• Aucun résultat trouvé

Discussion sur l’applicabilité de la méthode d’évaluation de la vulnérabilité et

Dans le document The DART-Europe E-theses Portal (Page 194-0)

cascade par couplage faible

L’analyse de la vulnérabilité de la méthode précédente nécessite de vérifier de façon systématique à la fois l’intégrité physique et la disponibilité des services support nécessaires au fonctionnement de chaque infrastructure – donc d’analyser les effets cascade. Si elle devait être appliquée à plusieurs réseaux, cela engendrerait de nombreuses demandes croisées difficiles à gérer. Il serait donc nécessaire de hiérarchiser, par vignette, les demandes d’information, là encore en fonction de l’importance du service fourni. Cette hiérarchisation a été discutée dans le chapitre 3 pour la modélisation des effets cascade, et les mêmes arguments de classement par influence peuvent être utilisés ici. Les réseaux électriques et de télécommunications semblent être ceux dont l’indisponibilité perturbe le plus rapidement le fonctionnement des autres réseaux. Il paraît donc naturel de demander en priorité à ces deux réseaux si, par vignette étudiée, ils envisagent une rupture de service et quelle serait la cartographie des impacts associés. C’est ce qui a été réalisé lors de l’exercice Sequana, avec la diffusion des zones sans électricité et sans télécommunication consécutives aux inondations.

Les autres réseaux comme l’eau, le gaz, le réseau vapeur, etc. peuvent être consultés dans un second temps successivement. Il s’agit là d’un couplage faible, avec l’hypothèse que l’on néglige les boucles de rétroactions pour que le processus d’analyse soit réalisable. C’est donc une limite de l’applicabilité de la méthode.

Il faudrait, dans l’idéal, interroger les opérateurs de télécommunications et d’électricité pour chaque vignette de chaque scénario sur leur zone de rupture de service. Afin d’éviter de surcharger ces opérateurs, cela nécessiterait de mutualiser les demandes en regroupant les scénarios envisagés par chacun des réseaux dans une banque de données. Les opérateurs pourront alors proposer une estimation des zones d’impact de rupture de leur service sur

chaque vignette. La communication d’une cartographie des zones d’impact permet aux réseaux techniques de tirer eux-mêmes leur conclusion sur leurs propres vulnérabilités fonctionnelles et de continuer l’analyse en autonomie. La notion de zones d’impact (rupture de service) face à des vignettes rejoint la problématique de modélisation des effets cascade par couplage faible proposée au chapitre 3.

Nous avons vu précédemment qu’il était difficile d’attribuer une zone d’impact par défaillance d’infrastructure, et qu’il fallait passer par la simulation de l’ensemble du réseau pour obtenir une succession de zones d’impact face à une vignette. Une approche indépendante des causes de défaillance – c’est-à-dire focalisée sur la défaillance successive des infrastructures– paraît difficile à envisager. A contrario, une approche focalisée sur les menaces signifie une approche extrêmement influencée par le choix des vignettes. Or la description précise des vignettes (heure de l’évènement, période, contexte, etc.) implique un nombre très important de scénarios à considérer, tout en sachant qu’il est impossible d’être exhaustif (limite du modèle). Par exemple, la pollution volontaire au niveau d’une canalisation à l’est d’une ville n’aura pas la même zone d’impact que celle d’une canalisation à l’ouest. Il faut donc prioriser ces vignettes à considérer. Plusieurs options sont envisageables pour cela.

La grande variabilité des vignettes favorise dans un premier temps l’étude des menaces (et vignettes associées) dont la zone d’impact est connue. Cela signifie se concentrer sur les catastrophes prévisibles en localisation (inondation par débordement, par ruissellement). Mais cela exclut les actes malveillants, dont la nature, la localisation et l’ampleur ne sont pas l’attractivité des infrastructures cibles, leur vulnérabilité à l’acte (difficulté de réalisation) et à niveau égal la gravité de leur impact. Cette sélection est centrée sur la défaillance d’une ou de quelques infrastructures, et ne concerne que peu les scénarios étendus, nécessitant beaucoup de moyens (difficulté forte de réalisation). Soit l’on envisage une approche systématique, où par scénario on établit les infrastructures vulnérables à ce genre de menace. Puis l’on teste de nombreuses combinaisons de vignettes, indépendamment des effets cascade, afin d’établir les situations les pires, les paramètres influents (heures, période, contexte, nature de l’acte) et les ruptures de service associées. Connaître les seuils (période critique de la journée, combinaison d’infrastructures la plus impactante en termes de gravité) et les zones d’impacts associées, c’est déjà améliorer la capacité d’évaluation de la gravité du scénario s’il arrive. Sur les vignettes les plus défavorables (sélection par la gravité et non par attractivité ou faisabilité), il reste alors à demander la disponibilité des services électricité et télécommunications pour vérifier une éventuelle aggravation des conséquences, ainsi qu’une détérioration des vulnérabilités et résilience du réseau technique.

