92
www.bmi.bund.de Manuel destiné aux entreprises et aux administrations Protection des infrastructures critiques – gestion des risques et des crises

Protection des infrastructures critiques – gestion des risques et des

  • Upload
    vudang

  • View
    230

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Protection des infrastructures critiques – gestion des risques et des

www.bmi.bund.dewww.bmi.bund.de

Manuel destiné aux entreprises et aux administrations

Protection des infrastructures critiques – gestion des risques et des crises

Page 2: Protection des infrastructures critiques – gestion des risques et des
Page 3: Protection des infrastructures critiques – gestion des risques et des

1

L’existence de notre société dépend de sa capacité à assurer son approvisionnement en produits,

fonctions et services les plus divers. Garantir la protection des établissements vitaux s’inscrit donc

parmi les missions fondamentales dévolues à l’Etat en matière de mesures de sécurité préventives.

Aujourd’hui, face à la menace du terrorisme international et à la recrudescence des événements

extrêmes, les défis pesant sur la protection des infrastructures critiques se font de plus en plus nom-

breux, tandis que les technologies de l’information, qui interpénètrent tous les secteurs de la vie

et de l’économie, sont elles aussi soumises à de nouvelles menaces. La majorité des infrastructures

devant être considérées comme critiques au sein de notre société étant détenues par des exploitants

privés, l’Etat et le secteur privé œuvrent main dans la main en Allemagne pour assurer la protection

efficace des installations, des établissements et des systèmes concernés. Dans ce contexte, les autori-

tés chargées de la sécurité apportent leur soutien aux entreprises en les faisant bénéficier de conseils,

de mises en réseau et de recommandations concrètes. Le secteur privé apporte, quant à lui, son

expertise et son expérience pratique à ce partenariat.

Le présent manuel est le fruit de cette coopération. S’adressant aux exploitants d’infrastructures cri-

tiques, il vise à leur apporter une aide pour élaborer et perfectionner leur propre gestion des risques

et des crises. Partant des recommandations générales figurant dans la brochure « Protection d’infras-

tructures critiques – concepts de base de protection » (ministère fédéral de l’Intérieur, 2005), il expose

plusieurs méthodes de mise en œuvre d’une gestion des risques et des crises, tout en les assortissant

d’exemples et de check-lists. Lors de la conception de ce manuel, le ministère fédéral de l’Intérieur,

l’Office fédéral pour la protection des populations et l’assistance en cas de catastrophes ainsi que l’Office

fédéral pour la sécurité des techniques de l’information ont été assistés par des experts de la pratique

entrepreneuriale. Aussi le ministère fédéral de l’Intérieur tient-il à exprimer ses remerciements à

MM. Bernd Marquardt et Hans-Jürgen Penz – Berufsgenossenschaft der Banken, Versicherungen, ■

Verwaltungen, freien Berufe und besonderer Unternehmen – Verwaltungs-Berufsgenossenschaft

(Association mutuelle professionnelle d’assurance contre les accidents, secteur administratif – ban-

ques, assurances, administrations, professions libérales et entreprises spécifiques),

M. Heinz-Peter Geil – Commerzbank AG, ■

Mme Sonja Altstetter – Forschungszentrum Jülich GmbH, ■

MM. Friedhelm Jungbluth et Jens Sanner – Fraport AG, ■

M. Uwe Marquardt – Gelsenwasser AG, ■

M. Wolfgang Czerni – Infraprotect GmbH, ■

M. Frank Tesch – Trauboth Risk Management GmbH, ■

M. Klaus Bockslaff – VERISMO GmbH, ■ainsi qu’à leurs collaboratrices et collaborateurs pour leur coopération tout au long des travaux qui

ont donné naissance à ce manuel.

Nous tenons également à remercier les partenaires suivants pour les conseils et suggestions qu’ils ont

bien voulu nous apporter : la société EnBW Regional AG, l’Union générale des assureurs allemands

(Gesamtverband der Deutschen Versicherungswirtschaft e. V.) ainsi que l’Association allemande pour

la sécurité dans le secteur privé (Arbeitsgemeinschaft für Sicherheit der Wirtschaft e. V.). Faisant

suite à l’adoption du plan KRITIS (mise en œuvre du plan national de protection des infrastructures

d’information critiques) par le cabinet fédéral durant l’été 2007, le présent manuel constitue une

nouvelle contribution du ministère fédéral de l’Intérieur : visant à renforcer la protection des infras-

tructures critiques, il souligne l’intérêt d’une collaboration confiante et constructive entre l’Etat et le

secteur privé sur cet important chapitre de sécurité intérieure.

Berlin, Janvier 2008

Préface

�����������������������������������������������������

Page 4: Protection des infrastructures critiques – gestion des risques et des
Page 5: Protection des infrastructures critiques – gestion des risques et des

Préface 1

Résumé 7

1. Introduction 9

2. Informations de base sur les infrastructures critiques 10

2.1 Secteurs 10

2.2 Environnementetcaractéristiques 10

2.2.1 Evolutiondesmenaces 10

2.2.2 Environnementsocioéconomique 11

2.2.3 Caractéristiquesparticulières 12

2.3 Exigencesjuridiquesrelativesàlagestiondesrisquesetdescrises 13

3. Gestion des risques et des crises pour la protection des infrastructures critiques 14

3.1 Phase1:Planificationpréalable 15

3.1.1 Miseenplace 15

3.1.2 Répartitiondesresponsabilités 15

3.1.3 Ressourcesnécessaires 15

3.1.4 Clarificationdesobligationslégales 15

3.1.5 Objectifsstratégiquesdeprotection 15

3.1.6 Communicationsurlesrisques 16

3.2 Phase2:Analysedesrisques 16

3.2.1 Analysedecriticité 17

3.2.2 Identificationdesrisques 18

3.2.2.1 Analysedesaléasetélaborationdescénarios 18

3.2.2.2 Analysedevulnérabilité 19

3.2.2.3 Calculdesrisques 20

3.2.2.4 Comparaisonetévaluationdesrisques 21

Sommaire

Page 6: Protection des infrastructures critiques – gestion des risques et des

3.3 Phase3:Mesuresetstratégiespréventives 21

3.3.1 Réductiondesrisques 21

3.3.2 Préventiondesrisques 22

3.3.3 Transfertdesrisques 22

3.3.4 Acceptationdesrisques(risquesrésiduels) 22

3.3.5 Expériencesdesassureursdechosesenmatièrededommages 22

3.4 Phase4:Gestiondescrises 22

3.4.1 L’organisationdelagestiondescrises 24

3.4.1.1 Plandecrise 24

3.4.1.2 Organisationstructurelle 25

3.4.1.2.1 Celluledecrise 25 3.4.1.2.2 Directeurdelacelluledecrise 26 3.4.1.2.3 Equipedelacelluledecrise 26 3.4.1.2.4 Consultantsauseindelacelluledecrise 26

3.4.1.3 Organisationfonctionnelle 26 3.4.1.3.1 Circuitsdesignalementetalerte 27 3.4.1.3.2 Communicationdecrise 29

3.4.1.4 Quartiergénéraldelacelluledecrise 30

3.4.2 Maîtrisedelacrise 30

3.4.2.1 Tableaudelasituation 31

3.4.2.2 Evaluationdelasituation,adoptionetmise

enœuvredemesures 32

3.4.2.3 Contrôle 32

3.4.2.4 Garantiedelacontinuitéd’activitéetdeservice 32

3.4.2.5 Retouràl’activiténormale 32

3.4.2.6 Documentationdelamaîtrisedelacrise 32

3.4.3 Suivipost-crise 33

3.4.4 Exercices 33

3.5 Phase5:Evaluationdelagestiondesrisquesetdescrises 34

Annexe

I. Bibliographie 36

II. Abréviations 38

III. Définitions 39

Page 7: Protection des infrastructures critiques – gestion des risques et des

IV. Liste des aléas – Informations sur la nature, l’exposition, l’intensité et l’impact, ainsi que sur les personnes à contacter 44

V. Listes de contrôle 47

V.1 Mesurespréventives 48

V.1.1 Gestionderisquesetdecrises–Généralités 48

V.1.2 Terrains,édifices,équipements–Crues 49

V.1.3 Terrains,édifices,équipements–Séismes 51

V.1.4 Terrains,édifices,équipements–Tempêtes 51

V.1.5 Terrains,édifices–Actesintentionnelsd’originecriminelle

et/outerroriste 52

V.1.6 Installationsetéquipements–Alimentationélectrique 54

V.1.7 Installationsetéquipements–Informatique 56

V.1.8 Installationsetéquipements–Technologiedelacommunication 57

V.2 Auditdelagestiondecrise 58

V.2.1 Organisationgénérale 58

V.2.2 Personnel–Généralités 63

V.2.3 Gestiondelacrise–Plandepandémie

(enparticulierpandémiegrippale) 64

V.3 Gestiondelacrise 65

V.3.1 Procéduresgénéralesencasdecrise 65

V.3.2 Procéduresspécialesdurantlacrise 68

V.4 Retourd’expérience 72

V.5 Exercices 73

V.6 Choixetaménagementd’unQGdecelluledecrise 75

VI. Exemple d’une analyse des risques 79

VI.1 Analysedecriticité 79

VI.2 Analysedesaléasetélaborationdescénarios 80

VI.3 Analysedevulnérabilité 81

VI.4 Calculdurisque 82

VI.5 Comparaisondesrisques 85

Page 8: Protection des infrastructures critiques – gestion des risques et des

66

Page 9: Protection des infrastructures critiques – gestion des risques et des

77

Le présent manuel propose une stratégie de gestion visant à

aider les exploitants des infrastructures critiques, c’est-à-dire

des entreprises et des administrations, à identifier et réperto-

rier les risques, à mettre en œuvre des mesures préventives et

à gérer les crises de manière efficace. Le terme « infrastructure

critique » désigne « les organisations et les établissements

revêtant une importance particulière pour la collectivité

publique et dont la défectuosité ou la perturbation provoque-

raient des pénuries durables des approvisionnements, des

dysfonctionnements considérables de la sécurité publique ou

d’autres conséquences dramatiques ».

L’histoire récente a montré que les infrastructures peuvent

subir des dommages et que la perturbation des processus

critiques peut avoir de lourdes conséquences sociales et éco-

nomiques.

En effet, les catastrophes naturelles, les défaillances techni-

ques, les erreurs humaines, les actes de nature terroriste ou

criminelle ainsi que les conflits armés peuvent être à l’origine

de dégâts considérables.

Pour les exploitants d’infrastructures critiques, il est essentiel

de savoir identifier ces sources de dommages et de s’y prépa-

rer. En amont, l’enjeu sera donc de réussir à appréhender et

à réduire au maximum ces menaces tout en se préparant au

mieux aux crises inévitables. Tout en aidant à surmonter les

ravages engendrés par les crises, ce type de démarche appor-

te une contribution à la valeur ajoutée des entreprises, leur

permet de respecter les exigences réglementaires en matière

de sécurité, et soutient les administrations dans leur mission.

La stratégie de gestion des risques et des crises proposée dans

le présent manuel se compose de cinq phases : la planifica-

tion d’une gestion solide des risques et des crises ; l’analyse

des risques, dont nous décrirons les aspects fondamentaux ;

la mise en œuvre de mesures préventives ; la gestion des cri-

ses, dont nous présenterons divers aspects ; et enfin l’évalua-

tion – sur laquelle nous fournirons quelques précisions – de

la gestion des risques et des crises dans les établissements

concernés. Par « établissement », nous entendons toute entre-

prise ou administration entrant dans la définition des infra-

structures critiques donnée ci-dessus.

Phase 1 – planification préalable au sein de l’établissement

Une préparation minutieuse de la gestion des risques et des

crises est la condition sine qua non d’une mise en œuvre réus-

sie de tout ou partie du présent manuel.

Préalablement à cette mise en œuvre, certaines questions

fondamentales doivent être abordées – comme l’ancrage de

la gestion des risques et des crises au sein de l’établissement,

la répartition des responsabilités, la mise à disposition des

ressources nécessaires, la clarification des obligations légales

de l’établissement en matière de gestion des risques et des

crises, et la détermination des objectifs stratégiques de pro-

tection qui devront être atteints par l’entreprise ou l’adminis-

tration concernée.

Phase 2 – analyse des risques

L’analyse des risques permet à l’établissement de bénéficier

d’un aperçu structuré sur ses processus individuels, sur les

aléas auxquels ces processus peuvent être exposés et sur leur

vulnérabilité intrinsèque. Grâce au recoupement des infor-

mations obtenues, l’établissement peut analyser les risques

pour tous les processus étudiés sur la base de scénarios indi-

viduels.

Les informations recueillies peuvent faire l’objet de comparai-

sons qui permettront d’établir une image précise des risques,

tout en dégageant des priorités.

Confrontés aux objectifs stratégiques de protection déter-

minés en amont, les résultats de l’analyse des risques sont

soumis à une évaluation. Si la plupart de ces objectifs n’ont pu

être atteints, des mesures concrètes doivent être prises pour

réduire les risques existants et alléger la gestion des crises.

Résumé

Page 10: Protection des infrastructures critiques – gestion des risques et des

8

Phase 3 – mesures et stratégies préventives

Les mesures préventives permettent de restreindre les risques

pesant sur les processus et, par là-même, sur les prestations

de services ou la production. Renforçant la résistance des

établissements face aux crises, elles peuvent non seulement

réduire le nombre d’événements de crise, mais également

leur intensité. Leur objectif est de protéger activement les

éléments constitutifs de chaque établissement ou de créer des

redondances.

Il est également possible de prévenir, de transférer ou d’ac-

cepter les risques. Cela étant dit, il faut reconnaître que dans

la plupart des cas, éviter les risques a tendance à réduire la

flexibilité de l’entreprise ou de l’administration concernée,

tandis que le transfert des risques ne réduit pas les risques

physiques. Il garantit uniquement une compensation finan-

cière – loin, dans certains cas, de couvrir l’étendue des dom-

mages provoqués.

Phase 4 – gestion des crises

Si, malgré les mesures préventives, une entreprise ou une

administration venait à subir des dommages importants de

quelque nature que ce soit, la gestion des crises devrait être à

même d’élaborer une procédure spéciale afin de surmonter

la situation.

La gestion des crises comprend des structures et des procé-

dures qui diffèrent de celles utilisées en temps normal. En cas

de crise, le pouvoir décisionnel est concentré afin de pouvoir

réagir le plus rapidement possible et de manière adaptée à la

situation. Les effets de la crise sont alors amoindris et le temps

nécessaire à un retour à la normale réduit.

Phase 5 – évaluation de la gestion des risques et des crises

L’évaluation reprend toutes les phases de la gestion des

risques et des crises : elle consiste à vérifier les exigences

réglementaires identifiées lors de la phase de planification, la

pertinence des profils de risques établis, ainsi que l’efficacité

des mesures préventives et de la gestion des crises. Il convient

d’effectuer cette évaluation régulièrement.

Des évaluations supplémentaires peuvent s’avérer nécessai-

res,

après la mise en œuvre des mesures, ■

après un élargissement ou une modification de l’établis- ■

sement ou

lors d’une évolution des menaces. ■

Les annexes du présent manuel comportent un exemple

de mise en œuvre d’analyse des risques ainsi que des listes

destinées à contrôler les mesures appliquées au sein de l’éta-

blissement.

Pour toute question relative à ce manuel, veuillez contacter :

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Abteilung II

Notfallvorsorge, Kritische Infrastrukturen

Provinzialstraße 93

53127 Bonn

Allemagne

http://www.bbk.bund.de

Page 11: Protection des infrastructures critiques – gestion des risques et des

9

Les infrastructures sont une composante essentielle de notre

société hautement développée. Au quotidien, nous dépen-

dons tous de leur disponibilité et nous attendons à pouvoir les

utiliser sans restriction.

Depuis 1997, la Fédération se penche sur la protection des

infrastructures dites « critiques » afin de déterminer la néces-

sité de mesures de protection supplémentaires. Dans ce

contexte, le terme d’infrastructure critique désigne « les orga-

nisations et les établissements revêtant une importance par-

ticulière pour la collectivité publique et dont la défectuosité

ou la perturbation entraîneraient des pénuries durables des

approvisionnements, des dysfonctionnements considérables

de la sécurité publique ou d’autres conséquences dramati-

ques1. »

Aléas naturels, défaillances techniques, erreurs humaines et

actes de nature criminelle ou terroriste menacent la disponi-

bilité permanente de ces infrastructures qui, en cas de conflit

armé en Allemagne, subiraient des dommages considérables.

Depuis quelques années, les menaces n’ont cessé de changer

de visage. Qu’il s’agisse d’aléas naturels ou d’actes volontaires

à mobiles criminels ou terroristes, force est de constater une

recrudescence d’événements extrêmes confrontant la société

à de nouveaux défis.

Parallèlement aux menaces, la vulnérabilité des infrastruc-

tures a elle aussi évolué. La plupart de leurs systèmes sont

aujourd’hui reliés les uns aux autres sous une forme ou une

autre – et de fait, toute perturbation dans un domaine quel

qu’il soit peut se répercuter dans un autre lieu, dans une autre

branche ou un autre secteur, et avoir ainsi des conséquences

bien au-delà de son point d’origine.

Les ressources financières et humaines dont disposent les

exploitants d’infrastructures critiques pour protéger leurs

systèmes étant limitées, il est particulièrement important de

les employer avec efficacité. Pour ce faire, il est indispensable

de connaître les dangers et les risques existants tout en ayant

la possibilité de comparer et d’évaluer ces risques afin d’en

déterminer les caractéristiques principales. Une fois cette

analyse réalisée, des mesures de protection précises pourront

être mises en œuvre.

Le présent document (« Protection des infrastructures criti-

ques - gestion des risques et des crises, manuel destiné aux

entreprises et aux administrations) est le fruit commun d’ac-

teurs issus de plusieurs entreprises et administrations et d’un

organisme scientifique. Il s’adresse à tous les secteurs et vise

à servir d’instrument d’auto-analyse aux entreprises et aux

administrations.

Associant principes théoriques sur la gestion des risques

et des crises et listes pratiques, ce document donne égale-

ment un exemple d’analyse des risques afin de permettre

aux entreprises et aux administrations de développer ou de

consolider, seules ou avec une aide extérieure, une gestion

efficace des risques et des crises.

Pour la Fédération, le présent manuel vise avant tout à

réduire les répercussions des événements extrêmes sur les

infrastructures critiques et à améliorer la gestion des crises

prévisibles.

1 Introduction

1 Définition des infrastructures critiques établie par le groupe de tra-

vail KRITIS du ministère fédéral de l’Intérieur (BMI) le 17 novembre

2003.

Page 12: Protection des infrastructures critiques – gestion des risques et des

10

2Informations de base sur les infrastructures critiques

2.1 Secteurs

Au sens de la définition des infrastructures critiques donnée

dans l’introduction, les entreprises et les administrations sont

essentiellement présentes dans les secteurs suivants :

énergie (électricité, hydrocarbures et gaz), ■

approvisionnement (eau, denrées alimentaires, services ■

de santé et d’urgence),

technologies de l’information et de la communication (TIC), ■

transport et circulation, ■

substances dangereuses (industrie chimique et substances ■

biologiques),

banques et finances, ■

pouvoirs / services publics et justice, ■

médias, grands instituts de recherche et biens culturels. ■

2.2 Environnement et caractéristiques

Les perturbations qu’ont subies dans l’histoire récente les infra-

structures critiques ont révélé deux caractéristiques récurrentes.

Première caractéristique : les infrastructures ont été exposées

à des incidences de large échelle, découlant en particulier

d’aléas naturels. Les dommages se sont étendus sur le plan

régional, suprarégional, national ou encore européen (exem-

ple : inondations de l’Elbe en 2002 et ouragan Kyrill en 2007).

Seconde caractéristique : dysfonctionnements et dommages

locaux ont entraîné des perturbations qui se sont propagées

bien au-delà de la zone d’origine en raison d’interactions et

de liens dépassant les frontières géographiques et les systè-

mes (exemple : coupure d’un fil électrique au-dessus de l’Ems

en 2006 ayant causé des pannes d’électricité dans certaines

parties de l’Europe).

Ainsi, l’environnement et les propriétés des infrastructures cri-

tiques ont non seulement changé, mais continuent également

d’évoluer au fil du temps. Dans la partie qui suit, nous en analy-

serons les composantes clés afin d’établir les bases qui permet-

tront d’élaborer une gestion adéquate des risques et des crises.

2.2.1 Evolution des menaces

La perturbation des processus critiques des systèmes des

infrastructures critiques peut entraîner de lourdes consé-

quences sur le plan social et économique. Si les exemples qui

suivent ne permettent pas de conclure catégoriquement à

une tendance à l’aggravation des menaces, ils confirment

néanmoins la nécessité de disposer d’une protection durable

des infrastructures critiques.

Evénements météorologiques extrêmes

Les événements extrêmes peuvent avoir des conséquences

directes sur les systèmes des infrastructures. A l’heure actuel-

le il est encore difficile, en Allemagne, de se prononcer de

manière définitive sur l’évolution des événements météoro-

logiques extrêmes due au changement climatique : les infor-

mations collectées jusqu’ici sur le réchauffement climatique

et ses répercussions sur le pays ne sont pas encore suffisantes.

Toutefois, les données relevées commencent à révéler certai-

nes tendances telles que l’augmentation des précipitations

abondantes – tendances qui se sont confirmées en 1997 avec

la crue de l’Oder, en 2002 avec celle de l’Elbe et en 2005 dans

les Alpes2.

Menaces sanitaires (pandémie de grippe)

Le siècle dernier a été frappé par plusieurs pandémies de

grippe. Particulièrement sévère, celle de 1918 (la grippe

espagnole) fit plus de 50 millions de victimes. Aujourd’hui,

on estime que l’apparition – par mutation – d’un nouveau

virus extrêmement dangereux pour l’homme n’est qu’une

question de temps. Aujourd’hui, toute nouvelle pandémie de

grippe se propagerait dans le monde entier, et notamment en

Allemagne, par le biais des points de jonction des réseaux de

transport internationaux. Dès lors, toutes les sphères de notre

société, y compris l’ensemble des entreprises et des adminis-

trations, seraient menacées. Dans la mesure où les pandémies

peuvent avoir des répercussions sur la demande de produits

et de services, les infrastructures économiques et la société

tout entière seraient également mises en danger. Un grand

nombre de ressources et de services disparaîtraient ou se

2 Rahmstorf et al., 2006, page 70.

Page 13: Protection des infrastructures critiques – gestion des risques et des

11

verraient proposés de manière réduite. Cette dépendance

réciproque aurait pour conséquence un effet domino qui

pourrait mener à la paralysie d’une grande partie de l’Etat, de

l’économie et de la société3. D’après les simulations effectuées

pour l’Allemagne, entre 15 et 50 % de la population pourrait

être touchée4. Outre les employés malades, d’autres ne se ren-

draient pas à leur travail afin de soigner les membres de leur

famille atteints ou simplement de peur d’être contaminés, ce

qui aurait pour conséquence d’augmenter considérablement

le taux d’absentéisme.

Terrorisme international

Aujourd’hui, le terrorisme international s’organise en réseaux

de structure lâche dont les différentes cellules ne sont plus

reliées que par des objectifs communs – chaque cellule

opérant en large partie indépendamment des autres, sans

structure centrale. Agissant dans la plus grande discrétion,

ces réseaux font preuve de flexibilité et de rapidité5. En Alle-

magne, il n’est pas à exclure que les systèmes des infrastruc-

tures soient frappés par des attaques terroristes. En 2006, des

attaques contre deux trains régionaux de la Deutsche Bahn

ont échoué pour des raisons techniques. En 2007, un projet

d’attentat contre plusieurs sites américains implantés en Alle-

magne a pu être découvert et déjoué à temps.

Technologie de l’information

Tous les jours ou presque, les médias relatent des cas de pira-

tage informatique ou d’espionnage industriel et économique.

Parallèlement à ces menaces, les défaillances techniques de

matériel ou de logiciels ou encore une simple erreur humaine

dans l’utilisation des TIC peuvent entraîner des répercussions

et des dommages importants sur les infrastructures critiques.

La panne d’électricité à grande échelle qu’ont connue les

Etats-Unis et le Canada en 2003, due en grande partie à une

défaillance de la technologie de contrôle, en est un exemple

typique. Autre exemple : celui de l’effondrement de l’ensem-

ble du système de cartes EC en Suisse en 2000, provoqué par

un dysfonctionnement dans un centre de calcul.

2.2.2 Environnement socioéconomique

Une dépendance croissante

Aujourd’hui, entreprises et administrations sont de plus en

plus dépendantes de services et de produits qui leur sont

externes. A cet égard, l’approvisionnement en électricité

occupe une place particulièrement importante – car la quasi-

totalité des services reposent plus ou moins directement sur

le bon fonctionnement du réseau électrique.

Perception subjective des risques

Les entreprises et les administrations investissent beaucoup

dans la sécurité de leurs établissements et partent du principe

que ces investissements sont efficaces. La plupart du temps,

cependant, les effets positifs des mesures de sécurité sont

difficilement mesurables. Plutôt que de mesurer, la tendance

sera donc de considérer les longues périodes exemptes de

crises comme une confirmation de l’efficacité des mesures

qui ont été prises. Or, ce raisonnement peut amener à ne plus

savoir repérer les dangers potentiels ni les domaines vulné-

rables.

Dans la pratique, les risques qui sont identifiés sont souvent

ceux qui semblent gérables ou contrôlables et dont la relation

de cause à effet apparaît comme évidente6. Les autres risques

sont partiellement ignorés, consciemment ou non – si bien

que lors de la mise en œuvre de mesures préventives, les

répercussions éventuelles de tels risques ne sont pas prises en

compte.

Evolution démographique

En Allemagne, du fait de l’évolution de la pyramide des âges

et des répercussions des migrations sur la densité de popula-

tion, les infrastructures critiques doivent répondre à de nou-

veaux défis – ce qui ne va pas sans influencer certains aspects

essentiels de la sécurité. Une baisse des besoins en eau, et

donc une réduction de la distribution d’eau au consomma-

teur final, pourraient par exemple entraîner des problèmes

d’ordre sanitaire dans les usines de distribution d’eau.

Evolution de l’environnement économique7

Les évolutions du marché – comme celles qu’engendrent la

libéralisation économique ou encore la privatisation d’infra-

structures étatiques – peuvent elles aussi influencer le niveau

de sécurité et les investissements afférents aux mesures de

sécurité. Aujourd’hui, la concurrence et la pression sur les

prix tendent à créer un environnement qui laisse peu de

place à des mesures de sécurité telles que les systèmes redon-

dants et autres marges de sécurité. Si les exigences des régle-

mentations en vigueur sont la plupart du temps respectées,

il est néanmoins possible, grâce à des méthodes de calculs de

plus en plus précises, de profiter d’une certaine latitude d’ap-

préciation et de réduire les marges de sécurité. Or, ce sont

précisément ces marges qui peuvent venir à manquer en cas

de situation de crise.

