L’oeil de l’expert

Cyberattaques, l’Italie renforce sa cyberdéfense

En Italie, l’heure de la cyber contre-attaque est arrivée. Suite à une augmentation de 246% l’année dernière le gouvernement Italien décide de muscler ses mesures pour protéger les intérêts nationaux de son écosystème numérique. Tour d’horizon des mesures italiennes, françaises et européennes pour faire face à la recrudescence de cyberattaques.

Italie :

2021, une année de rupture pour l’Italie

Ces dernières semaines, l’Italie a été confrontée à une recrudescence des cyberattaques, touchant aussi bien des entreprises que des institutions.

En mai, les hôpitaux de Rome et de Milan ont été attaqués. Le 3 août, tout le système informatique de la région du Latium, où se trouve Rome, a été piraté par un rançongiciel. De nombreux services ont été impactés comme celui des services délivrant le pass sanitaire, mais le plus important est celui en charge de la prise de rendez-vous pour la vaccination contre le Covid. Le 18 août 2021, c’est l’agence de santé de Toscane qui a été attaquée à son tour.

 

Le secteur de l’enseignement et de la recherche est aussi une cible privilégiée. En effet, l’entreprise israélienne de cybersécurité Check Point Software Technologies nous apprend qu’en juillet l’Italie a connu 5016 attaques hebdomadaires, derrière l’Inde mais devant Israël. L’attrait pour le secteur de l’enseignement est dû au fait qu’il est traditionnellement dépourvu de budgets en matière de cybersécurité.                                Check Point Software, a annoncé en août qu’au premier semestre 2021 le nombre de cyberattaques en Europe a augmenté de 36%. Et le nombre d’attaques au rançongiciel a augmenté de 93%.

Le secteur public n’est pas le seul visé. Ces derniers mois, plusieurs entreprises italiennes ont été victimes de hackers, notamment dans les secteurs du textile, de la mécanique de précision, de l’agroalimentaire ou encore des assurances. L’an dernier, de grandes entreprises transalpines telles que Campari, Enel ou encore Luxottica avaient été visées. Selon le dernier rapport IBM, le coût moyen d’une cyberattaque pour les entreprises italiennes a augmenté de 13,5 %, passant de 3,19 à 3,61 millions de dollars. Globalement, le coût annuel des cyberattaques s’élève à 7 milliards d’euros pour les entreprises de la Botte.

2021 : L’année du changement de politique cyber de l’Italie

De nombreuses prises de paroles dans les médias ont marquées ce changement de politique. L’une des premières est celle de Mario Draghi, lors d’un sommet spécial à Bruxelles en mai.  A cette occasion, il avait souligné la nécessité de renforcer la cybersécurité aux niveaux européen et national, en particulier face à la Russie. Sa décision est motivée par le besoin de renforcer la cybersécurité nationale et européenne, face à la résurgence d’interférence géopolitique. Il dénonçait alors l’espionnage et la manipulation du web par la Russie. Cette sortie concernant la Russie faisait suite à une attaque au rançongiciel par des russes qui a forcé la fermeture d’un des plus grands oléoduc des États-Unis.

Au niveau national, le Ministre pour l’Innovation technologique et la Transition numérique, Vittorio Colao, a déclaré en juillet que plus de 90% des serveurs de l’administration italienne ne sont pas sécurisés. Pour le directeur de l’association italienne pour les infrastructures critiques, il s’agit surtout d’un problème budgétaire, en effet l’administration italienne dispose de nombreux outils et infrastructures numériques dépassés.

A la mi-juin, le ministre Colao a déclaré la nécessité de se doter en urgence d’un «bouclier anti-hacker ». En effet, toujours selon le ministre de l’Innovation technologique, « 95 % des 11.000 serveurs de l’administration sont obsolètes, tandis que 84 % des 4,5 millions de PME-PMI ne pourraient pas faire face à une cyberattaque». C’est ainsi qu’a été annoncé le lancement d’un Pôle stratégique national pour le rendre effectif d’ici à mi-2022. L’objectif sera d’assurer l’offre de cloud de l’Administration publique ainsi que les données les plus sensibles de 180 organismes publics.

Création de l’ANSSI à l’Italienne

La création d’une agence gouvernementale spécialisée en cybersécurité devenait critique. Ainsi, le 10 juin 2021, le Conseil des ministres Italien a annoncé la création de l’Agence nationale de cybersécurité (ACN) pour lutter contre la multiplication des attaques informatiques et être en mesure de faire face à des cyberattaques étrangères, notamment russe. Cette agence aura différentes missions comme : la protection des intérêts nationaux et la résilience des services et fonctions essentielles de l’État face aux menaces cyber, l’accroissement de la sécurité des systèmes d’information et de communication , et le développement de compétences industrielles, technologiques et scientifiques dans le domaine de la cybersécurité. Avant la création de cette agence, en Italie de nombreux services de cybersécurité coexistaient et étaient placés sous différentes autorités, soit du président du Conseil, soit du Premier ministre. Fusionner ces services va permettre d’accroître l’efficacité de la réponse cyber italienne.

Aujourd’hui, sous l’autorité du Premier ministre, l’ACN dispose pour le moment de 300 employés. Au cours de la période 2021-2027, elle disposera d’un budget de 529 millions d’euros et vise l’embauche de 1 000 professionnels de la cybersécurité sur la période.

France :

Que s’est-il passé en France ces derniers mois, y-a-t-il une différence ?

La France aussi est touchée par de nombreuses cyberattaques.                                                                            France Visa                                                                                                                                                                       L’une des dernières est celle du 10 août, concernant la plateforme France-visa, dédiée aux étrangers demandant un visa pour la France. Ainsi les données personnelles (emails, noms, prénoms, numéro de passeport, date de naissance, nationalité) de 8700 personnes, ont pu être dérobées. Le site reçoit plus de 1,5 million de demandes de visas en moyenne par mois, selon la Cnil. L’attaque informatique a pu être « rapidement maîtrisée », assure le ministère, qui explique avoir pris des mesures conjointement avec le ministère de l’Europe et des Affaires étrangères « pour sécuriser la plateforme » et éviter que « des événements de ce type se reproduisent ».

