Protection des infrastructures critiques gestion des risques et des crises. Manuel destiné aux entreprises et aux administrations

Protection des infrastructures critiques gestion des risques et des crises Manuel destiné aux entreprises et aux administrations www.bmi.bund.de www.bmi.bund.de

Préface L existence de notre société dépend de sa capacité à assurer son approvisionnement en produits, fonctions et services les plus divers. Garantir la protection des établissements vitaux s inscrit donc parmi les missions fondamentales dévolues à l Etat en matière de mesures de sécurité préventives. Aujourd hui, face à la menace du terrorisme international et à la recrudescence des événements extrêmes, les défis pesant sur la protection des infrastructures critiques se font de plus en plus nombreux, tandis que les technologies de l information, qui interpénètrent tous les secteurs de la vie et de l économie, sont elles aussi soumises à de nouvelles menaces. La majorité des infrastructures devant être considérées comme critiques au sein de notre société étant détenues par des exploitants privés, l Etat et le secteur privé œuvrent main dans la main en Allemagne pour assurer la protection efficace des installations, des établissements et des systèmes concernés. Dans ce contexte, les autorités chargées de la sécurité apportent leur soutien aux entreprises en les faisant bénéficier de conseils, de mises en réseau et de recommandations concrètes. Le secteur privé apporte, quant à lui, son expertise et son expérience pratique à ce partenariat. Le présent manuel est le fruit de cette coopération. S adressant aux exploitants d infrastructures critiques, il vise à leur apporter une aide pour élaborer et perfectionner leur propre gestion des risques et des crises. Partant des recommandations générales figurant dans la brochure «Protection d infrastructures critiques concepts de base de protection» (ministère fédéral de l Intérieur, 2005), il expose plusieurs méthodes de mise en œuvre d une gestion des risques et des crises, tout en les assortissant d exemples et de check-lists. Lors de la conception de ce manuel, le ministère fédéral de l Intérieur, l Office fédéral pour la protection des populations et l assistance en cas de catastrophes ainsi que l Office fédéral pour la sécurité des techniques de l information ont été assistés par des experts de la pratique entrepreneuriale. Aussi le ministère fédéral de l Intérieur tient-il à exprimer ses remerciements à MM. Bernd Marquardt et Hans-Jürgen Penz Berufsgenossenschaft der Banken, Versicherungen, Verwaltungen, freien Berufe und besonderer Unternehmen Verwaltungs-Berufsgenossenschaft (Association mutuelle professionnelle d assurance contre les accidents, secteur administratif banques, assurances, administrations, professions libérales et entreprises spécifiques), M. Heinz-Peter Geil Commerzbank AG, Mme Sonja Altstetter Forschungszentrum Jülich GmbH, MM. Friedhelm Jungbluth et Jens Sanner Fraport AG, M. Uwe Marquardt Gelsenwasser AG, M. Wolfgang Czerni Infraprotect GmbH, M. Frank Tesch Trauboth Risk Management GmbH, M. Klaus Bockslaff VERISMO GmbH, ainsi qu à leurs collaboratrices et collaborateurs pour leur coopération tout au long des travaux qui ont donné naissance à ce manuel. Nous tenons également à remercier les partenaires suivants pour les conseils et suggestions qu ils ont bien voulu nous apporter : la société EnBW Regional AG, l Union générale des assureurs allemands (Gesamtverband der Deutschen Versicherungswirtschaft e. V.) ainsi que l Association allemande pour la sécurité dans le secteur privé (Arbeitsgemeinschaft für Sicherheit der Wirtschaft e. V.). Faisant suite à l adoption du plan KRITIS (mise en œuvre du plan national de protection des infrastructures d information critiques) par le cabinet fédéral durant l été 2007, le présent manuel constitue une nouvelle contribution du ministère fédéral de l Intérieur : visant à renforcer la protection des infrastructures critiques, il souligne l intérêt d une collaboration confiante et constructive entre l Etat et le secteur privé sur cet important chapitre de sécurité intérieure. Berlin, Janvier 2008 1

Sommaire Préface 1 Résumé 7 1. Introduction 9 2. Informations de base sur les infrastructures critiques 10 2.1 Secteurs 10 2.2 Environnement et caractéristiques 10 2.2.1 Evolution des menaces 10 2.2.2 Environnement socioéconomique 11 2.2.3 Caractéristiques particulières 12 2.3 Exigences juridiques relatives à la gestion des risques et des crises 13 3. Gestion des risques et des crises pour la protection des infrastructures critiques 14 3.1 Phase 1 : Planification préalable 15 3.1.1 Mise en place 15 3.1.2 Répartition des responsabilités 15 3.1.3 Ressources nécessaires 15 3.1.4 Clarification des obligations légales 15 3.1.5 Objectifs stratégiques de protection 15 3.1.6 Communication sur les risques 16 3.2 Phase 2 : Analyse des risques 16 3.2.1 Analyse de criticité 17 3.2.2 Identification des risques 18 3.2.2.1 Analyse des aléas et élaboration de scénarios 18 3.2.2.2 Analyse de vulnérabilité 19 3.2.2.3 Calcul des risques 20 3.2.2.4 Comparaison et évaluation des risques 21

3.3 Phase 3 : Mesures et stratégies préventives 21 3.3.1 Réduction des risques 21 3.3.2 Prévention des risques 22 3.3.3 Transfert des risques 22 3.3.4 Acceptation des risques (risques résiduels) 22 3.3.5 Expériences des assureurs de choses en matière de dommages 22 3.4 Phase 4 : Gestion des crises 3.4.1 L organisation de la gestion des crises 24 3.4.1.1 Plan de crise 24 3.4.1.2 Organisation structurelle 25 3.4.1.2.1 3.4.1.2.2 3.4.1.2.3 3.4.1.2.4 25 26 26 26 3.4.1.3 Organisation fonctionnelle 3.4.1.3.1 Circuits de signalement et alerte 3.4.1.3.2 Communication de crise 26 27 29 3.4.1.4 Quartier général de la cellule de crise 30 3.4.2 Maîtrise de la crise Cellule de crise Directeur de la cellule de crise Equipe de la cellule de crise Consultants au sein de la cellule de crise 22 30 3.4.2.1 Tableau de la situation 31 3.4.2.2 Evaluation de la situation, adoption et mise en œuvre de mesures 32 3.4.2.3 Contrôle 32 3.4.2.4 Garantie de la continuité d activité et de service 32 3.4.2.5 Retour à l activité normale 32 3.4.2.6 Documentation de la maîtrise de la crise 32 3.4.3 Suivi post-crise 33 3.4.4 Exercices 33 3.5 Phase 5 : Evaluation de la gestion des risques et des crises 34 Annexe I. Bibliographie 36 II. Abréviations 38 III. Définitions 39