3 Office fédéral pour la protection des populations et l’assistance en cas

de catastrophes, 2007. 4 Institut Robert Koch, 2007, page 4. 5 Cf. Lewis, 2006, page 1.

6 Dost, 2006.7 Cf. International Risk Governance Council, 2006, pages 11–17.

InfORMATIOnSDEbASESuRLESInfRASTRuCTuRESCRITIQuES

Page 14: Protection des infrastructures critiques – gestion des risques et des

12

2.2.3 Caractéristiques particulières

Interconnexion au sein des secteurs

C’est grâce à des réseaux physiques, virtuels ou logiques que

les infrastructures peuvent desservir des zones à large échel-

le. En croissance constante et de plus en plus complexes, ces

réseaux sont constitués de nœuds qui sont autant de points

névralgiques pouvant s’avérer vulnérables et dont la pertur-

bation entraînerait des défaillances aux niveaux régional,

suprarégional, national voire mondial. Or, c’est sur ce type de

réseau que reposent – notamment – l’approvisionnement en

électricité, en eau et en gaz ainsi que les technologies de l’in-

formation et de la communication.

Interconnexions entre les secteurs (interdépendance)

Les systèmes des infrastructures se caractérisent par leur haut

degré d’interconnexion. Du fait du développement extrême-

ment rapide qu’ont connu les technologies de l’information

durant les quinze dernières années, cette évolution s’est accé-

lérée. Aujourd’hui, les interconnexions entraînent non seule-

ment une amélioration des processus d’approvisionnement,

mais également des interdépendances dont la portée ne peut

faire l’objet, dans bien des cas, que d’une estimation qualitati-

ve. Nombre de dépendances physiques, virtuelles ou logiques

ne sont en effet découvertes qu’en cas de crise, c’est-à-dire le

jour où elles viennent à manquer. Un haut degré d’interdé-

pendances peut en effet déclencher des pannes en cascade8.

Dans le même temps, il suffit de dysfonctionnements de plus

en plus minimes pour que des systèmes complexes soient

victimes de conséquences dramatiques (« paradoxe de vulné-

rabilité9 »).

Le schéma 1 illustre la dépendance réciproque (interdépen-

dance) d’un certain nombre d’infrastructures critiques. Dans

un premier temps, seules les dépendances directes existant

entre les différents secteurs et les différentes branches ont été

prises en compte.

Evolution de l’environnement technologique

Les technologies, en particulier celles de l’information, évo-

luent à un rythme effréné. Souvent, les derniers développe-

ments ne s’appliquent qu’à certains domaines. Les nouveaux

composants côtoient alors les anciens et sont introduits dans

des procédures déjà vieillissantes. L’insuffisance de tests, le

manque de finition et les défaillances des nouveaux équi-

pements et logiciels informatiques vers lesquels certaines

migrations n’ont en outre pas été prévues, l’incompatibilité

des systèmes ainsi que le manque de formation des employés

relative à ces nouveaux composants entraînent des failles dans

la sécurité qui, dans certaines circonstances, pourraient provo-

quer la défaillance du système tout entier.

Types de sinistres

Les infrastructures critiques peuvent être confrontées à de

nombreux types de sinistres. Il peut s’agir de dommages cor-

porels, matériels, économiques ou encore psychologiques tels

qu’une inquiétude constante ou encore la perte de confiance

de la population envers les autorités politiques.

Organismes de recherche

Biens culturels

Radio

Soins de santé

Services d’urgence et de secours

Approvisionnement en eau et traitement de l’eau

Transport, circulation, logistique et services postaux

Approvisionement en denrées alimentaires

Technologies de l’information et de la communication

Approvisionnement en énergie (électricité, hydrocarbures, gaz)

Services financiers et assurances

Substances dangereuses

Gouvernement, administrations

Illustration 1 : Interdépendances entre certaines infrastructures critiques

8 Cf. Lewis, 2006, page 57.9 Rosenthal, 1992, pages 74–75.

Page 15: Protection des infrastructures critiques – gestion des risques et des

13

2.3 Exigences juridiques relatives à la gestion des risques et des crises

Actuellement, un certain nombre d’exigences juridiques

générales régissent la gestion des risques et des crises dans les

sociétés anonymes (SA) et les grandes entreprises à respon-

sabilité limitée (SARL). Dans le secteur financier, un certain

nombre de dispositions particulières revêtent un caractère

obligatoire dans la pratique – comme le respect d’un niveau

minimal d’exigences en matière de gestion des risques

(MaRisk). Dans ces dispositions, le concept de sécurité de

l’entreprise englobe la protection des personnes et des biens

matériels – tels que les bâtiments et les installations – ainsi

que le maintien de l’activité commerciale en cas de dysfonc-

tionnement ou de crise quels qu’ils soient (crise boursière,

catastrophe naturelle ou attaque terroriste).

La loi allemande sur le contrôle et la transparence dans l’en-

treprise (KonTraG) ajoute à celle sur les sociétés anonymes

l’obligation de mettre en place un système de surveillance

pour gérer les risques de l’entreprise. Cette loi concerne uni-

quement les sociétés anonymes mais s’applique également,

dans la pratique, aux sociétés en commandite par actions

et aux grandes SARL – en particulier celles qui possèdent un

conseil de surveillance, qu’il soit facultatif ou soumis aux

règles de la cogestion.

Les risques liés au marché sont souvent gérés dans le respect

de la loi allemande sur le contrôle et la transparence dans

l’entreprise. En revanche, les risques sécuritaires10 et les

risques liés aux catastrophes naturelles sont souvent sous-

estimés, bien que la loi s’applique à tous les risques pouvant

menacer l’existence d’une entreprise. En vertu de l’article 91,

paragraphe 2, de la loi allemande sur les sociétés anonymes,

le directoire de telles sociétés, leur conseil de surveillance et

leurs commissaires aux comptes sont tenus de « ...prendre les

mesures qui s’imposent, dont la mise en place d’un système

de surveillance, afin d’identifier au plus tôt l’apparition d’évo-

lutions menaçant le maintien de l’entreprise ». Le législateur

ne mentionnant aucune méthode de référence, la mise en

œuvre concrète de ces mesures reste toutefois à l’apprécia-

tion de chaque entreprise. Cela étant dit, le système de sur-

veillance interne doit permettre d’identifier à temps l’appari-

tion d’évolutions dangereuses – c’est-à-dire suffisamment tôt

pour que les mesures garantissant le maintien de l’activité de

l’entreprise puissent être prises.

Au sein de chaque société, la direction a donc l’obligation

légale de mettre en place un système efficace de gestion des

risques. En cas de manquement à cette obligation, le commis-

saire aux comptes peut refuser de certifier la comptabilité de

l’entreprise. Ce dernier est par conséquent tenu de vérifier

que le directoire a pris soin de mettre en place un système

adéquat pour gérer les risques (article 317, paragraphe 4, du

code du commerce allemand). Outre l’évaluation des risques,

ce système doit comprendre l’étude de toutes les causes

possibles d’arrêt de l’activité de l’entreprise, la mise en place

de mesures systématiques permettant d’éviter de tels arrêts,

ainsi que l’établissement et la révision régulière d’un plan

d’urgence11. Au titre de l’article 76, paragraphe 1, de la loi

allemande sur les sociétés anonymes, la mise en place d’un

système de surveillance fait partie des obligations générales

du directoire. En cas de sinistre et de négligence entraînant

sa responsabilité, ce dernier peut donc, comme le stipule

l’article 93, paragraphe 2, de ladite loi, être condamné au

paiement de dommages et intérêts.

A l’instar de la loi allemande sur le contrôle et la transparence

dans l’entreprise, le droit européen harmonisé des assuran-

ces « Solvabilité II » exige lui aussi que la gestion des risques

en entreprise tienne compte de tous les risques auxquels les

assureurs peuvent être confrontés. En incluant les risques pos-

sibles dans les clauses du contrat, l’assureur peut soumettre

la couverture d’assurance à la condition que l’assuré prenne

des mesures préventives – ce qui revient implicitement à dire

que l’assuré doit disposer d’un système de gestion des risques.

En vertu de l’article 6, paragraphe 1, de la loi allemande sur le

contrat d’assurance, tout manquement aux clauses de l’assu-

rance entraîne l’annulation de la couverture.

Destinés à minimiser les crises dans le secteur bancaire, les

accords de Bâle II sur les capitaux propres exigent explicite-

ment qu’en cas de prêt, il ne soit pas seulement tenu compte

des risques liés au marché et au crédit, mais également des

risques opérationnels encourus par les banques. Même si les

accords de Bâle II ne concernent que les institutions finan-

cières, il n’est pas exclu que les banques exigent à leur tour

des entreprises un compte-rendu relatif à leurs risques – ce

qui signifierait que l’octroi de prêts dépendrait de l’existence

d’un système de gestion des risques. Considérant et intégrant

tous les risques de manière suffisante, un tel système réduirait

les risques de défaut de paiement et permettrait la négo-

ciation de conditions de prêt plus avantageuses auprès des

banques.

10 Voir à ce sujet : ministère fédéral de l’Intérieur, 2005.11 Cf. Bockslaff, 1999, page 109.

InfORMATIOnSDEbASESuRLESInfRASTRuCTuRESCRITIQuES

Page 16: Protection des infrastructures critiques – gestion des risques et des

14

3Gestion des risques et des crises pour la protection des infrastructures critiques

Tel que nous l’exposons dans le présent manuel, le concept

de gestion des risques et des crises s’inscrit dans un processus

systématique et s’articule autour de cinq phases différentes.

Correspondant au champ que doit couvrir toute gestion des

risques et des crises liée aux processus dans les entreprises et

les administrations, ces cinq phases sont les suivantes : une

phase de planification préalable visant à élaborer une gestion

des risques et des crises (phase 1), une analyse des risques

(phase 2), la description de mesures préventives (phase 3), la

mise en place d’une gestion des crises (phase 4) et l’évaluation

régulière des phases 1 à 4 (phase 5). Le schéma 2 illustre ce

concept et son déroulement.

Analyse de criticité

Identification des risques

Comparaison des risques, évaluation des risques

Phase 3 : Mesures préventives

Phase 2 : Analyse des risques

Phase 1 : Planification préalable

Com

mun

icat

ion

rela

tive

aux

ris

que

s, d

ocum

enta

tion

sur

tou

s le

s p

roce

ssus

Phas

e 5

: Eva

luat

ion

Phase 4 : Gestion des crises

Non

Oui

Objectifs opérationnels de protection

Objectifs de protection stratégiques

et opérationnels remplis ?

Elaboration / consolidation de la gestion des risques et des crisesObjectifs stratégiques de protection

Calcul du risque

Analyse des dangersAnalyse de vulnérabilité

Illustration 2 : Concept en cinq phases de la gestion des risques et des crises12

La gestion des risques et des crises que nous décrivons ici

repose sur un cycle général de gestion PDCA (« Plan, Do,

Check, Act »). Cette démarche permet d’intégrer ladite ges-

tion dans des structures de gestion déjà existantes – telles que

la gestion de la qualité, la gestion des risques et des crises déjà

en place ou encore la gestion des processus propre à l’établis-

sement concerné. Dans ce contexte, le terme « établissement »

désigne les entreprises et les administrations entrant dans la

définition des infrastructures critiques donnée en introduc-

tion.

ACT• Mesures préventives • Mise en place d’un système de gestion des crises

• Comparaison des risques• Estimation des risques• Vérification des objectifs de protection • Evaluation

• Planification

• Analyse de criticité• Identification des risques

PLAN

CHECK DO

Illustration 3 : Processus de gestion des risques et des crises selon le cycle PDCA13

12 Cf. Australian / New Zealand Standard, 2004, page 13 et Trauboth,

2002, page 23. 13 Cf. Gesellschaft für Anlagen- und Reaktorensicherheit (Société alle-

mande pour la sûreté des installations et des réacteurs nucléaires),

2007, page 21.

Page 17: Protection des infrastructures critiques – gestion des risques et des

15

3.1 Phase 1 : Planification préalable

La mise en place réussie d’une gestion des risques et des crises

au sein d’une entreprise ou d’une administration passe par

une planification minutieuse.

Avant de mettre en pratique le présent manuel, il convient

de répondre à certaines questions de fond. Ces questions por-

teront avant tout sur les points suivants : la manière dont la

direction de l’établissement concerné met en place la gestion

des risques et des crises, l’adhésion à la méthode adoptée, la

répartition des responsabilités, l’allocation des ressources

nécessaires et l’établissement d’objectifs stratégiques de pro-

tection.

3.1.1 Mise en place

C’est à la direction qu’il revient de lancer la création ou la

consolidation de la gestion des risques et des crises, et de défi-

nir clairement les objectifs poursuivis. Ladite gestion doit être

non seulement mise en œuvre mais également appliquée au

niveau opérationnel. Le personnel doit être impliqué dans le

processus.

Des efforts particuliers doivent être déployés pour faire

prendre conscience des risques à l’ensemble du personnel de

l’établissement (par le biais d’une politique des risques ferme

et transparente) : en effet, la qualité de la gestion des risques

dépend en large partie de l’adhésion et de la motivation des

employés.

3.1.2 Répartition des responsabilités

La mise en place d’une gestion des risques et des crises doit de

préférence être dirigée par un chef de projet spécialisé, qui

sera responsable du contenu du projet et consultera, si besoin

est, la direction de l’établissement. Il serait judicieux de choi-

sir ce chef de projet au sein de l’entreprise ou de l’administra-

tion concernée.

Les décisions majeures liées soit à la mise en place soit à la

consolidation de la gestion des risques et des crises seront pri-

ses par la direction de l’établissement – notamment lorsqu’il

s’agira de questions touchant à l’octroi de ressources financiè-

res ou humaines.

Dans la mesure où il est très difficile de définir à l’avance les

responsabilités qui devront être attribuées dans le cadre de la

mise en œuvre de la gestion des risques et des crises, ces res-

ponsabilités seront établies au fur et à mesure.

3.1.3 Ressources nécessaires

Les besoins relatifs à la mise en place d’une gestion des risques

et des crises doivent être estimés en amont. Si cela s’avère

nécessaire, un groupe de travail interdisciplinaire formé d’em-

ployés de l’établissement peut être constitué pour assister le

chef de projet et se charger d’un certain nombre de tâches

bien délimitées. Il est avantageux que les membres du groupe

de travail aient une vue d’ensemble sur la structure de l’entre-

prise ou de l’administration concernée et il est préférable que

tous les échelons de la hiérarchie soient représentés au sein

dudit groupe de travail.

Si l’établissement ne dispose pas de l’expertise nécessaire en

matière de gestion des risques et des crises, il est possible de

former le personnel interne ou de combler les lacunes en fai-

sant appel à des prestataires externes.

Les ressources nécessaires à la mise en œuvre de la gestion des

risques et des crises devront être identifiées au cours du projet.

3.1.4 Clarification des obligations légales

Dans le cadre de la planification préalable à la mise en place

d’une gestion des risques et des crises, il est nécessaire de cla-

rifier les obligations légales.

3.1.5 Objectifs stratégiques de protection

La mise en place d’une gestion des risques et des crises néces-

site de formuler des objectifs stratégiques de protection. Ils

définissent les buts à atteindre sur l’ensemble du processus.

Les objectifs de protection sont fortement influencés par

des aspects éthiques, opérationnels, techniques, financiers,

légaux, sociaux et environnementaux14. Ils présentent les

caractéristiques suivantes :

ils décrivent les buts à atteindre, ■

ils apportent des solutions pour la mise en place des diffé- ■

rentes mesures et

ils sont spécifiques, mesurables, réalisables, réalistes et ■

définis dans le temps.

GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES

14 Australian / New Zealand Standard, 2004, page 15.

Page 18: Protection des infrastructures critiques – gestion des risques et des

16

En voici quelques exemples :

meilleure protection possible pour le personnel et les ■

autres personnes présentes (les clients, par exemple),

le maintien des capacités de fonctionnement de l’établis- ■

sement, même en cas de situation extrême,

respect des obligations légales, ■

prévention contre d’importants dommages économiques et ■

prévention contre une éventuelle dégradation de l’image ■

de l’établissement.

3.1.6 Communication sur les risques

D’une manière générale, la communication sur les ris-

ques concerne « tous les processus de communication liés

à l’identification, l’analyse, l’évaluation et la gestion des

risques ainsi que les interactions qui en découlent entre les

personnes impliquées15». La communication sur les risques

constitue une plateforme sur laquelle se déploient à la fois la

conscience et l’acceptation des risques au sein des entreprises

et des administrations – deux aspects indispensables à une

gestion efficace des risques. Dans le contexte actuel, les éta-

blissements doivent clairement différencier communication

interne et communication externe.

La communication interne sur les risques se réfère à toutes

les interactions communicatives touchant de près ou de loin

aux risques au sein même de l’établissement – de la mise en

place du système à l’évaluation de la gestion des risques. Au

moment de la mise en place du système, il convient d’appor-

ter une attention particulière à la communication interne :

il est en effet primordial d’établir aussi tôt que possible un

dialogue avec les futurs responsables sur l’objet et les objec-

tifs de la gestion des risques. La réussite de la communication

interne sur les risques est déterminante pour une bonne com-

munication externe.

La communication externe sur les risques ne se contente pas

d’informer et d’instruire les médias et les personnes concer-

nées. Elle vise également à établir un dialogue personnalisé

avec chaque interlocuteur. Dans ce contexte, il faut garder

à l’esprit qu’en matière de communication sur les risques,

tout malentendu entre émetteur et destinataire du message

doit être évité. A titre d’exemple, l’expérience montre que les

risques ne sont pas perçus de la même manière par les spécia-

listes et par les profanes. Afin d’éviter toute issue inacceptable,

la communication externe sur les risques doit toujours se faire

au bon moment et de manière claire. Elle doit également être

adaptée au destinataire, cohérente et fiable. Deux facteurs

déterminent son efficacité : la confiance que l’audience accor-

de à la source et la crédibilité de cette dernière.16

3.2 Phase 2 : Analyse des risques

L’analyse des risques structure et objective les informations

accumulées sur les dangers et les risques dans les entreprises et

les administrations. Dans le présent manuel, les risques se rap-

portent à des processus et à leurs éléments constitutifs. Or, c’est

précisément en analysant divers processus avec leurs éléments

constitutifs que la phase 2 fait ressortir les risques sous-jacents

pour les établissements – tout en permettant d’établir des com-

paraisons grâce auxquelles il sera possible de déterminer des

degrés d’urgence et d’établir des priorités entre les mesures

à même d’avoir un impact décisif sur les risques identifiés. Ce

faisant, l’analyse des risques jette les bases d’un travail efficace

avec des ressources financières et humaines limitées.

L’analyse des risques au sens où l’entend le présent manuel

répond aux questions suivantes :

Quels sont les types d’aléas pouvant se manifester ? ■

Quelles sont les probabilités que ces aléas se manifestent ■

sur les sites de l’établissement ?

Quels sont les points vulnérables sensibles aux incidences ■

de l’aléa ?

Ces questions montrent que l’analyse des risques inhérents à

un processus et à ses éléments constitutifs renseigne non seu-

lement sur les aléas, mais également sur la vulnérabilité dudit

processus et de ses éléments constitutifs.

Le présent manuel traite de processus opérationnels. Ces

processus se décomposent en processus clés et en processus

d’accompagnement. Dans la mesure où nous n’opèrerons

aucune distinction entre ces deux types de processus dans les

parties qui suivent, nous parlerons simplement de processus

et sous-processus. Par sous-processus, nous entendrons – dans

le présent manuel – les différentes parties d’un processus.

Le point de départ d’une analyse des risques consiste à sub-

diviser l’entreprise ou l’administration en processus et en

sous-processus. L’établissement décide lui-même du niveau

de subdivision à adopter. Par exemple, une salle de contrôle

identifiée comme faisant partie d’un processus pourra être

définie comme sous-processus qui pourra, à son tour, être

subdivisé en plusieurs autres sous-processus. Plus la subdi-

vision est précise, plus l’analyse des risques sera coûteuse en

temps et en argent ; mais elle n’en sera que plus pertinente17.

15 Jungermann et al., 1991, page 5.16 Vous trouverez de plus amples renseignements sur la planification

de la communication sur les risques dans Wiedemann et al., 2000,

ainsi que dans Gray et al., 2000.

17 Vous trouvez de plus amples renseignements sur les processus et la

représentation des processus dans Gesellschaft für Anlagen- und

Reaktorsicherheit 2007.

Page 19: Protection des infrastructures critiques – gestion des risques et des

17

REMARQUE IMPORTANTE :

L’identificationdesélémentsderisqueàlafoispertinentset

spécifiquesàl’établissementconcernéestl’undesfacteurs

déterminantspourlaréussitedel’analysedesrisques.Ilest

eneffetfréquentquelesprocessuscritiquesdépendent

directementdesinstallationsetdesappareilsspécifiquesà

chaqueétablissement.

Le schéma 4 représente un processus et ses sous-processus

ainsi qu’un exemple de subdivision d’un sous-processus en

plusieurs autres sous-processus – avec les éléments dont ils

sont constitués.

Par éléments constitutifs des sous-processus, nous entendons

les facteurs contribuant au bon fonctionnement d’un pro-

cessus. Dans le présent manuel, nous qualifions ces éléments

d’« éléments de risque » : éléments individuels matériels ou

immatériels, ils sont susceptibles d’être endommagés – ce

qui pourrait entraîner la perturbation du sous-processus en

question. Le présent manuel traite des éléments de risque

suivants :

Vies humaines (personnel et autres personnes présentes) : ■

Il est essentiel de protéger de manière suffisante toutes

les personnes présentes contre les incidences des aléas

et de les mettre à l’abri en cas de danger imminent. A cet

effet, l’ensemble des entreprises et des administrations

sont tenues de prendre certaines précautions afin de

garantir aux personnes présentes la meilleure protection

possible en cas d’incident et ce, avant l’arrivée et après le

départ des pompiers, des secours et de la police. Au regard

du maintien du fonctionnement des sous-processus, les

employés et en particulier le personnel spécialisé consti-

tuent des éléments de risque.

Terrains :

Font partie des terrains toutes les surfaces en plein air desti-

nées à la circulation, au stockage ou au parking, les espaces

verts et les aires essentielles à l’activité de l’établissement.

Bâtiments :

Les bâtiments comprennent toutes les structures construi-

tes en souterrain ou en surface, comme les bâtiments des-

Début du processus

Début du processus

Sous-processus 3

Sous-processus 3.1 Sous-processus 3.2 Sous-processus 3.3

Sous-processus divisés en trois autres sous-processus

Fin du processus

Eléments de risque :• Personnel• Terrains• Bâtiments• Installations et appareils • Installations et appareils spécifiques à l’établissement • Données et documents • Moyens de production

Illustration 4 : Processus, sous-processus et éléments de risque

tinés à la production, au stockage ou à l’administration, et

les garages.

Installations et appareils :

Les installations et les appareils des sous-processus peu-

vent se trouver à tous les niveaux de la chaîne de produc-

tion de l’établissement, et plus particulièrement dans les

domaines suivants :

• approvisionnement en électricité,

• approvisionnement en gaz,

• chauffage urbain,

• approvisionnement en eau,

• technologies de l’information (TI),

• technologies de la communication (TC) et

• transports (y compris les véhicules et le carburant).

Autres installations et appareils spécifiques à l’établisse-

ment :

Dans cette catégorie sont compris toutes les installations

spéciales et tous les appareils spéciaux18.

Données et documents :

Sont considérées comme données et documents toutes

les informations sous format électronique ou sur papier

nécessaires au maintien de l’activité de sous-processus

donnés au sein de l’établissement.

Moyens de fonctionnement :

Dans le présent manuel, les moyens de fonctionnement

comprennent tous les moyens de production ne figurant

pas dans les points précédents.

3.2.1 Analyse de criticité

L’analyse de criticité permet d’identifier quels sont, parmi

tous les processus de l’établissement concerné, ceux dont la

perturbation aurait des conséquences importantes sur l’en-

treprise ou l’administration en question. Appelés processus

critiques, ils doivent être protégés de manière suffisante par

18 Exemples : Eléments de contrôle, logiciels, appareils médicaux,

installations techniques particulières dans les bâtiments, sas de sécu-

rité, dépôts de carburant, avions.

GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES

Page 20: Protection des infrastructures critiques – gestion des risques et des

18

le biais de mesures adaptées. Dans un premier temps, l’iden-

tification des risques, et tout particulièrement les mesures

préventives retenues pour réduire ces risques, doivent s’in-

téresser aux éléments de risque des sous-processus issus des

processus critiques.

L’identification des processus critiques peut s’appuyer sur les

critères suivants19 :

Vie et santé humaines :

Quelles sont les répercussions de la perturbation du pro-

cessus sur la vie et la santé humaines ?

Facteur temporel :

En combien de temps la perturbation du processus se

répercute-t-elle sur l’ensemble de la production de biens

ou de services de l’établissement ? Plus ce laps de temps

est court, plus le processus est critique.

Volume :

Quel volume de l’ensemble des biens et services serait

concerné en cas de perturbation ou d’arrêt total du pro-

cessus étudié ?

Conséquences contractuelles, réglementaires et légales :

Quelles répercussions la perturbation du processus en

question aurait-elle sur l’établissement d’un point de vue

contractuel, réglementaire et légal ?

Dommages économiques :

A combien peuvent être estimés les dommages économi-

ques subis par l’établissement du fait de la perturbation

du processus en question ?

C’est à l’établissement concerné qu’il revient de déterminer

les critères à prendre en compte et à considérer parallèle-

ment, et la classification à adopter.

L’analyse de criticité aboutit à l’identification et au listage de

tous les processus critiques au sein de l’entreprise ou de l’ad-

ministration concernée, et permet de dresser une description

des sous-processus qui les composent ainsi que des éléments

de risque que comportent ces sous-processus.

3.2.2 Identification des risques

Les risques encourus par un établissement sont déterminés

non seulement par les aléas susceptibles de se manifester sur

son site (ou ses sites) et de menacer les éléments de risque,

mais également par la vulnérabilité desdits éléments. C’est en

rapprochant les informations pertinentes sur ces aléas et cette

vulnérabilité qu’il est possible de calculer les risques pesant

sur les éléments examinés et – à condition de les regrouper

– sur les sous-processus analysés. Dans le présent manuel, les

risques pesant sur les éléments de risques seront appelés ris-

ques partiels, tandis que l’ensemble des risques pesant sur les

sous-processus sera désigné par le terme de risques globaux.

Dans la partie qui suit, nous nous attacherons à décrire les dif-

férents aspects de l’identification des risques.

3.2.2.1 Analyse des aléas et élaboration de scénarios

Une analyse des risques réussie passe par l’identification et la

documentation de tous les aléas pertinents. La première étape

de l’analyse des aléas et de l’élaboration de scénarios consiste

à lister les aléas pouvant se manifester sur le(s) site(s) de l’éta-

blissement. Cette liste complète indique les caractéristiques

générales desdits aléas, leur intensité, leur durée ainsi que leurs

éventuelles conséquences20.

