www.bmi.bund.dewww.bmi.bund.de
Manuel destiné aux entreprises et aux administrations
Protection des infrastructures critiques – gestion des risques et des crises
1
L’existence de notre société dépend de sa capacité à assurer son approvisionnement en produits,
fonctions et services les plus divers. Garantir la protection des établissements vitaux s’inscrit donc
parmi les missions fondamentales dévolues à l’Etat en matière de mesures de sécurité préventives.
Aujourd’hui, face à la menace du terrorisme international et à la recrudescence des événements
extrêmes, les défis pesant sur la protection des infrastructures critiques se font de plus en plus nom-
breux, tandis que les technologies de l’information, qui interpénètrent tous les secteurs de la vie
et de l’économie, sont elles aussi soumises à de nouvelles menaces. La majorité des infrastructures
devant être considérées comme critiques au sein de notre société étant détenues par des exploitants
privés, l’Etat et le secteur privé œuvrent main dans la main en Allemagne pour assurer la protection
efficace des installations, des établissements et des systèmes concernés. Dans ce contexte, les autori-
tés chargées de la sécurité apportent leur soutien aux entreprises en les faisant bénéficier de conseils,
de mises en réseau et de recommandations concrètes. Le secteur privé apporte, quant à lui, son
expertise et son expérience pratique à ce partenariat.
Le présent manuel est le fruit de cette coopération. S’adressant aux exploitants d’infrastructures cri-
tiques, il vise à leur apporter une aide pour élaborer et perfectionner leur propre gestion des risques
et des crises. Partant des recommandations générales figurant dans la brochure « Protection d’infras-
tructures critiques – concepts de base de protection » (ministère fédéral de l’Intérieur, 2005), il expose
plusieurs méthodes de mise en œuvre d’une gestion des risques et des crises, tout en les assortissant
d’exemples et de check-lists. Lors de la conception de ce manuel, le ministère fédéral de l’Intérieur,
l’Office fédéral pour la protection des populations et l’assistance en cas de catastrophes ainsi que l’Office
fédéral pour la sécurité des techniques de l’information ont été assistés par des experts de la pratique
entrepreneuriale. Aussi le ministère fédéral de l’Intérieur tient-il à exprimer ses remerciements à
MM. Bernd Marquardt et Hans-Jürgen Penz – Berufsgenossenschaft der Banken, Versicherungen, ■
Verwaltungen, freien Berufe und besonderer Unternehmen – Verwaltungs-Berufsgenossenschaft
(Association mutuelle professionnelle d’assurance contre les accidents, secteur administratif – ban-
ques, assurances, administrations, professions libérales et entreprises spécifiques),
M. Heinz-Peter Geil – Commerzbank AG, ■
Mme Sonja Altstetter – Forschungszentrum Jülich GmbH, ■
MM. Friedhelm Jungbluth et Jens Sanner – Fraport AG, ■
M. Uwe Marquardt – Gelsenwasser AG, ■
M. Wolfgang Czerni – Infraprotect GmbH, ■
M. Frank Tesch – Trauboth Risk Management GmbH, ■
M. Klaus Bockslaff – VERISMO GmbH, ■ainsi qu’à leurs collaboratrices et collaborateurs pour leur coopération tout au long des travaux qui
ont donné naissance à ce manuel.
Nous tenons également à remercier les partenaires suivants pour les conseils et suggestions qu’ils ont
bien voulu nous apporter : la société EnBW Regional AG, l’Union générale des assureurs allemands
(Gesamtverband der Deutschen Versicherungswirtschaft e. V.) ainsi que l’Association allemande pour
la sécurité dans le secteur privé (Arbeitsgemeinschaft für Sicherheit der Wirtschaft e. V.). Faisant
suite à l’adoption du plan KRITIS (mise en œuvre du plan national de protection des infrastructures
d’information critiques) par le cabinet fédéral durant l’été 2007, le présent manuel constitue une
nouvelle contribution du ministère fédéral de l’Intérieur : visant à renforcer la protection des infras-
tructures critiques, il souligne l’intérêt d’une collaboration confiante et constructive entre l’Etat et le
secteur privé sur cet important chapitre de sécurité intérieure.
Berlin, Janvier 2008
Préface
�����������������������������������������������������
Préface 1
Résumé 7
1. Introduction 9
2. Informations de base sur les infrastructures critiques 10
2.1 Secteurs 10
2.2 Environnementetcaractéristiques 10
2.2.1 Evolutiondesmenaces 10
2.2.2 Environnementsocioéconomique 11
2.2.3 Caractéristiquesparticulières 12
2.3 Exigencesjuridiquesrelativesàlagestiondesrisquesetdescrises 13
3. Gestion des risques et des crises pour la protection des infrastructures critiques 14
3.1 Phase1:Planificationpréalable 15
3.1.1 Miseenplace 15
3.1.2 Répartitiondesresponsabilités 15
3.1.3 Ressourcesnécessaires 15
3.1.4 Clarificationdesobligationslégales 15
3.1.5 Objectifsstratégiquesdeprotection 15
3.1.6 Communicationsurlesrisques 16
3.2 Phase2:Analysedesrisques 16
3.2.1 Analysedecriticité 17
3.2.2 Identificationdesrisques 18
3.2.2.1 Analysedesaléasetélaborationdescénarios 18
3.2.2.2 Analysedevulnérabilité 19
3.2.2.3 Calculdesrisques 20
3.2.2.4 Comparaisonetévaluationdesrisques 21
Sommaire
3.3 Phase3:Mesuresetstratégiespréventives 21
3.3.1 Réductiondesrisques 21
3.3.2 Préventiondesrisques 22
3.3.3 Transfertdesrisques 22
3.3.4 Acceptationdesrisques(risquesrésiduels) 22
3.3.5 Expériencesdesassureursdechosesenmatièrededommages 22
3.4 Phase4:Gestiondescrises 22
3.4.1 L’organisationdelagestiondescrises 24
3.4.1.1 Plandecrise 24
3.4.1.2 Organisationstructurelle 25
3.4.1.2.1 Celluledecrise 25 3.4.1.2.2 Directeurdelacelluledecrise 26 3.4.1.2.3 Equipedelacelluledecrise 26 3.4.1.2.4 Consultantsauseindelacelluledecrise 26
3.4.1.3 Organisationfonctionnelle 26 3.4.1.3.1 Circuitsdesignalementetalerte 27 3.4.1.3.2 Communicationdecrise 29
3.4.1.4 Quartiergénéraldelacelluledecrise 30
3.4.2 Maîtrisedelacrise 30
3.4.2.1 Tableaudelasituation 31
3.4.2.2 Evaluationdelasituation,adoptionetmise
enœuvredemesures 32
3.4.2.3 Contrôle 32
3.4.2.4 Garantiedelacontinuitéd’activitéetdeservice 32
3.4.2.5 Retouràl’activiténormale 32
3.4.2.6 Documentationdelamaîtrisedelacrise 32
3.4.3 Suivipost-crise 33
3.4.4 Exercices 33
3.5 Phase5:Evaluationdelagestiondesrisquesetdescrises 34
Annexe
I. Bibliographie 36
II. Abréviations 38
III. Définitions 39
IV. Liste des aléas – Informations sur la nature, l’exposition, l’intensité et l’impact, ainsi que sur les personnes à contacter 44
V. Listes de contrôle 47
V.1 Mesurespréventives 48
V.1.1 Gestionderisquesetdecrises–Généralités 48
V.1.2 Terrains,édifices,équipements–Crues 49
V.1.3 Terrains,édifices,équipements–Séismes 51
V.1.4 Terrains,édifices,équipements–Tempêtes 51
V.1.5 Terrains,édifices–Actesintentionnelsd’originecriminelle
et/outerroriste 52
V.1.6 Installationsetéquipements–Alimentationélectrique 54
V.1.7 Installationsetéquipements–Informatique 56
V.1.8 Installationsetéquipements–Technologiedelacommunication 57
V.2 Auditdelagestiondecrise 58
V.2.1 Organisationgénérale 58
V.2.2 Personnel–Généralités 63
V.2.3 Gestiondelacrise–Plandepandémie
(enparticulierpandémiegrippale) 64
V.3 Gestiondelacrise 65
V.3.1 Procéduresgénéralesencasdecrise 65
V.3.2 Procéduresspécialesdurantlacrise 68
V.4 Retourd’expérience 72
V.5 Exercices 73
V.6 Choixetaménagementd’unQGdecelluledecrise 75
VI. Exemple d’une analyse des risques 79
VI.1 Analysedecriticité 79
VI.2 Analysedesaléasetélaborationdescénarios 80
VI.3 Analysedevulnérabilité 81
VI.4 Calculdurisque 82
VI.5 Comparaisondesrisques 85
66
77
Le présent manuel propose une stratégie de gestion visant à
aider les exploitants des infrastructures critiques, c’est-à-dire
des entreprises et des administrations, à identifier et réperto-
rier les risques, à mettre en œuvre des mesures préventives et
à gérer les crises de manière efficace. Le terme « infrastructure
critique » désigne « les organisations et les établissements
revêtant une importance particulière pour la collectivité
publique et dont la défectuosité ou la perturbation provoque-
raient des pénuries durables des approvisionnements, des
dysfonctionnements considérables de la sécurité publique ou
d’autres conséquences dramatiques ».
L’histoire récente a montré que les infrastructures peuvent
subir des dommages et que la perturbation des processus
critiques peut avoir de lourdes conséquences sociales et éco-
nomiques.
En effet, les catastrophes naturelles, les défaillances techni-
ques, les erreurs humaines, les actes de nature terroriste ou
criminelle ainsi que les conflits armés peuvent être à l’origine
de dégâts considérables.
Pour les exploitants d’infrastructures critiques, il est essentiel
de savoir identifier ces sources de dommages et de s’y prépa-
rer. En amont, l’enjeu sera donc de réussir à appréhender et
à réduire au maximum ces menaces tout en se préparant au
mieux aux crises inévitables. Tout en aidant à surmonter les
ravages engendrés par les crises, ce type de démarche appor-
te une contribution à la valeur ajoutée des entreprises, leur
permet de respecter les exigences réglementaires en matière
de sécurité, et soutient les administrations dans leur mission.
La stratégie de gestion des risques et des crises proposée dans
le présent manuel se compose de cinq phases : la planifica-
tion d’une gestion solide des risques et des crises ; l’analyse
des risques, dont nous décrirons les aspects fondamentaux ;
la mise en œuvre de mesures préventives ; la gestion des cri-
ses, dont nous présenterons divers aspects ; et enfin l’évalua-
tion – sur laquelle nous fournirons quelques précisions – de
la gestion des risques et des crises dans les établissements
concernés. Par « établissement », nous entendons toute entre-
prise ou administration entrant dans la définition des infra-
structures critiques donnée ci-dessus.
Phase 1 – planification préalable au sein de l’établissement
Une préparation minutieuse de la gestion des risques et des
crises est la condition sine qua non d’une mise en œuvre réus-
sie de tout ou partie du présent manuel.
Préalablement à cette mise en œuvre, certaines questions
fondamentales doivent être abordées – comme l’ancrage de
la gestion des risques et des crises au sein de l’établissement,
la répartition des responsabilités, la mise à disposition des
ressources nécessaires, la clarification des obligations légales
de l’établissement en matière de gestion des risques et des
crises, et la détermination des objectifs stratégiques de pro-
tection qui devront être atteints par l’entreprise ou l’adminis-
tration concernée.
Phase 2 – analyse des risques
L’analyse des risques permet à l’établissement de bénéficier
d’un aperçu structuré sur ses processus individuels, sur les
aléas auxquels ces processus peuvent être exposés et sur leur
vulnérabilité intrinsèque. Grâce au recoupement des infor-
mations obtenues, l’établissement peut analyser les risques
pour tous les processus étudiés sur la base de scénarios indi-
viduels.
Les informations recueillies peuvent faire l’objet de comparai-
sons qui permettront d’établir une image précise des risques,
tout en dégageant des priorités.
Confrontés aux objectifs stratégiques de protection déter-
minés en amont, les résultats de l’analyse des risques sont
soumis à une évaluation. Si la plupart de ces objectifs n’ont pu
être atteints, des mesures concrètes doivent être prises pour
réduire les risques existants et alléger la gestion des crises.
Résumé
8
Phase 3 – mesures et stratégies préventives
Les mesures préventives permettent de restreindre les risques
pesant sur les processus et, par là-même, sur les prestations
de services ou la production. Renforçant la résistance des
établissements face aux crises, elles peuvent non seulement
réduire le nombre d’événements de crise, mais également
leur intensité. Leur objectif est de protéger activement les
éléments constitutifs de chaque établissement ou de créer des
redondances.
Il est également possible de prévenir, de transférer ou d’ac-
cepter les risques. Cela étant dit, il faut reconnaître que dans
la plupart des cas, éviter les risques a tendance à réduire la
flexibilité de l’entreprise ou de l’administration concernée,
tandis que le transfert des risques ne réduit pas les risques
physiques. Il garantit uniquement une compensation finan-
cière – loin, dans certains cas, de couvrir l’étendue des dom-
mages provoqués.
Phase 4 – gestion des crises
Si, malgré les mesures préventives, une entreprise ou une
administration venait à subir des dommages importants de
quelque nature que ce soit, la gestion des crises devrait être à
même d’élaborer une procédure spéciale afin de surmonter
la situation.
La gestion des crises comprend des structures et des procé-
dures qui diffèrent de celles utilisées en temps normal. En cas
de crise, le pouvoir décisionnel est concentré afin de pouvoir
réagir le plus rapidement possible et de manière adaptée à la
situation. Les effets de la crise sont alors amoindris et le temps
nécessaire à un retour à la normale réduit.
Phase 5 – évaluation de la gestion des risques et des crises
L’évaluation reprend toutes les phases de la gestion des
risques et des crises : elle consiste à vérifier les exigences
réglementaires identifiées lors de la phase de planification, la
pertinence des profils de risques établis, ainsi que l’efficacité
des mesures préventives et de la gestion des crises. Il convient
d’effectuer cette évaluation régulièrement.
Des évaluations supplémentaires peuvent s’avérer nécessai-
res,
après la mise en œuvre des mesures, ■
après un élargissement ou une modification de l’établis- ■
sement ou
lors d’une évolution des menaces. ■
Les annexes du présent manuel comportent un exemple
de mise en œuvre d’analyse des risques ainsi que des listes
destinées à contrôler les mesures appliquées au sein de l’éta-
blissement.
Pour toute question relative à ce manuel, veuillez contacter :
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Abteilung II
Notfallvorsorge, Kritische Infrastrukturen
Provinzialstraße 93
53127 Bonn
Allemagne
http://www.bbk.bund.de
9
Les infrastructures sont une composante essentielle de notre
société hautement développée. Au quotidien, nous dépen-
dons tous de leur disponibilité et nous attendons à pouvoir les
utiliser sans restriction.
Depuis 1997, la Fédération se penche sur la protection des
infrastructures dites « critiques » afin de déterminer la néces-
sité de mesures de protection supplémentaires. Dans ce
contexte, le terme d’infrastructure critique désigne « les orga-
nisations et les établissements revêtant une importance par-
ticulière pour la collectivité publique et dont la défectuosité
ou la perturbation entraîneraient des pénuries durables des
approvisionnements, des dysfonctionnements considérables
de la sécurité publique ou d’autres conséquences dramati-
ques1. »
Aléas naturels, défaillances techniques, erreurs humaines et
actes de nature criminelle ou terroriste menacent la disponi-
bilité permanente de ces infrastructures qui, en cas de conflit
armé en Allemagne, subiraient des dommages considérables.
Depuis quelques années, les menaces n’ont cessé de changer
de visage. Qu’il s’agisse d’aléas naturels ou d’actes volontaires
à mobiles criminels ou terroristes, force est de constater une
recrudescence d’événements extrêmes confrontant la société
à de nouveaux défis.
Parallèlement aux menaces, la vulnérabilité des infrastruc-
tures a elle aussi évolué. La plupart de leurs systèmes sont
aujourd’hui reliés les uns aux autres sous une forme ou une
autre – et de fait, toute perturbation dans un domaine quel
qu’il soit peut se répercuter dans un autre lieu, dans une autre
branche ou un autre secteur, et avoir ainsi des conséquences
bien au-delà de son point d’origine.
Les ressources financières et humaines dont disposent les
exploitants d’infrastructures critiques pour protéger leurs
systèmes étant limitées, il est particulièrement important de
les employer avec efficacité. Pour ce faire, il est indispensable
de connaître les dangers et les risques existants tout en ayant
la possibilité de comparer et d’évaluer ces risques afin d’en
déterminer les caractéristiques principales. Une fois cette
analyse réalisée, des mesures de protection précises pourront
être mises en œuvre.
Le présent document (« Protection des infrastructures criti-
ques - gestion des risques et des crises, manuel destiné aux
entreprises et aux administrations) est le fruit commun d’ac-
teurs issus de plusieurs entreprises et administrations et d’un
organisme scientifique. Il s’adresse à tous les secteurs et vise
à servir d’instrument d’auto-analyse aux entreprises et aux
administrations.
Associant principes théoriques sur la gestion des risques
et des crises et listes pratiques, ce document donne égale-
ment un exemple d’analyse des risques afin de permettre
aux entreprises et aux administrations de développer ou de
consolider, seules ou avec une aide extérieure, une gestion
efficace des risques et des crises.
Pour la Fédération, le présent manuel vise avant tout à
réduire les répercussions des événements extrêmes sur les
infrastructures critiques et à améliorer la gestion des crises
prévisibles.
1 Introduction
1 Définition des infrastructures critiques établie par le groupe de tra-
vail KRITIS du ministère fédéral de l’Intérieur (BMI) le 17 novembre
2003.
10
2Informations de base sur les infrastructures critiques
2.1 Secteurs
Au sens de la définition des infrastructures critiques donnée
dans l’introduction, les entreprises et les administrations sont
essentiellement présentes dans les secteurs suivants :
énergie (électricité, hydrocarbures et gaz), ■
approvisionnement (eau, denrées alimentaires, services ■
de santé et d’urgence),
technologies de l’information et de la communication (TIC), ■
transport et circulation, ■
substances dangereuses (industrie chimique et substances ■
biologiques),
banques et finances, ■
pouvoirs / services publics et justice, ■
médias, grands instituts de recherche et biens culturels. ■
2.2 Environnement et caractéristiques
Les perturbations qu’ont subies dans l’histoire récente les infra-
structures critiques ont révélé deux caractéristiques récurrentes.
Première caractéristique : les infrastructures ont été exposées
à des incidences de large échelle, découlant en particulier
d’aléas naturels. Les dommages se sont étendus sur le plan
régional, suprarégional, national ou encore européen (exem-
ple : inondations de l’Elbe en 2002 et ouragan Kyrill en 2007).
Seconde caractéristique : dysfonctionnements et dommages
locaux ont entraîné des perturbations qui se sont propagées
bien au-delà de la zone d’origine en raison d’interactions et
de liens dépassant les frontières géographiques et les systè-
mes (exemple : coupure d’un fil électrique au-dessus de l’Ems
en 2006 ayant causé des pannes d’électricité dans certaines
parties de l’Europe).
Ainsi, l’environnement et les propriétés des infrastructures cri-
tiques ont non seulement changé, mais continuent également
d’évoluer au fil du temps. Dans la partie qui suit, nous en analy-
serons les composantes clés afin d’établir les bases qui permet-
tront d’élaborer une gestion adéquate des risques et des crises.
2.2.1 Evolution des menaces
La perturbation des processus critiques des systèmes des
infrastructures critiques peut entraîner de lourdes consé-
quences sur le plan social et économique. Si les exemples qui
suivent ne permettent pas de conclure catégoriquement à
une tendance à l’aggravation des menaces, ils confirment
néanmoins la nécessité de disposer d’une protection durable
des infrastructures critiques.
Evénements météorologiques extrêmes
Les événements extrêmes peuvent avoir des conséquences
directes sur les systèmes des infrastructures. A l’heure actuel-
le il est encore difficile, en Allemagne, de se prononcer de
manière définitive sur l’évolution des événements météoro-
logiques extrêmes due au changement climatique : les infor-
mations collectées jusqu’ici sur le réchauffement climatique
et ses répercussions sur le pays ne sont pas encore suffisantes.
Toutefois, les données relevées commencent à révéler certai-
nes tendances telles que l’augmentation des précipitations
abondantes – tendances qui se sont confirmées en 1997 avec
la crue de l’Oder, en 2002 avec celle de l’Elbe et en 2005 dans
les Alpes2.
Menaces sanitaires (pandémie de grippe)
Le siècle dernier a été frappé par plusieurs pandémies de
grippe. Particulièrement sévère, celle de 1918 (la grippe
espagnole) fit plus de 50 millions de victimes. Aujourd’hui,
on estime que l’apparition – par mutation – d’un nouveau
virus extrêmement dangereux pour l’homme n’est qu’une
question de temps. Aujourd’hui, toute nouvelle pandémie de
grippe se propagerait dans le monde entier, et notamment en
Allemagne, par le biais des points de jonction des réseaux de
transport internationaux. Dès lors, toutes les sphères de notre
société, y compris l’ensemble des entreprises et des adminis-
trations, seraient menacées. Dans la mesure où les pandémies
peuvent avoir des répercussions sur la demande de produits
et de services, les infrastructures économiques et la société
tout entière seraient également mises en danger. Un grand
nombre de ressources et de services disparaîtraient ou se
2 Rahmstorf et al., 2006, page 70.
11
verraient proposés de manière réduite. Cette dépendance
réciproque aurait pour conséquence un effet domino qui
pourrait mener à la paralysie d’une grande partie de l’Etat, de
l’économie et de la société3. D’après les simulations effectuées
pour l’Allemagne, entre 15 et 50 % de la population pourrait
être touchée4. Outre les employés malades, d’autres ne se ren-
draient pas à leur travail afin de soigner les membres de leur
famille atteints ou simplement de peur d’être contaminés, ce
qui aurait pour conséquence d’augmenter considérablement
le taux d’absentéisme.
Terrorisme international
Aujourd’hui, le terrorisme international s’organise en réseaux
de structure lâche dont les différentes cellules ne sont plus
reliées que par des objectifs communs – chaque cellule
opérant en large partie indépendamment des autres, sans
structure centrale. Agissant dans la plus grande discrétion,
ces réseaux font preuve de flexibilité et de rapidité5. En Alle-
magne, il n’est pas à exclure que les systèmes des infrastruc-
tures soient frappés par des attaques terroristes. En 2006, des
attaques contre deux trains régionaux de la Deutsche Bahn
ont échoué pour des raisons techniques. En 2007, un projet
d’attentat contre plusieurs sites américains implantés en Alle-
magne a pu être découvert et déjoué à temps.
Technologie de l’information
Tous les jours ou presque, les médias relatent des cas de pira-
tage informatique ou d’espionnage industriel et économique.
Parallèlement à ces menaces, les défaillances techniques de
matériel ou de logiciels ou encore une simple erreur humaine
dans l’utilisation des TIC peuvent entraîner des répercussions
et des dommages importants sur les infrastructures critiques.
La panne d’électricité à grande échelle qu’ont connue les
Etats-Unis et le Canada en 2003, due en grande partie à une
défaillance de la technologie de contrôle, en est un exemple
typique. Autre exemple : celui de l’effondrement de l’ensem-
ble du système de cartes EC en Suisse en 2000, provoqué par
un dysfonctionnement dans un centre de calcul.
2.2.2 Environnement socioéconomique
Une dépendance croissante
Aujourd’hui, entreprises et administrations sont de plus en
plus dépendantes de services et de produits qui leur sont
externes. A cet égard, l’approvisionnement en électricité
occupe une place particulièrement importante – car la quasi-
totalité des services reposent plus ou moins directement sur
le bon fonctionnement du réseau électrique.
Perception subjective des risques
Les entreprises et les administrations investissent beaucoup
dans la sécurité de leurs établissements et partent du principe
que ces investissements sont efficaces. La plupart du temps,
cependant, les effets positifs des mesures de sécurité sont
difficilement mesurables. Plutôt que de mesurer, la tendance
sera donc de considérer les longues périodes exemptes de
crises comme une confirmation de l’efficacité des mesures
qui ont été prises. Or, ce raisonnement peut amener à ne plus
savoir repérer les dangers potentiels ni les domaines vulné-
rables.
Dans la pratique, les risques qui sont identifiés sont souvent
ceux qui semblent gérables ou contrôlables et dont la relation
de cause à effet apparaît comme évidente6. Les autres risques
sont partiellement ignorés, consciemment ou non – si bien
que lors de la mise en œuvre de mesures préventives, les
répercussions éventuelles de tels risques ne sont pas prises en
compte.
Evolution démographique
En Allemagne, du fait de l’évolution de la pyramide des âges
et des répercussions des migrations sur la densité de popula-
tion, les infrastructures critiques doivent répondre à de nou-
veaux défis – ce qui ne va pas sans influencer certains aspects
essentiels de la sécurité. Une baisse des besoins en eau, et
donc une réduction de la distribution d’eau au consomma-
teur final, pourraient par exemple entraîner des problèmes
d’ordre sanitaire dans les usines de distribution d’eau.
Evolution de l’environnement économique7
Les évolutions du marché – comme celles qu’engendrent la
libéralisation économique ou encore la privatisation d’infra-
structures étatiques – peuvent elles aussi influencer le niveau
de sécurité et les investissements afférents aux mesures de
sécurité. Aujourd’hui, la concurrence et la pression sur les
prix tendent à créer un environnement qui laisse peu de
place à des mesures de sécurité telles que les systèmes redon-
dants et autres marges de sécurité. Si les exigences des régle-
mentations en vigueur sont la plupart du temps respectées,
il est néanmoins possible, grâce à des méthodes de calculs de
plus en plus précises, de profiter d’une certaine latitude d’ap-
préciation et de réduire les marges de sécurité. Or, ce sont
précisément ces marges qui peuvent venir à manquer en cas
de situation de crise.
3 Office fédéral pour la protection des populations et l’assistance en cas
de catastrophes, 2007. 4 Institut Robert Koch, 2007, page 4. 5 Cf. Lewis, 2006, page 1.
