Transitions et analyses de risques : défis et perspectives

Jean-Christophe Le Coze, Agnès Vallee, Emmanuel Plot, Marine Boutillon,

François Masse, Chabane Mazri, Thomas Marcon

To cite this version:

Jean-Christophe Le Coze, Agnès Vallee, Emmanuel Plot, Marine Boutillon, François Masse, et al..
Transitions et analyses de risques : défis et perspectives. 22ème Congrès de Maîtrise des Risques et
Sûreté de Fonctionnement (Lambda-Mu 22), Oct 2020, En ligne, France. pp.147-156. �ineris-03319947�

HAL Id: ineris-03319947

[Link]
Submitted on 13 Aug 2021

HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est

archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents
entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non,
lished or not. The documents may come from émanant des établissements d’enseignement et de
teaching and research institutions in France or recherche français ou étrangers, des laboratoires
abroad, or from public or private research centers. publics ou privés.
 Transitions et analyses de risques : défis et
perspectives
Jean-Christophe Le Coze Agnès Vallée Emmanuel Plot
Direction des Risques Accidentels Direction des Risques Accidentels Direction des Risques Accidentels
Ineris Ineris Ineris
Verneuil en Halatte, France Verneuil en Halatte, France Verneuil en Halatte, France
[Link]@[Link] [Link] @[Link] [Link]@[Link]
Marine Boutillon François Masse Chabane Mazri
Direction des Risques Accidentels Direction des Risques Accidentels
Direction des Risques Accidentels
Ineris Ineris
Ineris Verneuil en Halatte, France Verneuil en Halatte, France
Verneuil en Halatte, France [Link]@[Link] [Link]@[Link]
[Link]@[Link]
Thomas Macron
Direction des Risques Accidentels
Ineris
Verneuil en Halatte, France
[Link]@[Link]

Résumé—Cet article explore les implications des mutations fondements, pratiques et usages de l’analyse de risque par les
actuelles sur la pratique et l’usage des analyses de risques (AR). Il sciences humaines et sociales. Puisant dans des travaux sur
introduit les dernières évolutions des AR dans le domaine des les sciences et technologies, de nombreux auteurs soulignent
ICPE et introduit la question des limites des AR. Ensuite, plusieurs le caractère subjectif, construit et historiquement situé de
thèmes et travaux associés menés à l’Ineris depuis quelques années l’analyse de risque par opposition à une vision qui serait
sont présentés. Ils concernent la cybersécurité, les natech objective et purement rationnelle, détaché des contingences
(catastrophes naturelles ayant des effets sur les installations à situationnelles. Ces connaissances méthodologiques,
risques), le management numérique de la sécurité, les réflexives et critiques sont particulièrement importantes dans
conséquences environnementales et les effets domino. Considérés
un contexte de transitions.
ensemble, ces thèmes constituent des évolutions notables dont les
implications pour la pratique et l’usage des AR sont discutées. En ce qui concerne les installations classées pour la
Mots clés—analyse de risques, transition, cybersécurité, protection de l’environnement (ICPE), l’exercice d’analyse
natech, management numérique, conséquences de risque est cadré par une réglementation qui requiert des
environnementales, effets dominos exploitants la production d’une étude de danger. L’accident
d’AZF (2001) a contribué à faire évoluer la réglementation
I. INTRODUCTION (loi Bachelot de 2003 intégrant la probabilité et la prise en
L’analyse de risque est au cœur du processus de gestion compte plus forte des territoires et de leurs enjeux au travers
des risques et fait l’objet de questionnements de dispositifs de concertation) et a donné lieu à de nombreux
méthodologiques, réflexifs ou critiques depuis de travaux sur les fondements, les usages et les pratiques des
nombreuses années. Ces questionnements interrogent les analyses de risques dans les années qui ont suivi [2]. Un
fondements, la pratique et les usages des analyses de risques certain nombre d’éléments ont notamment été synthétisés
[1]. Du côté des sciences pour l’ingénieur, les fondements de dans la circulaire du 10 mai 2010. Depuis une dizaine
l’analyse de risques reposent sur une connaissance des d’année, il y a eu peu d’évolutions ou de remises en question
phénomènes, des installations et des activités qui s’y de ces évolutions post-AZF. Or, les analyses de risques sont
déroulent pour évaluer, quantifier, anticiper et prévenir des confrontées à un nouveau contexte de mutations profondes
événements catastrophiques. La pratique correspond à de l’industrie et de son environnement, non plus cette fois
l’animation d’un groupe de travail qui procède à réglementaire, mais, comme indiqué dans le thème de la
l’identification des scénarios à prévenir, qui font ensuite conférence, digitales et environnementales mais aussi
l’objet de modélisation pour déterminer des effets. Les sociétales (comme l’événement de Lubrizol l’a montré, sur
usages se définissent comme le passage des résultats de ces les effets domino et conséquences sanitaires d’événements
analyses en matière de conception, de procédures et accidentels). Ces mutations tendent à faire évoluer les
d’activités vers leur mise en œuvre concrète dans la réalité. menaces, les vulnérabilités, les attentes et les objectifs de la
Cette vision méthodologique ingénieure est complétée par gestion des risques. L’objectif de cette communication est de
des questionnements réflexifs et parfois plus critiques sur les
présenter comment faire évoluer les fondements, pratiques et pour chacune d’entre elles, c’est bien d’une remise en cause
usages de l’analyse de risques dans ce nouveau contexte. dont il s’agit et dont la portée mérite d’être pesée.
Reprenons-les, une par une. Un scénario hors
Dans une première partie, les travaux critiques portant dimensionnement de ce qui était prévu est bien une preuve
sur l’analyse de risques sont introduits afin de penser les des limites puisque cela revient à admettre que l’AR n’a pas
limites de l’analyse de risques avec l’éclairage des sciences tenu compte, pour diverses raisons, de cette possibilité. La
humaines et sociales. Cet éclairage permet ensuite démarche n’est donc pas objective, et contient une part de
d’introduire dans une deuxième partie un ensemble de subjectivité.
travaux qui cherchent à faire évoluer l’analyse de risque face
aux transitions en cours. Dans une troisième partie, une Des erreurs de calcul par les ingénieurs qui seraient dans
discussion est proposée. leur pratique non représentatifs de la profession est une
possibilité, mais le Japon était jusqu’alors considéré comme
II. REGARD SUR L’ANALYSE DE RISQUE à la pointe (avec des centrales basées sur des conceptions
A. Les limites des analyses de risques américaines). L’absence de conformité de l’exploitant par
rapport à ce qui était prévu tend à protéger l’exercice d’AR
Depuis quelques années, les sciences sociales et la mais expose également ses limites. Si l’AR ne prend en
philosophie nous expliquent que l’analyse de risque (AR) compte qu’un idéal qui est irréaliste étant donné les réalités
n’est pas une pratique objective, mais bien plutôt une opérationnelles concrètes des systèmes à risque, de telles
construction dont les limites sont intrinsèques [3]. L’AR limites sont donc intrinsèques.