IV. Liste des aléas Informations sur la nature, l exposition, l intensité et l impact, ainsi que sur les personnes à contacter 44 V. Listes de contrôle 47 V.1 Mesures préventives 48 V.1.1 Gestion de risques et de crises Généralités 48 V.1.2 Terrains, édifices, équipements Crues 49 V.1.3 Terrains, édifices, équipements Séismes 51 V.1.4 Terrains, édifices, équipements Tempêtes 51 V.1.5 Terrains, édifices Actes intentionnels d origine criminelle et / ou terroriste V.1.6 Installations et équipements Alimentation électrique 54 V.1.7 Installations et équipements Informatique 56 V.1.8 Installations et équipements Technologie de la communication 57 V.2 Audit de la gestion de crise V.2.1 Organisation générale 58 V.2.2 Personnel Généralités 63 V.2.3 Gestion de la crise Plan de pandémie (en particulier pandémie grippale) 58 64 V.3 Gestion de la crise V.3.1 Procédures générales en cas de crise 65 V.3.2 Procédures spéciales durant la crise 68 V.4 Retour d expérience 72 V.5 Exercices 73 V.6 Choix et aménagement d un QG de cellule de crise 52 65 75 VI. Exemple d une analyse des risques 79 VI.1 Analyse de criticité 79 VI.2 Analyse des aléas et élaboration de scénarios 80 VI.3 Analyse de vulnérabilité 81 VI.4 Calcul du risque 82 VI.5 Comparaison des risques 85

6

Résumé Le présent manuel propose une stratégie de gestion visant à aider les exploitants des infrastructures critiques, c est-à-dire des entreprises et des administrations, à identifier et répertorier les risques, à mettre en œuvre des mesures préventives et à gérer les crises de manière efficace. Le terme «infrastructure critique» désigne «les organisations et les établissements revêtant une importance particulière pour la collectivité publique et dont la défectuosité ou la perturbation provoqueraient des pénuries durables des approvisionnements, des dysfonctionnements considérables de la sécurité publique ou d autres conséquences dramatiques». L histoire récente a montré que les infrastructures peuvent subir des dommages et que la perturbation des processus critiques peut avoir de lourdes conséquences sociales et économiques. En effet, les catastrophes naturelles, les défaillances techniques, les erreurs humaines, les actes de nature terroriste ou criminelle ainsi que les conflits armés peuvent être à l origine de dégâts considérables. Pour les exploitants d infrastructures critiques, il est essentiel de savoir identifier ces sources de dommages et de s y préparer. En amont, l enjeu sera donc de réussir à appréhender et à réduire au maximum ces menaces tout en se préparant au mieux aux crises inévitables. Tout en aidant à surmonter les ravages engendrés par les crises, ce type de démarche apporte une contribution à la valeur ajoutée des entreprises, leur permet de respecter les exigences réglementaires en matière de sécurité, et soutient les administrations dans leur mission. La stratégie de gestion des risques et des crises proposée dans le présent manuel se compose de cinq phases : la planification d une gestion solide des risques et des crises ; l analyse des risques, dont nous décrirons les aspects fondamentaux ; la mise en œuvre de mesures préventives ; la gestion des crises, dont nous présenterons divers aspects ; et enfin l évaluation sur laquelle nous fournirons quelques précisions de la gestion des risques et des crises dans les établissements concernés. Par «établissement», nous entendons toute entreprise ou administration entrant dans la définition des infra structures critiques donnée ci-dessus. Phase 1 planification préalable au sein de l établissement Une préparation minutieuse de la gestion des risques et des crises est la condition sine qua non d une mise en œuvre réussie de tout ou partie du présent manuel. Préalablement à cette mise en œuvre, certaines questions fondamentales doivent être abordées comme l ancrage de la gestion des risques et des crises au sein de l établissement, la répartition des responsabilités, la mise à disposition des ressources nécessaires, la clarification des obligations légales de l établissement en matière de gestion des risques et des crises, et la détermination des objectifs stratégiques de protection qui devront être atteints par l entreprise ou l administration concernée. Phase 2 analyse des risques L analyse des risques permet à l établissement de bénéficier d un aperçu structuré sur ses processus individuels, sur les aléas auxquels ces processus peuvent être exposés et sur leur vulnérabilité intrinsèque. Grâce au recoupement des informations obtenues, l établissement peut analyser les risques pour tous les processus étudiés sur la base de scénarios individuels. Les informations recueillies peuvent faire l objet de comparaisons qui permettront d établir une image précise des risques, tout en dégageant des priorités. Confrontés aux objectifs stratégiques de protection déterminés en amont, les résultats de l analyse des risques sont soumis à une évaluation. Si la plupart de ces objectifs n ont pu être atteints, des mesures concrètes doivent être prises pour réduire les risques existants et alléger la gestion des crises. 7

Phase 3 mesures et stratégies préventives Les mesures préventives permettent de restreindre les risques pesant sur les processus et, par là-même, sur les prestations de services ou la production. Renforçant la résistance des établissements face aux crises, elles peuvent non seulement réduire le nombre d événements de crise, mais également leur intensité. Leur objectif est de protéger activement les éléments constitutifs de chaque établissement ou de créer des redondances. Il est également possible de prévenir, de transférer ou d accepter les risques. Cela étant dit, il faut reconnaître que dans la plupart des cas, éviter les risques a tendance à réduire la flexibilité de l entreprise ou de l administration concernée, tandis que le transfert des risques ne réduit pas les risques physiques. Il garantit uniquement une compensation financière loin, dans certains cas, de couvrir l étendue des dommages provoqués. Phase 4 gestion des crises Si, malgré les mesures préventives, une entreprise ou une administration venait à subir des dommages importants de quelque nature que ce soit, la gestion des crises devrait être à même d élaborer une procédure spéciale afin de surmonter la situation. La gestion des crises comprend des structures et des procédures qui diffèrent de celles utilisées en temps normal. En cas de crise, le pouvoir décisionnel est concentré afin de pouvoir réagir le plus rapidement possible et de manière adaptée à la situation. Les effets de la crise sont alors amoindris et le temps nécessaire à un retour à la normale réduit. 8 Phase 5 évaluation de la gestion des risques et des crises L évaluation reprend toutes les phases de la gestion des risques et des crises : elle consiste à vérifier les exigences réglementaires identifiées lors de la phase de planification, la pertinence des profils de risques établis, ainsi que l efficacité des mesures préventives et de la gestion des crises. Il convient d effectuer cette évaluation régulièrement. Des évaluations supplémentaires peuvent s avérer nécessaires, après la mise en œuvre des mesures, après un élargissement ou une modification de l établissement ou lors d une évolution des menaces. Les annexes du présent manuel comportent un exemple de mise en œuvre d analyse des risques ainsi que des listes destinées à contrôler les mesures appliquées au sein de l établissement. Pour toute question relative à ce manuel, veuillez contacter : Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Abteilung II Notfallvorsorge, Kritische Infrastrukturen Provinzialstraße 93 53127 Bonn Allemagne http://www.bbk.bund.de