APHP

 

La dernière fuite de cybersécurité majeure a été révélée le 15 septembre 2021. On a alors appris que l’Assistance Publique-Hôpitaux de Paris (AP-HP) a été victime d’une cyberattaque de grande ampleur à l’été 2020. Les données personnelles d’environ 1,4 million de personnes, qui ont effectué un test de dépistage du Covid-19 en Île-de-France ont été retrouvées sur un serveur en Nouvelle-Zélande, sans savoir si et combien de personnes ont pu y avoir accès. Les données volées sont sensibles et précieuses pour les hackers, ces derniers ayant obtenus l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, ainsi que l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. L’institution reconnaît que « le vol pourrait être lié à une récente faille de sécurité de l’outil numérique » qu’elle utilise pour le partage de fichiers, selon les premières investigations. Finalement, un étudiant français de 22 ans a reconnu être l’auteur du vol massif de données après son interpellation dans le Var par la police.  Anti-passe sanitaire, il déclare avoir agi pour « mettre un coup de pied dans le système ».

Plus récemment, en août, le centre hospitalier de Arles a été victime d’un rançongiciel. Les professionnels de santé ont perdu l’accès aux antécédents des patients et le logiciel des ressources humaines, utilisé notamment pour la paie. En février 2021, le secrétaire d’Etat chargé du numérique, Cédric O a déclaré qu’une cyberattaque contre des hôpitaux a lieu chaque semaine depuis janvier.

Les plans du gouvernement français pour renforcer la cybersécurité

En 2017, le gouvernement d’Édouard Philippe a lancé le programme Action Publique 2022. Ce programme vise à repenser le modèle de l’action publique au regard de la révolution numérique qui redéfinit les contours de la société française. A ce titre, il décide de lancer le site cybermalveillance.gouv en 2017, le but étant d’aider les petites entreprises victimes d’actes de cyber malveillance car l’ANSSI s’occupe principalement des grandes entreprises, des institutions et des établissements de santé. Restreint à son lancement au Nord de la France, le site est déployé au niveau national. Le site permet, outre l’accès rapide à des informations simples pour particuliers et entreprises, la mise en relation des visiteurs-victimes avec un spécialiste en cybersécurité de la région où l’on se trouve. L’un des espoirs du gouvernement est de participer au développement d’un tissu industriel français et européen de confiance.

Avec le plan de relance le gouvernement a décidé de délivrer un plan de dotation envers le milieu de la cybersécurité. Ce dernier est composé de plusieurs volets : recherche et développement, renforcement de la filière, soutien à la demande.                                                                                                                                             En matière de R&D, 500 millions d’euros seront consacrés à financer une offre technologique de pointe dans le secteur de la sécurité. L’objectif pour l’Élysée est de favoriser le développement d’une filière cybersécurité française et de viser un chiffre d’affaires global de la filière à 25 milliards d’euros en 2025 et doubler le nombre d’emplois de la filière.  Sur le renforcement de la filière, 148 millions d’euros vont servir à financer le projet de campus cyber. Sur le soutien à la demande, 136 millions d’euros seront alloués à l’ANSSI au travers du plan de relance. Avec l’augmentation de son budget, l’Agence va aider les collectivités à auditer leur sécurité informatique et opérer une mise à niveau de ce dernier.

Dans son rapport 2021, l’ANSSI nous éclaire sur les évolutions des cyberattaques en France. Ainsi, par rapport à 2019, il y a eu deux fois plus d’attaques en 2020, tandis que l’utilisation des rançongiciels a été multipliée par quatre. Un quart des entreprises font le mauvais choix de payer la rançon de 130 000 euros en moyenne. Les principales cibles sont les collectivités territoriales, les établissements de santé et les entreprises industrielles.

Réaction de l’ANSSI et de Guillaume Poupard à l’occasion du FIC 2021

 

Lors du Forum International de la Cybersécurité (FIC) 2021, Guillaume Poupard, le directeur de l’ANSSI a abordé le rôle de l’ANSSI et de la France dans la présidence du Conseil de l’Union européenne en 2022. Il a annoncé l’espoir de bâtir un vrai cloud souverain, le but étant d’échapper aux règles extraterritoriales des pays tiers, notamment les États-Unis et le Cloud Act. Pour G. Poupard, les services tels que les soins de santé et les services financiers devraient seulement être soumis au droit européen. Dans cet esprit, il a déclaré travailler avec Olivier Véran pour rapatrier le Heath Data Hub (HDH) sur des plateformes françaises ou européennes, suite à l’annulation du Privacy Shield en juillet 2020.

En effet, en vertu d’une loi américaine connue sous le nom de CLOUD Act, les entreprises américaines sont tenues de fournir des données étrangères aux autorités américaines si elles le leur demandent. La volonté de M. Poupard est d’exclure les services américains et chinois de cloud dans les secteurs critiques en Europe.

La vision de M. Poupard sur la cybersécurité du cloud européen « sera un véritable test, un véritable objectif pour la volonté politique de parvenir à une autonomie stratégique dans le domaine numérique ».

Plan de relance pour la cybersécurité

La volonté d’une “autonomie stratégique” européenne passe par le fait de devenir moins dépendants des services en nuage américains. L’’idée que l’Europe doit garder le contrôle de la politique technologique est dûe à la crainte de l’espionnage et de la surveillance des États-Unis.

En matière de cybersécurité, l’Italie a pour habitude de suivre les directives et recommandations de l’UE et de l’Otan pour sa cybersécurité. De plus, dans le cadre du plan de relance européen, avec son Plan National de Rétablissement et de Résilience, l’Italie compte investir largement dans sa cybersécurité. Ainsi, sur une enveloppe de 261 milliards d’euros, la numérisation, l’innovation et la sécurité de l’administration publique se verront allouées 11,15 Mds d’euros. L’achat de matériel et de logiciels plus récents et plus performants contribuera à contrecarrer les plans des cyber attaquants.

Pour la France, l’année 2022 sera cruciale à l’échelon européen. En effet, elle sera à la présidence de l’Union européenne et compte agir pour améliorer la coordination européenne en matière de cybersécurité, notamment en organisant une conférence sur la défense en début d’année, puis en travaillant sur une évolution de la directive Network Information System (NIS). La France veut aller plus loin sur ce paquet cyber qui assure un niveau de sécurité commun pour les réseaux et les systèmes d’information de l’Union européenne.