dépend en effet des connaissances disponibles, des modèles
utilisés, des choix sur les paramètres, des expertises Enfin, si les AR doivent apprendre de leurs échecs, la
mobilisées lors de l’identification des scénarios, etc. Nous question reste ouverte de savoir si ce cycle d’apprentissage
sommes familiers de cette réalité car nous savons par demeure un cycle sans fin, car l’erreur du passé ne sera
expérience ou avons entendu que deux experts qui probablement pas celle du futur. Mieux protéger la centrale
travailleraient sur une même étude arriveraient à des résultats contre un tsunami ne sera d’aucun secours contre la chute
différents, par exemple en matière de scénarios et de d’une météorite ou contre une cyber-attaque.
probabilités d’événements. Des éclairages de Downer à partir de ces 4 rhétoriques,
Dans le domaine nucléaire, les premiers calculs nous pouvons retenir quatre limites des AR : le
probabilistes dans les années 1970 ont ainsi été contestés sur dimensionnement des scénarios, les limites des calculs de
de nombreux points, comme la pertinence et fiabilité des probabilité, la question de l a conformité des pratiques aux
données utilisées pour les calculs mais également la attendus de l’AR et enfin les scénarios non pris en compte ou
possibilité de pouvoir identifier puis combiner tous les retenus (tableau 1).
événements potentiels pour arriver à une estimation globale Tableau 1 : limites AR (à partir de Downer, 2014)
valide [4]. Pourtant, cette affirmation que l’AR est construite
et non purement objective, parfaitement admise d’un point Exemple Fuskushima
de vue des recherches, est régulièrement source de Limite Description
(2011)
crispations. Après Fukushima par exemple, un ensemble de
rhétoriques ont été déployées pour tenter de préserver la part Evénement
Dimensionne La vague est plus haute
de rationalité de l’AR [5]. identifié mais
ment des que prévue en
intensité sous-
Tout d’abord si l’accident a eu lieu, c’est dit-on, parce scénarios conception
estimée
que l’événement était en dehors du dimensionnement prévu
par les AR. Si on avait retenu 10 m pour la hauteur d’un mur Calculs de
Problème dans les
Fréquence du tsunami
et que la vague en faisait 20, on est bien en dehors de ce qui données, dans les
probabilité plus élevée que prévue
était admis comme pertinent, et on ajoute que les dégâts formules de calcul
auraient par ailleurs être beaucoup plus importants sans Mesures de Non connaissance par les
l’AR. Ensuite, si l’accident est survenu, c’est parce que les prévention et opérateurs du
ingénieurs qui ont fait les calculs se sont trompés, et que Conformité
protection mises fonctionnement des
leurs erreurs ne sont pas représentatives de l’industrie, dont des
les standards sont plus exigeants que ceux constatés dans le en œuvre ne mesures de
pratiques
cas de cet accident. correspondent pas refroidissement du
aux attendus
dans la réalité à ce réacteur en cas de
Une autre rhétorique porte sur le manque de conformité de l’AR
qui était prévu par coupure d’alimentation
de l’entreprise en question (ici Tepco pour la centrale de
l’AR électrique
Fukushima), c’est-à-dire la remise en cause de la validité des
calculs non pas intrinsèquement mais parce que les Evénement
Scénario non Météorite ou cyber-
exploitants n’ont pas fait ce qui était attendu d’eux, faussant pris en
inconnu ou dont la
attaque au-delà du
ainsi les calculs, qui eux restent bien valides. Enfin, dernière probabilité est
compte tsunami ?
rhétorique, si l’accident est bien arrivé, il est en effet jugée négligeable
important d’en tirer les leçons pour que celui-ci ne se
reproduise plus. La conception et les calculs doivent donc
intégrer ce retour d’expérience pour être plus à même de se Cette mise en perspective de Downer des rhétoriques de
conformer avec la réalité des risques. En d’autres termes, défense de l’analyse de risque de l’après Fukushima indique
l’AR s’améliore. ce que beaucoup d’ingénieurs admettent néanmoins
Ces quatre rhétoriques contribuent à atténuer la critique volontiers, et Downer le premier : malgré ces limites, les AR
qui consiste à dire que les AR ne sont pas objectives. Or, sont incontournables, et permettent de prévenir de nombreux
événements. Travailler sur leurs limites n’est donc pas un Stuxnet, TRISIS…). Certaines attaques visent à causer des
exercice seulement critique, mais aussi constructif. Ce dommages humains ou matériels.
travail pointe là où des améliorations pourraient être
Ce contexte pousse à considérer les menaces cyber dans
attendues, en ce qui concerne par exemple la visibilité de ces
l’analyse globale des risques que font peser les installations
limites pour la société civile, ou encore la dynamique
industrielles sur les personnes et l’environnement.
d’évolution des AR.
Des cadres réglementaires et des méthodes bien définies
B. Les limites dans le contexte actuel
existent pour l’analyse et la maîtrise des risques accidentels
Un exemple de cette confrontation de l’AR aux limites mais ils ne sont pas adaptés à la prise en compte de la
est l’incendie de l’usine Lubrizol et des dépôts de Logistique cybersécurité. En effet, l’évaluation et la maîtrise dans le
Normandie en septembre 2019 à Rouen. Où se situent, dans temps de risques liés à des phénomènes accidentels connus,
ce cas, les limites de l’AR ? Il est difficile de le dire sans un ou du moins pour lesquels on suppose que la connaissance
retour d’expérience approfondi, mais sont-elles dans progresse, et de risques liés à une menace consciente et
l’absence ou la superficialité de prise en compte des effets évolutive sont fondamentalement différents.
domino ? Dans l’absence de considération pour l’exposition
Lorsqu’on s’intéresse à un scénario accidentel, on recherche
aux menaces d’intrusions et de malveillance ? Dans les
des dérives, défaillances ou agressions accidentelles dont on
limites de fonctionnement des sprinklers par rapport à des
va déterminer les différentes conséquences possibles en
feux d’une cinétique inattendue ? Dans le fait que
fonction, par exemple, du fonctionnement ou de l’échec de
l’exploitant n’a pas suivi les règles qui étaient prévues ?
barrières de sécurité. On étudie donc la probabilité
Au-delà de Lubrizol, les mutations actuelles, au cœur du d’occurrence et la gravité de séquence d’événements avec
colloque, telles que le changement climatique ou encore la une cause unique.