1 Introduction Les infrastructures sont une composante essentielle de notre société hautement développée. Au quotidien, nous dépendons tous de leur disponibilité et nous attendons à pouvoir les utiliser sans restriction. Depuis 1997, la Fédération se penche sur la protection des infrastructures dites «critiques» afin de déterminer la nécessité de mesures de protection supplémentaires. Dans ce contexte, le terme d infrastructure critique désigne «les organisations et les établissements revêtant une importance particulière pour la collectivité publique et dont la défectuosité ou la perturbation entraîneraient des pénuries durables des approvisionnements, des dysfonctionnements considérables de la sécurité publique ou d autres conséquences dramati1 ques.» Aléas naturels, défaillances techniques, erreurs humaines et actes de nature criminelle ou terroriste menacent la disponibilité permanente de ces infrastructures qui, en cas de conflit armé en Allemagne, subiraient des dommages considérables. Depuis quelques années, les menaces n ont cessé de changer de visage. Qu il s agisse d aléas naturels ou d actes volontaires à mobiles criminels ou terroristes, force est de constater une recrudescence d événements extrêmes confrontant la société à de nouveaux défis. Parallèlement aux menaces, la vulnérabilité des infrastructures a elle aussi évolué. La plupart de leurs systèmes sont aujourd hui reliés les uns aux autres sous une forme ou une autre et de fait, toute perturbation dans un domaine quel qu il soit peut se répercuter dans un autre lieu, dans une autre branche ou un autre secteur, et avoir ainsi des conséquences bien au-delà de son point d origine. 1 Les ressources financières et humaines dont disposent les exploitants d infrastructures critiques pour protéger leurs systèmes étant limitées, il est particulièrement important de les employer avec efficacité. Pour ce faire, il est indispensable de connaître les dangers et les risques existants tout en ayant la possibilité de comparer et d évaluer ces risques afin d en déterminer les caractéristiques principales. Une fois cette analyse réalisée, des mesures de protection précises pourront être mises en œuvre. Le présent document («Protection des infrastructures critiques - gestion des risques et des crises, manuel destiné aux entreprises et aux administrations) est le fruit commun d acteurs issus de plusieurs entreprises et administrations et d un organisme scientifique. Il s adresse à tous les secteurs et vise à servir d instrument d auto-analyse aux entreprises et aux administrations. Associant principes théoriques sur la gestion des risques et des crises et listes pratiques, ce document donne également un exemple d analyse des risques afin de permettre aux entreprises et aux administrations de développer ou de consolider, seules ou avec une aide extérieure, une gestion efficace des risques et des crises. Pour la Fédération, le présent manuel vise avant tout à réduire les répercussions des événements extrêmes sur les infrastructures critiques et à améliorer la gestion des crises prévisibles. Définition des infrastructures critiques établie par le groupe de travail KRITIS du ministère fédéral de l Intérieur (BMI) le 17 novembre 2003. 9

2 Informations de base sur les infrastructures critiques 2.1 Secteurs 2.2.1 Evolution des menaces Au sens de la définition des infrastructures critiques donnée dans l introduction, les entreprises et les administrations sont essentiellement présentes dans les secteurs suivants : La perturbation des processus critiques des systèmes des infrastructures critiques peut entraîner de lourdes conséquences sur le plan social et économique. Si les exemples qui suivent ne permettent pas de conclure catégoriquement à une tendance à l aggravation des menaces, ils confirment néanmoins la nécessité de disposer d une protection durable des infrastructures critiques. énergie (électricité, hydrocarbures et gaz), approvisionnement (eau, denrées alimentaires, services de santé et d urgence), technologies de l information et de la communication (TIC), transport et circulation, substances dangereuses (industrie chimique et substances biologiques), banques et finances, pouvoirs / services publics et justice, médias, grands instituts de recherche et biens culturels. 2.2 Environnement et caractéristiques Les perturbations qu ont subies dans l histoire récente les infra structures critiques ont révélé deux caractéristiques récurrentes. Première caractéristique : les infrastructures ont été exposées à des incidences de large échelle, découlant en particulier d aléas naturels. Les dommages se sont étendus sur le plan régional, suprarégional, national ou encore européen (exemple : inondations de l Elbe en 2002 et ouragan Kyrill en 2007). Seconde caractéristique : dysfonctionnements et dommages locaux ont entraîné des perturbations qui se sont propagées bien au-delà de la zone d origine en raison d interactions et de liens dépassant les frontières géographiques et les systèmes (exemple : coupure d un fil électrique au-dessus de l Ems en 2006 ayant causé des pannes d électricité dans certaines parties de l Europe). Ainsi, l environnement et les propriétés des infrastructures critiques ont non seulement changé, mais continuent également d évoluer au fil du temps. Dans la partie qui suit, nous en analyserons les composantes clés afin d établir les bases qui permettront d élaborer une gestion adéquate des risques et des crises. Evénements météorologiques extrêmes Les événements extrêmes peuvent avoir des conséquences directes sur les systèmes des infrastructures. A l heure actuelle il est encore difficile, en Allemagne, de se prononcer de manière définitive sur l évolution des événements météorologiques extrêmes due au changement climatique : les informations collectées jusqu ici sur le réchauffement climatique et ses répercussions sur le pays ne sont pas encore suffisantes. Toutefois, les données relevées commencent à révéler certaines tendances telles que l augmentation des précipitations abondantes tendances qui se sont confirmées en 1997 avec la crue de l Oder, en 2002 avec celle de l Elbe et en 2005 dans les Alpes2. Menaces sanitaires (pandémie de grippe) Le siècle dernier a été frappé par plusieurs pandémies de grippe. Particulièrement sévère, celle de 1918 (la grippe espagnole) fit plus de 50 millions de victimes. Aujourd hui, on estime que l apparition par mutation d un nouveau virus extrêmement dangereux pour l homme n est qu une question de temps. Aujourd hui, toute nouvelle pandémie de grippe se propagerait dans le monde entier, et notamment en Allemagne, par le biais des points de jonction des réseaux de transport internationaux. Dès lors, toutes les sphères de notre société, y compris l ensemble des entreprises et des administrations, seraient menacées. Dans la mesure où les pandémies peuvent avoir des répercussions sur la demande de produits et de services, les infrastructures économiques et la société tout entière seraient également mises en danger. Un grand nombre de ressources et de services disparaîtraient ou se 2 10 Rahmstorf et al., 2006, page 70.