Le travail réalisé pour la BSPP sur les zones de risque métier où une intervention sur feu nécessiterait la coupure du linéaire de réseau exposé en est un exemple (Chapitre 3). Il s’agit d’une cartographie de zones potentiellement vulnérables (pour rappel : la profondeur des réseaux est inconnue, donc le risque est bien potentiel tant qu’il n’y a pas eu d’informations supplémentaires sur ces zones). Il est envisageable de faire tester par opérateur la combinaison des ruptures de ligne/canalisation sur ces zones, afin d’identifier celles qui pourraient mener à une coupure de courant, de gaz ou de chauffage. On obtiendrait alors une sélection des combinaisons par leur gravité (la rupture de service ici), avec un calcul potentiel des zones d’impact associées. Cependant, si l’on prend ne serait-ce que le réseau électrique, cela représente un nombre important de vignettes à considérer dans une base de données. Un très grand nombre de scénarios considérés ne peut être utilisé que via un logiciel d’aide à la décision en cas de crise, ce qui constitue une contrainte pour l’utilisation de cette méthode.

Conclusion du chapitre 4

Ce chapitre a proposé une méthode d’évaluation de la vulnérabilité et de la résilience des réseaux techniques face à des scénarios détaillés. Les notions de vulnérabilité et de résilience n’ont pas de définition consensuelle entre les différents corps de métiers. Nous avons justifié dans le chapitre 2 les définitions choisies, mais il est évident qu’il s’agit là d’une première restriction à l’usage de cette méthode. Son application repose sur un découpage entre les couches techniques et organisationnelles, et entre l’échelle d’analyse de l’infrastructure pour la vulnérabilité singulière (physique et fonctionnelle) et la prise en compte de l’ensemble du réseau (vulnérabilité systémique) et de ses réactions (capacités de résilience). Cette séparation artificielle, bien que peu intuitive au premier abord, permet d’envisager systématiquement l’ensemble des étapes d’analyse, et donc ouvre la voie vers la création d’une base de données de ces indicateurs, vignette par vignette et réseau par réseau. Par ailleurs, elle semble convenir aux opérateurs de réseaux d’eau.

Cette méthode sépare également les évaluations a priori et a posteriori des capacités de résilience. Lorsqu’une crise s’est déroulée, il est possible de reconstruire avec exactitude la courbe de performance du système et donc de savoir, en vertu de la théorie (voir chapitre 2), quelles ont été ses capacités de résilience. Lorsqu’un scénario n’est encore jamais arrivé, nous pouvons envisager de nombreuses courbes de performance en fonction du contexte du système. Il est alors plus prudent d’estimer une capacité sur la base de l’existence de moyens de réaction dimensionnés pour répondre aux objectifs théoriques, à l’aide d’un questionnaire.

Une courbe des niveaux de performance obtenue par simulateurs spécifiques est pertinente uniquement jusqu’à l’implémentation de solutions palliatives par la couche organisationnelle du système (courbe de dégradation de performance associée à la capacité d’absorption passive du système). Au-delà, elle est bien trop incertaine.

Pour proposer cette courbe de performance, il est important de s’intéresser à la vulnérabilité individuelle de chaque infrastructure, tant d’un point de vue physique que d’un point de vue fonctionnel (disponibilité des services supports et sensibilité aux effets cascade) face à ce scénario détaillé. Puis il faut simuler la courbe de dégradation de cette performance dans la

phase passive du système, afin de la comparer à la rapidité estimée de réaction du système (temps de détection, de décision et mise en œuvre).