digitalisation des entreprises ne révèlent-elles pas de
Pour les scénarios d’attaque, les analyses et les
nouveaux espaces de problèmes qui redéfinissent les
caractérisations sont différentes : un attaquant cherchera à
contours de l’exercice ? Les « natech » (conséquences des
accomplir différentes actions coordonnées pour atteindre un
catastrophes naturelles sur les installations à risques), la
objectif défini. On cherche donc à identifier les attaquant et
cybersécurité ? Quelles sont les conséquences d’une
les cibles potentiels pour déterminer les chemins d’attaque
interrogation comme celle-ci sur l’AR pour les ingénieurs?
possible et les vulnérabilités qui pourront être exploitées par
Comment mieux intégrer cette critique, qui revient,
l’attaquant. Celui-ci étant doué d’intelligence, et
finalement, à traiter des AR comme des exercices dont les
éventuellement de temps et de moyens techniques, il mettra
limites sont en effet plus que jamais questionnées dans un
en œuvre des stratégies d’infiltration du réseau, exploration
contexte en mutation? L’expérience de l’Ineris dans ce
puis contournement des moyens de sécurité existants.
domaine est présentée.
La prise en compte des risques liés à la cybersécurité dans
III. NOUVEAUX DÉFIS l’analyse de risques d’une Installation Classée demande donc
Plusieurs axes de travail sont en effet actuellement d’élargir le champs d’analyse et les compétences des
développés, et une réflexion à l’intersection de ces différents analystes : il faut d’une part identifier des scénarios reposant
axes est devenue nécessaire du fait du caractère systémique sur des événements coordonnés visant à maximiser les
de leur combinaison. Une présentation succincte des champs conséquences et contourner les barrières en place et d’autre
est dans un premier temps proposé. Le premier concerne la part inclure l’ensemble du système informatique industriel
digitalisation et est envisagé sous au moins deux angles. Le dans le champs de l’analyse sous l’angle de la sécurité
premier concerne la thématique de la cybersécurité, et le informatique alors qu’on étudiait jusqu’à présent uniquement
deuxième le thème du management numérique de la sécurité. les couches basses de ce système (c’est-à-dire celles les plus
Le second champ est celui des changements climatiques et proches du procédé contrôlé – capteurs, actionneurs et
leur impact sur l’exposition aux risques des sites industriels. automates) sous l’angle de la sûreté de fonctionnement.
Le troisième porte sur les effets dominos et conséquences De la même manière, en exploitation, il faudra maintenir le
environnementales. niveau de cybersécurité par l’application de dispositions
A. Digitalisation et AR organisationnelles, humaines et techniques adaptées, comme
pour les risques accidentels, mais il faudra également être en
A.1. Cybersécurité mesure de prendre en compte l’évolutivité de la menace par
Ces dernières années, les systèmes de contrôle commande le biais par exemple de veille sur la publication de
industriels, qui sont des systèmes informatiques ou vulnérabilités sur les équipements ou logiciels intégrés au
électromécaniques ayant une action dans le monde physique système de contrôle industriel. Pour cela, les scénarios et
ont connu de profondes mutations : ils sont plus numérisés - systèmes critiques doivent être correctement identifiés en
reposant sur des technologies issues de l’informatique - et phase d’analyse des risques.
plus connectés - entre eux, vers l’extérieur ou vers les Pour prendre en compte ces nouveaux enjeux, l’INERIS a
systèmes d’information de l’entreprise. De ce fait, la surface développé une méthodologie générale d’analyse combinée
d’attaque des systèmes de contrôle industriel tend à des risques liés à la cybersécurité et des risques d’accidents
augmenter. En parallèle les attaquants aux motivations et majeurs. L’objectif de la démarche est d’identifier des
moyens variables sont de plus en plus nombreux et scénarios d’attaques ayant potentiellement des conséquences
compétents. Ceci induit une recrudescence des cyberattaques graves pour les personnes et l’environnement. Cette
visant les installations industrielles qui est confirmée par démarche repose sur la coordination de méthodes existantes
l’étude de l’accidentologie récente (WannaCry, NotPetya, pour l’analyse de risques accidentels d’une part et l’analyse
des risques liés à la cybersécurité d’autre part. Elle permet de
prendre en compte le procédé physique et le risque métier de Prenons l’exemple de la gestion de détecteurs de niveau
manière étendue dans une démarche de cybersécurité. de bacs de stockage d’hydrocarbures. Plusieurs dimensions
On cherche à articuler deux démarches d’analyse basées sur sont à articuler :
des méthodes existantes : une démarche d’analyse des - Les prescriptions réglementaires, notamment l’article 7
risques physiques pour les personnes et l’environnement, de l’arrêté du 4 octobre 2020, et les prescriptions de
issues des méthodes de type APR (analyse préliminaire des l’arrêté d’autorisation d’exploiter.
risques) dont on élargit le champ d’analyse pour prendre en
compte la spécificité des scénarios liés à des attaques du - Les études de risques qui précisent :
système de contrôle industriel [1] et une démarche issue de la
o Les fonctions remplies par ces détecteurs au sein
sécurité informatique centrée sur l’identification de scénarios
pouvant avoir des conséquences physiques. L’articulation de d’une barrière, et le caractère critique de leur bon
ces deux démarches permet d’aboutir à un modèle de fonctionnement compte tenu de l’architecture
représentation unique dit AT/BT (Attack Tree / Bow Tie) globale de la sécurité.
[7]. o Les exigences propres à ces détecteurs, qu’il faut
Cette nécessaire articulation nécessite de faire appel à de respecter pour les qualifier comme éléments
nouvelles compétences, liées à la sécurité informatique, dans techniques fiables.
l’analyse des risques d’une installation industrielle et - Les règles de gestion de ces détecteurs, tout au long de
d’élargir e périmètre de l’analyse. Cela peut poser des
leur cycle de vie.
difficultés pratiques, les principes, vocabulaires, métriques et
objectifs pouvant parfois diverger. Le cadre d’analyse - Les preuves du respect de ces règles.
commun entre sûreté et sécurité permet de traiter ces
antagonismes, valoriser les renforcements mutuels et - Les retours d’expériences incidentels.
d’aboutir à une vision plus complète des risques qu’une - Les modifications.
installation industrielle fait peser sur les personnes et
l’environnement [8].
