), 1999, page 27.
50
D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’attention des sapeurs-pompiers), 1999, page 45.
51
L’annexe V.3. contient, pour tout un éventail de situations de crise,
des check-lists en vue de la mise en œuvre de premières mesures.
52
Cf. chapitre 3.3.1.
53
Cf. chapitre 3.4.1.3.1.
32
Gestion des risques et des crises pour la protection des infrastructures critiques les formulaires pré-imprimés,
les bordereaux d’envoi et les accusés de réception,
les journaux et carnets de bord,
les comptes rendus relatifs aux signalements,
les médias électroniques.
La documentation établie pendant une crise sert à évaluer et à
clarifier les problèmes d’assurance de même que les problèmes
financiers et juridiques. Elle doit donc être défendable devant
les tribunaux.
3.4.3 Suivi post-crise
Après le retour à l’activité normale, la documentation permet
de procéder à un suivi post-crise. Ce suivi peut prendre la forme d’un rapport élaboré en toute confidentialité et en temps
quasi réel par le directeur de la cellule de crise, qui le transmet à la direction de l’établissement en vue d’une évaluation
des éventuelles conséquences juridiques pour l’établissement
et le personnel employé. Un autre objectif majeur du suivi
post-crise est le contrôle de la fonctionnalité et de la transposabilité pratique du plan de crise, dans le but de mettre en
évidence les lacunes de la gestion de crises et de les combler
54
grâce à une planification complémentaire .
3.4.4 Exercices
Les événements extrêmes sont généralement très rares. Les
structures et le déroulement de crises doivent donc donner
lieu à des exercices à intervalles réguliers afin de pouvoir
fonctionner impeccablement en cas d’événement. Les objec55
tifs de tels exercices sont de
vérifier la fonctionnalité et la transposabilité pratique du
plan de crise,
s’entraîner à la coordination et à la communication de
crise et
tester des déroulements de crises.
Pour ce faire, il existe différents types et diverses méthodes
d’exercices, qui se distinguent tant par leur degré d’abstraction que par leur coût. Dans ce contexte, nous citerons
54
Proposant une liste de premières démarches concrètes à suivre dans
les exercices d’état-major (portant sur la maîtrise théorique d’un scénario de sinistre ; participants : membres de
la cellule de crise),
les exercices « table top » (portant sur la maîtrise théorique d’un scénario de sinistre ; participants : membres de
la cellule de crise et d’autres secteurs),
les exercices de grande envergure (déroulement réel
d’un exercice ; participants : tous les niveaux et postes de
direction),
les exercices ciblant des sous-fonctions (par exemple
exercices d’évacuation, entraînement à la communication),
les exercices d’alerte (pour déterminer la joignabilité et
les délais d’intervention).
Les critères de sélection de telle ou telle méthode d’exercice
sont
l’objectif imparti,
les intervalles de répétition souhaités et
le degré d’intensité voulu.
Associant toute la hiérarchie et tous les collaborateurs, les
exercices de grande envergure sont particulièrement proches
de la réalité. Leur préparation et leur réalisation sont cependant très coûteuses – en temps, en efforts et en argent.
A l’inverse, les exercices d’état-major et les exercices « table
top » portent sur la maîtrise théorique des scénarios de sinistres. Les exercices d’état-major traitent des principaux aspects
de la structure de gestion des crises – tels que la cellule de
crise et la fonctionnalité du plan de crise. Les exercices « table
top » associent des secteurs supplémentaires, y compris
d’autres circuits de décision et de signalement.
Dans le cas des exercices d’état-major et « table top », tous les
événements partiels sont passés en revue à l’aide d’un scénario permettant à l’équipe d’encadrement de surveiller et
de piloter l’exercice. Ce scénario est en général inconnu des
acteurs se livrant à l’exercice. Il anticipe de possibles réactions
de leur part. Des réactions imprévues peuvent être intégrées
au dernier moment dans l’exercice par l’équipe d’encadrement.
L’inconvénient des exercices d’état-major et « table top »
réside dans le caractère théorique de la maîtrise du scénario.
Toutefois, ce type d’exercice permet aux intervenants clés
de la gestion des crises de s’exercer, sans avoir à déployer
les moyens nécessités par un exercice de grande envergure
impliquant la participation de tous les acteurs.
le cadre d’un suivi post-crise, l’annexe V.4 analyse plusieurs options
d’amélioration afin de se préparer à toute nouvelle crise. Pour de
plus amples informations, il est par exemple conseillé de consulter
l’Office fédéral pour la sécurité des systèmes d’information, 2006.
55
Gustin, 2004, page 226.
Les exercices ciblant des sous-fonctions permettent de poursuivre des objectifs bien précis, tout en déployant des efforts
de planification moindres par rapport aux exercices de
grande envergure.
33
Les exercices d’alerte servent à tester les plans d’alerte et le
modèle de seuil ou d’escalade.
3.5 Phase 5 : Evaluation de la gestion des
risques et des crises
Les préparatifs impliquent de trancher sur un certain nombre
de principes d’élaboration56 applicables à tout type d’exercice :
L’évaluation porte sur l’ensemble des phases, c’est-à-dire tant
sur le contrôle des points arrêtés lors du planning préliminaire, que sur le contrôle des risques existants et de l’efficacité des mesures préventives mises en œuvre – sans oublier le
contrôle de la gestion des risques. Elle doit intervenir régulièrement, de préférence chaque année.
Quel type d’exercice choisit-on ?
Quels objectifs l’exercice poursuit-il ?
Qui doit participer à l’exercice ?
Qui doit assumer le pilotage de l’exercice ?
Quand et où l’exercice doit-il avoir lieu ?
Quels outils techniques sont nécessaires à la réalisation de
l’exercice ?
Quels aspects le scénario de l’exercice doit-il contenir ?
Comment l’exercice est-il évalué et documenté ?
A l’issue de l’exercice, la documentation permet de contrôler les réactions des participants et plus particulièrement
le déroulement impeccable du plan de crise. Cela permet
d’identifier les faiblesses existantes et d’actualiser le plan de
57
crise .
56
Gustin, 2004, page 262.
57
L’annexe V.5 contient une liste de contrôle pour les exercices de crise.
34
Des évaluations supplémentaires sont nécessaires
après la mise en place de mesures,
suite à un élargissement / un changement dans l’établissement
lors d’une modification des dangers et des risques existants.
La gestion des risques et des crises doit s’inscrire dans la réalité vécue. Elle ne pourra se muer en plus-value durable pour
l’établissement que si toutes les phases sont régulièrement
passées au crible, fournissant ainsi la base d’une optimisation
constante du niveau de sécurité au sein de l’entreprise ou de
l’administration.
Annexe
35
I. Bibliographie
American Water Works Association (2001) (édit.) : Emergency Planning for Water Utilities, Manual of Water Supply
Practices M19. Denver.
Australian / New Zealand Standard (2004) (édit.) : Risk
Management AS / NZS 4360:2004. Standards Australia / Standards New Zealand. Sydney / Wellington.
Federal Emergency Management Agency (2003) (édit.) :
Risk Management Series Reference Manual to Mitigate Potential Terrorist Attacks Against Buildings – FEMA 426. http://
www.fema.gov/plan/prevent/rms/rmsp426 (15 octobre 2007).
Bockslaff, K. (1999) : Die eventuelle Verpflichtung zur Errichtung eines sicherungstechnischen Risikomanagements.
Dans : NVersZ. n° 3, pages 104–110.
Feuerwehr-Dienstvorschrift 100 (1999) : Führung und
Leitung im Einsatz – Führungssystem. http://www.idf.nrw.de/
download/normen/fwdv100.pdf (15 octobre 2007).
Bockslaff, K. (2004) : Sicherheit – ein Beitrag zur Wert­
schöpfung im Unternehmen. Dans : WIK – Zeitschrift für die
Sicherheit der Wirtschaft. n° 5, pages 27–32.
Gesellschaft für Anlagen- und Reaktorsicherheit (2007)
(édit.) : Managementsysteme in Kernkraftwerken, GRS – 229.
Cologne.
British Standard (2006) (édit.) : DPC BS 25999-1 Code of practice for business continuity management. London (projet).
Gray, P. C. R. et al. (2000) : Risk communication in print and
on the web. A critical guide to manuals and internet resources on risk communication and issues management. http://
www.fz-juelich.de/inb/inb-mut/rc/inhalt.html (4 octobre
2007).
Centre de recherche sur l’environnement alpin (2000)
(édit.) : Leitfaden für erdbebensicheres Bauen. Sion.
Department of Health and Human Services and the Centers for Disease Control and Prevention (2007) : Business
Pandemic Influenza Planning Checklist. http://www.pandemicflu.gov/plan/workplaceplanning/businesschecklist.html
(15 octobre 2007). [Traduction du Verband deutscher Betriebsund Werksärzte, Berufsverband deutscher Arbeitsmediziner
VDBW e. V. : http://www.vdbw.de/de/grippe_pandemie/
Checkliste_fuer_Firmen_im_Rahmen_der_Influenza.pdf
(15. octobre 2007)].
Department of Homeland Security (2006) : Pandemic
Influenza Preparedness, Response, and Recovery Guide for
Critical Infrastructures. http://www.pandemicflu.gov/plan/
pdf/cikrpandemicinfluenzaguide.pdf (15 octobre 2007).
Dost, S. (2006) : Risk Management – Features of corporate
risks and the likelihood of identification. Innovation and
Technical Progress: Benefit without Risk? Dans : Book of
Abstracts of the 15th Annual Conference of the Society for
Risk Analysis (Ljublijana, 11–13 septembre, 2006), page 21.
36
Egli, T. (1999) : Richtlinie Objektschutz gegen Naturgefahren.
Saint-Gall.
Gustin J. F (2004) : Disaster & Recovery Planning : A Guide for
Facility Managers. Lilburn.
Institut Robert Koch (2005) : Beispiel von Maßnahmenplanungen im Influenza-Pandemiefall. http://www.rki.de/
cln_049/nn_200120/DE/Content/InfAZ/I/Influenza/Pandemieplanung__Konzern-28102005,templateId=raw,property=pu
blicationFile.pdf/Pandemieplanung_Konzern-28102005.pdf
(22 octobre 2007).
Institut Robert Koch (2007a) : Nationaler Pandemieplan,
Teil II. http://www.rki.de/cln_048/nn_200132/DE/Content/
InfAZ/I/Influenza/influenzapandemieplan__II,templateId=r
aw,property=publicationFile.pdf/influenzapandemieplan_
II.pdf (6 octobre 2007).
Institut Robert Koch (2007b) : Anhang zum Influenzapandemieplan. http://www.rki.de/cln_048/nn_200132/DE/Content/
InfAZ/I/Influenza/Influenzapandemieplan__Anhang,templa
teId=raw,property=publicationFile.pdf/Influenzapandemieplan_Anhang.pdf (6 octobre 2007).
Bibliographie
International Risk Governance Council (2006) (édit.) :
White paper on managing and reducing social vulnerabilities
from coupled critical infrastructures. http://www.irgc.org/
irgc/IMG/pdf/IRGC%20WP%20No%203%20Critical%20Infrastructures.pdf (15 octobre 2007).
Jungbluth, F. (2005) (édit. Euroforum Verlag) : Recht &
Haftung für technische Manager, Grundlagen, Aufbau und
Methoden eines effektiven Notfallmanagements. Düsseldorf.
Jungermann, H. et al. (1991) : Risikokontroversen – Konzepte, Konflikte, Kommunikation. Berlin.
Lewis, T.G. (2006) : Critical Infrastructure Protection in
Homeland Security – Defending a Networked Nation. Hoboken.
Ministère fédéral de l’Intérieur (2005) : Schutz Kritischer
Infrastrukturen – Basisschutzkonzept, Empfehlungen für
Unternehmen. http://www.bbk.bund.de/cln_007/nn_398726/
DE/05__Publikationen/05__Fachpublikationen/03__Leitfaeden/Leitfaeden__node.html__nnn=true (15 octobre 2007).
National Fire Protection Association – NFPA 1600 (2004)
(édit.) : Standard on Disaster/Emergency Management and
Business Continuity. Quincy.
Office fédéral de l’Environnement de la République
fédérale d’Allemagne (2001a) : Checklisten für die Untersuchung und Beurteilung des Zustandes von Anlagen mit
wassergefährdenden Stoffen und Zubereitungen ; Nr. 10
Betriebliche Alarm- und Gefahrenabwehrplanung. http://
www.umweltbundesamt.de/anlagen/jeg/downloads/deutsch/
check10_bagap_rev00.pdf (15 octobre 2007).
Office fédéral de l’Environnement de la République fédérale d’Allemagne (2001b) : Checklisten für die Untersuchung
und Beurteilung des Zustandes von Anlagen mit wassergefährdenden Stoffen und Zubereitungen ; Nr. 11 Hochwassergefährdete Anlagen. http://www.umweltbundesamt.de/
anlagen/jeg/downloads/deutsch/check11_hochwasser_rev00.
pdf (15 octobre 2007).
Office fédéral pour la protection des populations et l’assistance en cas de catastrophes (2005) : Leitfaden für die
Errichtung und den Betrieb einer Notstromversorgung in
Behörden und anderen wichtigen öffentlichen Einrichtungen. http://www.bbk.bund.de/cln_007/nn_398726/DE/05__
Publikationen/05__Fachpublikationen/03__Leitfaeden/Leitfaeden__node.html__nnn=true (15 octobre 2007).