Grâce à la liste des aléas spécifiques à un site, il est ensuite pos-

sible d’établir plusieurs scénarios. Ces derniers contiennent

des informations complémentaires nécessitées dans le cadre

de l’analyse des risques et de la gestion des crises. Les scénarios

doivent mettre en scène des événements réalistes pouvant

mener à une situation de crise. Le nombre de scénarios abordés

dans l’analyse sera déterminé par le professionnel en charge de

la gestion des risques et des crises – l’objectif étant de couvrir de

manière la plus exhaustive possible tous les aléas potentiels.

Chaque scénario devra comprendre les informations complé-

mentaires suivantes :

Degré d’exposition attendu

Quels sont les sous-processus et les éléments de risques sus-

ceptibles d’être concernés ?

REMARQUE IMPORTANTE :

Laperturbationd’unprocessus,d’unsous-processusoud’un

élémentderisqueestprincipalementdéterminéeparson

degréd’exposition.Toutcommelesincidencessurleplan

local,lesexpositionsàgrandeéchellepeuvententraînerdes

pannes–lecritèredéterminantétantledegréd’atteinte

dessous-processusetdesélémentsderisque.

19 The Business Continuity Institute, 2005, page 26.20 L’annexe IV fournit un aperçu des dangers éventuels et de leurs

caractéristiques ainsi que d’interlocuteurs pouvant être contactés

pour l’analyse de ces dangers. La liste des dangers donnée en annexe

se limite aux événements liés aux catastrophes naturelles, aux

défaillances techniques, aux erreurs humaines, aux actes intention-

nels et aux conflits armés. Cette liste n’est en aucun cas exhaustive et

peut, le cas échéant, être complétée par les éléments propres à chac-

un et par des types de dangers supplémentaires. A titre d’exemple,

le présent manuel ne prend pas en compte les dangers survenant

progressivement et pouvant entraîner des risques financiers, straté-

giques ou de marché.

Page 21: Protection des infrastructures critiques – gestion des risques et des

19

Degré d’intensité attendu

Quel est le potentiel de destruction du scénario sur les

sous-processus et leurs éléments de risque ?

Durée attendue

Combien de temps l’événement peut-il durer ?

Alerte préventive

Combien de temps peut-il s’écouler entre l’alerte préven-

tive et l’événement ?

Effets secondaires

Quels seraient les effets engendrés par les dépendances

entre les processus ? Quelles conséquences psychologi-

ques l’événement pourrait-il entraîner ? Quels impacts

l’événement aurait-t-il sur l’opinion publique et quelles

seraient les retombées médiatiques ?

Incidents de référence

Quels événements de référence peuvent servir à illustrer le

scénario envisagé ?

Probabilité de survenance

Quelle est, d’après les estimations ou les calculs, la proba-

bilité de survenance de l’événement ?

Bien souvent, il est impossible de déterminer avec précision la

probabilité de survenance d’un scénario dont l’intensité, l’am-

pleur géographique, la durée, l’alerte préventive et les effets

secondaires ont été définis au préalable. A titre d’exemple, seu-

les certaines catastrophes naturelles et certaines défaillances

de composants ont fait l’objet de longues séries d’observations

permettant de calculer des probabilités de survenance. Dans la

pratique, lors de l’élaboration de scénarios au sein des entrepri-

ses et des administrations, il est recommandé d’estimer les pro-

babilités de survenance à l’aide d’un système de classification21.

Les scénarios retenus devront être régulièrement contrôlés,

retravaillés et complétés. En cas de besoin, d’autres scénarios

pertinents pourront venir compléter les scénarios existants,

afin de garantir l’identification d’un maximum de risques

spécifiques à l’établissement.

3.2.2.2 Analyse de vulnérabilité

Outre les aléas potentiels, la vulnérabilité des sous-processus

et des éléments de risque est essentielle pour déterminer le

type et l’ampleur des dommages pouvant être causés à l’éta-

blissement. Plus le degré de vulnérabilité des sous-processus

et des éléments de risque sera élevé, plus l’impact des aléas

sur les services ou produits de l’établissement pourra être

important.

Le calcul de la vulnérabilité des sous-processus et des diffé-

rents éléments de risque se fait à l’aide d’un catalogue de

critères. Il peut également se faire par le biais d’un système de

classification22.

La liste de critères présentée ci-dessous aidera les établisse-

ments à dresser un catalogue adapté à leur propre situation

ou bien à compléter le leur.

Dépendance vis-à-vis des éléments de risque

Lorsque la performance d’un sous-processus donné est

dépendante d’un élément de risque, l’éventuelle indispo-

nibilité ou modification de ce dernier rend le sous-pro-

cessus vulnérable. Dans le cadre du calcul des risques, ce

critère peut servir de pondération pour mesurer l’impor-

tance d’un certain nombre d’éléments de risque vis-à-vis

d’un sous-processus donné23.

Dépendance vis-à-vis des infrastructures externes

Lorsque la performance d’un élément de risque est dépen-

dante d’une infrastructure externe, l’éventuelle indisponi-

bilité ou modification de cette dernière rend cet élément

de risque vulnérable.

GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES

REMARQUE IMPORTANTE – DéPENDANCES ET élAbORA-

TION DES SCéNARIOS :

Engénéral,lesévénementsextrêmesprovoquentungrand

nombredeperturbations.unecoupuredecourantpeutpar

exempleavoirdesrépercussionssurl’approvisionnement

externeeneauouempêcherlesprestationsdeservicesde

certainsfournisseurs.

Pourélaborerlesscénarios,ilconvientdelesconsidérer

séparémentlesunsdesautres.Atitred’exemple,scénario1:

défaillancedel’approvisionnementexterneenélectricité,

scénario2:défaillancedel’approvisionnementexterneen

eau.Celapermetd’éviterd’obtenirunnombreréduitde

scénariostrèscomplexesdontlesrépercussionssontdiffici-

lementprévisibles.

Cependant,lesscénariosdevronttenircomptedeseffets

marginauxdécoulantd’uncertainnombrededépendances.

Celavautparticulièrementpourleseffetsentraînantune

aggravationdesrépercussions.

21 L’exemple d’analyse des risques fourni en annexe VI se fonde sur une

classification à cinq niveaux de la probabilité de survenance d’un

scénario réaliste. 22 L’exemple d’analyse des risques fourni en annexe VI recourt à une

échelle à six niveaux pour appréhender la vulnérabilité (y compris

un niveau 0 signifiant « non pertinent »).23 Dans l’exemple d’analyse des risques fourni en annexe, ce critère est

utilisé comme facteur de pondération. Il entre dans le calcul des ris-

ques en tant que facteur individuel. Les estimations des autres critè-

res de vulnérabilité sont additionnées et utilisées en tant que facteur

global dans le calcul des risques.

Page 22: Protection des infrastructures critiques – gestion des risques et des

20

Dépendance vis-à-vis des infrastructures internes

Lorsque la performance d’un élément de risque est dépen-

dante d’une infrastructure interne, l’éventuelle indis-

ponibilité de cette dernière rend cet élément de risque

vulnérable.

Robustesse

La robustesse physique (en particulier des installations,

des appareils et des bâtiments) détermine l’ampleur des

dommages que subiraient les éléments de risque en cas

d’événement extrême – et par là-même l’ampleur de la

perturbation du ou des sous-processus concerné(s).

Niveau de protection atteint

Lorsqu’ils ne sont pas suffisamment protégés contre un

aléa donné, les éléments de risques seront vulnérables lors-

que ledit aléa vient à se manifester (exemple : mesures de

sécurité existantes / non existantes au sein d’un bâtiment).

Redondance, remplacement

La défectuosité de certains éléments de risque est plus

facile à appréhender lorsqu’il existe des structures parallè-

les ou des structures de remplacement capables de fournir

les mêmes prestations de services. La présence d’éléments

de risque redondants ou d’éléments de remplacement

permet de réduire la vulnérabilité des sous-processus.

Coût de réparation

Le coût de réparation désigne le prix de la remise en état

d’un élément de risque à la suite d’un endommagement.

Au regard de la vulnérabilité d’un sous-processus, il s’agit

non seulement des dépenses financières, mais également

du coût en temps et en ressources humaines pour permet-

tre la remise en état.

Capacité d’adaptation

Un sous-processus est vulnérable lorsque ses éléments

de risque ne peuvent pas, ou difficilement, s’adapter aux

changements de leur environnement (c’est notamment le

cas des équipements utilisant de l’eau de refroidissement,

lorsque survient une forte chaleur entraînant une aug-

mentation de la température des fleuves).

Capacité de tolérance

La capacité de tolérance signifie que le sous-processus

peut supporter un événement dans une certaine mesure

et pendant une durée donnée sans subir de perturbation.

Transparence

On parle de transparence lorsque la constitution et le

mode de fonctionnement de l’élément de risque sont faci-

lement compréhensibles – ce qui, en cas de crise, repré-

sente un avantage pour une réparation rapide.

Dépendance vis-à-vis de conditions environnementales

spécifiques

Les établissements opèrent dans les conditions environ-

nementales existantes sur leur(s) site(s). Un établissement

dépendant de conditions environnementales extrême-

ment spécifiques est vulnérable aux modifications éven-

tuelles de ces conditions.

3.2.2.3 Calcul des risques

Dans le cadre du calcul des risques, les calculs, estimations et

résultats issus des scénarios et de l’analyse de vulnérabilité

sont combinés les uns avec les autres pour engendrer des

valeurs ou des résultats relatifs aux risques. Ces valeurs sont

combinées à l’aide d’une fonction. Dans le présent manuel, les

« risques partiels » pesant sur les éléments de risque sont consi-

dérés comme fonction de la probabilité de survenance du scé-

nario en question ainsi que de la vulnérabilité desdits éléments

de risque. Le risque global de chaque sous-processus est formé

par la somme des risques partiels de ses éléments de risque.

En principe, les risques peuvent être calculés de trois maniè-

res différentes24 :

Calcul qualitatif des risques : ce procédé permet d’obtenir

des estimations approximatives sur des risques dont il

fournit une description écrite. Il ne permet d’établir aucu-

ne comparaison chiffrée.

Calcul semi-quantitatif des risques : le calcul semi-quanti-

tatif consiste à déterminer des valeurs pour les différents

facteurs de risque au moyen d’une classification afin d’éta-

blir des comparaisons chiffrées.

Calcul quantitatif des risques : l’analyse quantitative a

pour objectif de calculer mathématiquement les facteurs

de risque – par exemple à l’aide d’analyses de séries chro-

nologiques dans le cas de la probabilité de survenance ou

encore au moyen de modèles de simulation permettant

d’appréhender un certain nombre de répercussions sur un

établissement donné.

Le choix de la méthode de calcul est déterminé d’une part par

le coût en temps et en argent que l’exploitant veut ou peut

investir et d’autre part par la disponibilité des informations et

des données.25

24 Cf. Australian / New Zealand Standard, 2004, pages 18–19.25 L’annexe VI décrit un exemple de mise en place d’une analyse des

risques s’appuyant sur un calcul semi-quantitatif des risques partiels

pesant sur les éléments de risque ainsi que des risques globaux

pesant sur les sous-processus. Pour consulter une méthode d’analyse

des risques spécifique au domaine des technologies de l’informa-

tion, cf. : Office fédéral pour la sécurité des systèmes d’information,

2005.

Page 23: Protection des infrastructures critiques – gestion des risques et des

21

3.2.2.4 Comparaison et évaluation des risques

A ce stade, les valeurs ou descriptions de risques ainsi établies

peuvent être comparées entre elles. Cette comparaison est

particulièrement pertinente en cas d’analyses qualitatives ou

semi-quantitatives, car les valeurs et les descriptions obtenues

ne font en aucun cas office de résultat absolu. Mis en relation

les uns avec les autres, c’est-à-dire comparés en interne, les

résultats des analyses qualitatives et semi-quantitatives sont

très parlants.

L’objectif d’une telle comparaison est d’identifier les éléments

de risque et les sous-processus qui sont soumis aux risques les

plus élevés.

L’évaluation des risques doit montrer si les objectifs straté-

giques, définis initialement, de protection contre les risques

existants ont pu être atteints. S’il existe trop de risques par-

tiels importants, des objectifs opérationnels de protection

devront être définis. Ils serviront de point de départ à la mise

en place de mesures préventives. Voici quelques exemples

d’objectifs opérationnels de protection :

la réduction du risque global pour le sous-processus X et

la réduction des risques partiels les plus importants dans

tous les sous-processus appartenant à des processus criti-

ques.

Les mesures mises en place devront avant tout être destinées

aux sous-processus présentant les risques partiels les plus

importants.

Finalement, il incombe aux responsables de l’établissement

et au chef de projet spécialisé de décider des mesures et des

objectifs opérationnels de protection à appliquer.

3.3 Phase 3 : Mesures et stratégies préventives

Au sein de l’établissement, les mesures préventives contribuent

à la réduction des risques pesant sur les processus critiques.

Elles permettent d’atteindre les objectifs opérationnels de

protection et, par là-même, de relever le seuil de crise des évé-

nements à potentiel de crise (voir également l’illustration 5).

Ainsi, ces mesures permettent de minimiser le nombre de

situations de crise et, le cas échéant, de réduire leur intensité.

Les mesures préventives doivent être soumises à une analyse

coûts-avantages. L’enjeu étant de réduire le risque global,

l’examen consiste à comparer les investissements potentiels

aux coûts directs et indirects qu’occasionnerait une pertur-

bation de l’établissement à la suite d’un événement extrême.

Les résultats de l’analyse des risques sont ensuite confrontés

à ceux de l’analyse coûts-avantages pour sélectionner les

mesures présentant une efficacité particulière dans le cadre

du budget existant.26

Bien souvent, toutefois, l’analyse des risques et l’analyse des

coûts-avantages ne sauraient être la seule base justifiant la

prise de mesures visant à réduire des risques n’ayant qu’une

faible probabilité de survenance mais des répercussions

dramatiques. En sus du cadre juridique, il est également judi-

cieux, en pareils cas, de faire entrer en ligne de compte des

considérations sociales et éthiques dans la décision relative

aux mesures de protection.

Les stratégies préventives font appel à trois outils : la préven-

tion des risques, le transfert des risques et l’acceptation des

risques. Ces stratégies ne doivent être utilisées qu’en complé-

ment de mesures de réduction des risques car elles peuvent

soit restreindre fortement la souplesse de l’établissement

– cas de la prévention des risques – soit n’apporter aucune

contribution à la réduction matérielle des risques – cas du

transfert et de l’acceptation des risques.

3.3.1 Réduction des risques

Les mesures de réduction des risques sont de deux ordres :

soit elles diminuent la vulnérabilité des éléments de ris-

que face aux incidences de certains aléas, soit elles visent à

garantir la continuité opérationnelle des processus critiques

en instaurant des systèmes redondants et / ou des systèmes

de remplacement : même s’ils peuvent perturber certains

éléments critiques, ces systèmes ont l’avantage d’assurer une

continuité opérationnelle dans le cadre de la gestion de la

reprise sur incident27.

GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES

26 Cf. Australian/New Zealand Standard, 2004, pages 21–22.27 On trouvera en annexe V.1 une liste de contrôle détaillée de mise en

œuvre de mesures préventives.

Intensité de l'événement

Intensité de l'événement

Relèvement du seuil de crise par le biais de mesures préventives

Activité normale, y compris la gestion des dysfonctionnements

Crise Evénement Seuil de crise

Illustration 5 : Intensité de l’événement et seuil de crise

Page 24: Protection des infrastructures critiques – gestion des risques et des

22

3.3.2 Prévention des risques

Il est possible de parer les risques soit en évitant les régions

menacées, soit en mettant en œuvre des mesures destinées à

empêcher l’apparition de dangers.

Face aux aléas naturels et à l’environnement des dispositifs à

haut risque (songeons aux itinéraires de transport des mar-

chandises dangereuses), les zones exposées – autrement dit

menacées – peuvent souvent être identifiées. Une révision

de la conception des sites, des bâtiments et des dispositifs

concernés permettra d’éviter ces zones.

La prévention totale des risques est toutefois impossible,

aucun site n’en étant exempt.

3.3.3 Transfert des risques

Le transfert des risques consiste à déplacer ces derniers sur

d’autres entreprises ou contractants afin de réduire l’étendue

financière d’éventuels dommages portés à son propre établis-

sement. Au nombre des instruments du transfert des risques

figurent :

le transfert des risques sur les assurances et

le transfert des risques sur les fournisseurs ou les clients.

3.3.4 Acceptation des risques (risques résiduels)

Les mesures et stratégies préventives accroissent le niveau de

sécurité global de l’établissement. Cependant, certains ris-

ques ne peuvent être totalement éliminés. De ce fait, l’établis-

sement devra documenter les risques résiduels et consigner

leur acceptation par écrit.

Les risques résiduels peuvent déclencher des crises face aux-

quelles l’organisation fonctionnelle et structurelle normale

est généralement démunie. Ainsi, il est nécessaire de dispo-

ser d’une gestion des crises qui donne à l’établissement les

moyens de surmonter efficacement la situation.

3.3.5 Expériences des assureurs de choses en matière de

dommages

Les assureurs de choses portent par essence un vif intérêt à la

protection contre les sinistres et à la réduction de leurs consé-

quences sur la pérennité de l’entreprise.

Nombre de publications (recommandations, directives et

fiches) de l’Union générale des assureurs allemands résument

les enseignements que l’on peut tirer de divers sinistres28.

Source d’information supplémentaire, ces publications

peuvent servir à renforcer la protection de certains établisse-

ments et, par là même, apporter une contribution à la protec-

tion des infrastructures critiques.

3.4 Phase 4 : Gestion des crises

Au sens où l’entend le présent manuel, une crise constitue

par rapport à la situation normale un écart ne pouvant plus

être surmonté à l’aide des seules structures opérationnelles

normales. Les crises survenant au sein d’infrastructures cri-

tiques peuvent considérablement entraver la fonctionnalité

des entreprises et des administrations et, de ce fait, être pré-

judiciables à la population ou perturber le système politique,

social et économique. La loi allemande relative au contrôle et

à la transparence des entreprises (dite « KonTraG ») utilise la

notion de « danger pour la continuité de l’exploitation » – une

notion qui se prête particulièrement bien à l’établissement

d’une définition29. La crise doit être clairement distinguée des

événements de portée moyenne, désignés sous le terme de

« dysfonctionnements » dans le cadre du présent manuel (cf.

illustration 6, page 23).

Les éléments qui vont déclencher une crise peuvent apparaî-

tre au sein même de l’entreprise ou de l’administration – c’est

par exemple le cas des crises financières découlant de mau-

vaises pratiques de gestion ou de malversations (voir illustra-

tion 6) – ou provenir de l’extérieur. Les crises provenant de

l’extérieur peuvent être induites à la suite d’effondrements

boursiers, de manchettes négatives ou de difficultés de livrai-

son. A côté de cela, les aléas naturels, les défaillances tech-

niques, les erreurs humaines, les actes de nature terroriste

ou criminelle et les conflits armés peuvent être considérés

comme principaux éléments déclencheurs de crises affectant

les infrastructures critiques.

REMARQUE IMPORTANTE :

Letransfertn’entraînepasderéductionphysiquedesrisques

pesantsurlespersonnesoulesbiensmatériels.Ellemodifie

seulementlesconséquencesfinancièresquedoitsupporter

l’établissementàlasuitedesdommagessurvenus.

28 Cf. par exemple VdS-Richtlinien 2007 (directives de 2007 de

l’Association allemande des compagnies d’assurances dommages).29 Cf. Trauboth, 2002, pages 14–15.

Page 25: Protection des infrastructures critiques – gestion des risques et des

23

GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES

La gestion des crises fournit une contribution notable à la

protection des entreprises et des administrations et, par

là-même, à la protection des infrastructures critiques et de la

population. Elle n’est pas dissociée de la gestion des risques.

En effet, la préparation aux crises sur le plan conceptuel, orga-

nisationnel, procédural et matériel s’appuie partiellement sur

les résultats de la gestion des risques : la nature et l’ampleur

des risques résiduels qui en découlent influencent le degré de

préparation aux crises. Tous les risques ne pouvant être réduits

à l’aide de mesures d’atténuation et un risque résiduel subsis-

tant toujours, la gestion des crises sert à surmonter les crises

qui ne sauraient être empêchées via la seule prévention.

Dans les établissements constituant des infrastructures cri-

tiques, la gestion des crises a pour objectif de surmonter les

crises tout en

maintenant une fonctionnalité maximale et / ou

permettant une reprise des processus critiques dans les

meilleurs délais.

Une gestion des crises bien menée s’insère dans d’autres

concepts de gestion, tels que la gestion des risques précédem-

ment décrite. Les mesures préparées et activées dans le cadre

de la gestion des crises permettent de garantir le fonction-

nement de l’organisation, la continuité d’exploitation ou de

service et le retour à l’activité normale. Effectuée pendant et

après l’événement, l’évaluation du déroulement de la gestion

des crises permettra de la perfectionner et de l’améliorer. La

gestion des crises peut donc être appréhendée comme un

sous-cycle PDCA s’inscrivant dans la gestion des risques. L’il-

lustration 7 schématise le processus de la gestion des crises.

Infrastructure critique

Dysfonctionnements

Pannes mécaniques

Mauvaise gestion

GrèveDifficultés de livraison

Evolution négative de la Bourse

Pénuries suite à des modifications

subites de la demande

Couverture médiatique

Catastrophes naturelles

Défaillances techniques /

erreurs humaines

Actes de nature terroriste /

criminelle

Conflits armés

Illustration 6 : Eléments déclencheurs de crises internes et externes

ACT• Préparation• Organisation structurelle – cellule de crise – QG de la cellule de crise• Organisation fonctionnelle – plan de crise – fonctions

• Remaniement du plan de crise et optimisation

• Gestion – situation – mise en œuvre de mesures – communication – reprise sur incident et retour à l’activité normale – documentation

• Evaluation

PLAN

CHECK DO

Illustration 7 : Processus de la gestion des crises30

30 Cf. Gesellschaft für Anlagen- und Reaktorsicherheit (Société alle-

mande pour la sûreté des installations et des réacteurs nucléaires),

2007, page 21.

Page 26: Protection des infrastructures critiques – gestion des risques et des

24

Les principales missions de la gestion des crises sont les sui-

vantes :

Instaurer les pré-requis conceptuels, organisationnels et

procéduraux permettant la gestion optimale d’un événe-

ment extrême

Etablir des structures spécifiques – y compris la mise sur pied

d’une cellule de crise – pour réagir à la situation de crise.

Les principales caractéristiques de la gestion des crises sont les

suivantes :

La gestion des crises est un processus qui englobe l’organi-

sation, la mise en œuvre et l’évaluation du plan qui, avec

les actions qui en découlent, permettra de réagir efficace-

ment en cas de crise.

Les mesures sont généralement prises en faisant appel à

des ressources et à des informations qui ne sont disponi-

bles que de manière restreinte.

Le soutien de services ou de ressources externes peut s’avé-

rer nécessaire.

Les décisions sont prises dans l’urgence et en l’absence

d’un niveau complet d’information.

3.4.1 l’organisation de la gestion des crises

La gestion des crises comporte deux composantes élémen-

taires : une organisation structurelle et fonctionnelle spéci-

fique opérant dans toute période de crise, et des plannings

partiels adaptés à différents scénarios et destinés à garantir

la continuité d’activité. Dans ce contexte, tous les plannings

préliminaires requis et envisageables sont regroupés dans un

plan de crise.

3.4.1.1 Plan de crise

Le plan de crise consigne toutes les structures organisation-

nelles et toutes les mesures planifiables qui, en cas de crise,

doivent être respectées ou mises en place par les collabo-

rateurs chargés de la gestion des crises et de la continuité

d’activité ou de service. Un bon plan de crise se distingue

par sa concision et sa précision. Des check-lists31 envisageant

l’éventualité d’une crise facilitent la préparation des mesures

nécessaires et empêchent l’omission de tâches importantes.

Le plan de crise contient les points suivants (fixation des com-

pétences comprise)32 :

But, finalité et domaine d’application du plan de crise

Bases légales

Mise au point d’une organisation structurelle pour la

situation de crise • cellule de crise

• fixation de tâches, de responsabilités et de compétences

suivie d’une répartition entre les référents qui ont été

désignés33

• compétences et activités concrètes en vue de la maîtrise

de la crise

Mise au point d’une organisation fonctionnelle en vue de

la maîtrise de la crise, du retour à la normale et du suivi • circuits de signalement et alerte

• modèle d’escalade / désescalade

• joignabilité d’interlocuteurs à l’intérieur et à l’extérieur

de l’établissement

• mesures de reprise sur incident et de retour à l’activité

normale spécifiques à l’événement considéré

• consignes relatives au suivi de la crise

Mise au point de différents volets de plan déclinés par scé-

nario, par exemple

• évacuation

• panne de courant

• pandémie

• panne au niveau de l’informatique ou de la communica-

tion.

Le plan de crise doit être régulièrement actualisé et donner

lieu à des exercices de mise en application.

31 L’annexe V.2 contient des listes de contrôle permettant de contrôler

un certain nombre de points de détail dans le cadre de la prépara-

tion aux crises.

REMARQUE IMPORTANTE :

unplandecrisedoitsystématiquementêtreélaborémême

siungrandnombredemesurespréventivesontdéjàété

misesenœuvreenamont.

32 L’Office fédéral pour la sécurité des systèmes d’information (2008)

fournit un exemple de plan de crise ainsi qu’un Mémento des situa-

tions d’urgence dans le secteur des TI. 33 Jungbluth, 2005, page 15.

Page 27: Protection des infrastructures critiques – gestion des risques et des

25

GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES

3.4.1.2 Organisation structurelle

Alors que les situations de crise requièrent une organisation

spécifique, chaque établissement constituant une infrastruc-

ture critique se dote d’une organisation structurelle adaptée

à sa nature et à ses besoins. Le « bureau » dédié à ces situations

(la cellule de crise) a pour objectif de maîtriser les crises le plus

rapidement possible et de manière compétente.

3.4.1.2.1 Cellule de crise

La cellule de crise est l’instrument central de réaction face

aux crises. Elle constitue une organisation structurelle spéci-

fique transcendant l’organisation structurelle normalement

chargée de gérer les situations particulières dans les unités

impliquées, et regroupe des compétences intersectorielles

sous une direction unique. La cellule de crise est un instru-

ment décisionnel investi de fonctions annexes de coordi-

nation, d’information, de conseil et d’appui. Sur le plan de

la forme, elle est constituée d’un directeur34 entouré d’une

équipe. Au sein de l’équipe de la cellule de crise, il faut opérer

une distinction entre

l’équipe centrale, composée d’un directeur et d’une à trois

personnes qui seront les principaux référents en cas de

crise,

la cellule de crise élargie, composée de personnes affec-

tées à des fonctions spéciales ou de groupes d’appui35 et

les consultants qui, comme leur nom l’indique, conseillent

la cellule de crise.