La volonté de protéger le cyberespace français est aussi dans l’agenda de la présidente de la Commission européenne. Lors de son discours sur l’état de l’Union, elle a déclaré le numérique comme un enjeu décisif du marché unique. A ce titre, 20% du plan de relance européen concerne le numérique, dans le but d’investir dans la souveraineté technologique européenne. Il s’agit d’une énième tentative de l’Union européenne pour faire émerger des concurrents aux GAFAM américains et aux BATHX chinois. Pour le moment, le seul levier d’influence de l’Europe est l’action législative, avec l’application extraterritoriale du RGPD depuis 2018. En ce sens, les débats en cours autour du Digital Services Act (DSA) et du Digital Markets Act (DMA) ont pour but d’étendre la régulation des plateformes comme les GAFAM.

 

L’Oeil de l’expert : Retour sur les accidents majeurs du secteur pétrolier cet été : une communication de crise à géométrie variable !

L’Oeil de l’Expert pour cette rentrée 2021 s’intéresse à la communication de crise de deux compagnies pétrolières victime d’accident plus ou moins grave. Aussi, l’Oeil de l’Expert s’organise de la manière suivante. D’abord une présentation chronologique et illustrée des événements, puis les antécédents et le contexte de l’analyse et enfin l’analyse de la communication de crise de chacun des incidents. L’œil de l’expert débute son analyse sur l’incident “oeil de feu” de la Petróleos Mexicanos au Mexique, puis enchaîne sur l’incident de Petromidia en Roumanie.

Petróleos Mexicanos (PEMEX), MEXIQUE

2 incidents de grande ampleur à environ 1 mois d’intervalle 

Créée en 1938, Pemex ou Petróleos Mexicanos est une entreprise semi-publique mexicaine chargée de l’exploitation du pétrole. La société est la septième compagnie pétrolière dans le monde faisant du Mexique le sixième producteur de pétrole brut, avec plus de 3 millions de barils jour.

Chronologie des incidents de juillet – août 2021 :

1er incident 2021 : l’oeil de feu

Dans la nuit de vendredi 2 juillet 2021 à 5h15 heure locale au sud du Golfe du Mexique à l’ouest de la péninsule du Yucatan une fuite a lieu sur un pipeline sous-marin en eau peu profonde. Ce pipeline se connecte à une plate-forme exploitée par la Petroleos Mexicanos (Pemex) avec son son site phare de Ku Maloob Zaap (plus grand site de production) : ici la vidéo de l’incendie capturée par un hélicoptère à proximité. 

Vendredi 2 juillet vers 10h30 la Pemex indique que la fuite de gaz est maîtrisée et l’oléoduc colmaté. L’incendie a été largement partagé sur les réseaux sociaux, jusqu’à se faire nommer par les internautes « œil de feu”.

Le 02 juillet 2021 le journaliste mexicain Manuel Lopez San Martin et CNN partagent des tweets sur l’incident.

Dans la journée du 2 juillet 2021, d’une part, Angel Carrizales, chef du régulateur mexicain de la sécurité pétrolière ASEA a informé sur Twitter que l’incident « n’a occasionné aucun déversement » sans expliquer ce qui brûlait sur l’eau. D’autre part, Pemex a affirmé mener une enquête sur les causes de cet incident tout en informant qu’aucun blessé n’était à déplorer.

Les groupes environnementaux comme GreenPeace Mexique et Greta Thunberg se sont saisis du sujet. D’autres groupes environnementaux ne sont pas convaincus de cette explication et exigent que Pemex s’engage à réaliser une « étude détaillée de l’impact causé par l’incendie ».

Le lundi 5 et mardi 6 juillet 2021, soit 3 et 4 jours après l’incident, Pemex prend la parole à travers un communiqué de presse publié sur son site internet affirmant que les « mesures immédiates » prises pour maîtriser l’incendie ont permis d’éviter des dommages  environnementaux.

2ème incident 2021 : Salina Cruz

Le samedi 07/08/2021 à 00h30, un incendie suivi d’une explosion s’est déclaré dans l’usine primaire II de la raffinerie de la Pemex, basée à Salina Cruz. La zone de l’incident est située à côté d’un espace stockant 500 000 barils de pétrole brut, ce qui a provoqué l’anxiété dans la ville de Salina Cruz.

Cet accident survient 4 jours après que Pemex ait vanté sur ses réseaux sociaux le programme de modernisation de l’usine et célébré le 42ème anniversaire de l’usine à Salina Cruz.

Dans la journée du 7 août 2021, la Protection Civile Mexicaine a informé sur son compte Twitter qu’elle avait maîtrisé l’incendie jusqu’à samedi matin. Pemex ne fait aucune déclaration publique sur l’incendie.

Antécédents Pemex :

En 1979, l’entreprise est à l’origine de la plus grande marée noire de l’histoire. Depuis plus de 50 ans, l’histoire de Pemex est émaillée de catastrophes aux lourds bilans humains et environnementaux. L’entreprise serait considérée comme la plus polluante d’Amérique latine selon le centre d’étude Business & Human Rights en contribuant à 1,67% des émissions totales de gaz à effet de serre dans le monde. En novembre 1984 ont lieu les explosions de San Juan Ixhuatepec : une série d’explosions de gaz de pétrole liquéfié (GPL) dans un dépôt tuant plus de 500 personnes et faisant environ 2 000 blessés.

  • Mai 2013, un dépôt de gaz explose à Ecatepec de Morelos.
  • Juin 2017, après une inondation, une explosion se produit à la Bomb House, faisant un mort et plus de 12 blessés parmi les pompiers. La raffinerie a été hors service pendant plusieurs semaines. 
  • Janvier 2019, une explosion de l’oléoduc de Tlahuelilpan fait plus de 100 morts. Cette explosion a eu lieu plusieurs heures après que la compagnie se soit rendue compte de la fuite. L’entreprise demande à l’armée de ne pas intervenir alors que des habitants ont siphonné du carburant.
  • Juillet 2020, l’entreprise est au coeur d’un scandale anti-corruption contre son ex-dirigeant Emilio Lozoya qui a accusé  les ex-présidents Enrique Peña Nieto (2012-2018), Felipe Calderon (2006-2012), Carlos Salinas (1988-1994), et d’autres hauts responsables et reconnu être impliqué dans une affaire de corruption avec le géant brésilien du BTP Odebrecht.