Ces deux indices de vulnérabilité et de résilience permettent aux opérateurs de comparer de nombreux scénarios pour identifier ceux aux conséquences les plus graves, à l’aide d’une structure commune. Nous avons vérifié à travers les neuf cas d’application de la méthode sur trois réseaux réels différents qu’elle était transposable, notamment grâce à l’utilisation de seuils de performance spécifiques aux réseaux et basés sur l’aspect règlementaire et contractuel. Nous avons également vu que cet aspect règlementaire permettait d’étendre l’application à d’autres réseaux (électricité par exemple), mais que l’absence de seuils de performance/défaillance lors du retour à la normale limitait actuellement une application à certains autres réseaux. La définition de ces seuils n’est pas anodine, elle implique une mise en adéquation des moyens de réaction des opérateurs de réseaux. Cependant ces seuils constituent des indicateurs d’aide à la décision qu’il pourrait être utile par ailleurs de définir pour la planification ou la gestion de crise (aide à la priorisation par exemple).

Cette méthode demande l’identification par vignette des services supports défaillants extérieurs au réseau considéré. C’est lors de cette demande que l’on peut voir la complémentarité entre la modélisation des effets cascade par couplage faible (§3.5) et l’évaluation de la vulnérabilité et de la résilience des réseaux techniques. Nous avons vu précédemment qu’il pouvait y avoir un nombre très important de vignettes (instance détaillée de scénario) à étudier par opérateur. Pour qu’une application de cette méthode puisse être envisagée, il est donc nécessaire de sélectionner les scénarios et de les mutualiser dans une base de données avant de les soumettre aux différents opérateurs des services supports.

Cette base de données doit donc être structurée (voir la section 3.1). Il est plus facile d’envisager en première approche cette méthode sur des scénarios (donc des vignettes) soit dont la zone d’impact directe est déjà estimée (crue par exemple), soit dont l’étude peut se faire de façon déterministe (voir la section 3.2 sur les risques métier BSPP). Il est également nécessaire d’étendre ensuite cette méthode aux vignettes d’actes malveillants que craignent les gestionnaires de réseaux, en les classant dans un premier temps sur la base de leur probabilité d’occurrence (la comparaison des vignettes par la gravité peut se faire dans un second temps, une fois les effets cascade modélisés, voir la section §3.6 sur l’évaluation des conséquences).

La sélection des scénarios est une limite de l’approche. En effet, comme la méthode s’appuie sur la modélisation des effets cascade telle que présentée dans la section 3.5, cela limite son application aux scénarios étudiés. Or, les scénarios qui intéressent chaque opérateur ne concernent pas forcément l’ensemble des autres opérateurs, et l’étude systématique de tous les opérateurs est une démarche lourde à mettre en place. C’est pourquoi l’application de cette méthode nécessite de limiter l’étude des effets cascade aux réseaux les plus influents (voir paragraphe 3.5.4) pour augmenter sa faisabilité. Les réseaux électriques et les réseaux de télécommunications ont une dynamique de dégradation plus rapide que les autres réseaux, et ont également un fort pouvoir impactant. Il paraît donc pertinent de leur demander en priorité

s’ils envisagent une rupture de leur service sur chaque vignette. Les autres opérateurs de réseaux techniques pourront être également consultés dans une deuxième phase si la qualité du résultat l’exige.

Les gestionnaires de réseaux électriques ou de télécommunications peuvent plus facilement fournir une cartographie des zones de rupture de service par vignette plutôt qu’étudier au cas par cas l’ensemble des infrastructures des différents réseaux (ce qui supposerait par ailleurs de leur fournir cette liste). L’utilisation des zones d’impact telles que définies au chapitre 3 permet aux gestionnaires des autres réseaux techniques de tirer leurs conclusions en autonomie. La méthode propose donc de calculer les indicateurs de vulnérabilité et de résilience des réseaux face au couple {vignette, zones d’impact}. On obtient alors une évaluation de la vulnérabilité qui inclut les effets cascade de la défaillance du réseau électrique, de télécommunications et des autres réseaux consultés (avantage fort), mais qui ne tient pas compte des boucles de rétroaction (limite de la méthode).

Les gestionnaires des réseaux électriques et de télécommunications – entre autres – pourraient également fournir une courbe de défaillance par vignette. Mais cela ne serait pas interprétable par les autres réseaux sans la localisation des pertes de service. Cela implique deux conclusions.

· La courbe de performance n’est utile que pour la production des indicateurs de vulnérabilité et de résilience.

· La modélisation des effets cascade par couplage faible des zones d’impact est au service de l’analyse de la vulnérabilité et de la résilience.

