Continuité de services : les leçons de Klaus, la tempête des Landes

Logiciels

Dans la nuit du 23 au 24 janvier 2009, une tempête cyclonique a balayé le Sud-ouest de la France avec des dégâts considérables. Enquête sur le terrain: quels enseignements en tirer?

Un colloque sur la gestion des risques, organisé il y a quelques semaines par l’IMdR et l’AFPCN (**), a permis un retour d’expérience sur les impacts et les conséquences du cyclone Klaus. Le directeur de cabinet du préfet des Landes s’est prêté à l’exercice. Efficacement. Beaucoup de points intéressants à en retenir.

tempete_klaus_3.jpg

(DR photo Vacanceseo.com, tous droits réservés)

Campons le décor, pour mémoire : des vents soufflant à 172 km/h à Biscarosse, un bord de mer en furie. Et des conséquences quasi-immédiates : 200.000 clients d’EDF ont été privés d’électricité, sur les 240.000 que compte le département. Environ 50.000 habitants se sont retrouvés sans eau potable, 45.000 abonnés sans téléphone fixe, une grande partie des réseaux mobiles ont été mis hors service… sans oublier les dégâts causés à l’agriculture et à l’industrie sylvestre, fleuron de ce département.

Quel enseignements peut-on en retenir ?

1- L’anticipation, ou la prévention sont utiles à la préparation : prévenue par Météo-France suffisamment à l’avance, la préfecture a pu faire arrêter assez tôt la circulation des bus et des poids lourds, lequels auraient été directement exposés à la tempête ; de même il fut possible de pré-positionner, en certains lieux, divers moyens de secours.

Prévenir les conséquences et se préparer au sinistre: deux attitudes qui se sont avérées payantes. Il est intéressant de s’interroger: cette démarche ne serait-elle pas généralisable à d’autres moyens?

2- La forte dépendance à l’alimentation électrique est générale: les coupures d’eau, de téléphonie fixe et mobile s’expliquent parfois par les dégâts causés directement par la tempête sur les installations. Mais la plupart du temps, leur interruption de service a pour origine une rupture d’alimentation électrique. Sans électricité, les pompes ne peuvent plus alimenter les réseaux en eau potable, les stations d’épuration ne fonctionnent plus, beaucoup d’équipements d’opérateurs de télécommunications, fixes ou mobiles, sont mis hors service. Cette dépendance au tout électrique –qui n’était pas aussi forte avec les technologies d’autrefois- est une cause de panne commune, trop négligée chez les opérateurs de service.

L’informatique est présente partout, les machines ont beau être redondantes et fiables, la panne d’électricité, elle, est rarement prévue. On peut se demander si le cahier des charges des opérateurs de téléphonie mobile –pour ne citer qu’eux –- n’est pas insuffisant sur ces points : en effet le moindre centre informatique de quelque importance dispose d’alimentations de secours (batteries ou générateurs diesel) et ne se repose pas entièrement sur son fournisseur. Or, il semble qu’il en aille autrement avec les moyens techniques que les opérateurs déploient sur le territoire. Bien sûr, le surcoût d’un secours généralisé serait important, mais la non prise en compte du risque de coupure d’alimentation électrique surprend en première analyse.

Est-ce une insuffisance en maîtrise de risque ? Est-ce pour se défausser sur un fournisseur ? Il serait bon de reconsidérer ces points. Les opérateurs très dépendants doivent pouvoir disposer de quelques moyens mobiles, comme des générateurs de courant capables de les protéger, durant un certain temps. Le partage des responsabilités entre le fournisseur (EDF ou autre), le réseau distributeur (ERDF) et l’opérateur (de télécoms dans ce cas) semble mal vécu en cas de crise. Ne faut-il pas le réétudier maintenant que la crise est passée ?