6 Dost, 2006.7 Cf. International Risk Governance Council, 2006, pages 11–17.
InfORMATIOnSDEbASESuRLESInfRASTRuCTuRESCRITIQuES
12
2.2.3 Caractéristiques particulières
Interconnexion au sein des secteurs
C’est grâce à des réseaux physiques, virtuels ou logiques que
les infrastructures peuvent desservir des zones à large échel-
le. En croissance constante et de plus en plus complexes, ces
réseaux sont constitués de nœuds qui sont autant de points
névralgiques pouvant s’avérer vulnérables et dont la pertur-
bation entraînerait des défaillances aux niveaux régional,
suprarégional, national voire mondial. Or, c’est sur ce type de
réseau que reposent – notamment – l’approvisionnement en
électricité, en eau et en gaz ainsi que les technologies de l’in-
formation et de la communication.
Interconnexions entre les secteurs (interdépendance)
Les systèmes des infrastructures se caractérisent par leur haut
degré d’interconnexion. Du fait du développement extrême-
ment rapide qu’ont connu les technologies de l’information
durant les quinze dernières années, cette évolution s’est accé-
lérée. Aujourd’hui, les interconnexions entraînent non seule-
ment une amélioration des processus d’approvisionnement,
mais également des interdépendances dont la portée ne peut
faire l’objet, dans bien des cas, que d’une estimation qualitati-
ve. Nombre de dépendances physiques, virtuelles ou logiques
ne sont en effet découvertes qu’en cas de crise, c’est-à-dire le
jour où elles viennent à manquer. Un haut degré d’interdé-
pendances peut en effet déclencher des pannes en cascade8.
Dans le même temps, il suffit de dysfonctionnements de plus
en plus minimes pour que des systèmes complexes soient
victimes de conséquences dramatiques (« paradoxe de vulné-
rabilité9 »).
Le schéma 1 illustre la dépendance réciproque (interdépen-
dance) d’un certain nombre d’infrastructures critiques. Dans
un premier temps, seules les dépendances directes existant
entre les différents secteurs et les différentes branches ont été
prises en compte.
Evolution de l’environnement technologique
Les technologies, en particulier celles de l’information, évo-
luent à un rythme effréné. Souvent, les derniers développe-
ments ne s’appliquent qu’à certains domaines. Les nouveaux
composants côtoient alors les anciens et sont introduits dans
des procédures déjà vieillissantes. L’insuffisance de tests, le
manque de finition et les défaillances des nouveaux équi-
pements et logiciels informatiques vers lesquels certaines
migrations n’ont en outre pas été prévues, l’incompatibilité
des systèmes ainsi que le manque de formation des employés
relative à ces nouveaux composants entraînent des failles dans
la sécurité qui, dans certaines circonstances, pourraient provo-
quer la défaillance du système tout entier.
Types de sinistres
Les infrastructures critiques peuvent être confrontées à de
nombreux types de sinistres. Il peut s’agir de dommages cor-
porels, matériels, économiques ou encore psychologiques tels
qu’une inquiétude constante ou encore la perte de confiance
de la population envers les autorités politiques.
Organismes de recherche
Biens culturels
Radio
Soins de santé
Services d’urgence et de secours
Approvisionnement en eau et traitement de l’eau
Transport, circulation, logistique et services postaux
Approvisionement en denrées alimentaires
Technologies de l’information et de la communication
Approvisionnement en énergie (électricité, hydrocarbures, gaz)
Services financiers et assurances
Substances dangereuses
Gouvernement, administrations
Illustration 1 : Interdépendances entre certaines infrastructures critiques
8 Cf. Lewis, 2006, page 57.9 Rosenthal, 1992, pages 74–75.
13
2.3 Exigences juridiques relatives à la gestion des risques et des crises
Actuellement, un certain nombre d’exigences juridiques
générales régissent la gestion des risques et des crises dans les
sociétés anonymes (SA) et les grandes entreprises à respon-
sabilité limitée (SARL). Dans le secteur financier, un certain
nombre de dispositions particulières revêtent un caractère
obligatoire dans la pratique – comme le respect d’un niveau
minimal d’exigences en matière de gestion des risques
(MaRisk). Dans ces dispositions, le concept de sécurité de
l’entreprise englobe la protection des personnes et des biens
matériels – tels que les bâtiments et les installations – ainsi
que le maintien de l’activité commerciale en cas de dysfonc-
tionnement ou de crise quels qu’ils soient (crise boursière,
catastrophe naturelle ou attaque terroriste).
La loi allemande sur le contrôle et la transparence dans l’en-
treprise (KonTraG) ajoute à celle sur les sociétés anonymes
l’obligation de mettre en place un système de surveillance
pour gérer les risques de l’entreprise. Cette loi concerne uni-
quement les sociétés anonymes mais s’applique également,
dans la pratique, aux sociétés en commandite par actions
et aux grandes SARL – en particulier celles qui possèdent un
conseil de surveillance, qu’il soit facultatif ou soumis aux
règles de la cogestion.
Les risques liés au marché sont souvent gérés dans le respect
de la loi allemande sur le contrôle et la transparence dans
l’entreprise. En revanche, les risques sécuritaires10 et les
risques liés aux catastrophes naturelles sont souvent sous-
estimés, bien que la loi s’applique à tous les risques pouvant
menacer l’existence d’une entreprise. En vertu de l’article 91,
paragraphe 2, de la loi allemande sur les sociétés anonymes,
le directoire de telles sociétés, leur conseil de surveillance et
leurs commissaires aux comptes sont tenus de « ...prendre les
mesures qui s’imposent, dont la mise en place d’un système
de surveillance, afin d’identifier au plus tôt l’apparition d’évo-
lutions menaçant le maintien de l’entreprise ». Le législateur
ne mentionnant aucune méthode de référence, la mise en
œuvre concrète de ces mesures reste toutefois à l’apprécia-
tion de chaque entreprise. Cela étant dit, le système de sur-
veillance interne doit permettre d’identifier à temps l’appari-
tion d’évolutions dangereuses – c’est-à-dire suffisamment tôt
pour que les mesures garantissant le maintien de l’activité de
l’entreprise puissent être prises.
Au sein de chaque société, la direction a donc l’obligation
légale de mettre en place un système efficace de gestion des
risques. En cas de manquement à cette obligation, le commis-
saire aux comptes peut refuser de certifier la comptabilité de
l’entreprise. Ce dernier est par conséquent tenu de vérifier
que le directoire a pris soin de mettre en place un système
adéquat pour gérer les risques (article 317, paragraphe 4, du
code du commerce allemand). Outre l’évaluation des risques,
ce système doit comprendre l’étude de toutes les causes
possibles d’arrêt de l’activité de l’entreprise, la mise en place
de mesures systématiques permettant d’éviter de tels arrêts,
ainsi que l’établissement et la révision régulière d’un plan
d’urgence11. Au titre de l’article 76, paragraphe 1, de la loi
allemande sur les sociétés anonymes, la mise en place d’un
système de surveillance fait partie des obligations générales
du directoire. En cas de sinistre et de négligence entraînant
sa responsabilité, ce dernier peut donc, comme le stipule
l’article 93, paragraphe 2, de ladite loi, être condamné au
paiement de dommages et intérêts.
A l’instar de la loi allemande sur le contrôle et la transparence
dans l’entreprise, le droit européen harmonisé des assuran-
ces « Solvabilité II » exige lui aussi que la gestion des risques
en entreprise tienne compte de tous les risques auxquels les
assureurs peuvent être confrontés. En incluant les risques pos-
sibles dans les clauses du contrat, l’assureur peut soumettre
la couverture d’assurance à la condition que l’assuré prenne
des mesures préventives – ce qui revient implicitement à dire
que l’assuré doit disposer d’un système de gestion des risques.
En vertu de l’article 6, paragraphe 1, de la loi allemande sur le
contrat d’assurance, tout manquement aux clauses de l’assu-
rance entraîne l’annulation de la couverture.
Destinés à minimiser les crises dans le secteur bancaire, les
accords de Bâle II sur les capitaux propres exigent explicite-
ment qu’en cas de prêt, il ne soit pas seulement tenu compte
des risques liés au marché et au crédit, mais également des
risques opérationnels encourus par les banques. Même si les
accords de Bâle II ne concernent que les institutions finan-
cières, il n’est pas exclu que les banques exigent à leur tour
des entreprises un compte-rendu relatif à leurs risques – ce
qui signifierait que l’octroi de prêts dépendrait de l’existence
d’un système de gestion des risques. Considérant et intégrant
tous les risques de manière suffisante, un tel système réduirait
les risques de défaut de paiement et permettrait la négo-
ciation de conditions de prêt plus avantageuses auprès des
banques.
10 Voir à ce sujet : ministère fédéral de l’Intérieur, 2005.11 Cf. Bockslaff, 1999, page 109.
InfORMATIOnSDEbASESuRLESInfRASTRuCTuRESCRITIQuES
14
3Gestion des risques et des crises pour la protection des infrastructures critiques
Tel que nous l’exposons dans le présent manuel, le concept
de gestion des risques et des crises s’inscrit dans un processus
systématique et s’articule autour de cinq phases différentes.
Correspondant au champ que doit couvrir toute gestion des
risques et des crises liée aux processus dans les entreprises et
les administrations, ces cinq phases sont les suivantes : une
phase de planification préalable visant à élaborer une gestion
des risques et des crises (phase 1), une analyse des risques
(phase 2), la description de mesures préventives (phase 3), la
mise en place d’une gestion des crises (phase 4) et l’évaluation
régulière des phases 1 à 4 (phase 5). Le schéma 2 illustre ce
concept et son déroulement.
Analyse de criticité
Identification des risques
Comparaison des risques, évaluation des risques
Phase 3 : Mesures préventives
Phase 2 : Analyse des risques
Phase 1 : Planification préalable
Com
mun
icat
ion
rela
tive
aux
ris
que
s, d
ocum
enta
tion
sur
tou
s le
s p
roce
ssus
Phas
e 5
: Eva
luat
ion
Phase 4 : Gestion des crises
Non
Oui
Objectifs opérationnels de protection
Objectifs de protection stratégiques
et opérationnels remplis ?
Elaboration / consolidation de la gestion des risques et des crisesObjectifs stratégiques de protection
Calcul du risque
Analyse des dangersAnalyse de vulnérabilité
Illustration 2 : Concept en cinq phases de la gestion des risques et des crises12
La gestion des risques et des crises que nous décrivons ici
repose sur un cycle général de gestion PDCA (« Plan, Do,
Check, Act »). Cette démarche permet d’intégrer ladite ges-
tion dans des structures de gestion déjà existantes – telles que
la gestion de la qualité, la gestion des risques et des crises déjà
en place ou encore la gestion des processus propre à l’établis-
sement concerné. Dans ce contexte, le terme « établissement »
désigne les entreprises et les administrations entrant dans la
définition des infrastructures critiques donnée en introduc-
tion.
ACT• Mesures préventives • Mise en place d’un système de gestion des crises
• Comparaison des risques• Estimation des risques• Vérification des objectifs de protection • Evaluation
• Planification
• Analyse de criticité• Identification des risques
PLAN
CHECK DO
Illustration 3 : Processus de gestion des risques et des crises selon le cycle PDCA13
12 Cf. Australian / New Zealand Standard, 2004, page 13 et Trauboth,
2002, page 23. 13 Cf. Gesellschaft für Anlagen- und Reaktorensicherheit (Société alle-
mande pour la sûreté des installations et des réacteurs nucléaires),
2007, page 21.
15
3.1 Phase 1 : Planification préalable
La mise en place réussie d’une gestion des risques et des crises
au sein d’une entreprise ou d’une administration passe par
une planification minutieuse.
Avant de mettre en pratique le présent manuel, il convient
de répondre à certaines questions de fond. Ces questions por-
teront avant tout sur les points suivants : la manière dont la
direction de l’établissement concerné met en place la gestion
des risques et des crises, l’adhésion à la méthode adoptée, la
répartition des responsabilités, l’allocation des ressources
nécessaires et l’établissement d’objectifs stratégiques de pro-
tection.
3.1.1 Mise en place
C’est à la direction qu’il revient de lancer la création ou la
consolidation de la gestion des risques et des crises, et de défi-
nir clairement les objectifs poursuivis. Ladite gestion doit être
non seulement mise en œuvre mais également appliquée au
niveau opérationnel. Le personnel doit être impliqué dans le
processus.
Des efforts particuliers doivent être déployés pour faire
prendre conscience des risques à l’ensemble du personnel de
l’établissement (par le biais d’une politique des risques ferme
et transparente) : en effet, la qualité de la gestion des risques
dépend en large partie de l’adhésion et de la motivation des
employés.
3.1.2 Répartition des responsabilités
La mise en place d’une gestion des risques et des crises doit de
préférence être dirigée par un chef de projet spécialisé, qui
sera responsable du contenu du projet et consultera, si besoin
est, la direction de l’établissement. Il serait judicieux de choi-
sir ce chef de projet au sein de l’entreprise ou de l’administra-
tion concernée.
Les décisions majeures liées soit à la mise en place soit à la
consolidation de la gestion des risques et des crises seront pri-
ses par la direction de l’établissement – notamment lorsqu’il
s’agira de questions touchant à l’octroi de ressources financiè-
res ou humaines.
Dans la mesure où il est très difficile de définir à l’avance les
responsabilités qui devront être attribuées dans le cadre de la
mise en œuvre de la gestion des risques et des crises, ces res-
ponsabilités seront établies au fur et à mesure.
3.1.3 Ressources nécessaires
Les besoins relatifs à la mise en place d’une gestion des risques
et des crises doivent être estimés en amont. Si cela s’avère
nécessaire, un groupe de travail interdisciplinaire formé d’em-
ployés de l’établissement peut être constitué pour assister le
chef de projet et se charger d’un certain nombre de tâches
bien délimitées. Il est avantageux que les membres du groupe
de travail aient une vue d’ensemble sur la structure de l’entre-
prise ou de l’administration concernée et il est préférable que
tous les échelons de la hiérarchie soient représentés au sein
dudit groupe de travail.
Si l’établissement ne dispose pas de l’expertise nécessaire en
matière de gestion des risques et des crises, il est possible de
former le personnel interne ou de combler les lacunes en fai-
sant appel à des prestataires externes.
Les ressources nécessaires à la mise en œuvre de la gestion des
risques et des crises devront être identifiées au cours du projet.
3.1.4 Clarification des obligations légales
Dans le cadre de la planification préalable à la mise en place
d’une gestion des risques et des crises, il est nécessaire de cla-
rifier les obligations légales.
3.1.5 Objectifs stratégiques de protection
La mise en place d’une gestion des risques et des crises néces-
site de formuler des objectifs stratégiques de protection. Ils
définissent les buts à atteindre sur l’ensemble du processus.
Les objectifs de protection sont fortement influencés par
des aspects éthiques, opérationnels, techniques, financiers,
légaux, sociaux et environnementaux14. Ils présentent les
caractéristiques suivantes :
ils décrivent les buts à atteindre, ■
ils apportent des solutions pour la mise en place des diffé- ■
rentes mesures et
ils sont spécifiques, mesurables, réalisables, réalistes et ■
définis dans le temps.
GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES
14 Australian / New Zealand Standard, 2004, page 15.
16
En voici quelques exemples :
meilleure protection possible pour le personnel et les ■
autres personnes présentes (les clients, par exemple),
le maintien des capacités de fonctionnement de l’établis- ■
sement, même en cas de situation extrême,
respect des obligations légales, ■
prévention contre d’importants dommages économiques et ■
prévention contre une éventuelle dégradation de l’image ■
de l’établissement.
3.1.6 Communication sur les risques
D’une manière générale, la communication sur les ris-
ques concerne « tous les processus de communication liés
à l’identification, l’analyse, l’évaluation et la gestion des
risques ainsi que les interactions qui en découlent entre les
personnes impliquées15». La communication sur les risques
constitue une plateforme sur laquelle se déploient à la fois la
conscience et l’acceptation des risques au sein des entreprises
et des administrations – deux aspects indispensables à une
gestion efficace des risques. Dans le contexte actuel, les éta-
blissements doivent clairement différencier communication
interne et communication externe.
La communication interne sur les risques se réfère à toutes
les interactions communicatives touchant de près ou de loin
aux risques au sein même de l’établissement – de la mise en
place du système à l’évaluation de la gestion des risques. Au
moment de la mise en place du système, il convient d’appor-
ter une attention particulière à la communication interne :
il est en effet primordial d’établir aussi tôt que possible un
dialogue avec les futurs responsables sur l’objet et les objec-
tifs de la gestion des risques. La réussite de la communication
interne sur les risques est déterminante pour une bonne com-
munication externe.
La communication externe sur les risques ne se contente pas
d’informer et d’instruire les médias et les personnes concer-
nées. Elle vise également à établir un dialogue personnalisé
avec chaque interlocuteur. Dans ce contexte, il faut garder
à l’esprit qu’en matière de communication sur les risques,
tout malentendu entre émetteur et destinataire du message
doit être évité. A titre d’exemple, l’expérience montre que les
risques ne sont pas perçus de la même manière par les spécia-
listes et par les profanes. Afin d’éviter toute issue inacceptable,
la communication externe sur les risques doit toujours se faire
au bon moment et de manière claire. Elle doit également être
adaptée au destinataire, cohérente et fiable. Deux facteurs
déterminent son efficacité : la confiance que l’audience accor-
de à la source et la crédibilité de cette dernière.16
3.2 Phase 2 : Analyse des risques
L’analyse des risques structure et objective les informations
accumulées sur les dangers et les risques dans les entreprises et
les administrations. Dans le présent manuel, les risques se rap-
portent à des processus et à leurs éléments constitutifs. Or, c’est
précisément en analysant divers processus avec leurs éléments
constitutifs que la phase 2 fait ressortir les risques sous-jacents
pour les établissements – tout en permettant d’établir des com-
paraisons grâce auxquelles il sera possible de déterminer des
degrés d’urgence et d’établir des priorités entre les mesures
à même d’avoir un impact décisif sur les risques identifiés. Ce
faisant, l’analyse des risques jette les bases d’un travail efficace
avec des ressources financières et humaines limitées.
L’analyse des risques au sens où l’entend le présent manuel
répond aux questions suivantes :
Quels sont les types d’aléas pouvant se manifester ? ■
Quelles sont les probabilités que ces aléas se manifestent ■
sur les sites de l’établissement ?
Quels sont les points vulnérables sensibles aux incidences ■
de l’aléa ?
Ces questions montrent que l’analyse des risques inhérents à
un processus et à ses éléments constitutifs renseigne non seu-
lement sur les aléas, mais également sur la vulnérabilité dudit
processus et de ses éléments constitutifs.
Le présent manuel traite de processus opérationnels. Ces
processus se décomposent en processus clés et en processus
d’accompagnement. Dans la mesure où nous n’opèrerons
aucune distinction entre ces deux types de processus dans les
parties qui suivent, nous parlerons simplement de processus
et sous-processus. Par sous-processus, nous entendrons – dans
le présent manuel – les différentes parties d’un processus.
Le point de départ d’une analyse des risques consiste à sub-
diviser l’entreprise ou l’administration en processus et en
sous-processus. L’établissement décide lui-même du niveau
de subdivision à adopter. Par exemple, une salle de contrôle
identifiée comme faisant partie d’un processus pourra être
définie comme sous-processus qui pourra, à son tour, être
subdivisé en plusieurs autres sous-processus. Plus la subdi-
vision est précise, plus l’analyse des risques sera coûteuse en
temps et en argent ; mais elle n’en sera que plus pertinente17.
15 Jungermann et al., 1991, page 5.16 Vous trouverez de plus amples renseignements sur la planification
de la communication sur les risques dans Wiedemann et al., 2000,
ainsi que dans Gray et al., 2000.
17 Vous trouvez de plus amples renseignements sur les processus et la
représentation des processus dans Gesellschaft für Anlagen- und
Reaktorsicherheit 2007.
17
REMARQUE IMPORTANTE :
L’identificationdesélémentsderisqueàlafoispertinentset
spécifiquesàl’établissementconcernéestl’undesfacteurs
déterminantspourlaréussitedel’analysedesrisques.Ilest
eneffetfréquentquelesprocessuscritiquesdépendent
directementdesinstallationsetdesappareilsspécifiquesà
chaqueétablissement.
Le schéma 4 représente un processus et ses sous-processus
ainsi qu’un exemple de subdivision d’un sous-processus en
plusieurs autres sous-processus – avec les éléments dont ils
sont constitués.
Par éléments constitutifs des sous-processus, nous entendons
les facteurs contribuant au bon fonctionnement d’un pro-
cessus. Dans le présent manuel, nous qualifions ces éléments
d’« éléments de risque » : éléments individuels matériels ou
immatériels, ils sont susceptibles d’être endommagés – ce
qui pourrait entraîner la perturbation du sous-processus en
question. Le présent manuel traite des éléments de risque
suivants :
Vies humaines (personnel et autres personnes présentes) : ■
Il est essentiel de protéger de manière suffisante toutes
les personnes présentes contre les incidences des aléas
et de les mettre à l’abri en cas de danger imminent. A cet
effet, l’ensemble des entreprises et des administrations
sont tenues de prendre certaines précautions afin de
garantir aux personnes présentes la meilleure protection
possible en cas d’incident et ce, avant l’arrivée et après le
départ des pompiers, des secours et de la police. Au regard
du maintien du fonctionnement des sous-processus, les
employés et en particulier le personnel spécialisé consti-
tuent des éléments de risque.
Terrains :
Font partie des terrains toutes les surfaces en plein air desti-
nées à la circulation, au stockage ou au parking, les espaces
verts et les aires essentielles à l’activité de l’établissement.
Bâtiments :
Les bâtiments comprennent toutes les structures construi-
tes en souterrain ou en surface, comme les bâtiments des-
Début du processus
Début du processus
Sous-processus 3
Sous-processus 3.1 Sous-processus 3.2 Sous-processus 3.3
Sous-processus divisés en trois autres sous-processus
Fin du processus
Eléments de risque :• Personnel• Terrains• Bâtiments• Installations et appareils • Installations et appareils spécifiques à l’établissement • Données et documents • Moyens de production
Illustration 4 : Processus, sous-processus et éléments de risque
tinés à la production, au stockage ou à l’administration, et
les garages.
Installations et appareils :
Les installations et les appareils des sous-processus peu-
vent se trouver à tous les niveaux de la chaîne de produc-
tion de l’établissement, et plus particulièrement dans les
domaines suivants :
• approvisionnement en électricité,
• approvisionnement en gaz,
• chauffage urbain,
• approvisionnement en eau,
• technologies de l’information (TI),
• technologies de la communication (TC) et
• transports (y compris les véhicules et le carburant).
Autres installations et appareils spécifiques à l’établisse-
ment :
Dans cette catégorie sont compris toutes les installations
spéciales et tous les appareils spéciaux18.
Données et documents :
Sont considérées comme données et documents toutes
les informations sous format électronique ou sur papier
nécessaires au maintien de l’activité de sous-processus
donnés au sein de l’établissement.
Moyens de fonctionnement :
Dans le présent manuel, les moyens de fonctionnement
comprennent tous les moyens de production ne figurant
pas dans les points précédents.
3.2.1 Analyse de criticité
L’analyse de criticité permet d’identifier quels sont, parmi
tous les processus de l’établissement concerné, ceux dont la
perturbation aurait des conséquences importantes sur l’en-
treprise ou l’administration en question. Appelés processus
critiques, ils doivent être protégés de manière suffisante par
18 Exemples : Eléments de contrôle, logiciels, appareils médicaux,
installations techniques particulières dans les bâtiments, sas de sécu-
rité, dépôts de carburant, avions.
GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES
18
le biais de mesures adaptées. Dans un premier temps, l’iden-
tification des risques, et tout particulièrement les mesures
préventives retenues pour réduire ces risques, doivent s’in-
téresser aux éléments de risque des sous-processus issus des
processus critiques.
L’identification des processus critiques peut s’appuyer sur les
critères suivants19 :
Vie et santé humaines :
Quelles sont les répercussions de la perturbation du pro-
cessus sur la vie et la santé humaines ?
Facteur temporel :
En combien de temps la perturbation du processus se
répercute-t-elle sur l’ensemble de la production de biens
ou de services de l’établissement ? Plus ce laps de temps
est court, plus le processus est critique.
Volume :
Quel volume de l’ensemble des biens et services serait
concerné en cas de perturbation ou d’arrêt total du pro-
cessus étudié ?
Conséquences contractuelles, réglementaires et légales :
Quelles répercussions la perturbation du processus en
question aurait-elle sur l’établissement d’un point de vue
contractuel, réglementaire et légal ?
Dommages économiques :
A combien peuvent être estimés les dommages économi-
ques subis par l’établissement du fait de la perturbation
du processus en question ?
C’est à l’établissement concerné qu’il revient de déterminer
les critères à prendre en compte et à considérer parallèle-
ment, et la classification à adopter.
L’analyse de criticité aboutit à l’identification et au listage de
tous les processus critiques au sein de l’entreprise ou de l’ad-
ministration concernée, et permet de dresser une description
des sous-processus qui les composent ainsi que des éléments
de risque que comportent ces sous-processus.
3.2.2 Identification des risques
Les risques encourus par un établissement sont déterminés
non seulement par les aléas susceptibles de se manifester sur
son site (ou ses sites) et de menacer les éléments de risque,
mais également par la vulnérabilité desdits éléments. C’est en
rapprochant les informations pertinentes sur ces aléas et cette
vulnérabilité qu’il est possible de calculer les risques pesant
sur les éléments examinés et – à condition de les regrouper
– sur les sous-processus analysés. Dans le présent manuel, les
risques pesant sur les éléments de risques seront appelés ris-
ques partiels, tandis que l’ensemble des risques pesant sur les
sous-processus sera désigné par le terme de risques globaux.
Dans la partie qui suit, nous nous attacherons à décrire les dif-
férents aspects de l’identification des risques.
3.2.2.1 Analyse des aléas et élaboration de scénarios
Une analyse des risques réussie passe par l’identification et la
documentation de tous les aléas pertinents. La première étape
de l’analyse des aléas et de l’élaboration de scénarios consiste
à lister les aléas pouvant se manifester sur le(s) site(s) de l’éta-
blissement. Cette liste complète indique les caractéristiques
générales desdits aléas, leur intensité, leur durée ainsi que leurs
éventuelles conséquences20.