Ce nouveau cadre d’analyse introduit de nouvelles L’outil informatique peut faciliter les contrôles
complexités et nécessite une vision systémique de qualitatifs, contrôles de la cohérence d’ensemble, en
l’installation De plus, la maîtrise de la cybersécurité repose facilitant la navigation rapide entre toutes ces dimensions,
sur une veille permanente sur les menaces et les pour permettre de répondre, par exemple, aux questions
vulnérabilités liées aux équipements et logiciels utilisés. Pour suivantes. Le temps de réponse des détecteurs, précisé dans
cela des outils numériques de description de système, analyse l’analyse de la barrière (ou à définir à partir de cette
des risques et suivi en exploitation sont nécessaires. Les analyse), est-il bien pris en compte dans les choix d’achat du
développements de l’Ineris sur le management numérique de matériel ? Et dans un programme de surveillance conforme
l’AR présentés au paragraphe suivant pourraient aider à à l’article 7 de l’arrêté du 4 octobre (selon un guide
répondre à ces nouvelles problématiques. professionnel reconnu par le ministre chargé de
A.2. Management numérique de l’AR l'environnement, ou sur la base d'une méthodologie
développée par l'exploitant) ? Et dans les formations des
Depuis 2014, l’INERIS, avec plusieurs partenaires opérateurs qui en ont la charge ? Par ailleurs, compte tenu
industriels (tout particulièrement avec les 15 dépôts des contraintes d’achat et de maintenance, le choix de ce
d’hydrocarbures du Service national des oléoducs interalliés sous-système comme élément d’une barrière est-il
-le SNOI-), développe une démarche sur l’utilisation du pertinent ? La gestion opérationnelle permet-elle d’assurer
numérique pour améliorer les AR et leurs usages. L’enjeu une maîtrise satisfaisante de l’ensemble des exigences de la
est de mieux intégrer les AR dans les systèmes de pilotage barrière ?
des ICPE. L’idée est la suivante. Plus les AR seront
intégrées dans les pratiques d’une sécurité opérationnelle, au
plus proche des installations, plus elles pourront s’améliorer L’outil informatique peut faciliter les contrôles
en se frottant aux connaissances empiriques des opérateurs quantitatifs, par exemple la vérification que, sur une
(conception, maintenance, production, logistique, etc.). période donnée, les actions de maintenance non réalisées ou
Dans le même temps, plus les AR seront critiquables et les éventuels dysfonctionnements des détecteurs ne mettent
amendables, plus elles pourront se couler dans les subtilités pas en cause l’atteinte d’une criticité acceptable du point de
des réalités singulières, et plus elles pourront aider aux vue des risques accidentels et chroniques. Ici, l’informatique
décisions quotidiennes des opérateurs. Reste à savoir s’appuie sur les données d’exploitation (GMAO et base
comment faire ? d’incidents) pour estimer l’ensemble des jours de "non-
L’informatique peut aider à articuler et à faire évoluer de confiance" ou d’indisponibilité des détecteurs, afin de
concert les études de risques (DDAE – demande refaire les calculs de probabilité.
d’autorisation d’exploiter, notice de réexamen des EDD,
cahiers de démonstration spécifiques, SGS – système de
gestion de la sécurité, …) et les documents opérationnels Enfin, l’outil informatique peut faciliter la gestion des
(procédures, modes opératoires, gammes, plans, modifications, permettant de naviguer facilement dans
enregistrements, contrats de sous-traitance, etc.) l’historique des études de risques et des documents
opératoires, afin de préparer et tracer les modifications.
 Concrètement, aujourd’hui, l’outil informatique
développé avec le SNOI permet de :
Pour l’étude et la gestion d’un seul détecteur,
l’informatique n’est pas utile (il serait même contre- - Gérer les prescriptions réglementaires à travers des
productif). Mais lorsqu’il faut en gérer des dizaines, avec doctrines et des preuves
des spécificités liées par exemple aux constructeurs ou aux - Recalculer tous les semestres la maîtrise du risque de
contextes d’utilisation, avec des dizaines d’études, des pertes de confinement des réservoirs en s’appuyant sur
dizaines de procédures ou modes opératoires, et des des données de terrain (possibilité de faire des calculs
centaines d’enregistrements annuels… et lorsqu’il faut gérer d’actualisation des risques sur tous les nœuds papillons)
ainsi des milliers d’équipements… les documents papiers - Préparer les réunions du COPIL et gérer les comptes
obscurcissent la lisibilité, les contrôles, la traçabilité. Et rendus
puis, quoi de mieux que de pouvoir aller sur le terrain avec
- Préparer les inspections en aidant les équipes à faire le
une tablette mettant à disposition l’historique des données
point sur les preuves
sur les équipements, ainsi que les procédures et les études de
risques liées, et la possibilité de saisir, directement, au bon - Gérer l’adéquation entre les travaux prévus et les
endroit dans le système informatique, les résultats des mesures de maîtrise des risques définies dans les EDD
contrôles, et d’enregistrer des photos montrant les - Gérer la liste des équipements considérés dans les
conformités ou les éventuels défauts ? études de risques, les géolocaliser et les visualiser sur
les plans de masse et dans un SIG
- Gérer les APR
Dans cette perspective, en aucun cas l’informatique
remplace les études ou les documents opérationnels. Il ne - Gérer les connaissances des notices de réexamen des
EDD, et les éditer.
permet que de faciliter le contrôle de leur cohérence, et ainsi
leur élaboration. Ce point est important, car il précise le D’autres développements sont prévus en 2020 et 2021 pour
scope de l’outil, sa plus-value, mais aussi le rythme de son progresser dans l’intégration des études de risques (EDD,
implémentation et de son évolution. L’usage de l’outil POI, SGS, etc.).
informatique, sur lequel l’INERIS conduit actuellement sa
recherche opérationnelle, est centrée sur l’aide à la
réalisation des études de risques. L’outil n’est mis à jour Le problème le plus difficile à résoudre est celui de la
qu’à chaque nouvelle étude de risques. traduction des études de risques entre elles et avec les
documents opératoires, à cause des différents niveaux
d’abstraction à articuler dès lors que l’on veut lister
Reformulons. L’INERIS travaille (depuis 2014) sur systématiquement les exigences importantes pour la gestion
l’élaboration d’une application WEB dans laquelle les des risques avec les explications liées à leurs raisons d’être.
« molécules » de connaissance des études de risques (et des Déjà, ce travail n’est pas évident à partir d’une seule étude.
prescriptions ICPE) sont éclatées, gérées en un seul A la lecture d’une étude de dangers par exemple, il est
exemplaire informatique, et recombinées jusqu’à permettre difficile d’établir une liste unique des mesures à mettre en
l’édition "automatique" : œuvre, parce que ces mesures y sont exprimées dans des
termes différents, à plusieurs endroits de l’étude (dans les
- des études de risques au format PDF ; exclusions, dans l’APR, dans les hypothèses de
- d’écrans qui aident les multiples acteurs à modélisation, etc.), et surtout avec des niveaux d’abstraction
interroger, à construire et à tracer la cohérence différents (un même détecteur peut être concerné par des
d’ensemble. mesures valables pour tous les détecteurs du site, pour tous
les détecteurs d’un même type de bac, pour tous les
détecteurs jouant un rôle dans des MMRi, pour tous les
détecteurs d’une même zone, etc.). Il est encore plus
difficile de garder la trace des fonctions de sécurité et des
exigences qui pèsent sur ce détecteur. Même les rédacteurs
peuvent s’y perdre.
