Si l’on cherche dans la littérature une définition précise du terme vulnérabilité, force est de constater que ce mot prend des sens relativement différents selon le contexte, et qu’il y a une évolution sémantique de cette notion depuis son utilisation dans les années 70. Initialement, la vulnérabilité était évaluée comme le degré de perte et de dégâts dus à l’occurrence d’un aléa [Bouchon, 2006]. Elle changea de définition dans les années 80 en « degré d’exposition, […]
probabilité d’être exposé à un aléa et sensibilité de l’élément à souffrir d’une perte ou d’un dommage » [Bouchon, 2006]. Puis plusieurs courants de pensée s’opposèrent entre :
· ceux qui étudient la vulnérabilité comme un état du système avant toute apparition d’un aléa, à cause de caractéristiques intrinsèques. C’est le choix par exemple de la norme ISO 73 qui propose une définition extrêmement large : « propriété intrinsèque de quelque chose entraînant une source de risque pouvant induire une conséquence » [ISO 73, 2009]
· ceux qui voient la vulnérabilité comme la quantité potentielle de dommages sur un système, causée par un évènement spécifié, et tenant compte des différentes réactions sociotechniques du système. Cette dernière définition signifierait que la notion de résilience (voir le prochain paragraphe sur la résilience) serait incluse dans la notion de vulnérabilité [Kröger, 2011, Chapitre 1].
D’autres enfin, comme Gleyze, limitent la vulnérabilité sur l’ « endommagement » technique subi suite à une catastrophe définie sans s’intéresser à la réaction organisationnelle. Il distingue d’ailleurs l’endommagement matériel (associé à un impact physique direct) de l’endommagement structurel associé à une vulnérabilité structurelle, définie comme « la perte d'efficacité relationnelle du réseau », et qui découle de l’endommagement matériel [GLEYZE, 2007]. Il est à noter que la notion d’endommagement est fortement liée à la notion « d’exposition au danger » et à la capacité de protection des enjeux (sensibilité). Cette notion semble être associée à une notion de capacité passive du système et non à une réaction. Le caractère passif de la « vulnérabilité » signifie que la résilience –notion active dans l’ensemble des définitions du paragraphe suivant- ne peut pas être incluse dans la notion de vulnérabilité. La séparation de la notion d’aléa de la notion d’endommagement est d’ailleurs retenue par le Conseil Général du Développement Durable en 2013 lorsqu’il définit la vulnérabilité de l’enjeu comme une mesure de l'amplitude des effets (présence humaine, activités économiques...) face à un aléa donné [CGEDD, 2013]. Cependant, ils ne statuent pas sur l’instant où mesurer la vulnérabilité (après le choc, après les réactions du système, ou une fois l’évènement clos).
Les précédents éléments illustrent bien qu’il n’y a pas de consensus autour de la définition de
« vulnérabilité » [Grangeat, CIPRNET Staff Exchange, 2014], que les notions de vulnérabilité et de résilience sont fortement liées, et que la frontière entre les deux reste floue.
Dans le présent travail, les contraintes des différents projets de recherche nous ont incités à définir la vulnérabilité FACE à un évènement caractérisé en intensité et en localisation, et non pas une vulnérabilité comme une propriété seulement intrinsèque ou une vulnérabilité générique face à un type d’évènement. Ce qui signifie que la notion d’exposition est ici déterministe : les infrastructures sont ou ne sont pas exposées à l’évènement étudié. Puis les infrastructures sont sensibles – ou non – à l’intensité de l’évènement étudié. C’est également pour cette raison que les approches uniquement basées sur les analyses de graphe ne seront pas exposées ici : savoir quels sont les nœuds les plus importants en termes de connectivité est une approche intéressante lorsque l’on veut hiérarchiser les infrastructures d’un réseau ou lorsque l’on veut savoir quelle est la pire combinaison de défaillances d’infrastructures. Mais dans notre cas, les infrastructures impactées sont déjà définies par les scénarios qui nous ont été fournis.
Afin de mieux appréhender les processus de réaction des réseaux et de leur gestionnaire, l’auteur a choisi de séparer clairement les notions de résilience et de vulnérabilité. Après avoir discuté avec les gestionnaires de certains réseaux d’eau, il est apparu que dans le sens commun, la notion de vulnérabilité était proche de la notion de « manque de robustesse », de fragilité, et de premier « impact ». L’auteur a donc choisi la notion « d’endommagement » et de dysfonctionnement immédiat pour mesurer la vulnérabilité, c’est-à-dire l’approche de Gleyze.