Informations de base sur les infrastructures critiques verraient proposés de manière réduite. Cette dépendance réciproque aurait pour conséquence un effet domino qui pourrait mener à la paralysie d une grande partie de l Etat, de l économie et de la société3. D après les simulations effectuées pour l Allemagne, entre 15 et 50 % de la population pourrait être touchée4. Outre les employés malades, d autres ne se rendraient pas à leur travail afin de soigner les membres de leur famille atteints ou simplement de peur d être contaminés, ce qui aurait pour conséquence d augmenter considérablement le taux d absentéisme. Terrorisme international Aujourd hui, le terrorisme international s organise en réseaux de structure lâche dont les différentes cellules ne sont plus reliées que par des objectifs communs chaque cellule opérant en large partie indépendamment des autres, sans structure centrale. Agissant dans la plus grande discrétion, ces réseaux font preuve de flexibilité et de rapidité5. En Allemagne, il n est pas à exclure que les systèmes des infrastructures soient frappés par des attaques terroristes. En 2006, des attaques contre deux trains régionaux de la Deutsche Bahn ont échoué pour des raisons techniques. En 2007, un projet d attentat contre plusieurs sites américains implantés en Allemagne a pu être découvert et déjoué à temps. Technologie de l information Tous les jours ou presque, les médias relatent des cas de piratage informatique ou d espionnage industriel et économique. Parallèlement à ces menaces, les défaillances techniques de matériel ou de logiciels ou encore une simple erreur humaine dans l utilisation des TIC peuvent entraîner des répercussions et des dommages importants sur les infrastructures critiques. La panne d électricité à grande échelle qu ont connue les Etats-Unis et le Canada en 2003, due en grande partie à une défaillance de la technologie de contrôle, en est un exemple typique. Autre exemple : celui de l effondrement de l ensemble du système de cartes EC en Suisse en 2000, provoqué par un dysfonctionnement dans un centre de calcul. 2.2.2 Environnement socioéconomique Une dépendance croissante Aujourd hui, entreprises et administrations sont de plus en plus dépendantes de services et de produits qui leur sont externes. A cet égard, l approvisionnement en électricité occupe une place particulièrement importante car la quasitotalité des services reposent plus ou moins directement sur le bon fonctionnement du réseau électrique. 3 Perception subjective des risques Les entreprises et les administrations investissent beaucoup dans la sécurité de leurs établissements et partent du principe que ces investissements sont efficaces. La plupart du temps, cependant, les effets positifs des mesures de sécurité sont difficilement mesurables. Plutôt que de mesurer, la tendance sera donc de considérer les longues périodes exemptes de crises comme une confirmation de l efficacité des mesures qui ont été prises. Or, ce raisonnement peut amener à ne plus savoir repérer les dangers potentiels ni les domaines vulnérables. Dans la pratique, les risques qui sont identifiés sont souvent ceux qui semblent gérables ou contrôlables et dont la relation de cause à effet apparaît comme évidente6. Les autres risques sont partiellement ignorés, consciemment ou non si bien que lors de la mise en œuvre de mesures préventives, les répercussions éventuelles de tels risques ne sont pas prises en compte. Evolution démographique En Allemagne, du fait de l évolution de la pyramide des âges et des répercussions des migrations sur la densité de population, les infrastructures critiques doivent répondre à de nouveaux défis ce qui ne va pas sans influencer certains aspects essentiels de la sécurité. Une baisse des besoins en eau, et donc une réduction de la distribution d eau au consommateur final, pourraient par exemple entraîner des problèmes d ordre sanitaire dans les usines de distribution d eau. Evolution de l environnement économique7 Les évolutions du marché comme celles qu engendrent la libéralisation économique ou encore la privatisation d infra structures étatiques peuvent elles aussi influencer le niveau de sécurité et les investissements afférents aux mesures de sécurité. Aujourd hui, la concurrence et la pression sur les prix tendent à créer un environnement qui laisse peu de place à des mesures de sécurité telles que les systèmes redondants et autres marges de sécurité. Si les exigences des réglementations en vigueur sont la plupart du temps respectées, il est néanmoins possible, grâce à des méthodes de calculs de plus en plus précises, de profiter d une certaine latitude d appréciation et de réduire les marges de sécurité. Or, ce sont précisément ces marges qui peuvent venir à manquer en cas de situation de crise. Office fédéral pour la protection des populations et l assistance en cas de catastrophes, 2007. 4 Institut Robert Koch, 2007, page 4. 6 Dost, 2006. 5 Cf. Lewis, 2006, page 1. 7 Cf. International Risk Governance Council, 2006, pages 11 17. 11