Les industriels auraient tout à gagner à travailler sur
cette problématique. D’une part parce que la cohérence de
leur système est un gage d’une meilleure maîtrise. D’autre
part parce que, s’appuyant sur les probabilités développées
dans les AR, ils pourraient avoir un management plus fin,
accepter des défaillances tout en préservant un niveau de
risques satisfaisant. Ils pourraient ainsi, sans doute, en
accord avec l’inspection, diminuer des coûts de maintenance
ou de gestion des modifications en cas de
dysfonctionnements, et favoriser une remontée transparente
des incidents.
 Les inspecteurs gagneraient aussi à travailler cette SGS et autres dispositifs gestionnaires de
problématique. Ils gagneraient du temps, dans la mesure où l’organisation
ils se perdraient moins dans les documents. Ils auraient
- Enfin, tout outil gestionnaire, SGS compris, se doit
surtout des listes systématiques et claires de points à
d’avoir comme finalité première l’initiation et la
contrôler sur le terrain, élaborées à partir des études qui ont
conduite d’apprentissages collectifs. Un des axes
conduit à l’autorisation d’exploiter, avec un accès direct à
de cet apprentissage devrait bien évidemment être
toutes les dimensions à interroger.
celui de la révision ou l’actualisation des AR au
regard, non seulement des évènements (qu’ils
soient précurseurs, incidentels ou accidentels),
Cette approche numérique du management permet ainsi de
mais aussi des pratiques positives déployées au
pallier certaines carences aujourd’hui identifiées des SGS
quotidien par le personnel à différents niveaux pour
réglementaires. Si l’analyse de risques est un exercice
permettre au système de continuer de fonctionner
prospectif dont l’objectif est d’imaginer des séquences
dans des limites acceptables. Dans l’autre sens
d’évènements qu’il s’agit de limiter ou d’arrêter avant
aussi, il devrait être faisable et surtout traçable de
l’occurrence de l’évènement redouté, leur transformation en
procéder aux modifications nécessaires dans le
savoirs et pratiques gestionnaires est en effet censé se
SGS du fait de l’évolution des connaissances
concrétiser dans le cadre du système de gestion de la
développées dans le cadre de l’AR.
sécurité. Défini dans le cadre des différentes directives
Seveso comme un amoncellement de processus B. Les Natech
gestionnaires, les SGS ont du mal à aller au-delà de
Le changement climatique est une autre catégorie de
l’obligation réglementaire pour pénétrer la réalité des
transition qui nécessite une réflexion sur l’adaptation de la
pratiques organisationnelles. En d’autres termes, et en
pratique de l’AR. Ce contexte a notamment pour
considérant que tout dispositif gestionnaire a comme finalité
conséquences d’entraîner des phénomènes météorologiques
première un apprentissage collectif, il est légitime de
extrêmes dans certaines régions du globe, l'impact des aléas
s’interroger aujourd’hui sur la capacité des SGS à générer
naturels sur les risques technologiques (Natech) est une
des apprentissages collectifs.
préoccupation grandissante depuis plusieurs années déjà. A
Il nous semble que la définition et la pratique des SGS l’image de l’OMS qui dans un récent rapport souligne
aujourd’hui échouent face à une telle finalité en raison des l’augmentation de la fréquence et de l’intensité des
éléments suivants : catastrophes naturelles comme conséquence du changement
climatique, de nombreuses instances internationales, telles
- Réglementairement tout d’abord, les SGS ne sont
que l’OCDE ou l’UNECE par exemple, se sont saisies de la
pas définis comme les compagnons indéfectibles
problématique pour alerter les décideurs publics et les
des AR. Ainsi, si les Seveso Seuil haut se doivent
gestionnaires du risque. Si des études relativement datées
de déployer conjointement une AR et un SGS, les
ont montré que les accidents Natech ne constituaient que 5%
seuil-bas ont une obligation de SGS sans AR. Or,
des accidents industriels reportés dans les bases de données
quels SGS pouvons-nous espérer si celui-ci ne se
d’accidents [9], cette valeur est probablement sous-estimée
base pas sur une connaissance aussi approfondie
du fait que certains événements mineurs n’y sont pas
que possible des scénarios accidentels ?
comptabilisés [10]. Au vu de la tendance à l’augmentation
- Au-delà de cette disjonction réglementaire entre des catastrophes climatiques, l’occurrence des accidents
AR et SGS, les modalités de définition des SGS Natech augmentera probablement en conséquence [11].
soulèvent des difficultés majeures quant à leur
Cette tendance globale n’épargne pas les sites industriels
application. Réglementairement, les différentes
français puisque, comme le souligne le BARPI dans son
versions de la directive Seveso ne fournissent
dernier inventaire des accidents technologiques de 2018,
jamais une définition claire. Le lecteur est ainsi
107 d’entre eux ont été impactés par des phénomènes
renvoyé à l’annexe 3 où tout SGS est censé
naturels (pluie-inondation, foudre, forte chaleur et froid
contenir une liste d’éléments, qui sont autant de
intense), ce qui représente près de 9 % des événements
processus gestionnaires, allant de l’organisation du
recensés dans la base ARIA, sur ce même périmètre et cette
personnel à la gestion des modifications ou
même année. Dans ce même bilan, le BARPI indique par
l’élaboration des plans d’urgence. Aucun schéma
ailleurs que depuis 2010, le nombre d’événements
d’articulation ou de coordination de ces processus
météorologiques impactant des sites industriels en France
n’est fourni ou suggéré laissant aussi bien les
est par ailleurs en constante évolution, soulignant dans une
gestionnaires HSE que l’inspection dans
certaine mesure, l’augmentation et l’intensité de ces
l’impossibilité de faire appel à un référentiel
phénomènes.
commun qui servirait aussi bien à la conception des
SGS qu’à leur évaluation. L’approche numérique La démarche de prévention et de maîtrise des risques
introduite plus haut est une piste dans ce sens. En industriels repose sur une analyse des risques qui se doit de
l’état actuel des choses, la définition réglementaire prendre en compte à la fois les risques intrinsèques aux
des SGS laisse de côté l’ensemble systémique des installations industrielles mais aussi les potentiels agresseurs
SGS permettant de comprendre les modalités liés au contexte local du site, qu’ils soient anthropiques ou
d’interaction entre processus gestionnaires internes naturels. A la différence des risques inhérents à l’outil de
au SGS et les modalités externes d’interaction entre production qui depuis 2003 se doivent d’être quantifiés en
probabilité, la réglementation française actuellement en de l’AR à la dimension environnementale peut être
vigueur autorise un traitement particulier pour certains questionnée, dans le contexte actuel de changement
événements naturels et permet ainsi : climatique, de perte de biodiversité et d’effondrement des
populations du vivant. Une réflexion est en cours concernant
 d’exclure certains événements initiateurs externes
les études de danger, pour évaluer l’acceptabilité du risque.