Tous les membres affectés à la cellule de crise, ainsi que leurs

suppléants, doivent connaître leur tâche spécifique et y être

préparés. Lors de la désignation des suppléants, il ne faut

pas perdre de vue les scénarios dans lesquels d’importantes

défections de personnel pourraient se répercuter sur les colla-

borateurs de la cellule de crise (épidémies de grande ampleur

ou pandémies, par exemple36). Afin de pouvoir faire face à

ce genre de situation, il convient donc de nommer plusieurs

suppléants.

En amont de la crise et dans l’éventualité de celle-ci, la cellule

de crise doit faire l’objet d’une réglementation spécifique du

temps de travail (comprenant un système de roulement) tout

en prévoyant un temps de passation des compétences à cha-

que fois que les équipes se relaient. Les périodes de crise sont

des périodes de stress : il est donc conseillé de ne pas excéder

une durée d’intervention de six à sept heures.

Dans le domaine de la prévention de la menace et de la pro-

tection civile, le modèle de cellule de crise qui s’est imposé est

exposé en détail dans l’instruction de service 100 à l’attention

des sapeurs-pompiers37. D’inspiration militaire, ce modèle

décrit l’organisation d’un état-major et s’adresse à toutes les

organisations agissant principalement dans le domaine tacti-

que et opérationnel.

Dans le domaine de la protection civile, un autre type d’état-

major intervient au niveau administratif parallèlement à la

cellule de crise tactique et opérationnelle. Assumant avant

tout des tâches administratives, il apporte son assistance à la

cellule de crise. En temps de crise, il a cependant aussi faculté

d’agir de son propre chef lorsqu’aucune composante opéra-

tionnelle n’entre en jeu.

Dans les entreprises et les administrations n’opérant pas dans

la prévention de la menace ou la protection civile, l’organi-

sation de la cellule de crise dépend des exigences auxquelles

l’établissement doit faire face en cas de crise. Dans certaines

entreprises, une organisation de la cellule de crise analogue

à celle que présentent les états-majors administratifs et les

états-majors de commandement peut s’avérer judicieuse

lorsqu’il est, par exemple, nécessaire de mener des activités

similaires ou qu’il faut coopérer étroitement avec les forces

d’intervention de la protection civile. Dans d’autres entrepri-

ses et administrations, cette structure ne sera pas retenue38.

L’important est que la communication entre l’exploitant

de l’infrastructure critique et les autorités en charge de la

prévention de la menace ou les organismes de protection

civile fonctionne. Il est par ailleurs souhaitable que les col-

laborateurs des différentes cellules de crise communiquent

de manière suivie les uns avec les autres et que cet échange

soit explicitement prévu dans l’organisation de l’état-major

administratif.

34 La direction de la cellule de crise peut être assumée par la direction

de l’entreprise ou de l’administration. Une séparation est cependant

recommandée afin d’offrir à l’exécutif une latitude suffisante pour la

prise de décisions importantes et indépendantes.35 Cf. Trauboth, 2002, page 45.36 La politique de protection du personnel et, surtout, de l’état-major,

comprendra par exemple des mesures d’hygiène adéquates, des

masques de protection et la mise en place de postes en télétravail.

Pour toute aide et information complémentaire, cf. l’Office fédéral

pour la protection des populations et l’assistance en cas de catastro-

phes, 2007, le Robert Koch Institut, 2005 et 2007a, ainsi que l’annexe

V.2.37 « Feuerwehrdienstvorschrift 100 » (instruction de service à l’attention

des sapeurs-pompiers), 1999.

38 Le standard BSI 100-4 décrit une autre possibilité destinée aux éta-

blissements œuvrant dans le contexte des TI. Cf. à ce sujet l’Office

fédéral pour la sécurité des systèmes d’information, 2008.

Page 28: Protection des infrastructures critiques – gestion des risques et des

26

Toute cellule de crise doit, indépendamment des missions

imparties à l’établissement, assumer les fonctions d’état-

major et les tâches suivantes39 :

règlement de l’ensemble des aspects ayant trait au person-

nel,

recensement de la situation et actualisation régulière des

informations,

distribution de missions visant à remédier à la crise et

coordination des interventions qui sont requises à cette fin

et sont exécutées par le personnel de l’établissement,

relations avec la presse et les médias,

règlement de l’ensemble des aspects ayant trait à l’infor-

mation et à la communication,

soutien du personnel employé dans le cadre de la gestion

des crises.

Dans les structures entrepreneuriales, les fonctions suivantes

peuvent également être représentées au sein de la cellule de

crise :

affaires juridiques

finances / budget

marketing

logistique

gestion de la qualité

distribution

sécurité du site

protection de l’environnement

sécurité des installations

toxicologie

pompiers d’usine

services de secours.

Pour chacune de ces fonctions, il est possible de rédiger – en

amont de toute crise – un descriptif de tâches détaillant les

activités générales et récurrentes à exécuter pendant la phase

de maîtrise de la crise.

Pour les entreprises opérant à l’échelle internationale ou les

sociétés et administrations en rapport direct avec l’interna-

tional, il est judicieux d’instaurer une fonction intitulée « rela-

tions internationales ». Il est également envisageable d’offrir

une assistance supplémentaire à la cellule de crise, notam-

ment pour établir des évaluations de la situation.

Lorsqu’une entreprise ou une administration comporte plu-

sieurs succursales, agences ou annexes, il est conseillé de met-

tre en place un état-major consortial ou général en sus des

cellules de crise in situ pour le cas où la totalité de l’entreprise

ou de l’administration serait touchée par la crise.

39 D’après la Feuerwehr-Dienstvorschrift (instruction de service à

l’attention des sapeurs-pompiers), 1999.

3.4.1.2.2 Directeur de la cellule de crise

Lors de la réaction à un événement extrême, le directeur de

la cellule de crise assume le pilotage de l’ensemble des opé-

rations liées à la crise et prend toutes les décisions liées à la

maîtrise de la crise. Il devra donc déjà occuper une position

dirigeante au sein de l’entreprise ou de l’administration

concernée. Le directeur de la cellule de crise ne peut mener

son travail que dans un cadre juridique et financier préalable-

ment défini.

Le pilotage d’une cellule de crise suppose une forte person-

nalité et des qualités empiriques telles que leadership, haute

endurance dans les situations extrêmes, aptitude marquée

à la prise de décision dans l’urgence, capacité de travail en

équipe et compétence sociale. Le directeur de la cellule de

crise s’illustre par un don de compréhension et une faculté

d’analyse rapides. Il faut néanmoins qu’il ait également la

confiance de la direction de l’entreprise ainsi que celle de

l’équipe de la cellule de crise. Le recours à des généralistes

assistés par des spécialistes est une option avantageuse.

Il est recommandé que le directeur de la cellule de crise s’ap-

proprie des connaissances spécifiques en matière de maîtrise

de crise lors de stages de formation initiale et continue.

3.4.1.2.3 Equipe de la cellule de crise

Selon le type de crise, l’équipe centrale déjà existante sera

complétée par des fonctions spéciales adaptées à l’événe-

ment. Ces fonctions spéciales sont assumées par des person-

nes disposant de compétences spécifiques – et les besoins

sont fonction de la nature de la crise. La décision relative à

la composition de l’équipe de la cellule de crise est prise par

le directeur de la cellule. L’équipe centrale a pour tâche de

préparer les décisions à l’attention du directeur de la cellule

et d’ordonner des mesures visant à surmonter la crise ou à

limiter les dommages.

3.4.1.2.4 Consultants au sein de la cellule de crise

Des consultants internes et externes peuvent venir complé-

ter la cellule de crise sans en faire formellement partie. Ils

peuvent notamment être associés aux processus décisionnels

nécessitant des informations pointues. A titre d’exemple, il

pourra s’agir de connaissances en matière de cycles d’activité,

de logiciels utilisés, de mesures de sécurité, de finances, d’en-

vironnement, de production, de lutte contre l’incendie et de

secours, ainsi que de protection civile au niveau communal,

régional ou national.

3.4.1.3 Organisation fonctionnelle

L’organisation fonctionnelle régit l’activation de la gestion

des crises ainsi que les tâches imparties à la cellule de crise.

Cela se traduit par l’exercice de fonctions d’état-major spé-

cifiques assumées par des collaborateurs nommés en consé-

quence.

Page 29: Protection des infrastructures critiques – gestion des risques et des

27

GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES

Les tâches menées dans le cadre de la maîtrise d’une crise

sont les suivantes :

notification, compte rendu, alerte ;

constatation et évaluation de la situation ainsi que de son

évolution probable (y compris la fourniture d’informa-

tions) ;

développement de stratégies concrètes de maîtrise de la

crise suivies de l’ordre de les mettre en œuvre ;

surveillance et contrôle de la mise en œuvre ;

documentation de la démarche ;

communication de la démarche, tant en interne qu’en

externe ;

activation de mesures visant à permettre la reprise des

processus ;

rétablissement de la continuité d’activité et de service.

3.4.1.3.1 Circuits de signalement et alerte

La rapidité et l’exhaustivité du flux d’informations sont indisso-

ciables du succès de la gestion des crises. Ses éléments centraux

sont les comptes rendus transmis verbalement ou par écrit.

Lorsqu’ils sont de qualité, le processus de maîtrise de la crise

s’en trouve facilité. Tel est le cas lorsque les comptes rendus40

sont livrés immédiatement,

précisent l’instant et le lieu du constat,

sont clairs, concrets et sans équivoque,

sont concis tout en étant complets,

discernent clairement les faits des suppositions,

sont classés par urgence.

La transmission de comptes rendus internes relatifs à des

événements ou à des dommages donnés impose donc de fixer

non seulement un circuit de signalement standardisé mais

aussi une procédure standardisée garantissant la saisie et

l’acheminement de toutes les informations nécessaires.

Lorsque survient un événement qu’il est impossible de maîtri-

ser grâce à la seule gestion interne des dysfonctionnements et

lorsque cet événement est susceptible d’engendrer une crise,

il est nécessaire d’informer le plus rapidement possible le

directeur de la cellule de crise. Les constats relatifs aux dégâts

occasionnés dans l’environnement de l’établissement peuvent

être communiqués par le personnel, les clients, les habitants

ou encore des entreprises et administrations externes. En fonc-

tion de l’ampleur de l’événement, un décideur – généralement

le supérieur hiérarchique – doit être informé. Si l’événement ne

peut être maîtrisé dans le cadre de ses attributions, il le signale

au directeur de la cellule de crise ou à la direction de l’établis-

sement. Le directeur de la cellule de crise décide de l’activation

de l’organisation structurelle et fonctionnelle spécifique.

Le directeur de la cellule de crise évalue la menace et assure

l’alerte des personnes appelées à intervenir dans la gestion

des crises et / ou des entités telles que l’équipe centrale de la

cellule de crise, la cellule de crise élargie, les centres de coor-

dination et la direction de l’établissement. Les entités exter-

nes telles que fournisseurs et clients, organisations et diverses

institutions d’aide, établissements publics (écoles et crèches,

par exemple), administrations et service publics de santé (y

compris, notamment, médecins et hôpitaux) sont informées

de l’événement s’il y a lieu.

La procédure est sous-tendue par des listes d’alerte contenant

les coordonnées du personnel appelé à intervenir dans la

gestion des crises et les coordonnées des services extérieurs

concernés. Les listes d’alerte et de notification doivent être

établies au préalable par l’entreprise ou l’administration

concernée et actualisées régulièrement.

Le passage de l’activité normale à la gestion des crises et à

l’alerte du personnel peut s’effectuer de manière abrupte ou

par escalade. De ce fait, les deux modèles suivants sont envi-

sageables :

Modèle de seuil

Dans ce cas, il n’existe qu’un seul niveau d’alarme entre

l’activité normale (gestion de dysfonctionnement compri-

se) et la gestion des crises. Si ce seuil est dépassé, on passe

automatiquement à la situation dans laquelle le plan de

crise est activé, avec une cellule de crise assumant la direc-

tion de la crise. L’ensemble du personnel et des services

œuvrant dans la gestion des crises sont alertés.

Modèle d’escalade

Dans ce cas, le plan de crise comporte une subdivision

en plusieurs niveaux d’alerte, à partir desquels la mobili-

sation du personnel et le recours à tels ou tels moyens et

mesures sont fixés en fonction de l’événement. Ce modèle

permet de réagir avec précision à différents types d’évé-

nements et de répercussions, mais implique une planifica-

tion plus complexe de la crise41.

Une fois qu’un événement a été rapporté au directeur de

la cellule de crise et que l’ensemble des services internes et

externes concernés ont été alertés, la cellule lance des ordres

visant à répartir les tâches au sein de l’établissement. Le per-

sonnel appelé à intervenir dans la gestion des crises notifie

l’état des choses par le biais de comptes rendus à la cellule de

crise. Quant aux services externes, ils informent directement,

en règle générale, la cellule de crise.

L’illustration 8 (page 28) récapitule les circuits de signalement

au sein d’un établissement et les modalités d’alerte des per-

sonnes concernées.

40 Feuerwehr-Dienstvorschrift (instruction de service à l’attention des

sapeurs-pompiers), 1999, page 29.41 Jungbluth, 2005, page 17.

Page 30: Protection des infrastructures critiques – gestion des risques et des

28

oui

oui

oui

non

non

non

Kernteam

Signalement d’un événement par le personnel

Signalement d’un événement par les clients, les habitants

Transmission du signalement à un décideur

Evénement en-deçà du seuil de crise ?

Transmission au service spécialisé compétent ; contrôle des mesures

Information du directeur de cellule de crise

Evénement maîtrisable au sein du service spécialisé ?

Contrôle : événement en-deçà du seuil de crise ?

Répartition entre les services spécialisés

Service spécialisé A Service spécialisé N MédiasAdministrations

(protection civile, autorités en charge de

l’environnement, police, etc.)

Traitement au sein du service spécialisé

Convocation de la cellule de crise Information de la direction

Service récepteur (centre de coordi-nation, accueil, service d’astreinte, …)

Signalement d’un événement par des établissements externes

Alerte et notifications externes indispensables dans le cadre de

la gestion des crises

Alerte et notifications externes indispensables dans le cadre de

la gestion des crises

Illustration 8 : Circuits de signalement et alerte

Page 31: Protection des infrastructures critiques – gestion des risques et des

29

3.4.1.3.2 Communication de crise

Cette notion recouvre la communication de la crise auprès

du public et là notamment auprès des médias. Cette tâche

est assumée par le service des relations avec la presse dans le

cadre des relations publiques.

Durant la phase initiale, et capitale, de développement d’une

crise, il est primordial d’associer et d’informer en temps quasi

réel les autres organisations, les médias et la population, ainsi

que de tenir sa propre organisation au courant. En cas de crise,

le travail d’information doit démarrer exactement en même

temps que la phase de maîtrise de la crise. Les communiqués

de presse doivent pouvoir être émis en un temps très bref.

Cependant, la non-divulgation d’informations constitue elle

aussi une forme de communication de crise : il est donc essen-

tiel d’identifier les informations devant rester confidentielles.

Les crises affectant la population nécessitent la préparation

de permanences téléphoniques et de pages Internet convi-

viales. Des agents spécifiquement formés, équipes de renfort

comprises, doivent pouvoir être convoqués immédiatement

en cas de crise afin de pouvoir maîtriser des exigences accrues

en matière de communication auprès de la population.

Durant cette phase, il est également impératif d’intensifier la

communication interne.

Les premiers comptes rendus relatifs à un événement ou

à une crise sont souvent faits par les médias. Il est donc

conseillé de désigner, en amont de toute crise, au moins un

porte-parole par lequel passera toute la communication avec

les médias. Ainsi, l’établissement sera en contact avec les

journalistes dès le stade le plus précoce du déroulement des

événements. La perception de la crise et l’image de sa ges-

tion dépendent dans une très forte mesure de la couverture

médiatique. Une communication fructueuse et performante

avec les médias suppose notamment,

un réseau avec les médias locaux, régionaux et nationaux,

des recommandations pour gérer les premiers contacts

avec les médias en cas de crise,

la préparation de dossiers de fonds et de modèles pour les

communiqués de presse, les notes de discussion, etc.,

de l’expérience en matière de conférences de presse et une

formation spéciale aux médias,

le cas échéant, une assistance externe par des spécialistes

de la communication de crise.

GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES

Lors de crises concernant le grand public, il est important que

les décideurs responsables (chefs d’entreprise, responsables

d’administrations, attachés de presse ou responsables de

l’information au sein de l’établissement) interviennent tôt /

en temps opportun et de manière adéquate dans les médias.

Formulées avec pondération, les déclarations doivent trans-

mettre des informations véridiques et sans équivoque dans

un langage intelligible.

Les règles de base de la communication externe sont les sui-

vantes :

toute crise est également une crise d’information ;

la gestion des crises implique une gestion de l’information ;

les premières heures d’une crise sont d’une importance

décisive : les informations transmises durant cette phase

laissent une impression qui a de grandes chances de s’an-

crer durablement ;

c’est en fonction de la qualité de la communication de

crise que le public sera convaincu – ou non – que les res-

ponsables sont à la hauteur de la crise ;

l’information doit satisfaire les besoins du public ;

les responsables de l’information doivent instruire la

cellule de crise des besoins en information de l’opinion

publique et des médias, ainsi que des effets engendrés par

la communication.

L’illustration qui suit récapitule schématiquement la

manière dont s’articule l’organisation structurelle et fonc-

tionnelle.

REMARQUE IMPORTANTE :

Ilfautveilleràcequeseullepersonnelautorisédélivredes

informationsàl’extérieur.

Lorsd’événementslongsetgraves,ilestconseilléqu’un

représentantdeladirectiondel’entrepriseoudel’adminis-

trationassumelacommunicationversl’extérieur.Pource

faire,ilreçoitdesinformationscontinuellementmisesàjour

etdesconseilsapprofondisdelapartdelacelluledecrise.

Danscecas,ledirecteurdelacelluledecriseassumela

coordinationdelamaîtriseinternedelacriseetcontinuede

prendrel’ensembledesdécisions.

Page 32: Protection des infrastructures critiques – gestion des risques et des

30

3.4.1.4 Quartier général de la cellule de crise

Le quartier général (QG) de la cellule de crise désigne l’espace

spécialement mis à disposition de cette dernière avant, pen-

dant et après la crise. On l’appelle également centre de situa-

tion, centre des opérations d’urgence ou PC de crise.

Le QG de la cellule de crise sert de lieu de rassemblement aux

membres de la cellule de crise. Lors de la planification et de

l’aménagement de cet espace, il convient de tenir compte du

site, du site de repli et de l’équipement.

L’emplacement du QG doit être fixé à l’avance. Simple d’accès,

il doit également offrir une protection contre les incidences

d’un aléa. Pour pouvoir faire face à l’éventualité d’une panne

fonctionnelle sur ce premier emplacement, un emplacement

de remplacement doit être désigné ; seuls la direction de l’en-

treprise / administration, la cellule de crise et son directeur en

connaîtront l’existence et sauront à quel endroit il se trouve.

Le QG de la cellule de crise doit être équipé d’une infrastruc-

ture redondante de communication et d’information et doit

disposer des moyens techniques efficaces pour se procurer

l’information, la traiter et la présenter. Il doit également être

doté d’une alimentation électrique de secours pour tous les

appareils techniques et l’éclairage42.

Sur le plan de la sécurité, certains aspects doivent éventuel-

lement être observés : le QG de la cellule de crise pourra par

exemple vouloir éviter d’être observé ou mis sur écoutes. Par

ailleurs, la fonctionnalité de la salle et de son équipement

devra être contrôlée à intervalles réguliers.

Le personnel, l’espace et les équipements techniques impar-

tis à la cellule de crise et à la salle qui lui aura été attribuée

dépendent, tant dans leur nature que dans leur ampleur, des

risques existants, de la définition et de l’étendue des tâches

et processus, de la taille et de la diversité sectorielle de l’éta-

blissement, de particularités locales et du statut de l’établisse-

ment : s’agit-il du siège principal, de succursales ou d’établis-

sements secondaires ?

3.4.2 Maîtrise de la crise

Une fois que la cellule de crise a été activée, les activités visant

à surmonter la crise peuvent commencer. Dès lors, le QG de la

cellule de crise sert de lieu de rassemblement et les activités

sont exécutées conformément au plan de crise. La transmis-

informations,signalements

Equipe centrale

RH Situation Ordres / intervention

Soutien du personnel

Relations presse / médias

Tâches spécifiques

à l'organisme

Informatique et communication

Cellule de crise élargie

Consultants

Directeur de la cellule de crise

Cellule de crise

En interne A l'extérieur

Comptes rendusComptes rendusinstructions

Département A

Département B

Département C

Département D

… Département N

informations,demandes

Services externes (par exemple administrations

en charge de la prévention de la menace, protection

civile), clients, presse

Illustration 9 : Organisation structurelle et fonctionnelle

42 L’annexe V.6 fournit une liste détaillée des locaux et de l’équipement

technique du QG de la cellule de crise ; elle apporte également des

précisions supplémentaires sur les équipements nécessaires.

Page 33: Protection des infrastructures critiques – gestion des risques et des

31

GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES

sion de l’information et les moyens de communication sont

une condition sine qua non à la maîtrise de la crise. Ils doivent

fonctionner (ou se remettre à fonctionner). Toutes les actions

et décisions intervenant dans le cadre de la maîtrise de la

crise sont documentées dès le début des travaux de la cellule

de crise.

La maîtrise d’un événement extrême s’accomplit selon un

cycle comportant quatre stades : la constatation de la situa-

tion, l’évaluation de la situation, l’adoption/mise en œuvre de

mesures et le contrôle. Ce cycle est repris au terme de chaque

sous-événement et de chaque mesure modifiant substantiel-

lement la situation, jusqu’au retour à la situation normale.

3.4.2.1 Tableau de la situation

Recueil de l’information

La cellule de crise recueille des informations sur l’événement

afin de dresser un tableau de la situation. Condition sine qua

non d’une appréciation pertinente de la crise et du choix des

activités qui permettront de minimiser les dégâts, ce tableau

renseigne sur

la nature, l’ampleur et le déroulement des événements,

les répercussions et l’évolution potentielle de la situation,

les possibilités de réaction,

les mesures prises jusqu’alors44.

L’ensemble des comptes rendus qui ont été émis et des recon-

naissances qui ont été personnellement menées est recensé.

Il est également nécessaire de disposer d’informations sur la

situation de la menace et l’ampleur des dégâts, ainsi que sur

les ressources humaines et les capacités techniques disponi-

bles.

Durant la phase de maîtrise de la crise, le recueil d’informa-

tions est facilité lorsque des plans et de cartes ont été préparés

en amont de la crise. Parmi les documents servant au recueil

d’informations figurent

les plans d’ensemble et les cartes (terrains, bâtiments),

les plans de bâtiments (extincteurs, sorties, issues et sorties

de secours, abris, salle du QG de la cellule de crise),

les plans des installations et des réseaux (interrupteur

principal pour l’alimentation en courant, robinets princi-

paux d’eau et de gaz, tuyauteries).

Les plans et les cartes doivent être actualisés régulièrement.

Outils de recueil et de traitement de l’information

Le recueil de l’information s’appuie sur les comptes rendus

fournis par le personnel de l’établissement, les habitants, divers

acteurs publics et privés externes à l’établissement (comme les

clients, la police et la protection civile) ainsi que les médias.

Les équipements nécessaires au recueil de l’information coïnci-

dent en partie avec les caractéristiques d’équipement du QG de

la cellule de crise45 – comme les téléphones, l’accès à Internet,

la radio et les téléviseurs. Ces ressources sont complétées par le

matériel cartographique susmentionné ainsi que par un certain

nombre d’ouvrages de référence.

Un traitement graphique de l’information permettra de faci-

liter une appréhension intuitive des événements chez tous les

protagonistes. Si l’établissement utilise un système d’informa-

tion géographique46, les informations spatiales clés pourront

être sauvegardées – en amont – et affichées par voie électroni-

que en temps voulu.

Présentation d’un tableau de la situation

La cellule de crise élabore un tableau actuel de la situation.

Ce tableau comprend les éléments suivants : le lieu, l’heure,

éventuellement la météo, la nature du sinistre et la situa-

tion de la menace, les mesures engagées et toutes les autres

possibilités de réaction. Constituant une synthèse de tous

les comptes rendus émis et de toutes les informations reçues

jusqu’à ce moment, il fournit une description condensée des

faits les plus récents.

Constatation de la situation

Adoption et mise en œuvre de mesures

Contrôle Evaluation de la situation

Illustration 10 : Cycle de maîtrise d’événements extrêmes43

43 D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’at-

tention des sapeurs-pompiers), 1999, page 25.44 Jungbluth, 2005, page 38.

45 Voir annexe V.6.46 Les systèmes d’information géographique sont des logiciels relayés

par des bases de donnés à l’aide desquelles on peut saisir et analyser

des données spatiales.47 Feuerwehr-Dienstvorschrift (instruction de service à l’attention des

sapeurs-pompiers), 1999, page 26.

Page 34: Protection des infrastructures critiques – gestion des risques et des

32

Parmi les documents essentiels à une présentation de la situa-

tion figurent :

les cartes de situation,

les plans de bâtiments,

les comptes rendus relatifs à l’événement

les enregistrements audio et audiovisuels48.

Le schéma ci-après récapitule les principaux points permet-

tant de dépeindre l’état de la situation.

3.4.2.2 Evaluation de la situation, adoption et mise en

œuvre de mesures

Le tableau de la situation donne lieu à une évaluation systé-

matique débouchant sur une décision quant aux mesures à

prendre. Une fois dressé l’état de la situation, le directeur de

la cellule de crise tranche sur la suite de la démarche.

Parmi les moyens d’évaluation de la situation figurent50 :

le tableau de la situation lui-même,

les bases légales,

les directives,

les fiches d’information.

La situation fait l’objet de mises au point régulières – présen-

tées dans le cadre de briefings si cela s’avère nécessaire. Quel

que soit le type de crise auquel il a affaire, le directeur de la

cellule de crise doit prendre des décisions claires sur les mesu-

res à mettre en œuvre51.

3.4.2.3 Contrôle

Le contrôle vise à vérifier si le personnel (des succursales ou

des forces d’intervention, par exemple) a bien reçu les ins-

tructions de la cellule de crise, s’il les a comprises et correcte-

ment mises en œuvre. Le contrôle a également pour objectif

de surveiller les répercussions des décisions qui ont été prises.

Après avoir été mise en œuvre, chaque mesure engendre un

nouveau tableau de la situation – qui doit à son tour être dres-

sé, puis présenté. Chaque nouveau tableau sert de base au

contrôle des répercussions des mesures prises à ce moment

précis et à la planification de la démarche ultérieure.