Contexte : 

La vidéo de l’incident a suscité l’indignation de groupes environnementaux et de personnalités publiques qui ont soulevé des questions sur l’impact des projets de forage en mer. Par exemple, Greenpeace Mexique a déclaré que l’incendie illustre des « risques graves » que le modèle mexicain de combustibles fossiles fait peser sur l’environnement et les populations. Après avoir fêté les 42 années d’exploitations de l’usine primaire II de Salina Cruz et avoir communiqué sur les programmes de mise à jour et d’amélioration de la production du site pétrolier, le nouvel incident dans cette même raffinerie a rappelé le risque permanent qui envahit la ville. Cet incident a cristallisé l’inquiétude des populations locales au sujet de la bonne gestion du site et de sa montée en puissance de production, car le président mexicain Andrés Manuel Lopez Obrador a vanté le pétrole comme la meilleure affaire du monde et a fait pression pour étendre le forage en mer. Le gouvernement fédéral mène des actions ayant pour objectif d’augmenter la production, de traiter plus de pétrole brut afin d’atteindre une autosuffisance dans la production d’essence, de diesel et d’autres produits pétroliers.

La gestion et la communication de crise de Pemex :

Pour la Pemex, comme ses homologues européennes (ex. Total, Petromidia), chinoises (ex. CNPC) ou anglo-saxonnes (ex. BP), la gestion et la communication de crise sont quasi-permanentes du fait de l’activité à fort impact environnemental et sociétal de l’exploitation de minerais et de pétrole. Néanmoins, l’entreprise se présente comme une étude de cas à part entière de par ses antécédents colossaux en termes d’impact social et environnemental et par la singularité de sa gestion et communication de crise.

En effet, bien que la Pemex enchaîne les incidents industriels, celle-ci n’entreprend pas d’actions pour clarifier les évènements et améliorer sa communication auprès de ses parties prenantes. Cette absence d’actions peut être considérée comme source d’erreurs et de manque de préparation de la part de l’entreprise, en témoignent certaines communications de l’entreprise contradictoires, secrètes, sans empathie et tardives par rapport aux événements.

Premièrement, le communiqué de presse du 05/07/2021 au sujet de l’incident “oeil de feu” annonce que l’incendie n’a causé aucun dommage environnemental, alors même que “le gaz à l’extérieur du tuyaux a migré des fonds marins vers la surface (…)” et que l’incendie a été contenu en projetant de l’azote sur les flammes pour éteindre l’incendie.

De plus, avant l’incident de Salina Cruz et toujours après que l’entreprise a vanté son programme d’amélioration pour augmenter la production de pétrole, le 5 août deux fuites d’hydrocarbures ont été enregistrées à proximité des communautés Emiliano Zapata et El Escolín, où la parcelle d’un individu a été contaminée. Les dommages environnementaux sont encore non évalués par la Pemex. 

Deuxièmement, le manque d’empathie des différents communiqués est surprenant du fait de l’effet extraordinaire de l’incident : une forme de “lave en fusion” boue à la surface de l’océan à proximité d’une plateforme pétrolière ; une explosion couplée d’un incendie après plusieurs fuite de gaz. La communication ne mentionne pas d’intérêt pour les salariés sur la plateforme et n’informe pas sur les potentielles victimes. Un manque d’empathie qui tourne à la faute pour une entreprise qui est régulièrement au cœur de crises industrielles ayant coûté la vie à des hommes et des femmes.

Troisièmement, bien qu’aucune victime ne soit à déplorer lors de l’incident de l’œil de feu, l’entreprise communique tardivement sur cet incident et laisse passer 4 à 5 jours sans information. Au sujet de l’incident à Salina Cruz, l’entreprise cultive un secret particulier sur la “bonne” gestion de ses activités et une désinformation grandissante. En effet, la Pemex ne mentionne aucune reprise d’activité officielle de sa raffinerie. Le 8 août 2021, soit environ 24 heures après la déclaration de l’incident, Pemex n’a encore fait aucune déclaration publique sur l’incendie. 

Alors que le rapport du Groupe d’experts intergouvernemental sur l’évolution du climat (GIEC) confirme que l’activité humaine réchauffe la planète, que la fréquence et la gravité des événements climatiques extrêmes augmentent et que l’humanité se rapproche des points de basculements, l’absence de considération pour l’environnement et le climat sont des fautes juridiques et sociales pour les experts du droit comme pour les citoyens. Aussi, la principale faute de la Pemex est de continuer à justifier la rénovation de ses installations pour augmenter sa production plutôt que justifier ses améliorations pour l’environnement et la sécurité des habitants. Alors que des explications et des mesures de sécurité et environnementales sont attendues, la Pemex échoue dans la gestion de sa communication de crise en continuant de garder le secret et en publiant comme par exemple en publiant des annonces “hors-sujet Salina Cruz” sur son compte Twitter.  

De plus, malgré l’enchaînement d’incidents environnementaux et sociaux et la médiatisation de l’événement “oeil de feu” sur les réseaux sociaux et au sein des cercles écologiques mondiaux, l’entreprise publie ses résultats financiers augmentant, confirmant alors son manque d’intérêt pour les sujets de transition de écologique et sécuritaire exposés plus en amont.

À l’image de celui de Lubrizol en France, le casier médiatique de la Pemex est lui aussi “criblé” d’articles de presse relayant les images de « l’œil de feu” et d’autres incidents industriels.

Petromidia ROUMANIE

1 accident aux conséquences lourdes

La marque Rompetrol Rafinare est détenue par KMG International (54,63 % ; directement et indirectement) et par l’État roumain à travers le ministère de l’Énergie (44,69 %). KMG International est un groupe détenu par KazMunayGas, la compagnie pétrolière et gazière nationale du Kazakhstan.

Chronologie :

Le vendredi 2 juillet 2021 une explosion s’est produite à la raffinerie Petromidia de Năvodari. L’entreprise communique à 12h35 sur l’incident et informe maîtriser la situation.