2.2.3 Caractéristiques particulières Interconnexion au sein des secteurs C est grâce à des réseaux physiques, virtuels ou logiques que les infrastructures peuvent desservir des zones à large échelle. En croissance constante et de plus en plus complexes, ces réseaux sont constitués de nœuds qui sont autant de points névralgiques pouvant s avérer vulnérables et dont la perturbation entraînerait des défaillances aux niveaux régional, suprarégional, national voire mondial. Or, c est sur ce type de réseau que reposent notamment l approvisionnement en électricité, en eau et en gaz ainsi que les technologies de l information et de la communication. Interconnexions entre les secteurs (interdépendance) Les systèmes des infrastructures se caractérisent par leur haut degré d interconnexion. Du fait du développement extrêmement rapide qu ont connu les technologies de l information durant les quinze dernières années, cette évolution s est accélérée. Aujourd hui, les interconnexions entraînent non seulement une amélioration des processus d approvisionnement, mais également des interdépendances dont la portée ne peut faire l objet, dans bien des cas, que d une estimation qualitative. Nombre de dépendances physiques, virtuelles ou logiques ne sont en effet découvertes qu en cas de crise, c est-à-dire le jour où elles viennent à manquer. Un haut degré d interdépendances peut en effet déclencher des pannes en cascade8. Dans le même temps, il suffit de dysfonctionnements de plus en plus minimes pour que des systèmes complexes soient victimes de conséquences dramatiques («paradoxe de vulnérabilité9»). Le schéma 1 illustre la dépendance réciproque (interdépendance) d un certain nombre d infrastructures critiques. Dans un premier temps, seules les dépendances directes existant entre les différents secteurs et les différentes branches ont été prises en compte. Evolution de l environnement technologique Les technologies, en particulier celles de l information, évoluent à un rythme effréné. Souvent, les derniers développements ne s appliquent qu à certains domaines. Les nouveaux composants côtoient alors les anciens et sont introduits dans des procédures déjà vieillissantes. L insuffisance de tests, le manque de finition et les défaillances des nouveaux équipements et logiciels informatiques vers lesquels certaines migrations n ont en outre pas été prévues, l incompatibilité des systèmes ainsi que le manque de formation des employés relative à ces nouveaux composants entraînent des failles dans la sécurité qui, dans certaines circonstances, pourraient provoquer la défaillance du système tout entier. Types de sinistres Les infrastructures critiques peuvent être confrontées à de nombreux types de sinistres. Il peut s agir de dommages corporels, matériels, économiques ou encore psychologiques tels qu une inquiétude constante ou encore la perte de confiance de la population envers les autorités politiques. 8 Cf. Lewis, 2006, page 57. 9 Rosenthal, 1992, pages 74 75. Illustration 1 : Interdépendances entre certaines infrastructures critiques Organismes de recherche Gouvernement, administrations Biens culturels Radio Substances dangereuses Soins de santé Services financiers et assurances Services d urgence et de secours Approvisionnement en eau et traitement de l eau Approvisionnement en énergie (électricité, hydrocarbures, gaz) Transport, circulation, logistique et services postaux Technologies de l information et de la communication Approvisionement en denrées alimentaires 12

Informations de base sur les infrastructures critiques 2.3 Exigences juridiques relatives à la gestion des risques et des crises Actuellement, un certain nombre d exigences juridiques générales régissent la gestion des risques et des crises dans les sociétés anonymes (SA) et les grandes entreprises à responsabilité limitée (SARL). Dans le secteur financier, un certain nombre de dispositions particulières revêtent un caractère obligatoire dans la pratique comme le respect d un niveau minimal d exigences en matière de gestion des risques (MaRisk). Dans ces dispositions, le concept de sécurité de l entreprise englobe la protection des personnes et des biens matériels tels que les bâtiments et les installations ainsi que le maintien de l activité commerciale en cas de dysfonctionnement ou de crise quels qu ils soient (crise boursière, catastrophe naturelle ou attaque terroriste). La loi allemande sur le contrôle et la transparence dans l entreprise (KonTraG) ajoute à celle sur les sociétés anonymes l obligation de mettre en place un système de surveillance pour gérer les risques de l entreprise. Cette loi concerne uniquement les sociétés anonymes mais s applique également, dans la pratique, aux sociétés en commandite par actions et aux grandes SARL en particulier celles qui possèdent un conseil de surveillance, qu il soit facultatif ou soumis aux règles de la cogestion. Les risques liés au marché sont souvent gérés dans le respect de la loi allemande sur le contrôle et la transparence dans l entreprise. En revanche, les risques sécuritaires10 et les risques liés aux catastrophes naturelles sont souvent sousestimés, bien que la loi s applique à tous les risques pouvant menacer l existence d une entreprise. En vertu de l article 91, paragraphe 2, de la loi allemande sur les sociétés anonymes, le directoire de telles sociétés, leur conseil de surveillance et leurs commissaires aux comptes sont tenus de «...prendre les mesures qui s imposent, dont la mise en place d un système de surveillance, afin d identifier au plus tôt l apparition d évolutions menaçant le maintien de l entreprise». Le législateur ne mentionnant aucune méthode de référence, la mise en œuvre concrète de ces mesures reste toutefois à l appréciation de chaque entreprise. Cela étant dit, le système de surveillance interne doit permettre d identifier à temps l apparition d évolutions dangereuses c est-à-dire suffisamment tôt pour que les mesures garantissant le maintien de l activité de l entreprise puissent être prises. Au sein de chaque société, la direction a donc l obligation légale de mettre en place un système efficace de gestion des risques. En cas de manquement à cette obligation, le commissaire aux comptes peut refuser de certifier la comptabilité de l entreprise. Ce dernier est par conséquent tenu de vérifier que le directoire a pris soin de mettre en place un système adéquat pour gérer les risques (article 317, paragraphe 4, du code du commerce allemand). Outre l évaluation des risques, ce système doit comprendre l étude de toutes les causes possibles d arrêt de l activité de l entreprise, la mise en place de mesures systématiques permettant d éviter de tels arrêts, ainsi que l établissement et la révision régulière d un plan 11 d urgence. Au titre de l article 76, paragraphe 1, de la loi allemande sur les sociétés anonymes, la mise en place d un système de surveillance fait partie des obligations générales du directoire. En cas de sinistre et de négligence entraînant sa responsabilité, ce dernier peut donc, comme le stipule l article 93, paragraphe 2, de ladite loi, être condamné au paiement de dommages et intérêts. A l instar de la loi allemande sur le contrôle et la transparence dans l entreprise, le droit européen harmonisé des assurances «Solvabilité II» exige lui aussi que la gestion des risques en entreprise tienne compte de tous les risques auxquels les assureurs peuvent être confrontés. En incluant les risques possibles dans les clauses du contrat, l assureur peut soumettre la couverture d assurance à la condition que l assuré prenne des mesures préventives ce qui revient implicitement à dire que l assuré doit disposer d un système de gestion des risques. En vertu de l article 6, paragraphe 1, de la loi allemande sur le contrat d assurance, tout manquement aux clauses de l assurance entraîne l annulation de la couverture. Destinés à minimiser les crises dans le secteur bancaire, les accords de Bâle II sur les capitaux propres exigent explicitement qu en cas de prêt, il ne soit pas seulement tenu compte des risques liés au marché et au crédit, mais également des risques opérationnels encourus par les banques. Même si les accords de Bâle II ne concernent que les institutions financières, il n est pas exclu que les banques exigent à leur tour des entreprises un compte-rendu relatif à leurs risques ce qui signifierait que l octroi de prêts dépendrait de l existence d un système de gestion des risques. Considérant et intégrant tous les risques de manière suffisante, un tel système réduirait les risques de défaut de paiement et permettrait la négociation de conditions de prêt plus avantageuses auprès des banques. 10 Voir à ce sujet : ministère fédéral de l Intérieur, 2005. 11 Cf. Bockslaff, 1999, page 109. 13