3.4.2.4 Garantie de la continuité d’activité et de service

L’un des éléments essentiels de la maîtrise des crises au sein

des établissements constituant des infrastructures critiques

est l’activation de mesures d’urgence, de systèmes redon-

dants et de systèmes de remplacement préalablement définis,

dans le cadre de la gestion des risques, afin de garantir la

continuité d’activité et de service52.

3.4.2.5 Retour à l’activité normale

Tout comme dans le cas de l’activation de la gestion de crise,

c’est au directeur de la cellule de crise qu’il revient de lever

la gestion active de la crise et d’annoncer le retour à l’activité

normale. Un modèle de seuil et un modèle de désescalade

sont, là aussi, envisageables53. Dans le cas du modèle de seuil,

la transition vers l’activité normale s’opère immédiatement.

Dans le cas du modèle de désescalade, la transition s’effectue

graduellement. Il est fort probable que ce second modèle soit

mis à contribution dans la plupart des situations de crise, et

plus particulièrement celles possédant des répercussions sur

différents secteurs de l’établissement.

3.4.2.6 Documentation de la maîtrise de la crise

Tous les comptes rendus entrants et sortants (par téléphone,

fax et e-mail par exemple) de même que l’ensemble des déci-

sions, mesures et activités doivent être consignés par écrit.

Pour ce faire, il est possible de recourir à des formulaires stan-

dardisés mentionnant chacun la date et le nom de l’auteur.

Parmi les autres outils de documentation figurent :

Sinistre• type de dommage• cause du dommage

Bâtiment sinistré• nature• taille• matériau• construction• alentours

Ampleur du sinistre• personnes• fonctionnalité• faune, environnement• biens matériels• processus de production• état de la fonctionnalité de l’entreprise ou de l’administration• dommages indirects

Maîtrise de la crise• direction de la cellule de crise• cellule de crise

Personnel investi de fonctions en cas de crise• effectifs• disponibilité• formation complémentaire (par ex. premiers secours)• aptitudes

Moyens• TI• véhicules• appareils

Illustration 11 : Aperçu des éléments constitutifs

d’un tableau de la situation49

48 Adapté d’après la Feuerwehr-Dienstvorschrift (instruction de service

à l’attention des sapeurs-pompiers), 1999, page 41.49 D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’at-

tention des sapeurs-pompiers), 1999, page 27.50 D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’at-

tention des sapeurs-pompiers), 1999, page 45.51 L’annexe V.3. contient, pour tout un éventail de situations de crise,

des check-lists en vue de la mise en œuvre de premières mesures.52 Cf. chapitre 3.3.1.53 Cf. chapitre 3.4.1.3.1.

Page 35: Protection des infrastructures critiques – gestion des risques et des

33

les formulaires pré-imprimés,

les bordereaux d’envoi et les accusés de réception,

les journaux et carnets de bord,

les comptes rendus relatifs aux signalements,

les médias électroniques.

La documentation établie pendant une crise sert à évaluer et à

clarifier les problèmes d’assurance de même que les problèmes

financiers et juridiques. Elle doit donc être défendable devant

les tribunaux.

3.4.3 Suivi post-crise

Après le retour à l’activité normale, la documentation permet

de procéder à un suivi post-crise. Ce suivi peut prendre la for-

me d’un rapport élaboré en toute confidentialité et en temps

quasi réel par le directeur de la cellule de crise, qui le trans-

met à la direction de l’établissement en vue d’une évaluation

des éventuelles conséquences juridiques pour l’établissement

et le personnel employé. Un autre objectif majeur du suivi

post-crise est le contrôle de la fonctionnalité et de la trans-

posabilité pratique du plan de crise, dans le but de mettre en

évidence les lacunes de la gestion de crises et de les combler

grâce à une planification complémentaire54.

3.4.4 Exercices

Les événements extrêmes sont généralement très rares. Les

structures et le déroulement de crises doivent donc donner

lieu à des exercices à intervalles réguliers afin de pouvoir

fonctionner impeccablement en cas d’événement. Les objec-

tifs de tels exercices sont de55

vérifier la fonctionnalité et la transposabilité pratique du

plan de crise,

s’entraîner à la coordination et à la communication de

crise et

tester des déroulements de crises.

Pour ce faire, il existe différents types et diverses méthodes

d’exercices, qui se distinguent tant par leur degré d’abstrac-

tion que par leur coût. Dans ce contexte, nous citerons

les exercices d’état-major (portant sur la maîtrise théori-

que d’un scénario de sinistre ; participants : membres de

la cellule de crise),

les exercices « table top » (portant sur la maîtrise théori-

que d’un scénario de sinistre ; participants : membres de

la cellule de crise et d’autres secteurs),

les exercices de grande envergure (déroulement réel

d’un exercice ; participants : tous les niveaux et postes de

direction),

les exercices ciblant des sous-fonctions (par exemple

exercices d’évacuation, entraînement à la communica-

tion),

les exercices d’alerte (pour déterminer la joignabilité et

les délais d’intervention).

Les critères de sélection de telle ou telle méthode d’exercice

sont

l’objectif imparti,

les intervalles de répétition souhaités et

le degré d’intensité voulu.

Associant toute la hiérarchie et tous les collaborateurs, les

exercices de grande envergure sont particulièrement proches

de la réalité. Leur préparation et leur réalisation sont cepen-

dant très coûteuses – en temps, en efforts et en argent.

A l’inverse, les exercices d’état-major et les exercices « table

top » portent sur la maîtrise théorique des scénarios de sinis-

tres. Les exercices d’état-major traitent des principaux aspects

de la structure de gestion des crises – tels que la cellule de

crise et la fonctionnalité du plan de crise. Les exercices « table

top » associent des secteurs supplémentaires, y compris

d’autres circuits de décision et de signalement.

Dans le cas des exercices d’état-major et « table top », tous les

événements partiels sont passés en revue à l’aide d’un scé-

nario permettant à l’équipe d’encadrement de surveiller et

de piloter l’exercice. Ce scénario est en général inconnu des

acteurs se livrant à l’exercice. Il anticipe de possibles réactions

de leur part. Des réactions imprévues peuvent être intégrées

au dernier moment dans l’exercice par l’équipe d’encadre-

ment.

L’inconvénient des exercices d’état-major et « table top »

réside dans le caractère théorique de la maîtrise du scénario.

Toutefois, ce type d’exercice permet aux intervenants clés

de la gestion des crises de s’exercer, sans avoir à déployer

les moyens nécessités par un exercice de grande envergure

impliquant la participation de tous les acteurs.

Les exercices ciblant des sous-fonctions permettent de pour-

suivre des objectifs bien précis, tout en déployant des efforts

de planification moindres par rapport aux exercices de

grande envergure.

54 Proposant une liste de premières démarches concrètes à suivre dans

le cadre d’un suivi post-crise, l’annexe V.4 analyse plusieurs options

d’amélioration afin de se préparer à toute nouvelle crise. Pour de

plus amples informations, il est par exemple conseillé de consulter

l’Office fédéral pour la sécurité des systèmes d’information, 2006.55 Gustin, 2004, page 226.

GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES

Page 36: Protection des infrastructures critiques – gestion des risques et des

34

Les exercices d’alerte servent à tester les plans d’alerte et le

modèle de seuil ou d’escalade.

Les préparatifs impliquent de trancher sur un certain nombre

de principes d’élaboration56 applicables à tout type d’exer-

cice :

Quel type d’exercice choisit-on ?

Quels objectifs l’exercice poursuit-il ?

Qui doit participer à l’exercice ?

Qui doit assumer le pilotage de l’exercice ?

Quand et où l’exercice doit-il avoir lieu ?

Quels outils techniques sont nécessaires à la réalisation de

l’exercice ?

Quels aspects le scénario de l’exercice doit-il contenir ?

Comment l’exercice est-il évalué et documenté ?

A l’issue de l’exercice, la documentation permet de contrô-

ler les réactions des participants et plus particulièrement

le déroulement impeccable du plan de crise. Cela permet

d’identifier les faiblesses existantes et d’actualiser le plan de

crise57.

56 Gustin, 2004, page 262.57 L’annexe V.5 contient une liste de contrôle pour les exercices de crise.

3.5 Phase 5 : Evaluation de la gestion des risques et des crises

L’évaluation porte sur l’ensemble des phases, c’est-à-dire tant

sur le contrôle des points arrêtés lors du planning prélimi-

naire, que sur le contrôle des risques existants et de l’effica-

cité des mesures préventives mises en œuvre – sans oublier le

contrôle de la gestion des risques. Elle doit intervenir réguliè-

rement, de préférence chaque année.

Des évaluations supplémentaires sont nécessaires

après la mise en place de mesures,

suite à un élargissement / un changement dans l’établisse-

ment

lors d’une modification des dangers et des risques exis-

tants.

La gestion des risques et des crises doit s’inscrire dans la réa-

lité vécue. Elle ne pourra se muer en plus-value durable pour

l’établissement que si toutes les phases sont régulièrement

passées au crible, fournissant ainsi la base d’une optimisation

constante du niveau de sécurité au sein de l’entreprise ou de

l’administration.

Page 37: Protection des infrastructures critiques – gestion des risques et des

35

Annexe

Page 38: Protection des infrastructures critiques – gestion des risques et des

36

I. Bibliographie

American Water Works Association (2001) (édit.) : Emer-

gency Planning for Water Utilities, Manual of Water Supply

Practices M19. Denver.

Australian / New Zealand Standard (2004) (édit.) : Risk

Management AS / NZS 4360:2004. Standards Australia / Stan-

dards New Zealand. Sydney / Wellington.

Bockslaff, K. (1999) : Die eventuelle Verpflichtung zur Errich-

tung eines sicherungstechnischen Risikomanagements.

Dans : NVersZ. n° 3, pages 104–110.

Bockslaff, K. (2004) : Sicherheit – ein Beitrag zur Wert-

schöpfung im Unternehmen. Dans : WIK – Zeitschrift für die

Sicherheit der Wirtschaft. n° 5, pages 27–32.

British Standard (2006) (édit.) : DPC BS 25999-1 Code of prac-

tice for business continuity management. London (projet).

Centre de recherche sur l’environnement alpin (2000)

(édit.) : Leitfaden für erdbebensicheres Bauen. Sion.

Department of Health and Human Services and the Cen-

ters for Disease Control and Prevention (2007) : Business

Pandemic Influenza Planning Checklist. http://www.pande-

micflu.gov/plan/workplaceplanning/businesschecklist.html

(15 octobre 2007). [Traduction du Verband deutscher Betriebs-

und Werksärzte, Berufsverband deutscher Arbeitsmediziner

VDBW e. V. : http://www.vdbw.de/de/grippe_pandemie/

Checkliste_fuer_Firmen_im_Rahmen_der_Influenza.pdf

(15. octobre 2007)].

Department of Homeland Security (2006) : Pandemic

Influenza Preparedness, Response, and Recovery Guide for

Critical Infrastructures. http://www.pandemicflu.gov/plan/

pdf/cikrpandemicinfluenzaguide.pdf (15 octobre 2007).

Dost, S. (2006) : Risk Management – Features of corporate

risks and the likelihood of identification. Innovation and

Technical Progress: Benefit without Risk? Dans : Book of

Abstracts of the 15th Annual Conference of the Society for

Risk Analysis (Ljublijana, 11–13 septembre, 2006), page 21.

Egli, T. (1999) : Richtlinie Objektschutz gegen Naturgefahren.

Saint-Gall.

Federal Emergency Management Agency (2003) (édit.) :

Risk Management Series Reference Manual to Mitigate Poten-

tial Terrorist Attacks Against Buildings – FEMA 426. http://

www.fema.gov/plan/prevent/rms/rmsp426 (15 octobre 2007).

Feuerwehr-Dienstvorschrift 100 (1999) : Führung und

Leitung im Einsatz – Führungssystem. http://www.idf.nrw.de/

download/normen/fwdv100.pdf (15 octobre 2007).

Gesellschaft für Anlagen- und Reaktorsicherheit (2007)

(édit.) : Managementsysteme in Kernkraftwerken, GRS – 229.

Cologne.

Gray, P. C. R. et al. (2000) : Risk communication in print and

on the web. A critical guide to manuals and internet resour-

ces on risk communication and issues management. http://

www.fz-juelich.de/inb/inb-mut/rc/inhalt.html (4 octobre

2007).

Gustin J. F (2004) : Disaster & Recovery Planning : A Guide for

Facility Managers. Lilburn.

Institut Robert Koch (2005) : Beispiel von Maßnahmenpla-

nungen im Influenza-Pandemiefall. http://www.rki.de/

cln_049/nn_200120/DE/Content/InfAZ/I/Influenza/Pandemie-

planung__Konzern-28102005,templateId=raw,property=pu

blicationFile.pdf/Pandemieplanung_Konzern-28102005.pdf

(22 octobre 2007).

Institut Robert Koch (2007a) : Nationaler Pandemieplan,

Teil II. http://www.rki.de/cln_048/nn_200132/DE/Content/

InfAZ/I/Influenza/influenzapandemieplan__II,templateId=r

aw,property=publicationFile.pdf/influenzapandemieplan_

II.pdf (6 octobre 2007).

Institut Robert Koch (2007b) : Anhang zum Influenzapande-

mieplan. http://www.rki.de/cln_048/nn_200132/DE/Content/

InfAZ/I/Influenza/Influenzapandemieplan__Anhang,templa

teId=raw,property=publicationFile.pdf/Influenzapandemie-

plan_Anhang.pdf (6 octobre 2007).

Page 39: Protection des infrastructures critiques – gestion des risques et des

37

Office fédéral pour la protection des populations et l’as-

sistance en cas de catastrophes (2007) : Betriebliche Pan-

demieplanung – Kurzinformation der Bund-Länder-Arbeits-

gruppe « Influenzapandemieplanung in Unternehmen ».

http://www.bbk.bund.de/cln_027/nn_402322/SharedDocs/

Publikationen/Publikation_20KatMed/Betr-Pandemiepla,tem

plateId=raw,property=publicationFile.pdf/Betr-Pandemiepla.

pdf (15 octobre 2007).

Office fédéral pour la sécurité des systèmes d’information

(2005) : BSI-Standard 100-3 « Risikoanalyse auf der Basis von

IT-Grundschutz ». http://www.bsi.bund.de/literat/bsi_stan-

dard/standard_1003.pdf (4 octobre 2007).

Office fédéral pour la sécurité des systèmes d’information

(2006) : COMCHECK und ALEX. Beschreibungen, Checkliste

und Hilfen für Kommunikationsüberprüfungen und Alar-

mierungsübungen. http://www.bsi.bund.de/fachthem/kritis/

comcheck.pdf (16 octobre 2007).

Office fédéral pour la sécurité des systèmes d’information

(2007) : G 1 Gefährdungskatalog Höhere Gewalt. http://www.

bsi.bund.de/gshb/deutsch/g/g01.htm (10 octobre 2007).

Office fédéral pour la sécurité des systèmes d’information

(2008) : BSI-Standard 100-4 « Notfallmanagement ». (Publica-

tion sur le web prévue pour janvier 2008).

Rahmstorf S. et al. (2006) : Der Klimawandel. Munich.

Rosenthal, U. (1992) : Crisis management : On the thin line

between success and failure. In : Asian Review of Public Admi-

nistration. Vol. IV n° 2, pages 73–78.

Rössing, R. von (2005) : Betriebliches Kontinuitätsmanage-

ment. Bonn.

The Business Continuity Institute (2005) : Business Conti-

nuity Management, Good Practice Richtlinien. http://www.

thebci.org/BCIGPG2005_de.pdf (15 octobre 2007).

Trauboth, J. H. (2002) : Krisenmanagement bei Unterneh-

mensbedrohungen. Präventions- und Bewältigungsstrate-

gien. Stuttgart ; Munich ; Hanovre ; Berlin ; Weimar ; Dresde.

VdS-Richtlinien (2007) : Gesamtprogramm. http://www.vds.

de/Gesamtverzeichnis.487.0.html (9 novembre 2007).

Verwaltungs- Berufsgenossenschaft VBG (2007) (édit) :

Zwischenfall, Notfall, Katastrophe – Leitfaden für die Siche-

rheits- und Notfallorganisation. Hambourg.

Wiedemann, P. M. et al. (2000) : Risikokommunikation für

Unternehmen. Düsseldorf.

International Risk Governance Council (2006) (édit.) :

White paper on managing and reducing social vulnerabilities

from coupled critical infrastructures. http://www.irgc.org/

irgc/IMG/pdf/IRGC%20WP%20No%203%20Critical%20Infras-

tructures.pdf (15 octobre 2007).

Jungbluth, F. (2005) (édit. Euroforum Verlag) : Recht &

Haftung für technische Manager, Grundlagen, Aufbau und

Methoden eines effektiven Notfallmanagements. Düsseldorf.

Jungermann, H. et al. (1991) : Risikokontroversen – Konzep-

te, Konflikte, Kommunikation. Berlin.

Lewis, T.G. (2006) : Critical Infrastructure Protection in

Homeland Security – Defending a Networked Nation. Hobo-

ken.

Ministère fédéral de l’Intérieur (2005) : Schutz Kritischer

Infrastrukturen – Basisschutzkonzept, Empfehlungen für

Unternehmen. http://www.bbk.bund.de/cln_007/nn_398726/

DE/05__Publikationen/05__Fachpublikationen/03__Leitfae-

den/Leitfaeden__node.html__nnn=true (15 octobre 2007).

National Fire Protection Association – NFPA 1600 (2004)

(édit.) : Standard on Disaster/Emergency Management and

Business Continuity. Quincy.

Office fédéral de l’Environnement de la République

fédérale d’Allemagne (2001a) : Checklisten für die Unter-

suchung und Beurteilung des Zustandes von Anlagen mit

wassergefährdenden Stoffen und Zubereitungen ; Nr. 10

Betriebliche Alarm- und Gefahrenabwehrplanung. http://

www.umweltbundesamt.de/anlagen/jeg/downloads/deutsch/

check10_bagap_rev00.pdf (15 octobre 2007).

Office fédéral de l’Environnement de la République fédé-

rale d’Allemagne (2001b) : Checklisten für die Untersuchung

und Beurteilung des Zustandes von Anlagen mit wasserge-

fährdenden Stoffen und Zubereitungen ; Nr. 11 Hochwas-

sergefährdete Anlagen. http://www.umweltbundesamt.de/

anlagen/jeg/downloads/deutsch/check11_hochwasser_rev00.

pdf (15 octobre 2007).

Office fédéral pour la protection des populations et l’as-

sistance en cas de catastrophes (2005) : Leitfaden für die

Errichtung und den Betrieb einer Notstromversorgung in

Behörden und anderen wichtigen öffentlichen Einrichtun-

gen. http://www.bbk.bund.de/cln_007/nn_398726/DE/05__

Publikationen/05__Fachpublikationen/03__Leitfaeden/Leit-

faeden__node.html__nnn=true (15 octobre 2007).

bIbLIOGRAPhIE

Page 40: Protection des infrastructures critiques – gestion des risques et des

38

II. Abréviations

AktG Loi (allemande) relative aux sociétés ano-

nymes

BKA Office fédéral de police criminelle

BSI Office fédéral pour la sécurité des systè-

mes d’information

DER Dépendances d’éléments de risque

DIN Institut allemand de normalisation

HGB Code (allemand) du commerce

IT Informatique

KGaA Société en commandite par actions

KonTraG Loi (allemande) sur le contrôle et la trans-

parence dans les entreprises

NBC Nucléaire, biologique, chimique

PS Probabilité de survenance

TC Technique de communication

THW Agence fédérale de Secours technique

TUIS Dispositif d’information et d’aide en cas

d’accidents de transport

V1 (jusqu’à 5) Critère de vulnérabilité 1 (jusqu’à 5)

VVG Loi (allemande) sur le contrat d’assurance

Page 41: Protection des infrastructures critiques – gestion des risques et des

39

III. Définitions

REMARQUE IMPORTANTE :

Aufuretàmesurequ’aétérédigécemanuel,ils’estavéréqu’iln’existaitactuellementpasdedéfinitiongénéralementreconnue

pourlesdomainestouchantàlagestiondesrisquesetdescrises.Lesdéfinitionsci-dessousdonnentdonclasignificationdestermes

telsqu’ilssontemployésdansleprésentmanuel.utilisésdansd’autrespublications,cestermespeuventavoirunsensquelquepeu

différentdeceluidumanuel.

Terme Définition

Aléa Cause potentielle d’un préjudice. 58

Alerte Information du personnel, des forces d’intervention et de la population d’un

danger immédiat.

Analyse du risque Méthode systématique permettant de déterminer la valeur à attribuer au ris-

que.59 Aux termes du présent manuel, cela inclut : une analyse des aléas et de

l’exposition ; une analyse de la vulnérabilité de tous les sous-processus et élé-

ments de risque pertinents ; une comparaison de risques partiels concernant des

éléments de risque donnés, et une comparaison de risques totaux de sous-pro-

cessus liés à un scénario donné.

Appréciation de la situation Evaluation des préjudices et sinistres du point de vue de leur impact et des mesu-

res possibles.

Catastrophe Sinistre d’une ampleur largement supérieure à la normale, qui menace considé-

rablement ou détruit la vie, la santé, des biens matériels ou des infrastructures

importantes.

Cellule de crise Structure qui crée les conditions permettant de coordonner toutes les activités

liées à la crise.

Communication de crise Toutes les activités de communication effectuées dans le contexte d’une crise

afin d’empêcher ou de limiter la perte de confiance et une dégradation de

l’image, et de circonscrire les dommages. La communication de crise implique

une répartition claire des compétences et des responsabilités, ainsi qu’une ligne

de communication sans ambiguïté, propre à garantir des contenus et une argu-

mentation homogènes.

58 Australian / New Zealand Standard 2004, page 3.59 Australian / New Zealand Standard 2004, page 4.

Page 42: Protection des infrastructures critiques – gestion des risques et des

40

Communication sur les risques Dans le cadre de la gestion du risque, procédure permettant à une entreprise ou

à un service public de recevoir et de fournir des informations sur un risque. La

communication sur les risques s’étend à tous les processus de communication

concernant l’identification, l’analyse, l’évaluation et la gestion de risques, ainsi

que l’interaction nécessaire entre tous les acteurs concernés.50

Compte rendu Informations brèves et précises sur des événements, perceptions et faits, desti-

nées à renseigner sur une situation.

Crise Une situation extraordinaire qui survient malgré des mesures préventives prises par

l’entreprise ou par les services publics, et que l’organisation structurelle et fonction-

nelle normale ne permet pas de maîtriser.

Critère de vulnérabilité Conditions permettant d’apprécier la vulnérabilité.

Cycle Plan, Do, Check, Act (PDCA) Démarche de gestion de processus visant à en améliorer continuellement la

qualité. « Plan » représente la préparation générale et complète des processus,

« Do » la mise en œuvre de ces processus, « Check » le contrôle de leur efficacité

et « Act » leur amélioration. Dans la gestion de risques et de crises décrite ici, ce

cycle est appliqué à divers niveaux.

Danger Effet négatif provoqué par un aléa sur des personnes, des biens, des états de fait,

l’environnement ou des animaux.

Dysfonctionnement Ecart par rapport à la situation normale ou au processus normal. Il peut être pro-

voqué par des facteurs internes ou externes. Un dysfonctionnement est maîtrisé

par l’organisation structurelle et fonctionnelle normale.

Elément de risque Elément constituant de sous-processus critiques.Sont considérés comme tels

pour les besoins du présent manuel :

• les individus (personnel, autres personnes présentes)

• le terrain

• les bâtiments

• les installations et équipements

• les installations et équipements spéciaux, spécifiques à l’établissement

• les données et documents

• autres ressources

Epidémie Apparition, sur une période et dans une région données, d’un nombre élevé de

cas d’une maladie au sein d’une population.

Etablissement Se réfère dans le présent manuel à toute entreprise, service public et autres insti-

tutions exploitant une infrastructure critique.

Evaluation Appréciation d’activités.

Terme Définition

60 Jungermann et al. 1991, page 5.

Page 43: Protection des infrastructures critiques – gestion des risques et des

41

Evaluation de la situation Collecte, classement, enregistrement et représentation d’informations concer-

nant une situation donnée.

Evaluation du risque Estimation du risque que présente un événement pour un sous-processus ou

élément de risque par rapport à des objectifs préalablement définis. Cette pro-

cédure permet de déterminer l’acceptabilité du risque et de risques résiduels

éventuels.

Evénement extrême Evénement rare qui s’écarte fortement d’une moyenne statistique et est suscep-

tible de provoquer une crise.

Exercice d’état-major Exercice auquel participent uniquement les membres de la cellule de crise et les

dirigeants de l’établissement.

Exercice « table top » Exercice d’état-major auquel participent des niveaux institutionnels supplémen-

taires (p. ex. de services concernés).

Exposition Action d’être exposé à un aléa.

Gestion de crises Toute activité propre à préparer à des crises, à les maîtriser et à en assurer le

retour d’expérience.

Gestion de dysfonctionnement Conditions conceptuelles, organisationnelles, méthodiques et physiques dans

l’organisation structurelle et fonctionnelle de l’établissement, qui permettent de

maîtriser le dysfonctionnement de la meilleure façon possible.

Gestion des risques Processus et procédure permettant de gérer systématiquement les risques.

Infrastructures critiques Les infrastructures critiques sont des organisations et établissements qui pré-

sentent une importance particulière pour la collectivité publique, et dont la

défaillance ou la perturbation provoquerait des pénuries à l’impact durable, des

troubles considérables de la sécurité publique, ou d’autres conséquences drama-

tiques.61

Management de la continuité d’activité Gestion des mesures propres à maintenir l’activité en cas de crise, par exemple

en activant un centre opérationnel redondant (Management de la continuité

d’activité = Business Continuity Management).62

Mesures préparatoires Actions optionnelles élaborées en amont de crises, mais mises en œuvre seule-

ment en cas de crise.

Mesures préventives Actions et moyens élaborés et mis en œuvre en amont de crises, ou bien qui sont

utilisés et qui réduisent les risques pour une entreprise ou un service public. Ceci

inclut les mesures propres à réduire les risques en assurant la protection physi-

que d’éléments de risque, ou qui favorisent le bon fonctionnement de processus

par des systèmes redondants ou par des systèmes de remplacement. Ces deux

aspects contribuent à assurer la continuité des activités.

Terme Définition

61 Définition donnée par le Groupe de travail sur la protection des

infrastructures (AK KRITIS) au sein du ministère fédéral de l’Inté-

rieur (BMI) le 17 novembre 2003.

DéfInITIOnS

62 Von Rössing 2005, page 426.63 Cf. von Rössing 2005, page 428.

Page 44: Protection des infrastructures critiques – gestion des risques et des

42

Terme Définition

64 Australian / New Zealand Standard 2004, page 5.65 Rössing 2005, page 439. 66 Rössing 2005, page 439.

Modèle d’escalade Système permettant d’évaluer la situation et d’en référer au management.63

Niveau d’alerte Classification d’une situation dans l’optique des mesures à prendre.