et extrêmes (ex : crue supérieure à la crue de
La Directive Seveso III vise à « prévenir les accidents
référence selon les règles en vigueur, événements
majeurs qui pourraient être causés par certaines activités
climatiques d'intensité supérieure aux événements
industrielles et à en limiter les conséquences pour la santé
historiquement connus ou prévisibles pouvant
humaine et pour l'environnement ». Cependant, la
affecter l'installation, selon les règles en vigueur, réglementation française ne tient compte que du nombre
etc.) ;
d’humains potentiellement touchés (cf la définition des
 de ne pas considérer certains évènements naturels seuils d’effet dans l’arrêté du 29 septembre 2005) il n’y a
dans la quantification probabiliste des accidents pas de règle nationale pour estimer la gravité
majeurs si les éléments réglementaires ou les environnementale.
bonnes pratiques associés sont respectés (cas par La réflexion de l’Ineris a pour but d’élaborer une méthode
exemple de la crue si l’industriel fournit la qui permette à tout industriel volontaire d’estimer les
justification du dimensionnement de ces conséquences environnementales que pourraient avoir un
installations pour leur protection contre la crue de potentiel accident sur son site. La méthode suit les
référence (telle par exemple que définie à ce jour différentes étapes de l’étude de dangers pour pouvoir s’y
dans le guide plan de prévention des risques intégrer aisément. Pour autant, elle doit être autoportante de
inondations (PPRi) du ministère du développement sorte qu’un exploitant d’un site non soumis à études de
durable)). dangers puisse aussi la mettre en œuvre.
L’intensification de certains événements naturels, en termes En préambule de la méthode, il convient d’identifier les
de fréquence et d’amplitude, invite à se questionner sur le substances dangereuses présentes sur le site qui pourraient,
maintien d’un tel positionnement dans la réalisation de du fait d’un accident, se transférer en dehors du site et
futures analyses de risques. En effet, les niveaux de impacter des récepteurs. Or dès ces trois premières étapes
référence retenus dans les Plans de Prévention des Risques des difficultés techniques émergent.
Naturels existants intègrent-ils l’amplification de ces
phénomènes ? Si depuis 2011, les Plans de Préventions des L’identification des substances dangereuses est
Risques Naturels Littoraux doivent intégrer une surcote dans intrinsèquement liée à leur caractère inflammable, explosif,
la définition du niveau de référence pour intégrer toxique, infectieux, etc. Or cette dangerosité varie-t-elle
l’augmentation du niveau de la mer liée au changement avec sa forme (aqueuse, solide, gazeuse) ? Par rapport à
climatique, en est-il de même pour les PPRi, TRI, ou autres quoi mesurer son niveau de dangerosité lorsqu’il s’agit
plans de gestion des inondations au niveau d’un territoire ? d’une substance toxique ou infectieuse (ex : sera-t-il le
Est-on d’ailleurs en mesure de prédire suffisamment même pour un lapin et un chêne) ? La substance en se
l’intensification des événements climatiques pour définir un transférant dans le milieu réagira-t-elle ? Et cette substance
niveau de référence dans le cas de phénomènes, par essence, éventuellement produite sera-t-elle dangereuse ?
extrêmes ? Les séquences accidentelles identifiées pour des Les voies de transfert peuvent être multiples selon le
inondations prévisibles sont-elles toujours pertinentes dans scénario considéré : fumées (particules dans l’air), nuage
ce type de situations ? Les mesures de maîtrise des risques (substance sous forme gazeuse), cours d’eau (substance
identifiées dans le cadre de scénarios accidentels solide dissoute ou transportée en petites particules), élution
conventionnels peuvent-elles toujours être disponibles et dans les sols (substance liquide ou solide dissoute ou
efficaces dans de telles circonstances ? Le dimensionnement transportée en petites particules), etc. L’étendue du transfert
des installations et des éventuels ouvrages de protection dépend alors d’une infinité de paramètres : conditions
intègre-t-il une marge de sécurité suffisante ? La météorologiques, nature des sols, caractéristiques des cours
planification des situations d’urgence via par exemple d’eau, etc. A ce stade, outre la difficulté d’englober
l’élaboration de procédures de mise en sécurité en cas l’ensemble des couples substances / transferts, nous nous
d’inondation peut-elle être en mesure de s’adapter à des heurtons aux limites des connaissances scientifiques
phénomènes à cinétique et intensité variable ? Quand elles actuelles (ex : l’élution des pesticides n’est pas encore
existent, de telles procédures sont-elles suffisamment systématiquement connue).
robustes et efficaces ? Les systèmes d’alerte existants sont-
ils adaptés ? L’identification et la prise en compte des éléments
vulnérables est aussi complexe. Tous les récepteurs d’une
C’est sur la base des travaux antérieurs réalisés et animés zone peuvent-ils être identifiés ? Ne faut-il que considérer
par ces questionnements que l’Ineris poursuit ses travaux ceux qui relèvent d’espèces protégées ou menacées ? Faut-il
pour une meilleure prise en compte des Natech dans se positionner à une échelle plus macroscopique en tenant
l’analyse des risques des systèmes industriels. compte uniquement des espaces protégés, des réserves
C. Conséquences environnementales nationales, etc ? Peut-on n’estimer que des tonnages
d’animaux morts et des hectares de végétation, comme cela
Outre les transitions de l’AR concernant les données d’entrée est fréquemment fait en post-accidentel ? Quelles sont les
à considérer, et la façon de la dérouler, les produits de l’AR ressources à prendre en compte (ex : des terres agricoles
peuvent aussi être questionnés. En particulier, la sensibilité
polluées se traduisent-elles en nombre d’agriculteurs au des conséquences, avec des critères pour évaluer si
chômage ou bien doit-on considérer autrement la le risque est acceptable ou non ;
dégradation de cet espace de vie artificialisé ?) Comment
o la possibilité de mettre en œuvre une démarche
intégrer les dimensions de tolérance et résilience du milieu ?
d’amélioration et de réduction du risque, avec une
Viendront ensuite les problématiques relatives à la cotation série de mesures à choisir en fonction des
et à la détermination de l’acceptabilité. Comment scénarios.
hiérarchiser les impacts sur la faune, la flore et les
La démarche pour l’identification des séquences d’effets
ressources ? Est-il opportun d’appliquer la même échelle
dominos consiste ainsi, dans un premier temps, à identifier
que celle utilisée par le BARPI ? Comment procèdent les
les équipements industriels agresseurs susceptibles d’être le
autres pays européens qui ont proposé des méthodes
siège de phénomènes dangereux tels que des incendies, des
estimant les conséquences environnementales de potentiels
explosions et de causer des dommages à d’autres
accidents industriels ?