Cependant, la notion d’endommagement de Gleyze est trop liée à l’aspect uniquement matériel, et le concept de dysfonctionnement n’est pas facilement quantifiable. Dans la mesure où les réseaux sont des systèmes destinés à fournir des services, qui sont contractualisés avec des seuils minimaux de performance, la vulnérabilité sera évaluée selon la perte du niveau de performance par rapport au service initial fourni. La performance évoluant dans le temps, elle peut se représenter par une courbe P(temps).
Il reste à définir le moment où l’on mesure cette vulnérabilité sur la courbe de performance (Figure 7). Le concept de vulnérabilité est associé ici à une réaction passive du système technique, due à sa structure et sa robustesse. A l’inverse, le concept de résilience est vu dans le présent travail comme une réaction active du système sociotechnique, comme le montre la section suivante. Cette distinction entre la phase passive et la phase active est expliquée par le modèle simplifié d’un réseau technique, qui sépare le système technique de la gestion du réseau, située à l’échelle du réseau d’infrastructures plutôt qu’à l’échelle de l’infrastructure (Figure 8).
La séparation entre la couche organisationnelle et technique n’est pas toujours pertinente lorsque l’on modélise un système sociotechnique, mais elle se justifie dans ce cas très particulier de l’étude de réseaux techniques face à une crise soudaine sur un temps court.
L’auteur s’intéresse sur un temps court à une modélisation technique de la réaction du système d’infrastructures (simulateurs techniques spécifiques) face aux vulnérabilités constatées, et sur un temps long à une estimation de la réaction organisationnelle d’après les opérateurs (évaluation de la résilience, voir la section suivante). La séparation technique et
organisationnelle est donc d’abord temporelle : après un délai de l’ordre de la journée, la réaction organisationnelle devient prépondérante sur la réaction purement technique du système. Sur un temps plus court en revanche, la réaction technique programmée des réseaux face à une défaillance est bien plus rapide que le délai de mise en place d’une cellule de crise et donc du délai de prise de décision de l’organisation. De plus, concernant des réseaux techniques comme par exemple le gaz, l’électricité ou l’eau, les prises de décisions se font en fonction de l’estimation de la réaction technique du système (quelles conséquences si l’on ferme telle ou telle vanne pour contenir une fuite, etc.). Il paraît donc pertinent, sur un temps court, d’approcher l’évolution de la performance des réseaux techniques par des simulateurs spécifiques en connaissant les vulnérabilités de chaque infrastructure.
Figure 7 : Courbe de performance illustrative. Le temps td correspond à un évènement brutal, tr correspond à la phase où le système a intégré le retour d’expérience et s’est
amélioré [Francis, 2014]
Couche organisationnelle
Couche technique
Figure 8 : Découpe artificielle du système sociotechnique
La vulnérabilité est définie dans ce travail comme la perte de performance (ou de niveau de service) mesurée à la fin de la période de réaction passive du système [Grangeat, 2016, f].
Cependant le délai de « réaction passive » est lui déterminé par le délai nécessaire au système sociotechnique pour mettre en œuvre les premières mesures palliatives à la crise, donc par une partie de ses capacités de résilience (voir le paragraphe suivant pour la définition complète de « résilience »). La vulnérabilité n’est alors pas l’opposé de la résilience, comme le prétendaient de nombreux travaux dont ceux de Yazdani [Yazdani, 2011], mais bien une notion complémentaire, dont le sens respecte le sens commun : il faut bien chercher à diminuer sa vulnérabilité et augmenter sa résilience, c’est-à-dire diminuer sa perte de service et réduire, entre autres, le temps de mise en œuvre des premières réactions.
Les réseaux sont des systèmes techniques qui peuvent être analysés à l’échelle de l’infrastructure et à l’échelle du système. Ce travail propose une approche inductive de la vulnérabilité (bottom-up approach) : l’étude de la vulnérabilité de chaque infrastructure face à un évènement doit permettre de reconstruire un indice global de la vulnérabilité du système.
De plus ce travail s’intéresse à une analyse systémique du système, c’est-à-dire qu’il exploite le degré de fonctionnement résiduel de chaque infrastructure et du système après l’évènement, et non pas seulement son degré d’endommagement. En effet une infrastructure peut être touchée, endommagée, mais être capable de maintenir un niveau de service minimum via l’existence pré-évènement de solutions de redondance par exemple. Cette approche se distingue donc d’une analyse purement analytique du système technique, qui se serait arrêtée au niveau d’endommagement du système technique [Lhomme, 2012].