Office fédéral pour la protection des populations et l’assistance en cas de catastrophes (2007) : Betriebliche Pandemieplanung – Kurzinformation der Bund-Länder-Arbeitsgruppe « Influenzapandemieplanung in Unternehmen ».
http://www.bbk.bund.de/cln_027/nn_402322/SharedDocs/
Publikationen/Publikation_20KatMed/Betr-Pandemiepla,tem
plateId=raw,property=publicationFile.pdf/Betr-Pandemiepla.
pdf (15 octobre 2007).
Office fédéral pour la sécurité des systèmes d’information
(2005) : BSI-Standard 100-3 « Risikoanalyse auf der Basis von
IT-Grundschutz ». http://www.bsi.bund.de/literat/bsi_standard/standard_1003.pdf (4 octobre 2007).
Office fédéral pour la sécurité des systèmes d’information
(2006) : COMCHECK und ALEX. Beschreibungen, Checkliste
und Hilfen für Kommunikationsüberprüfungen und Alarmierungsübungen. http://www.bsi.bund.de/fachthem/kritis/
comcheck.pdf (16 octobre 2007).
Office fédéral pour la sécurité des systèmes d’information
(2007) : G 1 Gefährdungskatalog Höhere Gewalt. http://www.
bsi.bund.de/gshb/deutsch/g/g01.htm (10 octobre 2007).
Office fédéral pour la sécurité des systèmes d’information
(2008) : BSI-Standard 100-4 « Notfallmanagement ». (Publication sur le web prévue pour janvier 2008).
Rahmstorf S. et al. (2006) : Der Klimawandel. Munich.
Rosenthal, U. (1992) : Crisis management : On the thin line
between success and failure. In : Asian Review of Public Administration. Vol. IV n° 2, pages 73–78.
Rössing, R. von (2005) : Betriebliches Kontinuitätsmanagement. Bonn.
The Business Continuity Institute (2005) : Business Continuity Management, Good Practice Richtlinien. http://www.
thebci.org/BCIGPG2005_de.pdf (15 octobre 2007).
Trauboth, J. H. (2002) : Krisenmanagement bei Unternehmensbedrohungen. Präventions- und Bewältigungsstrategien. Stuttgart ; Munich ; Hanovre ; Berlin ; Weimar ; Dresde.
VdS-Richtlinien (2007) : Gesamtprogramm. http://www.vds.
de/Gesamtverzeichnis.487.0.html (9 novembre 2007).
Verwaltungs- Berufsgenossenschaft VBG (2007) (édit) :
Zwischenfall, Notfall, Katastrophe – Leitfaden für die Sicherheits- und Notfallorganisation. Hambourg.
Wiedemann, P. M. et al. (2000) : Risikokommunikation für
Unternehmen. Düsseldorf.
37
II. Abréviations
AktGLoi (allemande) relative aux sociétés anonymes
BKA
Office fédéral de police criminelle
BSIOffice fédéral pour la sécurité des systèmes d’information
DER
Dépendances d’éléments de risque
DIN
Institut allemand de normalisation
HGB
Code (allemand) du commerce
IT Informatique
KGaA
Société en commandite par actions
KonTraGLoi (allemande) sur le contrôle et la transparence dans les entreprises
NBC
Nucléaire, biologique, chimique
PS
Probabilité de survenance
TC
Technique de communication
THW
Agence fédérale de Secours technique
TUISDispositif d’information et d’aide en cas
d’accidents de transport
V1 (jusqu’à 5)
Critère de vulnérabilité 1 (jusqu’à 5)
VVG
Loi (allemande) sur le contrat d’assurance
38
III. Définitions
Remarque importante :
Au fur et à mesure qu’a été rédigé ce manuel, il s’est avéré qu’il n’existait actuellement pas de définition généralement reconnue
pour les domaines touchant à la gestion des risques et des crises. Les définitions ci-dessous donnent donc la signification des termes
tels qu’ils sont employés dans le présent manuel. Utilisés dans d’autres publications, ces termes peuvent avoir un sens quelque peu
différent de celui du manuel.
Terme
Définition
58
AléaCause potentielle d’un préjudice. AlerteInformation du personnel, des forces d’intervention et de la population d’un
danger immédiat.
Analyse du risqueMéthode systématique permettant de déterminer la valeur à attribuer au risque.59 Aux termes du présent manuel, cela inclut : une analyse des aléas et de
l’exposition ; une analyse de la vulnérabilité de tous les sous-processus et éléments de risque pertinents ; une comparaison de risques partiels concernant des
éléments de risque donnés, et une comparaison de risques totaux de sous-processus liés à un scénario donné.
Appréciation de la situation Evaluation des préjudices et sinistres du point de vue de leur impact et des mesures possibles.
CatastropheSinistre d’une ampleur largement supérieure à la normale, qui menace considérablement ou détruit la vie, la santé, des biens matériels ou des infrastructures
importantes.
Cellule de criseStructure qui crée les conditions permettant de coordonner toutes les activités
liées à la crise.
Communication de criseToutes les activités de communication effectuées dans le contexte d’une crise
afin d’empêcher ou de limiter la perte de confiance et une dégradation de
l’image, et de circonscrire les dommages. La communication de crise implique
une répartition claire des compétences et des responsabilités, ainsi qu’une ligne
de communication sans ambiguïté, propre à garantir des contenus et une argumentation homogènes.
58
Australian / New Zealand Standard 2004, page 3.
59
Australian / New Zealand Standard 2004, page 4.
39
Terme
Définition
Communication sur les risquesDans le cadre de la gestion du risque, procédure permettant à une entreprise ou
à un service public de recevoir et de fournir des informations sur un risque. La
communication sur les risques s’étend à tous les processus de communication
concernant l’identification, l’analyse, l’évaluation et la gestion de risques, ainsi
que l’interaction nécessaire entre tous les acteurs concernés.50
Compte renduInformations brèves et précises sur des événements, perceptions et faits, destinées à renseigner sur une situation.
CriseUne situation extraordinaire qui survient malgré des mesures préventives prises par
l’entreprise ou par les services publics, et que l’organisation structurelle et fonctionnelle normale ne permet pas de maîtriser.
Critère de vulnérabilité
Conditions permettant d’apprécier la vulnérabilité.
Cycle Plan, Do, Check, Act (PDCA)Démarche de gestion de processus visant à en améliorer continuellement la
qualité. « Plan » représente la préparation générale et complète des processus,
« Do » la mise en œuvre de ces processus, « Check » le contrôle de leur efficacité
et « Act » leur amélioration. Dans la gestion de risques et de crises décrite ici, ce
cycle est appliqué à divers niveaux.
DangerEffet négatif provoqué par un aléa sur des personnes, des biens, des états de fait,
l’environnement ou des animaux.
DysfonctionnementEcart par rapport à la situation normale ou au processus normal. Il peut être provoqué par des facteurs internes ou externes. Un dysfonctionnement est maîtrisé
par l’organisation structurelle et fonctionnelle normale.
Elément de risqueElément constituant de sous-processus critiques.Sont considérés comme tels
pour les besoins du présent manuel :
• les individus (personnel, autres personnes présentes)
• le terrain
• les bâtiments
• les installations et équipements
• les installations et équipements spéciaux, spécifiques à l’établissement
• les données et documents
• autres ressources
EpidémieApparition, sur une période et dans une région données, d’un nombre élevé de
cas d’une maladie au sein d’une population.
EtablissementSe réfère dans le présent manuel à toute entreprise, service public et autres institutions exploitant une infrastructure critique.
Evaluation
60
Jungermann et al. 1991, page 5.
40
Appréciation d’activités.
Définitions
Terme
Définition
Evaluation de la situationCollecte, classement, enregistrement et représentation d’informations concernant une situation donnée.
Evaluation du risque Estimation du risque que présente un événement pour un sous-processus ou
élément de risque par rapport à des objectifs préalablement définis. Cette procédure permet de déterminer l’acceptabilité du risque et de risques résiduels
éventuels.
Evénement extrêmeEvénement rare qui s’écarte fortement d’une moyenne statistique et est susceptible de provoquer une crise.
Exercice d’état-major Exercice auquel participent uniquement les membres de la cellule de crise et les
dirigeants de l’établissement.
Exercice « table top »Exercice d’état-major auquel participent des niveaux institutionnels supplémentaires (p. ex. de services concernés).
Exposition
Action d’être exposé à un aléa.
Gestion de crisesToute activité propre à préparer à des crises, à les maîtriser et à en assurer le
retour d’expérience.
Gestion de dysfonctionnementConditions conceptuelles, organisationnelles, méthodiques et physiques dans
l’organisation structurelle et fonctionnelle de l’établissement, qui permettent de
maîtriser le dysfonctionnement de la meilleure façon possible.
Gestion des risques
Processus et procédure permettant de gérer systématiquement les risques.
Infrastructures critiquesLes infrastructures critiques sont des organisations et établissements qui présentent une importance particulière pour la collectivité publique, et dont la
défaillance ou la perturbation provoquerait des pénuries à l’impact durable, des
troubles considérables de la sécurité publique, ou d’autres conséquences dramatiques.61
Management de la continuité d’activitéGestion des mesures propres à maintenir l’activité en cas de crise, par exemple
en activant un centre opérationnel redondant (Management de la continuité
d’activité = Business Continuity Management).62
Mesures préparatoiresActions optionnelles élaborées en amont de crises, mais mises en œuvre seulement en cas de crise.
Mesures préventivesActions et moyens élaborés et mis en œuvre en amont de crises, ou bien qui sont
utilisés et qui réduisent les risques pour une entreprise ou un service public. Ceci
inclut les mesures propres à réduire les risques en assurant la protection physique d’éléments de risque, ou qui favorisent le bon fonctionnement de processus
par des systèmes redondants ou par des systèmes de remplacement. Ces deux
aspects contribuent à assurer la continuité des activités.
61
Définition donnée par le Groupe de travail sur la protection des
infrastructures (AK KRITIS) au sein du ministère fédéral de l’Inté-
62
rieur (BMI) le 17 novembre 2003.
63
Von Rössing 2005, page 426.
Cf. von Rössing 2005, page 428.
41
Terme
Définition
Modèle d’escalade
Système permettant d’évaluer la situation et d’en référer au management.63
Niveau d’alerte
Classification d’une situation dans l’optique des mesures à prendre.
Objectifs stratégiques de protectionDescription d’objectifs à atteindre, à laquelle on peut recourir pour évaluer des
mesures mises en œuvre.
Organisation fonctionnelleL’organisation fonctionnelle décrit et réglemente les processus de travail d’une
unité organisationnelle, en tenant compte de l’espace, du temps, des personnes
et des moyens matériels.
Organisation structurelleL’organisation structurelle concerne la division d’une entreprise en unités statiques, principalement de nature hiérarchique.
Quartier général (QG) de la cellule de crise Local mis à la disposition de la cellule de crise, pendant et après la crise, et en
amont des exercices de crise.
Pandémie
Epidémie d’ampleur internationale, voire planétaire.
Plan de crisePlan directeur pour la gestion de la crise, qui couvre toutes les mesures à prendre au cours d’une crise.
Points critiques
Cf. points névralgiques
Points névralgiquesDomaines d’un processus ou éléments individuels de risque dont la perturbation
est susceptible de provoquer des défaillances ou des sinistres de grande ampleur.
Prévention des risquesDécisions stratégiques qui ont pour effet de supprimer des aléas, ou de faire en
sorte que la probabilité de leur manifestation se rapproche de zéro, empêchant
ainsi l’apparition de risques.
Probabilité Mesure comprise entre 0 et 1 de la possibilité qu’un événement se produise.
Protection des populations Mesures civiles destinées à protéger contre, et à limiter et maîtriser les effets de
guerres, de conflits armés, de catastrophes naturelles et d’accidents particulièrement graves. La Fédération, les Länder, les communes et les organisations humanitaires travaillent ensemble pour protéger les populations.
Réduction des risquesMesures propres à diminuer la probabilité d’occurrence d’événements ou leur
64
impact sur l’établissement.
Reprise sur incidentPhase se situant entre la fin de la réaction à la crise et la mise en place d’un régime de secours.65
RétablissementRétablissement total de l’état normal, tel qu’il était avant la survenance de la
crise. 66
64
Australian / New Zealand Standard 2004, page 5.
65
Rössing 2005, page 439.
42
66
Rössing 2005, page 439.
Définitions
Terme
Définition
Risque Le risque est considéré comme étant fonction du danger et de la vulnérabilité
des éléments de risque et des sous-processus. L’aspect de la probabilité d’occurrence d’un événement fait partie intégrante de l’analyse du danger.
Risque partiel
Risque concernant un élément de risque donné.
Risques résiduels Les risques qui subsistent après la mise en œuvre de mesures préventives.67
Scénario Combinaison d’hypothèses sur l’enchaînement possible d’événements concernant l’objet en question, afin de déterminer les relations de cause à effet et les
points devant faire l’objet d’une prise de décision.
Situation
Nature et ampleur des préjudices ou des sinistres, et leur évolution probable.
Transfert des risquesStratégie consistant à répercuter les risques existants sur d’autres entreprises,
services publics ou assurances.
Vulnérabilité Fragilité d’un objet ou d’un système face à des aléas.
Vulnérabilité individuelleSe réfère dans le présent manuel à un élément de risque et à un critère de vulnérabilité donnés.
Vulnérabilité partielle
Vulnérabilité concernant un élément de risque donné.
67
Adapté, d’après : Australian / New Zealand Standard 2004, page 3.
