Author:Emmanuelle Hervé

  • Sort Blog:
  • All
  • Articles
  • Edito
  • L'oeil de l'expert
  • Le saviez-vous ?
  • Nos actus
  • Nos analyses

La question du cloud souverain analysée par Frans Imbert-Vier

« On protège la donnée, mais on donne tout aux Américains » commente Frans Imbert-Vier, fondateur d’UBCOM, agence de conseil en cybersécurité. Comme à son habitude, il ne mâche pas ses mots quant à la stratégie numérique française. La question de la souveraineté numérique s’est invitée dans le débat public à l’occasion de la crise covid et l’arrivée sur tous les smartphones de l’application TousAntiCovid. Cette application n’est que la partie émergée de la plateforme des données de santé, appelée le « Health Data Hub » (https://www.publicsenat.fr/article/parlementaire/cedric-o-bouscule-au-senat-sur-le-choix-de-microsoft-pour-heberger-le-health). « On le voit avec la sélection de GAFAM choisi sans appel d’offres pour les grandes opérations publiques », explique-t-il encore en parlant du stockage du Health Data Hub par Microsoft ou encore des données du Prêt Garanti par l’État par Amazon. La guerre actuelle entre la Russie et l’Ukraine nous prouve encore que tous les rapports de force entre États se jouent aussi dans le cyberespace au travers d’une véritable guerre de la donnée (https://www.numerama.com/cyberguerre/871367-guerre-russie-ukraine-la-bataille-se-joue-aussi-dans-le-cyber.html).  

1. En quoi consiste le cloud souverain ?  

Pour l’État français, un cloud est souverain si les “services de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois françaises.” Le cloud souverain garantit donc que les données stockées sont soumises au contrôle des autorités locales et que les hébergeurs sont en règle avec la loi. Cependant, d’après Frans Imbert-Vier, le problème réside dans le fait que le pays soit lui-même souverain numériquement, et pour cela, il doit pouvoir produire “un équipement matériel et la suite logicielle combinée pour assurer un traitement informatique automatisé d’une donnée”. Cela signifie donc qu’il détient la propriété intellectuelle de toute la chaîne d’équipements et de composants qui fait qu’il peut supporter lui-même la donnée. Seuls la Chine, la Russie et les États-Unis en sont capables, tous les autres pays sont contraints de se fournir chez l’un des trois. En outre, la quasi-majorité des états s’octroie un droit de préemption sur la donnée stockée sur leur territoire : « En termes de souveraineté numérique, le constat est dramatique, car il n’y a que deux pays au monde où on peut protéger sa donnée sans droit de préemption : la Finlande et la Suisse. » s’alarme alors Frans Imbert-Vier.

En France, le « cloud souverain » s’inscrit dans la logique de la « stratégie nationale du cloud », présentée par Bruno Le Maire et Cédric O, secrétaire d’État au Numérique (https://www.gouvernement.fr/sites/default/files/contenu/piece-jointe/2021/11/1617_-_dossier_de_presse_-_strategie_nationale_pour_le_cloud_.pdf). Cette stratégie vise à permettre aux entreprises et aux administrations d’avoir accès à des outils performants et de garantir un traitement des données respectueux des valeurs européennes, tout en favorisant les entreprises françaises et européennes. Néanmoins, les géants américains, Amazon, Microsoft et Google détiennent actuellement 64 % du marché. Cette stratégie n’est pour Frans Imbert-Vier qu’un écran de fumée : « Si le quinquennat de François Hollande peut être montré du doigt pour une inaction totale du point de vue de la souveraineté numérique, le quinquennat actuel peut l’être pour des mesures toutes mauvaises », nous explique Frans Imbert-Vier. « Emmanuel Macron a un discours contredit par ses actions. » Les recours ininterrompus aux géants du numérique chinois ou américains nous rappellent en effet le criant échec dans la matière.

2. Les récentes alliances du cloud 

Le 6 octobre 2021, le géant américain Google s’associe à Thalès pour la création d’un « cloud de confiance ». Dans la foulée, le 12 octobre 2021, Whaller, s’est allié à OVHCloud pour proposer un cloud souverain destiné aux administrations publiques. Un partenariat uniquement motivé par « la cupidité et l’opportunité financière » commente Frans Imbert-Vier. Et pour cause, les alliances proposent l’argument marketing d’un cloud 100 % souverain alors que la technologie même appartient à des entreprises américaines.

Le partenariat franco-américain répondra aux critères de « Cloud de Confiance » censé poser un cadre de respect de critères de sécurité et de protection juridique. L’objectif de l’alliance est de proposer une offre qui soit conforme aux exigences de souveraineté. Thalès et Google seront les actionnaires de la nouvelle entité, mais elle sera sous le contrôle de Thalès. En effet, le géant américain n’aura pas de pouvoir décisionnaire ce qui permet à l’organisation d’échapper à l’application du Cloud Act, une loi qui permet au gouvernement américain d’accéder aux données des serveurs n’importe où dans le monde dès lors que la société qui héberge les données est américaine ou fait des affaires avec les États-Unis. Pour le moment, l’offre n’est pas disponible sur le marché, car le cloud de Google n’a pas le qualification « SecNumCloud » de l’ANSSI. De son côté, sa collaboration OVHCloud-Whaller propose aux utilisateurs une plateforme 100 % française et donc non-soumise au Cloud Act, avec des fonctionnalités capables de pallier les outils américains. (https://www.latribune.fr/technos-medias/internet/cloud-de-confiance-whaller-et-ovhcloud-s-allient-pour-proposer-enfin-une-solution-100-souveraine-894235.html).

Frans Imbert-Vier n’hésite pas à critiquer ces partenariats incorporant toujours des géants chinois ou états-uniens : “L’hypocrisie de l’opportunité numérique des grands acteurs français dit que si on ne s’associe pas à un des grands acteurs du numérique, que ce soit BATX ou GAFAM, on n’arrivera jamais à donner une opportunité à nos innovations européennes de pouvoir atteindre un marché.” L’association entre OVH Cloud et Whaller pourrait constituer un premier pas dans cette direction, mais souffre de l’utilisation d’un matériel non-européen.

3. La France et l’UE en retard sur le sujet  

Nombre de projets européens voient le jour avec l’idée d’offrir une alternative aux solutions américaines ou chinoises, mais très souvent n’aboutissent pas à cet objectif. C’est le cas du GAIA X supposé être le cloud européen par excellence mais qui « ne l’est plus du tout puisqu’on a fait entrer les géants du numériques comme Google et Huawei. » « On se greffe au train pour qu’il nous fasse avancer, mais le problème, c’est que si le train s’arrête, on s’arrête aussi, résume Frans Imbert-Vier pour illustrer la stratégie désastreuse des institutions européennes. » Le problème est similaire quand on évoque la certification « SecNumCloud » qui a été délivrée à un cloud issu d’une collaboration entre Orange et Huawei en 2017, ainsi qu’à de plus en plus de GAFAM et de BATX depuis. En attribuant la certification à Huawei, l’ANSSI affaiblit significativement la garantie souveraine de celle-ci étant donné l’étroite collaboration entre Huawei et l’État chinois.

L’Union européenne a néanmoins pris la décision d’investir 100 milliards d’euros sur 10 ans pour aider ses acteurs du numérique à investir dans la R&D, largement insuffisants pour Frans Imbert-Vier : « Ce n’est rien du tout par rapport aux 50 milliards de dollars par an russes ou aux 200 milliards américains. On n’a rien compris d’un point de vue politique, c’est 100 milliards par an qu’il faut mettre, pas 100 sur 10 ans ! » Pour lui, on subventionne pour en faire profiter les autres qui rachètent les entreprises résultant de cette recherche. Ce manque de considération de l’enjeu est couplé à un oubli complet de la notion de temps. « Le seul calendrier auquel le politique souscrit est le calendrier électoral. » Le numérique s’inscrit pourtant dans un temps court qui se marie mal avec la lourdeur administrative : « Le numérique et ce qui en découle ont besoin d’une agilité phénoménale. » L’enjeu n’est alors pas réellement compris par la sphère politique.

Quelles solutions ?  

Si la situation en Europe et en France est plutôt mauvaise, il est possible d’implémenter des mesures pour aller dans le sens du développement d’outils locaux et souverains. Pour commencer, il pourrait convenir de restreindre les institutions publiques aux solutions souveraines et locales. L’espoir existe avec un intérêt grandissant pour ces enjeux : « Quelques journalistes commencent à s’intéresser à la question de la souveraineté numérique notamment de par la Covid avec TousAntiCovid et StopCovid ce qui fait qu’on a alerté le public sur les atteintes à leurs libertés. » (https://www.lemonde.fr/economie/article/2022/01/20/health-data-hub-l-hebergement-par-microsoft-ne-sera-pas-remis-en-jeu-avant-la-presidentielle_6110275_3234.html). La France en particulier possède un retard important quand on voit que beaucoup de pays possèdent des institutions régaliennes bien établies œuvrant pour le numérique.

La première solution pour permettre un développement durable des entreprises du numérique européennes réside dans le lobbying. « Si on peut reconnaître quelque chose aux Américains, c’est qu’ils vendent mieux que nous. » En commençant à transgresser leurs modèles et à les appliquer pour nous-mêmes, on peut installer de nouvelles solutions, par exemple en communiquant sur les réseaux sociaux français. « Si on veut que le privé aille vers le cloud français il faut d’abord le subventionner pour le public. » Le problème étant qu’on subventionne aujourd’hui le cloud américain pour le public. D’autre part, si tout le secteur public utilise un cloud français, le secteur privé est susceptible d’utiliser ce même cloud par mimétisme. Subventionner plus largement les entreprises privées pour qu’elles achètent localement permettrait de pénaliser systématiquement les entreprises qui achètent aux États-Unis.

Enfin, la politique européenne pourrait limiter les ventes des entreprises françaises à l’étranger tout d’abord « en interdisant la défiscalisation des frais engagés lors d’un investissement vers les États-Unis ». D’autre part : « il faudrait qu’une entreprise subventionnée ne puisse pas se revendre à un acteur extra-continental. Et si jamais elle se vend à un acteur extracontinental, il faut qu’elle ait tout remboursé et que l’UE puisse s’assurer de profiter à minima de la protection intellectuelle de l’innovation de cette entreprise. »

La majorité de ces mesures sont déjà en place dans les pays leaders de l’industrie numérique et semble nécessaire pour que l’Europe permette le développement de ses acteurs du numérique. Cela implique cependant un changement dans la vision. La présidence française de l’Union européenne en cours ainsi que la campagne présidentielle ne laissent néanmoins pas présager d’une véritable présence des questions de souveraineté numérique sur la scène politique.

Le saviez-vous ? L’astroturfing.

Ni lié aux astres ou aux paris hippiques le terme « astroturfing » est une méthode de manipulation de l’opinion. Le Monde revient sur cette pratique activement employée par l’équipe d’Éric Zemmour chargée de sa campagne numérique. L’enquête du quotidien dévoile comment les militants de l’homme politique manipulent Twitter pour gonfler artificiellement la visibilité de leur candidat, et exposer des millions de Français à son message. Officiellement, cette méthode est interdite par Twitter. Loin d’être un cas isolé, le procédé est d’abord massivement employé par les marques qui l’utilisent dans leurs campagnes marketing dans l’objectif de créer l’illusion d’une approbation massive.

Le terme n’est pas nouveau. “AstroTurf”, mot tiré de la marque du même nom, signifie littéralement « gazon synthétique » en anglais. Il a été utilisé pour la première fois aux États-Unis en 1986 par le sénateur texan Lloyd Bentsen pour décrire un afflux de courriers à son secrétaire qui n’avaient selon lui pour autre but que de défendre les intérêts de compagnies d’assurance. À ces expéditeurs fantômes du siècle dernier ont succédé les faux comptes et les contributions générées par des robots sur Internet. On trouve des traces de la méthode plusieurs siècles en arrière notamment dans la pièce Jules César de Shakespeare : Caius Cassius Longinus écrit des fausses lettres à Brutus pour le convaincre d’assassiner César. Il ne suffit que de quelques « petites mains » coordonnées pour créer l’illusion de l’engouement. Le même message est frénétiquement partagé accompagné d’une image et d’un hashtag pour séduire les algorithmes.