3- Le télé-pilotage surprend : tout étant informatique, tout peut se surveiller à distance ! La personne qui peut vous renseigner sur l’état de fonctionnement du relais près de chez vous se trouve ainsi dans un centre de surveillance en Région parisienne quand ce n’est pas en Tunisie ou sur l’Ile Maurice… Cet état de fait, connu depuis longtemps des informaticiens, surprend les coordonnateurs de secours sur place. Il est vrai que les opérateurs là encore, ont investi pour surveiller, détecter les pannes et résoudre à distance ce qui peut l’être, avec un certain succès d’ailleurs. Mais, avec Klaus, les limites du modèle sont atteintes et dépassées : les moyens à activer sur place ne sont pas télé-pilotables, ce sont des groupes électrogènes qu’apporte un ERDF par exemple.

Une connaissance du terrain est donc indispensable et n’existe pas. On peut d’ailleurs noter que les opérateurs auraient pu prévoir des moyens de secours télé-activables -au moins pour partie. L’impression qui ressort est que les opérateurs ont fait l’impasse : il faut intervenir sur place et ils ne le peuvent pas. Tout retombe alors sur le « fournisseur électrique ». Or, des moyens de secours télé-activables sont envisageables : cela n’a visiblement pas été fait.

Le dosage entre le « tout télé-piloté » et « l’intervention sur place obligatoire » est probablement à réétudier. Un équilibre viable en termes de coût et d’efficacité peut être atteint.

4- La notion de service dégradé est mal ressentie : les chiffres présentés sont plus favorables que lors de la tempête de fin 1999 : à j+7 on comptait 97% des foyers rétablis en électricité en 2009 ; ce chiffre était de 84% en 1999. Et pourtant les 331 maires sont insatisfaits. Ce mécontentement est essentiellement dû au fait que « rétablis » ne veut pas dire « reconnectés » mais plus souvent raccordés à un groupe électrogène. Les groupes ayant une puissance limitée à partager avec son voisin et une autonomie en fioul bornée. Cette propension à rétablir un service dégradé plutôt que de réparer la cause origine est bien connue depuis une dizaine d’années chez les informaticiens (avec les préconisations ITIL, par exemple). Les approches industrielles des divers opérateurs ne font que renforcer cette tendance à mener de front “mode dégradé rapide” et “réparation sur le fond”, moins contrainte sur la durée.

Le monde de l’informatique utilise pour cela des « conventions de service » qui décrivent et éventuellement permettent de négocier ce que sera le mode dégradé. Pourquoi ne pas généraliser une telle démarche ?

5- Il faut concilier les approches : souvent ERDF, par exemple, se projette avec des moyens techniques et des hommes mais n’a pas les relais locaux connaissant le terrain. Inversement, des maires listent et ordonnent des priorités d’interventions dont ERDF ne tient pas compte par simple ignorance. La perte d’efficacité est évidente et l’insatisfaction latente et compréhensible. L’approche industrielle d’ERDF par exemple peut tout à fait tenir compte d’un plan d’actions communal si celui-ci est connu, communiqué et quasi standardisé. L’approche des « plans communaux de sauvegarde » sert d’ailleurs à cela.

Il faut noter que les divers « plans » prévus dans le cadre ORSEC (plans de continuité des opérateurs de service, plans blancs des hôpitaux, etc.) peuvent permettre d’établir à l’avance un langage commun et une certaine compatibilité d’actions entre les intervenants et responsables. Le Préfet peut impulser cette conciliation des approches.

Ce bilan tiré de ce triste sinistre montre que nous sommes entrés dans une nouvelle ère. Les opérateurs sont confrontés à des dépendances nouvelles qu’ils doivent apprendre à réduire. Les responsables locaux (maires, préfet, Sécurité civile…), face à ce paysage technologique nouveau, doivent refléter une évolution des exigences qu’il est nécessaire de formuler et normaliser. Tout ceci étant à coordonner dans l’esprit de la devise républicaine.

____

(*) Consultant, Duquesne Group, auteur du livre « management de la continuité d’activité » aux Editions Eyrolles 2008 ___

(**) IMdR : Institut de Maitrise des Risques ; AFPCN : Association Française de Protection des Catastrophes Naturelles.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur