Taking connectedness seriously

Hansen S., Antonsen S. (2024), Taking connectedness seriously. A research agenda for holistic safety and security risk governance, Safety Science, 173, 106436.

Notre avis

📖📖📖📖 Ces chercheurs norvégiens, proches de la Foncsi, proposent une analyse « vue d’en haut » des conséquences sur la sécurité d’un monde industriel hyperconnecté et infiniment plus menacé dans sa sûreté (cyber et attentats de tous ordres). La situation ouverte par l’invasion de l’Ukraine est au cœur de cette demande urgente pour une meilleure prise en charge intégrée de la sûreté dans le risque sécurité. Un agenda de recherche est proposé pour essayer d’adapter modèles et pratiques.

Notre synthèse

Les auteurs partent du constat de l’existence croissante d’une réalité hyperconnectée entre technologies, entreprises, organisations, secteurs, nations, et multi-échelle entre tous ces niveaux. Ils s’interrogent sur l’adaptation nécessaire de nos modèles et pratiques de sécurité dans ce contexte. Leur plaidoyer est que l’analyse globale doit mobiliser des connaissances dans différentes disciplines, sociologie, sciences politiques et sciences de la sécurité proprement dites, incluant toutes les sécurités, et particulièrement la sécurité industrielle classique et la sûreté (que ce soit par le risque cyber ou par tout autre risque d’attaques).
Dans tous les cas ‒ et c’est la raison de l’intégration obligatoire des champs théorique et pratique ‒, la sécurité réelle, pragmatique, sur le terrain, va émerger de l’interaction de ces disciplines.
On dit depuis déjà plusieurs années qu’un des changements clés de la sécurisation est sa confrontation à une complexité croissante. Mais d’autres y voient surtout la confrontation de plus en plus difficile entre sécurité et sûreté, un sujet assez central dès lors qu’on parle de super-connectivité des systèmes et des organisations.

Pour approcher ce puzzle multi-niveau de la sécurité dans un monde connecté, les auteurs proposent de partir d’un cas exemple : la gouvernance des risques dans l’industrie pétrolière norvégienne suite à l’invasion de l’Ukraine, mêlant typiquement tous les niveaux de sécurité et de sûreté des installations.
Le terme de « gouvernance » recouvre les efforts d’acteurs situés à des niveaux différents (État, industries, territoires, citoyens), tous motivés à un titre ou un autre par la sécurisation de l’industrie pétrolière, dans sa production comme dans sa distribution.

Pour traiter ces nouveaux contextes hyperconnectés, force est de constater que la science de la sécurité s’est mal préparée, restant largement en silo isolé de la réalité de ces nouveaux défis. Il faut la doter d’une capacité de vision globale multi-niveau (holistic vision), et c’est sans doute la priorité des recherches futures. Cette vision globale ne veut en rien fusionner les concepts (comme sécurité et sûreté) mais doit les articuler.

L’articulation sécurité-sûreté

Il existe déjà beaucoup de contributions qui ont tenté de mieux intégrer sécurité et sûreté dans un modèle de gouvernance des risques industriels, particulièrement avec la révolution informatique et la création rapide d’interdépendances de tous ordres.

Il demeure que les deux disciplines renvoient à des compétences, diplômes et communautés scientifiques différentes, des congrès différents, des modèles différents et des pratiques différentes, bref quasiment rien de partagé.

Quatre principales différences sont à souligner :

• L’ontologie de la sécurité versus la sûreté renvoie à deux univers totalement différents : celui de l’accident non voulu versus celui de l’acte intentionnel et de la malveillance ;
• L’analyse des risques renvoie à une approche plutôt quantitative côté sécurité (avec des probabilités sur la fréquence de survenue et la sévérité des conséquences) versus une approche de risques rares, peu sensibles aux statistiques, surtout quand ils surviennent dans un contexte géopolitique ;
• Les pratiques s’opposent : la compétence professionnelle en sécurité est d’abord interne à l’entreprise. Elle repose en premier lieu sur le rétroactif, sur le retour d’expérience (Rex) et l’analyse des incidents et des accidents, avec une logique de communauté partagée de pratiques ; la compétence professionnelle en sûreté renvoie en partie à des professionnels et institutions hors entreprises (police, militaire, politique) avec des impératifs de surveillance et d’intelligence proactive plus que rétroactive.
• La communication est quasi opposée entre les deux approches : très ouverte en sécurité, très confidentielle et secrète en sûreté.