12 Jul 1988 — Le candidat démocrate, le gouverneur Michael Dukakis, et son colistier, le sénateur Lloyd Bentsen (à droite), saluent les législateurs à la Chambre des représentants après que Dukakis ait présenté Bentsen lors d’une visite à la Chambre d’État.. — Image by © Bettmann/CORBIS

L’astroturf s’oppose au “grassroot”, le véritable gazon qu’on retrouve dans l’expression “grassroot movement”. Ce dernier terme signifie un mouvement populaire organisé localement et par lui-même pour soutenir ou défendre une cause. La méthode de l’astroturfing vise précisément à se faire passer pour un mouvement populaire.

Néanmoins, l’efficacité de la méthode est controversée étant donné qu’elle ne serait pas forcément rentable. Le Parti des 50 centimes illustre ce problème. Il s’agit de la plus grande communauté d’astroturfers du monde, présente en République Populaire de Chine. Elle comptait 300 000 membres en 2008. Le nom du parti des 50 centimes fait référence aux 50 centimes de Yuan que perçoivent les membres pour chaque message posté. Outre un aspect éthique discutable, la méthode représente donc un certain coût pour les entreprises. Si elle est reconnue pour créer le doute et diminuer la confiance d’une population, elle ne permettrait pas de convaincre pleinement.

La méthode est banale aux États-Unis, mais elle a été perçue comme révolutionnaire en Europe quand il a été révélé en 2009 que la “European Privacy Association” était sponsorisée par des entreprises du secteur technologique. Désormais, le procédé est répandu dans le monde entier et dans tous les domaines. Dans le domaine politique, Cécile Duflot en a fait les frais en 2019 quand elle a accusé publiquement Denis Baupin d’agression sexuelle. Dans la foulée de son témoignage, l’ancienne ministre du logement a reçu le même message injurieux relayé par des dizaines de comptes. Lors de la campagne du Brexit en 2016, Cambridge Analytica a mis en place certaines techniques de propagande que la société a réutilisée durant la campagne présidentielle de Donald Trump. L’événement démontre alors un véritable pouvoir d’influence de la méthode ; un pouvoir qui peut parfois se révéler dangereux.

Bing Liu, un expert en data mining de l’université de l’Illinois, estime qu’un tiers des commentaires sur Internet sont des faux (https://dubeat.com/2020/02/astroturfing-the-online-practice-which-isnt/). Cela rend la différenciation entre les véritables et faux messages difficiles et, par conséquent, les véritables mouvements populaires s’en retrouvent affaiblis. La méthode nous pose alors une question éthique et remet en cause l’utilisation d’Internet comme un forum de débats constructifs. Cette question éthique est largement posée dans le monde anglo-saxon (https://gigaom.com/2012/04/26/the-ethics-of-astro-turfing-sleazy-or-smart-business/). Plusieurs spécialistes du domaine militent alors pour une interdiction de la méthode perçue comme une menace tant elle facilite la manipulation de l’opinion publique.

Difficile à contrer et à prouver, quand l’astroturfing est dévoilé, le but recherché a déjà été atteint.

L’oeil de l’expert : l’incendie de Saint Chamas

https://france3-regions.francetvinfo.fr/image/STxhZZgQBjCleAsQ9rXl9TIRaV4/600x400/regions/2021/12/26/61c8419857903_whatsapp-image-2021-12-26-at-11-06-30.jpeg

Le 26 décembre 2021, un incendie se déclare dans un centre de stockage de déchets non-dangereux géré par l’entreprise Recyclage Concept 13 dans la commune de Saint Chamas, dans les Bouches-du-Rhône. Un long mois plus tard, le feu sera enfin éteint. L’accident ne décompte aucune victime directe malgré un incendie qui aura duré plus d’un mois. L’entreprise gérant le centre de déchets, Recyclage Concept 13, a été mise en cause pour le non-respect de diverses réglementations et un impact important sur la santé publique.

L’incendie a nécessité l’intervention d’environ 60 pompiers équipés de 35 véhicules pour tenter d’en venir à bout pendant plusieurs semaines. Néanmoins, la qualité de l’air s’est fortement détériorée et la concentration de particules fines a atteint les 800 μg par m3. Un niveau comparable à ce que l’on peut mesurer à Pékin. Le maire de Saint Chamas, très affecté par l’événement, a été contraint d’interdire les récréations et le sport en extérieur à certaines heures de la journée. « C’est une catastrophe sans commune mesure, si une personne tombe malade, je ne m’en remettrai pas. » a-t-il déclaré. Face à l’ampleur de l’incendie, la préfecture a ordonné la démolition immédiate de l’entrepôt le 5 janvier 2022 et a ordonné le déplacement de 6 000 tonnes de déchets, seule solution pour faire cesser la fumée.

Très vite, c’est l’activité de l’entreprise qui a été questionnée. En mars 2022, le maire avait alerté sur la situation : « Il faut modifier la loi : ce type d’entreprise peut s’installer simplement avec une déclaration sur Internet, ils ont investi un entrepôt désaffecté, sur un terrain sans borne incendie…« . D’autre part, il avait aussi alerté les autorités de l’Etat sur la situation dans l’entrepôt de 3000 m2 quantité au volume de déchets stockés : « Ils avaient l’autorisation jusqu’à 1 000 m3 de déchets, les pompiers en ont compté près de 30 000 !« . Le contrôle effectué en septembre 2021 corrobore ses dires et au vu “d’irrégularités manifestes”, la préfecture avait exigé une réduction du volume de déchets avant la fin de la même année. En ce qui concerne la gestion de l’événement par Recyclage Concept 13, on constate un manque total de préparation quant à la gestion de la crise et surtout de la communication qui va avec. La responsable de la relation client a ainsi pris la parole presque deux semaines après le début de l’incendie et a affirmé : « Vous voyez de la pollution, là, mais ça [les déchets] c’étaient nos revenus !« . Ces déclarations de l’entreprise sont entièrement centrées sur l’entreprise et sans aucune compassion, aucune considération pour l’environnement et les riverains. “On n’est pas aux normes, mais on assume, on ne fuit pas nos responsabilités » assène-t-elle encore alors que la non-conformité de l’entreprise était bien connue depuis au moins plusieurs mois. Ces déclarations nuisent fortement à l’image de l’entreprise qui apparaît irresponsable et totalement “déconnectée” de la réalité. Le responsable a également déclaré qu’un processus de mise en conformité avait été initié et qu’une demande d’autorisation pour une plus grande capacité de stockage avait été demandée. Cela ne semble pas dissiper l’impression de négligence dégagée par l’entreprise.
Les inquiétudes citoyennes ont perduré pendant toute la durée de l’événement. L’association France Nature Environnement, représentée par Nathalie Galand, a mis en place des mesures pour que les riverains puissent eux-mêmes effectuer des mesures de qualité de l’air. La préfecture doit aussi mener des analyses des sols et de l’eau. Les yeux qui piquent, la gorge  » en feu « , certains habitants semblent avoir contracté une toux chimique.  » Le plus terrible, c’est la nuit, raconte Georges Mélanie, un riverain. Vous avez l’humidité, et en ce moment beaucoup de gel, on dirait que l’air presse contre la terre, on ressent vraiment les odeurs chimiques.  » Les riverains craignant pour leur santé se calfeutrant à l’aide de scotch et de serpillières mouillées.

Les habitants ont lancé une pétition, déjà signée par environ 24 000 personnes, dans le but de demander l’extinction immédiate de l’incendie ainsi qu’une expertise sur la pollution et son impact sur la santé. La commune de Saint Chamas déposera plainte contre X pour mise en danger de la vie d’autrui et atteinte à l’environnement. Il a été proposé aux habitants de Saint-Chamas estimant avoir été impactés par les conséquences du sinistre, de se joindre à cette plainte. L’association France Nature Environnement a, de son côté, déjà déposé plainte fin janvier pour trois infractions : pollution de l’air, de l’eau et non-respect des règles gérant les installations classées protection de l’environnement.

La communication la plus active sur les réseaux sociaux a été celle des pompiers des Bouches-du-Rhône qui ont tweeté régulièrement à propos des évolutions de l’incendie. La couverture médiatique, d’abord locale, est devenue nationale, avec de très nombreux articles et de reportages télévisés. La très longue durée de l’incendie a suscité de nombreuses réactions et critiques sur les réseaux sociaux. La préfecture des Bouches-du-Rhône a communiqué sur les actions prises notamment sur Twitter et l’entreprise a été largement critiquée.

D’autre part, l’entreprise pourrait se voir mise en cause pour écocide, comme cela est prévu dans la loi Climat ; les dirigeants pourraient être condamnés au pénal. L’entreprise ayant dû arrêter ses activités à Saint Chamas, sa réputation ne peut plus facilement être salie. Néanmoins, elle se retrouve face à un risque juridique réel, pouvant aboutir à des peines de prison, des amendes et des dommages et intérêts. Le délit d’écocide peut en effet être puni de 10 ans prison et de 4,5 millions d’euros d’amende.

Incendie au sein de la société GDE qui détruit des voitures en fin de vie sur le port autonome de Limay.

Si le cas de Recyclage Concept 13 semble isolé, nombreuses sont les entreprises de petite et moyenne taille qui négligent le fait d’avoir une réflexion sur les crises éventuelles en amont, sur des actions à prendre dans l’éventualité d’une crise, de l’anticiper et de savoir y réagir au mieux. En ce qui concerne les déchetteries en particulier, de nombreux sites sont sujets aux incendies comme ça a été le cas à Limay en 2020 ou encore à Quimper le 22 février dernier. Il émerge de l’entreprise de nombreuses erreurs de gestion de la crise et surtout de communication. L’entreprise, absolument pas préparée à un événement du type, a réagi extrêmement tardivement à l’accident, laissant ainsi les personnes touchées par les conséquences, surtout en matière de santé, dans un flou absolu. D’autre part, cette communication apparaît comme égoïste, tournée vers l’entreprise qui minimise presque les faits et se place en position de victime. L’entreprise, par le non-respect de normes et de réglementations, met en danger la santé de centaines voire milliers de personnes : “On respire des fumées toxiques toute la journée et en plus, on nous traite comme des parias” s’exclame le responsable commercial de Recyclage Concept 13, illustrant parfaitement la stratégie de victime adoptée. Ce manque manifeste de compréhension et d’empathie vis-à-vis des victimes et des riverains est sans aucun doute le point le plus problématique de la communication réalisée. D’autre part, on peut remarquer l’absence totale de remerciements effectués publiquement quant au travail des très nombreux pompiers venus éteindre l’incendie.

Rencontre insolite : Raphaël de Vittoris, idées reçues et vraies pistes pour les entreprises

Raphaël de Vittoris

Raphaël de Vittoris est en charge de la gestion de crise pour le groupe Michelin depuis 2013. Titulaire d’une thèse en science de l’organisation avec spécialisation en gestion de crise, il enseigne la gestion de crise dans divers masters (Lyon 3, Clermont-Ferrand, Paris 1 Panthéon Sorbonne, École Nationale Supérieure des Sapeurs-Pompiers). Il publie en juin dernier son premier livre « Surmonter les crises : Idées reçues et vraies pistes pour les entreprises », dans lequel il propose des clés de lecture pour gérer les crises à travers le prisme de l’anti-fragilité. 

Raphaël de Vittoris commence sa carrière comme consultant HSE. C’est au sein du groupe Michelin qu’il se spécialise en gestion de crise. Alors qu’il travaille dans une usine située au nord de la Chine, il réalise à l’occasion d’une crise environnementale le manque de préparation du groupe face aux crises. Il est ensuite chargé de travailler sur une menace potentielle, afin d’améliorer la réponse du groupe si cet événement se produisait. Il propose alors une organisation pour y faire face, qui constitue les prémices du système utilisé aujourd’hui par le groupe Michelin. Raphaël de Vittoris rejoint alors le siège de Clermont-Ferrand, pour étoffer la structure amorcée en Chine. Il travaille un temps aux États-Unis, afin de tester et de repenser certains éléments. Son expérience des cultures étatsunienne et chinoise lui permet d’envisager la gestion de crise à travers un prisme pragmatique, la « méthode à la française intervenant en dernier dans ses réflexions sur le sujet.