Grâce à la liste des aléas spécifiques à un site, il est ensuite pos-
sible d’établir plusieurs scénarios. Ces derniers contiennent
des informations complémentaires nécessitées dans le cadre
de l’analyse des risques et de la gestion des crises. Les scénarios
doivent mettre en scène des événements réalistes pouvant
mener à une situation de crise. Le nombre de scénarios abordés
dans l’analyse sera déterminé par le professionnel en charge de
la gestion des risques et des crises – l’objectif étant de couvrir de
manière la plus exhaustive possible tous les aléas potentiels.
Chaque scénario devra comprendre les informations complé-
mentaires suivantes :
Degré d’exposition attendu
Quels sont les sous-processus et les éléments de risques sus-
ceptibles d’être concernés ?
REMARQUE IMPORTANTE :
Laperturbationd’unprocessus,d’unsous-processusoud’un
élémentderisqueestprincipalementdéterminéeparson
degréd’exposition.Toutcommelesincidencessurleplan
local,lesexpositionsàgrandeéchellepeuvententraînerdes
pannes–lecritèredéterminantétantledegréd’atteinte
dessous-processusetdesélémentsderisque.
19 The Business Continuity Institute, 2005, page 26.20 L’annexe IV fournit un aperçu des dangers éventuels et de leurs
caractéristiques ainsi que d’interlocuteurs pouvant être contactés
pour l’analyse de ces dangers. La liste des dangers donnée en annexe
se limite aux événements liés aux catastrophes naturelles, aux
défaillances techniques, aux erreurs humaines, aux actes intention-
nels et aux conflits armés. Cette liste n’est en aucun cas exhaustive et
peut, le cas échéant, être complétée par les éléments propres à chac-
un et par des types de dangers supplémentaires. A titre d’exemple,
le présent manuel ne prend pas en compte les dangers survenant
progressivement et pouvant entraîner des risques financiers, straté-
giques ou de marché.
19
Degré d’intensité attendu
Quel est le potentiel de destruction du scénario sur les
sous-processus et leurs éléments de risque ?
Durée attendue
Combien de temps l’événement peut-il durer ?
Alerte préventive
Combien de temps peut-il s’écouler entre l’alerte préven-
tive et l’événement ?
Effets secondaires
Quels seraient les effets engendrés par les dépendances
entre les processus ? Quelles conséquences psychologi-
ques l’événement pourrait-il entraîner ? Quels impacts
l’événement aurait-t-il sur l’opinion publique et quelles
seraient les retombées médiatiques ?
Incidents de référence
Quels événements de référence peuvent servir à illustrer le
scénario envisagé ?
Probabilité de survenance
Quelle est, d’après les estimations ou les calculs, la proba-
bilité de survenance de l’événement ?
Bien souvent, il est impossible de déterminer avec précision la
probabilité de survenance d’un scénario dont l’intensité, l’am-
pleur géographique, la durée, l’alerte préventive et les effets
secondaires ont été définis au préalable. A titre d’exemple, seu-
les certaines catastrophes naturelles et certaines défaillances
de composants ont fait l’objet de longues séries d’observations
permettant de calculer des probabilités de survenance. Dans la
pratique, lors de l’élaboration de scénarios au sein des entrepri-
ses et des administrations, il est recommandé d’estimer les pro-
babilités de survenance à l’aide d’un système de classification21.
Les scénarios retenus devront être régulièrement contrôlés,
retravaillés et complétés. En cas de besoin, d’autres scénarios
pertinents pourront venir compléter les scénarios existants,
afin de garantir l’identification d’un maximum de risques
spécifiques à l’établissement.
3.2.2.2 Analyse de vulnérabilité
Outre les aléas potentiels, la vulnérabilité des sous-processus
et des éléments de risque est essentielle pour déterminer le
type et l’ampleur des dommages pouvant être causés à l’éta-
blissement. Plus le degré de vulnérabilité des sous-processus
et des éléments de risque sera élevé, plus l’impact des aléas
sur les services ou produits de l’établissement pourra être
important.
Le calcul de la vulnérabilité des sous-processus et des diffé-
rents éléments de risque se fait à l’aide d’un catalogue de
critères. Il peut également se faire par le biais d’un système de
classification22.
La liste de critères présentée ci-dessous aidera les établisse-
ments à dresser un catalogue adapté à leur propre situation
ou bien à compléter le leur.
Dépendance vis-à-vis des éléments de risque
Lorsque la performance d’un sous-processus donné est
dépendante d’un élément de risque, l’éventuelle indispo-
nibilité ou modification de ce dernier rend le sous-pro-
cessus vulnérable. Dans le cadre du calcul des risques, ce
critère peut servir de pondération pour mesurer l’impor-
tance d’un certain nombre d’éléments de risque vis-à-vis
d’un sous-processus donné23.
Dépendance vis-à-vis des infrastructures externes
Lorsque la performance d’un élément de risque est dépen-
dante d’une infrastructure externe, l’éventuelle indisponi-
bilité ou modification de cette dernière rend cet élément
de risque vulnérable.
GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES
REMARQUE IMPORTANTE – DéPENDANCES ET élAbORA-
TION DES SCéNARIOS :
Engénéral,lesévénementsextrêmesprovoquentungrand
nombredeperturbations.unecoupuredecourantpeutpar
exempleavoirdesrépercussionssurl’approvisionnement
externeeneauouempêcherlesprestationsdeservicesde
certainsfournisseurs.
Pourélaborerlesscénarios,ilconvientdelesconsidérer
séparémentlesunsdesautres.Atitred’exemple,scénario1:
défaillancedel’approvisionnementexterneenélectricité,
scénario2:défaillancedel’approvisionnementexterneen
eau.Celapermetd’éviterd’obtenirunnombreréduitde
scénariostrèscomplexesdontlesrépercussionssontdiffici-
lementprévisibles.
Cependant,lesscénariosdevronttenircomptedeseffets
marginauxdécoulantd’uncertainnombrededépendances.
Celavautparticulièrementpourleseffetsentraînantune
aggravationdesrépercussions.
21 L’exemple d’analyse des risques fourni en annexe VI se fonde sur une
classification à cinq niveaux de la probabilité de survenance d’un
scénario réaliste. 22 L’exemple d’analyse des risques fourni en annexe VI recourt à une
échelle à six niveaux pour appréhender la vulnérabilité (y compris
un niveau 0 signifiant « non pertinent »).23 Dans l’exemple d’analyse des risques fourni en annexe, ce critère est
utilisé comme facteur de pondération. Il entre dans le calcul des ris-
ques en tant que facteur individuel. Les estimations des autres critè-
res de vulnérabilité sont additionnées et utilisées en tant que facteur
global dans le calcul des risques.
20
Dépendance vis-à-vis des infrastructures internes
Lorsque la performance d’un élément de risque est dépen-
dante d’une infrastructure interne, l’éventuelle indis-
ponibilité de cette dernière rend cet élément de risque
vulnérable.
Robustesse
La robustesse physique (en particulier des installations,
des appareils et des bâtiments) détermine l’ampleur des
dommages que subiraient les éléments de risque en cas
d’événement extrême – et par là-même l’ampleur de la
perturbation du ou des sous-processus concerné(s).
Niveau de protection atteint
Lorsqu’ils ne sont pas suffisamment protégés contre un
aléa donné, les éléments de risques seront vulnérables lors-
que ledit aléa vient à se manifester (exemple : mesures de
sécurité existantes / non existantes au sein d’un bâtiment).
Redondance, remplacement
La défectuosité de certains éléments de risque est plus
facile à appréhender lorsqu’il existe des structures parallè-
les ou des structures de remplacement capables de fournir
les mêmes prestations de services. La présence d’éléments
de risque redondants ou d’éléments de remplacement
permet de réduire la vulnérabilité des sous-processus.
Coût de réparation
Le coût de réparation désigne le prix de la remise en état
d’un élément de risque à la suite d’un endommagement.
Au regard de la vulnérabilité d’un sous-processus, il s’agit
non seulement des dépenses financières, mais également
du coût en temps et en ressources humaines pour permet-
tre la remise en état.
Capacité d’adaptation
Un sous-processus est vulnérable lorsque ses éléments
de risque ne peuvent pas, ou difficilement, s’adapter aux
changements de leur environnement (c’est notamment le
cas des équipements utilisant de l’eau de refroidissement,
lorsque survient une forte chaleur entraînant une aug-
mentation de la température des fleuves).
Capacité de tolérance
La capacité de tolérance signifie que le sous-processus
peut supporter un événement dans une certaine mesure
et pendant une durée donnée sans subir de perturbation.
Transparence
On parle de transparence lorsque la constitution et le
mode de fonctionnement de l’élément de risque sont faci-
lement compréhensibles – ce qui, en cas de crise, repré-
sente un avantage pour une réparation rapide.
Dépendance vis-à-vis de conditions environnementales
spécifiques
Les établissements opèrent dans les conditions environ-
nementales existantes sur leur(s) site(s). Un établissement
dépendant de conditions environnementales extrême-
ment spécifiques est vulnérable aux modifications éven-
tuelles de ces conditions.
3.2.2.3 Calcul des risques
Dans le cadre du calcul des risques, les calculs, estimations et
résultats issus des scénarios et de l’analyse de vulnérabilité
sont combinés les uns avec les autres pour engendrer des
valeurs ou des résultats relatifs aux risques. Ces valeurs sont
combinées à l’aide d’une fonction. Dans le présent manuel, les
« risques partiels » pesant sur les éléments de risque sont consi-
dérés comme fonction de la probabilité de survenance du scé-
nario en question ainsi que de la vulnérabilité desdits éléments
de risque. Le risque global de chaque sous-processus est formé
par la somme des risques partiels de ses éléments de risque.
En principe, les risques peuvent être calculés de trois maniè-
res différentes24 :
Calcul qualitatif des risques : ce procédé permet d’obtenir
des estimations approximatives sur des risques dont il
fournit une description écrite. Il ne permet d’établir aucu-
ne comparaison chiffrée.
Calcul semi-quantitatif des risques : le calcul semi-quanti-
tatif consiste à déterminer des valeurs pour les différents
facteurs de risque au moyen d’une classification afin d’éta-
blir des comparaisons chiffrées.
Calcul quantitatif des risques : l’analyse quantitative a
pour objectif de calculer mathématiquement les facteurs
de risque – par exemple à l’aide d’analyses de séries chro-
nologiques dans le cas de la probabilité de survenance ou
encore au moyen de modèles de simulation permettant
d’appréhender un certain nombre de répercussions sur un
établissement donné.
Le choix de la méthode de calcul est déterminé d’une part par
le coût en temps et en argent que l’exploitant veut ou peut
investir et d’autre part par la disponibilité des informations et
des données.25
24 Cf. Australian / New Zealand Standard, 2004, pages 18–19.25 L’annexe VI décrit un exemple de mise en place d’une analyse des
risques s’appuyant sur un calcul semi-quantitatif des risques partiels
pesant sur les éléments de risque ainsi que des risques globaux
pesant sur les sous-processus. Pour consulter une méthode d’analyse
des risques spécifique au domaine des technologies de l’informa-
tion, cf. : Office fédéral pour la sécurité des systèmes d’information,
2005.
21
3.2.2.4 Comparaison et évaluation des risques
A ce stade, les valeurs ou descriptions de risques ainsi établies
peuvent être comparées entre elles. Cette comparaison est
particulièrement pertinente en cas d’analyses qualitatives ou
semi-quantitatives, car les valeurs et les descriptions obtenues
ne font en aucun cas office de résultat absolu. Mis en relation
les uns avec les autres, c’est-à-dire comparés en interne, les
résultats des analyses qualitatives et semi-quantitatives sont
très parlants.
L’objectif d’une telle comparaison est d’identifier les éléments
de risque et les sous-processus qui sont soumis aux risques les
plus élevés.
L’évaluation des risques doit montrer si les objectifs straté-
giques, définis initialement, de protection contre les risques
existants ont pu être atteints. S’il existe trop de risques par-
tiels importants, des objectifs opérationnels de protection
devront être définis. Ils serviront de point de départ à la mise
en place de mesures préventives. Voici quelques exemples
d’objectifs opérationnels de protection :
la réduction du risque global pour le sous-processus X et
la réduction des risques partiels les plus importants dans
tous les sous-processus appartenant à des processus criti-
ques.
Les mesures mises en place devront avant tout être destinées
aux sous-processus présentant les risques partiels les plus
importants.
Finalement, il incombe aux responsables de l’établissement
et au chef de projet spécialisé de décider des mesures et des
objectifs opérationnels de protection à appliquer.
3.3 Phase 3 : Mesures et stratégies préventives
Au sein de l’établissement, les mesures préventives contribuent
à la réduction des risques pesant sur les processus critiques.
Elles permettent d’atteindre les objectifs opérationnels de
protection et, par là-même, de relever le seuil de crise des évé-
nements à potentiel de crise (voir également l’illustration 5).
Ainsi, ces mesures permettent de minimiser le nombre de
situations de crise et, le cas échéant, de réduire leur intensité.
Les mesures préventives doivent être soumises à une analyse
coûts-avantages. L’enjeu étant de réduire le risque global,
l’examen consiste à comparer les investissements potentiels
aux coûts directs et indirects qu’occasionnerait une pertur-
bation de l’établissement à la suite d’un événement extrême.
Les résultats de l’analyse des risques sont ensuite confrontés
à ceux de l’analyse coûts-avantages pour sélectionner les
mesures présentant une efficacité particulière dans le cadre
du budget existant.26
Bien souvent, toutefois, l’analyse des risques et l’analyse des
coûts-avantages ne sauraient être la seule base justifiant la
prise de mesures visant à réduire des risques n’ayant qu’une
faible probabilité de survenance mais des répercussions
dramatiques. En sus du cadre juridique, il est également judi-
cieux, en pareils cas, de faire entrer en ligne de compte des
considérations sociales et éthiques dans la décision relative
aux mesures de protection.
Les stratégies préventives font appel à trois outils : la préven-
tion des risques, le transfert des risques et l’acceptation des
risques. Ces stratégies ne doivent être utilisées qu’en complé-
ment de mesures de réduction des risques car elles peuvent
soit restreindre fortement la souplesse de l’établissement
– cas de la prévention des risques – soit n’apporter aucune
contribution à la réduction matérielle des risques – cas du
transfert et de l’acceptation des risques.
3.3.1 Réduction des risques
Les mesures de réduction des risques sont de deux ordres :
soit elles diminuent la vulnérabilité des éléments de ris-
que face aux incidences de certains aléas, soit elles visent à
garantir la continuité opérationnelle des processus critiques
en instaurant des systèmes redondants et / ou des systèmes
de remplacement : même s’ils peuvent perturber certains
éléments critiques, ces systèmes ont l’avantage d’assurer une
continuité opérationnelle dans le cadre de la gestion de la
reprise sur incident27.
GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES
26 Cf. Australian/New Zealand Standard, 2004, pages 21–22.27 On trouvera en annexe V.1 une liste de contrôle détaillée de mise en
œuvre de mesures préventives.
Intensité de l'événement
Intensité de l'événement
Relèvement du seuil de crise par le biais de mesures préventives
Activité normale, y compris la gestion des dysfonctionnements
Crise Evénement Seuil de crise
Illustration 5 : Intensité de l’événement et seuil de crise
22
3.3.2 Prévention des risques
Il est possible de parer les risques soit en évitant les régions
menacées, soit en mettant en œuvre des mesures destinées à
empêcher l’apparition de dangers.
Face aux aléas naturels et à l’environnement des dispositifs à
haut risque (songeons aux itinéraires de transport des mar-
chandises dangereuses), les zones exposées – autrement dit
menacées – peuvent souvent être identifiées. Une révision
de la conception des sites, des bâtiments et des dispositifs
concernés permettra d’éviter ces zones.
La prévention totale des risques est toutefois impossible,
aucun site n’en étant exempt.
3.3.3 Transfert des risques
Le transfert des risques consiste à déplacer ces derniers sur
d’autres entreprises ou contractants afin de réduire l’étendue
financière d’éventuels dommages portés à son propre établis-
sement. Au nombre des instruments du transfert des risques
figurent :
le transfert des risques sur les assurances et
le transfert des risques sur les fournisseurs ou les clients.
3.3.4 Acceptation des risques (risques résiduels)
Les mesures et stratégies préventives accroissent le niveau de
sécurité global de l’établissement. Cependant, certains ris-
ques ne peuvent être totalement éliminés. De ce fait, l’établis-
sement devra documenter les risques résiduels et consigner
leur acceptation par écrit.
Les risques résiduels peuvent déclencher des crises face aux-
quelles l’organisation fonctionnelle et structurelle normale
est généralement démunie. Ainsi, il est nécessaire de dispo-
ser d’une gestion des crises qui donne à l’établissement les
moyens de surmonter efficacement la situation.
3.3.5 Expériences des assureurs de choses en matière de
dommages
Les assureurs de choses portent par essence un vif intérêt à la
protection contre les sinistres et à la réduction de leurs consé-
quences sur la pérennité de l’entreprise.
Nombre de publications (recommandations, directives et
fiches) de l’Union générale des assureurs allemands résument
les enseignements que l’on peut tirer de divers sinistres28.
Source d’information supplémentaire, ces publications
peuvent servir à renforcer la protection de certains établisse-
ments et, par là même, apporter une contribution à la protec-
tion des infrastructures critiques.
3.4 Phase 4 : Gestion des crises
Au sens où l’entend le présent manuel, une crise constitue
par rapport à la situation normale un écart ne pouvant plus
être surmonté à l’aide des seules structures opérationnelles
normales. Les crises survenant au sein d’infrastructures cri-
tiques peuvent considérablement entraver la fonctionnalité
des entreprises et des administrations et, de ce fait, être pré-
judiciables à la population ou perturber le système politique,
social et économique. La loi allemande relative au contrôle et
à la transparence des entreprises (dite « KonTraG ») utilise la
notion de « danger pour la continuité de l’exploitation » – une
notion qui se prête particulièrement bien à l’établissement
d’une définition29. La crise doit être clairement distinguée des
événements de portée moyenne, désignés sous le terme de
« dysfonctionnements » dans le cadre du présent manuel (cf.
illustration 6, page 23).
Les éléments qui vont déclencher une crise peuvent apparaî-
tre au sein même de l’entreprise ou de l’administration – c’est
par exemple le cas des crises financières découlant de mau-
vaises pratiques de gestion ou de malversations (voir illustra-
tion 6) – ou provenir de l’extérieur. Les crises provenant de
l’extérieur peuvent être induites à la suite d’effondrements
boursiers, de manchettes négatives ou de difficultés de livrai-
son. A côté de cela, les aléas naturels, les défaillances tech-
niques, les erreurs humaines, les actes de nature terroriste
ou criminelle et les conflits armés peuvent être considérés
comme principaux éléments déclencheurs de crises affectant
les infrastructures critiques.
REMARQUE IMPORTANTE :
Letransfertn’entraînepasderéductionphysiquedesrisques
pesantsurlespersonnesoulesbiensmatériels.Ellemodifie
seulementlesconséquencesfinancièresquedoitsupporter
l’établissementàlasuitedesdommagessurvenus.
28 Cf. par exemple VdS-Richtlinien 2007 (directives de 2007 de
l’Association allemande des compagnies d’assurances dommages).29 Cf. Trauboth, 2002, pages 14–15.
23
GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES
La gestion des crises fournit une contribution notable à la
protection des entreprises et des administrations et, par
là-même, à la protection des infrastructures critiques et de la
population. Elle n’est pas dissociée de la gestion des risques.
En effet, la préparation aux crises sur le plan conceptuel, orga-
nisationnel, procédural et matériel s’appuie partiellement sur
les résultats de la gestion des risques : la nature et l’ampleur
des risques résiduels qui en découlent influencent le degré de
préparation aux crises. Tous les risques ne pouvant être réduits
à l’aide de mesures d’atténuation et un risque résiduel subsis-
tant toujours, la gestion des crises sert à surmonter les crises
qui ne sauraient être empêchées via la seule prévention.
Dans les établissements constituant des infrastructures cri-
tiques, la gestion des crises a pour objectif de surmonter les
crises tout en
maintenant une fonctionnalité maximale et / ou
permettant une reprise des processus critiques dans les
meilleurs délais.
Une gestion des crises bien menée s’insère dans d’autres
concepts de gestion, tels que la gestion des risques précédem-
ment décrite. Les mesures préparées et activées dans le cadre
de la gestion des crises permettent de garantir le fonction-
nement de l’organisation, la continuité d’exploitation ou de
service et le retour à l’activité normale. Effectuée pendant et
après l’événement, l’évaluation du déroulement de la gestion
des crises permettra de la perfectionner et de l’améliorer. La
gestion des crises peut donc être appréhendée comme un
sous-cycle PDCA s’inscrivant dans la gestion des risques. L’il-
lustration 7 schématise le processus de la gestion des crises.
Infrastructure critique
Dysfonctionnements
Pannes mécaniques
Mauvaise gestion
GrèveDifficultés de livraison
Evolution négative de la Bourse
Pénuries suite à des modifications
subites de la demande
Couverture médiatique
Catastrophes naturelles
Défaillances techniques /
erreurs humaines
Actes de nature terroriste /
criminelle
Conflits armés
Illustration 6 : Eléments déclencheurs de crises internes et externes
ACT• Préparation• Organisation structurelle – cellule de crise – QG de la cellule de crise• Organisation fonctionnelle – plan de crise – fonctions
• Remaniement du plan de crise et optimisation
• Gestion – situation – mise en œuvre de mesures – communication – reprise sur incident et retour à l’activité normale – documentation
• Evaluation
PLAN
CHECK DO
Illustration 7 : Processus de la gestion des crises30
30 Cf. Gesellschaft für Anlagen- und Reaktorsicherheit (Société alle-
mande pour la sûreté des installations et des réacteurs nucléaires),
2007, page 21.
24
Les principales missions de la gestion des crises sont les sui-
vantes :
Instaurer les pré-requis conceptuels, organisationnels et
procéduraux permettant la gestion optimale d’un événe-
ment extrême
Etablir des structures spécifiques – y compris la mise sur pied
d’une cellule de crise – pour réagir à la situation de crise.
Les principales caractéristiques de la gestion des crises sont les
suivantes :
La gestion des crises est un processus qui englobe l’organi-
sation, la mise en œuvre et l’évaluation du plan qui, avec
les actions qui en découlent, permettra de réagir efficace-
ment en cas de crise.
Les mesures sont généralement prises en faisant appel à
des ressources et à des informations qui ne sont disponi-
bles que de manière restreinte.
Le soutien de services ou de ressources externes peut s’avé-
rer nécessaire.
Les décisions sont prises dans l’urgence et en l’absence
d’un niveau complet d’information.
3.4.1 l’organisation de la gestion des crises
La gestion des crises comporte deux composantes élémen-
taires : une organisation structurelle et fonctionnelle spéci-
fique opérant dans toute période de crise, et des plannings
partiels adaptés à différents scénarios et destinés à garantir
la continuité d’activité. Dans ce contexte, tous les plannings
préliminaires requis et envisageables sont regroupés dans un
plan de crise.
3.4.1.1 Plan de crise
Le plan de crise consigne toutes les structures organisation-
nelles et toutes les mesures planifiables qui, en cas de crise,
doivent être respectées ou mises en place par les collabo-
rateurs chargés de la gestion des crises et de la continuité
d’activité ou de service. Un bon plan de crise se distingue
par sa concision et sa précision. Des check-lists31 envisageant
l’éventualité d’une crise facilitent la préparation des mesures
nécessaires et empêchent l’omission de tâches importantes.
Le plan de crise contient les points suivants (fixation des com-
pétences comprise)32 :
But, finalité et domaine d’application du plan de crise
Bases légales
Mise au point d’une organisation structurelle pour la
situation de crise • cellule de crise
• fixation de tâches, de responsabilités et de compétences
suivie d’une répartition entre les référents qui ont été
désignés33
• compétences et activités concrètes en vue de la maîtrise
de la crise
Mise au point d’une organisation fonctionnelle en vue de
la maîtrise de la crise, du retour à la normale et du suivi • circuits de signalement et alerte
• modèle d’escalade / désescalade
• joignabilité d’interlocuteurs à l’intérieur et à l’extérieur
de l’établissement
• mesures de reprise sur incident et de retour à l’activité
normale spécifiques à l’événement considéré
• consignes relatives au suivi de la crise
Mise au point de différents volets de plan déclinés par scé-
nario, par exemple
• évacuation
• panne de courant
• pandémie
• panne au niveau de l’informatique ou de la communica-
tion.
Le plan de crise doit être régulièrement actualisé et donner
lieu à des exercices de mise en application.
31 L’annexe V.2 contient des listes de contrôle permettant de contrôler
un certain nombre de points de détail dans le cadre de la prépara-
tion aux crises.
REMARQUE IMPORTANTE :
unplandecrisedoitsystématiquementêtreélaborémême
siungrandnombredemesurespréventivesontdéjàété
misesenœuvreenamont.
32 L’Office fédéral pour la sécurité des systèmes d’information (2008)
fournit un exemple de plan de crise ainsi qu’un Mémento des situa-
tions d’urgence dans le secteur des TI. 33 Jungbluth, 2005, page 15.
25
GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES
3.4.1.2 Organisation structurelle
Alors que les situations de crise requièrent une organisation
spécifique, chaque établissement constituant une infrastruc-
ture critique se dote d’une organisation structurelle adaptée
à sa nature et à ses besoins. Le « bureau » dédié à ces situations
(la cellule de crise) a pour objectif de maîtriser les crises le plus
rapidement possible et de manière compétente.
3.4.1.2.1 Cellule de crise
La cellule de crise est l’instrument central de réaction face
aux crises. Elle constitue une organisation structurelle spéci-
fique transcendant l’organisation structurelle normalement
chargée de gérer les situations particulières dans les unités
impliquées, et regroupe des compétences intersectorielles
sous une direction unique. La cellule de crise est un instru-
ment décisionnel investi de fonctions annexes de coordi-
nation, d’information, de conseil et d’appui. Sur le plan de
la forme, elle est constituée d’un directeur34 entouré d’une
équipe. Au sein de l’équipe de la cellule de crise, il faut opérer
une distinction entre
l’équipe centrale, composée d’un directeur et d’une à trois
personnes qui seront les principaux référents en cas de
crise,
la cellule de crise élargie, composée de personnes affec-
tées à des fonctions spéciales ou de groupes d’appui35 et
les consultants qui, comme leur nom l’indique, conseillent
la cellule de crise.