43
IV. Liste des aléas –
Informations sur la nature, l’exposition,
l’intensité et l’impact, ainsi que sur les
personnes à contacter
REMARQUE IMPORTANTE :
Cette liste d’exemples renvoie à des aléas susceptibles de survenir dans l’environnement de l’établissement. Cette liste ne prétend pas
être exhaustive, et devra, le cas échéant, être adaptée aux spécificités des sites concernés.
Nature de l’aléa
Exposition
Intensité possible
Effet possible
44
Compétences,
source possible
d’informations
Crues
Particulièrement
dans les régions proches de cours d’eau
et les terrains bas,
sous-sols et rez-dechaussée
Inondations de vastes
superficies, niveau de
l’eau pouvant atteindre plusieurs mètres
au-dessus du niveau
normal ; vitesses de
ruissellement élevées
en moyenne montagne
Lessivages, accumulation (dégâts des
eaux)
Services publics en
charge de l’environnement, services de
prévision des crues,
assurances
Tempêtes / tornades
Possible dans toute
l’Allemagne
Pouvant atteindre
des vitesses très élevées en rafales
Effet de pression et
d’aspiration sur les
édifices et autres
objets ; destruction
Services publics en
charge de l’environnement, services
météorologiques
allemands
Séisme
Sites dans les régions
sismiques (fossé
rhénan, région de
Cologne, Vogtland,
Jura souabe)
Forces horizontales
et verticales gigantesques ; apport
élevé d’énergie
Destruction de
conduites, de réservoirs, de transformateurs, de liaisons entre
équipements et d’édifices ; décombres
Institut fédéral de
géosciences et de ressources naturelles
Incendie géant /
incendie de forêt
Régions très boisées
Développement de
chaleur extrême
Menace pour le personnel, destructions
d’équipements dues
à la chaleur ; touche
les installations d’approvisionnement
en électricité et les
équipements informatiques
Services publics en
charge de l’environnement, services
météorologiques
allemands,
sapeurs-pompiers,
services du maintien
de l’ordre public
Liste des aléas – Informations sur la nature,
l’exposition, l’intensité et l’impact, ainsi que sur les personnes à contacter Nature de l’aléa
Exposition
Intensité possible
Effet possible
Compétences,
source possible
d’informations
Sécheresse
Surtout les régions
sèches à faible taux
de précipitations
Absence de précipitations sur une longue
période, très faibles
précipitations
Baisse du niveau de
la nappe phréatique,
pénurie d’eau de
refroidissement,
pénurie d’eau potable, pannes de courant, problèmes de
transport sur les voies
fluviales
Services publics en
charge de l’environnement, services
météorologiques
allemands
Canicule
Possible dans toute
l’Allemagne
Températures élevées
le jour et la nuit
Impact sur la santé
du personnel et de la
clientèle
Services de l’hygiène
et de la santé publique, services météorologiques allemands
Grande épidémie /
pandémie
Possible au niveau
mondial / national /
régional
Niveau de contamination élevé, propagation rapide, forte
réduction des effectifs disponibles
Maladie du personnel et de la clientèle ;
inquiétude parmi le
personnel (effets psychologiques, p. ex.
panique), absentéisme d’employés pour
soigner des parents
malades
Services de l’hygiène
et de la santé publique, Institut Robert
Koch Institut, Office
fédéral pour la protection des populations et l’assistance
en cas de catastrophes
Panne d’alimentation externe en électricité
Possible dans toute
l’Allemagne ; peut
durer plusieurs jours
et toucher de vastes
territoires
–
Impact sur les installations et équipements
Distributeurs,
sapeurs-pompiers,
organisations humanitaires
Panne d’alimentation externe en eau
Possible dans toute
l’Allemagne
–
Impact sur le personnel, les installations
et les équipements
Distributeurs,
sapeurs-pompiers,
organisations humanitaires
Défaillance de services spécialisés soustraités
Possible dans toute
l’Allemagne
–
Impact sur le personnel et les moyens de
production
Services du maintien
de l’ordre public,
autorités en charge
des transports, en
fonction du transporteur
68
Depuis 1982, le dispositif TUIS d’information et d’aide en cas d’accidents survenus lors du transport et du stockage de produits chimi-
sont joignables par téléphone, 24 heures sur 24 et 365 jours par an,
ques fournit son assistance dans toute l’Allemagne. Le réseau TUIS se
à la disposition des services publics comme les sapeurs-pompiers, la
compose de quelque 130 entreprises chimiques, avec leurs pompiers
police et autres organismes impliqués dans la gestion de catastro-
d’entreprise et leurs spécialistes (chimistes, toxicologues, experts
phe, ainsi que de la Deutsche Bahn, leur fournissant une assistance
appartenant à la production.) Les entreprises qui adhèrent à TUIS
selon un système à trois niveaux.
45
Nature de l’aléa
Exposition
Intensité possible
Effet possible
Accident lors d’un
transport de matières dangereuses,
à l’intérieur ou à
proximité immédiate
du site
A proximité de voies
de circulation de
matières dangereuses (chemin de fer ou
route) ; à proximité
d’installations dans
lesquelles sont utilisées des matières
dangereuses
Forte concentration
de l’agent libéré ;
toxicité élevée de
l’agent libéré
Impact sur le personnel, la clientèle, les
édifices (contamination)
Services publics en
charge de l’environnement, sapeurspompiers, TUIS , Services de l’hygiène et
de la santé publique,
Attentat à l’aide de
dispositifs incendiaires et engins explosifs conventionnels
Possible dans toute
l’Allemagne
Puissance destructrice locale extrêmement forte
Impact sur le personnel, la clientèle, les
édifices et installations ; décombres
Police, sapeurs-pompiers
Attentat à l’aide
d’engins explosifs et
dispositifs incendiaires non-conventionnels, ou libération
d’agents NBC à l’intérieur ou à proximité
immédiate du site
Possible dans toute
l’Allemagne
Concentration élevée
de l’agent libéré ;
toxicité élevée de
l’agent libéré
Impact sur le personnel, la clientèle,
les édifices et installations
(contamination)
Police, sapeurs-pompiers
Panne informatique
Possible dans toute
l’Allemagne
Potentiel nuisible
élevé, propagation
rapide
Impact sur les installations et équipements
Agence fédérale de
la sécurité des systèmes d’information /
relevé des dangers69
Erreur humaine dans
le contexte de systèmes informatiques
Possible dans toute
l’Allemagne
Potentiel nuisible
élevé, propagation
rapide
Impact sur les installations et équipements
Agence fédérale de
la sécurité des systèmes d’information /
relevé des dangers69
Actes intentionnels
commis à l’aide ou à
l’encontre de systèmes informatiques
Possible dans toute
l’Allemagne
Potentiel nuisible
élevé, propagation
rapide
Impact sur les installations et équipements
Agence fédérale de
la sécurité des systèmes d’information /
69
relevé des dangers
Enlèvement
Possible dans toute
l’Allemagne
–
Impact sur le personnel
Police
Chantage
Possible dans toute
l’Allemagne
–
Impact sur le personnel ou les produits
Police
Vol d’installations,
équipements et / ou
autres moyens de
production critiques
Possible dans toute
l’Allemagne
–
Impact possible sur
les données, documents, installations
et équipements
Police
69
Agence fédérale de la sécurité des systèmes d’information 2007.
46
Compétences,
source possible
d’informations
V. Listes de contrôle
REMARQUE IMPORTANTE :
Il conviendra d’adapter les listes de contrôle ci-dessous aux spécificités de l’établissement. L’utilisation de ces listes de contrôle ne
remplace pas la mise en place complète d’un système de gestion de risques et de crises. Cette liste ne prétend pas être exhaustive.
Les listes de contrôle ci-dessous ont été élaborées à l’aide des
publications suivantes :
American Water Works Association 2001
British Standard 2006
Office fédéral pour la protection des populations et l’assistance en cas de catastrophes 2005
Ministère fédéral de l’Intérieur 2005
Egli 1999
Federal Emergency Management Agency 2003
Gustin 2004
Jungbluth 2005
National Fire Protection Association 2004
Office fédéral de l’Environnement 2005a
Office fédéral de l’Environnement 2005b
Centre de recherche sur l’environnement alpin 2000
On trouvera des renseignements plus détaillés, en particulier
sur le plan pandémie auprès de :
Office fédéral pour la protection des populations et l’assistance en cas de catastrophes 2007
Department of Health and Human Services and the Centers for Disease Control and Prevention
Department of Homeland Security 2006
Pour plus d’informations, voir :
Verwaltungs- Berufsgenossenschaft VBG 2007
Consignes VdS : programme complet 2007
47
V.1 Mesures préventives
V.1.1 Gestion de risques et de crises – Généralités
Questions
1.Un dispositif de gestion
des risques a-t-il été
mis en place ?
Précisions
Planification, mise en
œuvre, actualisation et amélioration constante
2.Les opérations à effectuer sont-elles définies
précisément par le
système de gestion des
risques ?
3.Des objectifs de protection stratégiques ontils été définis ?
48
4.Existe-t-il un inventaire
des processus critiques,
sont-ils catégorisés, et
existe-t-il des recommandations quant à
leur application ?
Inventaire, analyse de criticité, définition de priorités
dans les processus critiques
5.Un dispositif de gestion
de crise a-t-il été mis en
place ? (gestion d’incidents)
Canal et procédures de
remontée de l’information,
gestion d’incidents et améliorations
6.Des dispositifs de planification et de management de continuité
d’activité ont-ils été
mis en place ?
Planification de systèmes
redondants et de systèmes de
remplacement, ainsi que de
leur gestion en cas d’incident
7.Le respect d’obligations légales et juridiques est-il contrôlé ?
Respect d’obligations légales, de directives et de normes, audit de systèmes
8.Les aspects relatifs à la
sécurité sont-ils pris en
compte dans le développement du personnel ?
Missions et responsabilités,
contrôle, formation et sensibilisation
Oui
Non
Sans objet
Commentaire
Listes de contrôle
V.1.2 Terrains, édifices, équipements – Crues
1.
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Edifices
1.1Peut-on exclure que
des installations existantes ou prévues
soient inondées ?
a) en raison de crues
b) en raison de l’engorgement du réseau
d’égouts
c) en raison de la montée du niveau de la
nappe phréatique
d) par l’eau utilisée
pour combattre un
incendie
1.2Des mesures ont-elles
été mises en place pour
protéger le site contre
les crues ?
1.3Lors de l’étude de nouveaux édifices, veillet-on, si possible, à les
surélever ?
Ceci concerne les édifices
proprement dits, ainsi que
toutes les ouvertures d’entrée.
1.4L’enveloppe externe de
l’édifice est-elle protégée contre les crues ?
1.5Les ouvertures dans
l’enveloppe externe de
l’édifice sont-elles protégées contre les crues ?
Ceci inclut les mesures temporaires, mobiles ou permanentes.
1.6L’aménagement et
l’utilisation des pièces
intérieures sont-ils
adaptés à l’éventualité
d’une crue ?
Exemple : emploi de matériaux de construction hydrorésistants.
49
Questions
Précisions
1.7En cas de montée du
niveau de la nappe
phréatique due à une
crue, la stabilité de
l’édifice est-elle menacée ?
Par exemple au niveau des
étages inférieurs (effet de
flottaison)
1.8Le terrain sur lequel est
érigé l’édifice est-il susceptible de se trouver
altéré par des affouillements?
2.
Equipements
2.1La fixation et l’ancrage des réservoirs et
conduites sont-ils suffisants pour les empêcher d’être soulevés ?
Ceci inclut les dispositifs
d’ancrage, la conception
des réservoirs d’huile et de
fuel, en tenant compte de
la pression hydrostatique,
la conception des conduites
d’alimentation et d’évacuation, le système de ventilation des réservoirs, ainsi que
les conduites d’arrivée au
brûleur.
2.2La fixation et l’ancrage des réservoirs
et conduites sont-ils
suffisants pour les
empêcher de subir des
dommages mécaniques provoqués par des
objets emportés par les
eaux ?
Ceci inclut les dispositifs
d’ancrage, la conception
des réservoirs d’huile et de
fuel, en tenant compte de
la pression hydrostatique,
la conception des conduites
d’alimentation et d’évacuation, le système de ventilation des réservoirs, ainsi que
les conduites d’arrivée au
brûleur.
2.3Le système d’égout estil équipé d’un dispositif
anti-reflux ?
50
Oui
Non
Sans objet
Commentaire
Listes de contrôle
V.1.3 Terrains, édifices, équipements – Séismes
1.
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Oui
Non
Sans objet
Commentaire
Edifices
1.1 L es édifices / constructions offrent-ils une
résistance suffisante
aux séismes ?
Ceci inclut le respect des
collections normatives (DIN
4149, Eurocode 8), ainsi que
l’application, sur une base
volontaire, de recommandations allant au-delà de ces
normes.
1.2L’ancrage des équipements situés à l’intérieur des édifices est-il
suffisant ?
Ceci inclut les réservoirs,
transformateurs, etc…
1.3Peut-on exclure que des
éléments porteurs ont
fait l’objet d’altérations
susceptibles d’en affaiblir la structure ?
Ceci inclut le perçage de
gros trous, ou des alésages
réalisés ultérieurement.
2.Equipements souterrains
2.1Dans une région sismique, les tuyauteries
sont-elles posées en
tenant compte des
contraintes potentielles ?
Ceci inclut la prise en compte de la structure du sol, une
pose à angle droit par rapport à des failles connues,
avec des raccordements
souples et des soupapes de
sûreté, ainsi que la pose de
tuyauteries redondantes.
V.1.4 Terrains, édifices, équipements – Tempêtes
1.
Questions
Précisions
Toits
1.1Les toits sont-ils suffisamment solidaires des
édifices ?