La mise en situation, pivot du système de gestion de crises

Raphaël de Vittoris met l’accent sur le test, qui permet d’appréhender en situation ce qui va fonctionner ou non, plutôt que sur l’organisation, la planification ou le leadership dans la gestion de crises. Le vrai test a été, pour le groupe Michelin comme de nombreuses entreprises, la crise liée à la pandémie de Covid-19. Raphaël de Vittoris envisage alors la création de cellules très autonomes, afin de cultiver le « bottom-up » et d’améliorer la réactivité à tous les niveaux. Il remplace le leader de la cellule de crise du groupe, ce qui lui permet d’être aux premières loges du test ultime du système qu’il a contribué à élaborer. Dans sa réflexion autour de la gestion de crises pour le groupe Michelin, Raphaël de Vittoris est confronté à l’homogénéité des systèmes et des profils, qu’il tente de dépasser. Les grands cabinets de conseil entretiennent ce phénomène et le dogmatisme autour de la gestion de crises. Il fait alors le choix de rédiger une thèse, étape qu’il a jugé très utile pour son travail de conceptualisation autour de la crise. Fort de ces diverses expériences, de ses recherches scientifiques et des publications qu’il a pu faire, il publie « Surmonter les crises : idées reçues et vraies pistes pour les entreprises » en juin dernier.

En quoi les crises d’aujourd’hui sont-elles différentes de celles des années 80 ? Quels sont les nouveaux paramètres à intégrer ?

Selon Raphaël de Vittoris, c’est l’évolution des systèmes qui influence la nature des crises de ces dernières années. Il tente de dépasser l’homogénéité des conceptions de la gestion de crises, faisant référence à l’ouvrage de Charles Perrow, « La théorie des accidents normaux », paru en 1984. Il considère alors deux paramètres qui font évoluer les systèmes et influencent les crises auxquelles nous sommes confrontées. Tout d’abord, les systèmes ont tendance à se complexifier : ils intègrent davantage de composants, agents autonomes qui évoluent et interagissent, altérant alors le système. Par ailleurs, au-delà de processus de plus en plus complexes, on assiste à une intensification du couplage des activités. Cette complexification entraîne une plus grande probabilité de défaillances, qui auront un « effet boule de neige » exacerbé par l’interdépendance des systèmes. Perrow considère que la décomplexification des systèmes est nécessaire pour éviter d’avoir à faire face à des crises de plus grande magnitude, plus dures à anticiper et plus immédiates.

Nous sommes depuis entrés dans l’aire du tout numérique, qui régit toutes les activités humaines. La place centrale de la donnée créée une forme “d’active directory” selon Raphaël de Vittoris, faisant le lien de tout à tout, ce qui accroît la vulnérabilité des entreprises et des institutions.

Les crises d’aujourd’hui ont donc évolué, et ce constat ouvre de nouveaux champs quant à leur gestion. Les limites de l’aspect uni-organisationnel mènent la réflexion de Raphael de Vittoris vers deux « blue oceans ». Tout d’abord, l’étude des systèmes complexes, de la linéarité, de la proportionnalité et des effets inductifs, permet de comprendre comment les systèmes vont évoluer, et d’anticiper les interactions entre éléments complexes. Enfin, la réflexion sur les biais cognitifs, leur expression collective et les moyens disponibles pour en limiter l’influence. Quels sont les principaux biais cognitifs qui interviennent dans la gestion de crise ? Raphaël de Vittoris nous met en garde sur les biais cognitifs qui interviennent en gestion de crises, notamment en « temps de guerre ». Tout d’abord, le biais de confirmation nous pousse à privilégier les informations qui vont venir confirmer nos idées reçues ou hypothèses. Par ailleurs, deux biais cognitifs nous conduisent à appréhender les crises par le prisme de situations déjà expérimentées. Le biais de présomption est synonyme d’aveuglement cognitif, lié à la routinisation des procédures déjà pratiquées. Face à une situation inédite, on va avoir tendance à calquer la méthode qu’on a intériorisée, bien que ça ne soit pas la réponse optimale. Dans le même sens, le biais du survivant revient à considérer des schémas ou des développements de gestion de crises qui ont fait leurs preuves, et qu’il faudrait donc répéter. Toutefois, on ne vit jamais deux fois la même crise, en particulier dans le cadre de systèmes complexes. Enfin, le biais de représentativité est un phénomène inductif qui nous pousse à considérer un phénomène à la lumière de la linéarité passée. C’est pourquoi les publications sur les grands challenges de l’année à venir des grands cabinets de conseil reprennent majoritairement les enjeux de l’année précédente. Des systèmes complexes et chaotiques : Raphaël de Vittoris s’inspire notamment de la théorie du chaos déterministe pour définir les crises. Une crise est, selon lui, une dynamique non-linéaire, qui va impacter un système complexe ou multicomplexe. En filigrane de cette définition, il conseille de rester humble : on ne peut embrasser toute la complexité de la réalité. Pour lui, nous sommes tous « des ignares face à la complexité du réel », et devons mettre de côté les idées reçues. Si l’on prend l’exemple de la crise liée à la Covid-19, il était possible de prévoir des mesures face à la crise sanitaire. On pouvait prévoir une crise de la mobilité, mais personne n’avait envisagé que celle-ci entraînerait une crise économique. De plus, avec les confinements, nous avons été confrontés à une crise de la mobilité plus dure, et personne n’avait envisagé les enjeux de sûreté et d’engagement des personnes d’un point de vue civique, avec le pass vaccinal entre autres. De nombreux experts se sont donc focalisés sur la crise sanitaire, copiant les modèles déjà développés pour les épidémies de grippe H1N1 ou du virus Ébola.

Avenue de la grande armée le 26 mars 2020

Que faut-il challenger dans les façons de faire en place depuis les débuts de la gestion de crises ? Raphaël de Vittoris nous invite à réfléchir à la question de la légitimité dans la gestion de crises, afin d’éviter le biais de halo. Au-delà des méthodes, il envisage la dénumérisation du travail. D’un point de vue conceptuel, il souhaite remettre la pérennité au centre de la stratégie des organisations, en lui associant la perspective anti-fragile plutôt que celle de la résilience. La résilience est la combinaison de trois capacités : la capacité d’absorption, soit la capacité à mobiliser des ressources, la capacité de trouver des solutions grâce à ces ressources, et celle de capitaliser sur l’événement, au cas où l’on serait confronté à une situation similaire. Le problème de la résilience selon Raphaël de Vittoris, est qu’elle suppose une stabilité du contexte, malgré d’occasionnelles turbulences. On suppose le monde comme métastable, qui bien que perturbé par des crises, revient à un niveau de stabilité. C’est le présupposé d’un monde stable qui incite les organisations à toujours plus numériser leurs activités. Raphaël de Vittoris fait référence à l’acronyme VUCA, développé aux États-Unis, pour définir l’état du monde contemporain : il est volatile, incertain, complexe et ambigu. La géopolitique, les relations boursières, la finance, le numérique, le politique ou encore le médiatique sont aujourd’hui volatiles. On peut alors partir du présupposé que le monde d’aujourd’hui est volatile, avec des îlots de stabilité.

Pourquoi considérer alors des systèmes stables quand la stabilité apparaît comme anecdotique ? Quel intérêt pour le numérique si celui-ci multiplie les brèches ? Le rapport au numérique dépend de notre vision du monde : s’il est stable, ou métastable, alors la numérisation est quelque chose de positif. S’il est instable, mieux vaut ne pas numériser. Pour Raphaël de Vittoris, c’est la vision du monde qui gouverne la stratégie.

Cyberattaques, l’Italie renforce sa cyberdéfense

En Italie, l’heure de la cyber contre-attaque est arrivée. Suite à une augmentation de 246% l’année dernière le gouvernement Italien décide de muscler ses mesures pour protéger les intérêts nationaux de son écosystème numérique. Tour d’horizon des mesures italiennes, françaises et européennes pour faire face à la recrudescence de cyberattaques.

Italie :

2021, une année de rupture pour l’Italie

Ces dernières semaines, l’Italie a été confrontée à une recrudescence des cyberattaques, touchant aussi bien des entreprises que des institutions.

En mai, les hôpitaux de Rome et de Milan ont été attaqués. Le 3 août, tout le système informatique de la région du Latium, où se trouve Rome, a été piraté par un rançongiciel. De nombreux services ont été impactés comme celui des services délivrant le pass sanitaire, mais le plus important est celui en charge de la prise de rendez-vous pour la vaccination contre le Covid. Le 18 août 2021, c’est l’agence de santé de Toscane qui a été attaquée à son tour.

 

Le secteur de l’enseignement et de la recherche est aussi une cible privilégiée. En effet, l’entreprise israélienne de cybersécurité Check Point Software Technologies nous apprend qu’en juillet l’Italie a connu 5016 attaques hebdomadaires, derrière l’Inde mais devant Israël. L’attrait pour le secteur de l’enseignement est dû au fait qu’il est traditionnellement dépourvu de budgets en matière de cybersécurité.                                Check Point Software, a annoncé en août qu’au premier semestre 2021 le nombre de cyberattaques en Europe a augmenté de 36%. Et le nombre d’attaques au rançongiciel a augmenté de 93%.

Le secteur public n’est pas le seul visé. Ces derniers mois, plusieurs entreprises italiennes ont été victimes de hackers, notamment dans les secteurs du textile, de la mécanique de précision, de l’agroalimentaire ou encore des assurances. L’an dernier, de grandes entreprises transalpines telles que Campari, Enel ou encore Luxottica avaient été visées. Selon le dernier rapport IBM, le coût moyen d’une cyberattaque pour les entreprises italiennes a augmenté de 13,5 %, passant de 3,19 à 3,61 millions de dollars. Globalement, le coût annuel des cyberattaques s’élève à 7 milliards d’euros pour les entreprises de la Botte.

2021 : L’année du changement de politique cyber de l’Italie

De nombreuses prises de paroles dans les médias ont marquées ce changement de politique. L’une des premières est celle de Mario Draghi, lors d’un sommet spécial à Bruxelles en mai.  A cette occasion, il avait souligné la nécessité de renforcer la cybersécurité aux niveaux européen et national, en particulier face à la Russie. Sa décision est motivée par le besoin de renforcer la cybersécurité nationale et européenne, face à la résurgence d’interférence géopolitique. Il dénonçait alors l’espionnage et la manipulation du web par la Russie. Cette sortie concernant la Russie faisait suite à une attaque au rançongiciel par des russes qui a forcé la fermeture d’un des plus grands oléoduc des États-Unis.

Au niveau national, le Ministre pour l’Innovation technologique et la Transition numérique, Vittorio Colao, a déclaré en juillet que plus de 90% des serveurs de l’administration italienne ne sont pas sécurisés. Pour le directeur de l’association italienne pour les infrastructures critiques, il s’agit surtout d’un problème budgétaire, en effet l’administration italienne dispose de nombreux outils et infrastructures numériques dépassés.

A la mi-juin, le ministre Colao a déclaré la nécessité de se doter en urgence d’un «bouclier anti-hacker ». En effet, toujours selon le ministre de l’Innovation technologique, « 95 % des 11.000 serveurs de l’administration sont obsolètes, tandis que 84 % des 4,5 millions de PME-PMI ne pourraient pas faire face à une cyberattaque». C’est ainsi qu’a été annoncé le lancement d’un Pôle stratégique national pour le rendre effectif d’ici à mi-2022. L’objectif sera d’assurer l’offre de cloud de l’Administration publique ainsi que les données les plus sensibles de 180 organismes publics.

Création de l’ANSSI à l’Italienne

La création d’une agence gouvernementale spécialisée en cybersécurité devenait critique. Ainsi, le 10 juin 2021, le Conseil des ministres Italien a annoncé la création de l’Agence nationale de cybersécurité (ACN) pour lutter contre la multiplication des attaques informatiques et être en mesure de faire face à des cyberattaques étrangères, notamment russe. Cette agence aura différentes missions comme : la protection des intérêts nationaux et la résilience des services et fonctions essentielles de l’État face aux menaces cyber, l’accroissement de la sécurité des systèmes d’information et de communication , et le développement de compétences industrielles, technologiques et scientifiques dans le domaine de la cybersécurité. Avant la création de cette agence, en Italie de nombreux services de cybersécurité coexistaient et étaient placés sous différentes autorités, soit du président du Conseil, soit du Premier ministre. Fusionner ces services va permettre d’accroître l’efficacité de la réponse cyber italienne.