Or, nous avons vu dans le chapitre 3 que la connaissance de la vulnérabilité de chaque infrastructure face à l’indisponibilité des ressources support et la résilience du système permettait de mieux qualifier les scénarios d’effets cascade. Les notions de vulnérabilité, résilience et effets cascade sont donc bien liées et doivent être étudiées de façon concordante.

La figure ci-dessous résume les apports du chapitre 4 et ce lien vers les méthodes développées dans le chapitre 3.

Le choix des vignettes est un point qui conditionne l’intérêt de cette approche. Concernant les scénarios dont les zones d’impact sont estimées (crues), il est intéressant d’aller à un niveau de précision plus grand sur la connaissance des effets cascade, des vulnérabilités et de la résilience des différents acteurs. Cela passe notamment par l’organisation d’exercices, comme Sequana pour la crue centennale en Île-de-France. Les méthodes précédentes de modélisation des effets cascade et analyse de vulnérabilité et résilience sont complémentaires de ces exercices, car il n’est pas possible de s’entraîner sur l’ensemble des vignettes identifiées.

Chapitre 4 : Vulnérabilité et résilience des réseaux techniques à destination des opérateurs 189

Figure 76 : Apports du chapitre 4 et complémentarité des résultats avec le chapitre 3

5 Discussion générale et conclusion

Les effets cascade, l’évaluation de la vulnérabilité et de la résilience, la planification et la gestion de crise sont quatre domaines liés lorsque l’on parle de réseaux techniques vitaux.

L’effet cascade est défini dans ce travail comme « la défaillance d’une infrastructure qui cause la défaillance d’un élément d’une seconde infrastructure, provoquant ainsi sa défaillance » [Rinaldi, 2001]. Il faut distinguer les effets cascade internes, entre les infrastructures d’un réseau donné, et les effets cascade externes lorsqu’ils touchent un autre réseau que celui initialement impacté. Ce travail définit la vulnérabilité d’un système comme la « perte de performance du système mesurée à la fin de la réaction passive de celui-ci face à un aléa caractérisé en intensité et en localisation». Il distingue pour cela une vulnérabilité physique (dommages) et une vulnérabilité fonctionnelle (vis–à-vis de la perte de service des autres réseaux dont il est dépendant) des infrastructures qui composent le système d’étude. La résilience est, elle, définie comme la capacité du système sociotechnique à absorber un choc, à s’adapter face à celui-ci et à retrouver sa performance contractuelle dans un délai acceptable.

Le double questionnement de ce travail de thèse se positionne vis-à-vis des besoins opérationnels de la sécurité civile et des opérateurs de réseaux techniques, avec notamment en perspective le dispositif ORSEC Rétap’Réseaux : comment modéliser les effets cascade entre réseaux techniques pour mieux planifier et gérer une crise du point de vue de la coordination – la sécurité civile – et du point de vue des opérateurs de réseaux ? Comment mesurer les vulnérabilités et les résiliences des réseaux techniques face aux différents scénarios, en prenant en compte ces effets cascade ? Ces deux notions sont complémentaires et ont été abordées l’une après l’autre par des méthodes innovantes. L’enchaînement des méthodes développées dans cette thèse est résumé dans la Table 40.

Avant d’étudier à proprement parler les effets cascade, ce travail a commencé par analyser plus particulièrement une cause d’effet cascade liée aux activités de la sécurité civile.

L’intervention des sapeurs-pompiers sur feu de transport à proximité de réseaux techniques dangereux nécessite dans certains cas de demander la neutralisation du réseau pour sécuriser l’intervention. Ce travail propose une méthode pour cartographier automatiquement ces zones, qui présentent un potentiel de causes d’effets cascade lorsque ces interruptions sont combinées en simultané. Cette carte, implémentée avec succès dans les systèmes d’information géographique de la Brigade de Sapeurs-Pompiers de Paris (BSPP), constitue alors un outil d’alerte du risque d’effet cascade. Elle répond par ailleurs à un second intérêt opérationnel formulé par la BSPP, à savoir identifier ces zones présentant un risque métier qui justifierait la coupure d’un réseau.

Pour la modélisation des effets cascade explorée dans le chapitre 3, nous avons fait l’hypothèse que les réseaux sont des systèmes uniquement techniques, et nous nous sommes focalisés sur la propagation rapide (quelques heures) de défaillances via des liens de dépendances géographiques, physiques et cybernétiques. La prise en compte du système

Dans le document The DART-Europe E-theses Portal (Page 194-0)

Documents relatifs