Enfin, il faut distinguer deux temps caractéristiques de vulnérabilité qui correspondent aux deux échelles d’analyse du réseau technique : la perte de service de chaque infrastructure immédiate après l’évènement, et la perte de service générale du système. Cette dernière a une évolution temporelle entre le t0 de l’évènement et le délai de réaction active du système.
Cette évolution est calculée par des simulateurs spécifiques au réseau, et traduit la propagation de la perturbation à l’ensemble du système technique, même aux infrastructures non touchées initialement. La vulnérabilité à l’échelle du système, mesurée à la fin de la période passive de réaction, prend donc en compte les cascades de dysfonctionnements internes au réseau. La distinction entre ces deux échelles de vulnérabilité est d’ailleurs faite par le CGEDD lorsqu’il affirme que « les mesures et travaux de réduction de la vulnérabilité concernent principalement les vulnérabilités physiques ET systémiques. » [CGEDD, 2013]
La Commission Européenne distingue deux causes de dysfonctionnement d’une infrastructure dans sa définition de la vulnérabilité : « une caractéristique d’un élément de design de l’infrastructure, d’implémentation ou d’opération, qui la rend sensible à l’interruption de service OU à sa destruction par un danger, et qui inclut ses dépendances au fonctionnement d’autres infrastructures. » [EUCOM, 2006,] On obtient alors deux types de vulnérabilité immédiate : la vulnérabilité physique à un danger, et la vulnérabilité à la rupture des services support dont elle dépend. L’auteur parlera alors de vulnérabilité fonctionnelle lorsqu’une infrastructure est sensible à la perte de l’approvisionnement électrique, ou de tout autre réseau technique. Le terme « fonctionnel » est repris à « l’analyse fonctionnelle » d’une infrastructure, qui consiste entre autres à identifier tous les flux entrants, supports et de contrôle dont l’infrastructure a besoin pour fonctionner. Adachi a mis en évidence l’intérêt de séparer ces deux types de vulnérabilités [Adachi, 2008]. Il s’est intéressé à la vulnérabilité des infrastructures d’un réseau d’eau du Shelby County (USA) face à un tremblement de terre : a) sans considérer la dépendance de certaines infrastructures au réseau électrique, b) en considérant les dommages causés par le tremblement de terre au réseau électrique, et donc en simulant la rupture du service électrique, et c) en considérant la possibilité pour certaines infrastructures d’utiliser un générateur de secours. Chaque infrastructure du réseau d’eau (y compris les canalisations) et les infrastructures de distribution du réseau électrique possédait sa courbe de fragilité face à un tremblement de terre. La probabilité de dysfonctionnement de chaque infrastructure résultait alors d’une combinaison entre la probabilité d’être physiquement endommagée, la probabilité d’avoir une coupure électrique et la probabilité que le générateur ne fonctionne pas. Puis Adachi a réalisé à l’aide du modèle développé une simulation statistique de type « Monte Carlo » d’un tremblement de terre. Les résultats présentés pour chaque infrastructure démontrent l’écart de probabilité de dysfonctionnement selon que l’on prenne en compte ou non la vulnérabilité fonctionnelle. Il prouve ainsi scientifiquement la nécessité d’inclure dans le terme de vulnérabilité à la fois les dommages directs et les dommages liés à la rupture des services support dont l’infrastructure étudiée dépend.
En conclusion, il n’existe pas de consensus autour de la définition du terme « vulnérabilité ».
Ce travail choisit de la définir face à un aléa donné, caractérisé en intensité et en localisation.
Il ne s’intéresse pas aux dommages en eux-mêmes mais surtout à la perte de niveau de service
engendré par une vulnérabilité physique (dommages) et une vulnérabilité fonctionnelle (vis–
à-vis de la perte de service des autres réseaux dont il est dépendant). On est donc bien dans une analyse systémique des réseaux techniques, fondée sur des analyses locales. La vulnérabilité est vue comme une capacité passive du système technique qui s’étudie à deux niveaux : celui de l’infrastructure, et celui du système. La vulnérabilité systémique peut alors être calculée à l’aide de l’évolution temporelle de la performance du système, compte-tenu des vulnérabilités physiques et fonctionnelles des infrastructures touchées par l’aléa (approche inductive) et de la propagation interne des défaillances de service dans le système. La vulnérabilité systémique est mesurée sur cette courbe de performance à la fin de la période de réaction passive du système, qui correspond au délai de mise en place des premières réactions du système sociotechnique. On obtient alors une notion de vulnérabilité qui est complémentaire à la notion de résilience telle qu’elle est définie dans la section suivante.