Aujourd’hui, sous l’autorité du Premier ministre, l’ACN dispose pour le moment de 300 employés. Au cours de la période 2021-2027, elle disposera d’un budget de 529 millions d’euros et vise l’embauche de 1 000 professionnels de la cybersécurité sur la période.

France :

Que s’est-il passé en France ces derniers mois, y-a-t-il une différence ?

La France aussi est touchée par de nombreuses cyberattaques.                                                                            France Visa                                                                                                                                                                       L’une des dernières est celle du 10 août, concernant la plateforme France-visa, dédiée aux étrangers demandant un visa pour la France. Ainsi les données personnelles (emails, noms, prénoms, numéro de passeport, date de naissance, nationalité) de 8700 personnes, ont pu être dérobées. Le site reçoit plus de 1,5 million de demandes de visas en moyenne par mois, selon la Cnil. L’attaque informatique a pu être « rapidement maîtrisée », assure le ministère, qui explique avoir pris des mesures conjointement avec le ministère de l’Europe et des Affaires étrangères « pour sécuriser la plateforme » et éviter que « des événements de ce type se reproduisent ».

APHP

 

La dernière fuite de cybersécurité majeure a été révélée le 15 septembre 2021. On a alors appris que l’Assistance Publique-Hôpitaux de Paris (AP-HP) a été victime d’une cyberattaque de grande ampleur à l’été 2020. Les données personnelles d’environ 1,4 million de personnes, qui ont effectué un test de dépistage du Covid-19 en Île-de-France ont été retrouvées sur un serveur en Nouvelle-Zélande, sans savoir si et combien de personnes ont pu y avoir accès. Les données volées sont sensibles et précieuses pour les hackers, ces derniers ayant obtenus l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, ainsi que l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. L’institution reconnaît que « le vol pourrait être lié à une récente faille de sécurité de l’outil numérique » qu’elle utilise pour le partage de fichiers, selon les premières investigations. Finalement, un étudiant français de 22 ans a reconnu être l’auteur du vol massif de données après son interpellation dans le Var par la police.  Anti-passe sanitaire, il déclare avoir agi pour « mettre un coup de pied dans le système ».

Plus récemment, en août, le centre hospitalier de Arles a été victime d’un rançongiciel. Les professionnels de santé ont perdu l’accès aux antécédents des patients et le logiciel des ressources humaines, utilisé notamment pour la paie. En février 2021, le secrétaire d’Etat chargé du numérique, Cédric O a déclaré qu’une cyberattaque contre des hôpitaux a lieu chaque semaine depuis janvier.

Les plans du gouvernement français pour renforcer la cybersécurité

En 2017, le gouvernement d’Édouard Philippe a lancé le programme Action Publique 2022. Ce programme vise à repenser le modèle de l’action publique au regard de la révolution numérique qui redéfinit les contours de la société française. A ce titre, il décide de lancer le site cybermalveillance.gouv en 2017, le but étant d’aider les petites entreprises victimes d’actes de cyber malveillance car l’ANSSI s’occupe principalement des grandes entreprises, des institutions et des établissements de santé. Restreint à son lancement au Nord de la France, le site est déployé au niveau national. Le site permet, outre l’accès rapide à des informations simples pour particuliers et entreprises, la mise en relation des visiteurs-victimes avec un spécialiste en cybersécurité de la région où l’on se trouve. L’un des espoirs du gouvernement est de participer au développement d’un tissu industriel français et européen de confiance.

Avec le plan de relance le gouvernement a décidé de délivrer un plan de dotation envers le milieu de la cybersécurité. Ce dernier est composé de plusieurs volets : recherche et développement, renforcement de la filière, soutien à la demande.                                                                                                                                             En matière de R&D, 500 millions d’euros seront consacrés à financer une offre technologique de pointe dans le secteur de la sécurité. L’objectif pour l’Élysée est de favoriser le développement d’une filière cybersécurité française et de viser un chiffre d’affaires global de la filière à 25 milliards d’euros en 2025 et doubler le nombre d’emplois de la filière.  Sur le renforcement de la filière, 148 millions d’euros vont servir à financer le projet de campus cyber. Sur le soutien à la demande, 136 millions d’euros seront alloués à l’ANSSI au travers du plan de relance. Avec l’augmentation de son budget, l’Agence va aider les collectivités à auditer leur sécurité informatique et opérer une mise à niveau de ce dernier.

Dans son rapport 2021, l’ANSSI nous éclaire sur les évolutions des cyberattaques en France. Ainsi, par rapport à 2019, il y a eu deux fois plus d’attaques en 2020, tandis que l’utilisation des rançongiciels a été multipliée par quatre. Un quart des entreprises font le mauvais choix de payer la rançon de 130 000 euros en moyenne. Les principales cibles sont les collectivités territoriales, les établissements de santé et les entreprises industrielles.

Réaction de l’ANSSI et de Guillaume Poupard à l’occasion du FIC 2021

 

Lors du Forum International de la Cybersécurité (FIC) 2021, Guillaume Poupard, le directeur de l’ANSSI a abordé le rôle de l’ANSSI et de la France dans la présidence du Conseil de l’Union européenne en 2022. Il a annoncé l’espoir de bâtir un vrai cloud souverain, le but étant d’échapper aux règles extraterritoriales des pays tiers, notamment les États-Unis et le Cloud Act. Pour G. Poupard, les services tels que les soins de santé et les services financiers devraient seulement être soumis au droit européen. Dans cet esprit, il a déclaré travailler avec Olivier Véran pour rapatrier le Heath Data Hub (HDH) sur des plateformes françaises ou européennes, suite à l’annulation du Privacy Shield en juillet 2020.

En effet, en vertu d’une loi américaine connue sous le nom de CLOUD Act, les entreprises américaines sont tenues de fournir des données étrangères aux autorités américaines si elles le leur demandent. La volonté de M. Poupard est d’exclure les services américains et chinois de cloud dans les secteurs critiques en Europe.

La vision de M. Poupard sur la cybersécurité du cloud européen « sera un véritable test, un véritable objectif pour la volonté politique de parvenir à une autonomie stratégique dans le domaine numérique ».

Plan de relance pour la cybersécurité

La volonté d’une “autonomie stratégique” européenne passe par le fait de devenir moins dépendants des services en nuage américains. L’’idée que l’Europe doit garder le contrôle de la politique technologique est dûe à la crainte de l’espionnage et de la surveillance des États-Unis.

En matière de cybersécurité, l’Italie a pour habitude de suivre les directives et recommandations de l’UE et de l’Otan pour sa cybersécurité. De plus, dans le cadre du plan de relance européen, avec son Plan National de Rétablissement et de Résilience, l’Italie compte investir largement dans sa cybersécurité. Ainsi, sur une enveloppe de 261 milliards d’euros, la numérisation, l’innovation et la sécurité de l’administration publique se verront allouées 11,15 Mds d’euros. L’achat de matériel et de logiciels plus récents et plus performants contribuera à contrecarrer les plans des cyber attaquants.

Pour la France, l’année 2022 sera cruciale à l’échelon européen. En effet, elle sera à la présidence de l’Union européenne et compte agir pour améliorer la coordination européenne en matière de cybersécurité, notamment en organisant une conférence sur la défense en début d’année, puis en travaillant sur une évolution de la directive Network Information System (NIS). La France veut aller plus loin sur ce paquet cyber qui assure un niveau de sécurité commun pour les réseaux et les systèmes d’information de l’Union européenne.

La volonté de protéger le cyberespace français est aussi dans l’agenda de la présidente de la Commission européenne. Lors de son discours sur l’état de l’Union, elle a déclaré le numérique comme un enjeu décisif du marché unique. A ce titre, 20% du plan de relance européen concerne le numérique, dans le but d’investir dans la souveraineté technologique européenne. Il s’agit d’une énième tentative de l’Union européenne pour faire émerger des concurrents aux GAFAM américains et aux BATHX chinois. Pour le moment, le seul levier d’influence de l’Europe est l’action législative, avec l’application extraterritoriale du RGPD depuis 2018. En ce sens, les débats en cours autour du Digital Services Act (DSA) et du Digital Markets Act (DMA) ont pour but d’étendre la régulation des plateformes comme les GAFAM.

 

La main courante : un outil essentiel au bon fonctionnement de la cellule de crise ?

La main courante est un document essentiel qui permet d’enregistrer toutes les informations de la cellule de crise. La main-courante peut être sous format papier ou numérique. Si, elle est numérique, il faudrait, dans la mesure du possible, que la cellule de crise l’ait en permanence sous les yeux. Ce document est rédigé par l’historien, garant de la bonne prise des informations.

On y trouve les informations entrantes (à vérifier, en cours de vérification, vérifiées). Il est essentiel d’effectuer une vérification systématique des informations entrantes en cellule de crise afin de pouvoir prendre les meilleures décisions face à l’événement.

La main courante enregistre aussi les décisions prises et les actions en cours et effectuées.

Une pièce à conviction

 Ce document est une pièce à conviction en cas de procès. Elle permet de justifier les décisions prises compte tenu des informations à disposition de la cellule de crise. C’est pourquoi elle doit toujours être vérifiée par le responsable juridique de la cellule de crise.

Un outil d’information central

 La main courante est également essentielle à la bonne transmission de l’information entre les membres de la cellule de crise et lors des changements d’équipe. Parce qu’elle est consultable par l’ensemble des membres de la cellule de crise, elle permet d’éviter l’asymétrie d’information entre plusieurs membres et ainsi de gagner un temps précieux dans le cadre d’une crise. Faire preuve de rigueur dans la mise à jour régulière de la main-courante est un gage de réussite dans le déroulé de la gestion de crise.

Une aide aux points fixes

 La main courante est également essentielle à la préparation des points fixes.

Les points fixes doivent avoir lieu de manière régulière. Ils sont animés par le coordinateur de la cellule de crise. L’objectif est de faire un point de la situation en 5 minutes. Le point sert à :

  • Informer les membres de la cellule sur le statut et l’impact de l’incident ;
  • Aligner les informations ;
  • Réévaluer l’impact de l’incident en fonction des informations ;
  • Passer en revue les objectifs ;
  • Vérifier que les actions sont en cours de réalisation ;
  • Ajouter et assigner de nouvelles tâches
  • Réfléchir sur les nouveaux enjeux ;
  • Faire un point sur l’état d’esprit et la fatigue des membres de la cellule.

 Notre outils adapté à votre organisation : HOLIS

Les cellules de crises peuvent être hybride en raison de la présence des collaborateurs sur plusieurs sites, des obligations de télétravail etc. Ainsi, afin de pallier ces contraintes, le cabinet utilise l’application HOLIS. Cette plateforme est une main-courante numérique, accessible par tous, partout. Les membres de la cellule de crise doivent y noter les informations entrantes, les décisions prises et les tâches à réaliser. Les membres sont instantanément notifiés par SMS ou par courriel, ce qui permet une grande réactivité des équipes, surtout en cas de sur-crise.

Comment les entreprises doivent penser la responsabilité géopolitique ? Notre entretien avec Nathalie Belhoste

 

Qui êtes vous Nathalie Belhoste?

J’enseigne la géopolitique à Grenoble École de Management depuis 7 ans. J’ai une double formation en science politique, avec une thèse en sciences politiques à l’Institut d’études politiques de Paris ainsi qu’une formation à l’EM Lyon. Je travaille depuis plusieurs années sur la Responsabilité Géopolitique des Entreprises, notamment sur les entreprises en zone de conflits.

Quel constat vous a motivé à travailler sur la responsabilité des entreprises ?

C’est la conjonction de ma double formation et l’arrivée de la question géopolitique dans les écoles de commerce qui fait que je me suis posée des questions.