51
V.1.5 Terrains, édifices – Actes intentionnels d’origine criminelle et / ou terroriste
1.
Questions
Précisions
Accès
1.1L’accès au site de
l’établissement est-il
contrôlé ?
1.2Existe-t-il des zones
sécurisées dans l’enceinte du site de l’établissement ?
Un élément important pour
la prévention d’attentats
terroristes ou de sabotage
consiste à créer une distance
entre les édifices et une attaque possible à l’aide d’explosifs contenus dans une
voiture piégée. Les barrières
et obstacles destinées à créer
cette distance (surélèvement
du sol, poteaux de dissuasion, clôtures ou éléments
de béton) peuvent gêner les
véhicules tentant de s’approcher des zones sensibles, ou
les en empêcher totalement.
1.3Existe-t-il des zones
sécurisées à l’intérieur
des bâtiments ?
Il conviendra de vérifier s’il
est possible d’installer des
systèmes de contrôle d’accès
physique (passage d’une personne à la fois) à l’entrée du
bâtiment ou aux points d’accès aux zones sensibles, éventuellement en combinaison
avec des lecteurs de cartes,
afin d’en contrôler l’entrée
et de la rendre plus difficile
pour les personnes ne faisant
pas partie du personnel.
1.4Des contrôles d’accès
sont-ils effectués à l’intérieur des bâtiments ?
Par exemple par le gardien.
1.5Les secteurs critiques
sont-ils fermés à clé
et accessibles uniquement par le personnel
autorisé ?
52
Oui
Non
Sans objet
Commentaire
Listes de contrôle
2.
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Construction
2.1Les façades – incluant
les fenêtres et les portes
– sont-elles renforcées ?
Les portes et les fenêtres
doivent être dotées de verre
feuilleté de sécurité.
2.2Des locaux protégés
ont-ils été aménagés
pour le personnel et
autres personnes présentes sur les lieux ?
En cas d’attentat terroriste,
d’accident mettant en cause
des matières dangereuses ou
d’incident industriel, il peut
s’avérer utile d’aménager
des zones protégées au sein
du site, dans lesquelles le
personnel et les autres personnes présentes pourront
se réfugier. Conviennent à
cet effet les structures porteuses statiques, comme les
cages d’escalier, ou encore
les pièces des étages inférieurs équipées de portes
pare-fumée et de systèmes
de communication. On vérifiera, à partir des plans du
site, si l’aménagement de ces
locaux est possible.
2.3Les entrées d’aération
sont-elles aménagées
à des endroits difficilement accessibles de
l’extérieur ?
Cela signifie qu’elles sont
placées à une hauteur suffisante, ou à des endroits
inaccessibles.
3. Surveillance électronique
3.1Les secteurs critiques
sont-ils dotés d’un
dispositif de vidéosurveillance ?
3.2Les enregistrements
de la vidéosurveillance
sont-ils analysés ?
3.3Des systèmes d’alarme
sont-ils installés dans
les zones noyau?
53
4.
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Oui
Non
Sans objet
Commentaire
Interlocuteurs
4.1Connaît-on des interlocuteurs spécialisés,
que l’on pourra contacter en cas d’attentat
mettant en cause des
agents chimiques,
biologiques ou radiologiques ?
En cas d’accident ou d’attentat terroriste, les entreprises
et services publics peuvent
se voir confrontés à des
agents dont l’évaluation
requiert des connaissances
spéciales. Outre les services
sanitaires, il conviendra
donc d’identifier en amont
des partenaires de coopération potentiels, qui pourront
être contactés le cas échéant.
V.1.6 Installations et équipements – Alimentation électrique
Questions
Précisions
1. Alimentation électrique
1.1Existe-t-il plusieurs arrivées d’électricité, et se
trouvent-elles de préférence dans des secteurs
du réseau indépendants
les uns des autres ?
2. Alimentation de secours
2.1Les secteurs critiques qui,
en cas de crise, devront
être approvisionnés par
une alimentation de
secours, sont-ils identifiés ?
2.1S’est-on assuré que les
consommateurs des
secteurs critiques prévus
pour fonctionner en
régime de secours sont les
seuls à être branchés sur
l’alimentation de secours ?
2.3Est-ce qu’il a été défini
pendant quelle durée les
secteurs critiques devront
fonctionner sur l’alimentation de secours ?
54
Ces secteurs critiques
incluent les salles de commande, les centres informatiques, la climatisation des
centres informatiques.
Listes de contrôle
Questions
Précisions
Oui
Non
Sans objet
Commentaire
2.4A-t-on calculé les besoins
totaux en énergie nécessaires pour maintenir
les secteurs critiques en
fonctionnement ?
2.5 L es groupes électrogènes sont-ils conçus pour
répondre à l’évolution
des exigences, en termes de capacité et de
qualité ?
Les exigences en termes
de capacité et de qualité
évoluent avec l’apparition
d’installations nouvelles,
plus modernes.
2.6Est-ce que la réserve
en carburant est suffisante pour la durée de
fonctionnement définie pour l’alimentation
de secours ?
2.7Les groupes électrogènes font-ils tous l’objet
d’une maintenance
régulière ?
2.8Des essais en pleine
charge sont-ils effectués régulièrement sur
tous les groupes électrogènes ?
2.9Est-il garanti que, en
cas de crise, les groupes
électrogènes pourront
être mis en marche sans
problème ?
En cas de crise, il peut
arriver que les démarreurs
électriques ou sur batterie
ne fonctionnent pas. Le
carburant doit souvent être
préchauffé.
2.10En cas de crise, le fait
qu’il faille faire le plein
de carburant du groupe électrogène est-il
signalé ?
Comment et où ?
2.11Les composants techniques sensibles sont-ils
sécurisés par une alimentation électrique
non interruptible ?
Ceci inclut l’utilisation
d’une batterie tampon capable de maintenir le fonctionnement d’installations informatiques pendant quelques
minutes.
55
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Non
Sans objet
Commentaire
2.12Avez-vous conclu des
accords ou contrats
avec les fournisseurs
qui vous livrent les carburants pour les groupes électrogènes ?
3.Systèmes de sécurité et d’alarme indépendants du courant électrique
3.1Un éclairage de
secours indépendant
du réseau public
d’électricité a-t-il été
installé ?
Un éclairage de secours
est indépendant du réseau
public d’électricité s’il est
alimenté par exemple par
une batterie.
3.2Un système d’alarme et
d’alerte indépendant
du réseau électrique
a-t-il été installé ?
Un système d’alarme et
d’alerte est indépendant du
réseau public d’électricité
s’il est alimenté par exemple
par une batterie.
V.1.7 Installations et équipements – Informatique
1.
Questions
Généralités
1.1Est-ce qu’il existe un
dispositif opérationnel
de gestion de l’informatique (achat, développement et maintenance des systèmes
informatiques)
2.Sécurisation de l’accès
2.1Le système informatique connecté aux
réseaux publics est-il
suffisamment protégé
contre les intrus ?
3.Sauvegarde des données
3.1Un plan de sauvegarde
des données a-t-il été
mis en place ?
56
Précisions
Exigences de sécurité auxquelles doivent répondre
les systèmes, traitement correct dans les applications,
mesures cryptographiques,
sécurité des fichiers système
et des processus, gestion de
la vulnérabilité
Oui
Listes de contrôle
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Non
Sans objet
Commentaire
3.2Les données critiques
sont-elles stockées à
différents endroits ?
4.
Pilotage des processus
4.1Est-ce qu’il existe un
système redondant et
séparé physiquement de
pilotage des processus ?
4.2Le pilotage des processus et les systèmes
de sécurité (dispositifs
d’alarme, vidéosurveillance, etc.) sont-ils
indépendants les uns
des autres (réseaux
séparés) ?
Si le pilotage des processus
s’effectue alors que l’on est
connecté à l’Internet, et que
le système de pilotage des
processus et les systèmes de
sécurité sont connectés les
uns avec les autres, ces deux
systèmes peuvent subir des
manipulations provenant de
l’extérieur.
V.1.8 Installations et équipements – Technologie de la communication
1.
Questions
Précisions
Oui
Réseau fixe
1.1L’installation téléphonique est-elle sécurisée
par une alimentation
électrique non interruptible ?
1.2L’installation téléphonique est-elle également sécurisée par un
groupe électrogène ?
1.3Une demande d’accès
prioritaire au réseau
a-t-elle été faite ?
2.
Téléphonie mobile
2.1Les membres du personnel sont-ils équipés
de téléphones mobiles
pour les situations de
crise ?
57
3.
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Précisions
Oui
Non
Sans objet
Commentaire
Radio
3.1L’entreprise est-elle équipée d’un système de radiocommunication pour les
situations de crise ?
V.2 Audit de la gestion de crise
V.2.1 Organisation générale
1.
Questions
Responsabilités et missions
1.1Les personnes devant
occuper les postes
nécessaires pour la
gestion de crise dans
l’établissement sontelles désignées ?
1.2Toutes les tâches pertinentes de la gestion de
crise sont-elles définies
et attribuées à des
personnes et à leurs
suppléants ?
1.3Les membres du personnel sont-il formés
(formation initiale
et continue) pour la
mission qui leur sera
confiée en cas de crise ?
2.
Alerte
2.1Les opérations d’alerte
et d’information internes et externes sont-elles
clairement définies ?
2.2Existe-t-il des consignes d’action concrètes
pour les personnes qui,
en situation de danger,
seront responsables
de la transmission de
comptes rendus ?
58
Listes de contrôle
Questions
Précisions
Oui
Non
Sans objet
Commentaire
2.3Les actions concrètes
menées et les décisions
prises pendant la crise
sont-elles consignées
par écrit ?
2.4Des exercices sont-ils
effectués pour répéter
les opérations internes
et externes d’alerte et
d’information ?
3.
Ceci inclut les exercices
internes, ainsi que la participation à des exercices de
sécurité civile effectués au
niveau local.
Alerte
3.1L’alerte est-elle adaptée aux effets possibles
d’événements extrêmes ?
Définition simplifiée, par
exemple selon les critères
suivants :
1) Les effets restent limités
à une partie du site.
2) Les effets se manifestent
sur l’ensemble du site, mais
restent limités au site proprement dit.
3) Les effets concernent l’ensemble du site, ainsi que le
voisinage / la région.
4) Les effets concernent le
site et le voisinage immédiat, et s’exercent aussi au
niveau suprarégional.
4.
Avertissement
4.1Des règles ont-elles été
fixées pour l’avertissement des populations
touchées par un événement extrême survenu
sur le site ?
5.
Riverains, clients, etc...
Etats-majors
5.1En cas de crise, une
cellule de crise se réunit-elle dans l’établissement ?
59
Questions
5.2En cas de crise, l’établissement est-il
représenté au sein
des cellules de crise
de la sécurité civile
(commandement des
opérations de secours,
état-major administratif) par du personnel de
liaison ?
Précisions
En cas de crise, une influence
plus grande peut être exercée sur les décisions qui
concernent l’établissement
lorsque du personnel de
liaison est représenté au sein
de ces états-majors. Contactez les services publics locaux
chargés de la sécurité civile.
Les interlocuteurs sont les
sapeurs-pompiers locaux, ou
les services administratifs au
niveau de la circonscription,
de la ville ou de la commune.
5.3Est-il prévu dans l’établissement des locaux
qui, en cas de crise,
seront mis à la disposition de la cellule de
crise, et qui sont dotés
de l’équipement technique nécessaire ainsi
que d’une alimentation
électrique de secours ?
5.4Des plans existent-ils
pour le maintien du
fonctionnement de la
cellule de crise en cas de
défaillance des systèmes
de communication ?
Par exemple par l’institution
de messagers, motorisés ou
non (voiture, moto).
5.5Des plans existent-ils
pour le maintien du
fonctionnement de
la cellule de crise en
cas de défaillance des
systèmes de traitement
des données ?
Par exemple en conservant
des exemplaires sur papier
des plans et informations.
5.6Des plans existent-ils
pour le maintien du
fonctionnement de la
cellule de crise si son QG
est devenu inutilisable ?
6.
Informations et documents nécessaires
6.1Existe-t-il des plans des
différents étages du
60
Les conduites d’alimentation et d’évacuation concer-
Oui
Non
Sans objet
Commentaire
Listes de contrôle
Questions
bâtiment, précisant
les emplacements des
conduites d’alimentation et d’évacuation,
ainsi que des voies
d’accès, si possible sur
support numérique et
sur papier ?
Précisions
Oui
Non
Sans objet
Commentaire
nent l’électricité, le gaz et
l’eau
6.2Les plans des étages
contiennent-ils toutes
les informations nécessaires en cas de crise, et
celle-ci sont-elles particulièrement signalées ?
Ceci inclut les issues et portes
de secours, cages d’escalier,
extincteurs, pharmacie
portative, pièces sécurisées
pouvant servir de refuge, pièces contenant des provisions,
pièces contenant les équipements nécessaires, groupes
électrogènes, points de
rassemblement, conduites,
valves et vannes, etc.
6.3Tous les documents
importants sont-ils rapidement accessibles ?
Exemple : contrats
6.4Les plans et documents
susceptibles d’être
également utilisés en
extérieur en cas de
crise sont-ils protégés
contre l’humidité ?
6.5Existe-t-il des formulaires pour consigner les
réceptions et envois de
messages ?
6.6Existe-t-il des formulaires sur lesquels seront
rédigées les informations destinées à la
population ?
7.
Coordonnées des personnes à contacter
7.1Existe-t-il des listes
actualisées, à la mise
à jour centralisée, du
personnel et des personnes à contacter ?