équipements situés à proximité, ainsi que les équipements
Dès à présent, il ressort que pour enrichir l’AR usuellement industriels susceptibles d’être agressés et pouvant entraîner
réalisée dans les études de dangers, en y intégrant la à leur tour des phénomènes dangereux. Cette étape
préservation effective de l’Environnement, les obstacles d’identification des équipements agresseurs / agressés peut
techniques et scientifiques devront soit être levés soit faire s’appuyer sur les résultats des démarches d’analyse de
l’objet d’approximations. De même, la méthode soulève des risques existantes, des rapports de sécurité des sites
questions d’ordre éthique et les principaux concernés ne industriels...
peuvent être intégrés aux discussions. Pour autant les atouts
Les séquences d’effets dominos possibles sont ensuite
de cette méthode en devenir semblent multiples : facilement
déterminées en croisant l’intensité des effets des
intégrable dans la démarche d’AR avec laquelle les
phénomènes dangereux qui se produisent sur les
industriels sont familiers, outil de communication
équipements agresseurs et la vulnérabilité des équipements
pédagogique, et support à l’amélioration continue pour la
susceptibles d’être agressés. Pour ce faire, des seuils
préservation de la biodiversité, qu’il est urgent de protéger.
forfaitaires de vulnérabilité des équipements peuvent être
D. Effets Dominos utilisés, en première approche (par exemple, les seuils des
effets dominos de 8 kW/m2 pour les effets thermiques et de
Le dernier thème considéré est celui des effets dominos. La
200 mbar pour les effets de surpression), mais il est aussi
bonne connaissance des effets dominos et de leur maîtrise
possible d’avoir recours à une analyse plus complexe
constitue en effet un véritable enjeu tant au sein d’un
reposant sur des abaques ou des modélisations plus précises
établissement industriel qu’au sein des zones industrielles,
du comportement des équipements agressés en fonction des
qui font se côtoyer plusieurs installations ou établissements
caractéristiques des agressions potentielles. Cette étape est
mettant en œuvre des substances dangereuses. En effet,
cruciale dans l’identification des séquences d’effets
parmi tous les accidents industriels, les accidents impliquant
dominos, mais à ce jour, elle est basée, dans la majorité des
des effets dominos sont parmi les plus destructeurs et
cas, sur des seuils forfaitaires, les données numériques
peuvent entraîner de graves conséquences sur la population,
permettant d’évaluer plus précisément cette vulnérabilité, en
les biens et l’environnement naturel au voisinage des
fonction du type d’équipement étudié, étant encore peu
installations impliquées. Pour preuve, on peut notamment
disponibles et utilisées.
citer les accidents de Feyzin (1966), de San Juan Ixhuatepec
au Mexique (1984) et de Tianjin en Chine (2015) pour un Le risque associé à chacune des séquences d’effets dominos
cas plus récent. identifiées peut alors être caractérisé, en déterminant la
gravité des conséquences et la probabilité d’occurrence des
On entend par effet domino l’action d’un phénomène
accidents associés.
dangereux (effet thermique, surpression et de projection)
Le positionnement des différents accidents dans une grille
survenant sur un premier équipement, impactant un second
de croisement gravité / probabilité va permettre de juger de
équipement et entrainant un second phénomène dangereux
l’appréciation des séquences d’effets dominos, et d’engager,
sur ce dernier équipement, engendrant une aggravation des
s’il y a lieu, une démarche de réduction du risque. Pour les
conséquences générées par le premier équipement.
séquences d’effets dominos jugées inacceptables en
Depuis plus d’une dizaine d’années, l’Ineris a pris la mesure première approche, il peut être recherché d’affiner
de cette problématique. Des réflexions ont été menées pour l’évaluation des risques en affinant les hypothèses
intégrer les effets dominos à l’analyse des risques des d’évaluation de la vulnérabilité ou d’évaluation des effets
procédés industriels, des travaux plus poussés ont été menés thermiques ou de surpression par exemple et / ou en étudiant
sur la résistance des structures aux sollicitations les mesures mises en place ou à mettre en place pour réduire
accidentelles. L’Institut a élaboré une méthode d’évaluation les risques (mise en place de barrières, etc).
des effets dominos, qui apporte notamment :
En plus de la démarche d’évaluation des risques, le travail
o des outils pour mieux évaluer la vulnérabilité des d’identification des effets dominos potentiels s’avère aussi
équipements industriels aux sollicitations très intéressant dans le cadre de l’élaboration des plans
accidentelles ; d’urgence des sites industriels, car il permet d’établir une
priorité dans les actions à mener en cas de situation
o la possibilité de quantifier les séquences d’effets
d’urgence. La notion de dynamique, c’est-à-dire le temps
dominos en probabilité d’occurrence et en gravité
pour qu’un premier phénomène dangereux sur un
équipement puisse entraîner d’autres phénomènes Les mesures de
dangereux sur des équipements voisins, prend également ici Conformité prévention et
tout son sens mais est difficile à évaluer. L’analyse des des protection mises
effets dominos peut s’avérer aussi complexe dès lors que le Management numérique
pratiques en œuvre ne
nombre d’installations et de phénomènes dangereux à de la sécurité
aux attendus correspondent pas
analyser est important, d’où la nécessité d’outils pour de l’AR dans la réalité à ce
automatiser certaines étapes de la démarche. qui était prévu
Evénement
Scénario non
inconnu ou dont la
IV. DISCUSSION ET CONCLUSION pris en
probabilité est
Cybersécurité, natech
compte
Cet article a débuté par un questionnement sur l’évolution jugée négligeable
des AR dans le domaine des ICPE, rappelant que les
dernières grandes modifications réglementaires et de
pratiques dataient de la dynamique lancée en 2003 (loi Un second point qui se dégage est la nature systémique des
Bachelot) consécutive à l’accident de Toulouse, en 2001. Cet thèmes. La cybersécurité nécessite de maintenir une vue
article a ensuite introduit des travaux questionnant les limites d’ensemble des installations car les attaques sont susceptibles
des AR, montrant qu’elles reposent sur des choix de de concerner de manière simultanée tous les dispositifs de
scénarios, des modèles de causalité et des principes de prévention et de protection (jusqu’aux moyens de secours).