En ayant fait ma thèse sur les relations franco-indiennes, j’ai vécu en Inde quelques années. J’y ai compris le manque de connaissance du pays par les entreprises qui y ont envoyé des expatriés. Les mauvaises interprétations du territoire pouvaient conduire à de mauvaises prises de décisions.

Je l’ai formalisé à partir du moment où l’on m’a demandé d’enseigner la géopolitique en école de commerce, un sujet qui pouvait paraître un peu étrange dans une école de commerce. Enseigner la théorie de la géopolitique n’est pas immédiatement pertinent pour ces profils. Je me suis donc demandé de quelle manière l’objet géopolitique est pris en question par les entreprises et me suis rendu compte qu’il était plutôt mal intégré. Il est majoritairement abordé au travers du risque politique lié à des questions d’assurance pour les entreprises. Comment assurer la sécurité des employés, payer une rançon et tous les problèmes liés à un tiers dans le pays. Il existe également une distance entre les connaissances des étudiants de ces phénomènes et la manière dont ils peuvent les intégrer dans la prise de décision.

Par exemple, comment on peut intégrer les tensions sino-américaines dans le business model à travers les chaînes logistiques, etc.

L’ensemble de ce cheminement m’a poussé à travailler sur ces questions. Rapidement est arrivée l’affaire Lafarge que j’ai découvert dans Le Monde, en 2016. Cette affaire est l’illustration des problèmes causés par un manque de considération de ces questions dans l’entreprise. À travers ce cas, je me suis rendu compte qu’on trouve souvent dans la presse ces problèmes décrits comme des conséquences de risques politiques. Je me suis dit que s’il y avait des études soutenues de ce qu’il se passe, cet événement aurait pu être évité.

Pouvez-vous nous expliquer ce qu’est la responsabilité géopolitique ?

C’est la capacité pour les dirigeants d’entreprise à intégrer les questions de géopolitique dans leur raisonnement et à ne pas considérer qu’un événement dans le monde n’a pas d’influence sur les activités de l’entreprise. Il est impossible de prévenir les évènements mais on peut analyser les grandes tendances, les signaux forts dans un territoire.

Il faut se poser les bonnes questions et avoir un regard géopolitique, multidisciplinaire, dans le sens où la question économique n’est pas la seule donnée, même si le but d’une implantation sur un territoire est de développer ses activités. Cependant, si on reste sur un territoire en le considérant simplement comme un marché, on passe alors à côté de nombreuses considérations.

Il faut commencer par abandonner son approche purement mercantile sur un nouveau marché, et commencer à se dire « avant d’être sur un marché, je suis sur un territoire ». Est-ce que les actions de mon entreprise, les décisions stratégiques que je prends, peuvent avoir un impact sur ce territoire ? Est-ce que je vais à l’encontre des grandes tendances ? Parmi les acteurs de ce territoire, est-ce que je gêne des personnes ? Et cela même si les parties prenantes n’ont pas d’influence sur mon entreprise.

Certaines entreprises peuvent confondre cela avec le lobbying.  Parler avec des États, connaître les gens, faire que les législations soient favorables, ce sont des stratégies hors marché. Cependant, le lobbying, si trop spécialisé, ne fonctionnera que dans certains cas.

Par exemple, dans le cadre de l’affaire Lafarge, faire des affaires en Syrie passe inévitablement par avoir des relations avec la famille al-Assad ou le parti Baas. Cependant, il y avait d’autres acteurs sur le territoire et lors d’une crise, négliger une des parties peut se révéler dévastateur. Lors d’un changement de gouvernement, négliger un autre gouvernement est une erreur.

La responsabilité géopolitique c’est avoir la capacité d’intégrer le raisonnement géopolitique vis-à-vis des décisions stratégiques de l’entreprise. C’est un état d’esprit, une compétence qui se développe, cela s’apprend.

Pourquoi la responsabilité géopolitique doit-être pris en compte par les entreprises pour anticiper les crises ?

Le premier sens de la responsabilité renvoie à la capacité de comprendre lorsqu’une crise éclate, qu’il y a des phénomènes annonciateurs, il faut donc les analyser. Afin de faire face à ses responsabilités, l’entreprise doit inventorier ses expertises. Elle doit savoir comment ses expertises lui permettront de faire face aux crises politiques. La responsabilité est de se tenir informé et d’avoir les bons informateurs.

La deuxième responsabilité c’est de se dire : est-ce que par mes décisions, je bouleverse les équilibres dans un territoire ? Et qui peuvent créer des crises ? C’est en lien avec la RSE. La responsabilité n’est pas simplement d’œuvrer pour le bien-être de ses salariés, il y a aussi l’univers parallèle, les salariés et le reste de l’écosystème qui travaille avec l’entreprise.

Par exemple, une entreprise voulant s’implanter en Pologne proche de la frontière ukrainienne qui décide d’embaucher des ukrainiens parce qu’ils perçoivent des salaires plus faibles doit prendre en compte d’autres facteurs. Faire venir des ukrainiens sur un territoire où historiquement il y a déjà des tensions entre communautés est risqué. On ajoute une nouvelle tension. Ce genre de questions dépend de la responsabilité géopolitique. Cela ne veut pas dire qu’il ne faut pas le faire, mais se dire que si on prend cette décision, il va falloir prendre des précautions comme une aide à l’intégration pour ces individus pour réduire les tensions.

Un autre exemple, Air France a proposé un plan de reforestation de Madagascar. Cependant, cette initiative rend indisponible les terres exploitées par la population locale (activités culturelles, cultuelles, agricoles etc.). Ce type de projet peut mener à de vives contestations locales contre un projet qui auraient pu être évitées par une meilleure connaissance des parties prenantes.

Avant d’adopter un regard géopolitique, il faut savoir que les actions menées avec les meilleures intentions peuvent avoir des conséquences négatives.

En quelques mots, que conseillez-vous aux entreprises afin de se prémunir face aux crises dans les environnements géopolitiques complexes ?

Il faut accepter de considérer que l’environnement est complexe. Il faut considérer l’intérêt de se former à une compétence géopolitique, ou former des gens pour qu’ils soient référents. À l’image d’un CTO ou d’un COO, les entreprises devraient se doter d’un Chief Geopolitical Officer (CGO). Il faut s’assurer d’intégrer cette compétence au sein de postes importants dans l’entreprise, que ce soit au niveau opérationnel, mais aussi au niveau du top management.

L’affaire Lafarge de 2016, n’a pas fait plonger Lafarge, mais la Fusion avec Holcim a donné un avantage au Suisse en impactant négativement l’image de marque de Lafarge.

De nombreux groupes ont été mis en difficulté sur des territoires où il existe des conflits. La question de rester sur le territoire et jusqu’à quel point se pose. Il faut que les entreprises intègrent l’importance de comprendre les territoires d’implantations, ce qui demande du temps, et qui peut entrer en contradiction avec le temps du business. Il n’y a pas de fatalité, et il faut se former à ce mode de raisonnement. J’alerte les entreprises en disant : « Ne négligez pas la question géopolitique comme vous ne négligez pas les questions marketings, financières, logistiques ». Cela doit être une catégorie d’analyse comme une autre.

La tendance est-elle à une responsabilisation géopolitique des entreprises ?

Dans l’opinion publique, il y a maintenant une plus grande couverture médiatique, un travail d’investigation plus poussé de la part des ONG, qui documentent les exactions. Ces investigations sont souvent menées par des juristes et se basent donc sur le plan du droit pour prendre en compte les violations des droit humains.

Lorsqu’on est une grande entreprise, il faut s’attendre à être sous le regard des ONG. Les investigations des ONG sont maintenant plus systématiques et organisées que par le passé. Elles concernent désormais l’ensemble des territoires y compris certains où il y avait peu de visibilité par le passé.

Cet intérêt des associations envers les entreprises, couplé à une médiatisation plus large, et le rôle de chambre d’écho des réseaux sociaux fait qu’il est de plus en difficile de passer à travers les mailles du filet.

La question décisive est de savoir ce que la justice va dire de ces affaires. Pendant de nombreuses années, la France n’a pas été bien armée juridiquement pour attaquer les questions de corruption. Les lois Sapin II, en réaction aux évènements du Rana Plazza et le fait de se mettre en conformité avec des pays comme les États-Unis, qui ont des lois plus restrictives, mènent à des sanctions plus importantes.

Faut-il s’attendre à plus de cas à l’avenir ? De facto, oui. En France, le cas de Lafarge va donner une dynamique, la façon dont la justice française va prendre en compte ce cas sera à mon sens déterminant pour la suite. Cela doit pousser les entreprises à s’interroger sur la question de la responsabilité et de l’analyse géopolitique.

 

L’Oeil de l’expert : Retour sur les accidents majeurs du secteur pétrolier cet été : une communication de crise à géométrie variable !

L’Oeil de l’Expert pour cette rentrée 2021 s’intéresse à la communication de crise de deux compagnies pétrolières victime d’accident plus ou moins grave. Aussi, l’Oeil de l’Expert s’organise de la manière suivante. D’abord une présentation chronologique et illustrée des événements, puis les antécédents et le contexte de l’analyse et enfin l’analyse de la communication de crise de chacun des incidents. L’œil de l’expert débute son analyse sur l’incident “oeil de feu” de la Petróleos Mexicanos au Mexique, puis enchaîne sur l’incident de Petromidia en Roumanie.

Petróleos Mexicanos (PEMEX), MEXIQUE

2 incidents de grande ampleur à environ 1 mois d’intervalle 

Créée en 1938, Pemex ou Petróleos Mexicanos est une entreprise semi-publique mexicaine chargée de l’exploitation du pétrole. La société est la septième compagnie pétrolière dans le monde faisant du Mexique le sixième producteur de pétrole brut, avec plus de 3 millions de barils jour.

Chronologie des incidents de juillet – août 2021 :

1er incident 2021 : l’oeil de feu

Dans la nuit de vendredi 2 juillet 2021 à 5h15 heure locale au sud du Golfe du Mexique à l’ouest de la péninsule du Yucatan une fuite a lieu sur un pipeline sous-marin en eau peu profonde. Ce pipeline se connecte à une plate-forme exploitée par la Petroleos Mexicanos (Pemex) avec son son site phare de Ku Maloob Zaap (plus grand site de production) : ici la vidéo de l’incendie capturée par un hélicoptère à proximité. 

Vendredi 2 juillet vers 10h30 la Pemex indique que la fuite de gaz est maîtrisée et l’oléoduc colmaté. L’incendie a été largement partagé sur les réseaux sociaux, jusqu’à se faire nommer par les internautes « œil de feu”.

Le 02 juillet 2021 le journaliste mexicain Manuel Lopez San Martin et CNN partagent des tweets sur l’incident.

Dans la journée du 2 juillet 2021, d’une part, Angel Carrizales, chef du régulateur mexicain de la sécurité pétrolière ASEA a informé sur Twitter que l’incident « n’a occasionné aucun déversement » sans expliquer ce qui brûlait sur l’eau. D’autre part, Pemex a affirmé mener une enquête sur les causes de cet incident tout en informant qu’aucun blessé n’était à déplorer.

Les groupes environnementaux comme GreenPeace Mexique et Greta Thunberg se sont saisis du sujet. D’autres groupes environnementaux ne sont pas convaincus de cette explication et exigent que Pemex s’engage à réaliser une « étude détaillée de l’impact causé par l’incendie ».

Le lundi 5 et mardi 6 juillet 2021, soit 3 et 4 jours après l’incident, Pemex prend la parole à travers un communiqué de presse publié sur son site internet affirmant que les « mesures immédiates » prises pour maîtriser l’incendie ont permis d’éviter des dommages  environnementaux.

2ème incident 2021 : Salina Cruz

Le samedi 07/08/2021 à 00h30, un incendie suivi d’une explosion s’est déclaré dans l’usine primaire II de la raffinerie de la Pemex, basée à Salina Cruz. La zone de l’incident est située à côté d’un espace stockant 500 000 barils de pétrole brut, ce qui a provoqué l’anxiété dans la ville de Salina Cruz.

Cet accident survient 4 jours après que Pemex ait vanté sur ses réseaux sociaux le programme de modernisation de l’usine et célébré le 42ème anniversaire de l’usine à Salina Cruz.