Les listes contiennent les
noms, adresses, numéros de
téléphone (professionnels
et personnels), ainsi qu’une
description de la position au
sein de l’établissement.
61
Questions
7.2Existe-t-il des listes
actualisées renseignant sur les entreprises et services publics
externes importants ?
Précisions
Les listes contiennent des
renseignements sur l’organisation, son adresse, le
nom de l’interlocuteur, les
numéros de téléphone, une
description des prestations
de services, ainsi que des
informations sur des accords
contractuels et des priorités
en matière d’approvisionnement. Ceci inclut notamment les hôpitaux, crèches,
établissements scolaires et
fournisseurs de carburants.
7.3Est-il vérifié régulièrement que toutes les
listes sont mises à jour ?
8.
Concertation éventuelle avec les services publics compétents
8.1Les différents services
publics à informer
figurent-ils sur le plan
de crise ?
Exemples : police, service de l’hygiène et de la
santé publique, autorités en
charge de l’environnement,
sapeurs-pompiers, services
de sécurité civile
8.2Les différentes personnes investies d’une
fonction au sein de
l’établissement sontelles connues de ces
services publics ?
8.3Les services publics
concernés sont-ils informés des plans de crise ?
8.4Existe-t-il un contact
avec les services de
police en charge des
mesures préventives de
sûreté ?
62
Ces services (police de la
Fédération et des Länder,
offices régionaux de police
criminelle, office fédéral
de police criminelle) vous
conseillent pour toute
question relative à des événements d’origine criminelle ou terroriste, ou à un
sabotage.
Oui
Non
Sans objet
Commentaire
Listes de contrôle
V.2.2 Personnel – Généralités
Questions
1.Existe-t-il des plans
et mesures propres à
assurer la protection
du personnel, même
dans des situations
extrêmes ?
Précisions
Oui
Non
Sans objet
Commentaire
Ceci inclut la formation
de collaborateurs choisis,
qui les habilite à intervenir
comme guides d’évacuation,
secouristes et auxiliaires en
cas de pandémie, ainsi que
des plans d’évacuation, des
issues de secours ne pouvant
être bloquées par les inondations ou les décombres, des
points de rassemblement,
des espaces de repli, des
locaux protégés, des équipements de protection, des
équipements de premiers
secours, ainsi qu’une réserve
de produits alimentaires.
2.L’établissement dispose-t-il de suffisamment
de personnel connaissant parfaitement le
site ?
3.Les membres du personnel ont-ils acquis
une expérience dans
d’autres domaines que
le leur (principe de
rotation) ?
Les activités effectuées selon le
principe de rotation dans différents domaines permettent
aux employés d’assumer des
fonctions en dehors de leur
domaine habituel de responsabilité, en cas de défaillance
du personnel responsable.
4.Peut-on, en cas de crise,
recourir à du personnel
de remplacement ?
Par exemple en cas de pandémie, il est éventuellement
possible de recourir au personnel d’entreprises et de
services publics du voisinage, à d’anciens employés en
retraite ou à du personnel
en cours de formation.
5.
Ceci inclut les boutons
d’alarme, ainsi qu’une alerte à
déclenchement automatique
en cas de dysfonctionnements,
d’erreurs de manœuvre et
d’absence de mesure corrective dans les centres opérationnels / salles de contrôle.
st-ce qu’il existe des
E
plans d’alerte pour les
postes de travail à une
seule personne ?
63
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Sans objet
Commentaire
6.Les membres du personnel de l’établissement
sont-ils informés de la
gestion de la crise ?
V.2.3 Gestion de la crise – Plan de pandémie (en particulier pandémie grippale)
1.
Questions
Précisions
Généralités
1.1Est-il prévu que, en cas
d’absentéisme aggravé, on puisse procéder
à un arrêt contrôlé des
activités de l’établissement ?
1.2Des solutions de repli
sont-elles prévues pour
l’éventualité d’une épidémie ou d’une pandémie ?
Exemple : télétravail
1.3Des accords ont-ils
été conclus avec des
prestataires de services
externes concernant
la prise en charge de
certaines tâches ?
1.4Une coopération avec
les autorités sanitaires
locales est-elle prévue
dans le cadre du plan
de continuité ?
1.5Des réserves de médicaments antiviraux ontelles été constituées ?
1.6Une vaccination estelle proposée dans
l’établissement, ou le
personnel y est-il informé des possibilités de
vaccination ?
1.7Est-il prévu d’arrêter
une partie de la climatisation si la gravité de
64
On veillera ici au fait que
certaines pièces et installations nécessitent une clima-
Oui
Non
Listes de contrôle
Questions
la situation l’exige ?
2.
Précisions
Oui
Non
Sans objet
Commentaire
Oui
Non
Sans objet
Commentaire
tisation ininterrompue (p.
ex. les pièces où se trouvent
les serveurs informatiques).
La climatisation de ces pièces et installations devra
être contrôlée séparément.
Personnel
2.1 L es membres du personnel sont-ils sensibilisés au problème ?
2.2 L es membres du personnel apprennent-ils
comment se comporter
en cas d’événement ?
Exemples :
éviter de porter les mains
au visage ;
éviter les poignées de
main ;
se laver régulièrement
les mains ;
porter des équipements
de protection individuelle (masque sur la bouche
et le nez, lunettes)
2.3Du personnel à risque
a-t-il été identifié ?
2.4L’isolement en cas
d’événement a-t-il été
évoqué avec le personnel à risque ?
2.5Du personnel supplémentaire est-il formé
dans l’établissement
pour effectuer des opérations spéciales ?
V.3 Gestion de la crise
V.3.1 Procédures générales en cas de crise
1.
Questions
Précisions
Procédures générales
1.1Une évaluation de la
situation a-t-elle été
effectuée ?
65
Questions
1.2Est-il possible de rétablir
le bon fonctionnement
de l’établissement ?
1.3Des mesures de précaution sont-elles prises
pour protéger le personnel, les clients et autres
personnes présentes ?
1.4 D
es mesures de précaution sont-elles prises
pour protéger les bâtiments, les installations
et les équipements, les
données et les documents ?
2.Procédures administratives
2.1 L e personnel, les
clients et les autres
personnes présentes
sont-ils mis en garde en
cas de survenance d’un
événement extrême ?
2.2 T
ous les employés qui
ont à intervenir dans le
cadre de la gestion de la
crise sont-ils recensés ?
2.3Tous les employés qui
ont à intervenir dans
des zones dangereuses
sont-ils recensés ?
2.4 U
ne assistance estelle fournie pour les
employés blessés, bloqués ou égarés ?
2.5Des informations relatives à l’événement
sont-elles fournies au
personnel ?
2.6Des informations relatives à l’événement
sont-elles fournies aux
familles des employés ?
66
Précisions
Oui
Non
Sans objet
Commentaire
Listes de contrôle
Questions
Précisions
Oui
Non
Sans objet
Commentaire
2.7Toutes les blessures et
mesures prises à ce propos sont-elles consignées par écrit ?
2.8Chaque sous-événement est-il consigné
par écrit ?
2.9Les installations et
équipements sont-ils,
dans la mesure du possible, tous transférés
en dehors des zones
dangereuses ?
2.10Des contrôles sont-ils
effectués aux accès de
la zone sinistrée ?
2.11Est-il tenu un journal
de tous les appels téléphoniques ?
2.12Des communiqués de
presse sont-ils publiés ?
2.13La situation de crise
une fois terminée,
l’arrêt de l’alerte et le
rétablissement de l’organisation structurelle
sont-ils diligentés ?
3.Logistique
3.1Tous les équipements
nécessaires sont-ils
fournis ?
3.2De la nourriture et des
objets de nécessité
sont-ils fournis ?
3.3Le QG de la cellule de
crise est-il opérationnel ?
3.4Tous les plans nécessaires sont-ils fournis ?
Plans des bâtiments, alimentation en énergie et en eau,
élimination, etc.
67
Questions
3.5Tous les dispositifs et
équipements redondants sont-ils fournis ?
Précisions
Oui
Non
Sans objet
Commentaire
Oui
Non
Sans objet
Commentaire
QG de remplacement pour
la cellule de crise, postes
radio, etc.
3.6Une réparation des installations endommagées est-elle effectuée
ou initiée ?
3.7Est-il prévu une assistance médicale pour
des blessures susceptibles de survenir ?
Matériel de premier secours
3.8L’alimentation électrique d’urgence a-t-elle
été mise en marche ?
V.3.2 Procédures spéciales durant la crise
1.
Questions
Précisions
Sauver, récupérer, lutter contre les incendies
1.1Toutes les opérations
nécessaires sont-elles
déclenchées pour le
sauvetage des personnes et la récupération
des objets ?
1.2Toutes les opérations
sont-elles lancées pour
l’extinction des incendies ?
Propres mesures, prévenir
des organismes externes
2. Premiers secours médicaux
68
2.1Toutes les opérations
nécessaires aux premiers secours médicaux
sont-elles déclenchées ?
Propres mesures, prévenir
des organismes externes
2.2Tous les organismes
externes devant intervenir pour les premiers
secours médicaux ontils été alarmés ?
SAMU, pompiers, etc.
Listes de contrôle
Questions
Précisions
Oui
Non
Sans objet
Commentaire
3.Bouclage de secteurs et contrôles d’accès
3.1Toutes les mesures
nécessaires au bouclage de secteurs ont-elles
été mises en place ?
3.2Des contrôles d’accès
sont-ils effectués dans
les secteurs de crise ?
4.Lieux d’hébergement sécurisés
4.1Des lieux d’hébergement sécurisés sont-ils
mis à la disposition de
tous les membres de la
cellule de crise ?
Pour s’y tenir durant la journée et pouvoir y dormir si
besoin est.
4.2 D
es lieux d’hébergement sécurisés sont-ils
mis à la disposition du
personnel, des clients
et autres personnes
présentes sur les lieux ?
Pour s’y tenir durant la journée et pouvoir y dormir si
besoin est.
5.
Evacuation de bâtiments
5.1Toutes les personnes
présentes sont-elles
accompagnées par les
guides d’évacuation
vers le point de rassemblement convenu ?
5.2Sur le point de rassemblement, est-il vérifié
que toutes les personnes sont au complet ?
5.3La fin de l’évacuation
est-elle signalée ?
5.4Des moyens de transport sont-ils fournis
pour évacuer toutes les
personnes présentes ?
6. Réaction en cas d’alerte à la bombe
6.1La police a-t-elle été
prévenue ?
69
Questions
Précisions
Oui
Non
Sans objet
6.2Les éléments d’information concernant
des activités suspectes
sont-ils enregistrés et
transmis ?
6.3Les éléments d’information concernant des
objets suspects sont-ils
enregistrés et transmis ?
p. ex. en utilisant un formulaire
7. Coordination de la collaboration avec des entreprises externes et des services publics
7.1La procédure prévue
pour travailler avec des
entreprises externes et
des services publics estelle activée ?
Exemples : sapeurs-pompiers, police
7.2L’accès des collaborateurs d’établissements
externes est-il contrôlé ?
7.3Un contrôle d’identité
est-il effectué auprès
des membres du personnel d’entreprises
externes et de services
publics ?
7.4Les canaux de communication nécessaires
sont-ils activés ?
8.
Arrêt et remise en service contrôlés d’installations
8.1Le site est-il mis hors service, totalement ou en
partie, après concertation avec le responsable
de la cellule de crise ?
8.2Tous les délais sont-ils
pris en compte ?
8.3Les effets d’une mise
hors service – partielle
ou totale – d’installations sont-ils recensés
et pris en compte ?
70
Délai de préparation éventuellement nécessaire
Commentaire
Listes de contrôle
9.
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Gestion des données et documents critiques
9.1Les supports de données et documents
importants sont-ils toujours emballés dans des
contenants étanches à
l’eau et ignifugés ?
9.2Les supports de donnés,
documents et contenants importants sontils marqués comme tels ?
9.3Les supports de donnés
et documents importants sont-ils évacués
du secteur sinistré ?
10. Médias
10.1 Toutes les personnes
qualifiées pour intervenir comme porteparole face aux médias
sont-elles convoquées ?
10.2Tous les textes prérédigés sont-ils immédiatement accessibles ?
10.3Une documentation
générale concernant
l’établissement est-elle
disponible ?
10.4La procédure définie
pour l’autorisation de
révéler les informations vers l’extérieur
est-elle respectée ?
10.5Toutes les listes des interlocuteurs de l’établissement pour les représentants des médias
sont-elles disponibles ?
10.6 Un questionnaire permettant de contrôler
les représentants des
médias est-il disponible ?
Authenticité, contrôle du
document d’identité
71
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Oui
Non
Sans objet
Commentaire
10.7Tous les représentants
des médias font-ils
l’objet d’un traitement
identique ?
10.8 Médias
a. Est-il publié des communiqués de presse ?
b. Des conférences de presse
sont-elles tenues ?
c. Est-il publié des annonces visant à informer le
public ?
d. Des informations sontelles diffusées par le biais
de la radio et de la télévision ?
11. Soutien financier en cas de crise
11.1Des fonds nécessaires
à la gestion de la crise
sont-ils fournis ?
12. Consignation par écrit / conservation des preuves
12.1Toutes les décisions
sont-elles consignées
par écrit ?
Formulaires, procès-verbaux
12.2Tous les dommages
corporels sont-ils consignés, preuves à l’appui ?
Rapports, photos, matériel
vidéo
12.3Tous les dommages
matériels sont-ils documentés ?