Tous les membres affectés à la cellule de crise, ainsi que leurs
suppléants, doivent connaître leur tâche spécifique et y être
préparés. Lors de la désignation des suppléants, il ne faut
pas perdre de vue les scénarios dans lesquels d’importantes
défections de personnel pourraient se répercuter sur les colla-
borateurs de la cellule de crise (épidémies de grande ampleur
ou pandémies, par exemple36). Afin de pouvoir faire face à
ce genre de situation, il convient donc de nommer plusieurs
suppléants.
En amont de la crise et dans l’éventualité de celle-ci, la cellule
de crise doit faire l’objet d’une réglementation spécifique du
temps de travail (comprenant un système de roulement) tout
en prévoyant un temps de passation des compétences à cha-
que fois que les équipes se relaient. Les périodes de crise sont
des périodes de stress : il est donc conseillé de ne pas excéder
une durée d’intervention de six à sept heures.
Dans le domaine de la prévention de la menace et de la pro-
tection civile, le modèle de cellule de crise qui s’est imposé est
exposé en détail dans l’instruction de service 100 à l’attention
des sapeurs-pompiers37. D’inspiration militaire, ce modèle
décrit l’organisation d’un état-major et s’adresse à toutes les
organisations agissant principalement dans le domaine tacti-
que et opérationnel.
Dans le domaine de la protection civile, un autre type d’état-
major intervient au niveau administratif parallèlement à la
cellule de crise tactique et opérationnelle. Assumant avant
tout des tâches administratives, il apporte son assistance à la
cellule de crise. En temps de crise, il a cependant aussi faculté
d’agir de son propre chef lorsqu’aucune composante opéra-
tionnelle n’entre en jeu.
Dans les entreprises et les administrations n’opérant pas dans
la prévention de la menace ou la protection civile, l’organi-
sation de la cellule de crise dépend des exigences auxquelles
l’établissement doit faire face en cas de crise. Dans certaines
entreprises, une organisation de la cellule de crise analogue
à celle que présentent les états-majors administratifs et les
états-majors de commandement peut s’avérer judicieuse
lorsqu’il est, par exemple, nécessaire de mener des activités
similaires ou qu’il faut coopérer étroitement avec les forces
d’intervention de la protection civile. Dans d’autres entrepri-
ses et administrations, cette structure ne sera pas retenue38.
L’important est que la communication entre l’exploitant
de l’infrastructure critique et les autorités en charge de la
prévention de la menace ou les organismes de protection
civile fonctionne. Il est par ailleurs souhaitable que les col-
laborateurs des différentes cellules de crise communiquent
de manière suivie les uns avec les autres et que cet échange
soit explicitement prévu dans l’organisation de l’état-major
administratif.
34 La direction de la cellule de crise peut être assumée par la direction
de l’entreprise ou de l’administration. Une séparation est cependant
recommandée afin d’offrir à l’exécutif une latitude suffisante pour la
prise de décisions importantes et indépendantes.35 Cf. Trauboth, 2002, page 45.36 La politique de protection du personnel et, surtout, de l’état-major,
comprendra par exemple des mesures d’hygiène adéquates, des
masques de protection et la mise en place de postes en télétravail.
Pour toute aide et information complémentaire, cf. l’Office fédéral
pour la protection des populations et l’assistance en cas de catastro-
phes, 2007, le Robert Koch Institut, 2005 et 2007a, ainsi que l’annexe
V.2.37 « Feuerwehrdienstvorschrift 100 » (instruction de service à l’attention
des sapeurs-pompiers), 1999.
38 Le standard BSI 100-4 décrit une autre possibilité destinée aux éta-
blissements œuvrant dans le contexte des TI. Cf. à ce sujet l’Office
fédéral pour la sécurité des systèmes d’information, 2008.
26
Toute cellule de crise doit, indépendamment des missions
imparties à l’établissement, assumer les fonctions d’état-
major et les tâches suivantes39 :
règlement de l’ensemble des aspects ayant trait au person-
nel,
recensement de la situation et actualisation régulière des
informations,
distribution de missions visant à remédier à la crise et
coordination des interventions qui sont requises à cette fin
et sont exécutées par le personnel de l’établissement,
relations avec la presse et les médias,
règlement de l’ensemble des aspects ayant trait à l’infor-
mation et à la communication,
soutien du personnel employé dans le cadre de la gestion
des crises.
Dans les structures entrepreneuriales, les fonctions suivantes
peuvent également être représentées au sein de la cellule de
crise :
affaires juridiques
finances / budget
marketing
logistique
gestion de la qualité
distribution
sécurité du site
protection de l’environnement
sécurité des installations
toxicologie
pompiers d’usine
services de secours.
Pour chacune de ces fonctions, il est possible de rédiger – en
amont de toute crise – un descriptif de tâches détaillant les
activités générales et récurrentes à exécuter pendant la phase
de maîtrise de la crise.
Pour les entreprises opérant à l’échelle internationale ou les
sociétés et administrations en rapport direct avec l’interna-
tional, il est judicieux d’instaurer une fonction intitulée « rela-
tions internationales ». Il est également envisageable d’offrir
une assistance supplémentaire à la cellule de crise, notam-
ment pour établir des évaluations de la situation.
Lorsqu’une entreprise ou une administration comporte plu-
sieurs succursales, agences ou annexes, il est conseillé de met-
tre en place un état-major consortial ou général en sus des
cellules de crise in situ pour le cas où la totalité de l’entreprise
ou de l’administration serait touchée par la crise.
39 D’après la Feuerwehr-Dienstvorschrift (instruction de service à
l’attention des sapeurs-pompiers), 1999.
3.4.1.2.2 Directeur de la cellule de crise
Lors de la réaction à un événement extrême, le directeur de
la cellule de crise assume le pilotage de l’ensemble des opé-
rations liées à la crise et prend toutes les décisions liées à la
maîtrise de la crise. Il devra donc déjà occuper une position
dirigeante au sein de l’entreprise ou de l’administration
concernée. Le directeur de la cellule de crise ne peut mener
son travail que dans un cadre juridique et financier préalable-
ment défini.
Le pilotage d’une cellule de crise suppose une forte person-
nalité et des qualités empiriques telles que leadership, haute
endurance dans les situations extrêmes, aptitude marquée
à la prise de décision dans l’urgence, capacité de travail en
équipe et compétence sociale. Le directeur de la cellule de
crise s’illustre par un don de compréhension et une faculté
d’analyse rapides. Il faut néanmoins qu’il ait également la
confiance de la direction de l’entreprise ainsi que celle de
l’équipe de la cellule de crise. Le recours à des généralistes
assistés par des spécialistes est une option avantageuse.
Il est recommandé que le directeur de la cellule de crise s’ap-
proprie des connaissances spécifiques en matière de maîtrise
de crise lors de stages de formation initiale et continue.
3.4.1.2.3 Equipe de la cellule de crise
Selon le type de crise, l’équipe centrale déjà existante sera
complétée par des fonctions spéciales adaptées à l’événe-
ment. Ces fonctions spéciales sont assumées par des person-
nes disposant de compétences spécifiques – et les besoins
sont fonction de la nature de la crise. La décision relative à
la composition de l’équipe de la cellule de crise est prise par
le directeur de la cellule. L’équipe centrale a pour tâche de
préparer les décisions à l’attention du directeur de la cellule
et d’ordonner des mesures visant à surmonter la crise ou à
limiter les dommages.
3.4.1.2.4 Consultants au sein de la cellule de crise
Des consultants internes et externes peuvent venir complé-
ter la cellule de crise sans en faire formellement partie. Ils
peuvent notamment être associés aux processus décisionnels
nécessitant des informations pointues. A titre d’exemple, il
pourra s’agir de connaissances en matière de cycles d’activité,
de logiciels utilisés, de mesures de sécurité, de finances, d’en-
vironnement, de production, de lutte contre l’incendie et de
secours, ainsi que de protection civile au niveau communal,
régional ou national.
3.4.1.3 Organisation fonctionnelle
L’organisation fonctionnelle régit l’activation de la gestion
des crises ainsi que les tâches imparties à la cellule de crise.
Cela se traduit par l’exercice de fonctions d’état-major spé-
cifiques assumées par des collaborateurs nommés en consé-
quence.
27
GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES
Les tâches menées dans le cadre de la maîtrise d’une crise
sont les suivantes :
notification, compte rendu, alerte ;
constatation et évaluation de la situation ainsi que de son
évolution probable (y compris la fourniture d’informa-
tions) ;
développement de stratégies concrètes de maîtrise de la
crise suivies de l’ordre de les mettre en œuvre ;
surveillance et contrôle de la mise en œuvre ;
documentation de la démarche ;
communication de la démarche, tant en interne qu’en
externe ;
activation de mesures visant à permettre la reprise des
processus ;
rétablissement de la continuité d’activité et de service.
3.4.1.3.1 Circuits de signalement et alerte
La rapidité et l’exhaustivité du flux d’informations sont indisso-
ciables du succès de la gestion des crises. Ses éléments centraux
sont les comptes rendus transmis verbalement ou par écrit.
Lorsqu’ils sont de qualité, le processus de maîtrise de la crise
s’en trouve facilité. Tel est le cas lorsque les comptes rendus40
sont livrés immédiatement,
précisent l’instant et le lieu du constat,
sont clairs, concrets et sans équivoque,
sont concis tout en étant complets,
discernent clairement les faits des suppositions,
sont classés par urgence.
La transmission de comptes rendus internes relatifs à des
événements ou à des dommages donnés impose donc de fixer
non seulement un circuit de signalement standardisé mais
aussi une procédure standardisée garantissant la saisie et
l’acheminement de toutes les informations nécessaires.
Lorsque survient un événement qu’il est impossible de maîtri-
ser grâce à la seule gestion interne des dysfonctionnements et
lorsque cet événement est susceptible d’engendrer une crise,
il est nécessaire d’informer le plus rapidement possible le
directeur de la cellule de crise. Les constats relatifs aux dégâts
occasionnés dans l’environnement de l’établissement peuvent
être communiqués par le personnel, les clients, les habitants
ou encore des entreprises et administrations externes. En fonc-
tion de l’ampleur de l’événement, un décideur – généralement
le supérieur hiérarchique – doit être informé. Si l’événement ne
peut être maîtrisé dans le cadre de ses attributions, il le signale
au directeur de la cellule de crise ou à la direction de l’établis-
sement. Le directeur de la cellule de crise décide de l’activation
de l’organisation structurelle et fonctionnelle spécifique.
Le directeur de la cellule de crise évalue la menace et assure
l’alerte des personnes appelées à intervenir dans la gestion
des crises et / ou des entités telles que l’équipe centrale de la
cellule de crise, la cellule de crise élargie, les centres de coor-
dination et la direction de l’établissement. Les entités exter-
nes telles que fournisseurs et clients, organisations et diverses
institutions d’aide, établissements publics (écoles et crèches,
par exemple), administrations et service publics de santé (y
compris, notamment, médecins et hôpitaux) sont informées
de l’événement s’il y a lieu.
La procédure est sous-tendue par des listes d’alerte contenant
les coordonnées du personnel appelé à intervenir dans la
gestion des crises et les coordonnées des services extérieurs
concernés. Les listes d’alerte et de notification doivent être
établies au préalable par l’entreprise ou l’administration
concernée et actualisées régulièrement.
Le passage de l’activité normale à la gestion des crises et à
l’alerte du personnel peut s’effectuer de manière abrupte ou
par escalade. De ce fait, les deux modèles suivants sont envi-
sageables :
Modèle de seuil
Dans ce cas, il n’existe qu’un seul niveau d’alarme entre
l’activité normale (gestion de dysfonctionnement compri-
se) et la gestion des crises. Si ce seuil est dépassé, on passe
automatiquement à la situation dans laquelle le plan de
crise est activé, avec une cellule de crise assumant la direc-
tion de la crise. L’ensemble du personnel et des services
œuvrant dans la gestion des crises sont alertés.
Modèle d’escalade
Dans ce cas, le plan de crise comporte une subdivision
en plusieurs niveaux d’alerte, à partir desquels la mobili-
sation du personnel et le recours à tels ou tels moyens et
mesures sont fixés en fonction de l’événement. Ce modèle
permet de réagir avec précision à différents types d’évé-
nements et de répercussions, mais implique une planifica-
tion plus complexe de la crise41.
Une fois qu’un événement a été rapporté au directeur de
la cellule de crise et que l’ensemble des services internes et
externes concernés ont été alertés, la cellule lance des ordres
visant à répartir les tâches au sein de l’établissement. Le per-
sonnel appelé à intervenir dans la gestion des crises notifie
l’état des choses par le biais de comptes rendus à la cellule de
crise. Quant aux services externes, ils informent directement,
en règle générale, la cellule de crise.
L’illustration 8 (page 28) récapitule les circuits de signalement
au sein d’un établissement et les modalités d’alerte des per-
sonnes concernées.
40 Feuerwehr-Dienstvorschrift (instruction de service à l’attention des
sapeurs-pompiers), 1999, page 29.41 Jungbluth, 2005, page 17.
28
oui
oui
oui
non
non
non
Kernteam
Signalement d’un événement par le personnel
Signalement d’un événement par les clients, les habitants
Transmission du signalement à un décideur
Evénement en-deçà du seuil de crise ?
Transmission au service spécialisé compétent ; contrôle des mesures
Information du directeur de cellule de crise
Evénement maîtrisable au sein du service spécialisé ?
Contrôle : événement en-deçà du seuil de crise ?
Répartition entre les services spécialisés
Service spécialisé A Service spécialisé N MédiasAdministrations
(protection civile, autorités en charge de
l’environnement, police, etc.)
Traitement au sein du service spécialisé
Convocation de la cellule de crise Information de la direction
Service récepteur (centre de coordi-nation, accueil, service d’astreinte, …)
Signalement d’un événement par des établissements externes
Alerte et notifications externes indispensables dans le cadre de
la gestion des crises
Alerte et notifications externes indispensables dans le cadre de
la gestion des crises
Illustration 8 : Circuits de signalement et alerte
29
3.4.1.3.2 Communication de crise
Cette notion recouvre la communication de la crise auprès
du public et là notamment auprès des médias. Cette tâche
est assumée par le service des relations avec la presse dans le
cadre des relations publiques.
Durant la phase initiale, et capitale, de développement d’une
crise, il est primordial d’associer et d’informer en temps quasi
réel les autres organisations, les médias et la population, ainsi
que de tenir sa propre organisation au courant. En cas de crise,
le travail d’information doit démarrer exactement en même
temps que la phase de maîtrise de la crise. Les communiqués
de presse doivent pouvoir être émis en un temps très bref.
Cependant, la non-divulgation d’informations constitue elle
aussi une forme de communication de crise : il est donc essen-
tiel d’identifier les informations devant rester confidentielles.
Les crises affectant la population nécessitent la préparation
de permanences téléphoniques et de pages Internet convi-
viales. Des agents spécifiquement formés, équipes de renfort
comprises, doivent pouvoir être convoqués immédiatement
en cas de crise afin de pouvoir maîtriser des exigences accrues
en matière de communication auprès de la population.
Durant cette phase, il est également impératif d’intensifier la
communication interne.
Les premiers comptes rendus relatifs à un événement ou
à une crise sont souvent faits par les médias. Il est donc
conseillé de désigner, en amont de toute crise, au moins un
porte-parole par lequel passera toute la communication avec
les médias. Ainsi, l’établissement sera en contact avec les
journalistes dès le stade le plus précoce du déroulement des
événements. La perception de la crise et l’image de sa ges-
tion dépendent dans une très forte mesure de la couverture
médiatique. Une communication fructueuse et performante
avec les médias suppose notamment,
un réseau avec les médias locaux, régionaux et nationaux,
des recommandations pour gérer les premiers contacts
avec les médias en cas de crise,
la préparation de dossiers de fonds et de modèles pour les
communiqués de presse, les notes de discussion, etc.,
de l’expérience en matière de conférences de presse et une
formation spéciale aux médias,
le cas échéant, une assistance externe par des spécialistes
de la communication de crise.
GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES
Lors de crises concernant le grand public, il est important que
les décideurs responsables (chefs d’entreprise, responsables
d’administrations, attachés de presse ou responsables de
l’information au sein de l’établissement) interviennent tôt /
en temps opportun et de manière adéquate dans les médias.
Formulées avec pondération, les déclarations doivent trans-
mettre des informations véridiques et sans équivoque dans
un langage intelligible.
Les règles de base de la communication externe sont les sui-
vantes :
toute crise est également une crise d’information ;
la gestion des crises implique une gestion de l’information ;
les premières heures d’une crise sont d’une importance
décisive : les informations transmises durant cette phase
laissent une impression qui a de grandes chances de s’an-
crer durablement ;
c’est en fonction de la qualité de la communication de
crise que le public sera convaincu – ou non – que les res-
ponsables sont à la hauteur de la crise ;
l’information doit satisfaire les besoins du public ;
les responsables de l’information doivent instruire la
cellule de crise des besoins en information de l’opinion
publique et des médias, ainsi que des effets engendrés par
la communication.
L’illustration qui suit récapitule schématiquement la
manière dont s’articule l’organisation structurelle et fonc-
tionnelle.
REMARQUE IMPORTANTE :
Ilfautveilleràcequeseullepersonnelautorisédélivredes
informationsàl’extérieur.
Lorsd’événementslongsetgraves,ilestconseilléqu’un
représentantdeladirectiondel’entrepriseoudel’adminis-
trationassumelacommunicationversl’extérieur.Pource
faire,ilreçoitdesinformationscontinuellementmisesàjour
etdesconseilsapprofondisdelapartdelacelluledecrise.
Danscecas,ledirecteurdelacelluledecriseassumela
coordinationdelamaîtriseinternedelacriseetcontinuede
prendrel’ensembledesdécisions.
30
3.4.1.4 Quartier général de la cellule de crise
Le quartier général (QG) de la cellule de crise désigne l’espace
spécialement mis à disposition de cette dernière avant, pen-
dant et après la crise. On l’appelle également centre de situa-
tion, centre des opérations d’urgence ou PC de crise.
Le QG de la cellule de crise sert de lieu de rassemblement aux
membres de la cellule de crise. Lors de la planification et de
l’aménagement de cet espace, il convient de tenir compte du
site, du site de repli et de l’équipement.
L’emplacement du QG doit être fixé à l’avance. Simple d’accès,
il doit également offrir une protection contre les incidences
d’un aléa. Pour pouvoir faire face à l’éventualité d’une panne
fonctionnelle sur ce premier emplacement, un emplacement
de remplacement doit être désigné ; seuls la direction de l’en-
treprise / administration, la cellule de crise et son directeur en
connaîtront l’existence et sauront à quel endroit il se trouve.
Le QG de la cellule de crise doit être équipé d’une infrastruc-
ture redondante de communication et d’information et doit
disposer des moyens techniques efficaces pour se procurer
l’information, la traiter et la présenter. Il doit également être
doté d’une alimentation électrique de secours pour tous les
appareils techniques et l’éclairage42.
Sur le plan de la sécurité, certains aspects doivent éventuel-
lement être observés : le QG de la cellule de crise pourra par
exemple vouloir éviter d’être observé ou mis sur écoutes. Par
ailleurs, la fonctionnalité de la salle et de son équipement
devra être contrôlée à intervalles réguliers.
Le personnel, l’espace et les équipements techniques impar-
tis à la cellule de crise et à la salle qui lui aura été attribuée
dépendent, tant dans leur nature que dans leur ampleur, des
risques existants, de la définition et de l’étendue des tâches
et processus, de la taille et de la diversité sectorielle de l’éta-
blissement, de particularités locales et du statut de l’établisse-
ment : s’agit-il du siège principal, de succursales ou d’établis-
sements secondaires ?
3.4.2 Maîtrise de la crise
Une fois que la cellule de crise a été activée, les activités visant
à surmonter la crise peuvent commencer. Dès lors, le QG de la
cellule de crise sert de lieu de rassemblement et les activités
sont exécutées conformément au plan de crise. La transmis-
informations,signalements
Equipe centrale
RH Situation Ordres / intervention
Soutien du personnel
Relations presse / médias
Tâches spécifiques
à l'organisme
Informatique et communication
Cellule de crise élargie
Consultants
Directeur de la cellule de crise
Cellule de crise
En interne A l'extérieur
Comptes rendusComptes rendusinstructions
Département A
Département B
Département C
Département D
… Département N
informations,demandes
Services externes (par exemple administrations
en charge de la prévention de la menace, protection
civile), clients, presse
Illustration 9 : Organisation structurelle et fonctionnelle
42 L’annexe V.6 fournit une liste détaillée des locaux et de l’équipement
technique du QG de la cellule de crise ; elle apporte également des
précisions supplémentaires sur les équipements nécessaires.
31
GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES
sion de l’information et les moyens de communication sont
une condition sine qua non à la maîtrise de la crise. Ils doivent
fonctionner (ou se remettre à fonctionner). Toutes les actions
et décisions intervenant dans le cadre de la maîtrise de la
crise sont documentées dès le début des travaux de la cellule
de crise.
La maîtrise d’un événement extrême s’accomplit selon un
cycle comportant quatre stades : la constatation de la situa-
tion, l’évaluation de la situation, l’adoption/mise en œuvre de
mesures et le contrôle. Ce cycle est repris au terme de chaque
sous-événement et de chaque mesure modifiant substantiel-
lement la situation, jusqu’au retour à la situation normale.
3.4.2.1 Tableau de la situation
Recueil de l’information
La cellule de crise recueille des informations sur l’événement
afin de dresser un tableau de la situation. Condition sine qua
non d’une appréciation pertinente de la crise et du choix des
activités qui permettront de minimiser les dégâts, ce tableau
renseigne sur
la nature, l’ampleur et le déroulement des événements,
les répercussions et l’évolution potentielle de la situation,
les possibilités de réaction,
les mesures prises jusqu’alors44.
L’ensemble des comptes rendus qui ont été émis et des recon-
naissances qui ont été personnellement menées est recensé.
Il est également nécessaire de disposer d’informations sur la
situation de la menace et l’ampleur des dégâts, ainsi que sur
les ressources humaines et les capacités techniques disponi-
bles.
Durant la phase de maîtrise de la crise, le recueil d’informa-
tions est facilité lorsque des plans et de cartes ont été préparés
en amont de la crise. Parmi les documents servant au recueil
d’informations figurent
les plans d’ensemble et les cartes (terrains, bâtiments),
les plans de bâtiments (extincteurs, sorties, issues et sorties
de secours, abris, salle du QG de la cellule de crise),
les plans des installations et des réseaux (interrupteur
principal pour l’alimentation en courant, robinets princi-
paux d’eau et de gaz, tuyauteries).
Les plans et les cartes doivent être actualisés régulièrement.
Outils de recueil et de traitement de l’information
Le recueil de l’information s’appuie sur les comptes rendus
fournis par le personnel de l’établissement, les habitants, divers
acteurs publics et privés externes à l’établissement (comme les
clients, la police et la protection civile) ainsi que les médias.
Les équipements nécessaires au recueil de l’information coïnci-
dent en partie avec les caractéristiques d’équipement du QG de
la cellule de crise45 – comme les téléphones, l’accès à Internet,
la radio et les téléviseurs. Ces ressources sont complétées par le
matériel cartographique susmentionné ainsi que par un certain
nombre d’ouvrages de référence.
Un traitement graphique de l’information permettra de faci-
liter une appréhension intuitive des événements chez tous les
protagonistes. Si l’établissement utilise un système d’informa-
tion géographique46, les informations spatiales clés pourront
être sauvegardées – en amont – et affichées par voie électroni-
que en temps voulu.
Présentation d’un tableau de la situation
La cellule de crise élabore un tableau actuel de la situation.
Ce tableau comprend les éléments suivants : le lieu, l’heure,
éventuellement la météo, la nature du sinistre et la situa-
tion de la menace, les mesures engagées et toutes les autres
possibilités de réaction. Constituant une synthèse de tous
les comptes rendus émis et de toutes les informations reçues
jusqu’à ce moment, il fournit une description condensée des
faits les plus récents.
Constatation de la situation
Adoption et mise en œuvre de mesures
Contrôle Evaluation de la situation
Illustration 10 : Cycle de maîtrise d’événements extrêmes43
43 D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’at-
tention des sapeurs-pompiers), 1999, page 25.44 Jungbluth, 2005, page 38.
45 Voir annexe V.6.46 Les systèmes d’information géographique sont des logiciels relayés
par des bases de donnés à l’aide desquelles on peut saisir et analyser
des données spatiales.47 Feuerwehr-Dienstvorschrift (instruction de service à l’attention des
sapeurs-pompiers), 1999, page 26.
32
Parmi les documents essentiels à une présentation de la situa-
tion figurent :
les cartes de situation,
les plans de bâtiments,
les comptes rendus relatifs à l’événement
les enregistrements audio et audiovisuels48.
Le schéma ci-après récapitule les principaux points permet-
tant de dépeindre l’état de la situation.
3.4.2.2 Evaluation de la situation, adoption et mise en
œuvre de mesures
Le tableau de la situation donne lieu à une évaluation systé-
matique débouchant sur une décision quant aux mesures à
prendre. Une fois dressé l’état de la situation, le directeur de
la cellule de crise tranche sur la suite de la démarche.
Parmi les moyens d’évaluation de la situation figurent50 :
le tableau de la situation lui-même,
les bases légales,
les directives,
les fiches d’information.
La situation fait l’objet de mises au point régulières – présen-
tées dans le cadre de briefings si cela s’avère nécessaire. Quel
que soit le type de crise auquel il a affaire, le directeur de la
cellule de crise doit prendre des décisions claires sur les mesu-
res à mettre en œuvre51.