Dans la journée du 7 août 2021, la Protection Civile Mexicaine a informé sur son compte Twitter qu’elle avait maîtrisé l’incendie jusqu’à samedi matin. Pemex ne fait aucune déclaration publique sur l’incendie.

Antécédents Pemex :

En 1979, l’entreprise est à l’origine de la plus grande marée noire de l’histoire. Depuis plus de 50 ans, l’histoire de Pemex est émaillée de catastrophes aux lourds bilans humains et environnementaux. L’entreprise serait considérée comme la plus polluante d’Amérique latine selon le centre d’étude Business & Human Rights en contribuant à 1,67% des émissions totales de gaz à effet de serre dans le monde. En novembre 1984 ont lieu les explosions de San Juan Ixhuatepec : une série d’explosions de gaz de pétrole liquéfié (GPL) dans un dépôt tuant plus de 500 personnes et faisant environ 2 000 blessés.

  • Mai 2013, un dépôt de gaz explose à Ecatepec de Morelos.
  • Juin 2017, après une inondation, une explosion se produit à la Bomb House, faisant un mort et plus de 12 blessés parmi les pompiers. La raffinerie a été hors service pendant plusieurs semaines. 
  • Janvier 2019, une explosion de l’oléoduc de Tlahuelilpan fait plus de 100 morts. Cette explosion a eu lieu plusieurs heures après que la compagnie se soit rendue compte de la fuite. L’entreprise demande à l’armée de ne pas intervenir alors que des habitants ont siphonné du carburant.
  • Juillet 2020, l’entreprise est au coeur d’un scandale anti-corruption contre son ex-dirigeant Emilio Lozoya qui a accusé  les ex-présidents Enrique Peña Nieto (2012-2018), Felipe Calderon (2006-2012), Carlos Salinas (1988-1994), et d’autres hauts responsables et reconnu être impliqué dans une affaire de corruption avec le géant brésilien du BTP Odebrecht.

Contexte : 

La vidéo de l’incident a suscité l’indignation de groupes environnementaux et de personnalités publiques qui ont soulevé des questions sur l’impact des projets de forage en mer. Par exemple, Greenpeace Mexique a déclaré que l’incendie illustre des « risques graves » que le modèle mexicain de combustibles fossiles fait peser sur l’environnement et les populations. Après avoir fêté les 42 années d’exploitations de l’usine primaire II de Salina Cruz et avoir communiqué sur les programmes de mise à jour et d’amélioration de la production du site pétrolier, le nouvel incident dans cette même raffinerie a rappelé le risque permanent qui envahit la ville. Cet incident a cristallisé l’inquiétude des populations locales au sujet de la bonne gestion du site et de sa montée en puissance de production, car le président mexicain Andrés Manuel Lopez Obrador a vanté le pétrole comme la meilleure affaire du monde et a fait pression pour étendre le forage en mer. Le gouvernement fédéral mène des actions ayant pour objectif d’augmenter la production, de traiter plus de pétrole brut afin d’atteindre une autosuffisance dans la production d’essence, de diesel et d’autres produits pétroliers.

La gestion et la communication de crise de Pemex :

Pour la Pemex, comme ses homologues européennes (ex. Total, Petromidia), chinoises (ex. CNPC) ou anglo-saxonnes (ex. BP), la gestion et la communication de crise sont quasi-permanentes du fait de l’activité à fort impact environnemental et sociétal de l’exploitation de minerais et de pétrole. Néanmoins, l’entreprise se présente comme une étude de cas à part entière de par ses antécédents colossaux en termes d’impact social et environnemental et par la singularité de sa gestion et communication de crise.

En effet, bien que la Pemex enchaîne les incidents industriels, celle-ci n’entreprend pas d’actions pour clarifier les évènements et améliorer sa communication auprès de ses parties prenantes. Cette absence d’actions peut être considérée comme source d’erreurs et de manque de préparation de la part de l’entreprise, en témoignent certaines communications de l’entreprise contradictoires, secrètes, sans empathie et tardives par rapport aux événements.

Premièrement, le communiqué de presse du 05/07/2021 au sujet de l’incident “oeil de feu” annonce que l’incendie n’a causé aucun dommage environnemental, alors même que “le gaz à l’extérieur du tuyaux a migré des fonds marins vers la surface (…)” et que l’incendie a été contenu en projetant de l’azote sur les flammes pour éteindre l’incendie.

De plus, avant l’incident de Salina Cruz et toujours après que l’entreprise a vanté son programme d’amélioration pour augmenter la production de pétrole, le 5 août deux fuites d’hydrocarbures ont été enregistrées à proximité des communautés Emiliano Zapata et El Escolín, où la parcelle d’un individu a été contaminée. Les dommages environnementaux sont encore non évalués par la Pemex. 

Deuxièmement, le manque d’empathie des différents communiqués est surprenant du fait de l’effet extraordinaire de l’incident : une forme de “lave en fusion” boue à la surface de l’océan à proximité d’une plateforme pétrolière ; une explosion couplée d’un incendie après plusieurs fuite de gaz. La communication ne mentionne pas d’intérêt pour les salariés sur la plateforme et n’informe pas sur les potentielles victimes. Un manque d’empathie qui tourne à la faute pour une entreprise qui est régulièrement au cœur de crises industrielles ayant coûté la vie à des hommes et des femmes.

Troisièmement, bien qu’aucune victime ne soit à déplorer lors de l’incident de l’œil de feu, l’entreprise communique tardivement sur cet incident et laisse passer 4 à 5 jours sans information. Au sujet de l’incident à Salina Cruz, l’entreprise cultive un secret particulier sur la “bonne” gestion de ses activités et une désinformation grandissante. En effet, la Pemex ne mentionne aucune reprise d’activité officielle de sa raffinerie. Le 8 août 2021, soit environ 24 heures après la déclaration de l’incident, Pemex n’a encore fait aucune déclaration publique sur l’incendie. 

Alors que le rapport du Groupe d’experts intergouvernemental sur l’évolution du climat (GIEC) confirme que l’activité humaine réchauffe la planète, que la fréquence et la gravité des événements climatiques extrêmes augmentent et que l’humanité se rapproche des points de basculements, l’absence de considération pour l’environnement et le climat sont des fautes juridiques et sociales pour les experts du droit comme pour les citoyens. Aussi, la principale faute de la Pemex est de continuer à justifier la rénovation de ses installations pour augmenter sa production plutôt que justifier ses améliorations pour l’environnement et la sécurité des habitants. Alors que des explications et des mesures de sécurité et environnementales sont attendues, la Pemex échoue dans la gestion de sa communication de crise en continuant de garder le secret et en publiant comme par exemple en publiant des annonces “hors-sujet Salina Cruz” sur son compte Twitter.  

De plus, malgré l’enchaînement d’incidents environnementaux et sociaux et la médiatisation de l’événement “oeil de feu” sur les réseaux sociaux et au sein des cercles écologiques mondiaux, l’entreprise publie ses résultats financiers augmentant, confirmant alors son manque d’intérêt pour les sujets de transition de écologique et sécuritaire exposés plus en amont.

À l’image de celui de Lubrizol en France, le casier médiatique de la Pemex est lui aussi “criblé” d’articles de presse relayant les images de « l’œil de feu” et d’autres incidents industriels.

Petromidia ROUMANIE

1 accident aux conséquences lourdes

La marque Rompetrol Rafinare est détenue par KMG International (54,63 % ; directement et indirectement) et par l’État roumain à travers le ministère de l’Énergie (44,69 %). KMG International est un groupe détenu par KazMunayGas, la compagnie pétrolière et gazière nationale du Kazakhstan.

Chronologie :

Le vendredi 2 juillet 2021 une explosion s’est produite à la raffinerie Petromidia de Năvodari. L’entreprise communique à 12h35 sur l’incident et informe maîtriser la situation.

À 13h15, un hélicoptère a été envoyé sur zone. Le porte-parole de l’ISU Dobrogea a déclaré : « la situation est sous contrôle, les quartiers ne sont pas en danger. L’installation où l’explosion s’est produite est la zone à plus haut risque ».

À 14h03, l’entreprise publie sur Facebook un premier compte-rendu de situation et annonce les blessés et la mort d’une personne. L’entreprise modifie son mur facebook en hommage au défunt.

À 14h05, le Premier ministre Florin Cîțu a déclaré, dans un message sur Facebook, avoir demandé au secrétaire d’État Raed Arafat et au chef de l’Inspection générale des situations d’urgences, Dan Iamandi, de se rendre sur les lieux pour coordonner personnellement l’intervention et sauver les personnes prises dans l’explosion.

À 14h10, l’Administration météorologique nationale a envoyé une information sur l’évolution de la trajectoire vers la mer du nuage de fumée dans la zone de la raffinerie de Midia, entre 13h00 et 23h00. 

À 14h15, le cours de l’action de Rompetrol Rafinare dévisse de 0,98% par rapport à son cours d’ouverture, selon les données de la Bourse de Bucarest.

À 14h25, un porte-parole de l’Inspection des situations d’urgence a déclaré que 5 personnes avaient été blessées, une était portée disparue que 50 pompiers étaient présents sur le site.

À 14h50, le préfet du comté de Constanța, Silviu Coșa, a déclaré que la personne portée disparue avait été retrouvée morte carbonisée. Le préfet communique également sur la situation de l’incendie et informe que le feu était à sa pleine puissance entre 12h00 et 12h30 et que suite à l’analyse environnementale par le laboratoire environnemental mobile sur site il n’y a pas lieu de s’inquiéter.

À 15h05, la société propriétaire de Rompetrol Rafinare KMG International informe que des salariés sont blessés et une personne décédée. Le groupe a aussi déclaré que l’incendie avait été isolé et stabilisé. 

À 15:20, les procureurs ouvrent une enquête. Les autorités affirment que les relevés de valeurs limites n’étaient pas dépassés dans les zones peuplées proches de la raffinerie, à savoir la ville de Năvodari, la commune de Corbu et les stations touristiques de la zone voisine.

Entre 15h30 et 15h45, l’entreprise partage la déclaration du directeur général, Felix Crudu Teslovanu sur la situation et publie un deuxième compte-rendu de la situation.

À 15h30, le ministre de l’Intérieur, Lucian Bode, a annoncé qu’aux alentours de 15h00, l’incendie était éteint. Le commandant de l’opération a annoncé que le premier appel a été enregistré à 12h16 et que plus de 100 pompiers et ambulanciers ont agi à la raffinerie de Petromidia.

À 18h23, l’entreprise publie son troisième compte-rendu sur la maîtrise de l’incendie et la gestion des victimes.

À 19:30, Rompetrol Rafinare annonce que l’incendie a été éteint sur la plate-forme Petromidia et il n’y a pas d’autres risques.

Le samedi 3 juillet 2021 à 12h27, l’entreprise publie son quatrième compte-rendu toujours sur son compte Facebook. Le compte-rendu informe clairement l’état de santé des victimes

Le dimanche 4 juillet 2021 à 11h16, Rompetrol publie son cinquième compte-rendu de situation et annonce officiellement que l’ensemble des coûts sera pris en charge par l’entreprise.

Le lundi 5 juillet 2021 à 12h13, soit 3 jours après l’incident, Rompetrol publie son sixième et dernier compte-rendu de situation dans lequel l’entreprise donne les dernières informations sur l’état de santé du personnel hospitalisé, remercie les autorités de leur soutien dans la gestion de la crise et réaffirme son soutien aux familles des victimes.

Le 13 juillet 2021, soit 11 jours après l’incident, l’entreprise publie sur son compte Facebook un message annonçant le décès d’un des blessés envoyés en Allemagne et informe que l’autre blessé est dans un état stable.

Le 19 juillet 2021, l’autorité environnementale de Constanta a annoncé qu’une amende de 50 000 lei (10167,74 euros) avait été infligée à la raffinerie de Petromidia pour la mort de trois hommes, l’un sur place et les deux autres dans une clinique en Allemagne.

Antécédents Petromidia :

Selon des médias roumains, des anciens salariés et des salariés de Petromidia, l’entreprise a déjà quelques antécédents d’incidents sur le site de la raffinerie. 