Sans surprises au regard de telles différences, les organisations de sécurité traditionnelles (HSE) sont en difficulté quand elles doivent absorber et traiter les risques sûreté. On pourrait imaginer rester en silo, chaque sécurité traitée de son côté, mais la connectivité imposée par le nouveau monde force à imaginer une articulation et un co-traitement théorique et pratique.
On retrouve déjà une littérature plutôt mono dimensionnelle sur l’influence de la sûreté sur la sécurité, avec notamment des propositions de méthodes de production de scénarios critiques de sûreté (Guzzman, 2021, sur le CyPHASS - Cyber-Physical Harm Analysis for Safety and Security), mais le travail est encore largement à faire.
On en est encore à des questionnements sur l’influence de la sûreté sur la sécurité, avec un nouveau champ de travail qu’on peut appeler « sûreté de la sécurité » (security for safety).
Certains académiques pensent qu’on peut trouver des méthodes et modèles communs, un champ partagé, mais ce n’est pas un avis général et cela pousserait plutôt à garder la sûreté comme un champ séparé.
Autre point important, la sûreté a été largement contingentée à la cybersécurité. L’exemple de l’Ukraine ouvre cependant une voie différente avec les actions de guerre sur les installations, sans parler de toute la gamme d’actions intermédiaires, y compris par des attaques au-delà du périmètre purement « technique » de l’entreprise. Ainsi, on se retrouve confronté à des attaques à des niveaux commerciaux, étatiques, institutionnels, dans un contexte de tensions et de quasi pré-conflit, avec l’importance et la place croissante des actions et moyens coordonnés de sûreté relevant de traités internationaux (OTAN par exemple).

L’exemple récent de l’industrie pétrolière norvégienne

L’industrie pétrolière norvégienne, particulièrement la plus grande compagnie pétrolière Equinor, s’est retrouvée au premier plan de l’invasion de Ukraine, vulnérable à une attaque (très probablement) russe des pipelines North Stream 1 et 2 en 2022, et plus récemment encore (octobre 2023) avec l’attaque du pipeline Balticconnector qui relie l’Estonie à la Finlande. Des navires espions russes ont été signalés à plusieurs reprises proches des côtes des pays du nord de l’Europe, de même que des sous-marins et des navires ayant les capacités de couper les câbles sous-marins, sans parler de la présence répétée de drones non identifiés.
Les installations pétrolières sont devenues des cibles potentielles, changeant de ce fait radicalement la logique de sécurité et de sûreté pensée au quotidien pour ces outils industriels, avec en retour de nouvelles injonctions venant d’un « autre monde » et d’une autre « culture professionnelle », notamment de la Défense.
Les conséquences sur la sécurité de l’exploitation pétrolière norvégienne ont été nombreuses. En la déclarant comme priorité stratégique nationale à protéger, le gouvernement a augmenté la responsabilité de l’industrie et l’a poussée à prendre les bonnes mesures. Les risques à protéger sont à la fois les risques cyber et d’attentats dans la production, les risques de distribution sur le réseau, y compris dans son rôle de pourvoyeur clé de l’Europe dans ce nouveau contexte, avec les conséquences en série que l’on peut imaginer sur l’économie européenne, ses emplois, et sa puissance.

On voit que le défi est double : être adaptable dans sa gestion des risques industriels pour de nouvelles menaces, et travailler en coordination renforcée de la gouvernance des risques y compris avec des acteurs non spécifiquement techniques relevant d’une composante politique, internationale et économique.