calculs qui sont toujours questionnables. De même, les natech (par exemple une inondation) exposent
Ces limites nous interrogent sur la nature et l’ampleur des potentiellement l’ensemble d’un site industriel de manière
ajustements potentiels des pratiques et usages des AR quasi simultanée plutôt qu’une partie de celui-ci (de même
actuelle. Plusieurs questions peuvent être posées à la suite de qu’ils peuvent contrecarrer l’intervention des secours).
la présentation des différents thèmes (cybersécurité, natech, Pour ces deux thèmes, les effets dominos sont aussi au cœur
management numérique, effets dominos et conséquences de cette dimension systémique. Chercher à anticiper
environnementales). Quelles évolutions à court ou moyen l’interaction de plusieurs équipements et phénomènes de
terme ces problématiques et travaux associés sont manière plus ou moins concomitants est au cœur des effets
susceptibles d’entrainer ? Sont-ils compatibles ? Peut-on les dominos. Si l’on ajoute à cette thématique la question des
articuler ? Redéfinissent-ils substantiellement les contours de conséquences environnementales, on constate également que
l’analyse de risques ou sont-ils des compléments à l’existant s’étend la dimension systémique du questionnement.
? Eclairent-ils sous un nouveau jour la question des limites
des analyses de risques ? Un événement de type natech est susceptible de produire des
effets hors du site d’une manière tout à fait inhabituelle par
Un premier point à noter est que les thèmes abordés couvrent rapport aux scénarios classiques, et peut nécessiter une
plusieurs des limites identifiées par Downer (tableau 2). Le réflexion concernant les effets sur l’environnement. De
dimensionnement des scénarios est traité notamment par les même, une vulnérabilité de type cyber créé de nouvelles
effets dominos et les conséquences environnementales. Les catégories de scénarios à envisager en matière de
dimensionnements des scénarios dépendent en effet de ce qui conséquences environnementales, comme par exemple la
est considéré dans les modélisations des effets des pollution malveillante d’une nappe phréatique.
phénomènes d’explosion, de surpression ou de dispersion
toxique, or ces modélisations sont susceptibles d’être On le voit, la pratique de l’AR se trouve impactée par ces
affinées certes mais aussi potentiellement revues à la hausse nouvelles thématiques. On peut supposer qu’un
en prenant en compte effets dominos et conséquences renouvellement des modes d’anticipation est donc en cours
environnementales. d’élaboration avec ces développements. Cet article n’est
qu’une première contribution à une réflexion sur ce point.
Le problème du calcul de probabilité et de la conformité est
couvert par l’approche numérique. Le rapport entre AR et D’autre part, l’apport du numérique est désormais central
réel des pratiques est en effet au cœur de l’idée d’un support dans l’approche de la pratique et de l’usage des AR. Le
du digital au processus de gestion de la sécurité, de même potentiel des applications permises par un management
qu’une approche suivant de manière informatique ces réalités articulé des activités concrètes des opérateurs avec les AR
permet d’alimenter une approche plus juste des calculs grâce ouvre des pistes pour une combinaison fructueuse avec
aux données de suivi disponibles. Enfin, les limites sous toutes les nouvelles thématiques introduites dans cet article.
l’angle des nouveaux scénarios sont traitées par les La cybersécurité figure au premier plan de ces pistes étant
thématiques de la cybersécurité et des natech. donné la sensibilité d’un pilotage de la gestion des risques
qui reposent de plus en plus sur les outils digitaux.
Tableau 2 : limites AR et thèmes discutés
Considérés tous ensemble, ces thèmes montrent l’intérêt du
Limites Description Thèmes questionnement sur les évolutions des AR et les limites de
Evénement celles-ci, dans un contexte de mutation. Tous ces thèmes sont
Dimensionne Effets dominos, en effet à la fois des évolutions en cours qui pointent les
identifié mais
ment des conséquences limites actuelles des AR Ces sujets sont peut-être les
intensité sous-
scénarios
estimé
environnementales événements d’ampleur de demain. Ils participent d’un travail
d’anticipation attendu. Dans un contexte de profondes
Calculs de Problème dans les Management numérique mutations, il nous semble évident qu’il n’est pas possible, à
probabilité données de la sécurité court ou moyen terme, de contourner un débat collectif qui
débouchera peut être sur une révision des cadres conceptuels,
méthodologiques et réglementaires actuellement associés à [6] F. Massé, J.M. Flaus, H. Abdo, “Comment intégrer les cyberattaques
l’analyse de risque. dans l’évaluation globale des risques pour les installations classées ?
Proposition d’un cadre général d’analyse des risques,” Congès
Lambda Mu 16-18 ocotobre 2018
[7] [Link], M. Kaouk, J-M. Flaus, F. Massé, “A new approach that
REFERENCES consider cybersecurity within industrial risk analysis using a cyber
bow-tie analysis”, Computers & security, vol. 72, pp. 175–195, 2018.
[8] S. Kriaa, L. Pietre-Cambacedes, M. Bouissou, and Y. Halgand, “A
[1] Escande, J., Proust, C., Le Coze, JC. 2016 Limitations of current risk survey of approaches combining safety and security for industrial
assessment ... Journal of Loss Prevention in the Process Industries, control systems,” Reliability engineering & system safety, vol. 139,
n°43, pp.730-735. pp. 156–178, 2015.
[2] Martinais, E. (2010). L’écriture des règlements par les fonctionnaires [9] Rasmussen K., 1995, Natural events and accidents with hazardous
du ministère de l’écologie. La fabrique administrative du PPRT. materials, Journal of Hazardous Materials, 40, 43-54.
Politix, vol. 23. n° 90. 193-223
[10] Casson Moreno V., Ricci F., Sorichetti R., Misuri A., Cozzani V.,
[3] Jasanoff, S. 1993. Bridging the two cultures of risk analysis. Risk 2019, Analysis of Past Accidents Triggered by Natural Events in the
Analysis. Vol 13, Issue 2, pages 123–129 Chemical and Process Industry, Chemical Engineering Transactions,
[4] Wynne, B. (1982). Institutional mythologies and dual societies in the 74, 1405-1410 DOI:10.3303/CET1974235
management or risk. In Kunreuther H, Ley E. (eds) The Risk Analysis
Controversy: an Institutional Perspective. Berlin: Springer Verlag, [11] Mahan, P., Liserio, F., 2018. Managing the risk associated with
Berlin. severe wind and flood events in the chemical processing industries,
in: Hazards 28. pp. 1–10
[5] owner, J. (2014). Disowning Fukushima: Managing the Credibility of
Nuclear Reliability Assessment in the Wake of Disaster. Regulation &
Governance 8, 287-309