À 13h15, un hélicoptère a été envoyé sur zone. Le porte-parole de l’ISU Dobrogea a déclaré : « la situation est sous contrôle, les quartiers ne sont pas en danger. L’installation où l’explosion s’est produite est la zone à plus haut risque ».

À 14h03, l’entreprise publie sur Facebook un premier compte-rendu de situation et annonce les blessés et la mort d’une personne. L’entreprise modifie son mur facebook en hommage au défunt.

À 14h05, le Premier ministre Florin Cîțu a déclaré, dans un message sur Facebook, avoir demandé au secrétaire d’État Raed Arafat et au chef de l’Inspection générale des situations d’urgences, Dan Iamandi, de se rendre sur les lieux pour coordonner personnellement l’intervention et sauver les personnes prises dans l’explosion.

À 14h10, l’Administration météorologique nationale a envoyé une information sur l’évolution de la trajectoire vers la mer du nuage de fumée dans la zone de la raffinerie de Midia, entre 13h00 et 23h00. 

À 14h15, le cours de l’action de Rompetrol Rafinare dévisse de 0,98% par rapport à son cours d’ouverture, selon les données de la Bourse de Bucarest.

À 14h25, un porte-parole de l’Inspection des situations d’urgence a déclaré que 5 personnes avaient été blessées, une était portée disparue que 50 pompiers étaient présents sur le site.

À 14h50, le préfet du comté de Constanța, Silviu Coșa, a déclaré que la personne portée disparue avait été retrouvée morte carbonisée. Le préfet communique également sur la situation de l’incendie et informe que le feu était à sa pleine puissance entre 12h00 et 12h30 et que suite à l’analyse environnementale par le laboratoire environnemental mobile sur site il n’y a pas lieu de s’inquiéter.

À 15h05, la société propriétaire de Rompetrol Rafinare KMG International informe que des salariés sont blessés et une personne décédée. Le groupe a aussi déclaré que l’incendie avait été isolé et stabilisé. 

À 15:20, les procureurs ouvrent une enquête. Les autorités affirment que les relevés de valeurs limites n’étaient pas dépassés dans les zones peuplées proches de la raffinerie, à savoir la ville de Năvodari, la commune de Corbu et les stations touristiques de la zone voisine.

Entre 15h30 et 15h45, l’entreprise partage la déclaration du directeur général, Felix Crudu Teslovanu sur la situation et publie un deuxième compte-rendu de la situation.

À 15h30, le ministre de l’Intérieur, Lucian Bode, a annoncé qu’aux alentours de 15h00, l’incendie était éteint. Le commandant de l’opération a annoncé que le premier appel a été enregistré à 12h16 et que plus de 100 pompiers et ambulanciers ont agi à la raffinerie de Petromidia.

À 18h23, l’entreprise publie son troisième compte-rendu sur la maîtrise de l’incendie et la gestion des victimes.

À 19:30, Rompetrol Rafinare annonce que l’incendie a été éteint sur la plate-forme Petromidia et il n’y a pas d’autres risques.

Le samedi 3 juillet 2021 à 12h27, l’entreprise publie son quatrième compte-rendu toujours sur son compte Facebook. Le compte-rendu informe clairement l’état de santé des victimes

Le dimanche 4 juillet 2021 à 11h16, Rompetrol publie son cinquième compte-rendu de situation et annonce officiellement que l’ensemble des coûts sera pris en charge par l’entreprise.

Le lundi 5 juillet 2021 à 12h13, soit 3 jours après l’incident, Rompetrol publie son sixième et dernier compte-rendu de situation dans lequel l’entreprise donne les dernières informations sur l’état de santé du personnel hospitalisé, remercie les autorités de leur soutien dans la gestion de la crise et réaffirme son soutien aux familles des victimes.

Le 13 juillet 2021, soit 11 jours après l’incident, l’entreprise publie sur son compte Facebook un message annonçant le décès d’un des blessés envoyés en Allemagne et informe que l’autre blessé est dans un état stable.

Le 19 juillet 2021, l’autorité environnementale de Constanta a annoncé qu’une amende de 50 000 lei (10167,74 euros) avait été infligée à la raffinerie de Petromidia pour la mort de trois hommes, l’un sur place et les deux autres dans une clinique en Allemagne.

Antécédents Petromidia :

Selon des médias roumains, des anciens salariés et des salariés de Petromidia, l’entreprise a déjà quelques antécédents d’incidents sur le site de la raffinerie. 

Contexte : 

Une explosion s’est produite vendredi 2 juillet 2021 dans la raffinerie Petromidia de Năvodari. Le bilan de l’incident est lourd, on compte 3 morts et 2 blessés graves, malgré un transfert sanitaire en Allemagne. Les blessés ont été transportés en hélicoptère à Floreasca Hôpital de Bucarest. Les habitants des localités voisines ont reçu des directives de prévention,rester chez eux et ne pas ouvrir les fenêtres. Les processus opérationnels dans la raffinerie ont été arrêtés pendant l’intervention. La cause de l’explosion aurait pu être un tuyau fissuré dans l’usine d’hydroraffinage. Il s’agit d’un incident qui survient peu après l’achèvement des travaux de maintenance. Selon Petromidia, une analyse de l’impact sur les procédés technologiques sera réalisée afin d’obtenir une vision plus claire et prévisible en termes de redémarrage des installations. Petromidia a été condamnée à payer une amende de 100 000 lei (20 335,47 euros) dû au fait que l’entreprise n’a entrepris aucune mesure pour empêcher la pollution lors des actions de révision et de nettoyage des installations et pour la mort de 3 salariés de la raffinerie.

Bien que les entrepôts de la raffinerie n’aient pas été touchés par l’incendie, les stocks sont disponibles et il n’y a pas eu de choc d’approvisionnement, les actions Rompetrol Rafinare ont dévissé en bourse. Vers midi, la baisse était d’environ 10%, avec des volumes de transactions importants et inhabituels pour cet actif. 