3 Gestion des risques et des crises pour la protection des infrastructures critiques Tel que nous l exposons dans le présent manuel, le concept de gestion des risques et des crises s inscrit dans un processus systématique et s articule autour de cinq phases différentes. Correspondant au champ que doit couvrir toute gestion des risques et des crises liée aux processus dans les entreprises et les administrations, ces cinq phases sont les suivantes : une phase de planification préalable visant à élaborer une gestion des risques et des crises (phase 1), une analyse des risques (phase 2), la description de mesures préventives (phase 3), la mise en place d une gestion des crises (phase 4) et l évaluation régulière des phases 1 à 4 (phase 5). Le schéma 2 illustre ce concept et son déroulement. La gestion des risques et des crises que nous décrivons ici repose sur un cycle général de gestion PDCA («Plan, Do, Check, Act»). Cette démarche permet d intégrer ladite gestion dans des structures de gestion déjà existantes telles que la gestion de la qualité, la gestion des risques et des crises déjà en place ou encore la gestion des processus propre à l établissement concerné. Dans ce contexte, le terme «établissement» désigne les entreprises et les administrations entrant dans la définition des infrastructures critiques donnée en introduction. Illustration 2 : C oncept en cinq phases de la gestion des risques et des crises12 Illustration 3 : P rocessus de gestion des risques et des crises selon le cycle PDCA13 Phase 1 : Planification préalable ACT Phase 2 : Analyse des risques Analyse de criticité PLAN Mesures préventives Mise en place d un système de gestion des crises Planification Comparaison des risques Estimation des risques Vérification des objectifs de protection Evaluation Analyse de criticité Identification des risques Identification des risques Analyse des dangers Analyse de vulnérabilité Calcul du risque Comparaison des risques, évaluation des risques Objectifs opérationnels de protection Objectifs de protection stratégiques et opérationnels remplis? Phase 5 : Evaluation Communication relative aux risques, documentation sur tous les processus Elaboration / consolidation de la gestion des risques et des crises Objectifs stratégiques de protection CHECK DO Oui Non Phase 3 : Mesures préventives 12 Phase 4 : Gestion des crises Cf. Australian / New Zealand Standard, 2004, page 13 et Trauboth, 2002, page 23. 13 Cf. Gesellschaft für Anlagen- und Reaktorensicherheit (Société allemande pour la sûreté des installations et des réacteurs nucléaires), 2007, page 21. 14

Gestion des risques et des crises pour la protection des infrastructures critiques 3.1 Phase 1 : Planification préalable 3.1.3 Ressources nécessaires La mise en place réussie d une gestion des risques et des crises au sein d une entreprise ou d une administration passe par une planification minutieuse. Les besoins relatifs à la mise en place d une gestion des risques et des crises doivent être estimés en amont. Si cela s avère nécessaire, un groupe de travail interdisciplinaire formé d employés de l établissement peut être constitué pour assister le chef de projet et se charger d un certain nombre de tâches bien délimitées. Il est avantageux que les membres du groupe de travail aient une vue d ensemble sur la structure de l entreprise ou de l administration concernée et il est préférable que tous les échelons de la hiérarchie soient représentés au sein dudit groupe de travail. Avant de mettre en pratique le présent manuel, il convient de répondre à certaines questions de fond. Ces questions porteront avant tout sur les points suivants : la manière dont la direction de l établissement concerné met en place la gestion des risques et des crises, l adhésion à la méthode adoptée, la répartition des responsabilités, l allocation des ressources nécessaires et l établissement d objectifs stratégiques de protection. 3.1.1 Mise en place C est à la direction qu il revient de lancer la création ou la consolidation de la gestion des risques et des crises, et de définir clairement les objectifs poursuivis. Ladite gestion doit être non seulement mise en œuvre mais également appliquée au niveau opérationnel. Le personnel doit être impliqué dans le processus. Des efforts particuliers doivent être déployés pour faire prendre conscience des risques à l ensemble du personnel de l établissement (par le biais d une politique des risques ferme et transparente) : en effet, la qualité de la gestion des risques dépend en large partie de l adhésion et de la motivation des employés. 3.1.2 Répartition des responsabilités La mise en place d une gestion des risques et des crises doit de préférence être dirigée par un chef de projet spécialisé, qui sera responsable du contenu du projet et consultera, si besoin est, la direction de l établissement. Il serait judicieux de choisir ce chef de projet au sein de l entreprise ou de l administration concernée. Les décisions majeures liées soit à la mise en place soit à la consolidation de la gestion des risques et des crises seront prises par la direction de l établissement notamment lorsqu il s agira de questions touchant à l octroi de ressources financières ou humaines. Si l établissement ne dispose pas de l expertise nécessaire en matière de gestion des risques et des crises, il est possible de former le personnel interne ou de combler les lacunes en faisant appel à des prestataires externes. Les ressources nécessaires à la mise en œuvre de la gestion des risques et des crises devront être identifiées au cours du projet. 3.1.4 Clarification des obligations légales Dans le cadre de la planification préalable à la mise en place d une gestion des risques et des crises, il est nécessaire de clarifier les obligations légales. 3.1.5 Objectifs stratégiques de protection La mise en place d une gestion des risques et des crises nécessite de formuler des objectifs stratégiques de protection. Ils définissent les buts à atteindre sur l ensemble du processus. Les objectifs de protection sont fortement influencés par des aspects éthiques, opérationnels, techniques, financiers, légaux, sociaux et environnementaux14. Ils présentent les caractéristiques suivantes : ils décrivent les buts à atteindre, ils apportent des solutions pour la mise en place des différentes mesures et ils sont spécifiques, mesurables, réalisables, réalistes et définis dans le temps. Dans la mesure où il est très difficile de définir à l avance les responsabilités qui devront être attribuées dans le cadre de la mise en œuvre de la gestion des risques et des crises, ces responsabilités seront établies au fur et à mesure. 14 Australian / New Zealand Standard, 2004, page 15. 15