Contexte : 

Une explosion s’est produite vendredi 2 juillet 2021 dans la raffinerie Petromidia de Năvodari. Le bilan de l’incident est lourd, on compte 3 morts et 2 blessés graves, malgré un transfert sanitaire en Allemagne. Les blessés ont été transportés en hélicoptère à Floreasca Hôpital de Bucarest. Les habitants des localités voisines ont reçu des directives de prévention,rester chez eux et ne pas ouvrir les fenêtres. Les processus opérationnels dans la raffinerie ont été arrêtés pendant l’intervention. La cause de l’explosion aurait pu être un tuyau fissuré dans l’usine d’hydroraffinage. Il s’agit d’un incident qui survient peu après l’achèvement des travaux de maintenance. Selon Petromidia, une analyse de l’impact sur les procédés technologiques sera réalisée afin d’obtenir une vision plus claire et prévisible en termes de redémarrage des installations. Petromidia a été condamnée à payer une amende de 100 000 lei (20 335,47 euros) dû au fait que l’entreprise n’a entrepris aucune mesure pour empêcher la pollution lors des actions de révision et de nettoyage des installations et pour la mort de 3 salariés de la raffinerie.

Bien que les entrepôts de la raffinerie n’aient pas été touchés par l’incendie, les stocks sont disponibles et il n’y a pas eu de choc d’approvisionnement, les actions Rompetrol Rafinare ont dévissé en bourse. Vers midi, la baisse était d’environ 10%, avec des volumes de transactions importants et inhabituels pour cet actif. 

La gestion et la communication de crise de Petromidia :


Sur le plan de la communication de crise, l’entreprise Petromidia semble faire preuve de préparation et de maîtrise. L’entreprise prend rapidement la parole sur son compte Facebook lorsque l’incident se produit. L’entreprise présente (1) les faits, (2) les actions prises, (3) son engagement à donner plus d’information dès que possible, et (4) va même jusqu’à remercier la réactivité des autorités, puisque Petromidia est aussi à 44,69% une entreprise publique. Dans un compte rendu suivant (cf. compte rendu n°5), l’entreprise annonce son engagement à payer les frais hospitaliers. L’entreprise officialise également sa prise d’intérêt dans la gestion de l’incident avec la prise de parole d’une de leurs porte-paroles sur la chaîne nationale roumaine.

Dans les comptes-rendus suivants et lorsque l’entreprise apprend que l’incident a causé des dégâts sur ses employés dont 2 blessés et 3 morts, celle-ci rappelle (1) sa priorité de protéger la vie et la sécurité de ses employés, puis fait (2) preuve d’empathie en commençant systématiquement ses communiqués en donnant de nouvelles informations sur l’état de santé des blessés et en exprimant son soutien aux familles. Enfin, l’entreprise rappelle (3) et (4) les actions prises et en cours d’exécution et exprime ses remerciements envers les autorités elles aussi touchées par l’incident. Le 13 juillet 2021, soit 11 jours après l’incident, l’entreprise annonce le décès, présente les circonstances de la mort, exprime son soutien à la famille et partage l’état de santé de l’autre blessé.

Dans l’ensemble, l’entreprise prouve à ses parties prenantes internes et externes sa capacité à répondre à une crise et à ses conséquences à travers une gestion des victimes efficace : messages empathiques, blessés rapatriés dans des hôpitaux et frais d’hospitalisation pris en charge. À cela, l’entreprise expose aussi publiquement les relations qu’elle entretient avec les services et autorités publiques, un élément structurant dans la gestion des victimes. Néanmoins, peut-être par souci protection de la vie privée, l’entreprise ne communique pas davantage d’informations sur leur employé décédé. On apprend donc dans un journal local (stirilekanald.ro) que l’homme décédé dans l’incendie avait 32 ans et était père d’une petite fille de 2 ans. De plus, la fille d’une des blessés a entrepris des démarches pour transférer son père dans un hôpital étranger afin d’y recevoir des soins. Petromidia et les autorités roumaines ne se sont pas opposés à la demande et l’entreprise confirme officiellement ce transfert dans un hôpital étranger à travers un communiqué. De plus, on notera qu’aucune cellule psychologique ni aucune procédure de suivi destinée à soutenir et suivre les employés ne semble avoir été mise en place.

Néanmoins toujours dans la dimension de gestion des parties prenantes, l’entreprise semble omettre les populations locales. En effet, face à l’impact environnemental de l’incident, l’entreprise annonce, à partir des données des autorités environnementales, que les seuils de pollution n’avaient pas été dépassés

Alors même que les populations locales ont reçu des messages d’alerte et des instructions de confinement des autorités dû au nuage toxique survolant la zone de la raffinerie. De plus, le ministre de l’Environnement a même déclaré que l’impact environnemental pourrait être majeur. Une incohérence qui décrédibilise la qualité de la communication de crise de Petromidia, jusqu’ici bien menée.

Bien que l’entreprise ne s’exprime pas sur les causes de l’incendie et annonce qu’une enquête est en cours pour les déterminer, le 2 juillet sur le site d’information Digi24, un professeur de l’université pétrole-gaz de Ploiești et expert en génie chimique, catalyse et synthèse de matériaux suggère quelles seraient les causes, les scénarios et les conséquences du nuage toxique : « Le nuage de fumée n’est pas le nuage de gaz qui a explosé. Le nuage de fumée résulte de la combustion du produit pétrolier qui existait dans l’installation à ce moment-là. Sa toxicité est similaire à celle des gaz d’échappement des moteurs diesel et des turbomoteurs d’aviation. »

Suite à la mort du jeune homme de 32 ans, un groupe de plus de 200 collègues et anciens collègues accusent le manque de révision et de modernisation de la raffinerie, de valoir leurs droits ainsi que de faire corriger des irrégularités dans l’activité de Petromidia. Interviewés par les médias nationaux G4Media et Info Sud-Est, les salariés et anciens salariés ont témoigné sur les problèmes de fonctionnement de la raffinerie et du refus de correction de la part de la direction. Les deux médias ont soumis à Rompetrol les accusations portées par les employés et ont demandé si cela réfutait ou confirmait les problèmes signalés et leurs commentaires sur la situation exposée par les collègues des victimes de l’explosion mais l’entreprise n’a pas souhaité répondre aux médias.

Sur le plan de l’image et de la représentation, les images de l’incident ont rapidement fait le tour d’Internet. Des touristes sur les plages voisines de la zone de la raffinerie ont pris des vidéos du nuage. Le 22 juillet, trois explosions successives dans la baie de Capul Midia (à 2,7 km de la raffinerie de Petromidia de Năvodari) ont créé un vent de panique chez les touristes, tout en ravivant l’événement du 2 juillet.

La Société Nationale de Contrôle des Chaudières, des Installations de Levage et des Appareils à Pression a approuvé la remise en service de la raffinerie, bien que l’enquête sur les causes de l’explosion du 2 juillet se poursuive. En plus de l’amende de 50 000 lei pour la mort de 3 employés, Petromidia a été condamnée à une autre amende de 50 000 lei pour le manque de mesure anti-pollution lors des actions de révision et de nettoyage des installations : soit un total 100 000 lei (20 335,47 euros).

2 entreprises, un même secteur, deux manières de gérer et communiquer sur la crise :

Petroleos du Mexique et Rompetrol Rafinare sont des entreprises similaires sur les plans de leur structure, car toutes deux détenues en partie par l’État ; de leur activité, car toutes deux exploite ou raffine du pétrole. Néanmoins, l’une se distingue par une meilleure maîtrise de sa communication de crise et par un facteur géographique et émotionnel différent. En effet, du point de vue émotionnel, alors que ces deux entreprises sont touchées par un incident d’une gravité différente : 3 victimes chez Petromidia contre 0 victime à la Pemex, il semble que l’effet “bluffant” de l’œil de feu en pleine mer a davantage attiré les internautes, les médias internationaux et les militants écologistes, que le nuage toxique de Petromidia.

L’incident de Petromidia a, quant à lui, eu un impact plus local dû à la proximité géographique de l’incendie avec des parties prenantes externes de l’entreprises comme les autorités locales et nationales ainsi que les populations (riverains et touristes). Dans ce sens, la capacité de gestion et de communication de crise de Petromidia a été plus observée que celle de la Pemex. En effet, en situation de crise, chacune des parties prenantes est en attente d’une réponse de crise opérationnelle de la part de l’entreprise. Les modes et les canaux de communication diffèrent donc en fonction de la partie prenante. Bien que, Petromidia utilise principalement sa page Facebook, l’entreprise donne des interviews sur des chaînes télévisées nationales. De plus, l’incident a eu lieu à proximité de zones touristiques, donc contrairement à la distance géographique de l’œil de feu, les populations roumaines ont réagi d’elles-mêmes sur les réseaux sociaux. 

Sur le plan de la communication de crise et contrairement à la Pemex, à partir du 2 juillet 2021 date de l’incident, Petromidia fait preuve d’une bonne capacité de réponse de crise. L’entreprise publie un message (cf. compte-rendu n°1) d’attente en début de crise de bonne qualité et reprenant les attributs nécessaires à une bonne communication : faits, actions, compassion, engagement et transparence (FACET). La principale erreur de communication apparaît une fois que l’entreprise réceptionne l’information d’une présence de blessés et de la disparition d’un employé, celle-ci publie un message d’attente. En effet, ce message reprend la structure de son précédent message et ne commence donc pas avec un mot pour les victimes de l’incident (cf. compte-rendu n°1). Avec cette capacité de réponse de crise, Petromidia symbolise son attitude vis-à-vis de ses parties prenantes face à la situation. Une communication qu’on ne retrouve pas chez son homologue mexicain ni pour l’événement oeil de feu ni lors de l’incident de la raffinerie de Salina Cruz. En effet, la Pemex fait l’erreur de continuer à communiquer sur d’autres sujets (ex. se féliciter des résultats financiers trimestriels 2021) que celui de l’incendie, ce qui témoigne du manque d’intérêt et de priorité de l’entreprise vis-à-vis de la situation et de ses conséquences.

Bien que les plans de continuité d’activité semblent être maîtrisés par ces entreprises, celles-ci et particulièrement la Pemex, doivent développer un réel intérêt pour la gestion de crise qui s’intéresse à l’humain aux cœurs de leurs opérations. Savoir anticiper et gérer les crises requièrent des compétences techniques et humaines pour pérenniser et transformer l’activité de l’entreprise. 
Enfin, bien que ces deux entreprises se distinguent par leur maîtrise de la gestion et communication de crise, la Pemex se diffère nettement sur le plan judiciaire et de gouvernance d’entreprise. En effet, alors que la Petromidia est sanctionnée financièrement par les autorités roumaines ; la Pemex ne semble pas inquiétée par les autorités mexicaines. Déjà à l’origine de la plus importante marée noire de l’histoire en 1979 et responsable de diverses catastrophes industrielles et humaines, l’entreprise mexicaine continue d’être au cœur des jeux politiques et stratégiques du Mexique. De fait, le manque de maîtrise de gestion et de communication de crise peut être dû à cet effet « d’immunité gouvernementale » dont profite l’entreprise. En effet, comme le présente Isabelle Rousseau dans un papier pour le Centre d’études et de recherches internationales de l’IEP de Paris “l’ensemble des institutions, des comportements et des pratiques caractérisant l’industrie pétrolière mexicaine [sont] en symbiose avec les buts assignés à Pemex […]”. Autrement dit, la Pemex est un outil économique et politique utile au gouvernement mexicain.

La rencontre insolite : L’intuition : un élément clé dans la résolution de crise avec Bernard Thellier, ancien négociateur du G.I.G.N

Après une maîtrise en psychologie comportementale à l’université Paris 10 de Nanterre, Bernard Thellier intègre le G.I.G.N., où il occupera le poste de négociateur principal pendant 10 ans. Dans l’exercice de ses fonctions, il est amené à intervenir sur de nombreuses prises d’otages, des forcenés, des enlèvements et le grand banditisme… 

Pouvez-vous vous présenter ainsi que votre parcours ?

Fils de militaire, je suis un ancien négociateur du GIGN, j’ai été pendant 10 ans au groupe d’intervention de la gendarmerie nationale sur l’unité nationale, qui est basé à Versailles. Nous avons également une compétence internationale, mais nous intervenons aussi en France. Je suis également diplômé par le FBI à la négociation de crise et je suis actuellement chargé de cours en psychologie comportementale à Paris 2.