Rapports, photos, matériel
vidéo
V.4 Retour d’expérience
Questions
1.Des actions prioritaires
sont-elles définies ?
2.Le niveau des dangers
résiduels est-il évalué ?
72
Précisions
Listes de contrôle
Questions
3.
ne enquête est-elle
U
effectuée auprès du personnel sur la manière
dont la crise a été gérée ?
4.
L es informations concernant les dommages
sont-elles analysées ?
Précisions
Oui
Non
Sans objet
Commentaire
Oui
Non
Sans objet
Commentaire
Rapports, photos, matériel
vidéo
5.Toutes les factures
sont-elles payées ?
6.Les acteurs externes
sont-ils informés sur la
situation ?
Assurances, administrations
7.Les clients concernés
ont-ils été contactés ?
8.
-t-on fait en sorte que
A
tous les travaux de
déblaiement nécessaires soient effectués ?
9.
n inventaire est-il dresU
sé de tous les bâtiments,
installations et équipements détériorés ?
Aérer, déblayer les décombres, sécher, etc.
10.Une estimation du
dommage financier
est-elle effectuée ?
11. L es conclusions du
retour d’expérience
sont-elles mises à profit
pour un ajustement de
la gestion des crises ?
V.5 Exercices
1.
Questions
Précisions
Exercices « table top »
1.1Est-il procédé à des
exercices concernant la
prise en charge de missions et de responsabilités en cas de crise ?
73
Questions
Précisions
1.2Est-il procédé à des
exercices portant sur les
procédures d’alerte, de
remontée de l’information et d’avertissement ?
1.3Les canaux de communication internes et
externes sont-ils testés ?
1.4Les moyens de communication sont-ils testés ?
1.5Des listes de contacts
sont-elles testées ?
Exemple : listes téléphoniques
2. Exercices partiels, exercices complets
2.1Est-il procédé à des
évacuations ?
2.2Après une évacuation,
est-il vérifié que le personnel est au complet ?
2.3Tous les équipements
sont-ils testés ?
2.4Est-il procédé à des
exercices portant sur
l’arrêt contrôlé d’installations et de secteurs ?
2.5L’activation de sites et /
ou d’équipements alternatifs est-elle testée ?
2.6L’activation de systèmes
redondants en mode
de fonctionnement « de
secours » est-elle testée ?
2.7Est-il procédé à des
exercices portant sur le
retour au mode normal
de fonctionnement ?
74
Exemple : équipements de
protection individuelle
Oui
Non
Sans objet
Commentaire
Listes de contrôle
V.6 Choix et aménagement d’un QG de cellule de crise
1.
Questions
Précisions
Oui
Non
Sans objet
Commentaire
Infrastructure des locaux
1.1Le QG de la cellule de
crise se trouve-t-il si
possible dans un secteur sécurisé du site, ou
sur un site alternatif ?
1.2Le QG de la cellule de
crise est-il situé à un
emplacement central,
facilement accessible ?
1.3Les membres / unités de la
cellule de crise peuvent-ils
être joints directement ?
1.4Des espaces de parking
en quantité suffisante
sont-ils disponibles à
proximité immédiate ?
1.5Existe-t-il une salle de
réunion (sans téléphone)
suffisamment spacieuse
et séparée de la salle
de travail, pour faire le
point de la situation ?
1.6Existe-t-il en outre des
petites salles de réunion
pour les groupes de travail / les concertations
sur des points de détail ?
1.7Est-il prévu une salle de
travail suffisamment
spacieuse pour accueillir
la cellule de crise et les
unités de soutien ?
1.8A-t-on pensé, pour
le QG de la cellule de
crise, à mettre en place
un dispositif pare-vue
côté fenêtres, et un dispositif anti-écoute ?
1.9Existe-t-il, à proximité
du QG, des pièces / zones
75
Questions
Précisions
permettant la cellule de
crise de se retirer pour
prendre du repos, se
restaurer et éventuellement dormir ?
1.10Est-il possible d’assombrir la salle, pour les
présentations ?
2. Infrastructure technique
2.1Des postes informatiques, avec accès Internet, courrier électronique et supports externes
de stockage pour le
transport des données
sont-ils disponibles ?
CD-ROM, disques durs externes, clés USB
2.2Des ordinateurs portables, notebooks et PDA
sont-ils disponibles ?
2.3Existe-il une boîte mail
partagée, à distribution contrôlée ?
2.4Des téléphones portables avec câbles
chargeurs, ainsi que
des téléphones analogiques indépendants
du réseau électrique
sont-ils disponibles ?
2.5Existe-t-il éventuellement
une ligne directe avec les
principales entreprises et
administrations ?
2.6Les fax et serveurs fax
sur PC sont-ils en nombre suffisant ?
2.7Des scanners sont-ils
disponibles ?
2.8L’accès au système interne de vidéosurveillance
est-il possible ?
76
Pour scanner des documents, photos, etc…
Oui
Non
Sans objet
Commentaire
Listes de contrôle
Questions
Précisions
Oui
Non
Sans objet
Commentaire
2.9L’accès aux systèmes
informatiques internes
est-il possible ?
2.10L’accès au système radio
et à la technique radio
du site est-il possible ?
2.11A-t-on prévu une technique de visualisation ?
Exemple : écran, beamer,
chevalet de présentation,
tableau blanc
2.12 Dispose-t-on d’un
nombre suffisant de
téléviseurs, radios et
magnétoscopes ?
Pour suivre, analyser et
enregistrer les images prises
par caméra et reportages.
2.13Est-il garanti que les
enregistrements sont
disponibles dans un
format lisible ?
2.14Une photocopieuse estelle disponible ?
2.15Des appareils photo
sont-ils disponibles ?
2.16Une alimentation électrique non interruptible, et / ou un système
d’alimentation de
secours sont-ils prévus ?
3.
Divers
3.1Des formulaires,
feuilles de procèsverbal et modèles de
documents sont-ils
disponibles ?
3.2Des formulaires sont-ils
disponibles pour les
réunions où il est fait le
point de situation ?
3.3Des listes téléphoniques,
listes de contacts et
inventaires de ressources sont-ils disponibles ?
Personnel, équipements,
stocks, prestations de services
en cas de crise, contrats sous
forme numérique et sur papier.
77
Questions
Précisions
3.4Existe-t-il des listes
des participants aux
réunions où il est fait le
point de la situation ?
3.5Existe-t-il un plan de table
pour la cellule de crise ?
3.6Des plans et photos
récents du site sont-ils
disponibles ?
3.7Des badges personnalisés indiquant la
fonction sont-ils prévus
pour les membres de la
cellule de crise ?
Eventuellement aussi des
porte-nom pour la table,
avec désignation du domaine d’activité, en cas de changement de personnes au
sein de la cellule de crise.
3.8Les fournitures de
bureau sont-elles en
quantité suffisante ?
Papier, crayons, stylos, etc.
3.9Y a-t-il un centre de
presse correctement
équipé (TV, radio) ?
Pour les grosses entreprises
et administrations.
3.10Est-il prévu de mettre
en place un contrôle
d’accès pour pénétrer
dans le QG de la cellule
de crise ?
3.11Est-il effectué un
contrôle des papiers
d’identité et des laissez-passer ?
3.12Des cartes de visite
sont-elles disponibles ?
Par exemple pour les représentants des médias
3.13Est-il prévu des repas
pour l’éventualité d’un
événement ?
3.14Des équipements de
protection sont-ils prévus pour l’ensemble du
personnel ?
78
Lunettes de protection, casques, chaussures de sécurité,
masques respiratoires, combinaisons de protection.
Oui
Non
Sans objet
Commentaire
VI. Exemple d’une analyse
des risques
L’exemple suivant illustre la manière dont peut être réalisée
dans la pratique une analyse des risques, pour un établissement fictif. Le sous-processus choisi comme exemple et
examiné est celui d’une salle de contrôle. En l’occurrence, le
processus de la salle de contrôle n’a pas été lui-même divisé
en d’autres sous-processus.
Un tableau de risques généré par un logiciel tableur a été
utilisé pour procéder à l’analyse des risques pour la salle de
contrôle
VI.1 Analyse de criticité
Pour déterminer la criticité de la salle de contrôle, on a
recours à deux des quatre critères listés au chapitre 3.2.1, qui
sont évalués à partir de la classification suivante. Cette classification doit être comprise comme étant une suggestion,
qui pourra être adaptée aux spécificités de l’établissement
concerné. Les catégories encadrées d’un trait épais ont été
choisies pour le sous-processus « salle de contrôle ».
a) Facteur temporel :
En combien de temps la perturbation du processus se répercute-t-elle sur l’ensemble de la production de biens ou de services de l’établissement ?
Laps de temps s’écoulant avant que les services
Catégorie
ou la production soient perturbés
Classification verbale
1
Laps de temps très court (p. ex. : secondes ou minutes)
le sous-processus est très critique
2
Laps de temps court (p. ex. : heures)
le sous-processus est critique
3
Laps de temps moyen (p. ex. : jours)
le sous-processus est important,
mais pas critique
4
Laps de temps long (p. ex. : semaines)
le sous-processus n’est pas très
critique
5
Laps de temps très long (p. ex. : mois, années)
le sous-processus n’est quasiment pas critique
Tableau 1 : Classification selon le critère de criticité « Facteur temporel »
79
b) Volume :
Quel volume de l’ensemble des biens et services serait concerné en cas de perturbation ou d’arrêt total du sous-processus
critique en question ?
Catégorie
Volume de services ou de la production perturbé
Classification verbale
1
Très gros volume
(p. ex. : 80 à 100 % de l’ensemble des services ou de la production)
le sous-processus est très critique
2
Gros volume
(p. ex. : 50 à 80 % de l’ensemble des services ou de la production)
le sous-processus est critique
3
Volume moyen
(p. ex. : 30 à 50 % de l’ensemble des services ou de la production)
le sous-processus est important,
mais pas critique
4
Faible volume
(p. ex. : 10 à 30 % de l’ensemble des services ou de la production)
le sous-processus n’est pas très
critique
5
Très faible volume
(p. ex. : 0 à 10 % de l’ensemble des services ou de la production)
le sous-processus n’est quasiment pas critique
Tableau 2 : Classification selon le critère de criticité « Volume »
Dans le cas de l’établissement fictif, le laps de temps qui s’écoule
jusqu’à ce que l’ensemble des services fournis soient perturbés
est très court, il peut dont être classé dans la catégorie 1. Selon
le critère de criticité « Facteur temporel », le sous-processus doit
donc être considéré comme très critique.
Au total, le sous-processus « Salle de contrôle » est classé comme
étant très critique. Il fait l’objet d’un examen plus détaillé dans le
cadre de l’analyse des risques.
VI.2 Analyse des aléas et élaboration de scénarios
En cas de perturbation de la salle de contrôle, il est présumé que le
volume de services ne pouvant pas être fourni est très élevé – il est
classé dans la catégorie 2. Du point de vue du critère « Volume », le
sous-processus doit donc être considéré comme étant critique.
L’exemple choisi d’un aléa susceptible d’affecter l’établissement fictif est une panne d’électricité. A partir de ce cas de
figure, on peut élaborer le scénario suivant.
Scénario : panne d’électricité
Intensité5 millions de personnes privées d’électricité dans toute l’Europe
Toutes les installations fonctionnant à l’électricité, sans alimentation de secours, sont immobilisées.
Les groupes électrogènes fournis par la protection civile sont loin d’être suffisants pour couvrir les
besoins en alimentation de secours.
Ampleur géographique Pannes régionales touchant de nombreux réseaux régionaux partiels ; la salle de contrôle de l’établissement est affectée par la panne d’électricité
Durée de la panne
4 jours
Avertissement
Aucun avertissement préalable
Événements de référencePanne d’électricité dans la région du Münsterland en novembre 2005, avec des coupures régionales
qui ont duré jusqu’à 5 jours, affectant jusqu’à 250.000 personnes.
Tableau 3 : Scénario d’une panne de l’alimentation externe en électricité
80
Exemple d’une analyse des risques
Il est quasiment impossible de déterminer quantitativement la
probabilité de survenance de ce scénario. Il faut donc l’estimer.
Le passé récent a montré qu’il est tout à fait possible que des
pannes d’électricité surviennent subitement. Dans le contexte
d’un accroissement des catastrophes naturelles extrêmes et de
la montée des menaces terroristes, la probabilité de survenance
de ce scénario est considérée comme « moyenne ». Ce classement correspond à la catégorie n° 3.
Question : Comment estimez-vous la probabilité de survenance d’un tel scénario, dans l’ampleur décrite ? Catégorie
Catégorie verbale
Points
1
très faible
1
2
faible
2
3
moyenne
3
4
élevée
4
5
très élevée
5
Tableau 4 : Classification de la probabilité de survenance
VI.3 Analyse de vulnérabilité
Parmi les critères de vulnérabilité décrits au chapitre 3.2.2.2,
on a sélectionné les critères suivants pour la salle de contrôle :
Dépendance vis-à-vis des éléments de risque
Dépendance vis-à-vis des infrastructures externes – alimentation électrique
Dépendance vis-à-vis des infrastructures externes – trafic,
transport et logistique
Robustesse / Niveau de protection atteint
Redondance / Remplacement
Coût de réparation
Comme pour l’estimation de la probabilité de survenance du
scénario, les valeurs relatives à la vulnérabilité des éléments
de risque sont estimées à l’aide de catégories verbales, avec
une attribution de points pour chacune de ces catégories.
La vulnérabilité est différente d’un scénario à l’autre, ce qui
explique que chaque case n’est pas nécessairement remplie.
C’est pourquoi il a été créé une catégorie 0, qui permet de
neutraliser la combinaison concernée. Les autres catégories
sont les mêmes que celles utilisées pour évaluer la probabilité
de survenance.
On part du principe que ces critères sont particulièrement
pertinents pour l’établissement fictif. Afin de simplifier
l’exemple, il ne sera donné aucune raison justifiant le choix
de ces critères, ce choix indiquant toutefois que les critères
ne doivent pas nécessairement être retenus dans leur totalité
pour tous les établissements.
Le critère « Dépendance vis-à-vis des éléments de risque » sert
de facteur de pondération, la somme des autres valeurs relatives à la vulnérabilité étant utilisée pour le calcul des risques.
81
Catégorie
Catégorie verbale
Description
Points
0
non pertinent
Le scénario est absolument sans importance pour l’élément de risque.
0
1
très faible
Le scénario n’a aucun impact – ou un
impact très faible – sur le déroulement des
activités.
1
2
faible
Le scénario requiert la mise en place de
mesures organisationnelles (changement
de personnel, réparations, etc.)
2
3
moyen
Le scénario entraîne un dysfonctionnement partiel, s’étendant sur une courte
période
3
4
élevé
Le scénario entraîne un dysfonctionnement partiel, s’étendant sur une longue
période
4
5
très élevé
Le scénario entraîne un dysfonctionnement de grande ampleur, s’étendant sur
une longue période
5
Tableau 5 : Classification de la vulnérabilité
Dans le tableau des risques, on procède alors à l’estimation
d’une vulnérabilité, pour chaque élément de risque et pour
chaque critère de vulnérabilité. Les valeurs correspondantes,
V1 à V570, sont inscrites dans les cases prévues à cet effet.
L’opération est répétée pour chaque élément de risque. Cette
démarche une fois terminée, on obtient un tableau des risques qui, pour le sous-processus choisi, indique les vulnérabilités partielles et les risques partiels, ainsi que la vulnérabilité
globale et le risque global.
V2 :Dépendance vis-à-vis des infrastructures externes – trafic, transport et logistique
V3 : Robustesse / Niveau de protection atteint
V4 : Redondance / Remplacement
V5 : Coût de réparation
Valeurs relatives aux éléments de risque calculés dans le
tableau :
Vulnérabilité partielle = DER * (V1 + V2 + V3 + V4 + V5)
Risque partiel
= PS * DER * (V1 + V2 + V3 + V4 + V5)
VI.4 Calcul du risque
Valeurs relatives au processus, calculées dans le tableau :
Le recoupement, et donc le calcul des valeurs, s’effectue de la
manière suivante, à partir du tableau des risques décrit ci-dessus :
Vulnérabilité totale Risque total
Points inscrits dans le tableau :
PS : Probabilité de survenance
DER : Dépendance vis-à-vis des éléments de risque
V1 : Dépendance vis-à-vis d’infrastructures externes - alimentation électrique
82
70
Cf. Tableau 6 et 7.
= somme de toutes les vulnérabilités
partielles
= somme de tous les risques partiels
Personnel
La salle de
contrôle est
très tributaire du personnel.
5
Points
Dans quelle
mesure
la salle de
contrôle estelle, à votre
avis, tributaire d’un
personnel
spécialisé ?
Dépendance
vis-à-vis des
éléments de
risques
Commentaires
Questions
3
Panne de
l’alimentation
externe en
électricité
Scénario :
PS :
Salle de
contrôle
Sousprocessus:
1
Le personnel
n’est tributaire
de l’alimentation en électricité que dans une
certaine mesure. L’absence
d’un éclairage
de secours, par
exemple peut le
gêner dans son
travail.
Quelle est, à
votre avis, la
vulnérabilité
de la salle de
contrôle en
raison de la
dépendance du
personnel vis-àvis de l’alimentation électrique externe ?
Dépendance
vis-à-vis des
infrastructures
externes - alimentation électrique
3
La panne d’électricité externe
peut affecter
également le
trafic et les
transport. Il est
possible que le
personnel ne
puisse pas se
rendre à son
travail.
Quelle est, à
votre avis, la
vulnérabilité
de la salle de
contrôle en
raison de la
dépendance du
personnel vis-àvis du trafic, des
transports et de
la logistique ?
Dépendance
vis-à-vis d’infrastructures
externes - trafic,
transport et
logistique
1
L’absence d’un
éclairage de
secours peut
provoquer des
accidents et des
blessures.
Quelle est, à
votre avis, la
vulnérabilité
de la salle de
contrôle en raison de l’absence
de protection
physique pour
le personnel ?
Robustesse /
Niveau de protection atteint
2
La panne d’électricité n’aura
probablemeent
qu’un impact
faible ou moyen
sur la disponibilité de personnel
de remplacement (gêne dans
les transports en
commun, le trafic ferroviaire).
Quelle est, à
votre avis, la vulnérabilité de la
salle de contrôle
en raison de
l’absence de
personnel de
remplacement
en cas de panne
d’électricité ?
Redondance,
remplacement
Critères de vulnérabilité de la salle de contrôle
1
La panne une
fois terminée,
le personnel
ne sera plus
affecté.
Quelle peut
être la vulnérabilité du
sous-processus
du point de
vus du temps
nécessaire pour
rétablir le personnel dans ses
fonctions ?
Coût de
réparation
40
Vulnérabilité
partielle
120
Risque
partiel
Calcul
Exemple d’une analyse des risques
Tableau 6 : Extrait du tableau des risques pour la salle de contrôle
83
Le tableau suivant montre le résultat d’un exemple pour tous
les éléments de risque de la salle de contrôle. Dans un souci de
clarté, les questions et les commentaires ont été effacés de ce
Salle de
contrôle
Dépendance vis-à-vis d’infrastructures externes - trafic,
transport et logistique
Robustesse / Niveau de protection atteint
Redondance, remplacement
Coût de réparation
Vulnérabilité partielle
Risque partiel
3
Personnel
Points
5
1
3
1
2
1
40
120
Site, bâtiments
Points
5
0
0
0
3
0
15
45
Installations,
équipements
Points
5
5
0
3
1
2
55
165
Données,
logiciels
Points
5
5
1
4
5
3
90
270
Documents
Points
2
0
0
0
0
0
0
0
Moyens de
fonctionnement
Points
5
2
2
0
4
0
40
120
240
720
Panne de l’alimentaiton
externe en électricité
PS :
Scénario :
Vulnérabilité totale, risque total (sous-processus, scénario) :
Tableau 7 : Tableau des risques pour la salle de contrôle, sans questions ni commentaires
84
Calcul
infrastructures externes - alimentation électrique
Critères de vulnérabilité de la salle de contrôle
Dépendance vis-à-vis des éléments de risques
Sousprocessus :
tableau. Toutes les installations et tous les équipements spécifiques à l’établissement sont regroupés dans l’exemple à la rubrique « Installations et équipements ».
Exemple d’une analyse des risques
VI.5 Comparaison des risques
les vulnérabilités partielles et les risques partiels de différents sous-processus ;
les vulnérabilités totales et les risques totaux de différents
sous-processus ;
En analysant tous les processus critiques, ainsi que leurs sousprocessus au sein de l’établissement, de même que les différents scénarios pertinents pour l’établissement, on obtient
une série de tableaux de risques, qui peuvent être alors placés
les uns à côté des autres. Les résultats sont générés sur la
même base standardisée, tant au niveau de la méthode que
du contenu, ce qui permet de procéder à une comparaison
exhaustive des aspects suivants :
L’exemple ne peut fournir qu’une comparaison de vulnérabilités partielles et de risques partiels relatifs à la salle de
contrôle. En étendant cette démarche à d’autres sous-processus, on obtient une comparaison de vaste portée pour l’ensemble de l’établissement.
les vulnérabilités partielles et les risques partiels des éléments de risque au sein d’un sous-processus ;
les vulnérabilités partielles et les risques partiels des
mêmes éléments de risque de sous-processus différents ;
L’illustration suivante représente schématiquement la comparaison de deux sous-processus et de différents scénarios.
Illustration 12 : Deux sous-processus, plusieurs scénarios
(?IGK;ÞF7HJ?;B
EsJÞ:;ÞHcF7H7J?ED Þ
,KBDcH78?B?JcÞF7HJ?;BB;
ÞÞÞÞ7B9KB
(;:ED:7D9;ÞH;CFB79;C;DJ
(E8KIJ;II;ÞÞ$?L;7KÞ
:;ÞFHEJ;9J?EDÞ7JJ;?DJ
Þ
cF;D:7D9;ÞL?I]L?IÞ
Þ
:?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ
JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ
D
cF;D:7D9;ÞL?I]L?IÞ:;IÞ
Þ
cBcC;DJIÞ:;ÞH?IGK;I
)9cD7H?EÞÞ
H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB;
Þ
?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ
Þ
7B?C;DJ7J?EDÞcB;9JH?GK;
Õ
&)Þ
'K;IJ?ED
&;HIEDD;B
ECC;DJ7?H;
&E?DJI
'K;IJ?ED
&E?DJI
&E?DJI
Õ
'K;IJ?ED
#EO;DIÞ:;Þ
ECC;DJ7?H;
<ED9J?EDD;C;DJ
&E?DJI
'K;IJ?ED
#EO;DIÞ:;Þ
<ED9J?EDD;C;DJ
'K;IJ?ED
(?IGK;ÞF7HJ?;B
,KBDcH78?B?JcÞF7HJ?;BB;
EsJÞ:;ÞHcF7H7J?ED Þ
(;:ED:7D9;ÞH;CFB79;C;DJ
Þ
(E8KIJ;II;ÞÞ$?L;7KÞ
:;ÞFHEJ;9J?EDÞ7JJ;?DJ
Þ
cF;D:7D9;ÞL?I]L?IÞ
:?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ
JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ
ECC;DJ7?H;
H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB;
&E?DJI
)9cD7H?EÞÞ
D
'K;IJ?ED
ECC;DJ7?H;
&E?DJI
D
&)Þ
,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ
ECC;DJ7?H;
&E?DJI
&;HIEDD;B
,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ
DIJ7BB7J?EDIÞ
ECC;DJ7?H;
DcGK?F;C;DJIÞ
H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB;
&E?DJI
'K;IJ?ED
EDDc;IÞÞ
H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB;
ECC;DJ7?H;
BE=?9?;BI
&)Þ
&E?DJI
'K;IJ?ED
&;HIEDD;B
'K;IJ?ED
ECC;DJ7?H;
'K;IJ?ED
ÞÞÞÞ7B9KB
'K;IJ?ED
ECC;DJ7?H;
E9KC;DJI
&E?DJI
ECC;DJ7?H;
)?J;Þ
8^J?C;DJI
&E?DJI
&)Þ
'K;IJ?ED
ECC;DJ7?H;
#EO;DIÞ:;Þ
&E?DJI
<ED9J?EDD;C;DJ
&E?DJI
'K;IJ?ED
ÞÞÞÞ7B9KB
ÞÞÞÞ7B9KB
(?IGK;ÞF7HJ?;B
ECC;DJ7?H;
)9cD7H?EÞÞ
'K;IJ?ED
E9KC;DJI
)9cD7H?EÞÞ
'K;IJ?ED
ECC;DJ7?H;#EO;DIÞ:;Þ
<ED9J?EDD;C;DJ
&E?DJI
)?J;Þ
8^J?C;DJI
&E?DJI
,KBDcH78?B?JcÞF7HJ?;BB;
×
'K;IJ?ED
ECC;DJ7?H;
Ö
'K;IJ?ED
ECC;DJ7?H;
E9KC;DJI
&E?DJI
Þ
?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ
Þ
7B?C;DJ7J?EDÞcB;9JH?GK;
'K;IJ?ED
EsJÞ:;ÞHcF7H7J?ED Þ
'K;IJ?ED
ECC;DJ7?H;EDDc;IÞÞ
BE=?9?;BI
&E?DJI
cF;D:7D9;ÞL?I]L?IÞ:;IÞ
Þ
cBcC;DJIÞ:;ÞH?IGK;I
(?IGK;ÞF7HJ?;B
,KBDcH78?B?JcÞF7HJ?;BB;
(?IGK;ÞF7HJ?;B
EsJÞ:;ÞHcF7H7J?ED Þ
(;:ED:7D9;ÞH;CFB79;C;DJ
Þ
EsJÞ:;ÞHcF7H7J?ED Þ
(E8KIJ;II;ÞÞ$?L;7KÞ
:;ÞFHEJ;9J?EDÞ7JJ;?DJ
cF;D:7D9;ÞL?I]L?IÞ
Þ
:?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ
(;:ED:7D9;ÞH;CFB79;C;DJ
JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ
,KBDcH78?B?JcÞF7HJ?;BB;
(?IGK;ÞF7HJ?;B
&E?DJI
&E?DJI
Þ
&E?DJI