3.4.2.3 Contrôle
Le contrôle vise à vérifier si le personnel (des succursales ou
des forces d’intervention, par exemple) a bien reçu les ins-
tructions de la cellule de crise, s’il les a comprises et correcte-
ment mises en œuvre. Le contrôle a également pour objectif
de surveiller les répercussions des décisions qui ont été prises.
Après avoir été mise en œuvre, chaque mesure engendre un
nouveau tableau de la situation – qui doit à son tour être dres-
sé, puis présenté. Chaque nouveau tableau sert de base au
contrôle des répercussions des mesures prises à ce moment
précis et à la planification de la démarche ultérieure.
3.4.2.4 Garantie de la continuité d’activité et de service
L’un des éléments essentiels de la maîtrise des crises au sein
des établissements constituant des infrastructures critiques
est l’activation de mesures d’urgence, de systèmes redon-
dants et de systèmes de remplacement préalablement définis,
dans le cadre de la gestion des risques, afin de garantir la
continuité d’activité et de service52.
3.4.2.5 Retour à l’activité normale
Tout comme dans le cas de l’activation de la gestion de crise,
c’est au directeur de la cellule de crise qu’il revient de lever
la gestion active de la crise et d’annoncer le retour à l’activité
normale. Un modèle de seuil et un modèle de désescalade
sont, là aussi, envisageables53. Dans le cas du modèle de seuil,
la transition vers l’activité normale s’opère immédiatement.
Dans le cas du modèle de désescalade, la transition s’effectue
graduellement. Il est fort probable que ce second modèle soit
mis à contribution dans la plupart des situations de crise, et
plus particulièrement celles possédant des répercussions sur
différents secteurs de l’établissement.
3.4.2.6 Documentation de la maîtrise de la crise
Tous les comptes rendus entrants et sortants (par téléphone,
fax et e-mail par exemple) de même que l’ensemble des déci-
sions, mesures et activités doivent être consignés par écrit.
Pour ce faire, il est possible de recourir à des formulaires stan-
dardisés mentionnant chacun la date et le nom de l’auteur.
Parmi les autres outils de documentation figurent :
Sinistre• type de dommage• cause du dommage
Bâtiment sinistré• nature• taille• matériau• construction• alentours
Ampleur du sinistre• personnes• fonctionnalité• faune, environnement• biens matériels• processus de production• état de la fonctionnalité de l’entreprise ou de l’administration• dommages indirects
Maîtrise de la crise• direction de la cellule de crise• cellule de crise
Personnel investi de fonctions en cas de crise• effectifs• disponibilité• formation complémentaire (par ex. premiers secours)• aptitudes
Moyens• TI• véhicules• appareils
Illustration 11 : Aperçu des éléments constitutifs
d’un tableau de la situation49
48 Adapté d’après la Feuerwehr-Dienstvorschrift (instruction de service
à l’attention des sapeurs-pompiers), 1999, page 41.49 D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’at-
tention des sapeurs-pompiers), 1999, page 27.50 D’après la Feuerwehr-Dienstvorschrift (instruction de service à l’at-
tention des sapeurs-pompiers), 1999, page 45.51 L’annexe V.3. contient, pour tout un éventail de situations de crise,
des check-lists en vue de la mise en œuvre de premières mesures.52 Cf. chapitre 3.3.1.53 Cf. chapitre 3.4.1.3.1.
33
les formulaires pré-imprimés,
les bordereaux d’envoi et les accusés de réception,
les journaux et carnets de bord,
les comptes rendus relatifs aux signalements,
les médias électroniques.
La documentation établie pendant une crise sert à évaluer et à
clarifier les problèmes d’assurance de même que les problèmes
financiers et juridiques. Elle doit donc être défendable devant
les tribunaux.
3.4.3 Suivi post-crise
Après le retour à l’activité normale, la documentation permet
de procéder à un suivi post-crise. Ce suivi peut prendre la for-
me d’un rapport élaboré en toute confidentialité et en temps
quasi réel par le directeur de la cellule de crise, qui le trans-
met à la direction de l’établissement en vue d’une évaluation
des éventuelles conséquences juridiques pour l’établissement
et le personnel employé. Un autre objectif majeur du suivi
post-crise est le contrôle de la fonctionnalité et de la trans-
posabilité pratique du plan de crise, dans le but de mettre en
évidence les lacunes de la gestion de crises et de les combler
grâce à une planification complémentaire54.
3.4.4 Exercices
Les événements extrêmes sont généralement très rares. Les
structures et le déroulement de crises doivent donc donner
lieu à des exercices à intervalles réguliers afin de pouvoir
fonctionner impeccablement en cas d’événement. Les objec-
tifs de tels exercices sont de55
vérifier la fonctionnalité et la transposabilité pratique du
plan de crise,
s’entraîner à la coordination et à la communication de
crise et
tester des déroulements de crises.
Pour ce faire, il existe différents types et diverses méthodes
d’exercices, qui se distinguent tant par leur degré d’abstrac-
tion que par leur coût. Dans ce contexte, nous citerons
les exercices d’état-major (portant sur la maîtrise théori-
que d’un scénario de sinistre ; participants : membres de
la cellule de crise),
les exercices « table top » (portant sur la maîtrise théori-
que d’un scénario de sinistre ; participants : membres de
la cellule de crise et d’autres secteurs),
les exercices de grande envergure (déroulement réel
d’un exercice ; participants : tous les niveaux et postes de
direction),
les exercices ciblant des sous-fonctions (par exemple
exercices d’évacuation, entraînement à la communica-
tion),
les exercices d’alerte (pour déterminer la joignabilité et
les délais d’intervention).
Les critères de sélection de telle ou telle méthode d’exercice
sont
l’objectif imparti,
les intervalles de répétition souhaités et
le degré d’intensité voulu.
Associant toute la hiérarchie et tous les collaborateurs, les
exercices de grande envergure sont particulièrement proches
de la réalité. Leur préparation et leur réalisation sont cepen-
dant très coûteuses – en temps, en efforts et en argent.
A l’inverse, les exercices d’état-major et les exercices « table
top » portent sur la maîtrise théorique des scénarios de sinis-
tres. Les exercices d’état-major traitent des principaux aspects
de la structure de gestion des crises – tels que la cellule de
crise et la fonctionnalité du plan de crise. Les exercices « table
top » associent des secteurs supplémentaires, y compris
d’autres circuits de décision et de signalement.
Dans le cas des exercices d’état-major et « table top », tous les
événements partiels sont passés en revue à l’aide d’un scé-
nario permettant à l’équipe d’encadrement de surveiller et
de piloter l’exercice. Ce scénario est en général inconnu des
acteurs se livrant à l’exercice. Il anticipe de possibles réactions
de leur part. Des réactions imprévues peuvent être intégrées
au dernier moment dans l’exercice par l’équipe d’encadre-
ment.
L’inconvénient des exercices d’état-major et « table top »
réside dans le caractère théorique de la maîtrise du scénario.
Toutefois, ce type d’exercice permet aux intervenants clés
de la gestion des crises de s’exercer, sans avoir à déployer
les moyens nécessités par un exercice de grande envergure
impliquant la participation de tous les acteurs.
Les exercices ciblant des sous-fonctions permettent de pour-
suivre des objectifs bien précis, tout en déployant des efforts
de planification moindres par rapport aux exercices de
grande envergure.
54 Proposant une liste de premières démarches concrètes à suivre dans
le cadre d’un suivi post-crise, l’annexe V.4 analyse plusieurs options
d’amélioration afin de se préparer à toute nouvelle crise. Pour de
plus amples informations, il est par exemple conseillé de consulter
l’Office fédéral pour la sécurité des systèmes d’information, 2006.55 Gustin, 2004, page 226.
GESTIOnDESRISQuESETDESCRISESPOuRLAPROTECTIOnDESInfRASTRuCTuRESCRITIQuES
34
Les exercices d’alerte servent à tester les plans d’alerte et le
modèle de seuil ou d’escalade.
Les préparatifs impliquent de trancher sur un certain nombre
de principes d’élaboration56 applicables à tout type d’exer-
cice :
Quel type d’exercice choisit-on ?
Quels objectifs l’exercice poursuit-il ?
Qui doit participer à l’exercice ?
Qui doit assumer le pilotage de l’exercice ?
Quand et où l’exercice doit-il avoir lieu ?
Quels outils techniques sont nécessaires à la réalisation de
l’exercice ?
Quels aspects le scénario de l’exercice doit-il contenir ?
Comment l’exercice est-il évalué et documenté ?
A l’issue de l’exercice, la documentation permet de contrô-
ler les réactions des participants et plus particulièrement
le déroulement impeccable du plan de crise. Cela permet
d’identifier les faiblesses existantes et d’actualiser le plan de
crise57.
56 Gustin, 2004, page 262.57 L’annexe V.5 contient une liste de contrôle pour les exercices de crise.
3.5 Phase 5 : Evaluation de la gestion des risques et des crises
L’évaluation porte sur l’ensemble des phases, c’est-à-dire tant
sur le contrôle des points arrêtés lors du planning prélimi-
naire, que sur le contrôle des risques existants et de l’effica-
cité des mesures préventives mises en œuvre – sans oublier le
contrôle de la gestion des risques. Elle doit intervenir réguliè-
rement, de préférence chaque année.
Des évaluations supplémentaires sont nécessaires
après la mise en place de mesures,
suite à un élargissement / un changement dans l’établisse-
ment
lors d’une modification des dangers et des risques exis-
tants.
La gestion des risques et des crises doit s’inscrire dans la réa-
lité vécue. Elle ne pourra se muer en plus-value durable pour
l’établissement que si toutes les phases sont régulièrement
passées au crible, fournissant ainsi la base d’une optimisation
constante du niveau de sécurité au sein de l’entreprise ou de
l’administration.
35
Annexe
36
I. Bibliographie
American Water Works Association (2001) (édit.) : Emer-
gency Planning for Water Utilities, Manual of Water Supply
Practices M19. Denver.
Australian / New Zealand Standard (2004) (édit.) : Risk
Management AS / NZS 4360:2004. Standards Australia / Stan-
dards New Zealand. Sydney / Wellington.
Bockslaff, K. (1999) : Die eventuelle Verpflichtung zur Errich-
tung eines sicherungstechnischen Risikomanagements.
Dans : NVersZ. n° 3, pages 104–110.
Bockslaff, K. (2004) : Sicherheit – ein Beitrag zur Wert-
schöpfung im Unternehmen. Dans : WIK – Zeitschrift für die
Sicherheit der Wirtschaft. n° 5, pages 27–32.
British Standard (2006) (édit.) : DPC BS 25999-1 Code of prac-
tice for business continuity management. London (projet).
Centre de recherche sur l’environnement alpin (2000)
(édit.) : Leitfaden für erdbebensicheres Bauen. Sion.
Department of Health and Human Services and the Cen-
ters for Disease Control and Prevention (2007) : Business
Pandemic Influenza Planning Checklist. http://www.pande-
micflu.gov/plan/workplaceplanning/businesschecklist.html
(15 octobre 2007). [Traduction du Verband deutscher Betriebs-
und Werksärzte, Berufsverband deutscher Arbeitsmediziner
VDBW e. V. : http://www.vdbw.de/de/grippe_pandemie/
Checkliste_fuer_Firmen_im_Rahmen_der_Influenza.pdf
(15. octobre 2007)].
Department of Homeland Security (2006) : Pandemic
Influenza Preparedness, Response, and Recovery Guide for
Critical Infrastructures. http://www.pandemicflu.gov/plan/
pdf/cikrpandemicinfluenzaguide.pdf (15 octobre 2007).
Dost, S. (2006) : Risk Management – Features of corporate
risks and the likelihood of identification. Innovation and
Technical Progress: Benefit without Risk? Dans : Book of
Abstracts of the 15th Annual Conference of the Society for
Risk Analysis (Ljublijana, 11–13 septembre, 2006), page 21.
Egli, T. (1999) : Richtlinie Objektschutz gegen Naturgefahren.
Saint-Gall.
Federal Emergency Management Agency (2003) (édit.) :
Risk Management Series Reference Manual to Mitigate Poten-
tial Terrorist Attacks Against Buildings – FEMA 426. http://
www.fema.gov/plan/prevent/rms/rmsp426 (15 octobre 2007).
Feuerwehr-Dienstvorschrift 100 (1999) : Führung und
Leitung im Einsatz – Führungssystem. http://www.idf.nrw.de/
download/normen/fwdv100.pdf (15 octobre 2007).
Gesellschaft für Anlagen- und Reaktorsicherheit (2007)
(édit.) : Managementsysteme in Kernkraftwerken, GRS – 229.
Cologne.
Gray, P. C. R. et al. (2000) : Risk communication in print and
on the web. A critical guide to manuals and internet resour-
ces on risk communication and issues management. http://
www.fz-juelich.de/inb/inb-mut/rc/inhalt.html (4 octobre
2007).
Gustin J. F (2004) : Disaster & Recovery Planning : A Guide for
Facility Managers. Lilburn.
Institut Robert Koch (2005) : Beispiel von Maßnahmenpla-
nungen im Influenza-Pandemiefall. http://www.rki.de/
cln_049/nn_200120/DE/Content/InfAZ/I/Influenza/Pandemie-
planung__Konzern-28102005,templateId=raw,property=pu
blicationFile.pdf/Pandemieplanung_Konzern-28102005.pdf
(22 octobre 2007).
Institut Robert Koch (2007a) : Nationaler Pandemieplan,
Teil II. http://www.rki.de/cln_048/nn_200132/DE/Content/
InfAZ/I/Influenza/influenzapandemieplan__II,templateId=r
aw,property=publicationFile.pdf/influenzapandemieplan_
II.pdf (6 octobre 2007).
Institut Robert Koch (2007b) : Anhang zum Influenzapande-
mieplan. http://www.rki.de/cln_048/nn_200132/DE/Content/
InfAZ/I/Influenza/Influenzapandemieplan__Anhang,templa
teId=raw,property=publicationFile.pdf/Influenzapandemie-
plan_Anhang.pdf (6 octobre 2007).
37
Office fédéral pour la protection des populations et l’as-
sistance en cas de catastrophes (2007) : Betriebliche Pan-
demieplanung – Kurzinformation der Bund-Länder-Arbeits-
gruppe « Influenzapandemieplanung in Unternehmen ».
http://www.bbk.bund.de/cln_027/nn_402322/SharedDocs/
Publikationen/Publikation_20KatMed/Betr-Pandemiepla,tem
plateId=raw,property=publicationFile.pdf/Betr-Pandemiepla.
pdf (15 octobre 2007).
Office fédéral pour la sécurité des systèmes d’information
(2005) : BSI-Standard 100-3 « Risikoanalyse auf der Basis von
IT-Grundschutz ». http://www.bsi.bund.de/literat/bsi_stan-
dard/standard_1003.pdf (4 octobre 2007).
Office fédéral pour la sécurité des systèmes d’information
(2006) : COMCHECK und ALEX. Beschreibungen, Checkliste
und Hilfen für Kommunikationsüberprüfungen und Alar-
mierungsübungen. http://www.bsi.bund.de/fachthem/kritis/
comcheck.pdf (16 octobre 2007).
Office fédéral pour la sécurité des systèmes d’information
(2007) : G 1 Gefährdungskatalog Höhere Gewalt. http://www.
bsi.bund.de/gshb/deutsch/g/g01.htm (10 octobre 2007).
Office fédéral pour la sécurité des systèmes d’information
(2008) : BSI-Standard 100-4 « Notfallmanagement ». (Publica-
tion sur le web prévue pour janvier 2008).
Rahmstorf S. et al. (2006) : Der Klimawandel. Munich.
Rosenthal, U. (1992) : Crisis management : On the thin line
between success and failure. In : Asian Review of Public Admi-
nistration. Vol. IV n° 2, pages 73–78.
Rössing, R. von (2005) : Betriebliches Kontinuitätsmanage-
ment. Bonn.
The Business Continuity Institute (2005) : Business Conti-
nuity Management, Good Practice Richtlinien. http://www.
thebci.org/BCIGPG2005_de.pdf (15 octobre 2007).
Trauboth, J. H. (2002) : Krisenmanagement bei Unterneh-
mensbedrohungen. Präventions- und Bewältigungsstrate-
gien. Stuttgart ; Munich ; Hanovre ; Berlin ; Weimar ; Dresde.
VdS-Richtlinien (2007) : Gesamtprogramm. http://www.vds.
de/Gesamtverzeichnis.487.0.html (9 novembre 2007).
Verwaltungs- Berufsgenossenschaft VBG (2007) (édit) :
Zwischenfall, Notfall, Katastrophe – Leitfaden für die Siche-
rheits- und Notfallorganisation. Hambourg.
Wiedemann, P. M. et al. (2000) : Risikokommunikation für
Unternehmen. Düsseldorf.
International Risk Governance Council (2006) (édit.) :
White paper on managing and reducing social vulnerabilities
from coupled critical infrastructures. http://www.irgc.org/
irgc/IMG/pdf/IRGC%20WP%20No%203%20Critical%20Infras-
tructures.pdf (15 octobre 2007).
Jungbluth, F. (2005) (édit. Euroforum Verlag) : Recht &
Haftung für technische Manager, Grundlagen, Aufbau und
Methoden eines effektiven Notfallmanagements. Düsseldorf.
Jungermann, H. et al. (1991) : Risikokontroversen – Konzep-
te, Konflikte, Kommunikation. Berlin.
Lewis, T.G. (2006) : Critical Infrastructure Protection in
Homeland Security – Defending a Networked Nation. Hobo-
ken.
Ministère fédéral de l’Intérieur (2005) : Schutz Kritischer
Infrastrukturen – Basisschutzkonzept, Empfehlungen für
Unternehmen. http://www.bbk.bund.de/cln_007/nn_398726/
DE/05__Publikationen/05__Fachpublikationen/03__Leitfae-
den/Leitfaeden__node.html__nnn=true (15 octobre 2007).
National Fire Protection Association – NFPA 1600 (2004)
(édit.) : Standard on Disaster/Emergency Management and
Business Continuity. Quincy.
Office fédéral de l’Environnement de la République
fédérale d’Allemagne (2001a) : Checklisten für die Unter-
suchung und Beurteilung des Zustandes von Anlagen mit
wassergefährdenden Stoffen und Zubereitungen ; Nr. 10
Betriebliche Alarm- und Gefahrenabwehrplanung. http://
www.umweltbundesamt.de/anlagen/jeg/downloads/deutsch/
check10_bagap_rev00.pdf (15 octobre 2007).
Office fédéral de l’Environnement de la République fédé-
rale d’Allemagne (2001b) : Checklisten für die Untersuchung
und Beurteilung des Zustandes von Anlagen mit wasserge-
fährdenden Stoffen und Zubereitungen ; Nr. 11 Hochwas-
sergefährdete Anlagen. http://www.umweltbundesamt.de/
anlagen/jeg/downloads/deutsch/check11_hochwasser_rev00.
pdf (15 octobre 2007).
Office fédéral pour la protection des populations et l’as-
sistance en cas de catastrophes (2005) : Leitfaden für die
Errichtung und den Betrieb einer Notstromversorgung in
Behörden und anderen wichtigen öffentlichen Einrichtun-
gen. http://www.bbk.bund.de/cln_007/nn_398726/DE/05__
Publikationen/05__Fachpublikationen/03__Leitfaeden/Leit-
faeden__node.html__nnn=true (15 octobre 2007).
bIbLIOGRAPhIE
38
II. Abréviations
AktG Loi (allemande) relative aux sociétés ano-
nymes
BKA Office fédéral de police criminelle
BSI Office fédéral pour la sécurité des systè-
mes d’information
DER Dépendances d’éléments de risque
DIN Institut allemand de normalisation
HGB Code (allemand) du commerce
IT Informatique
KGaA Société en commandite par actions
KonTraG Loi (allemande) sur le contrôle et la trans-
parence dans les entreprises
NBC Nucléaire, biologique, chimique
PS Probabilité de survenance
TC Technique de communication
THW Agence fédérale de Secours technique
TUIS Dispositif d’information et d’aide en cas
d’accidents de transport
V1 (jusqu’à 5) Critère de vulnérabilité 1 (jusqu’à 5)
VVG Loi (allemande) sur le contrat d’assurance
39
III. Définitions
REMARQUE IMPORTANTE :
Aufuretàmesurequ’aétérédigécemanuel,ils’estavéréqu’iln’existaitactuellementpasdedéfinitiongénéralementreconnue
pourlesdomainestouchantàlagestiondesrisquesetdescrises.Lesdéfinitionsci-dessousdonnentdonclasignificationdestermes
telsqu’ilssontemployésdansleprésentmanuel.utilisésdansd’autrespublications,cestermespeuventavoirunsensquelquepeu
différentdeceluidumanuel.
Terme Définition
Aléa Cause potentielle d’un préjudice. 58
Alerte Information du personnel, des forces d’intervention et de la population d’un
danger immédiat.
Analyse du risque Méthode systématique permettant de déterminer la valeur à attribuer au ris-
que.59 Aux termes du présent manuel, cela inclut : une analyse des aléas et de
l’exposition ; une analyse de la vulnérabilité de tous les sous-processus et élé-
ments de risque pertinents ; une comparaison de risques partiels concernant des
éléments de risque donnés, et une comparaison de risques totaux de sous-pro-
cessus liés à un scénario donné.
Appréciation de la situation Evaluation des préjudices et sinistres du point de vue de leur impact et des mesu-
res possibles.
Catastrophe Sinistre d’une ampleur largement supérieure à la normale, qui menace considé-
rablement ou détruit la vie, la santé, des biens matériels ou des infrastructures
importantes.
Cellule de crise Structure qui crée les conditions permettant de coordonner toutes les activités
liées à la crise.
Communication de crise Toutes les activités de communication effectuées dans le contexte d’une crise
afin d’empêcher ou de limiter la perte de confiance et une dégradation de
l’image, et de circonscrire les dommages. La communication de crise implique
une répartition claire des compétences et des responsabilités, ainsi qu’une ligne
de communication sans ambiguïté, propre à garantir des contenus et une argu-
mentation homogènes.
58 Australian / New Zealand Standard 2004, page 3.59 Australian / New Zealand Standard 2004, page 4.
40
Communication sur les risques Dans le cadre de la gestion du risque, procédure permettant à une entreprise ou
à un service public de recevoir et de fournir des informations sur un risque. La
communication sur les risques s’étend à tous les processus de communication
concernant l’identification, l’analyse, l’évaluation et la gestion de risques, ainsi
que l’interaction nécessaire entre tous les acteurs concernés.50
Compte rendu Informations brèves et précises sur des événements, perceptions et faits, desti-
nées à renseigner sur une situation.
Crise Une situation extraordinaire qui survient malgré des mesures préventives prises par
l’entreprise ou par les services publics, et que l’organisation structurelle et fonction-
nelle normale ne permet pas de maîtriser.
Critère de vulnérabilité Conditions permettant d’apprécier la vulnérabilité.
Cycle Plan, Do, Check, Act (PDCA) Démarche de gestion de processus visant à en améliorer continuellement la
qualité. « Plan » représente la préparation générale et complète des processus,
« Do » la mise en œuvre de ces processus, « Check » le contrôle de leur efficacité
et « Act » leur amélioration. Dans la gestion de risques et de crises décrite ici, ce
cycle est appliqué à divers niveaux.
Danger Effet négatif provoqué par un aléa sur des personnes, des biens, des états de fait,
l’environnement ou des animaux.
Dysfonctionnement Ecart par rapport à la situation normale ou au processus normal. Il peut être pro-
voqué par des facteurs internes ou externes. Un dysfonctionnement est maîtrisé
par l’organisation structurelle et fonctionnelle normale.
Elément de risque Elément constituant de sous-processus critiques.Sont considérés comme tels
pour les besoins du présent manuel :
• les individus (personnel, autres personnes présentes)
• le terrain
• les bâtiments
• les installations et équipements
• les installations et équipements spéciaux, spécifiques à l’établissement
• les données et documents
• autres ressources
Epidémie Apparition, sur une période et dans une région données, d’un nombre élevé de
cas d’une maladie au sein d’une population.
Etablissement Se réfère dans le présent manuel à toute entreprise, service public et autres insti-
tutions exploitant une infrastructure critique.
Evaluation Appréciation d’activités.
Terme Définition
60 Jungermann et al. 1991, page 5.
41
Evaluation de la situation Collecte, classement, enregistrement et représentation d’informations concer-
nant une situation donnée.
Evaluation du risque Estimation du risque que présente un événement pour un sous-processus ou
élément de risque par rapport à des objectifs préalablement définis. Cette pro-
cédure permet de déterminer l’acceptabilité du risque et de risques résiduels
éventuels.
Evénement extrême Evénement rare qui s’écarte fortement d’une moyenne statistique et est suscep-
tible de provoquer une crise.
Exercice d’état-major Exercice auquel participent uniquement les membres de la cellule de crise et les
dirigeants de l’établissement.
Exercice « table top » Exercice d’état-major auquel participent des niveaux institutionnels supplémen-
taires (p. ex. de services concernés).
Exposition Action d’être exposé à un aléa.
Gestion de crises Toute activité propre à préparer à des crises, à les maîtriser et à en assurer le
retour d’expérience.
Gestion de dysfonctionnement Conditions conceptuelles, organisationnelles, méthodiques et physiques dans
l’organisation structurelle et fonctionnelle de l’établissement, qui permettent de
maîtriser le dysfonctionnement de la meilleure façon possible.
Gestion des risques Processus et procédure permettant de gérer systématiquement les risques.
Infrastructures critiques Les infrastructures critiques sont des organisations et établissements qui pré-
sentent une importance particulière pour la collectivité publique, et dont la
défaillance ou la perturbation provoquerait des pénuries à l’impact durable, des
troubles considérables de la sécurité publique, ou d’autres conséquences drama-
tiques.61
Management de la continuité d’activité Gestion des mesures propres à maintenir l’activité en cas de crise, par exemple
en activant un centre opérationnel redondant (Management de la continuité
d’activité = Business Continuity Management).62
Mesures préparatoires Actions optionnelles élaborées en amont de crises, mais mises en œuvre seule-
ment en cas de crise.