Qu’est-ce qui vous a motivé à rejoindre le G.I.G.N. ? 

C’était vraiment pour l’action. Je suis quelqu’un d’assez dynamique, j’aime le risque et le don de soi. L’esprit c’est vraiment d’être utile pour mon pays et pour les autres. Pour aider les autres, il faut agir et ça c’est en moi, c’est mon empathie. Les tests sont extrêmement durs, on était une centaine de candidats et seulement 6 sont choisis au bout de 14 mois de sélection. Ce sont des tests qui vous fatiguent psychologiquement et physiquement, beaucoup craquent.  Et donc, je fais ma première intervention où on a dû attendre près de 12h avant d’intervenir, le temps que les négociations se passent. 12h d’attente pour 2 secondes d’intervention, je me suis dis que la négociation c’était pas si mal que ça. Parce que le négociateur prend contact avec le maire, le président, les familles etc je me suis dis qu’il fallait vraiment que je fasse de la négociation. Je ne le savais pas encore quand je suis rentré au G.IG.N. mais c’est ce qui me plaisait le plus et j’ai eu de la chance, il y a eu une place qui s’est libérée en interne.  On est sélectionné pour notre sensibilité, parce qu’on communique avec nos sens/sensations et il faut être assez sensible pour être bon négociateur et donc je suis parti sur deux ans de formation. 

Pouvez-vous nous expliquer ce qu’il se passe pendant une phase de négociation ?

Ma plus longue négociation a duré 3 jours, avec un militaire qui était retranché avec 64 tonnes d’explosifs, c’était mortel dans un rayon de 5 km. C’était énorme donc on a fait évacuer tous les villages. J’étais à sa porte pour communiquer avec lui. Je ne faisais pratiquement jamais de négociations par téléphone,  la première chose que je faisais, c’était que j’allais jusqu’à la porte du preneur d’otages sans faire de bruit, en toute discrétion. Une fois la porte du preneur d’otages, je pouvais entendre ce qui se passait dans la maison, l’appartement et j’entendais les pleurs, je ressentais la douleur des otages, mais je ressentais aussi la tristesse, la colère du preneur d’otages par ses insultes envers les otages, par les meubles qui bougeaient et à partir de là, je peux vous assurer qu’ émotionnellement j’étais présent et impliqué. Étant donné que je les comprenais émotionnellement, j’allais pouvoir mieux les toucher émotionnellement et l’émotionnel est le seul point d’ancrage dans l’entrée de l’inconscient des autres. 

Si vous aviez à ne retenir qu’un seul enseignement de votre parcours au G.IG.N. qu’est ce que ça serait ?

Ce que j’ai remarqué, c’est que les preneurs d’otages se sentaient délaissés, et même accusés, alors que c’était souvent un geste désespéré, les gens ne les comprenaient pas. L’être humain va avoir tendance à juger quelqu’un sur ses faiblesses, même lorsque les qualités sont supérieures aux faiblesses. Avec les preneurs d’otages, je n’ai jamais fait ça, je n’ai jamais vu leur point négatif et j’ai vu leur point positif.  Je ne me suis pas concentrée sur les otages, non, j’avais compris que si je voulais sauver les otages, je devais m’intéresser au preneur d’otages et lui donner toute mon empathie.

Quelles sont selon vous les 3 compétences, traits de caractère que doit posséder un bon négociateur ?

L’ego n’a pas sa place en négociation. Si vous avez trop d’ego, vous allez compenser ou vous mettre en colère et vous allez mettre l’autre minable et à partir de là, vous comprenez bien que vous ne pouvez pas être un bon négociateur.  Mais surtout avoir une intelligence émotionnelle énorme, c’est cette intelligence émotionnelle qui va vous permettre de solutionner toutes les missions.  Pour faire de l’intelligence émotionnelle, il faut 2 ingrédients. Le premier ingrédient, c’est l’empathie, c’est-à-dire comprendre les émotions des autres. Le deuxième ingrédient, c’est la maîtrise de ses propres émotions. Heureusement, cette intelligence émotionnelle se cultive, on peut progresser. 

Pensez-vous que cette intelligence émotionnelle s’apprend ? Il y a-t-il une part d’inné ?

Oui, il y a une part d’inné. Mais tout au long de la vie, grâce aux expériences de la vie, on progresse. Vous pouvez réfléchir au marqueur émotionnel, c’est-à-dire l’empreinte émotionnelle que vous avez laissée aux autres dans la journée. 

Que représente l’intuition selon vous ?

Les gens critiquent souvent l’intuition et n’en tiennent pas compte, mais ils ont tort, il faut revenir dans la vraie vie.L’intuition, c’est quoi ?  Il y a 2 ingrédients pour l’intuition, ce sont les connaissances, mais aussi, l’expérience. L’intuition, c’est un mélange des connaissances et des expériences, et je peux vous assurer que l’intuition, il faut en tenir compte. Pourquoi ? Parce que ça va vous permettre d’avoir un coup d’avance sur les autres, et dans toute négociation au G.I.G.N. j’ai tenu compte de mon intuition et ça m’a toujours soit sauvé la vie ou m’a permis de résoudre une prise d’otage. 

Que pensez-vous de la place de l’intuition dans la gestion de crise ?

Pour faire confiance à son intuition, il faut d’abord avoir confiance en soi. Et au G.I.GN. on acquiert énormément d’intuition parce qu’on a des entraînements extrêmement durs qui sont encore plus difficiles que nos missions. Pour vous donner un exemple, on a eu plus de morts à l’entraînement qu’en mission. On va se servir de notre passé pour régler le présent, pour qu’il y ait un futur favorable, donc plus vous avez, on va dire d’échecs plus vous avez de l’intuition. Si je faisais une erreur au GIGN, je réunissais tout le monde et je leur disais mon erreur. Pourquoi ? Parce que pour moi, c’était valorisant de faire une erreur parce que ça signifiait que j’avais plus d’expérience. Et un homme intelligent apprend avec ses erreurs mais un homme encore plus intelligent apprend avec les erreurs des autres. 

Comment pensez-vous que ce procédé, l’apprentissage de l’échec pourrait être intégré au retour d’expérience (RETEX) ?

Le problème, c’est que l’échec c’est la honte. On n’a pas encore compris que non, c’était justement valorisant et que ça t’a apporté une part d’expérience. On ne va tout simplement pas assez sur le côté émotionnel. En France, le problème c’est que l’on fait surtout des debriefings quand on atteint notre objectif alors que c’est beaucoup plus constructif d’en faire lorsque l’on n’a pas atteint son objectif. Par ailleurs, la cohésion d’équipe est renforcée quand on partage des émotions fortes.  Ça m’a fait beaucoup réfléchir sur les échecs, parce qu’en gendarmerie traditionnelle, quand vous commettez une erreur, vous êtes sanctionné immédiatement. Or, le courage de dire ses erreurs devrait être récompensé car une sanction pourrait entraîner la répétition de l’erreur, qui ne sera même plus communiquée. Dans la gendarmerie, cela pourrait conduire à un accident très grave. 

Si nous devions retenir qu’une seule chose de notre entretien, qu’est ce que cela serait ?

Simplement, faites 3 bonnes actions par jour et vous verrez que le monde changera.  J’essaye de faire 3 bonnes actions par jour, alors c’est-à-dire que je vais aider 3 personnes tous les jours, alors c’est pas grand chose, c’est tenir une porte dans le métro, aider une personne parce que je vois qu’elle est en difficulté etc  Et je me dis, mince, si quelqu’un m’a vu peut-être que ça peut lui permettre demain de faire la même chose que moi et si 67 milliards de personnes faisaient 3 bonnes actions par jour, le monde changera. 



La science-fiction au service de la gestion de crise

En matière de gestion de crise, le scénario détient une place fondamentale. En effet, il est utilisé dans le cadre d’exercices de simulation de gestion de crise ainsi que dans la construction de scénarios d’évolutions défavorables.

Le scénario, faisant partie d’un processus créatif aux multiples possibilités, permet de tester divers paramètres et de faire jouer différentes parties prenantes dans de multiples contextes. Il doit être multidimensionnel. Le scénario donne également la liberté de choisir le niveau d’intensité de pression exercée et la difficulté de l’exercice. Cela dépend par exemple des blessés, des morts et/ou des surcrises jouées pendant l’exercice. Il doit néanmoins rester le plus réaliste possible. Pour cela, il est important de trouver la bonne balance entre l’inattendu, événements dont la probabilité d’occurrence est faible, et la réalité. Les scénarios se situent au croisement entre les certitudes et incertitudes, dans la limite du potentiel.  Le scénario se construit selon les besoins de l’entreprise et selon les capacités  à tester lors d’un exercice de simulation de gestion de crise. Pour ce faire, il doit être flexible et modulable selon les réflexes et réactions des membres de la cellule de crise. 

Par ailleurs, les objectifs du scénario sont multiples. Il s’agit principalement d’une volonté de tester la réactivité des membres de la cellule de crise dans un contexte particulier et d’en tirer les enseignements. Le scénario permet à la fois d’améliorer les réflexes et de conduire à une réflexion prospective. Ainsi, un exercice de simulation de gestion de crise doit nécessairement aboutir à un RETEX qui permet d’évaluer l’efficacité, les bonnes et mauvaises pratiques des membres de la CMC. Ce RETEX doit permettre une remise en question des procédés actuels et une amélioration de ceux-ci si nécessaire. L’utilisation de scénarios peut permettre l’émergence de réflexions sur la construction de certaines stratégies. Celles – ci aideront à développer une meilleure anticipation et une meilleure gestion en cas de crise. 

Comment concevoir ces scénarios ? Ce travail de scénarisation requiert une grande créativité qui doit tout de même être adaptée à l’actualité. Alors pourquoi ne pas combiner la science-fiction et la gestion de crise ? C’est ce qu’a mis en place la Red team, un collectif d’écrivains, auteurs et scénaristes fondé en 2019 par l’AID, la *EMA, la DGA et la DGRIS.  Au programme, on retrouve des figures de la science-fiction telles que : Laurent Genefort, Romain Lucazeau, DOA, Xavier Dorison, François Schuiten etc. Leur but est d’imaginer des menaces pouvant mettre en danger le pays. Leurs scénarios permettent d’anticiper les aspects technologiques, économiques, sociétaux et environnementaux qui pourraient avoir lieu entre 2030 et 2060. Ainsi, nous retrouvons des scénarios basés sur le réchauffement climatique, les conséquences du transhumanisme, la nation pirate, et les sources d’inspiration sont infinies et n’attendent qu’à être exploitées pour vos simulations !

En combinant le savoir-faire militaire, la science-fiction, la recherche scientifique et les arts, la rédaction de ces scénarios prend une tout autre mesure. Ils sont présentés via des dessins, des vidéos, des images 3D, faux articles etc. Ce nouveau procédé peut réellement changer le processus de simulation des scénarios en gestion de crise. Il permet de nourrir les réflexions stratégiques, opérationnelles, technologiques et organisationnelles des armées avec des éléments cohérents et réalistes. Se préparer au pire en anticipant les moindres risques, là est l’objectif de ces scénarios.

Afin de s’immerger dans l’univers militaire, ces écrivains habilités secret-défense ont visité des bases militaires pour s’imprégner de l’atmosphère, des codes et des usages Toutes les mesures ont été prises pour que les scénarios soient le plus réalistes possible.  Dans ce but, une équipe de militaires a été créée en parallèle : la Blue team. Cette équipe identifie également les vulnérabilités possibles en pensant une stratégie de défense  avec des audits de sécurité, analyse de logs etc et choisissent la thématique de la saison.

En plus d’apporter une dimension réelle aux scénarios, l’utilisation de la science-fiction permet de rendre ces simulations plus attrayantes.  Une seule question subsiste à présent, qu’attendez-vous pour faire tester vos scénarios de crise ? Fini le suspense, partez à l’aventure avec ces scénarios fictifs dont la créativité n’est jamais épuisée !

Retrouvez un des scénarios de la Red Team ici : https://redteamdefense.org/Livret_RedTeam_LesNouveauxPirates.pdf