Objectifs stratégiques de protection Description d’objectifs à atteindre, à laquelle on peut recourir pour évaluer des

mesures mises en œuvre.

Organisation fonctionnelle L’organisation fonctionnelle décrit et réglemente les processus de travail d’une

unité organisationnelle, en tenant compte de l’espace, du temps, des personnes

et des moyens matériels.

Organisation structurelle L’organisation structurelle concerne la division d’une entreprise en unités stati-

ques, principalement de nature hiérarchique.

Quartier général (QG) de la cellule de crise Local mis à la disposition de la cellule de crise, pendant et après la crise, et en

amont des exercices de crise.

Pandémie Epidémie d’ampleur internationale, voire planétaire.

Plan de crise Plan directeur pour la gestion de la crise, qui couvre toutes les mesures à pren-

dre au cours d’une crise.

Points critiques Cf. points névralgiques

Points névralgiques Domaines d’un processus ou éléments individuels de risque dont la perturbation

est susceptible de provoquer des défaillances ou des sinistres de grande ampleur.

Prévention des risques Décisions stratégiques qui ont pour effet de supprimer des aléas, ou de faire en

sorte que la probabilité de leur manifestation se rapproche de zéro, empêchant

ainsi l’apparition de risques.

Probabilité Mesure comprise entre 0 et 1 de la possibilité qu’un événement se produise.

Protection des populations Mesures civiles destinées à protéger contre, et à limiter et maîtriser les effets de

guerres, de conflits armés, de catastrophes naturelles et d’accidents particulière-

ment graves. La Fédération, les Länder, les communes et les organisations huma-

nitaires travaillent ensemble pour protéger les populations.

Réduction des risques Mesures propres à diminuer la probabilité d’occurrence d’événements ou leur

impact sur l’établissement.64

Reprise sur incident Phase se situant entre la fin de la réaction à la crise et la mise en place d’un régi-

me de secours.65

Rétablissement Rétablissement total de l’état normal, tel qu’il était avant la survenance de la

crise. 66

Page 45: Protection des infrastructures critiques – gestion des risques et des

43

Risque Le risque est considéré comme étant fonction du danger et de la vulnérabilité

des éléments de risque et des sous-processus. L’aspect de la probabilité d’occur-

rence d’un événement fait partie intégrante de l’analyse du danger.

Risque partiel Risque concernant un élément de risque donné.

Risques résiduels Les risques qui subsistent après la mise en œuvre de mesures préventives.67

Scénario Combinaison d’hypothèses sur l’enchaînement possible d’événements concer-

nant l’objet en question, afin de déterminer les relations de cause à effet et les

points devant faire l’objet d’une prise de décision.

Situation Nature et ampleur des préjudices ou des sinistres, et leur évolution probable.

Transfert des risques Stratégie consistant à répercuter les risques existants sur d’autres entreprises,

services publics ou assurances.

Vulnérabilité Fragilité d’un objet ou d’un système face à des aléas.

Vulnérabilité individuelle Se réfère dans le présent manuel à un élément de risque et à un critère de vulné-

rabilité donnés.

Vulnérabilité partielle Vulnérabilité concernant un élément de risque donné.

Terme Définition

DéfInITIOnS

67 Adapté, d’après : Australian / New Zealand Standard 2004, page 3.

Page 46: Protection des infrastructures critiques – gestion des risques et des

44

IV. Liste des aléas – Informations sur la nature, l’exposition, l’intensité et l’impact, ainsi que sur les personnes à contacter

REMARQUE IMPORTANTE :

Cettelisted’exemplesrenvoieàdesaléassusceptiblesdesurvenirdansl’environnementdel’établissement.Cettelisteneprétendpas

êtreexhaustive,etdevra,lecaséchéant,êtreadaptéeauxspécificitésdessitesconcernés.

Compétences, Nature de l’aléa Exposition Intensité possible Effet possible source possible d’informations

Crues

Tempêtes / tornades

Séisme

Incendie géant /

incendie de forêt

Particulièrement

dans les régions pro-

ches de cours d’eau

et les terrains bas,

sous-sols et rez-de-

chaussée

Possible dans toute

l’Allemagne

Sites dans les régions

sismiques (fossé

rhénan, région de

Cologne, Vogtland,

Jura souabe)

Régions très boisées

Inondations de vastes

superficies, niveau de

l’eau pouvant attein-

dre plusieurs mètres

au-dessus du niveau

normal ; vitesses de

ruissellement élevées

en moyenne mon-

tagne

Pouvant atteindre

des vitesses très éle-

vées en rafales

Forces horizontales

et verticales gigan-

tesques ; apport

élevé d’énergie

Développement de

chaleur extrême

Lessivages, accumu-

lation (dégâts des

eaux)

Effet de pression et

d’aspiration sur les

édifices et autres

objets ; destruction

Destruction de

conduites, de réser-

voirs, de transforma-

teurs, de liaisons entre

équipements et d’édi-

fices ; décombres

Menace pour le per-

sonnel, destructions

d’équipements dues

à la chaleur ; touche

les installations d’ap-

provisionnement

en électricité et les

équipements infor-

matiques

Services publics en

charge de l’environ-

nement, services de

prévision des crues,

assurances

Services publics en

charge de l’environ-

nement, services

météorologiques

allemands

Institut fédéral de

géosciences et de res-

sources naturelles

Services publics en

charge de l’environ-

nement, services

météorologiques

allemands,

sapeurs-pompiers,

services du maintien

de l’ordre public

Page 47: Protection des infrastructures critiques – gestion des risques et des

45

Sécheresse

Canicule

Grande épidémie /

pandémie

Panne d’alimenta-

tion externe en élec-

tricité

Panne d’alimenta-

tion externe en eau

Défaillance de servi-

ces spécialisés sous-

traités

Surtout les régions

sèches à faible taux

de précipitations

Possible dans toute

l’Allemagne

Possible au niveau

mondial / national /

régional

Possible dans toute

l’Allemagne ; peut

durer plusieurs jours

et toucher de vastes

territoires

Possible dans toute

l’Allemagne

Possible dans toute

l’Allemagne

Absence de précipita-

tions sur une longue

période, très faibles

précipitations

Températures élevées

le jour et la nuit

Niveau de contami-

nation élevé, propa-

gation rapide, forte

réduction des effec-

tifs disponibles

Baisse du niveau de

la nappe phréatique,

pénurie d’eau de

refroidissement,

pénurie d’eau pota-

ble, pannes de cou-

rant, problèmes de

transport sur les voies

fluviales

Impact sur la santé

du personnel et de la

clientèle

Maladie du person-

nel et de la clientèle ;

inquiétude parmi le

personnel (effets psy-

chologiques, p. ex.

panique), absentéis-

me d’employés pour

soigner des parents

malades

Impact sur les ins-

tallations et équipe-

ments

Impact sur le person-

nel, les installations

et les équipements

Impact sur le person-

nel et les moyens de

production

Services publics en

charge de l’environ-

nement, services

météorologiques

allemands

Services de l’hygiène

et de la santé publi-

que, services météo-

rologiques allemands

Services de l’hygiène

et de la santé publi-

que, Institut Robert

Koch Institut, Office

fédéral pour la pro-

tection des popula-

tions et l’assistance

en cas de catastro-

phes

Distributeurs,

sapeurs-pompiers,

organisations huma-

nitaires

Distributeurs,

sapeurs-pompiers,

organisations huma-

nitaires

Services du maintien

de l’ordre public,

autorités en charge

des transports, en

fonction du trans-

porteur

Compétences, Nature de l’aléa Exposition Intensité possible Effet possible source possible d’informations

68 Depuis 1982, le dispositif TUIS d’information et d’aide en cas d’acci-

dents survenus lors du transport et du stockage de produits chimi-

ques fournit son assistance dans toute l’Allemagne. Le réseau TUIS se

compose de quelque 130 entreprises chimiques, avec leurs pompiers

d’entreprise et leurs spécialistes (chimistes, toxicologues, experts

appartenant à la production.) Les entreprises qui adhèrent à TUIS

LISTEDESALéAS–InfORMATIOnSSuRLAnATuRE,L’ExPOSITIOn,L’InTEnSITéETL’IMPACT,AInSIQuE

SuRLESPERSOnnESàCOnTACTER

sont joignables par téléphone, 24 heures sur 24 et 365 jours par an,

à la disposition des services publics comme les sapeurs-pompiers, la

police et autres organismes impliqués dans la gestion de catastro-

phe, ainsi que de la Deutsche Bahn, leur fournissant une assistance

selon un système à trois niveaux.

Page 48: Protection des infrastructures critiques – gestion des risques et des

46

Compétences, Nature de l’aléa Exposition Intensité possible Effet possible source possible d’informations

69 Agence fédérale de la sécurité des systèmes d’information 2007.

Accident lors d’un

transport de matiè-

res dangereuses,

à l’intérieur ou à

proximité immédiate

du site

Attentat à l’aide de

dispositifs incendiai-

res et engins explo-

sifs conventionnels

Attentat à l’aide

d’engins explosifs et

dispositifs incendiai-

res non-convention-

nels, ou libération

d’agents NBC à l’inté-

rieur ou à proximité

immédiate du site

Panne informatique

Erreur humaine dans

le contexte de systè-

mes informatiques

Actes intentionnels

commis à l’aide ou à

l’encontre de systè-

mes informatiques

Enlèvement

Chantage

Vol d’installations,

équipements et / ou

autres moyens de

production critiques

A proximité de voies

de circulation de

matières dangereu-

ses (chemin de fer ou

route) ; à proximité

d’installations dans

lesquelles sont uti-

lisées des matières

dangereuses

Possible dans toute

l’Allemagne

Possible dans toute

l’Allemagne

Possible dans toute

l’Allemagne

Possible dans toute

l’Allemagne

Possible dans toute

l’Allemagne

Possible dans toute

l’Allemagne

Possible dans toute

l’Allemagne

Possible dans toute

l’Allemagne

Forte concentration

de l’agent libéré ;

toxicité élevée de

l’agent libéré

Puissance destruc-

trice locale extrême-

ment forte

Concentration élevée

de l’agent libéré ;

toxicité élevée de

l’agent libéré

Potentiel nuisible

élevé, propagation

rapide

Potentiel nuisible

élevé, propagation

rapide

Potentiel nuisible

élevé, propagation

rapide

Impact sur le person-

nel, la clientèle, les

édifices (contamina-

tion)

Impact sur le person-

nel, la clientèle, les

édifices et installa-

tions ; décombres

Impact sur le per-

sonnel, la clientèle,

les édifices et instal-

lations

(contamination)

Impact sur les ins-

tallations et équipe-

ments

Impact sur les ins-

tallations et équipe-

ments

Impact sur les ins-

tallations et équipe-

ments

Impact sur le per-

sonnel

Impact sur le person-

nel ou les produits

Impact possible sur

les données, docu-

ments, installations

et équipements

Services publics en

charge de l’environ-

nement, sapeurs-

pompiers, TUIS , Ser-

vices de l’hygiène et

de la santé publique,

Police, sapeurs-pom-

piers

Police, sapeurs-pom-

piers

Agence fédérale de

la sécurité des systè-

mes d’information /

relevé des dangers69

Agence fédérale de

la sécurité des systè-

mes d’information /

relevé des dangers69

Agence fédérale de

la sécurité des systè-

mes d’information /

relevé des dangers69

Police

Police

Police

Page 49: Protection des infrastructures critiques – gestion des risques et des

47

V. Listes de contrôle

REMARQUE IMPORTANTE :

Ilconviendrad’adapterleslistesdecontrôleci-dessousauxspécificitésdel’établissement.L’utilisationdeceslistesdecontrôlene

remplacepaslamiseenplacecomplèted’unsystèmedegestionderisquesetdecrises.Cettelisteneprétendpasêtreexhaustive.

Les listes de contrôle ci-dessous ont été élaborées à l’aide des

publications suivantes :

American Water Works Association 2001

British Standard 2006

Office fédéral pour la protection des populations et l’assis-

tance en cas de catastrophes 2005

Ministère fédéral de l’Intérieur 2005

Egli 1999

Federal Emergency Management Agency 2003

Gustin 2004

Jungbluth 2005

National Fire Protection Association 2004

Office fédéral de l’Environnement 2005a

Office fédéral de l’Environnement 2005b

Centre de recherche sur l’environnement alpin 2000

Pour plus d’informations, voir :

Verwaltungs- Berufsgenossenschaft VBG 2007

Consignes VdS : programme complet 2007

On trouvera des renseignements plus détaillés, en particulier

sur le plan pandémie auprès de :

Office fédéral pour la protection des populations et l’assis-

tance en cas de catastrophes 2007

Department of Health and Human Services and the Cen-

ters for Disease Control and Prevention

Department of Homeland Security 2006

Page 50: Protection des infrastructures critiques – gestion des risques et des

48

V.1 Mesures préventives

V.1.1 Gestion de risques et de crises – Généralités

Questions Précisions Oui Non Sans objet Commentaire

1. Un dispositif de gestion

des risques a-t-il été

mis en place ?

2. Les opérations à effec-

tuer sont-elles définies

précisément par le

système de gestion des

risques ?

3. Des objectifs de protec-

tion stratégiques ont-

ils été définis ?

4. Existe-t-il un inventaire

des processus critiques,

sont-ils catégorisés, et

existe-t-il des recom-

mandations quant à

leur application ?

5. Un dispositif de gestion

de crise a-t-il été mis en

place ? (gestion d’inci-

dents)

6. Des dispositifs de pla-

nification et de mana-

gement de continuité

d’activité ont-ils été

mis en place ?

7. Le respect d’obliga-

tions légales et juridi-

ques est-il contrôlé ?

8. Les aspects relatifs à la

sécurité sont-ils pris en

compte dans le déve-

loppement du person-

nel ?

Planification, mise en

œuvre, actualisation et amé-

lioration constante

Inventaire, analyse de criti-

cité, définition de priorités

dans les processus critiques

Canal et procédures de

remontée de l’information,

gestion d’incidents et amé-

liorations

Planification de systèmes

redondants et de systèmes de

remplacement, ainsi que de

leur gestion en cas d’incident

Respect d’obligations léga-

les, de directives et de nor-

mes, audit de systèmes

Missions et responsabilités,

contrôle, formation et sensi-

bilisation

Page 51: Protection des infrastructures critiques – gestion des risques et des

49

V.1.2 Terrains, édifices, équipements – Crues

Questions Précisions Oui Non Sans objet Commentaire

1. Edifices

1.1 Peut-on exclure que

des installations exis-

tantes ou prévues

soient inondées ?

a) en raison de crues

b) en raison de l’engor-

gement du réseau

d’égouts

c) en raison de la mon-

tée du niveau de la

nappe phréatique

d) par l’eau utilisée

pour combattre un

incendie

1.2 Des mesures ont-elles

été mises en place pour

protéger le site contre

les crues ?

1.3 Lors de l’étude de nou-

veaux édifices, veille-

t-on, si possible, à les

surélever ?

1.4 L’enveloppe externe de

l’édifice est-elle proté-

gée contre les crues ?

1.5 Les ouvertures dans

l’enveloppe externe de

l’édifice sont-elles pro-

tégées contre les crues ?

1.6 L’aménagement et

l’utilisation des pièces

intérieures sont-ils

adaptés à l’éventualité

d’une crue ?

Ceci concerne les édifices

proprement dits, ainsi que

toutes les ouvertures d’en-

trée.

Ceci inclut les mesures tem-

poraires, mobiles ou perma-

nentes.

Exemple : emploi de maté-

riaux de construction hydro-

résistants.

LISTESDECOnTRôLE

Page 52: Protection des infrastructures critiques – gestion des risques et des

50

Questions Précisions Oui Non Sans objet Commentaire

1.7 En cas de montée du

niveau de la nappe

phréatique due à une

crue, la stabilité de

l’édifice est-elle mena-

cée ?

1.8 Le terrain sur lequel est

érigé l’édifice est-il sus-

ceptible de se trouver

altéré par des affouille-

ments?

2. Equipements

2.1 La fixation et l’an-

crage des réservoirs et

conduites sont-ils suf-

fisants pour les empê-

cher d’être soulevés ?

2.2 La fixation et l’an-

crage des réservoirs

et conduites sont-ils

suffisants pour les

empêcher de subir des

dommages mécani-

ques provoqués par des

objets emportés par les

eaux ?

2.3 Le système d’égout est-

il équipé d’un dispositif

anti-reflux ?

Par exemple au niveau des

étages inférieurs (effet de

flottaison)

Ceci inclut les dispositifs

d’ancrage, la conception

des réservoirs d’huile et de

fuel, en tenant compte de

la pression hydrostatique,

la conception des conduites

d’alimentation et d’évacua-

tion, le système de ventila-

tion des réservoirs, ainsi que

les conduites d’arrivée au

brûleur.

Ceci inclut les dispositifs

d’ancrage, la conception

des réservoirs d’huile et de

fuel, en tenant compte de

la pression hydrostatique,

la conception des conduites

d’alimentation et d’évacua-

tion, le système de ventila-

tion des réservoirs, ainsi que

les conduites d’arrivée au

brûleur.

Page 53: Protection des infrastructures critiques – gestion des risques et des

51

V.1.3 Terrains, édifices, équipements – Séismes

Questions Précisions Oui Non Sans objet Commentaire

1. Edifices

1.1 Les édifices / construc-

tions offrent-ils une

résistance suffisante

aux séismes ?

1.2 L’ancrage des équipe-

ments situés à l’inté-

rieur des édifices est-il

suffisant ?

1.3 Peut-on exclure que des

éléments porteurs ont

fait l’objet d’altérations

susceptibles d’en affai-

blir la structure ?

2.1 Dans une région sis-

mique, les tuyauteries

sont-elles posées en

tenant compte des

contraintes potentiel-

les ?

Ceci inclut le respect des

collections normatives (DIN

4149, Eurocode 8), ainsi que

l’application, sur une base

volontaire, de recomman-

dations allant au-delà de ces

normes.

Ceci inclut les réservoirs,

transformateurs, etc…

Ceci inclut le perçage de

gros trous, ou des alésages

réalisés ultérieurement.

Ceci inclut la prise en comp-

te de la structure du sol, une

pose à angle droit par rap-

port à des failles connues,

avec des raccordements

souples et des soupapes de

sûreté, ainsi que la pose de

tuyauteries redondantes.

V.1.4 Terrains, édifices, équipements – Tempêtes

Questions Précisions Oui Non Sans objet Commentaire

1. Toits

1.1 Les toits sont-ils suffi-

samment solidaires des

édifices ?

LISTESDECOnTRôLE

2. Equipements souterrains

Page 54: Protection des infrastructures critiques – gestion des risques et des

52

V.1.5 Terrains, édifices – Actes intentionnels d’origine criminelle et / ou terroriste

Questions Précisions Oui Non Sans objet Commentaire

1. Accès

1.1 L’accès au site de

l’établissement est-il

contrôlé ?

1.2 Existe-t-il des zones

sécurisées dans l’en-

ceinte du site de l’éta-

blissement ?

1.3 Existe-t-il des zones

sécurisées à l’intérieur

des bâtiments ?

1.4 Des contrôles d’accès

sont-ils effectués à l’in-

térieur des bâtiments ?

1.5 Les secteurs critiques

sont-ils fermés à clé

et accessibles unique-

ment par le personnel

autorisé ?

Un élément important pour

la prévention d’attentats

terroristes ou de sabotage

consiste à créer une distance

entre les édifices et une atta-

que possible à l’aide d’ex-

plosifs contenus dans une

voiture piégée. Les barrières

et obstacles destinées à créer

cette distance (surélèvement

du sol, poteaux de dissua-

sion, clôtures ou éléments

de béton) peuvent gêner les

véhicules tentant de s’appro-

cher des zones sensibles, ou

les en empêcher totalement.

Il conviendra de vérifier s’il

est possible d’installer des

systèmes de contrôle d’accès

physique (passage d’une per-

sonne à la fois) à l’entrée du

bâtiment ou aux points d’ac-

cès aux zones sensibles, éven-

tuellement en combinaison

avec des lecteurs de cartes,

afin d’en contrôler l’entrée

et de la rendre plus difficile

pour les personnes ne faisant

pas partie du personnel.

Par exemple par le gardien.

Page 55: Protection des infrastructures critiques – gestion des risques et des

53

Questions Précisions Oui Non Sans objet Commentaire

LISTESDECOnTRôLE

Les portes et les fenêtres

doivent être dotées de verre

feuilleté de sécurité.

En cas d’attentat terroriste,

d’accident mettant en cause

des matières dangereuses ou

d’incident industriel, il peut

s’avérer utile d’aménager

des zones protégées au sein

du site, dans lesquelles le

personnel et les autres per-

sonnes présentes pourront

se réfugier. Conviennent à

cet effet les structures por-

teuses statiques, comme les

cages d’escalier, ou encore

les pièces des étages infé-

rieurs équipées de portes

pare-fumée et de systèmes

de communication. On véri-

fiera, à partir des plans du

site, si l’aménagement de ces

locaux est possible.

Cela signifie qu’elles sont

placées à une hauteur suf-

fisante, ou à des endroits

inaccessibles.

2. Construction

2.1 Les façades – incluant

les fenêtres et les portes

– sont-elles renforcées ?

2.2 Des locaux protégés

ont-ils été aménagés

pour le personnel et

autres personnes pré-

sentes sur les lieux ?

2.3 Les entrées d’aération

sont-elles aménagées

à des endroits diffici-

lement accessibles de

l’extérieur ?

3.1 Les secteurs critiques

sont-ils dotés d’un

dispositif de vidéosur-

veillance ?

3.2 Les enregistrements

de la vidéosurveillance

sont-ils analysés ?

3.3 Des systèmes d’alarme

sont-ils installés dans

les zones noyau?

3. Surveillance électronique

Page 56: Protection des infrastructures critiques – gestion des risques et des

54

Questions Précisions Oui Non Sans objet Commentaire

4. Interlocuteurs

4.1 Connaît-on des inter-

locuteurs spécialisés,

que l’on pourra contac-

ter en cas d’attentat

mettant en cause des

agents chimiques,

biologiques ou radiolo-

giques ?

En cas d’accident ou d’atten-

tat terroriste, les entreprises

et services publics peuvent

se voir confrontés à des

agents dont l’évaluation

requiert des connaissances

spéciales. Outre les services

sanitaires, il conviendra

donc d’identifier en amont

des partenaires de coopéra-

tion potentiels, qui pourront

être contactés le cas échéant.

Questions Précisions Oui Non Sans objet Commentaire

V.1.6 Installations et équipements – Alimentation électrique

1.1 Existe-t-il plusieurs arri-

vées d’électricité, et se

trouvent-elles de préfé-

rence dans des secteurs

du réseau indépendants

les uns des autres ?

2.1 Les secteurs critiques qui,

en cas de crise, devront

être approvisionnés par

une alimentation de

secours, sont-ils identifiés ?

2.1 S’est-on assuré que les

consommateurs des

secteurs critiques prévus

pour fonctionner en

régime de secours sont les

seuls à être branchés sur

l’alimentation de secours ?

2.3 Est-ce qu’il a été défini

pendant quelle durée les

secteurs critiques devront

fonctionner sur l’alimen-

tation de secours ?

Ces secteurs critiques

incluent les salles de com-

mande, les centres informa-

tiques, la climatisation des

centres informatiques.

1. Alimentation électrique

2. Alimentation de secours

Page 57: Protection des infrastructures critiques – gestion des risques et des

55

Questions Précisions Oui Non Sans objet Commentaire

2.4 A-t-on calculé les besoins

totaux en énergie néces-

saires pour maintenir

les secteurs critiques en

fonctionnement ?

2.5 Les groupes électrogè-

nes sont-ils conçus pour

répondre à l’évolution

des exigences, en ter-

mes de capacité et de

qualité ?

2.6 Est-ce que la réserve

en carburant est suffi-

sante pour la durée de

fonctionnement défi-

nie pour l’alimentation

de secours ?

2.7 Les groupes électrogè-

nes font-ils tous l’objet

d’une maintenance

régulière ?

2.8 Des essais en pleine

charge sont-ils effec-

tués régulièrement sur

tous les groupes élec-

trogènes ?

2.9 Est-il garanti que, en

cas de crise, les groupes

électrogènes pourront

être mis en marche sans

problème ?

2.10 En cas de crise, le fait

qu’il faille faire le plein

de carburant du grou-

pe électrogène est-il

signalé ?

2.11 Les composants techni-

ques sensibles sont-ils

sécurisés par une ali-

mentation électrique

non interruptible ?

Les exigences en termes

de capacité et de qualité

évoluent avec l’apparition

d’installations nouvelles,

plus modernes.

En cas de crise, il peut

arriver que les démarreurs

électriques ou sur batterie

ne fonctionnent pas. Le

carburant doit souvent être

préchauffé.

Comment et où ?

Ceci inclut l’utilisation

d’une batterie tampon capa-

ble de maintenir le fonction-

nement d’installations infor-

matiques pendant quelques

minutes.

LISTESDECOnTRôLE

Page 58: Protection des infrastructures critiques – gestion des risques et des

56

Questions Précisions Oui Non Sans objet Commentaire

V.1.7 Installations et équipements – Informatique

1. Généralités

1.1 Est-ce qu’il existe un

dispositif opérationnel

de gestion de l’infor-

matique (achat, déve-

loppement et main-

tenance des systèmes

informatiques)

2.1 Le système informa-

tique connecté aux

réseaux publics est-il

suffisamment protégé

contre les intrus ?

3.1 Un plan de sauvegarde

des données a-t-il été

mis en place ?

Exigences de sécurité aux-

quelles doivent répondre

les systèmes, traitement cor-

rect dans les applications,

mesures cryptographiques,

sécurité des fichiers système

et des processus, gestion de

la vulnérabilité

Questions Précisions Oui Non Sans objet Commentaire

Un éclairage de secours

est indépendant du réseau

public d’électricité s’il est

alimenté par exemple par

une batterie.

Un système d’alarme et

d’alerte est indépendant du

réseau public d’électricité

s’il est alimenté par exemple

par une batterie.

2.12 Avez-vous conclu des

accords ou contrats

avec les fournisseurs

qui vous livrent les car-

burants pour les grou-

pes électrogènes ?

3.1 Un éclairage de

secours indépendant

du réseau public

d’électricité a-t-il été

installé ?

3.2 Un système d’alarme et

d’alerte indépendant

du réseau électrique

a-t-il été installé ?

3. Systèmes de sécurité et d’alarme indépendants du courant électrique

2. Sécurisation de l’accès

3. Sauvegarde des données

Page 59: Protection des infrastructures critiques – gestion des risques et des

57

3.2 Les données critiques

sont-elles stockées à

différents endroits ?

4. Pilotage des processus

4.1 Est-ce qu’il existe un

système redondant et

séparé physiquement de

pilotage des processus ?

4.2 Le pilotage des pro-

cessus et les systèmes

de sécurité (dispositifs

d’alarme, vidéosur-

veillance, etc.) sont-ils

indépendants les uns

des autres (réseaux

séparés) ?