La gestion et la communication de crise de Petromidia :


Sur le plan de la communication de crise, l’entreprise Petromidia semble faire preuve de préparation et de maîtrise. L’entreprise prend rapidement la parole sur son compte Facebook lorsque l’incident se produit. L’entreprise présente (1) les faits, (2) les actions prises, (3) son engagement à donner plus d’information dès que possible, et (4) va même jusqu’à remercier la réactivité des autorités, puisque Petromidia est aussi à 44,69% une entreprise publique. Dans un compte rendu suivant (cf. compte rendu n°5), l’entreprise annonce son engagement à payer les frais hospitaliers. L’entreprise officialise également sa prise d’intérêt dans la gestion de l’incident avec la prise de parole d’une de leurs porte-paroles sur la chaîne nationale roumaine.

Dans les comptes-rendus suivants et lorsque l’entreprise apprend que l’incident a causé des dégâts sur ses employés dont 2 blessés et 3 morts, celle-ci rappelle (1) sa priorité de protéger la vie et la sécurité de ses employés, puis fait (2) preuve d’empathie en commençant systématiquement ses communiqués en donnant de nouvelles informations sur l’état de santé des blessés et en exprimant son soutien aux familles. Enfin, l’entreprise rappelle (3) et (4) les actions prises et en cours d’exécution et exprime ses remerciements envers les autorités elles aussi touchées par l’incident. Le 13 juillet 2021, soit 11 jours après l’incident, l’entreprise annonce le décès, présente les circonstances de la mort, exprime son soutien à la famille et partage l’état de santé de l’autre blessé.

Dans l’ensemble, l’entreprise prouve à ses parties prenantes internes et externes sa capacité à répondre à une crise et à ses conséquences à travers une gestion des victimes efficace : messages empathiques, blessés rapatriés dans des hôpitaux et frais d’hospitalisation pris en charge. À cela, l’entreprise expose aussi publiquement les relations qu’elle entretient avec les services et autorités publiques, un élément structurant dans la gestion des victimes. Néanmoins, peut-être par souci protection de la vie privée, l’entreprise ne communique pas davantage d’informations sur leur employé décédé. On apprend donc dans un journal local (stirilekanald.ro) que l’homme décédé dans l’incendie avait 32 ans et était père d’une petite fille de 2 ans. De plus, la fille d’une des blessés a entrepris des démarches pour transférer son père dans un hôpital étranger afin d’y recevoir des soins. Petromidia et les autorités roumaines ne se sont pas opposés à la demande et l’entreprise confirme officiellement ce transfert dans un hôpital étranger à travers un communiqué. De plus, on notera qu’aucune cellule psychologique ni aucune procédure de suivi destinée à soutenir et suivre les employés ne semble avoir été mise en place.

Néanmoins toujours dans la dimension de gestion des parties prenantes, l’entreprise semble omettre les populations locales. En effet, face à l’impact environnemental de l’incident, l’entreprise annonce, à partir des données des autorités environnementales, que les seuils de pollution n’avaient pas été dépassés

Alors même que les populations locales ont reçu des messages d’alerte et des instructions de confinement des autorités dû au nuage toxique survolant la zone de la raffinerie. De plus, le ministre de l’Environnement a même déclaré que l’impact environnemental pourrait être majeur. Une incohérence qui décrédibilise la qualité de la communication de crise de Petromidia, jusqu’ici bien menée.

Bien que l’entreprise ne s’exprime pas sur les causes de l’incendie et annonce qu’une enquête est en cours pour les déterminer, le 2 juillet sur le site d’information Digi24, un professeur de l’université pétrole-gaz de Ploiești et expert en génie chimique, catalyse et synthèse de matériaux suggère quelles seraient les causes, les scénarios et les conséquences du nuage toxique : « Le nuage de fumée n’est pas le nuage de gaz qui a explosé. Le nuage de fumée résulte de la combustion du produit pétrolier qui existait dans l’installation à ce moment-là. Sa toxicité est similaire à celle des gaz d’échappement des moteurs diesel et des turbomoteurs d’aviation. »

Suite à la mort du jeune homme de 32 ans, un groupe de plus de 200 collègues et anciens collègues accusent le manque de révision et de modernisation de la raffinerie, de valoir leurs droits ainsi que de faire corriger des irrégularités dans l’activité de Petromidia. Interviewés par les médias nationaux G4Media et Info Sud-Est, les salariés et anciens salariés ont témoigné sur les problèmes de fonctionnement de la raffinerie et du refus de correction de la part de la direction. Les deux médias ont soumis à Rompetrol les accusations portées par les employés et ont demandé si cela réfutait ou confirmait les problèmes signalés et leurs commentaires sur la situation exposée par les collègues des victimes de l’explosion mais l’entreprise n’a pas souhaité répondre aux médias.

Sur le plan de l’image et de la représentation, les images de l’incident ont rapidement fait le tour d’Internet. Des touristes sur les plages voisines de la zone de la raffinerie ont pris des vidéos du nuage. Le 22 juillet, trois explosions successives dans la baie de Capul Midia (à 2,7 km de la raffinerie de Petromidia de Năvodari) ont créé un vent de panique chez les touristes, tout en ravivant l’événement du 2 juillet.

La Société Nationale de Contrôle des Chaudières, des Installations de Levage et des Appareils à Pression a approuvé la remise en service de la raffinerie, bien que l’enquête sur les causes de l’explosion du 2 juillet se poursuive. En plus de l’amende de 50 000 lei pour la mort de 3 employés, Petromidia a été condamnée à une autre amende de 50 000 lei pour le manque de mesure anti-pollution lors des actions de révision et de nettoyage des installations : soit un total 100 000 lei (20 335,47 euros).

2 entreprises, un même secteur, deux manières de gérer et communiquer sur la crise :

Petroleos du Mexique et Rompetrol Rafinare sont des entreprises similaires sur les plans de leur structure, car toutes deux détenues en partie par l’État ; de leur activité, car toutes deux exploite ou raffine du pétrole. Néanmoins, l’une se distingue par une meilleure maîtrise de sa communication de crise et par un facteur géographique et émotionnel différent. En effet, du point de vue émotionnel, alors que ces deux entreprises sont touchées par un incident d’une gravité différente : 3 victimes chez Petromidia contre 0 victime à la Pemex, il semble que l’effet “bluffant” de l’œil de feu en pleine mer a davantage attiré les internautes, les médias internationaux et les militants écologistes, que le nuage toxique de Petromidia.