Mesures préventives Actions et moyens élaborés et mis en œuvre en amont de crises, ou bien qui sont
utilisés et qui réduisent les risques pour une entreprise ou un service public. Ceci
inclut les mesures propres à réduire les risques en assurant la protection physi-
que d’éléments de risque, ou qui favorisent le bon fonctionnement de processus
par des systèmes redondants ou par des systèmes de remplacement. Ces deux
aspects contribuent à assurer la continuité des activités.
Terme Définition
61 Définition donnée par le Groupe de travail sur la protection des
infrastructures (AK KRITIS) au sein du ministère fédéral de l’Inté-
rieur (BMI) le 17 novembre 2003.
DéfInITIOnS
62 Von Rössing 2005, page 426.63 Cf. von Rössing 2005, page 428.
42
Terme Définition
64 Australian / New Zealand Standard 2004, page 5.65 Rössing 2005, page 439. 66 Rössing 2005, page 439.
Modèle d’escalade Système permettant d’évaluer la situation et d’en référer au management.63
Niveau d’alerte Classification d’une situation dans l’optique des mesures à prendre.
Objectifs stratégiques de protection Description d’objectifs à atteindre, à laquelle on peut recourir pour évaluer des
mesures mises en œuvre.
Organisation fonctionnelle L’organisation fonctionnelle décrit et réglemente les processus de travail d’une
unité organisationnelle, en tenant compte de l’espace, du temps, des personnes
et des moyens matériels.
Organisation structurelle L’organisation structurelle concerne la division d’une entreprise en unités stati-
ques, principalement de nature hiérarchique.
Quartier général (QG) de la cellule de crise Local mis à la disposition de la cellule de crise, pendant et après la crise, et en
amont des exercices de crise.
Pandémie Epidémie d’ampleur internationale, voire planétaire.
Plan de crise Plan directeur pour la gestion de la crise, qui couvre toutes les mesures à pren-
dre au cours d’une crise.
Points critiques Cf. points névralgiques
Points névralgiques Domaines d’un processus ou éléments individuels de risque dont la perturbation
est susceptible de provoquer des défaillances ou des sinistres de grande ampleur.
Prévention des risques Décisions stratégiques qui ont pour effet de supprimer des aléas, ou de faire en
sorte que la probabilité de leur manifestation se rapproche de zéro, empêchant
ainsi l’apparition de risques.
Probabilité Mesure comprise entre 0 et 1 de la possibilité qu’un événement se produise.
Protection des populations Mesures civiles destinées à protéger contre, et à limiter et maîtriser les effets de
guerres, de conflits armés, de catastrophes naturelles et d’accidents particulière-
ment graves. La Fédération, les Länder, les communes et les organisations huma-
nitaires travaillent ensemble pour protéger les populations.
Réduction des risques Mesures propres à diminuer la probabilité d’occurrence d’événements ou leur
impact sur l’établissement.64
Reprise sur incident Phase se situant entre la fin de la réaction à la crise et la mise en place d’un régi-
me de secours.65
Rétablissement Rétablissement total de l’état normal, tel qu’il était avant la survenance de la
crise. 66
43
Risque Le risque est considéré comme étant fonction du danger et de la vulnérabilité
des éléments de risque et des sous-processus. L’aspect de la probabilité d’occur-
rence d’un événement fait partie intégrante de l’analyse du danger.
Risque partiel Risque concernant un élément de risque donné.
Risques résiduels Les risques qui subsistent après la mise en œuvre de mesures préventives.67
Scénario Combinaison d’hypothèses sur l’enchaînement possible d’événements concer-
nant l’objet en question, afin de déterminer les relations de cause à effet et les
points devant faire l’objet d’une prise de décision.
Situation Nature et ampleur des préjudices ou des sinistres, et leur évolution probable.
Transfert des risques Stratégie consistant à répercuter les risques existants sur d’autres entreprises,
services publics ou assurances.
Vulnérabilité Fragilité d’un objet ou d’un système face à des aléas.
Vulnérabilité individuelle Se réfère dans le présent manuel à un élément de risque et à un critère de vulné-
rabilité donnés.
Vulnérabilité partielle Vulnérabilité concernant un élément de risque donné.
Terme Définition
DéfInITIOnS
67 Adapté, d’après : Australian / New Zealand Standard 2004, page 3.
44
IV. Liste des aléas – Informations sur la nature, l’exposition, l’intensité et l’impact, ainsi que sur les personnes à contacter
REMARQUE IMPORTANTE :
Cettelisted’exemplesrenvoieàdesaléassusceptiblesdesurvenirdansl’environnementdel’établissement.Cettelisteneprétendpas
êtreexhaustive,etdevra,lecaséchéant,êtreadaptéeauxspécificitésdessitesconcernés.
Compétences, Nature de l’aléa Exposition Intensité possible Effet possible source possible d’informations
Crues
Tempêtes / tornades
Séisme
Incendie géant /
incendie de forêt
Particulièrement
dans les régions pro-
ches de cours d’eau
et les terrains bas,
sous-sols et rez-de-
chaussée
Possible dans toute
l’Allemagne
Sites dans les régions
sismiques (fossé
rhénan, région de
Cologne, Vogtland,
Jura souabe)
Régions très boisées
Inondations de vastes
superficies, niveau de
l’eau pouvant attein-
dre plusieurs mètres
au-dessus du niveau
normal ; vitesses de
ruissellement élevées
en moyenne mon-
tagne
Pouvant atteindre
des vitesses très éle-
vées en rafales
Forces horizontales
et verticales gigan-
tesques ; apport
élevé d’énergie
Développement de
chaleur extrême
Lessivages, accumu-
lation (dégâts des
eaux)
Effet de pression et
d’aspiration sur les
édifices et autres
objets ; destruction
Destruction de
conduites, de réser-
voirs, de transforma-
teurs, de liaisons entre
équipements et d’édi-
fices ; décombres
Menace pour le per-
sonnel, destructions
d’équipements dues
à la chaleur ; touche
les installations d’ap-
provisionnement
en électricité et les
équipements infor-
matiques
Services publics en
charge de l’environ-
nement, services de
prévision des crues,
assurances
Services publics en
charge de l’environ-
nement, services
météorologiques
allemands
Institut fédéral de
géosciences et de res-
sources naturelles
Services publics en
charge de l’environ-
nement, services
météorologiques
allemands,
sapeurs-pompiers,
services du maintien
de l’ordre public
45
Sécheresse
Canicule
Grande épidémie /
pandémie
Panne d’alimenta-
tion externe en élec-
tricité
Panne d’alimenta-
tion externe en eau
Défaillance de servi-
ces spécialisés sous-
traités
Surtout les régions
sèches à faible taux
de précipitations
Possible dans toute
l’Allemagne
Possible au niveau
mondial / national /
régional
Possible dans toute
l’Allemagne ; peut
durer plusieurs jours
et toucher de vastes
territoires
Possible dans toute
l’Allemagne
Possible dans toute
l’Allemagne
Absence de précipita-
tions sur une longue
période, très faibles
précipitations
Températures élevées
le jour et la nuit
Niveau de contami-
nation élevé, propa-
gation rapide, forte
réduction des effec-
tifs disponibles
–
–
–
Baisse du niveau de
la nappe phréatique,
pénurie d’eau de
refroidissement,
pénurie d’eau pota-
ble, pannes de cou-
rant, problèmes de
transport sur les voies
fluviales
Impact sur la santé
du personnel et de la
clientèle
Maladie du person-
nel et de la clientèle ;
inquiétude parmi le
personnel (effets psy-
chologiques, p. ex.
panique), absentéis-
me d’employés pour
soigner des parents
malades
Impact sur les ins-
tallations et équipe-
ments
Impact sur le person-
nel, les installations
et les équipements
Impact sur le person-
nel et les moyens de
production
Services publics en
charge de l’environ-
nement, services
météorologiques
allemands
Services de l’hygiène
et de la santé publi-
que, services météo-
rologiques allemands
Services de l’hygiène
et de la santé publi-
que, Institut Robert
Koch Institut, Office
fédéral pour la pro-
tection des popula-
tions et l’assistance
en cas de catastro-
phes
Distributeurs,
sapeurs-pompiers,
organisations huma-
nitaires
Distributeurs,
sapeurs-pompiers,
organisations huma-
nitaires
Services du maintien
de l’ordre public,
autorités en charge
des transports, en
fonction du trans-
porteur
Compétences, Nature de l’aléa Exposition Intensité possible Effet possible source possible d’informations
68 Depuis 1982, le dispositif TUIS d’information et d’aide en cas d’acci-
dents survenus lors du transport et du stockage de produits chimi-
ques fournit son assistance dans toute l’Allemagne. Le réseau TUIS se
compose de quelque 130 entreprises chimiques, avec leurs pompiers
d’entreprise et leurs spécialistes (chimistes, toxicologues, experts
appartenant à la production.) Les entreprises qui adhèrent à TUIS
LISTEDESALéAS–InfORMATIOnSSuRLAnATuRE,L’ExPOSITIOn,L’InTEnSITéETL’IMPACT,AInSIQuE
SuRLESPERSOnnESàCOnTACTER
sont joignables par téléphone, 24 heures sur 24 et 365 jours par an,
à la disposition des services publics comme les sapeurs-pompiers, la
police et autres organismes impliqués dans la gestion de catastro-
phe, ainsi que de la Deutsche Bahn, leur fournissant une assistance
selon un système à trois niveaux.
46
Compétences, Nature de l’aléa Exposition Intensité possible Effet possible source possible d’informations
69 Agence fédérale de la sécurité des systèmes d’information 2007.
Accident lors d’un
transport de matiè-
res dangereuses,
à l’intérieur ou à
proximité immédiate
du site
Attentat à l’aide de
dispositifs incendiai-
res et engins explo-
sifs conventionnels
Attentat à l’aide
d’engins explosifs et
dispositifs incendiai-
res non-convention-
nels, ou libération
d’agents NBC à l’inté-
rieur ou à proximité
immédiate du site
Panne informatique
Erreur humaine dans
le contexte de systè-
mes informatiques
Actes intentionnels
commis à l’aide ou à
l’encontre de systè-
mes informatiques
Enlèvement
Chantage
Vol d’installations,
équipements et / ou
autres moyens de
production critiques
A proximité de voies
de circulation de
matières dangereu-
ses (chemin de fer ou
route) ; à proximité
d’installations dans
lesquelles sont uti-
lisées des matières
dangereuses
Possible dans toute
l’Allemagne
Possible dans toute
l’Allemagne
Possible dans toute
l’Allemagne
Possible dans toute
l’Allemagne
Possible dans toute
l’Allemagne
Possible dans toute
l’Allemagne
Possible dans toute
l’Allemagne
Possible dans toute
l’Allemagne
Forte concentration
de l’agent libéré ;
toxicité élevée de
l’agent libéré
Puissance destruc-
trice locale extrême-
ment forte
Concentration élevée
de l’agent libéré ;
toxicité élevée de
l’agent libéré
Potentiel nuisible
élevé, propagation
rapide
Potentiel nuisible
élevé, propagation
rapide
Potentiel nuisible
élevé, propagation
rapide
–
–
–
Impact sur le person-
nel, la clientèle, les
édifices (contamina-
tion)
Impact sur le person-
nel, la clientèle, les
édifices et installa-
tions ; décombres
Impact sur le per-
sonnel, la clientèle,
les édifices et instal-
lations
(contamination)
Impact sur les ins-
tallations et équipe-
ments
Impact sur les ins-
tallations et équipe-
ments
Impact sur les ins-
tallations et équipe-
ments
Impact sur le per-
sonnel
Impact sur le person-
nel ou les produits
Impact possible sur
les données, docu-
ments, installations
et équipements
Services publics en
charge de l’environ-
nement, sapeurs-
pompiers, TUIS , Ser-
vices de l’hygiène et
de la santé publique,
Police, sapeurs-pom-
piers
Police, sapeurs-pom-
piers
Agence fédérale de
la sécurité des systè-
mes d’information /
relevé des dangers69
Agence fédérale de
la sécurité des systè-
mes d’information /
relevé des dangers69
Agence fédérale de
la sécurité des systè-
mes d’information /
relevé des dangers69
Police
Police
Police
47
V. Listes de contrôle
REMARQUE IMPORTANTE :
Ilconviendrad’adapterleslistesdecontrôleci-dessousauxspécificitésdel’établissement.L’utilisationdeceslistesdecontrôlene
remplacepaslamiseenplacecomplèted’unsystèmedegestionderisquesetdecrises.Cettelisteneprétendpasêtreexhaustive.
Les listes de contrôle ci-dessous ont été élaborées à l’aide des
publications suivantes :
American Water Works Association 2001
British Standard 2006
Office fédéral pour la protection des populations et l’assis-
tance en cas de catastrophes 2005
Ministère fédéral de l’Intérieur 2005
Egli 1999
Federal Emergency Management Agency 2003
Gustin 2004
Jungbluth 2005
National Fire Protection Association 2004
Office fédéral de l’Environnement 2005a
Office fédéral de l’Environnement 2005b
Centre de recherche sur l’environnement alpin 2000
Pour plus d’informations, voir :
Verwaltungs- Berufsgenossenschaft VBG 2007
Consignes VdS : programme complet 2007
On trouvera des renseignements plus détaillés, en particulier
sur le plan pandémie auprès de :
Office fédéral pour la protection des populations et l’assis-
tance en cas de catastrophes 2007
Department of Health and Human Services and the Cen-
ters for Disease Control and Prevention
Department of Homeland Security 2006
48
V.1 Mesures préventives
V.1.1 Gestion de risques et de crises – Généralités
Questions Précisions Oui Non Sans objet Commentaire
1. Un dispositif de gestion
des risques a-t-il été
mis en place ?
2. Les opérations à effec-
tuer sont-elles définies
précisément par le
système de gestion des
risques ?
3. Des objectifs de protec-
tion stratégiques ont-
ils été définis ?
4. Existe-t-il un inventaire
des processus critiques,
sont-ils catégorisés, et
existe-t-il des recom-
mandations quant à
leur application ?
5. Un dispositif de gestion
de crise a-t-il été mis en
place ? (gestion d’inci-
dents)
6. Des dispositifs de pla-
nification et de mana-
gement de continuité
d’activité ont-ils été
mis en place ?
7. Le respect d’obliga-
tions légales et juridi-
ques est-il contrôlé ?
8. Les aspects relatifs à la
sécurité sont-ils pris en
compte dans le déve-
loppement du person-
nel ?
Planification, mise en
œuvre, actualisation et amé-
lioration constante
Inventaire, analyse de criti-
cité, définition de priorités
dans les processus critiques
Canal et procédures de
remontée de l’information,
gestion d’incidents et amé-
liorations
Planification de systèmes
redondants et de systèmes de
remplacement, ainsi que de
leur gestion en cas d’incident
Respect d’obligations léga-
les, de directives et de nor-
mes, audit de systèmes
Missions et responsabilités,
contrôle, formation et sensi-
bilisation
49
V.1.2 Terrains, édifices, équipements – Crues
Questions Précisions Oui Non Sans objet Commentaire
1. Edifices
1.1 Peut-on exclure que
des installations exis-
tantes ou prévues
soient inondées ?
a) en raison de crues
b) en raison de l’engor-
gement du réseau
d’égouts
c) en raison de la mon-
tée du niveau de la
nappe phréatique
d) par l’eau utilisée
pour combattre un
incendie
1.2 Des mesures ont-elles
été mises en place pour
protéger le site contre
les crues ?
1.3 Lors de l’étude de nou-
veaux édifices, veille-
t-on, si possible, à les
surélever ?
1.4 L’enveloppe externe de
l’édifice est-elle proté-
gée contre les crues ?
1.5 Les ouvertures dans
l’enveloppe externe de
l’édifice sont-elles pro-
tégées contre les crues ?
1.6 L’aménagement et
l’utilisation des pièces
intérieures sont-ils
adaptés à l’éventualité
d’une crue ?
Ceci concerne les édifices
proprement dits, ainsi que
toutes les ouvertures d’en-
trée.
Ceci inclut les mesures tem-
poraires, mobiles ou perma-
nentes.
Exemple : emploi de maté-
riaux de construction hydro-
résistants.
LISTESDECOnTRôLE
50
Questions Précisions Oui Non Sans objet Commentaire
1.7 En cas de montée du
niveau de la nappe
phréatique due à une
crue, la stabilité de
l’édifice est-elle mena-
cée ?
1.8 Le terrain sur lequel est
érigé l’édifice est-il sus-
ceptible de se trouver
altéré par des affouille-
ments?
2. Equipements
2.1 La fixation et l’an-
crage des réservoirs et
conduites sont-ils suf-
fisants pour les empê-
cher d’être soulevés ?
2.2 La fixation et l’an-
crage des réservoirs
et conduites sont-ils
suffisants pour les
empêcher de subir des
dommages mécani-
ques provoqués par des
objets emportés par les
eaux ?
2.3 Le système d’égout est-
il équipé d’un dispositif
anti-reflux ?
Par exemple au niveau des
étages inférieurs (effet de
flottaison)
Ceci inclut les dispositifs
d’ancrage, la conception
des réservoirs d’huile et de
fuel, en tenant compte de
la pression hydrostatique,
la conception des conduites
d’alimentation et d’évacua-
tion, le système de ventila-
tion des réservoirs, ainsi que
les conduites d’arrivée au
brûleur.
Ceci inclut les dispositifs
d’ancrage, la conception
des réservoirs d’huile et de
fuel, en tenant compte de
la pression hydrostatique,
la conception des conduites
d’alimentation et d’évacua-
tion, le système de ventila-
tion des réservoirs, ainsi que
les conduites d’arrivée au
brûleur.
51
V.1.3 Terrains, édifices, équipements – Séismes
Questions Précisions Oui Non Sans objet Commentaire
1. Edifices
1.1 Les édifices / construc-
tions offrent-ils une
résistance suffisante
aux séismes ?
1.2 L’ancrage des équipe-
ments situés à l’inté-
rieur des édifices est-il
suffisant ?
1.3 Peut-on exclure que des
éléments porteurs ont
fait l’objet d’altérations
susceptibles d’en affai-
blir la structure ?
2.1 Dans une région sis-
mique, les tuyauteries
sont-elles posées en
tenant compte des
contraintes potentiel-
les ?
Ceci inclut le respect des
collections normatives (DIN
4149, Eurocode 8), ainsi que
l’application, sur une base
volontaire, de recomman-
dations allant au-delà de ces
normes.
Ceci inclut les réservoirs,
transformateurs, etc…
Ceci inclut le perçage de
gros trous, ou des alésages
réalisés ultérieurement.
Ceci inclut la prise en comp-
te de la structure du sol, une
pose à angle droit par rap-
port à des failles connues,
avec des raccordements
souples et des soupapes de
sûreté, ainsi que la pose de
tuyauteries redondantes.
V.1.4 Terrains, édifices, équipements – Tempêtes
Questions Précisions Oui Non Sans objet Commentaire
1. Toits
1.1 Les toits sont-ils suffi-
samment solidaires des
édifices ?
LISTESDECOnTRôLE
2. Equipements souterrains
52
V.1.5 Terrains, édifices – Actes intentionnels d’origine criminelle et / ou terroriste
Questions Précisions Oui Non Sans objet Commentaire
1. Accès
1.1 L’accès au site de
l’établissement est-il
contrôlé ?
1.2 Existe-t-il des zones
sécurisées dans l’en-
ceinte du site de l’éta-
blissement ?
1.3 Existe-t-il des zones
sécurisées à l’intérieur
des bâtiments ?
1.4 Des contrôles d’accès
sont-ils effectués à l’in-
térieur des bâtiments ?
1.5 Les secteurs critiques
sont-ils fermés à clé
et accessibles unique-
ment par le personnel
autorisé ?
Un élément important pour
la prévention d’attentats
terroristes ou de sabotage
consiste à créer une distance
entre les édifices et une atta-
que possible à l’aide d’ex-
plosifs contenus dans une
voiture piégée. Les barrières
et obstacles destinées à créer
cette distance (surélèvement
du sol, poteaux de dissua-
sion, clôtures ou éléments
de béton) peuvent gêner les
véhicules tentant de s’appro-
cher des zones sensibles, ou
les en empêcher totalement.
Il conviendra de vérifier s’il
est possible d’installer des
systèmes de contrôle d’accès
physique (passage d’une per-
sonne à la fois) à l’entrée du
bâtiment ou aux points d’ac-
cès aux zones sensibles, éven-
tuellement en combinaison
avec des lecteurs de cartes,
afin d’en contrôler l’entrée
et de la rendre plus difficile
pour les personnes ne faisant
pas partie du personnel.
Par exemple par le gardien.
53
Questions Précisions Oui Non Sans objet Commentaire
LISTESDECOnTRôLE
Les portes et les fenêtres
doivent être dotées de verre
feuilleté de sécurité.
En cas d’attentat terroriste,
d’accident mettant en cause
des matières dangereuses ou
d’incident industriel, il peut
s’avérer utile d’aménager
des zones protégées au sein
du site, dans lesquelles le
personnel et les autres per-
sonnes présentes pourront
se réfugier. Conviennent à
cet effet les structures por-
teuses statiques, comme les
cages d’escalier, ou encore
les pièces des étages infé-
rieurs équipées de portes
pare-fumée et de systèmes
de communication. On véri-
fiera, à partir des plans du
site, si l’aménagement de ces
locaux est possible.
Cela signifie qu’elles sont
placées à une hauteur suf-
fisante, ou à des endroits
inaccessibles.
2. Construction
2.1 Les façades – incluant
les fenêtres et les portes
– sont-elles renforcées ?
2.2 Des locaux protégés
ont-ils été aménagés
pour le personnel et
autres personnes pré-
sentes sur les lieux ?
2.3 Les entrées d’aération
sont-elles aménagées
à des endroits diffici-
lement accessibles de
l’extérieur ?
3.1 Les secteurs critiques
sont-ils dotés d’un
dispositif de vidéosur-
veillance ?
3.2 Les enregistrements
de la vidéosurveillance
sont-ils analysés ?
3.3 Des systèmes d’alarme
sont-ils installés dans
les zones noyau?
3. Surveillance électronique
54
Questions Précisions Oui Non Sans objet Commentaire
4. Interlocuteurs
4.1 Connaît-on des inter-
locuteurs spécialisés,
que l’on pourra contac-
ter en cas d’attentat
mettant en cause des
agents chimiques,
biologiques ou radiolo-
giques ?
En cas d’accident ou d’atten-
tat terroriste, les entreprises
et services publics peuvent
se voir confrontés à des
agents dont l’évaluation
requiert des connaissances
spéciales. Outre les services
sanitaires, il conviendra
donc d’identifier en amont
des partenaires de coopéra-
tion potentiels, qui pourront
être contactés le cas échéant.
Questions Précisions Oui Non Sans objet Commentaire
V.1.6 Installations et équipements – Alimentation électrique
1.1 Existe-t-il plusieurs arri-
vées d’électricité, et se
trouvent-elles de préfé-
rence dans des secteurs
du réseau indépendants
les uns des autres ?
2.1 Les secteurs critiques qui,
en cas de crise, devront
être approvisionnés par
une alimentation de
secours, sont-ils identifiés ?
2.1 S’est-on assuré que les
consommateurs des
secteurs critiques prévus
pour fonctionner en
régime de secours sont les
seuls à être branchés sur
l’alimentation de secours ?
2.3 Est-ce qu’il a été défini
pendant quelle durée les
secteurs critiques devront
fonctionner sur l’alimen-
tation de secours ?
Ces secteurs critiques
incluent les salles de com-
mande, les centres informa-
tiques, la climatisation des
centres informatiques.
1. Alimentation électrique
2. Alimentation de secours
55
Questions Précisions Oui Non Sans objet Commentaire
2.4 A-t-on calculé les besoins
totaux en énergie néces-
saires pour maintenir
les secteurs critiques en
fonctionnement ?
2.5 Les groupes électrogè-
nes sont-ils conçus pour
répondre à l’évolution
des exigences, en ter-
mes de capacité et de
qualité ?
2.6 Est-ce que la réserve
en carburant est suffi-
sante pour la durée de
fonctionnement défi-
nie pour l’alimentation
de secours ?
2.7 Les groupes électrogè-
nes font-ils tous l’objet
d’une maintenance
régulière ?
2.8 Des essais en pleine
charge sont-ils effec-
tués régulièrement sur
tous les groupes élec-
trogènes ?
2.9 Est-il garanti que, en
cas de crise, les groupes
électrogènes pourront
être mis en marche sans
problème ?
2.10 En cas de crise, le fait
qu’il faille faire le plein
de carburant du grou-
pe électrogène est-il
signalé ?
2.11 Les composants techni-
ques sensibles sont-ils
sécurisés par une ali-
mentation électrique
non interruptible ?
Les exigences en termes
de capacité et de qualité
évoluent avec l’apparition
d’installations nouvelles,
plus modernes.
En cas de crise, il peut
arriver que les démarreurs
électriques ou sur batterie
ne fonctionnent pas. Le
carburant doit souvent être
préchauffé.
Comment et où ?
Ceci inclut l’utilisation
d’une batterie tampon capa-
ble de maintenir le fonction-
nement d’installations infor-
matiques pendant quelques
minutes.
LISTESDECOnTRôLE
56
Questions Précisions Oui Non Sans objet Commentaire
V.1.7 Installations et équipements – Informatique
1. Généralités
1.1 Est-ce qu’il existe un
dispositif opérationnel
de gestion de l’infor-
matique (achat, déve-
loppement et main-
tenance des systèmes
informatiques)
2.1 Le système informa-
tique connecté aux
réseaux publics est-il
suffisamment protégé
contre les intrus ?
3.1 Un plan de sauvegarde
des données a-t-il été
mis en place ?
Exigences de sécurité aux-
quelles doivent répondre
les systèmes, traitement cor-
rect dans les applications,
mesures cryptographiques,
sécurité des fichiers système
et des processus, gestion de
la vulnérabilité
Questions Précisions Oui Non Sans objet Commentaire
Un éclairage de secours
est indépendant du réseau
public d’électricité s’il est
alimenté par exemple par
une batterie.
Un système d’alarme et
d’alerte est indépendant du
réseau public d’électricité
s’il est alimenté par exemple
par une batterie.
2.12 Avez-vous conclu des
accords ou contrats
avec les fournisseurs
qui vous livrent les car-
burants pour les grou-
pes électrogènes ?