Si le pilotage des processus

s’effectue alors que l’on est

connecté à l’Internet, et que

le système de pilotage des

processus et les systèmes de

sécurité sont connectés les

uns avec les autres, ces deux

systèmes peuvent subir des

manipulations provenant de

l’extérieur.

Questions Précisions Oui Non Sans objet Commentaire

V.1.8 Installations et équipements – Technologie de la communication

1. Réseau fixe

1.1 L’installation télépho-

nique est-elle sécurisée

par une alimentation

électrique non inter-

ruptible ?

1.2 L’installation télépho-

nique est-elle égale-

ment sécurisée par un

groupe électrogène ?

1.3 Une demande d’accès

prioritaire au réseau

a-t-elle été faite ?

2. Téléphonie mobile

2.1 Les membres du per-

sonnel sont-ils équipés

de téléphones mobiles

pour les situations de

crise ?

LISTESDECOnTRôLE

Questions Précisions Oui Non Sans objet Commentaire

Page 60: Protection des infrastructures critiques – gestion des risques et des

58

V.2 Audit de la gestion de crise

V.2.1 Organisation générale

Questions Précisions Oui Non Sans objet Commentaire

1.1 Les personnes devant

occuper les postes

nécessaires pour la

gestion de crise dans

l’établissement sont-

elles désignées ?

1.2 Toutes les tâches perti-

nentes de la gestion de

crise sont-elles définies

et attribuées à des

personnes et à leurs

suppléants ?

1.3 Les membres du per-

sonnel sont-il formés

(formation initiale

et continue) pour la

mission qui leur sera

confiée en cas de crise ?

2. Alerte

2.1 Les opérations d’alerte

et d’information inter-

nes et externes sont-elles

clairement définies ?

2.2 Existe-t-il des consi-

gnes d’action concrètes

pour les personnes qui,

en situation de danger,

seront responsables

de la transmission de

comptes rendus ?

1. Responsabilités et missions

Questions Précisions Oui Non Sans objet Commentaire

3. Radio

3.1 L’entreprise est-elle équi-

pée d’un système de radio-

communication pour les

situations de crise ?

Page 61: Protection des infrastructures critiques – gestion des risques et des

59

Questions Précisions Oui Non Sans objet Commentaire

LISTESDECOnTRôLE

Ceci inclut les exercices

internes, ainsi que la parti-

cipation à des exercices de

sécurité civile effectués au

niveau local.

Définition simplifiée, par

exemple selon les critères

suivants :

1) Les effets restent limités

à une partie du site.

2) Les effets se manifestent

sur l’ensemble du site, mais

restent limités au site pro-

prement dit.

3) Les effets concernent l’en-

semble du site, ainsi que le

voisinage / la région.

4) Les effets concernent le

site et le voisinage immé-

diat, et s’exercent aussi au

niveau suprarégional.

Riverains, clients, etc...

2.3 Les actions concrètes

menées et les décisions

prises pendant la crise

sont-elles consignées

par écrit ?

2.4 Des exercices sont-ils

effectués pour répéter

les opérations internes

et externes d’alerte et

d’information ?

3. Alerte

3.1 L’alerte est-elle adap-

tée aux effets possibles

d’événements extrê-

mes ?

4. Avertissement

4.1 Des règles ont-elles été

fixées pour l’avertisse-

ment des populations

touchées par un événe-

ment extrême survenu

sur le site ?

5. Etats-majors

5.1 En cas de crise, une

cellule de crise se réu-

nit-elle dans l’établisse-

ment ?

Page 62: Protection des infrastructures critiques – gestion des risques et des

60

Questions Précisions Oui Non Sans objet Commentaire

5.2 En cas de crise, l’éta-

blissement est-il

représenté au sein

des cellules de crise

de la sécurité civile

(commandement des

opérations de secours,

état-major administra-

tif) par du personnel de

liaison ?

5.3 Est-il prévu dans l’éta-

blissement des locaux

qui, en cas de crise,

seront mis à la dispo-

sition de la cellule de

crise, et qui sont dotés

de l’équipement tech-

nique nécessaire ainsi

que d’une alimentation

électrique de secours ?

5.4 Des plans existent-ils

pour le maintien du

fonctionnement de la

cellule de crise en cas de

défaillance des systèmes

de communication ?

5.5 Des plans existent-ils

pour le maintien du

fonctionnement de

la cellule de crise en

cas de défaillance des

systèmes de traitement

des données ?

5.6 Des plans existent-ils

pour le maintien du

fonctionnement de la

cellule de crise si son QG

est devenu inutilisable ?

6.1 Existe-t-il des plans des

différents étages du

En cas de crise, une influence

plus grande peut être exer-

cée sur les décisions qui

concernent l’établissement

lorsque du personnel de

liaison est représenté au sein

de ces états-majors. Contac-

tez les services publics locaux

chargés de la sécurité civile.

Les interlocuteurs sont les

sapeurs-pompiers locaux, ou

les services administratifs au

niveau de la circonscription,

de la ville ou de la commune.

Par exemple par l’institution

de messagers, motorisés ou

non (voiture, moto).

Par exemple en conservant

des exemplaires sur papier

des plans et informations.

Les conduites d’alimenta-

tion et d’évacuation concer-

6. Informations et documents nécessaires

Page 63: Protection des infrastructures critiques – gestion des risques et des

61

Questions Précisions Oui Non Sans objet Commentaire

LISTESDECOnTRôLE

bâtiment, précisant

les emplacements des

conduites d’alimenta-

tion et d’évacuation,

ainsi que des voies

d’accès, si possible sur

support numérique et

sur papier ?

6.2 Les plans des étages

contiennent-ils toutes

les informations néces-

saires en cas de crise, et

celle-ci sont-elles parti-

culièrement signalées ?

6.3 Tous les documents

importants sont-ils rapi-

dement accessibles ?

6.4 Les plans et documents

susceptibles d’être

également utilisés en

extérieur en cas de

crise sont-ils protégés

contre l’humidité ?

6.5 Existe-t-il des formulai-

res pour consigner les

réceptions et envois de

messages ?

6.6 Existe-t-il des formulai-

res sur lesquels seront

rédigées les informa-

tions destinées à la

population ?

7.1 Existe-t-il des listes

actualisées, à la mise

à jour centralisée, du

personnel et des per-

sonnes à contacter ?

nent l’électricité, le gaz et

l’eau

Ceci inclut les issues et portes

de secours, cages d’escalier,

extincteurs, pharmacie

portative, pièces sécurisées

pouvant servir de refuge, piè-

ces contenant des provisions,

pièces contenant les équipe-

ments nécessaires, groupes

électrogènes, points de

rassemblement, conduites,

valves et vannes, etc.

Exemple : contrats

Les listes contiennent les

noms, adresses, numéros de

téléphone (professionnels

et personnels), ainsi qu’une

description de la position au

sein de l’établissement.

7. Coordonnées des personnes à contacter

Page 64: Protection des infrastructures critiques – gestion des risques et des

62

Questions Précisions Oui Non Sans objet Commentaire

8. Concertation éventuelle avec les services publics compétents

7.2 Existe-t-il des listes

actualisées rensei-

gnant sur les entrepri-

ses et services publics

externes importants ?

7.3 Est-il vérifié réguliè-

rement que toutes les

listes sont mises à jour ?

8.1 Les différents services

publics à informer

figurent-ils sur le plan

de crise ?

8.2 Les différentes per-

sonnes investies d’une

fonction au sein de

l’établissement sont-

elles connues de ces

services publics ?

8.3 Les services publics

concernés sont-ils infor-

més des plans de crise ?

8.4 Existe-t-il un contact

avec les services de

police en charge des

mesures préventives de

sûreté ?

Les listes contiennent des

renseignements sur l’or-

ganisation, son adresse, le

nom de l’interlocuteur, les

numéros de téléphone, une

description des prestations

de services, ainsi que des

informations sur des accords

contractuels et des priorités

en matière d’approvision-

nement. Ceci inclut notam-

ment les hôpitaux, crèches,

établissements scolaires et

fournisseurs de carburants.

Exemples : police, ser-

vice de l’hygiène et de la

santé publique, autorités en

charge de l’environnement,

sapeurs-pompiers, services

de sécurité civile

Ces services (police de la

Fédération et des Länder,

offices régionaux de police

criminelle, office fédéral

de police criminelle) vous

conseillent pour toute

question relative à des évé-

nements d’origine crimi-

nelle ou terroriste, ou à un

sabotage.

Page 65: Protection des infrastructures critiques – gestion des risques et des

63

Questions Précisions Oui Non Sans objet Commentaire

site ?

3. Les membres du per-

sonnel ont-ils acquis

une expérience dans

d’autres domaines que

le leur (principe de

rotation) ?

4. Peut-on, en cas de crise,

recourir à du personnel

de remplacement ?

5. Est-ce qu’il existe des

plans d’alerte pour les

postes de travail à une

seule personne ?

Les activités effectuées selon le

principe de rotation dans dif-

férents domaines permettent

aux employés d’assumer des

fonctions en dehors de leur

domaine habituel de respon-

sabilité, en cas de défaillance

du personnel responsable.

Par exemple en cas de pan-

démie, il est éventuellement

possible de recourir au per-

sonnel d’entreprises et de

services publics du voisina-

ge, à d’anciens employés en

retraite ou à du personnel

en cours de formation.

Ceci inclut les boutons

d’alarme, ainsi qu’une alerte à

déclenchement automatique

en cas de dysfonctionnements,

d’erreurs de manœuvre et

d’absence de mesure correc-

tive dans les centres opération-

nels / salles de contrôle.

LISTESDECOnTRôLE

V.2.2 Personnel – Généralités

1. Existe-t-il des plans

et mesures propres à

assurer la protection

du personnel, même

dans des situations

extrêmes ?

2. L’établissement dispo-

se-t-il de suffisamment

de personnel connais-

sant parfaitement le

Ceci inclut la formation

de collaborateurs choisis,

qui les habilite à intervenir

comme guides d’évacuation,

secouristes et auxiliaires en

cas de pandémie, ainsi que

des plans d’évacuation, des

issues de secours ne pouvant

être bloquées par les inonda-

tions ou les décombres, des

points de rassemblement,

des espaces de repli, des

locaux protégés, des équi-

pements de protection, des

équipements de premiers

secours, ainsi qu’une réserve

de produits alimentaires.

Page 66: Protection des infrastructures critiques – gestion des risques et des

64

V.2.3 Gestion de la crise – Plan de pandémie (en particulier pandémie grippale)

Questions Précisions Oui Non Sans objet Commentaire

1. Généralités

Questions Précisions Oui Non Sans objet Commentaire

6. Les membres du person-

nel de l’établissement

sont-ils informés de la

gestion de la crise ?

1.1 Est-il prévu que, en cas

d’absentéisme aggra-

vé, on puisse procéder

à un arrêt contrôlé des

activités de l’établisse-

ment ?

1.2 Des solutions de repli

sont-elles prévues pour

l’éventualité d’une épi-

démie ou d’une pandé-

mie ?

1.3 Des accords ont-ils

été conclus avec des

prestataires de services

externes concernant

la prise en charge de

certaines tâches ?

1.4 Une coopération avec

les autorités sanitaires

locales est-elle prévue

dans le cadre du plan

de continuité ?

1.5 Des réserves de médica-

ments antiviraux ont-

elles été constituées ?

1.6 Une vaccination est-

elle proposée dans

l’établissement, ou le

personnel y est-il infor-

mé des possibilités de

vaccination ?

1.7 Est-il prévu d’arrêter

une partie de la clima-

tisation si la gravité de

Exemple : télétravail

On veillera ici au fait que

certaines pièces et installa-

tions nécessitent une clima-

Page 67: Protection des infrastructures critiques – gestion des risques et des

65

Questions Précisions Oui Non Sans objet Commentaire

tisation ininterrompue (p.

ex. les pièces où se trouvent

les serveurs informatiques).

La climatisation de ces piè-

ces et installations devra

être contrôlée séparément.

Exemples :

éviter de porter les mains

au visage ;

éviter les poignées de

main ;

se laver régulièrement

les mains ;

porter des équipements

de protection individuel-

le (masque sur la bouche

et le nez, lunettes)

V.3 Gestion de la crise

V.3.1 Procédures générales en cas de crise

Questions Précisions Oui Non Sans objet Commentaire

1. Procédures générales

1.1 Une évaluation de la

situation a-t-elle été

effectuée ?

LISTESDECOnTRôLE

la situation l’exige ?

2. Personnel

2.1 Les membres du per-

sonnel sont-ils sensibi-

lisés au problème ?

2.2 Les membres du per-

sonnel apprennent-ils

comment se comporter

en cas d’événement ?

2.3 Du personnel à risque

a-t-il été identifié ?

2.4 L’isolement en cas

d’événement a-t-il été

évoqué avec le person-

nel à risque ?

2.5 Du personnel supplé-

mentaire est-il formé

dans l’établissement

pour effectuer des opé-

rations spéciales ?

Page 68: Protection des infrastructures critiques – gestion des risques et des

66

Questions Précisions Oui Non Sans objet Commentaire

2. Procédures administratives

1.2 Est-il possible de rétablir

le bon fonctionnement

de l’établissement ?

1.3 Des mesures de précau-

tion sont-elles prises

pour protéger le person-

nel, les clients et autres

personnes présentes ?

1.4 Des mesures de précau-

tion sont-elles prises

pour protéger les bâti-

ments, les installations

et les équipements, les

données et les docu-

ments ?

2.1 Le personnel, les

clients et les autres

personnes présentes

sont-ils mis en garde en

cas de survenance d’un

événement extrême ?

2.2 Tous les employés qui

ont à intervenir dans le

cadre de la gestion de la

crise sont-ils recensés ?

2.3 Tous les employés qui

ont à intervenir dans

des zones dangereuses

sont-ils recensés ?

2.4 Une assistance est-

elle fournie pour les

employés blessés, blo-

qués ou égarés ?

2.5 Des informations rela-

tives à l’événement

sont-elles fournies au

personnel ?

2.6 Des informations rela-

tives à l’événement

sont-elles fournies aux

familles des employés ?

Page 69: Protection des infrastructures critiques – gestion des risques et des

67

Questions Précisions Oui Non Sans objet Commentaire

LISTESDECOnTRôLE

2.7 Toutes les blessures et

mesures prises à ce pro-

pos sont-elles consi-

gnées par écrit ?

2.8 Chaque sous-événe-

ment est-il consigné

par écrit ?

2.9 Les installations et

équipements sont-ils,

dans la mesure du pos-

sible, tous transférés

en dehors des zones

dangereuses ?

2.10 Des contrôles sont-ils

effectués aux accès de

la zone sinistrée ?

2.11 Est-il tenu un journal

de tous les appels télé-

phoniques ?

2.12 Des communiqués de

presse sont-ils publiés ?

2.13 La situation de crise

une fois terminée,

l’arrêt de l’alerte et le

rétablissement de l’or-

ganisation structurelle

sont-ils diligentés ?

3. logistique

3.1 Tous les équipements

nécessaires sont-ils

fournis ?

3.2 De la nourriture et des

objets de nécessité

sont-ils fournis ?

3.3 Le QG de la cellule de

crise est-il opérationnel ?

3.4 Tous les plans nécessai-

res sont-ils fournis ?

Plans des bâtiments, alimen-

tation en énergie et en eau,

élimination, etc.

Page 70: Protection des infrastructures critiques – gestion des risques et des

68

Questions Précisions Oui Non Sans objet Commentaire

Questions Précisions Oui Non Sans objet Commentaire

1. Sauver, récupérer, lutter contre les incendies

1.1 Toutes les opérations

nécessaires sont-elles

déclenchées pour le

sauvetage des person-

nes et la récupération

des objets ?

1.2 Toutes les opérations

sont-elles lancées pour

l’extinction des incen-

dies ?

2.1 Toutes les opérations

nécessaires aux pre-

miers secours médicaux

sont-elles déclenchées ?

2.2 Tous les organismes

externes devant inter-

venir pour les premiers

secours médicaux ont-

ils été alarmés ?

2. Premiers secours médicaux

3.5 Tous les dispositifs et

équipements redon-

dants sont-ils fournis ?

3.6 Une réparation des ins-

tallations endomma-

gées est-elle effectuée

ou initiée ?

3.7 Est-il prévu une assis-

tance médicale pour

des blessures suscepti-

bles de survenir ?

3.8 L’alimentation électri-

que d’urgence a-t-elle

été mise en marche ?

QG de remplacement pour

la cellule de crise, postes

radio, etc.

Matériel de premier secours

Propres mesures, prévenir

des organismes externes

Propres mesures, prévenir

des organismes externes

SAMU, pompiers, etc.

V.3.2 Procédures spéciales durant la crise

Page 71: Protection des infrastructures critiques – gestion des risques et des

69

Questions Précisions Oui Non Sans objet Commentaire

LISTESDECOnTRôLE

Pour s’y tenir durant la jour-

née et pouvoir y dormir si

besoin est.

Pour s’y tenir durant la jour-

née et pouvoir y dormir si

besoin est.

3.1 Toutes les mesures

nécessaires au boucla-

ge de secteurs ont-elles

été mises en place ?

3.2 Des contrôles d’accès

sont-ils effectués dans

les secteurs de crise ?

4.1 Des lieux d’héberge-

ment sécurisés sont-ils

mis à la disposition de

tous les membres de la

cellule de crise ?

4.2 Des lieux d’héberge-

ment sécurisés sont-ils

mis à la disposition du

personnel, des clients

et autres personnes

présentes sur les lieux ?

5.1 Toutes les personnes

présentes sont-elles

accompagnées par les

guides d’évacuation

vers le point de rassem-

blement convenu ?

5.2 Sur le point de rassem-

blement, est-il vérifié

que toutes les person-

nes sont au complet ?

5.3 La fin de l’évacuation

est-elle signalée ?

5.4 Des moyens de trans-

port sont-ils fournis

pour évacuer toutes les

personnes présentes ?

6.1 La police a-t-elle été

prévenue ?

5. Evacuation de bâtiments

6. Réaction en cas d’alerte à la bombe

3. bouclage de secteurs et contrôles d’accès

4. lieux d’hébergement sécurisés

Page 72: Protection des infrastructures critiques – gestion des risques et des

70

Questions Précisions Oui Non Sans objet Commentaire

7. Coordination de la collaboration avec des entreprises externes et des services publics

8. Arrêt et remise en service contrôlés d’installations

6.2 Les éléments d’infor-

mation concernant

des activités suspectes

sont-ils enregistrés et

transmis ?

6.3 Les éléments d’infor-

mation concernant des

objets suspects sont-ils

enregistrés et transmis ?

7.1 La procédure prévue

pour travailler avec des

entreprises externes et

des services publics est-

elle activée ?

7.2 L’accès des collabora-

teurs d’établissements

externes est-il contrôlé ?

7.3 Un contrôle d’identité

est-il effectué auprès

des membres du per-

sonnel d’entreprises

externes et de services

publics ?

7.4 Les canaux de commu-

nication nécessaires

sont-ils activés ?

8.1 Le site est-il mis hors ser-

vice, totalement ou en

partie, après concerta-

tion avec le responsable

de la cellule de crise ?

8.2 Tous les délais sont-ils

pris en compte ?

8.3 Les effets d’une mise

hors service – partielle

ou totale – d’installa-

tions sont-ils recensés

et pris en compte ?

p. ex. en utilisant un formu-

laire

Exemples : sapeurs-pom-

piers, police

Délai de préparation éven-

tuellement nécessaire

Page 73: Protection des infrastructures critiques – gestion des risques et des

71

LISTESDECOnTRôLE

9. Gestion des données et documents critiques

Questions Précisions Oui Non Sans objet Commentaire

Authenticité, contrôle du

document d’identité

9.1 Les supports de don-

nées et documents

importants sont-ils tou-

jours emballés dans des

contenants étanches à

l’eau et ignifugés ?

9.2 Les supports de donnés,

documents et conte-

nants importants sont-

ils marqués comme tels ?

9.3 Les supports de donnés

et documents impor-

tants sont-ils évacués

du secteur sinistré ?

10. Médias

10.1 Toutes les personnes

qualifiées pour inter-

venir comme porte-

parole face aux médias

sont-elles convoquées ?

10.2 Tous les textes prérédi-

gés sont-ils immédiate-

ment accessibles ?

10.3 Une documentation

générale concernant

l’établissement est-elle

disponible ?

10.4 La procédure définie

pour l’autorisation de

révéler les informa-

tions vers l’extérieur

est-elle respectée ?

10.5 Toutes les listes des inter-

locuteurs de l’établis-

sement pour les repré-

sentants des médias

sont-elles disponibles ?

10.6 Un questionnaire per-

mettant de contrôler

les représentants des

médias est-il disponible ?

Page 74: Protection des infrastructures critiques – gestion des risques et des

72

Questions Précisions Oui Non Sans objet Commentaire

V.4 Retour d’expérience

Questions Précisions Oui Non Sans objet Commentaire

1. Des actions prioritaires

sont-elles définies ?

2. Le niveau des dangers

résiduels est-il évalué ?

10.7 Tous les représentants

des médias font-ils

l’objet d’un traitement

identique ?

10.8 Médias

a. Est-il publié des commu-

niqués de presse ?

b. Des conférences de presse

sont-elles tenues ?

c. Est-il publié des annon-

ces visant à informer le

public ?

d. Des informations sont-

elles diffusées par le biais

de la radio et de la télévi-

sion ?

11.1 Des fonds nécessaires

à la gestion de la crise

sont-ils fournis ?

12.1 Toutes les décisions

sont-elles consignées

par écrit ?

12.2 Tous les dommages

corporels sont-ils consi-

gnés, preuves à l’appui ?

12.3 Tous les dommages

matériels sont-ils docu-

mentés ?

Formulaires, procès-verbaux

Rapports, photos, matériel

vidéo

Rapports, photos, matériel

vidéo

11. Soutien financier en cas de crise

12. Consignation par écrit / conservation des preuves

Page 75: Protection des infrastructures critiques – gestion des risques et des

73

Questions Précisions Oui Non Sans objet Commentaire

V.5 Exercices

Questions Précisions Oui Non Sans objet Commentaire

1. Exercices « table top »

1.1 Est-il procédé à des

exercices concernant la

prise en charge de mis-

sions et de responsabi-

lités en cas de crise ?

LISTESDECOnTRôLE

Rapports, photos, matériel

vidéo

Assurances, administrations

Aérer, déblayer les décom-

bres, sécher, etc.

3. Une enquête est-elle

effectuée auprès du per-

sonnel sur la manière

dont la crise a été gérée ?

4. Les informations concer-

nant les dommages

sont-elles analysées ?

5. Toutes les factures

sont-elles payées ?

6. Les acteurs externes

sont-ils informés sur la

situation ?

7. Les clients concernés

ont-ils été contactés ?

8. A-t-on fait en sorte que

tous les travaux de

déblaiement nécessai-

res soient effectués ?

9. Un inventaire est-il dres-

sé de tous les bâtiments,

installations et équipe-

ments détériorés ?

10. Une estimation du

dommage financier

est-elle effectuée ?

11. Les conclusions du

retour d’expérience

sont-elles mises à profit

pour un ajustement de

la gestion des crises ?

Page 76: Protection des infrastructures critiques – gestion des risques et des

74

Questions Précisions Oui Non Sans objet Commentaire

1.2 Est-il procédé à des

exercices portant sur les

procédures d’alerte, de

remontée de l’informa-

tion et d’avertissement ?

1.3 Les canaux de commu-

nication internes et

externes sont-ils testés ?

1.4 Les moyens de commu-

nication sont-ils testés ?

1.5 Des listes de contacts

sont-elles testées ?

2.1 Est-il procédé à des

évacuations ?

2.2 Après une évacuation,

est-il vérifié que le per-

sonnel est au complet ?

2.3 Tous les équipements

sont-ils testés ?

2.4 Est-il procédé à des

exercices portant sur

l’arrêt contrôlé d’instal-

lations et de secteurs ?

2.5 L’activation de sites et /

ou d’équipements alter-

natifs est-elle testée ?

2.6 L’activation de systèmes

redondants en mode

de fonctionnement « de

secours » est-elle testée ?

2.7 Est-il procédé à des

exercices portant sur le

retour au mode normal

de fonctionnement ?

Exemple : listes téléphoni-

ques

Exemple : équipements de

protection individuelle

2. Exercices partiels, exercices complets

Page 77: Protection des infrastructures critiques – gestion des risques et des

75

V.6 Choix et aménagement d’un QG de cellule de crise

Questions Précisions Oui Non Sans objet Commentaire

1. Infrastructure des locaux

1.1 Le QG de la cellule de

crise se trouve-t-il si

possible dans un sec-

teur sécurisé du site, ou

sur un site alternatif ?

1.2 Le QG de la cellule de

crise est-il situé à un

emplacement central,

facilement accessible ?

1.3 Les membres / unités de la

cellule de crise peuvent-ils

être joints directement ?

1.4 Des espaces de parking

en quantité suffisante

sont-ils disponibles à

proximité immédiate ?

1.5 Existe-t-il une salle de

réunion (sans téléphone)

suffisamment spacieuse

et séparée de la salle

de travail, pour faire le

point de la situation ?

1.6 Existe-t-il en outre des

petites salles de réunion

pour les groupes de tra-

vail / les concertations

sur des points de détail ?

1.7 Est-il prévu une salle de

travail suffisamment

spacieuse pour accueillir

la cellule de crise et les

unités de soutien ?

1.8 A-t-on pensé, pour

le QG de la cellule de

crise, à mettre en place

un dispositif pare-vue

côté fenêtres, et un dis-

positif anti-écoute ?

1.9 Existe-t-il, à proximité

du QG, des pièces / zones

LISTESDECOnTRôLE

Page 78: Protection des infrastructures critiques – gestion des risques et des

76

Questions Précisions Oui Non Sans objet Commentaire

CD-ROM, disques durs exter-

nes, clés USB

Pour scanner des docu-

ments, photos, etc…

2. Infrastructure technique

permettant la cellule de

crise de se retirer pour

prendre du repos, se

restaurer et éventuelle-

ment dormir ?

1.10 Est-il possible d’assom-

brir la salle, pour les

présentations ?

2.1 Des postes informati-

ques, avec accès Inter-

net, courrier électroni-

que et supports externes

de stockage pour le

transport des données

sont-ils disponibles ?

2.2 Des ordinateurs porta-

bles, notebooks et PDA

sont-ils disponibles ?

2.3 Existe-il une boîte mail

partagée, à distribu-

tion contrôlée ?

2.4 Des téléphones por-

tables avec câbles

chargeurs, ainsi que

des téléphones analo-

giques indépendants

du réseau électrique

sont-ils disponibles ?

2.5 Existe-t-il éventuellement

une ligne directe avec les

principales entreprises et

administrations ?

2.6 Les fax et serveurs fax

sur PC sont-ils en nom-

bre suffisant ?