En voici quelques exemples : déterminent son efficacité : la confiance que l audience accorde à la source et la crédibilité de cette dernière.16 meilleure protection possible pour le personnel et les autres personnes présentes (les clients, par exemple), le maintien des capacités de fonctionnement de l établis- 3.2 Phase 2 : Analyse des risques sement, même en cas de situation extrême, respect des obligations légales, prévention contre d importants dommages économiques et prévention contre une éventuelle dégradation de l image de l établissement. 3.1.6 Communication sur les risques D une manière générale, la communication sur les risques concerne «tous les processus de communication liés à l identification, l analyse, l évaluation et la gestion des risques ainsi que les interactions qui en découlent entre les personnes impliquées15». La communication sur les risques constitue une plateforme sur laquelle se déploient à la fois la conscience et l acceptation des risques au sein des entreprises et des administrations deux aspects indispensables à une gestion efficace des risques. Dans le contexte actuel, les établissements doivent clairement différencier communication interne et communication externe. L analyse des risques structure et objective les informations accumulées sur les dangers et les risques dans les entreprises et les administrations. Dans le présent manuel, les risques se rapportent à des processus et à leurs éléments constitutifs. Or, c est précisément en analysant divers processus avec leurs éléments constitutifs que la phase 2 fait ressortir les risques sous-jacents pour les établissements tout en permettant d établir des comparaisons grâce auxquelles il sera possible de déterminer des degrés d urgence et d établir des priorités entre les mesures à même d avoir un impact décisif sur les risques identifiés. Ce faisant, l analyse des risques jette les bases d un travail efficace avec des ressources financières et humaines limitées. L analyse des risques au sens où l entend le présent manuel répond aux questions suivantes : Quels sont les types d aléas pouvant se manifester? Quelles sont les probabilités que ces aléas se manifestent sur les sites de l établissement? Quels sont les points vulnérables sensibles aux incidences La communication interne sur les risques se réfère à toutes les interactions communicatives touchant de près ou de loin aux risques au sein même de l établissement de la mise en place du système à l évaluation de la gestion des risques. Au moment de la mise en place du système, il convient d apporter une attention particulière à la communication interne : il est en effet primordial d établir aussi tôt que possible un dialogue avec les futurs responsables sur l objet et les objectifs de la gestion des risques. La réussite de la communication interne sur les risques est déterminante pour une bonne communication externe. La communication externe sur les risques ne se contente pas d informer et d instruire les médias et les personnes concernées. Elle vise également à établir un dialogue personnalisé avec chaque interlocuteur. Dans ce contexte, il faut garder à l esprit qu en matière de communication sur les risques, tout malentendu entre émetteur et destinataire du message doit être évité. A titre d exemple, l expérience montre que les risques ne sont pas perçus de la même manière par les spécialistes et par les profanes. Afin d éviter toute issue inacceptable, la communication externe sur les risques doit toujours se faire au bon moment et de manière claire. Elle doit également être adaptée au destinataire, cohérente et fiable. Deux facteurs de l aléa? Ces questions montrent que l analyse des risques inhérents à un processus et à ses éléments constitutifs renseigne non seulement sur les aléas, mais également sur la vulnérabilité dudit processus et de ses éléments constitutifs. Le présent manuel traite de processus opérationnels. Ces processus se décomposent en processus clés et en processus d accompagnement. Dans la mesure où nous n opèrerons aucune distinction entre ces deux types de processus dans les parties qui suivent, nous parlerons simplement de processus et sous-processus. Par sous-processus, nous entendrons dans le présent manuel les différentes parties d un processus. Le point de départ d une analyse des risques consiste à subdiviser l entreprise ou l administration en processus et en sous-processus. L établissement décide lui-même du niveau de subdivision à adopter. Par exemple, une salle de contrôle identifiée comme faisant partie d un processus pourra être définie comme sous-processus qui pourra, à son tour, être subdivisé en plusieurs autres sous-processus. Plus la subdivision est précise, plus l analyse des risques sera coûteuse en 17 temps et en argent ; mais elle n en sera que plus pertinente. 15 Jungermann et al., 1991, page 5. 16 Vous trouverez de plus amples renseignements sur la planification 16 17 Vous trouvez de plus amples renseignements sur les processus et la de la communication sur les risques dans Wiedemann et al., 2000, représentation des processus dans Gesellschaft für Anlagen- und ainsi que dans Gray et al., 2000. Reaktorsicherheit 2007.