3.1 Un éclairage de
secours indépendant
du réseau public
d’électricité a-t-il été
installé ?
3.2 Un système d’alarme et
d’alerte indépendant
du réseau électrique
a-t-il été installé ?
3. Systèmes de sécurité et d’alarme indépendants du courant électrique
2. Sécurisation de l’accès
3. Sauvegarde des données
57
3.2 Les données critiques
sont-elles stockées à
différents endroits ?
4. Pilotage des processus
4.1 Est-ce qu’il existe un
système redondant et
séparé physiquement de
pilotage des processus ?
4.2 Le pilotage des pro-
cessus et les systèmes
de sécurité (dispositifs
d’alarme, vidéosur-
veillance, etc.) sont-ils
indépendants les uns
des autres (réseaux
séparés) ?
Si le pilotage des processus
s’effectue alors que l’on est
connecté à l’Internet, et que
le système de pilotage des
processus et les systèmes de
sécurité sont connectés les
uns avec les autres, ces deux
systèmes peuvent subir des
manipulations provenant de
l’extérieur.
Questions Précisions Oui Non Sans objet Commentaire
V.1.8 Installations et équipements – Technologie de la communication
1. Réseau fixe
1.1 L’installation télépho-
nique est-elle sécurisée
par une alimentation
électrique non inter-
ruptible ?
1.2 L’installation télépho-
nique est-elle égale-
ment sécurisée par un
groupe électrogène ?
1.3 Une demande d’accès
prioritaire au réseau
a-t-elle été faite ?
2. Téléphonie mobile
2.1 Les membres du per-
sonnel sont-ils équipés
de téléphones mobiles
pour les situations de
crise ?
LISTESDECOnTRôLE
Questions Précisions Oui Non Sans objet Commentaire
58
V.2 Audit de la gestion de crise
V.2.1 Organisation générale
Questions Précisions Oui Non Sans objet Commentaire
1.1 Les personnes devant
occuper les postes
nécessaires pour la
gestion de crise dans
l’établissement sont-
elles désignées ?
1.2 Toutes les tâches perti-
nentes de la gestion de
crise sont-elles définies
et attribuées à des
personnes et à leurs
suppléants ?
1.3 Les membres du per-
sonnel sont-il formés
(formation initiale
et continue) pour la
mission qui leur sera
confiée en cas de crise ?
2. Alerte
2.1 Les opérations d’alerte
et d’information inter-
nes et externes sont-elles
clairement définies ?
2.2 Existe-t-il des consi-
gnes d’action concrètes
pour les personnes qui,
en situation de danger,
seront responsables
de la transmission de
comptes rendus ?
1. Responsabilités et missions
Questions Précisions Oui Non Sans objet Commentaire
3. Radio
3.1 L’entreprise est-elle équi-
pée d’un système de radio-
communication pour les
situations de crise ?
59
Questions Précisions Oui Non Sans objet Commentaire
LISTESDECOnTRôLE
Ceci inclut les exercices
internes, ainsi que la parti-
cipation à des exercices de
sécurité civile effectués au
niveau local.
Définition simplifiée, par
exemple selon les critères
suivants :
1) Les effets restent limités
à une partie du site.
2) Les effets se manifestent
sur l’ensemble du site, mais
restent limités au site pro-
prement dit.
3) Les effets concernent l’en-
semble du site, ainsi que le
voisinage / la région.
4) Les effets concernent le
site et le voisinage immé-
diat, et s’exercent aussi au
niveau suprarégional.
Riverains, clients, etc...
2.3 Les actions concrètes
menées et les décisions
prises pendant la crise
sont-elles consignées
par écrit ?
2.4 Des exercices sont-ils
effectués pour répéter
les opérations internes
et externes d’alerte et
d’information ?
3. Alerte
3.1 L’alerte est-elle adap-
tée aux effets possibles
d’événements extrê-
mes ?
4. Avertissement
4.1 Des règles ont-elles été
fixées pour l’avertisse-
ment des populations
touchées par un événe-
ment extrême survenu
sur le site ?
5. Etats-majors
5.1 En cas de crise, une
cellule de crise se réu-
nit-elle dans l’établisse-
ment ?
60
Questions Précisions Oui Non Sans objet Commentaire
5.2 En cas de crise, l’éta-
blissement est-il
représenté au sein
des cellules de crise
de la sécurité civile
(commandement des
opérations de secours,
état-major administra-
tif) par du personnel de
liaison ?
5.3 Est-il prévu dans l’éta-
blissement des locaux
qui, en cas de crise,
seront mis à la dispo-
sition de la cellule de
crise, et qui sont dotés
de l’équipement tech-
nique nécessaire ainsi
que d’une alimentation
électrique de secours ?
5.4 Des plans existent-ils
pour le maintien du
fonctionnement de la
cellule de crise en cas de
défaillance des systèmes
de communication ?
5.5 Des plans existent-ils
pour le maintien du
fonctionnement de
la cellule de crise en
cas de défaillance des
systèmes de traitement
des données ?
5.6 Des plans existent-ils
pour le maintien du
fonctionnement de la
cellule de crise si son QG
est devenu inutilisable ?
6.1 Existe-t-il des plans des
différents étages du
En cas de crise, une influence
plus grande peut être exer-
cée sur les décisions qui
concernent l’établissement
lorsque du personnel de
liaison est représenté au sein
de ces états-majors. Contac-
tez les services publics locaux
chargés de la sécurité civile.
Les interlocuteurs sont les
sapeurs-pompiers locaux, ou
les services administratifs au
niveau de la circonscription,
de la ville ou de la commune.
Par exemple par l’institution
de messagers, motorisés ou
non (voiture, moto).
Par exemple en conservant
des exemplaires sur papier
des plans et informations.
Les conduites d’alimenta-
tion et d’évacuation concer-
6. Informations et documents nécessaires
61
Questions Précisions Oui Non Sans objet Commentaire
LISTESDECOnTRôLE
bâtiment, précisant
les emplacements des
conduites d’alimenta-
tion et d’évacuation,
ainsi que des voies
d’accès, si possible sur
support numérique et
sur papier ?
6.2 Les plans des étages
contiennent-ils toutes
les informations néces-
saires en cas de crise, et
celle-ci sont-elles parti-
culièrement signalées ?
6.3 Tous les documents
importants sont-ils rapi-
dement accessibles ?
6.4 Les plans et documents
susceptibles d’être
également utilisés en
extérieur en cas de
crise sont-ils protégés
contre l’humidité ?
6.5 Existe-t-il des formulai-
res pour consigner les
réceptions et envois de
messages ?
6.6 Existe-t-il des formulai-
res sur lesquels seront
rédigées les informa-
tions destinées à la
population ?
7.1 Existe-t-il des listes
actualisées, à la mise
à jour centralisée, du
personnel et des per-
sonnes à contacter ?
nent l’électricité, le gaz et
l’eau
Ceci inclut les issues et portes
de secours, cages d’escalier,
extincteurs, pharmacie
portative, pièces sécurisées
pouvant servir de refuge, piè-
ces contenant des provisions,
pièces contenant les équipe-
ments nécessaires, groupes
électrogènes, points de
rassemblement, conduites,
valves et vannes, etc.
Exemple : contrats
Les listes contiennent les
noms, adresses, numéros de
téléphone (professionnels
et personnels), ainsi qu’une
description de la position au
sein de l’établissement.
7. Coordonnées des personnes à contacter
62
Questions Précisions Oui Non Sans objet Commentaire
8. Concertation éventuelle avec les services publics compétents
7.2 Existe-t-il des listes
actualisées rensei-
gnant sur les entrepri-
ses et services publics
externes importants ?
7.3 Est-il vérifié réguliè-
rement que toutes les
listes sont mises à jour ?
8.1 Les différents services
publics à informer
figurent-ils sur le plan
de crise ?
8.2 Les différentes per-
sonnes investies d’une
fonction au sein de
l’établissement sont-
elles connues de ces
services publics ?
8.3 Les services publics
concernés sont-ils infor-
més des plans de crise ?
8.4 Existe-t-il un contact
avec les services de
police en charge des
mesures préventives de
sûreté ?
Les listes contiennent des
renseignements sur l’or-
ganisation, son adresse, le
nom de l’interlocuteur, les
numéros de téléphone, une
description des prestations
de services, ainsi que des
informations sur des accords
contractuels et des priorités
en matière d’approvision-
nement. Ceci inclut notam-
ment les hôpitaux, crèches,
établissements scolaires et
fournisseurs de carburants.
Exemples : police, ser-
vice de l’hygiène et de la
santé publique, autorités en
charge de l’environnement,
sapeurs-pompiers, services
de sécurité civile
Ces services (police de la
Fédération et des Länder,
offices régionaux de police
criminelle, office fédéral
de police criminelle) vous
conseillent pour toute
question relative à des évé-
nements d’origine crimi-
nelle ou terroriste, ou à un
sabotage.
63
Questions Précisions Oui Non Sans objet Commentaire
site ?
3. Les membres du per-
sonnel ont-ils acquis
une expérience dans
d’autres domaines que
le leur (principe de
rotation) ?
4. Peut-on, en cas de crise,
recourir à du personnel
de remplacement ?
5. Est-ce qu’il existe des
plans d’alerte pour les
postes de travail à une
seule personne ?
Les activités effectuées selon le
principe de rotation dans dif-
férents domaines permettent
aux employés d’assumer des
fonctions en dehors de leur
domaine habituel de respon-
sabilité, en cas de défaillance
du personnel responsable.
Par exemple en cas de pan-
démie, il est éventuellement
possible de recourir au per-
sonnel d’entreprises et de
services publics du voisina-
ge, à d’anciens employés en
retraite ou à du personnel
en cours de formation.
Ceci inclut les boutons
d’alarme, ainsi qu’une alerte à
déclenchement automatique
en cas de dysfonctionnements,
d’erreurs de manœuvre et
d’absence de mesure correc-
tive dans les centres opération-
nels / salles de contrôle.
LISTESDECOnTRôLE
V.2.2 Personnel – Généralités
1. Existe-t-il des plans
et mesures propres à
assurer la protection
du personnel, même
dans des situations
extrêmes ?
2. L’établissement dispo-
se-t-il de suffisamment
de personnel connais-
sant parfaitement le
Ceci inclut la formation
de collaborateurs choisis,
qui les habilite à intervenir
comme guides d’évacuation,
secouristes et auxiliaires en
cas de pandémie, ainsi que
des plans d’évacuation, des
issues de secours ne pouvant
être bloquées par les inonda-
tions ou les décombres, des
points de rassemblement,
des espaces de repli, des
locaux protégés, des équi-
pements de protection, des
équipements de premiers
secours, ainsi qu’une réserve
de produits alimentaires.
64
V.2.3 Gestion de la crise – Plan de pandémie (en particulier pandémie grippale)
Questions Précisions Oui Non Sans objet Commentaire
1. Généralités
Questions Précisions Oui Non Sans objet Commentaire
6. Les membres du person-
nel de l’établissement
sont-ils informés de la
gestion de la crise ?
1.1 Est-il prévu que, en cas
d’absentéisme aggra-
vé, on puisse procéder
à un arrêt contrôlé des
activités de l’établisse-
ment ?
1.2 Des solutions de repli
sont-elles prévues pour
l’éventualité d’une épi-
démie ou d’une pandé-
mie ?
1.3 Des accords ont-ils
été conclus avec des
prestataires de services
externes concernant
la prise en charge de
certaines tâches ?
1.4 Une coopération avec
les autorités sanitaires
locales est-elle prévue
dans le cadre du plan
de continuité ?
1.5 Des réserves de médica-
ments antiviraux ont-
elles été constituées ?
1.6 Une vaccination est-
elle proposée dans
l’établissement, ou le
personnel y est-il infor-
mé des possibilités de
vaccination ?
1.7 Est-il prévu d’arrêter
une partie de la clima-
tisation si la gravité de
Exemple : télétravail
On veillera ici au fait que
certaines pièces et installa-
tions nécessitent une clima-
65
Questions Précisions Oui Non Sans objet Commentaire
tisation ininterrompue (p.
ex. les pièces où se trouvent
les serveurs informatiques).
La climatisation de ces piè-
ces et installations devra
être contrôlée séparément.
Exemples :
éviter de porter les mains
au visage ;
éviter les poignées de
main ;
se laver régulièrement
les mains ;
porter des équipements
de protection individuel-
le (masque sur la bouche
et le nez, lunettes)
V.3 Gestion de la crise
V.3.1 Procédures générales en cas de crise
Questions Précisions Oui Non Sans objet Commentaire
1. Procédures générales
1.1 Une évaluation de la
situation a-t-elle été
effectuée ?
LISTESDECOnTRôLE
la situation l’exige ?
2. Personnel
2.1 Les membres du per-
sonnel sont-ils sensibi-
lisés au problème ?
2.2 Les membres du per-
sonnel apprennent-ils
comment se comporter
en cas d’événement ?
2.3 Du personnel à risque
a-t-il été identifié ?
2.4 L’isolement en cas
d’événement a-t-il été
évoqué avec le person-
nel à risque ?
2.5 Du personnel supplé-
mentaire est-il formé
dans l’établissement
pour effectuer des opé-
rations spéciales ?
66
Questions Précisions Oui Non Sans objet Commentaire
2. Procédures administratives
1.2 Est-il possible de rétablir
le bon fonctionnement
de l’établissement ?
1.3 Des mesures de précau-
tion sont-elles prises
pour protéger le person-
nel, les clients et autres
personnes présentes ?
1.4 Des mesures de précau-
tion sont-elles prises
pour protéger les bâti-
ments, les installations
et les équipements, les
données et les docu-
ments ?
2.1 Le personnel, les
clients et les autres
personnes présentes
sont-ils mis en garde en
cas de survenance d’un
événement extrême ?
2.2 Tous les employés qui
ont à intervenir dans le
cadre de la gestion de la
crise sont-ils recensés ?
2.3 Tous les employés qui
ont à intervenir dans
des zones dangereuses
sont-ils recensés ?
2.4 Une assistance est-
elle fournie pour les
employés blessés, blo-
qués ou égarés ?
2.5 Des informations rela-
tives à l’événement
sont-elles fournies au
personnel ?
2.6 Des informations rela-
tives à l’événement
sont-elles fournies aux
familles des employés ?
67
Questions Précisions Oui Non Sans objet Commentaire
LISTESDECOnTRôLE
2.7 Toutes les blessures et
mesures prises à ce pro-
pos sont-elles consi-
gnées par écrit ?
2.8 Chaque sous-événe-
ment est-il consigné
par écrit ?
2.9 Les installations et
équipements sont-ils,
dans la mesure du pos-
sible, tous transférés
en dehors des zones
dangereuses ?
2.10 Des contrôles sont-ils
effectués aux accès de
la zone sinistrée ?
2.11 Est-il tenu un journal
de tous les appels télé-
phoniques ?
2.12 Des communiqués de
presse sont-ils publiés ?
2.13 La situation de crise
une fois terminée,
l’arrêt de l’alerte et le
rétablissement de l’or-
ganisation structurelle
sont-ils diligentés ?
3. logistique
3.1 Tous les équipements
nécessaires sont-ils
fournis ?
3.2 De la nourriture et des
objets de nécessité
sont-ils fournis ?
3.3 Le QG de la cellule de
crise est-il opérationnel ?
3.4 Tous les plans nécessai-
res sont-ils fournis ?
Plans des bâtiments, alimen-
tation en énergie et en eau,
élimination, etc.
68
Questions Précisions Oui Non Sans objet Commentaire
Questions Précisions Oui Non Sans objet Commentaire
1. Sauver, récupérer, lutter contre les incendies
1.1 Toutes les opérations
nécessaires sont-elles
déclenchées pour le
sauvetage des person-
nes et la récupération
des objets ?
1.2 Toutes les opérations
sont-elles lancées pour
l’extinction des incen-
dies ?
2.1 Toutes les opérations
nécessaires aux pre-
miers secours médicaux
sont-elles déclenchées ?
2.2 Tous les organismes
externes devant inter-
venir pour les premiers
secours médicaux ont-
ils été alarmés ?
2. Premiers secours médicaux
3.5 Tous les dispositifs et
équipements redon-
dants sont-ils fournis ?
3.6 Une réparation des ins-
tallations endomma-
gées est-elle effectuée
ou initiée ?
3.7 Est-il prévu une assis-
tance médicale pour
des blessures suscepti-
bles de survenir ?
3.8 L’alimentation électri-
que d’urgence a-t-elle
été mise en marche ?
QG de remplacement pour
la cellule de crise, postes
radio, etc.
Matériel de premier secours
Propres mesures, prévenir
des organismes externes
Propres mesures, prévenir
des organismes externes
SAMU, pompiers, etc.
V.3.2 Procédures spéciales durant la crise
69
Questions Précisions Oui Non Sans objet Commentaire
LISTESDECOnTRôLE
Pour s’y tenir durant la jour-
née et pouvoir y dormir si
besoin est.
Pour s’y tenir durant la jour-
née et pouvoir y dormir si
besoin est.
3.1 Toutes les mesures
nécessaires au boucla-
ge de secteurs ont-elles
été mises en place ?
3.2 Des contrôles d’accès
sont-ils effectués dans
les secteurs de crise ?
4.1 Des lieux d’héberge-
ment sécurisés sont-ils
mis à la disposition de
tous les membres de la
cellule de crise ?
4.2 Des lieux d’héberge-
ment sécurisés sont-ils
mis à la disposition du
personnel, des clients
et autres personnes
présentes sur les lieux ?
5.1 Toutes les personnes
présentes sont-elles
accompagnées par les
guides d’évacuation
vers le point de rassem-
blement convenu ?
5.2 Sur le point de rassem-
blement, est-il vérifié
que toutes les person-
nes sont au complet ?
5.3 La fin de l’évacuation
est-elle signalée ?
5.4 Des moyens de trans-
port sont-ils fournis
pour évacuer toutes les
personnes présentes ?
6.1 La police a-t-elle été
prévenue ?
5. Evacuation de bâtiments
6. Réaction en cas d’alerte à la bombe
3. bouclage de secteurs et contrôles d’accès
4. lieux d’hébergement sécurisés
70
Questions Précisions Oui Non Sans objet Commentaire
7. Coordination de la collaboration avec des entreprises externes et des services publics
8. Arrêt et remise en service contrôlés d’installations
6.2 Les éléments d’infor-
mation concernant
des activités suspectes
sont-ils enregistrés et
transmis ?
6.3 Les éléments d’infor-
mation concernant des
objets suspects sont-ils
enregistrés et transmis ?
7.1 La procédure prévue
pour travailler avec des
entreprises externes et
des services publics est-
elle activée ?
7.2 L’accès des collabora-
teurs d’établissements
externes est-il contrôlé ?
7.3 Un contrôle d’identité
est-il effectué auprès
des membres du per-
sonnel d’entreprises
externes et de services
publics ?
7.4 Les canaux de commu-
nication nécessaires
sont-ils activés ?
8.1 Le site est-il mis hors ser-
vice, totalement ou en
partie, après concerta-
tion avec le responsable
de la cellule de crise ?
8.2 Tous les délais sont-ils
pris en compte ?
8.3 Les effets d’une mise
hors service – partielle
ou totale – d’installa-
tions sont-ils recensés
et pris en compte ?
p. ex. en utilisant un formu-
laire
Exemples : sapeurs-pom-
piers, police
Délai de préparation éven-
tuellement nécessaire
71
LISTESDECOnTRôLE
9. Gestion des données et documents critiques
Questions Précisions Oui Non Sans objet Commentaire
Authenticité, contrôle du
document d’identité
9.1 Les supports de don-
nées et documents
importants sont-ils tou-
jours emballés dans des
contenants étanches à
l’eau et ignifugés ?
9.2 Les supports de donnés,
documents et conte-
nants importants sont-
ils marqués comme tels ?
9.3 Les supports de donnés
et documents impor-
tants sont-ils évacués
du secteur sinistré ?
10. Médias
10.1 Toutes les personnes
qualifiées pour inter-
venir comme porte-
parole face aux médias
sont-elles convoquées ?
10.2 Tous les textes prérédi-
gés sont-ils immédiate-
ment accessibles ?
10.3 Une documentation
générale concernant
l’établissement est-elle
disponible ?
10.4 La procédure définie
pour l’autorisation de
révéler les informa-
tions vers l’extérieur
est-elle respectée ?
10.5 Toutes les listes des inter-
locuteurs de l’établis-
sement pour les repré-
sentants des médias
sont-elles disponibles ?
10.6 Un questionnaire per-
mettant de contrôler
les représentants des
médias est-il disponible ?
72
Questions Précisions Oui Non Sans objet Commentaire
V.4 Retour d’expérience
Questions Précisions Oui Non Sans objet Commentaire
1. Des actions prioritaires
sont-elles définies ?
2. Le niveau des dangers
résiduels est-il évalué ?
10.7 Tous les représentants
des médias font-ils
l’objet d’un traitement
identique ?
10.8 Médias
a. Est-il publié des commu-
niqués de presse ?
b. Des conférences de presse
sont-elles tenues ?
c. Est-il publié des annon-
ces visant à informer le
public ?
d. Des informations sont-
elles diffusées par le biais
de la radio et de la télévi-
sion ?
11.1 Des fonds nécessaires
à la gestion de la crise
sont-ils fournis ?
12.1 Toutes les décisions
sont-elles consignées
par écrit ?
12.2 Tous les dommages
corporels sont-ils consi-
gnés, preuves à l’appui ?
12.3 Tous les dommages
matériels sont-ils docu-
mentés ?
Formulaires, procès-verbaux
Rapports, photos, matériel
vidéo
Rapports, photos, matériel
vidéo
11. Soutien financier en cas de crise
12. Consignation par écrit / conservation des preuves
73
Questions Précisions Oui Non Sans objet Commentaire
V.5 Exercices
Questions Précisions Oui Non Sans objet Commentaire
1. Exercices « table top »
1.1 Est-il procédé à des
exercices concernant la
prise en charge de mis-
sions et de responsabi-
lités en cas de crise ?
LISTESDECOnTRôLE
Rapports, photos, matériel
vidéo
Assurances, administrations
Aérer, déblayer les décom-
bres, sécher, etc.
3. Une enquête est-elle
effectuée auprès du per-
sonnel sur la manière
dont la crise a été gérée ?
4. Les informations concer-
nant les dommages
sont-elles analysées ?
5. Toutes les factures
sont-elles payées ?
6. Les acteurs externes
sont-ils informés sur la
situation ?
7. Les clients concernés
ont-ils été contactés ?
8. A-t-on fait en sorte que
tous les travaux de
déblaiement nécessai-
res soient effectués ?
9. Un inventaire est-il dres-
sé de tous les bâtiments,
installations et équipe-
ments détériorés ?
10. Une estimation du
dommage financier
est-elle effectuée ?
11. Les conclusions du
retour d’expérience
sont-elles mises à profit
pour un ajustement de
la gestion des crises ?
74
Questions Précisions Oui Non Sans objet Commentaire
1.2 Est-il procédé à des
exercices portant sur les
procédures d’alerte, de
remontée de l’informa-
tion et d’avertissement ?
1.3 Les canaux de commu-
nication internes et
externes sont-ils testés ?
1.4 Les moyens de commu-
nication sont-ils testés ?
1.5 Des listes de contacts
sont-elles testées ?
2.1 Est-il procédé à des
évacuations ?
2.2 Après une évacuation,
est-il vérifié que le per-
sonnel est au complet ?
2.3 Tous les équipements
sont-ils testés ?
2.4 Est-il procédé à des
exercices portant sur
l’arrêt contrôlé d’instal-
lations et de secteurs ?
2.5 L’activation de sites et /
ou d’équipements alter-
natifs est-elle testée ?
2.6 L’activation de systèmes
redondants en mode
de fonctionnement « de
secours » est-elle testée ?
2.7 Est-il procédé à des
exercices portant sur le
retour au mode normal
de fonctionnement ?
Exemple : listes téléphoni-
ques
Exemple : équipements de
protection individuelle
2. Exercices partiels, exercices complets
75
V.6 Choix et aménagement d’un QG de cellule de crise
Questions Précisions Oui Non Sans objet Commentaire
1. Infrastructure des locaux
1.1 Le QG de la cellule de
crise se trouve-t-il si
possible dans un sec-
teur sécurisé du site, ou
sur un site alternatif ?
1.2 Le QG de la cellule de
crise est-il situé à un
emplacement central,
facilement accessible ?
1.3 Les membres / unités de la
cellule de crise peuvent-ils
être joints directement ?
1.4 Des espaces de parking
en quantité suffisante
sont-ils disponibles à
proximité immédiate ?
1.5 Existe-t-il une salle de
réunion (sans téléphone)
suffisamment spacieuse
et séparée de la salle
de travail, pour faire le
point de la situation ?
1.6 Existe-t-il en outre des
petites salles de réunion
pour les groupes de tra-
vail / les concertations
sur des points de détail ?
1.7 Est-il prévu une salle de
travail suffisamment
spacieuse pour accueillir
la cellule de crise et les
unités de soutien ?
1.8 A-t-on pensé, pour
le QG de la cellule de
crise, à mettre en place
un dispositif pare-vue
côté fenêtres, et un dis-
positif anti-écoute ?
1.9 Existe-t-il, à proximité
du QG, des pièces / zones
LISTESDECOnTRôLE
76
Questions Précisions Oui Non Sans objet Commentaire
CD-ROM, disques durs exter-
nes, clés USB
Pour scanner des docu-
ments, photos, etc…
2. Infrastructure technique
permettant la cellule de
crise de se retirer pour
prendre du repos, se
restaurer et éventuelle-
ment dormir ?
1.10 Est-il possible d’assom-
brir la salle, pour les
présentations ?
2.1 Des postes informati-
ques, avec accès Inter-
net, courrier électroni-
que et supports externes
de stockage pour le
transport des données
sont-ils disponibles ?
2.2 Des ordinateurs porta-
bles, notebooks et PDA
sont-ils disponibles ?
2.3 Existe-il une boîte mail
partagée, à distribu-
tion contrôlée ?
2.4 Des téléphones por-
tables avec câbles
chargeurs, ainsi que
des téléphones analo-
giques indépendants
du réseau électrique
sont-ils disponibles ?