La gestion des défis

Un premier défi impose d’accepter l’ingérence de corps externes à l’industrie dans la gouvernance du risque technique. Après l’attentat du pipeline North Stream, on a vu arriver en visite sur les champs pétrolifères le Premier ministre norvégien et le secrétaire général de l’OTAN, pour proposer de l’aide et rassurer le personnel, et en même temps vouloir devenir beaucoup plus intrusif dans les mesures à prendre.
De son côté, l’industrie pétrolière a réagi en capitalisant sur son socle de standards culturels de la sécurité, par exemple la responsabilité de chaque travailleur à contribuer et assurer la sécurité industrielle, nourrissant un modèle de vision partagée et décentralisée de la sécurité (un héritage très en ligne avec les préconisations HRO). Ces logiques décentralisées ont été ré-utilisées en interne dans le cadre des menaces externes en utilisant ce trait acquis de culture de sécurité et de responsabilité de chacun, dans une logique de responsabilité collective et coopérative, en relais/place de ce qui relève habituellement d’une responsabilité de l’État et de ses services.

Un second défi impose une meilleure intégration des logiques de sécurité et de sûreté. L’industrie a longtemps gardé séparées les deux approches, et la sécurité classique des installations a été largement priorisée sur le risque sûreté. Les autorités norvégiennes du pétrole (Norvegian Petroleum Safety industry) déplorent de façon répétée cette séparation au cours de leurs audits, de même que l’absence de vision globale.
Il ne s’agit pas d’en faire moins pour la sécurité, mais d’en faire plus pour la sûreté. La vision sûreté doit par exemple entrer dans toutes les analyses bow-tie de sécurité, en enrichissant les causes des problèmes, et aussi leurs conséquences, notamment en appréhendant les possibles conséquences sociétales, économiques et politiques pour des acteurs externes à l’entreprise, et parfois au-delà même de l’État norvégien.

Quels modèles pour l’analyse des risques complexes, mêlant sécurité et sûreté

Trois approches conceptuelles sont proposées pour définir une boite à outils destinée à mieux intégrer sécurité et sûreté.

Construire une culture organisationnelle interne à l’entreprise commune à la sécurité et sûreté. Cette approche analytique doit d’abord faire l’inventaire à un niveau appliqué et pratique de l’intersection des deux champs et de leurs spécificités propres. Les approches traditionnelles de culture organisationnelle de sécurité sont bien connues (HRO, etc.). Ces cultures ne cherchent pas une vision holistique égale pour tous avec un consensus et une cohérence totale dans une même organisation, laissant asymétries de pouvoirs et autres marqueurs (Antonsen, S. (2009). Safety Culture: Theory, Method and Improvement). Une meilleure intégration de la sûreté à la sécurité pourrait justement s’inspirer de ces sous-cultures, mais cela suppose une perspective différentielle dans la culture qui, en retour, a des conséquences importantes sur les sous-concepts de culture de sécurité et de culture de sûreté. Cela veut notamment dire que les deux sous-cultures peuvent avoir des interactions, éventuellement entrer en conflit, demandant un effort et une révision des propres frontières de chacune pour mieux comprendre l’autre. Encore une fois, le but n’est pas de fusionner les deux idées, car les risques sont différents, mais d’obtenir une intégration suffisante par compréhension mutuelle et apprentissage d’un dialogue sur la communauté nécessaire des pratiques. C’est un choix qui devrait être premier pour l’industrie et les autorités norvégiennes du pétrole, mais pour l’instant, la gouvernance de la sécurité d’Equinor est en Norvège, alors que la gouvernance de la sûreté de la même société est au Royaume-Uni…

Chercher une logique et un niveau commun de gouvernance institutionnelle, plus globale (holistic governance) dans et au-delà de l’entreprise en coordination avec les parties étatiques impliquées dans les menaces hybrides. Un premier défi consistera au respect des concepts, priorités et vocabulaire d’action de chacun, tout en créant un lieu institutionnel d’articulation et d’organisation communes de la gouvernance, qui soit équilibrée entre sécurité et sûreté.

Accepter une gouvernance multi-niveau géopolitique de « sûretérisation » (securitization) inspirée dans ce cas d’une émanation des sciences politiques, qui accepterait des pans de gouvernance internationale avec ses propres analyses de risque et ses solutions, et avec des conséquences aux trois niveaux que sont le national, le sous-domaine industriel et la sphère politique (bureaucratique).