L’incident de Petromidia a, quant à lui, eu un impact plus local dû à la proximité géographique de l’incendie avec des parties prenantes externes de l’entreprises comme les autorités locales et nationales ainsi que les populations (riverains et touristes). Dans ce sens, la capacité de gestion et de communication de crise de Petromidia a été plus observée que celle de la Pemex. En effet, en situation de crise, chacune des parties prenantes est en attente d’une réponse de crise opérationnelle de la part de l’entreprise. Les modes et les canaux de communication diffèrent donc en fonction de la partie prenante. Bien que, Petromidia utilise principalement sa page Facebook, l’entreprise donne des interviews sur des chaînes télévisées nationales. De plus, l’incident a eu lieu à proximité de zones touristiques, donc contrairement à la distance géographique de l’œil de feu, les populations roumaines ont réagi d’elles-mêmes sur les réseaux sociaux. 

Sur le plan de la communication de crise et contrairement à la Pemex, à partir du 2 juillet 2021 date de l’incident, Petromidia fait preuve d’une bonne capacité de réponse de crise. L’entreprise publie un message (cf. compte-rendu n°1) d’attente en début de crise de bonne qualité et reprenant les attributs nécessaires à une bonne communication : faits, actions, compassion, engagement et transparence (FACET). La principale erreur de communication apparaît une fois que l’entreprise réceptionne l’information d’une présence de blessés et de la disparition d’un employé, celle-ci publie un message d’attente. En effet, ce message reprend la structure de son précédent message et ne commence donc pas avec un mot pour les victimes de l’incident (cf. compte-rendu n°1). Avec cette capacité de réponse de crise, Petromidia symbolise son attitude vis-à-vis de ses parties prenantes face à la situation. Une communication qu’on ne retrouve pas chez son homologue mexicain ni pour l’événement oeil de feu ni lors de l’incident de la raffinerie de Salina Cruz. En effet, la Pemex fait l’erreur de continuer à communiquer sur d’autres sujets (ex. se féliciter des résultats financiers trimestriels 2021) que celui de l’incendie, ce qui témoigne du manque d’intérêt et de priorité de l’entreprise vis-à-vis de la situation et de ses conséquences.

Bien que les plans de continuité d’activité semblent être maîtrisés par ces entreprises, celles-ci et particulièrement la Pemex, doivent développer un réel intérêt pour la gestion de crise qui s’intéresse à l’humain aux cœurs de leurs opérations. Savoir anticiper et gérer les crises requièrent des compétences techniques et humaines pour pérenniser et transformer l’activité de l’entreprise. 
Enfin, bien que ces deux entreprises se distinguent par leur maîtrise de la gestion et communication de crise, la Pemex se diffère nettement sur le plan judiciaire et de gouvernance d’entreprise. En effet, alors que la Petromidia est sanctionnée financièrement par les autorités roumaines ; la Pemex ne semble pas inquiétée par les autorités mexicaines. Déjà à l’origine de la plus importante marée noire de l’histoire en 1979 et responsable de diverses catastrophes industrielles et humaines, l’entreprise mexicaine continue d’être au cœur des jeux politiques et stratégiques du Mexique. De fait, le manque de maîtrise de gestion et de communication de crise peut être dû à cet effet « d’immunité gouvernementale » dont profite l’entreprise. En effet, comme le présente Isabelle Rousseau dans un papier pour le Centre d’études et de recherches internationales de l’IEP de Paris “l’ensemble des institutions, des comportements et des pratiques caractérisant l’industrie pétrolière mexicaine [sont] en symbiose avec les buts assignés à Pemex […]”. Autrement dit, la Pemex est un outil économique et politique utile au gouvernement mexicain.

Blocage du canal de Suez – Ever Given

Conséquences du blocage du canal de Suez à court et long terme, ou comment la pluralité de la compétence juridique a rendu la gestion de cette crise particulière.

Contexte :

Dans la nuit du 23 au 24 Mars 2021, le canal de Suez a été bloqué par le porte conteneur « Ever Given » battant pavillon panaméen et loué par la société taïwanaise « Evergreen Marine ». Le cargo de 400 m a dévié de sa trajectoire, et s’est retrouvé coincé avec une extrémité creusée dans la terre du côté du canal. Le blocage de cette route commerciale stratégique entre l’Europe et l’Asie Pacifique a eu des conséquences à court et long terme. Le canal de Suez voit en effet passer 10% du commerce maritime international selon des experts.

Très rapidement, une longue file d’attente de bateau va se former : au large du port Saïd, 29 bateaux sont bloqués le 24 mars, 79 bateaux le 26 mars. Ces chiffres montent vite : le 28 mars, plus de 300 navires se retrouveront bloqués sur les différentes sections du canal de Suez (aux entrées Nord et Sud, ainsi que dans le système du canal sur le grand Lac Amer) avant d’atteindre un nombre maximal de 422 navires bloqués.

La durée de l’opération de renflouement du navire a été floue pendant plusieurs jours et les estimations incertaines ; une date de sortie de crise était difficile à envisager au vu du périmètre flottant et aléatoire. Plusieurs tentatives de renflouement ont été menées afin de remettre le navire à flot. L’Amiral Ossama Rabie, le Chef de l’Autorité Égyptienne du canal de Suez qui communiquait quotidiennement sur l’avancée des travaux, a affirmé que près de 14 remorqueurs étaient mobilisés. La société néerlandaise Smit Salvage a été mandatée par l’exploitant du navire, afin de procéder à sa remise à flot.

Tous les ingrédients de la crise sont réunis : la multiplication des victimes autant sur le plan financier que juridique, le lieu est symbolique, la notoriété de l’entreprise prend un coup de fouet, les détournements humoristiques sur les réseaux sociaux sont faciles, les images parlent d’elles-mêmes et l’effet boule de neige est garanti. Pendant plusieurs jours, cette photo du container aux grandes lettres blanches occupe tous les médias.