,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ
ECC;DJ7?H;
(?IGK;ÞF7HJ?;B
'K;IJ?ED
ECC;DJ7?H;
'K;IJ?ED
ECC;DJ7?H;
DIJ7BB7J?EDIÞ
cGK?F;C;DJIÞ
,KBDcH78?B?JcÞF7HJ?;BB;
(;:ED:7D9;ÞH;CFB79;C;DJ
ECC;DJ7?H;
E9KC;DJI
'K;IJ?ED
&;HIEDD;B
(E8KIJ;II;ÞÞ$?L;7KÞ
Þ
:;ÞFHEJ;9J?EDÞ7JJ;?DJ
EsJÞ:;ÞHcF7H7J?ED
EDDc;IÞÞ
BE=?9?;BI
&)Þ
ECC;DJ7?H;
&E?DJI
'K;IJ?ED
D
ÞÞÞÞ7B9KB
(?IGK;ÞF7HJ?;B
EDDc;IÞÞ
ECC;DJ7?H;
BE=?9?;BI
&E?DJI
'K;IJ?ED
)9cD7H?EÞÞ
Þ
?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ
Þ
7B?C;DJ7J?EDÞcB;9JH?GK;
(E8KIJ;II;ÞÞ$?L;7KÞ Þ
:;ÞFHEJ;9J?EDÞ7JJ;?DJ
EsJÞ:;ÞHcF7H7J?ED Þ
Þ
cF;D:7D9;ÞL?I]L?IÞ
:?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ
JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ
(;:ED:7D9;ÞH;CFB79;C;DJ
,KBDcH78?B?JcÞF7HJ?;BB;
'K;IJ?ED
DIJ7BB7J?EDIÞ
cGK?F;C;DJIÞ
#EO;DIÞ:;Þ
&E?DJI
<ED9J?EDD;C;DJ
&E?DJI
H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB;
(;:ED:7D9;ÞH;CFB79;C;DJ
&E?DJI
'K;IJ?ED
ECC;DJ7?H;
'K;IJ?ED
ECC;DJ7?H;
(E8KIJ;II;ÞÞ$?L;7KÞ Þ
:;ÞFHEJ;9J?EDÞ7JJ;?DJ
cF;D:7D9;ÞL?I]L?IÞ
Þ
cF;D:7D9;ÞL?I]L?IÞ:;IÞ
Þ
:?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ
cBcC;DJIÞ:;ÞH?IGK;I
Þ
JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ
DIJ7BB7J?EDIÞ
ECC;DJ7?H;
cGK?F;C;DJIÞ
&E?DJI
E9KC;DJI
Ö
cF;D:7D9;ÞL?I]L?IÞ:;IÞ
Þ
cF;D:7D9;ÞL?I]L?IÞ
Þ cBcC;DJIÞ:;ÞH?IGK;I
:?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ
JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ
Þ
?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ
Þ
7B?C;DJ7J?EDÞcB;9JH?GK;
'K;IJ?ED
)?J;Þ
8^J?C;DJI
ECC;DJ7?H; )?J;Þ
8^J?C;DJI
&E?DJI
'K;IJ?ED
ECC;DJ7?H;
ÞÞÞÞ7B9KB
Þ
?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ
Þ
7B?C;DJ7J?EDÞcB;9JH?GK;
&E?DJI
&;HIEDD;B
ÞÞÞÞ7B9KB
ÞÞÞÞ7B9KB
cF;D:7D9;ÞL?I]L?IÞ:;IÞ
Þ
cBcC;DJIÞ:;ÞH?IGK;I
&;HIEDD;B
'K;IJ?ED
)?J;Þ
ECC;DJ7?H;
8^J?C;DJI
'K;IJ?ED
EsJÞ:;ÞHcF7H7J?ED Þ
'K;IJ?ED
&;HIEDD;B
&)Þ
Þ
(;:ED:7D9;ÞH;CFB79;C;DJ
?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ
(E8KIJ;II;ÞÞ$?L;7KÞ
Þ
Þ
7B?C;DJ7J?EDÞcB;9JH?GK;
:;ÞFHEJ;9J?EDÞ7JJ;?DJ
cF;D:7D9;ÞL?I]L?IÞ:;IÞ
Þ
cBcC;DJIÞ:;ÞH?IGK;I
D
&)Þ
&E?DJI
EDDc;IÞÞ
H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB;
ECC;DJ7?H;
BE=?9?;BI
&)Þ
&E?DJI
Õ
)9cD7H?EÞÞ
Þ
(E8KIJ;II;ÞÞ$?L;7KÞ cF;D:7D9;ÞL?I]L?IÞ
Þ
:;ÞFHEJ;9J?EDÞ7JJ;?DJ:?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ
cF;D:7D9;ÞL?I]L?IÞ:;IÞ
Þ
JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ
cBcC;DJIÞ:;ÞH?IGK;I
D
'K;IJ?ED
DDIJ7BB7J?EDIÞ
H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB;
ECC;DJ7?H;
cGK?F;C;DJIÞ
cF;D:7D9;ÞL?I]L?IÞ
Þ
Þ
:?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞÞ
?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ
JH7<?9ÞJH7DIFEHJÞ;JÞBE=?IJ?GK;Þ
Þ
7B?C;DJ7J?EDÞcB;9JH?GK;
)9cD7H?EÞÞ
)9cD7H?EÞÞ
Þ
?D<H7IJHK9JKH;IÞ;NJ;HD;IÞÞ
Þ
7B?C;DJ7J?EDÞcB;9JH?GK;
cF;D:7D9;ÞL?I]L?IÞ:;IÞ
Þ
cBcC;DJIÞ:;ÞH?IGK;I
Ö
ECC;DJ7?H;
H?JdH;IÞ:;ÞLKBDcH78?B?JcÞ:;ÞB7ÞI7BB;Þ:;Þ9EDJHnB;
&E?DJI
,KBDcH78?B?JcÞF7HJ?;BB;
)?J;Þ
× 8^J?C;DJI
ECC;DJ7?H;
&E?DJI
ECC;DJ7?H;
'K;IJ?ED
&E?DJI
&;HIEDD;B
'K;IJ?ED
)?J;Þ
ECC;DJ7?H;
8^J?C;DJI
ECC;DJ7?H;
DIJ7BB7J?EDIÞ
cGK?F;C;DJIÞ
&E?DJI
&E?DJI
,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ
'K;IJ?ED
)?J;Þ
8^J?C;DJI
'K;IJ?ED
,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ
ECC;DJ7?H;
&E?DJI
'K;IJ?ED
DIJ7BB7J?EDIÞ
ECC;DJ7?H;
cGK?F;C;DJIÞ
&E?DJI
'K;IJ?ED
ECC;DJ7?H;
EDDc;IÞÞ
&E?DJI BE=?9?;BI
ECC;DJ7?H;
&E?DJI
'K;IJ?ED
DIJ7BB7J?EDIÞ
cGK?F;C;DJIÞ
'K;IJ?ED
ECC;DJ7?H;
EDDc;IÞ
Þ
BE=?9?;BI
&E?DJI
ECC;DJ7?H;
E9KC;DJI
&E?DJI
'K;IJ?ED
EDDc;IÞ
Þ
BE=?9?;BI
'K;IJ?ED
ECC;DJ7?H;
E9KC;DJI
ECC;DJ7?H;
#EO;DIÞ:;Þ
<ED9J?EDD;C;DJ
&E?DJI
&E?DJI
'K;IJ?ED
E9KC;DJI
#EO;DIÞ:;Þ
ECC;DJ7?H;
<ED9J?EDD;C;DJ
&E?DJI
'K;IJ?ED
#EO;DIÞ:;Þ
<ED9J?EDD;C;DJ
'K;IJ?ED
'K;IJ?ED
ECC;DJ7?H;
&E?DJI
'K;IJ?ED
ECC;DJ7?H;
&E?DJI
,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ
ECC;DJ7?H;
&E?DJI
,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ
ECC;DJ7?H;
&E?DJI
,KBDcH78?B?JcÞJEJ7B;ÞH?IGK;ÞJEJ7BÞIEKIFHE9;IIKIÞI9cD7H?EÞ
85
Les résultats du calcul des vulnérabilités partielles et risques
partiels peuvent être classés en catégories verbales. Dans le
classement suivant, une valeur appartient à la catégorie supérieure lorsqu’elle dépasse d’un point la valeur maximum de la
catégorie concernée.
Pour l’élément de risque « Données, logiciels », on obtient
les résultats suivants. Se chiffrant à 90, la vulnérabilité partielle doit être considérée comme étant très élevée. Avec 270
points, le risque partiel est élevé.71
La vulnérabilité totale et le risque total du sous-processus
« salle de contrôle » peuvent, eux aussi, être catégorisés selon
cette méthode. Se chiffrant respectivement à 240 et 720, la
vulnérabilité totale et le risque total peuvent être qualifiés de
moyens.
Vulnérabilité totale
Points
Catégories verbales
0
aucune vulnérabilité
totale
1 à 35
vulnérabilité totale très
faible
Vulnérabilité partielle
Points
Catégories verbales
0
aucune vulnérabilité
partielle
36 à 140
vulnérabilité
totale faible
1à5
vulnérabilité partielle très
faible
141 à 315
vulnérabilité totale
moyenne
6 à 20
vulnérabilité partielle
faible
316 à 560
vulnérabilité
totale élevée
21 à 45
vulnérabilité partielle
moyenne
561 à 875
vulnérabilité totale très
élevée
46 à 80
vulnérabilité partielle
élevée
81 à 125
vulnérabilité partielle très
élevée
Tableau 8 : Classification des résultats du calcul des vulnérabilités
Tableau 10 : Classification des résultats du calcul des vulnérabilités
totales
Risques totaux
partielles
Risques partiels
Catégorie
86
Points
Catégories verbales
0
0
aucun risque total
1
1 à 35
risque total
très faible
Points
Catégories verbales
0
0
aucun risque partiel
2
36 à 280
1
1à5
risque partiel très
faible
risque
total faible
3
281 à 945
risque
total moyen
4
946 à 2240
risque total élevé
5
2241 à 4375
risque total
très élevé
2
6 à 40
risque partiel faible
3
41 à 135
risque partiel moyen
4
136 à 320
risque partiel élevé
5
321 à 625
risque partiel très
élevé
Tableau 9 : Classification des résultats du calcul des risques partiels
71
Catégories
Cf. chap. VI. 4. Calcul du risque, Tableau 7.
Tableau 11 : Classification des résultats du calcul des risques totaux
Exemple d’une analyse des risques
La salle de contrôle présente une vulnérabilité totale moyenne et un risque total moyen. Pour l’élément de risque « Données et logiciels », en revanche, tant la vulnérabilité partielle
que le risque partiel s’avèrent très élevés. En termes de risques
partiels élevés, les « installations et équipements » arrivent en
deuxième position. Ce risque partiel peut, lui aussi, être considéré comme élevé. Si, dans la réalité, il était prévu des mesures de sécurité supplémentaires, c’est au niveau de ces deux
éléments de risque qu’il conviendrait de les mettre en place.
REMARQUE IMPORTANTE :
Lors d’une comparaison des risques, l’accent doit être mis
sur une comparaison des risques partiels. Les risques partiels
élevés fragilisent considérablement un sous-processus, et
doivent donc être réduits.
Lorsqu’ils sont élevés, la vulnérabilité totale ou le risque
total d’un sous-processus peuvent indiquer que l’on est en
présence de plusieurs risques partiels élevés. Dans un tel
cas, des efforts particulièrement importants doivent être
faits pour réduire ces risques. En revanche, les risques totaux
résultant uniquement de risques partiels moyens sont moins
pertinents.
Au lieu de comparer les tableaux de risques imprimés sur
papier, il est également possible de transférer dans un nouveau tableau toutes les valeurs calculées, comme les vulnérabilités partielles ou les risques partiels. Ceci permet de synthétiser tous les résultats dans un seul tableau et de procéder
simplement à une analyse graphique, à l’aide de la fonction
Diagramme du tableur.
87
Cette brochure est distribuée à titre gratuit dans le cadre du travail de relations publiques du ministère fédéral de l’Intérieur.
Est illégale toute utilisation par des partis politiques ou des candidats ou leurs supporteurs à des fins de propagande électorale
pendant des campagnes électorales. Ceci s’applique aux élections européennes, aux élections législatives au niveau fédéral
et régional ainsi qu’aux élections municipales. Est notamment considérée comme abusive la distribution de la brochure lors
d’événements électoraux ou sur des stands d’information des partis politiques ainsi que l’insertion, l’impression ou l’apposition
d’informations ou de supports de propagande relatifs à un parti politique dans ou sur la brochure. Est en outre interdite toute
communication à des tiers à des fins de propagande électorale. Indépendamment de la voie par laquelle le destinataire a reçu
la présente brochure, du moment de la réception et du nombre d’exemplaires reçus, cette brochure ne doit pas être utilisée –
même en dehors d’une période préélectorale – de manière à pouvoir suggérer une prise de position du gouvernement fédéral
en faveur d’un groupement politique particulier.
Edité par le
Ministère fédéral de l’Intérieur
Division KM 4
Alt-Moabit 101 D
10559 Berlin, Allemagne
www.bmi.bund.de
Rédaction :
Office fédéral pour la protection des populations et l’assistance en cas de catastrophe
Direction générale II – Prévention des situations d’urgence et infrastructures critiques
Conception générale :
MEDIA CONSULTA Deutschland GmbH
Crédits photographiques :
Office fédéral pour la protection des populations et l’assistance en cas de catastrophe
Agence fédérale de secours technique
Impression :
Silber Druck oHG, Niestetal
Cette brochure peut être commandée gratuitement.
Service d’envoi des publications du gouvernement fédéral
Postfach 48 10 09
18132 Rostock, Allemagne
Téléphone : +49 18 05-77 80 90
(14 centimes la minute depuis un poste fixe en Allemagne,
prix différents à partir d’un réseau de téléphonie mobile ; dernière mise à jour sept. 2007)
Télécopieur : +49 18 05-77 80 94
(14 centimes la minute depuis un poste fixe en Allemagne,
prix différents à partir d’un réseau de téléphonie mobile ; dernière mise à jour sept. 2007)
e-mail : [email protected]
Référence / Artikelnummer : BMI08321
Les données personnelles communiquées en vue de l’envoi sont effacées une fois la livraison effectuée.