2.7 Des scanners sont-ils

disponibles ?

2.8 L’accès au système inter-

ne de vidéosurveillance

est-il possible ?

Page 79: Protection des infrastructures critiques – gestion des risques et des

77

Questions Précisions Oui Non Sans objet Commentaire

LISTESDECOnTRôLE

2.9 L’accès aux systèmes

informatiques internes

est-il possible ?

2.10 L’accès au système radio

et à la technique radio

du site est-il possible ?

2.11 A-t-on prévu une tech-

nique de visualisation ?

2.12 Dispose-t-on d’un

nombre suffisant de

téléviseurs, radios et

magnétoscopes ?

2.13 Est-il garanti que les

enregistrements sont

disponibles dans un

format lisible ?

2.14 Une photocopieuse est-

elle disponible ?

2.15 Des appareils photo

sont-ils disponibles ?

2.16 Une alimentation élec-

trique non interrupti-

ble, et / ou un système

d’alimentation de

secours sont-ils prévus ?

3. Divers

3.1 Des formulaires,

feuilles de procès-

verbal et modèles de

documents sont-ils

disponibles ?

3.2 Des formulaires sont-ils

disponibles pour les

réunions où il est fait le

point de situation ?

3.3 Des listes téléphoniques,

listes de contacts et

inventaires de ressour-

ces sont-ils disponibles ?

Exemple : écran, beamer,

chevalet de présentation,

tableau blanc

Pour suivre, analyser et

enregistrer les images prises

par caméra et reportages.

Personnel, équipements,

stocks, prestations de services

en cas de crise, contrats sous

forme numérique et sur papier.

Page 80: Protection des infrastructures critiques – gestion des risques et des

78

Questions Précisions Oui Non Sans objet Commentaire

3.4 Existe-t-il des listes

des participants aux

réunions où il est fait le

point de la situation ?

3.5 Existe-t-il un plan de table

pour la cellule de crise ?

3.6 Des plans et photos

récents du site sont-ils

disponibles ?

3.7 Des badges person-

nalisés indiquant la

fonction sont-ils prévus

pour les membres de la

cellule de crise ?

3.8 Les fournitures de

bureau sont-elles en

quantité suffisante ?

3.9 Y a-t-il un centre de

presse correctement

équipé (TV, radio) ?

3.10 Est-il prévu de mettre

en place un contrôle

d’accès pour pénétrer

dans le QG de la cellule

de crise ?

3.11 Est-il effectué un

contrôle des papiers

d’identité et des lais-

sez-passer ?

3.12 Des cartes de visite

sont-elles disponibles ?

3.13 Est-il prévu des repas

pour l’éventualité d’un

événement ?

3.14 Des équipements de

protection sont-ils pré-

vus pour l’ensemble du

personnel ?

Eventuellement aussi des

porte-nom pour la table,

avec désignation du domai-

ne d’activité, en cas de chan-

gement de personnes au

sein de la cellule de crise.

Papier, crayons, stylos, etc.

Pour les grosses entreprises

et administrations.

Par exemple pour les repré-

sentants des médias

Lunettes de protection, cas-

ques, chaussures de sécurité,

masques respiratoires, com-

binaisons de protection.

Page 81: Protection des infrastructures critiques – gestion des risques et des

79

VI. Exemple d’une analyse des risques

L’exemple suivant illustre la manière dont peut être réalisée

dans la pratique une analyse des risques, pour un établis-

sement fictif. Le sous-processus choisi comme exemple et

examiné est celui d’une salle de contrôle. En l’occurrence, le

processus de la salle de contrôle n’a pas été lui-même divisé

en d’autres sous-processus.

Un tableau de risques généré par un logiciel tableur a été

utilisé pour procéder à l’analyse des risques pour la salle de

contrôle

VI.1 Analyse de criticité

Pour déterminer la criticité de la salle de contrôle, on a

recours à deux des quatre critères listés au chapitre 3.2.1, qui

sont évalués à partir de la classification suivante. Cette clas-

sification doit être comprise comme étant une suggestion,

qui pourra être adaptée aux spécificités de l’établissement

concerné. Les catégories encadrées d’un trait épais ont été

choisies pour le sous-processus « salle de contrôle ».

Catégorie Classification verbalelaps de temps s’écoulant avant que les services

ou la production soient perturbés

Tableau 1 : Classification selon le critère de criticité « Facteur temporel »

a) Facteur temporel :

En combien de temps la perturbation du processus se répercute-t-elle sur l’ensemble de la production de biens ou de servi-

ces de l’établissement ?

1

2

3

4

5

Laps de temps très court (p. ex. : secondes ou minutes)

Laps de temps court (p. ex. : heures)

Laps de temps moyen (p. ex. : jours)

Laps de temps long (p. ex. : semaines)

Laps de temps très long (p. ex. : mois, années)

le sous-processus est très critique

le sous-processus est critique

le sous-processus est important,

mais pas critique

le sous-processus n’est pas très

critique

le sous-processus n’est quasi-

ment pas critique

Page 82: Protection des infrastructures critiques – gestion des risques et des

80

Catégorie Classification verbaleVolume de services ou de la production perturbé

Tableau 2 : Classification selon le critère de criticité « Volume »

b) Volume :

Quel volume de l’ensemble des biens et services serait concerné en cas de perturbation ou d’arrêt total du sous-processus

critique en question ?

Dans le cas de l’établissement fictif, le laps de temps qui s’écoule

jusqu’à ce que l’ensemble des services fournis soient perturbés

est très court, il peut dont être classé dans la catégorie 1. Selon

le critère de criticité « Facteur temporel », le sous-processus doit

donc être considéré comme très critique.

En cas de perturbation de la salle de contrôle, il est présumé que le

volume de services ne pouvant pas être fourni est très élevé – il est

classé dans la catégorie 2. Du point de vue du critère « Volume », le

sous-processus doit donc être considéré comme étant critique.

Au total, le sous-processus « Salle de contrôle » est classé comme

étant très critique. Il fait l’objet d’un examen plus détaillé dans le

cadre de l’analyse des risques.

VI.2 Analyse des aléas et élaboration de scénarios

L’exemple choisi d’un aléa susceptible d’affecter l’établisse-

ment fictif est une panne d’électricité. A partir de ce cas de

figure, on peut élaborer le scénario suivant.

Intensité 5 millions de personnes privées d’électricité dans toute l’Europe

Toutes les installations fonctionnant à l’électricité, sans alimentation de secours, sont immobilisées.

Les groupes électrogènes fournis par la protection civile sont loin d’être suffisants pour couvrir les

besoins en alimentation de secours.

Ampleur géographique Pannes régionales touchant de nombreux réseaux régionaux partiels ; la salle de contrôle de l’éta-

blissement est affectée par la panne d’électricité

Durée de la panne 4 jours

Avertissement Aucun avertissement préalable

Événements de référence Panne d’électricité dans la région du Münsterland en novembre 2005, avec des coupures régionales

qui ont duré jusqu’à 5 jours, affectant jusqu’à 250.000 personnes.

Scénario : panne d’électricité

Tableau 3 : Scénario d’une panne de l’alimentation externe en électricité

1

2

3

4

5

Très gros volume

(p. ex. : 80 à 100 % de l’ensemble des services ou de la production)

Gros volume

(p. ex. : 50 à 80 % de l’ensemble des services ou de la production)

Volume moyen

(p. ex. : 30 à 50 % de l’ensemble des services ou de la production)

Faible volume

(p. ex. : 10 à 30 % de l’ensemble des services ou de la production)

Très faible volume

(p. ex. : 0 à 10 % de l’ensemble des services ou de la production)

le sous-processus est très cri-

tique

le sous-processus est critique

le sous-processus est important,

mais pas critique

le sous-processus n’est pas très

critique

le sous-processus n’est quasi-

ment pas critique

Page 83: Protection des infrastructures critiques – gestion des risques et des

81

ExEMPLED’unEAnALySEDESRISQuES

Il est quasiment impossible de déterminer quantitativement la

probabilité de survenance de ce scénario. Il faut donc l’estimer.

Le passé récent a montré qu’il est tout à fait possible que des

pannes d’électricité surviennent subitement. Dans le contexte

d’un accroissement des catastrophes naturelles extrêmes et de

la montée des menaces terroristes, la probabilité de survenance

de ce scénario est considérée comme « moyenne ». Ce classe-

ment correspond à la catégorie n° 3.

Catégorie Catégorie verbale Points

Tableau 4 : Classification de la probabilité de survenance

Question : Comment estimez-vous la probabilité de survenance d’un tel scénario, dans l’ampleur décrite ?

1

2

3

4

5

VI.3 Analyse de vulnérabilité

Parmi les critères de vulnérabilité décrits au chapitre 3.2.2.2,

on a sélectionné les critères suivants pour la salle de contrôle :

Dépendance vis-à-vis des éléments de risque

Dépendance vis-à-vis des infrastructures externes – ali-

mentation électrique

Dépendance vis-à-vis des infrastructures externes – trafic,

transport et logistique

Robustesse / Niveau de protection atteint

Redondance / Remplacement

Coût de réparation

On part du principe que ces critères sont particulièrement

pertinents pour l’établissement fictif. Afin de simplifier

l’exemple, il ne sera donné aucune raison justifiant le choix

de ces critères, ce choix indiquant toutefois que les critères

ne doivent pas nécessairement être retenus dans leur totalité

pour tous les établissements.

Le critère « Dépendance vis-à-vis des éléments de risque » sert

de facteur de pondération, la somme des autres valeurs relati-

ves à la vulnérabilité étant utilisée pour le calcul des risques.

Comme pour l’estimation de la probabilité de survenance du

scénario, les valeurs relatives à la vulnérabilité des éléments

de risque sont estimées à l’aide de catégories verbales, avec

une attribution de points pour chacune de ces catégories.

La vulnérabilité est différente d’un scénario à l’autre, ce qui

explique que chaque case n’est pas nécessairement remplie.

C’est pourquoi il a été créé une catégorie 0, qui permet de

neutraliser la combinaison concernée. Les autres catégories

sont les mêmes que celles utilisées pour évaluer la probabilité

de survenance.

1

2

3

4

5

très faible

faible

moyenne

élevée

très élevée

Page 84: Protection des infrastructures critiques – gestion des risques et des

82

Tableau 5 : Classification de la vulnérabilité

Catégorie Catégorie verbale Description Points

0

1

2

3

4

5

0

1

2

3

4

5

non pertinent

très faible

faible

moyen

élevé

très élevé

Le scénario est absolument sans impor-

tance pour l’élément de risque.

Le scénario n’a aucun impact – ou un

impact très faible – sur le déroulement des

activités.

Le scénario requiert la mise en place de

mesures organisationnelles (changement

de personnel, réparations, etc.)

Le scénario entraîne un dysfonctionne-

ment partiel, s’étendant sur une courte

période

Le scénario entraîne un dysfonctionne-

ment partiel, s’étendant sur une longue

période

Le scénario entraîne un dysfonctionne-

ment de grande ampleur, s’étendant sur

une longue période

Dans le tableau des risques, on procède alors à l’estimation

d’une vulnérabilité, pour chaque élément de risque et pour

chaque critère de vulnérabilité. Les valeurs correspondantes,

V1 à V570, sont inscrites dans les cases prévues à cet effet.

L’opération est répétée pour chaque élément de risque. Cette

démarche une fois terminée, on obtient un tableau des ris-

ques qui, pour le sous-processus choisi, indique les vulnérabi-

lités partielles et les risques partiels, ainsi que la vulnérabilité

globale et le risque global.

VI.4 Calcul du risque

Le recoupement, et donc le calcul des valeurs, s’effectue de la

manière suivante, à partir du tableau des risques décrit ci-dessus :

Points inscrits dans le tableau :

PS : Probabilité de survenance

DER : Dépendance vis-à-vis des éléments de risque

V1 : Dépendance vis-à-vis d’infrastructures externes - ali-

mentation électrique

V2 : Dépendance vis-à-vis des infrastructures externes – tra-

fic, transport et logistique

V3 : Robustesse / Niveau de protection atteint

V4 : Redondance / Remplacement

V5 : Coût de réparation

Valeurs relatives aux éléments de risque calculés dans le

tableau :

Vulnérabilité partielle = DER * (V1 + V2 + V3 + V4 + V5)

Risque partiel = PS * DER * (V1 + V2 + V3 + V4 + V5)

Valeurs relatives au processus, calculées dans le tableau :

Vulnérabilité totale = somme de toutes les vulnérabilités

partielles

Risque total = somme de tous les risques partiels

70 Cf. Tableau 6 et 7.

Page 85: Protection des infrastructures critiques – gestion des risques et des

83

ExEMPLED’unEAnALySEDESRISQuES

Tableau 6 : Extrait du tableau des risques pour la salle de contrôle

Pan

ne

de

l’ali

men

-ta

tion

ex

tern

e en

él

ectr

icit

é

Sous

-p

roce

ssus

:Sa

lle d

e co

ntrô

le

Dép

end

ance

vi

s-à-

vis

des

élém

ents

de

risq

ues

Dép

end

ance

vi

s-à-

vis

des

infr

astr

uct

ure

s ex

tern

es -

ali-

men

tati

on é

lec-

triq

ue

Dép

end

ance

vi

s-à-

vis

d’in

fra-

st

ruct

ure

s ex

tern

es -

traf

ic,

tran

spor

t et

log

isti

que

Rob

ust

esse

/ N

ivea

u d

e pr

o-

tect

ion

att

ein

t

Red

ond

ance

, re

mp

lace

men

tC

oût d

e

rép

arat

ion

Cri

tère

s d

e vu

lnér

abili

té d

e la

sal

le d

e co

ntrô

le

Vu

lné-

rabi

lité

p

arti

elle

Cal

cul R

isqu

e p

arti

elSc

énar

io :

PS :

3

Poin

ts5

13

12

140

120

Dan

s qu

elle

m

esu

re

la s

alle

de

con

trôl

e es

t-el

le, à

vot

re

avis

, tri

bu-

tair

e d’

un

p

erso

nn

el

spéc

iali

sé ?

Qu

elle

est

, à

votr

e av

is, l

a vu

lnér

abil

ité

de la

sal

le d

e co

ntr

ôle

en

rais

on d

e la

pen

dan

ce d

u

per

son

nel

vis

-à-

vis

de l’

alim

en-

tati

on é

lect

ri-

que

exte

rne

?

Qu

elle

est

, à

votr

e av

is, l

a vu

lnér

abil

ité

de la

sal

le d

e co

ntr

ôle

en

rais

on d

e la

pen

dan

ce d

u

per

son

nel

vis

-à-

vis

du t

rafi

c, d

es

tran

spor

ts e

t de

la lo

gis

tiqu

e ?

Qu

elle

est

, à

votr

e av

is, l

a vu

lnér

abil

ité

de la

sal

le d

e co

ntr

ôle

en r

ai-

son

de

l’abs

ence

de

pro

tect

ion

p

hys

iqu

e p

our

le p

erso

nn

el ?

Qu

elle

est

, à

votr

e av

is, l

a vu

l-n

érab

ilit

é de

la

sall

e de

con

trôl

e en

rai

son

de

l’abs

ence

de

per

son

nel

de

rem

pla

cem

ent

en c

as d

e p

ann

e d’

élec

tric

ité

?

Qu

elle

peu

t êt

re la

vu

l-n

érab

ilit

é du

so

us-

proc

essu

s du

poi

nt d

e vu

s du

tem

ps

néc

essa

ire

pou

r ré

tabl

ir le

per

-so

nn

el d

ans

ses

fon

ctio

ns

?

Qu

esti

ons

La s

alle

de

con

trôl

e es

t tr

ès t

ribu

-ta

ire

du p

er-

son

nel

.

Le p

erso

nn

el

n’e

st t

ribu

tair

e de

l’al

imen

ta-

tion

en

éle

ctri

ci-

té q

ue

dan

s u

ne

cert

ain

e m

esu

-re

. L’a

bsen

ce

d’u

n é

clai

rage

de

sec

ours

, par

ex

emp

le p

eut l

e gê

ner

dan

s so

n

trav

ail.

La p

ann

e d’

élec

-tr

icit

é ex

tern

e p

eut a

ffec

ter

égal

emen

t le

traf

ic e

t les

tr

ansp

ort.

Il e

st

pos

sibl

e qu

e le

p

erso

nn

el n

e pu

isse

pas

se

ren

dre

à s

on

trav

ail.

L’ab

sen

ce d

’un

éc

lair

age

de

seco

urs

peu

t pr

ovoq

uer

des

ac

cide

nts

et d

es

bles

sure

s.

La p

ann

e d’

élec

-tr

icit

é n’

aura

pr

obab

lem

een

t qu

’un

imp

act

faib

le o

u m

oyen

su

r la

dis

pon

ibi-

lité

de

per

son

nel

de

rem

pla

ce-

men

t (gê

ne

dan

s le

s tr

ansp

orts

en

co

mm

un

, le

tra-

fic

ferr

ovia

ire)

.

La p

ann

e u

ne

fois

term

inée

, le

per

son

nel

n

e se

ra p

lus

affe

cté.

Com

men

-

tair

es

Pers

onn

el

Page 86: Protection des infrastructures critiques – gestion des risques et des

84

Le tableau suivant montre le résultat d’un exemple pour tous

les éléments de risque de la salle de contrôle. Dans un souci de

clarté, les questions et les commentaires ont été effacés de ce

tableau. Toutes les installations et tous les équipements spécifi-

ques à l’établissement sont regroupés dans l’exemple à la rubri-

que « Installations et équipements ».

Tableau 7 : Tableau des risques pour la salle de contrôle, sans questions ni commentaires

Sous-processus :

Salle de contrôle CalculCritères de vulnérabilité de la salle de contrôle

Dép

enda

nce

vis

-à-v

is d

es é

lé-

men

ts d

e ri

squ

es

infr

astr

uct

ure

s ex

tern

es -

ali-

men

tati

on é

lect

riqu

e

Dép

enda

nce

vis

-à-v

is d

’in-

fras

tru

ctu

res

exte

rnes

- tr

afic

,

tran

spor

t et l

ogis

tiqu

e

Rob

ust

esse

/ N

ivea

u d

e pr

o-

tect

ion

att

ein

t

Red

onda

nce

, rem

plac

emen

t

Coû

t de

répa

rati

on

Vu

lnér

abili

té p

arti

elle

Ris

que

part

iel

Pan

ne

de l’

alim

enta

iton

exte

rne

en é

lect

rici

téScénario :

Points 5 1 3 1 2 1

Points 5 0 0 0 3 0

Points 5 5 0 3 1 2

Points 5 5 1 4 5 3

Points 2 0 0 0 0 0

Points 5 2 2 0 4 0

Vulnérabilité totale, risque total (sous-processus, scénario) :

PS :

Personnel

Site, bâtiments

Installations,

équipements

Données,

logiciels

Documents

Moyens de

fonctionne-

ment

3

240 720

40 120

15 45

55 165

90 270

0 0

40 120

Page 87: Protection des infrastructures critiques – gestion des risques et des

85

VI.5 Comparaison des risques

En analysant tous les processus critiques, ainsi que leurs sous-

processus au sein de l’établissement, de même que les diffé-

rents scénarios pertinents pour l’établissement, on obtient

une série de tableaux de risques, qui peuvent être alors placés

les uns à côté des autres. Les résultats sont générés sur la

même base standardisée, tant au niveau de la méthode que

du contenu, ce qui permet de procéder à une comparaison

exhaustive des aspects suivants :

les vulnérabilités partielles et les risques partiels des élé-

ments de risque au sein d’un sous-processus ;

les vulnérabilités partielles et les risques partiels des

mêmes éléments de risque de sous-processus différents ;

les vulnérabilités partielles et les risques partiels de diffé-

rents sous-processus ;

les vulnérabilités totales et les risques totaux de différents

sous-processus ;

L’exemple ne peut fournir qu’une comparaison de vulné-

rabilités partielles et de risques partiels relatifs à la salle de

contrôle. En étendant cette démarche à d’autres sous-proces-

sus, on obtient une comparaison de vaste portée pour l’en-

semble de l’établissement.

L’illustration suivante représente schématiquement la com-

paraison de deux sous-processus et de différents scénarios.

Illustration 12 : Deux sous-processus, plusieurs scénarios

ExEMPLED’unEAnALySEDESRISQuES

Page 88: Protection des infrastructures critiques – gestion des risques et des

86

Les résultats du calcul des vulnérabilités partielles et risques

partiels peuvent être classés en catégories verbales. Dans le

classement suivant, une valeur appartient à la catégorie supé-

rieure lorsqu’elle dépasse d’un point la valeur maximum de la

catégorie concernée.

Pour l’élément de risque « Données, logiciels », on obtient

les résultats suivants. Se chiffrant à 90, la vulnérabilité par-

tielle doit être considérée comme étant très élevée. Avec 270

points, le risque partiel est élevé.71

Vulnérabilité partielle

Points Catégories verbales

Tableau 9 : Classification des résultats du calcul des risques partiels

Risques partiels

Catégorie Points Catégories verbales

Tableau 8 : Classification des résultats du calcul des vulnérabilités

partielles

La vulnérabilité totale et le risque total du sous-processus

« salle de contrôle » peuvent, eux aussi, être catégorisés selon

cette méthode. Se chiffrant respectivement à 240 et 720, la

vulnérabilité totale et le risque total peuvent être qualifiés de

moyens.

71 Cf. chap. VI. 4. Calcul du risque, Tableau 7.

Vulnérabilité totale

Points Catégories verbales

Tableau 10 : Classification des résultats du calcul des vulnérabilités

totales

Risques totaux

Catégories Points Catégories verbales

Tableau 11 : Classification des résultats du calcul des risques totaux

0

1

2

3

4

5

aucun risque partiel

risque partiel très faible

risque partiel faible

risque partiel moyen

risque partiel élevé

risque partiel très élevé

0

1 à 5

6 à 40

41 à 135

136 à 320

321 à 625

0

1

2

3

4

5

aucun risque total

risque total très faible

risque

total faible

risque total moyen

risque total élevé

risque total très élevé

0

1 à 35

36 à 280

281 à 945

946 à 2240

2241 à 4375

0

1 à 35

36 à 140

141 à 315

316 à 560

561 à 875

aucune vulnérabilité totale

vulnérabilité totale très faible

vulnérabilité totale faible

vulnérabilité totale moyenne

vulnérabilité totale élevée

vulnérabilité totale très élevée

0

1 à 5

6 à 20

21 à 45

46 à 80

81 à 125

aucune vulnérabilité partielle

vulnérabilité partielle très

faible

vulnérabilité partielle faible

vulnérabilité partielle moyenne

vulnérabilité partielle élevée

vulnérabilité partielle très élevée

Page 89: Protection des infrastructures critiques – gestion des risques et des

87

La salle de contrôle présente une vulnérabilité totale moyen-

ne et un risque total moyen. Pour l’élément de risque « Don-

nées et logiciels », en revanche, tant la vulnérabilité partielle

que le risque partiel s’avèrent très élevés. En termes de risques

partiels élevés, les « installations et équipements » arrivent en

deuxième position. Ce risque partiel peut, lui aussi, être consi-

déré comme élevé. Si, dans la réalité, il était prévu des mesu-

res de sécurité supplémentaires, c’est au niveau de ces deux

éléments de risque qu’il conviendrait de les mettre en place.

Au lieu de comparer les tableaux de risques imprimés sur

papier, il est également possible de transférer dans un nou-

veau tableau toutes les valeurs calculées, comme les vulné-

rabilités partielles ou les risques partiels. Ceci permet de syn-

thétiser tous les résultats dans un seul tableau et de procéder

simplement à une analyse graphique, à l’aide de la fonction

Diagramme du tableur.

REMARQUE IMPORTANTE :

Lorsd’unecomparaisondesrisques,l’accentdoitêtremis

surunecomparaisondesrisquespartiels.Lesrisquespartiels

élevésfragilisentconsidérablementunsous-processus,et

doiventdoncêtreréduits.

Lorsqu’ilssontélevés,lavulnérabilitétotaleoulerisque

totald’unsous-processuspeuventindiquerquel’onesten

présencedeplusieursrisquespartielsélevés.Dansuntel

cas,deseffortsparticulièrementimportantsdoiventêtre

faitspourréduirecesrisques.Enrevanche,lesrisquestotaux

résultantuniquementderisquespartielsmoyenssontmoins

pertinents.

ExEMPLED’unEAnALySEDESRISQuES

Page 90: Protection des infrastructures critiques – gestion des risques et des
Page 91: Protection des infrastructures critiques – gestion des risques et des

Cette brochure est distribuée à titre gratuit dans le cadre du travail de relations publiques du ministère fédéral de l’Intérieur.

Est illégale toute utilisation par des partis politiques ou des candidats ou leurs supporteurs à des fins de propagande électorale

pendant des campagnes électorales. Ceci s’applique aux élections européennes, aux élections législatives au niveau fédéral

et régional ainsi qu’aux élections municipales. Est notamment considérée comme abusive la distribution de la brochure lors

d’événements électoraux ou sur des stands d’information des partis politiques ainsi que l’insertion, l’impression ou l’apposition

d’informations ou de supports de propagande relatifs à un parti politique dans ou sur la brochure. Est en outre interdite toute

communication à des tiers à des fins de propagande électorale. Indépendamment de la voie par laquelle le destinataire a reçu

la présente brochure, du moment de la réception et du nombre d’exemplaires reçus, cette brochure ne doit pas être utilisée –

même en dehors d’une période préélectorale – de manière à pouvoir suggérer une prise de position du gouvernement fédéral

en faveur d’un groupement politique particulier.

Page 92: Protection des infrastructures critiques – gestion des risques et des

Edité par le

Ministère fédéral de l’Intérieur

Division KM 4

Alt-Moabit 101 D

10559 Berlin, Allemagne

www.bmi.bund.de

Rédaction :

Office fédéral pour la protection des populations et l’assistance en cas de catastrophe

Direction générale II – Prévention des situations d’urgence et infrastructures critiques

Conception générale :

MEDIA CONSULTA Deutschland GmbH

Crédits photographiques :

Office fédéral pour la protection des populations et l’assistance en cas de catastrophe

Agence fédérale de secours technique

Impression :

Silber Druck oHG, Niestetal

Cette brochure peut être commandée gratuitement.

Service d’envoi des publications du gouvernement fédéral

Postfach 48 10 09

18132 Rostock, Allemagne

Téléphone : +49 18 05-77 80 90

(14 centimes la minute depuis un poste fixe en Allemagne,

prix différents à partir d’un réseau de téléphonie mobile ; dernière mise à jour sept. 2007)

Télécopieur : +49 18 05-77 80 94

(14 centimes la minute depuis un poste fixe en Allemagne,

prix différents à partir d’un réseau de téléphonie mobile ; dernière mise à jour sept. 2007)

e-mail : [email protected]

Référence / Artikelnummer : BMI08321

Les données personnelles communiquées en vue de l’envoi sont effacées une fois la livrai-

son effectuée.