La multiplication des « victimes »

En période de crise, les victimes ne sont pas toujours celles que l’on croit : en plus des 300 bateaux à l’arrêt dans le canal, le blocage du canal de Suez a engendré des répercussions sur l’ensemble du trafic mondial et les stocks. Les principales victimes ont été les ports Nord Européens, bien loin du canal, déjà très impactés par la pandémie, qui ont subi une baisse de l’afflux des navires, mais aussi la hausse des prix de transport et la rupture des stocks de certains articles ménagers quotidiens tel que le papier toilette. Cette situation a accentué les rumeurs et les détournements sur les réseaux sociaux, alimentant ainsi un bad buzz autour de cette crise. Ce dont on peut être sûr, est que le blocage du canal pendant 6 jours a entraîné des retards de livraisons de pétrole et d’autres matières premières, avec une répercussion sur les cours de l’or. L’Égypte a perdu entre 12 et 14 millions de dollars par jour de fermeture du canal, et selon l’Autorité du Canal de Suez (SCA), un de ses employés serait mort durant le renflouage du navire.

Cette crise a poussé les entreprises victimes à trouver des solutions afin de ne plus être dépendantes non seulement de ce canal, mais aussi de marchandises provenant de la Chine. Un blocage de quelques jours a ébranlé les cours sur le marché boursier et a généré un impact géostratégique de certaines grandes puissances économiques.

Plusieurs parties prenantes sont impliquées dans cette affaire, à savoir :

  • L’entreprise japonaise Shoei Kisen Kaisha Ltd., propriétaire de l’Ever-Given
  • La société taïwanaise Evergreen Marine Corp. qui a loué le porte conteneur
  • L’autorité égyptienne du canal de Suez
  • La société Bernhard Shulte Shipmanagement basée à Singapour, qui assure la gestion technique du navire

Détournement sur les réseaux sociaux : la force des images et la viralité de l’humour

La gestion de cette crise par la SCA, et le caractère incroyable des images, a été tourné en dérision sur les réseaux sociaux. Les moyens déployés pour renflouer le navire semblaient insignifiants. Les internautes se sont donnés à cœur joie afin de minimiser les actions de l’Autorité du Canal de Suez pour remettre à flot le navire. Les milliers de memes et détournements qui circulent sur les réseaux sociaux médiatisent cette crise à des degrés insoupçonnés.

Les impacts pour Evergreen Marine

Les impacts pour Evergreen prennent une dimension financière d’importance : L’Égypte a dans un premier temps demandé un dédommagement de 900 millions de dollars au porte-conteneurs pour le préjudice subi. Ce montant a été revu à la baisse après que l’entreprise propriétaire ait informé que la valeur de la marchandise transportée était estimée à 750 millions de dollars. De ce fait, L’Amiral Ossama a déclaré à la télévision que l’État avait décidé de baisser le montant de l’indemnisation à 550 millions de dollars, L’assureur Allianz, a estimé chaque jour de mobilisation du navire, une perte entre 6 et 10 milliards de dollars au commerce mondial.

Sur le plan juridique, le fait que la propriété et l’exploitation du bateau soient séparées entre plusieurs compétences juridiques et frontières nationales rend très difficile la désignation d’un coupable.

Pendant cette crise, un casier médiatique s’est créé pour la marque et les impacts sur le long terme sont pour le moment difficilement chiffrables.  Malgré une communication de crise rapide de Evergreen Marine Corp., la médiatisation autour de cette affaire va ternir son image sur le long terme.

La communication d’Evergreen

Evergreen Marine Corp. a publié un communiqué concernant l’incident de l’Ever Given dans le canal de Suez, le 24 mars 2021 sur sa page officielle. Evergreen Marine a déclaré que « des vents violents de 30 nœuds ont fait dévier le porte-conteneur de son cap, ce qui aurait conduit à l’échouement du navire ».

La réaction de l’entreprise fut rapide et précise sur les faits. Dès le lendemain, un nouveau communiqué est publié :

Cette communication est bien calibrée : elle rassure les différentes parties prenantes sur les sujets qui leur tiennent à cœur (la sécurité des membres de l’équipage, la pollution, etc.), elle est pédagogue et précise sur les solutions mises en œuvre. Mais surtout, l’entreprise ne cherche pour le moment pas à se déresponsabiliser. Cependant, aucune marque d’empathie envers les victimes n’est décelée dans cette communication. Par la suite, cette recherche de coupable fait se heurter le temps juridique et le temps médiatique : Bernhard Schulte Shipmanagement, une société de gestion maritime responsable de l’Evergreen, a déclaré que des « vents forts » qui avaient affecté l’Égypte et une partie du Moyen-Orient à cette époque, étaient responsable de l’échouement du navire ; cependant, les 25 membres de l’équipage étaient sains et saufs et il n’y a eu aucune pollution ni dommage de la cargaison. Les propriétaires, une société japonaise du nom de Shoei Kisen Kaisha Ltd, ont également déclaré que le navire avait rencontré « un temps orageux » dans une autre déclaration. Les premiers rapports suggéraient aussi qu’il y avait une panne de courant sur le navire, mais Bernhard Schulte Shipmanagement a déclaré à l’Associated Press que « les premières enquêtes excluent toute panne mécanique ou moteur comme cause de l’échouement ». Ces faits n’ayant pas pu être certifiés, ils peuvent être pris comme une stratégie de désengagement des responsabilités par cette partie prenante. Le chef de l’Autorité du canal de Suez a quant à lui affirmé lors d’une conférence de presse, quelques jours après l’incident de l’Evergreen, que « d’autres erreurs humaines ou techniques ont aussi pu entrer en jeu ». C’est donc un jeu de ping-pong sur la cause de cet incident qui se joue entre les principaux protagonistes de l’affaire, ce qui n’est pas pour rassurer les différentes parties prenantes. La seule posture envisageable après ce type de polémiques est celle d’affirmer qu’une coopération totale avec les autorités compétentes pour enquête sera faite, et qu’il y aura en plus, une enquête interne.

La communication de crise de cet incident a été difficile à canaliser, car de très nombreux acteurs entraient en jeu. Afin de préserver leur réputation, le facteur météorologique a été mis en avant. Cependant, la communication auprès des parties prenantes externes a été presque inexistante, laissant place à la divulgation de rumeurs et de trolls sur les réseaux sociaux. La valeur d’une entreprise est liée aux relations de confiance qu’elle tisse avec ses parties prenantes. Les prochaines années nous apprendront comment, et si, Evergreen, qui est la société qui a été la plus citée, est capable de retisser ces liens.