Gestion des risques et des crises pour la protection des infrastructures critiques tinés à la production, au stockage ou à l administration, et les garages. Illustration 4 : P rocessus, sous-processus et éléments de risque Début du processus Début du processus Installations et appareils : Les installations et les appareils des sous-processus peuvent se trouver à tous les niveaux de la chaîne de production de l établissement, et plus particulièrement dans les domaines suivants : Fin du processus Sous-processus 3 Sous-processus divisés en trois autres sous-processus Sous-processus 3.1 Sous-processus 3.2 Sous-processus 3.3 Eléments de risque : Personnel Terrains Bâtiments Installations et appareils Installations et appareils spécifiques à l établissement Données et documents Moyens de production REMARQUE IMPORTANTE : L identification des éléments de risque à la fois pertinents et spécifiques à l établissement concerné est l un des facteurs déterminants pour la réussite de l analyse des risques. Il est en effet fréquent que les processus critiques dépendent directement des installations et des appareils spécifiques à chaque établissement. Le schéma 4 représente un processus et ses sous-processus ainsi qu un exemple de subdivision d un sous-processus en plusieurs autres sous-processus avec les éléments dont ils sont constitués. Par éléments constitutifs des sous-processus, nous entendons les facteurs contribuant au bon fonctionnement d un processus. Dans le présent manuel, nous qualifions ces éléments d «éléments de risque» : éléments individuels matériels ou immatériels, ils sont susceptibles d être endommagés ce qui pourrait entraîner la perturbation du sous-processus en question. Le présent manuel traite des éléments de risque suivants : Autres installations et appareils spécifiques à l établissement : Dans cette catégorie sont compris toutes les installations 18 spéciales et tous les appareils spéciaux. Données et documents : Sont considérées comme données et documents toutes les informations sous format électronique ou sur papier nécessaires au maintien de l activité de sous-processus donnés au sein de l établissement. Vies humaines (personnel et autres personnes présentes) : Il est essentiel de protéger de manière suffisante toutes les personnes présentes contre les incidences des aléas et de les mettre à l abri en cas de danger imminent. A cet effet, l ensemble des entreprises et des administrations sont tenues de prendre certaines précautions afin de garantir aux personnes présentes la meilleure protection possible en cas d incident et ce, avant l arrivée et après le départ des pompiers, des secours et de la police. Au regard du maintien du fonctionnement des sous-processus, les employés et en particulier le personnel spécialisé constituent des éléments de risque. Terrains : Font partie des terrains toutes les surfaces en plein air destinées à la circulation, au stockage ou au parking, les espaces verts et les aires essentielles à l activité de l établissement. Bâtiments : Les bâtiments comprennent toutes les structures construites en souterrain ou en surface, comme les bâtiments des- approvisionnement en électricité, approvisionnement en gaz, chauffage urbain, approvisionnement en eau, technologies de l information (TI), technologies de la communication (TC) et transports (y compris les véhicules et le carburant). Moyens de fonctionnement : Dans le présent manuel, les moyens de fonctionnement comprennent tous les moyens de production ne figurant pas dans les points précédents. 3.2.1 Analyse de criticité L analyse de criticité permet d identifier quels sont, parmi tous les processus de l établissement concerné, ceux dont la perturbation aurait des conséquences importantes sur l entreprise ou l administration en question. Appelés processus critiques, ils doivent être protégés de manière suffisante par 18 Exemples : Eléments de contrôle, logiciels, appareils médicaux, installations techniques particulières dans les bâtiments, sas de sécurité, dépôts de carburant, avions. 17

le biais de mesures adaptées. Dans un premier temps, l identification des risques, et tout particulièrement les mesures préventives retenues pour réduire ces risques, doivent s intéresser aux éléments de risque des sous-processus issus des processus critiques. des sous-processus qui les composent ainsi que des éléments de risque que comportent ces sous-processus. L identification des processus critiques peut s appuyer sur les critères suivants19 : Les risques encourus par un établissement sont déterminés non seulement par les aléas susceptibles de se manifester sur son site (ou ses sites) et de menacer les éléments de risque, mais également par la vulnérabilité desdits éléments. C est en rapprochant les informations pertinentes sur ces aléas et cette vulnérabilité qu il est possible de calculer les risques pesant sur les éléments examinés et à condition de les regrouper sur les sous-processus analysés. Dans le présent manuel, les risques pesant sur les éléments de risques seront appelés risques partiels, tandis que l ensemble des risques pesant sur les sous-processus sera désigné par le terme de risques globaux. Dans la partie qui suit, nous nous attacherons à décrire les différents aspects de l identification des risques. Vie et santé humaines : Quelles sont les répercussions de la perturbation du processus sur la vie et la santé humaines? Facteur temporel : En combien de temps la perturbation du processus se répercute-t-elle sur l ensemble de la production de biens ou de services de l établissement? Plus ce laps de temps est court, plus le processus est critique. Volume : Quel volume de l ensemble des biens et services serait concerné en cas de perturbation ou d arrêt total du processus étudié? Conséquences contractuelles, réglementaires et légales : Quelles répercussions la perturbation du processus en question aurait-elle sur l établissement d un point de vue contractuel, réglementaire et légal? Dommages économiques : A combien peuvent être estimés les dommages économiques subis par l établissement du fait de la perturbation du processus en question? C est à l établissement concerné qu il revient de déterminer les critères à prendre en compte et à considérer parallèlement, et la classification à adopter. L analyse de criticité aboutit à l identification et au listage de tous les processus critiques au sein de l entreprise ou de l administration concernée, et permet de dresser une description 19 The Business Continuity Institute, 2005, page 26. 20 L annexe IV fournit un aperçu des dangers éventuels et de leurs 3.2.2 Identification des risques 3.2.2.1 Analyse des aléas et élaboration de scénarios Une analyse des risques réussie passe par l identification et la documentation de tous les aléas pertinents. La première étape de l analyse des aléas et de l élaboration de scénarios consiste à lister les aléas pouvant se manifester sur le(s) site(s) de l établissement. Cette liste complète indique les caractéristiques générales desdits aléas, leur intensité, leur durée ainsi que leurs 20 éventuelles conséquences. Grâce à la liste des aléas spécifiques à un site, il est ensuite possible d établir plusieurs scénarios. Ces derniers contiennent des informations complémentaires nécessitées dans le cadre de l analyse des risques et de la gestion des crises. Les scénarios doivent mettre en scène des événements réalistes pouvant mener à une situation de crise. Le nombre de scénarios abordés dans l analyse sera déterminé par le professionnel en charge de la gestion des risques et des crises l objectif étant de couvrir de manière la plus exhaustive possible tous les aléas potentiels. Chaque scénario devra comprendre les informations complémentaires suivantes : Degré d exposition attendu Quels sont les sous-processus et les éléments de risques susceptibles d être concernés? caractéristiques ainsi que d interlocuteurs pouvant être contactés pour l analyse de ces dangers. La liste des dangers donnée en annexe se limite aux événements liés aux catastrophes naturelles, aux défaillances techniques, aux erreurs humaines, aux actes intentionnels et aux conflits armés. Cette liste n est en aucun cas exhaustive et peut, le cas échéant, être complétée par les éléments propres à chac un et par des types de dangers supplémentaires. A titre d exemple, le présent manuel ne prend pas en compte les dangers survenant progressivement et pouvant entraîner des risques financiers, stratégiques ou de marché. 18 REMARQUE IMPORTANTE : La perturbation d un processus, d un sous-processus ou d un élément de risque est principalement déterminée par son degré d exposition. Tout comme les incidences sur le plan local, les expositions à grande échelle peuvent entraîner des pannes le critère déterminant étant le degré d atteinte des sous-processus et des éléments de risque.