2.5 Existe-t-il éventuellement
une ligne directe avec les
principales entreprises et
administrations ?
2.6 Les fax et serveurs fax
sur PC sont-ils en nom-
bre suffisant ?
2.7 Des scanners sont-ils
disponibles ?
2.8 L’accès au système inter-
ne de vidéosurveillance
est-il possible ?
77
Questions Précisions Oui Non Sans objet Commentaire
LISTESDECOnTRôLE
2.9 L’accès aux systèmes
informatiques internes
est-il possible ?
2.10 L’accès au système radio
et à la technique radio
du site est-il possible ?
2.11 A-t-on prévu une tech-
nique de visualisation ?
2.12 Dispose-t-on d’un
nombre suffisant de
téléviseurs, radios et
magnétoscopes ?
2.13 Est-il garanti que les
enregistrements sont
disponibles dans un
format lisible ?
2.14 Une photocopieuse est-
elle disponible ?
2.15 Des appareils photo
sont-ils disponibles ?
2.16 Une alimentation élec-
trique non interrupti-
ble, et / ou un système
d’alimentation de
secours sont-ils prévus ?
3. Divers
3.1 Des formulaires,
feuilles de procès-
verbal et modèles de
documents sont-ils
disponibles ?
3.2 Des formulaires sont-ils
disponibles pour les
réunions où il est fait le
point de situation ?
3.3 Des listes téléphoniques,
listes de contacts et
inventaires de ressour-
ces sont-ils disponibles ?
Exemple : écran, beamer,
chevalet de présentation,
tableau blanc
Pour suivre, analyser et
enregistrer les images prises
par caméra et reportages.
Personnel, équipements,
stocks, prestations de services
en cas de crise, contrats sous
forme numérique et sur papier.
78
Questions Précisions Oui Non Sans objet Commentaire
3.4 Existe-t-il des listes
des participants aux
réunions où il est fait le
point de la situation ?
3.5 Existe-t-il un plan de table
pour la cellule de crise ?
3.6 Des plans et photos
récents du site sont-ils
disponibles ?
3.7 Des badges person-
nalisés indiquant la
fonction sont-ils prévus
pour les membres de la
cellule de crise ?
3.8 Les fournitures de
bureau sont-elles en
quantité suffisante ?
3.9 Y a-t-il un centre de
presse correctement
équipé (TV, radio) ?
3.10 Est-il prévu de mettre
en place un contrôle
d’accès pour pénétrer
dans le QG de la cellule
de crise ?
3.11 Est-il effectué un
contrôle des papiers
d’identité et des lais-
sez-passer ?
3.12 Des cartes de visite
sont-elles disponibles ?
3.13 Est-il prévu des repas
pour l’éventualité d’un
événement ?
3.14 Des équipements de
protection sont-ils pré-
vus pour l’ensemble du
personnel ?
Eventuellement aussi des
porte-nom pour la table,
avec désignation du domai-
ne d’activité, en cas de chan-
gement de personnes au
sein de la cellule de crise.
Papier, crayons, stylos, etc.
Pour les grosses entreprises
et administrations.
Par exemple pour les repré-
sentants des médias
Lunettes de protection, cas-
ques, chaussures de sécurité,
masques respiratoires, com-
binaisons de protection.
79
VI. Exemple d’une analyse des risques
L’exemple suivant illustre la manière dont peut être réalisée
dans la pratique une analyse des risques, pour un établis-
sement fictif. Le sous-processus choisi comme exemple et
examiné est celui d’une salle de contrôle. En l’occurrence, le
processus de la salle de contrôle n’a pas été lui-même divisé
en d’autres sous-processus.
Un tableau de risques généré par un logiciel tableur a été
utilisé pour procéder à l’analyse des risques pour la salle de
contrôle
VI.1 Analyse de criticité
Pour déterminer la criticité de la salle de contrôle, on a
recours à deux des quatre critères listés au chapitre 3.2.1, qui
sont évalués à partir de la classification suivante. Cette clas-
sification doit être comprise comme étant une suggestion,
qui pourra être adaptée aux spécificités de l’établissement
concerné. Les catégories encadrées d’un trait épais ont été
choisies pour le sous-processus « salle de contrôle ».
Catégorie Classification verbalelaps de temps s’écoulant avant que les services
ou la production soient perturbés
Tableau 1 : Classification selon le critère de criticité « Facteur temporel »
a) Facteur temporel :
En combien de temps la perturbation du processus se répercute-t-elle sur l’ensemble de la production de biens ou de servi-
ces de l’établissement ?
1
2
3
4
5
Laps de temps très court (p. ex. : secondes ou minutes)
Laps de temps court (p. ex. : heures)
Laps de temps moyen (p. ex. : jours)
Laps de temps long (p. ex. : semaines)
Laps de temps très long (p. ex. : mois, années)
le sous-processus est très critique
le sous-processus est critique
le sous-processus est important,
mais pas critique
le sous-processus n’est pas très
critique
le sous-processus n’est quasi-
ment pas critique
80
Catégorie Classification verbaleVolume de services ou de la production perturbé
Tableau 2 : Classification selon le critère de criticité « Volume »
b) Volume :
Quel volume de l’ensemble des biens et services serait concerné en cas de perturbation ou d’arrêt total du sous-processus
critique en question ?
Dans le cas de l’établissement fictif, le laps de temps qui s’écoule
jusqu’à ce que l’ensemble des services fournis soient perturbés
est très court, il peut dont être classé dans la catégorie 1. Selon
le critère de criticité « Facteur temporel », le sous-processus doit
donc être considéré comme très critique.
En cas de perturbation de la salle de contrôle, il est présumé que le
volume de services ne pouvant pas être fourni est très élevé – il est
classé dans la catégorie 2. Du point de vue du critère « Volume », le
sous-processus doit donc être considéré comme étant critique.
Au total, le sous-processus « Salle de contrôle » est classé comme
étant très critique. Il fait l’objet d’un examen plus détaillé dans le
cadre de l’analyse des risques.
VI.2 Analyse des aléas et élaboration de scénarios
L’exemple choisi d’un aléa susceptible d’affecter l’établisse-
ment fictif est une panne d’électricité. A partir de ce cas de
figure, on peut élaborer le scénario suivant.
Intensité 5 millions de personnes privées d’électricité dans toute l’Europe
Toutes les installations fonctionnant à l’électricité, sans alimentation de secours, sont immobilisées.
Les groupes électrogènes fournis par la protection civile sont loin d’être suffisants pour couvrir les
besoins en alimentation de secours.
Ampleur géographique Pannes régionales touchant de nombreux réseaux régionaux partiels ; la salle de contrôle de l’éta-
blissement est affectée par la panne d’électricité
Durée de la panne 4 jours
Avertissement Aucun avertissement préalable
Événements de référence Panne d’électricité dans la région du Münsterland en novembre 2005, avec des coupures régionales
qui ont duré jusqu’à 5 jours, affectant jusqu’à 250.000 personnes.
Scénario : panne d’électricité
Tableau 3 : Scénario d’une panne de l’alimentation externe en électricité
1
2
3
4
5
Très gros volume
(p. ex. : 80 à 100 % de l’ensemble des services ou de la production)
Gros volume
(p. ex. : 50 à 80 % de l’ensemble des services ou de la production)
Volume moyen
(p. ex. : 30 à 50 % de l’ensemble des services ou de la production)
Faible volume
(p. ex. : 10 à 30 % de l’ensemble des services ou de la production)
Très faible volume
(p. ex. : 0 à 10 % de l’ensemble des services ou de la production)
le sous-processus est très cri-
tique
le sous-processus est critique
le sous-processus est important,
mais pas critique
le sous-processus n’est pas très
critique
le sous-processus n’est quasi-
ment pas critique
81
ExEMPLED’unEAnALySEDESRISQuES
Il est quasiment impossible de déterminer quantitativement la
probabilité de survenance de ce scénario. Il faut donc l’estimer.
Le passé récent a montré qu’il est tout à fait possible que des
pannes d’électricité surviennent subitement. Dans le contexte
d’un accroissement des catastrophes naturelles extrêmes et de
la montée des menaces terroristes, la probabilité de survenance
de ce scénario est considérée comme « moyenne ». Ce classe-
ment correspond à la catégorie n° 3.
Catégorie Catégorie verbale Points
Tableau 4 : Classification de la probabilité de survenance
Question : Comment estimez-vous la probabilité de survenance d’un tel scénario, dans l’ampleur décrite ?
1
2
3
4
5
VI.3 Analyse de vulnérabilité
Parmi les critères de vulnérabilité décrits au chapitre 3.2.2.2,
on a sélectionné les critères suivants pour la salle de contrôle :
Dépendance vis-à-vis des éléments de risque
Dépendance vis-à-vis des infrastructures externes – ali-
mentation électrique
Dépendance vis-à-vis des infrastructures externes – trafic,
transport et logistique
Robustesse / Niveau de protection atteint
Redondance / Remplacement
Coût de réparation
On part du principe que ces critères sont particulièrement
pertinents pour l’établissement fictif. Afin de simplifier
l’exemple, il ne sera donné aucune raison justifiant le choix
de ces critères, ce choix indiquant toutefois que les critères
ne doivent pas nécessairement être retenus dans leur totalité
pour tous les établissements.
Le critère « Dépendance vis-à-vis des éléments de risque » sert
de facteur de pondération, la somme des autres valeurs relati-
ves à la vulnérabilité étant utilisée pour le calcul des risques.
Comme pour l’estimation de la probabilité de survenance du
scénario, les valeurs relatives à la vulnérabilité des éléments
de risque sont estimées à l’aide de catégories verbales, avec
une attribution de points pour chacune de ces catégories.
La vulnérabilité est différente d’un scénario à l’autre, ce qui
explique que chaque case n’est pas nécessairement remplie.
C’est pourquoi il a été créé une catégorie 0, qui permet de
neutraliser la combinaison concernée. Les autres catégories
sont les mêmes que celles utilisées pour évaluer la probabilité
de survenance.
1
2
3
4
5
très faible
faible
moyenne
élevée
très élevée
82
Tableau 5 : Classification de la vulnérabilité
Catégorie Catégorie verbale Description Points
0
1
2
3
4
5
0
1
2
3
4
5
non pertinent
très faible
faible
moyen
élevé
très élevé
Le scénario est absolument sans impor-
tance pour l’élément de risque.
Le scénario n’a aucun impact – ou un
impact très faible – sur le déroulement des
activités.
Le scénario requiert la mise en place de
mesures organisationnelles (changement
de personnel, réparations, etc.)
Le scénario entraîne un dysfonctionne-
ment partiel, s’étendant sur une courte
période
Le scénario entraîne un dysfonctionne-
ment partiel, s’étendant sur une longue
période
Le scénario entraîne un dysfonctionne-
ment de grande ampleur, s’étendant sur
une longue période
Dans le tableau des risques, on procède alors à l’estimation
d’une vulnérabilité, pour chaque élément de risque et pour
chaque critère de vulnérabilité. Les valeurs correspondantes,
V1 à V570, sont inscrites dans les cases prévues à cet effet.
L’opération est répétée pour chaque élément de risque. Cette
démarche une fois terminée, on obtient un tableau des ris-
ques qui, pour le sous-processus choisi, indique les vulnérabi-
lités partielles et les risques partiels, ainsi que la vulnérabilité
globale et le risque global.
VI.4 Calcul du risque
Le recoupement, et donc le calcul des valeurs, s’effectue de la
manière suivante, à partir du tableau des risques décrit ci-dessus :
Points inscrits dans le tableau :
PS : Probabilité de survenance
DER : Dépendance vis-à-vis des éléments de risque
V1 : Dépendance vis-à-vis d’infrastructures externes - ali-
mentation électrique
V2 : Dépendance vis-à-vis des infrastructures externes – tra-
fic, transport et logistique
V3 : Robustesse / Niveau de protection atteint
V4 : Redondance / Remplacement
V5 : Coût de réparation
Valeurs relatives aux éléments de risque calculés dans le
tableau :
Vulnérabilité partielle = DER * (V1 + V2 + V3 + V4 + V5)
Risque partiel = PS * DER * (V1 + V2 + V3 + V4 + V5)
Valeurs relatives au processus, calculées dans le tableau :
Vulnérabilité totale = somme de toutes les vulnérabilités
partielles
Risque total = somme de tous les risques partiels
70 Cf. Tableau 6 et 7.
83
ExEMPLED’unEAnALySEDESRISQuES
Tableau 6 : Extrait du tableau des risques pour la salle de contrôle
Pan
ne
de
l’ali
men
-ta
tion
ex
tern
e en
él
ectr
icit
é
Sous
-p
roce
ssus
:Sa
lle d
e co
ntrô
le
Dép
end
ance
vi
s-à-
vis
des
élém
ents
de
risq
ues
Dép
end
ance
vi
s-à-
vis
des
infr
astr
uct
ure
s ex
tern
es -
ali-
men
tati
on é
lec-
triq
ue
Dép
end
ance
vi
s-à-
vis
d’in
fra-
st
ruct
ure
s ex
tern
es -
traf
ic,
tran
spor
t et
log
isti
que
Rob
ust
esse
/ N
ivea
u d
e pr
o-
tect
ion
att
ein
t
Red
ond
ance
, re
mp
lace
men
tC
oût d
e
rép
arat
ion
Cri
tère
s d
e vu
lnér
abili
té d
e la
sal
le d
e co
ntrô
le
Vu
lné-
rabi
lité
p
arti
elle
Cal
cul R
isqu
e p
arti
elSc
énar
io :
PS :
3
Poin
ts5
13
12
140
120
Dan
s qu
elle
m
esu
re
la s
alle
de
con
trôl
e es
t-el
le, à
vot
re
avis
, tri
bu-
tair
e d’
un
p
erso
nn
el
spéc
iali
sé ?
Qu
elle
est
, à
votr
e av
is, l
a vu
lnér
abil
ité
de la
sal
le d
e co
ntr
ôle
en
rais
on d
e la
dé
pen
dan
ce d
u
per
son
nel
vis
-à-
vis
de l’
alim
en-
tati
on é
lect
ri-
que
exte
rne
?
Qu
elle
est
, à
votr
e av
is, l
a vu
lnér
abil
ité
de la
sal
le d
e co
ntr
ôle
en
rais
on d
e la
dé
pen
dan
ce d
u
per
son
nel
vis
-à-
vis
du t
rafi
c, d
es
tran
spor
ts e
t de
la lo
gis
tiqu
e ?
Qu
elle
est
, à
votr
e av
is, l
a vu
lnér
abil
ité
de la
sal
le d
e co
ntr
ôle
en r
ai-
son
de
l’abs
ence
de
pro
tect
ion
p
hys
iqu
e p
our
le p
erso
nn
el ?
Qu
elle
est
, à
votr
e av
is, l
a vu
l-n
érab
ilit
é de
la
sall
e de
con
trôl
e en
rai
son
de
l’abs
ence
de
per
son
nel
de
rem
pla
cem
ent
en c
as d
e p
ann
e d’
élec
tric
ité
?
Qu
elle
peu
t êt
re la
vu
l-n
érab
ilit
é du
so
us-
proc
essu
s du
poi
nt d
e vu
s du
tem
ps
néc
essa
ire
pou
r ré
tabl
ir le
per
-so
nn
el d
ans
ses
fon
ctio
ns
?
Qu
esti
ons
La s
alle
de
con
trôl
e es
t tr
ès t
ribu
-ta
ire
du p
er-
son
nel
.
Le p
erso
nn
el
n’e
st t
ribu
tair
e de
l’al
imen
ta-
tion
en
éle
ctri
ci-
té q
ue
dan
s u
ne
cert
ain
e m
esu
-re
. L’a
bsen
ce
d’u
n é
clai
rage
de
sec
ours
, par
ex
emp
le p
eut l
e gê
ner
dan
s so
n
trav
ail.
La p
ann
e d’
élec
-tr
icit
é ex
tern
e p
eut a
ffec
ter
égal
emen
t le
traf
ic e
t les
tr
ansp
ort.
Il e
st
pos
sibl
e qu
e le
p
erso
nn
el n
e pu
isse
pas
se
ren
dre
à s
on
trav
ail.
L’ab
sen
ce d
’un
éc
lair
age
de
seco
urs
peu
t pr
ovoq
uer
des
ac
cide
nts
et d
es
bles
sure
s.
La p
ann
e d’
élec
-tr
icit
é n’
aura
pr
obab
lem
een
t qu
’un
imp
act
faib
le o
u m
oyen
su
r la
dis
pon
ibi-
lité
de
per
son
nel
de
rem
pla
ce-
men
t (gê
ne
dan
s le
s tr
ansp
orts
en
co
mm
un
, le
tra-
fic
ferr
ovia
ire)
.
La p
ann
e u
ne
fois
term
inée
, le
per
son
nel
n
e se
ra p
lus
affe
cté.
Com
men
-
tair
es
Pers
onn
el
84
Le tableau suivant montre le résultat d’un exemple pour tous
les éléments de risque de la salle de contrôle. Dans un souci de
clarté, les questions et les commentaires ont été effacés de ce
tableau. Toutes les installations et tous les équipements spécifi-
ques à l’établissement sont regroupés dans l’exemple à la rubri-
que « Installations et équipements ».
Tableau 7 : Tableau des risques pour la salle de contrôle, sans questions ni commentaires
Sous-processus :
Salle de contrôle CalculCritères de vulnérabilité de la salle de contrôle
Dép
enda
nce
vis
-à-v
is d
es é
lé-
men
ts d
e ri
squ
es
infr
astr
uct
ure
s ex
tern
es -
ali-
men
tati
on é
lect
riqu
e
Dép
enda
nce
vis
-à-v
is d
’in-
fras
tru
ctu
res
exte
rnes
- tr
afic
,
tran
spor
t et l
ogis
tiqu
e
Rob
ust
esse
/ N
ivea
u d
e pr
o-
tect
ion
att
ein
t
Red
onda
nce
, rem
plac
emen
t
Coû
t de
répa
rati
on
Vu
lnér
abili
té p
arti
elle
Ris
que
part
iel
Pan
ne
de l’
alim
enta
iton
exte
rne
en é
lect
rici
téScénario :
Points 5 1 3 1 2 1
Points 5 0 0 0 3 0
Points 5 5 0 3 1 2
Points 5 5 1 4 5 3
Points 2 0 0 0 0 0
Points 5 2 2 0 4 0
Vulnérabilité totale, risque total (sous-processus, scénario) :
PS :
Personnel
Site, bâtiments
Installations,
équipements
Données,
logiciels
Documents
Moyens de
fonctionne-
ment
3
240 720
40 120
15 45
55 165
90 270
0 0
40 120
85
VI.5 Comparaison des risques
En analysant tous les processus critiques, ainsi que leurs sous-
processus au sein de l’établissement, de même que les diffé-
rents scénarios pertinents pour l’établissement, on obtient
une série de tableaux de risques, qui peuvent être alors placés
les uns à côté des autres. Les résultats sont générés sur la
même base standardisée, tant au niveau de la méthode que
du contenu, ce qui permet de procéder à une comparaison
exhaustive des aspects suivants :
les vulnérabilités partielles et les risques partiels des élé-
ments de risque au sein d’un sous-processus ;
les vulnérabilités partielles et les risques partiels des
mêmes éléments de risque de sous-processus différents ;
les vulnérabilités partielles et les risques partiels de diffé-
rents sous-processus ;
les vulnérabilités totales et les risques totaux de différents
sous-processus ;
L’exemple ne peut fournir qu’une comparaison de vulné-
rabilités partielles et de risques partiels relatifs à la salle de
contrôle. En étendant cette démarche à d’autres sous-proces-
sus, on obtient une comparaison de vaste portée pour l’en-
semble de l’établissement.
L’illustration suivante représente schématiquement la com-
paraison de deux sous-processus et de différents scénarios.
Illustration 12 : Deux sous-processus, plusieurs scénarios
ExEMPLED’unEAnALySEDESRISQuES
86
Les résultats du calcul des vulnérabilités partielles et risques
partiels peuvent être classés en catégories verbales. Dans le
classement suivant, une valeur appartient à la catégorie supé-
rieure lorsqu’elle dépasse d’un point la valeur maximum de la
catégorie concernée.
Pour l’élément de risque « Données, logiciels », on obtient
les résultats suivants. Se chiffrant à 90, la vulnérabilité par-
tielle doit être considérée comme étant très élevée. Avec 270
points, le risque partiel est élevé.71
Vulnérabilité partielle
Points Catégories verbales
Tableau 9 : Classification des résultats du calcul des risques partiels
Risques partiels
Catégorie Points Catégories verbales
Tableau 8 : Classification des résultats du calcul des vulnérabilités
partielles
La vulnérabilité totale et le risque total du sous-processus
« salle de contrôle » peuvent, eux aussi, être catégorisés selon
cette méthode. Se chiffrant respectivement à 240 et 720, la
vulnérabilité totale et le risque total peuvent être qualifiés de
moyens.
71 Cf. chap. VI. 4. Calcul du risque, Tableau 7.
Vulnérabilité totale
Points Catégories verbales
Tableau 10 : Classification des résultats du calcul des vulnérabilités
totales
Risques totaux
Catégories Points Catégories verbales
Tableau 11 : Classification des résultats du calcul des risques totaux
0
1
2
3
4
5
aucun risque partiel
risque partiel très faible
risque partiel faible
risque partiel moyen
risque partiel élevé
risque partiel très élevé
0
1 à 5
6 à 40
41 à 135
136 à 320
321 à 625
0
1
2
3
4
5
aucun risque total
risque total très faible
risque
total faible
risque total moyen
risque total élevé
risque total très élevé
0
1 à 35
36 à 280
281 à 945
946 à 2240
2241 à 4375
0
1 à 35
36 à 140
141 à 315
316 à 560
561 à 875
aucune vulnérabilité totale
vulnérabilité totale très faible
vulnérabilité totale faible
vulnérabilité totale moyenne
vulnérabilité totale élevée
vulnérabilité totale très élevée
0
1 à 5
6 à 20
21 à 45
46 à 80
81 à 125
aucune vulnérabilité partielle
vulnérabilité partielle très
faible
vulnérabilité partielle faible
vulnérabilité partielle moyenne
vulnérabilité partielle élevée
vulnérabilité partielle très élevée
87
La salle de contrôle présente une vulnérabilité totale moyen-
ne et un risque total moyen. Pour l’élément de risque « Don-
nées et logiciels », en revanche, tant la vulnérabilité partielle
que le risque partiel s’avèrent très élevés. En termes de risques
partiels élevés, les « installations et équipements » arrivent en
deuxième position. Ce risque partiel peut, lui aussi, être consi-
déré comme élevé. Si, dans la réalité, il était prévu des mesu-
res de sécurité supplémentaires, c’est au niveau de ces deux
éléments de risque qu’il conviendrait de les mettre en place.
Au lieu de comparer les tableaux de risques imprimés sur
papier, il est également possible de transférer dans un nou-
veau tableau toutes les valeurs calculées, comme les vulné-
rabilités partielles ou les risques partiels. Ceci permet de syn-
thétiser tous les résultats dans un seul tableau et de procéder
simplement à une analyse graphique, à l’aide de la fonction
Diagramme du tableur.
REMARQUE IMPORTANTE :
Lorsd’unecomparaisondesrisques,l’accentdoitêtremis
surunecomparaisondesrisquespartiels.Lesrisquespartiels
élevésfragilisentconsidérablementunsous-processus,et
doiventdoncêtreréduits.
Lorsqu’ilssontélevés,lavulnérabilitétotaleoulerisque
totald’unsous-processuspeuventindiquerquel’onesten
présencedeplusieursrisquespartielsélevés.Dansuntel
cas,deseffortsparticulièrementimportantsdoiventêtre
faitspourréduirecesrisques.Enrevanche,lesrisquestotaux
résultantuniquementderisquespartielsmoyenssontmoins
pertinents.
ExEMPLED’unEAnALySEDESRISQuES
Cette brochure est distribuée à titre gratuit dans le cadre du travail de relations publiques du ministère fédéral de l’Intérieur.
Est illégale toute utilisation par des partis politiques ou des candidats ou leurs supporteurs à des fins de propagande électorale
pendant des campagnes électorales. Ceci s’applique aux élections européennes, aux élections législatives au niveau fédéral
et régional ainsi qu’aux élections municipales. Est notamment considérée comme abusive la distribution de la brochure lors
d’événements électoraux ou sur des stands d’information des partis politiques ainsi que l’insertion, l’impression ou l’apposition
d’informations ou de supports de propagande relatifs à un parti politique dans ou sur la brochure. Est en outre interdite toute
communication à des tiers à des fins de propagande électorale. Indépendamment de la voie par laquelle le destinataire a reçu
la présente brochure, du moment de la réception et du nombre d’exemplaires reçus, cette brochure ne doit pas être utilisée –
même en dehors d’une période préélectorale – de manière à pouvoir suggérer une prise de position du gouvernement fédéral
en faveur d’un groupement politique particulier.
Edité par le
Ministère fédéral de l’Intérieur
Division KM 4
Alt-Moabit 101 D
10559 Berlin, Allemagne
www.bmi.bund.de
Rédaction :
Office fédéral pour la protection des populations et l’assistance en cas de catastrophe
Direction générale II – Prévention des situations d’urgence et infrastructures critiques
Conception générale :
MEDIA CONSULTA Deutschland GmbH
Crédits photographiques :
Office fédéral pour la protection des populations et l’assistance en cas de catastrophe
Agence fédérale de secours technique
Impression :
Silber Druck oHG, Niestetal
Cette brochure peut être commandée gratuitement.
Service d’envoi des publications du gouvernement fédéral
Postfach 48 10 09
18132 Rostock, Allemagne
Téléphone : +49 18 05-77 80 90
(14 centimes la minute depuis un poste fixe en Allemagne,
prix différents à partir d’un réseau de téléphonie mobile ; dernière mise à jour sept. 2007)
Télécopieur : +49 18 05-77 80 94
(14 centimes la minute depuis un poste fixe en Allemagne,
prix différents à partir d’un réseau de téléphonie mobile ; dernière mise à jour sept. 2007)
e-mail : [email protected]
Référence / Artikelnummer : BMI08321
Les données personnelles communiquées en vue de l’envoi sont effacées une fois la livrai-
son effectuée.