Installations classées : la fin de la transparence ?

Date de publication : 28/09/2017  |  David Kapp

Martin Abegglen via Flickr Licence Creative Commons
Martin Abegglen via Flickr Licence Creative Commons

Avec la vague d'attentats terroristes qui a endeuillé la France, la question de la sûreté des installations industrielles s'est posée avec acuité. Une usine peut être à la fois la cible d'une attaque mais également un moyen, du fait des produits stockés, pour s'en prendre à la population. D'où l'idée de limiter l'information. Au risque de la faire disparaître.

L'attentat du 26 juin 2015 sur le site Air Products de Saint-Quentin-Fallavier et les « incendies criminels » survenus le 14 juillet 2015 sur deux cuves d'hydrocarbures de la raffinerie LyondellBasell à Berre l'Etang, avaient soulevé la question de la protection des installations classées face aux menaces malveillantes.

Le 5 septembre 2017, le conseil supérieur de la prévention des risques technologiques a présenté sa réponse. Une instruction, qui ne paraîtra pas au Journal Officiel, pourrait être signée par le ministre de l'Écologie et le ministre de l'Intérieur.

Elle entérinerait la fin de la transparence sur les risques des installations classées au nom de la menace terroriste.

Entre information et protection

Peut-on accommoder sécurité et transparence ? C’est un si vieux conflit que les camps se sont parfois caricaturés : paranos contre angélistes.

Comme souvent le numérique a posé le problème différemment. Dans la cryptographie, il s’agit de cacher un message aux yeux d'un lecteur non-destinataire. D’un côté, il y a la sécurité par le secret (security through obscurity) : ça fonctionne, mais vous ne saurez pas comment. Et de l’autre, il y a la sécurité par la conception (security by design) : c’est sécurisé, voici la démonstration.

La sécurité par le secret ne fonctionne pas

Depuis la fin du 19e siècle, on sait, grâce à l'analyste militaire Auguste Kerckhoffs qui a donné son nom à ce principe, que la sécurité par le secret ne dure qu'un temps ( ses explications).

Au contraire, des mathématiciens comme Claude Shannon, fondateur de la théorie de l'information, ont montré que lorsque "l’adversaire connaît le système" celui-ci est plus sécurisé.

En clair, la sécurité ne doit pas reposer sur le secret. Car dans un système secret, la rétro-ingénierie permet de casser le code. Pire, ce code peut être détourné sans que son utilisateur légitime ne soit au courant !

C’est d'ailleurs ce qui s’est produit lors de la seconde guerre mondiale lorsque Alan Turing a cassé la machine de communication secrète nazie Enigma.

Faire partager la connaissance des risques pour accroître la résilience

À l'obscurité, il faut au contraire opposer la clarté. Et communiquer sur les risques est un moyen de les faire partager et d'améliorer la sécurité de tous.

Revenons à l’industrie. La loi pour une République numérique a repis des directives européennes qui prévoient l’accessibilité et le partage d’informations. D'ailleurs, il faut remonter loin pour trouver cette injonction au droit à l'information. En effet, la loi n°87-565 du 22 juillet 1987, relative à l'organisation de la sécurité civile, à la protection de la forêt contre l'incendie et à la prévention des risques majeurs, prévoyait déjà que "le citoyen a le droit à l'information sur les risques qu'il encourt en certains points du territoire et sur les mesures de sauvegarde pour s'en protéger."

Si l'article a depuis été abrogé, il faut se souvenir que cette loi est apparue dans un contexte particulier. La directive européenne dite "Seveso" a été signée le 24 juin 1982 à la suite de la catastrophe Seveso de 1976. Celle-ci porte d'ailleurs le nom de ce village italien touché par le nuage de dioxine.

D'autres catastrophes l'ont suivi de près.

Il existe plusieurs sites, comme installationsclassees.developpement-durable.gouv.fr, ou des portails comme data.gouv.fr qui permettent d’avoir des informations très détaillées sur ces sujets.

Trop, disent certains qui pensent que cela pourrait donner des idées aux terroristes.

L'inquiétude n'est pourtant pas nouvelle

Il faut se souvenir que la catastrophe AZF est survenue seulement 10 jours après les attaques du World Trade Center. Pendant longtemps la piste terroriste a été suivie. Et elle a même aujourd’hui encore des adeptes. Et la loi n° 2003-699 du 30 juillet 2003 relative à la prévention des risques technologiques et naturels et à la réparation des dommages, dite loi Bachelot, a été la première réponse des pouvoirs publics à ces préoccupations, avec la création des PPRT (plans de prévention des risques technologiques).

En 2015, deux faits divers, sans aucun rapport entre eux, ont alerté les Autorités : d’abord l’assassinat sordide dans l'usine d'un chef d'entreprise puis l’incendie de plusieurs bacs dans une raffinerie en Isère. À la suite de quoi, le Bureau d’analyse des risques et pollutions industrielles (Barpi) a été chargé d’un rapport sur la malveillance (publié en octobre 2015). Verdict : la malveillance représente 4 % des causes d’accidents industriels répertoriés entre 1992 et 2015.

C'est à la fois peu et beaucoup (1 accident toutes les semaines en moyenne sur la période). Et encore, il ne s'agit que des accidents rapportés à l'inspection des installations classées. Sont absents de ces chiffres, tous les autres actes de malveillance : tentative d'entrée sur un site, vol d'un ordinateur, etc. Quant aux conséquences, elles sont d’abord économiques.

Après avoir lancé un audit général de la sécurité fin 2015, l’État a décidé d’agir.

Un texte qui limite l'information mais ne réduira pas les attaques

Ainsi, le 5 septembre 2017 lors du conseil supérieur de la prévention des risques technologiques, une instruction, qui doit être soumise à la signature de ministres et qui ne paraîtra pas au Journal Officiel, a été présentée.

Sans entrer dans son détail ( texte intégral), elle met fin à la transparence. Des associations, comme Robin des Bois, membre de ce conseil et qui a révélé l’affaire, s’en émeuvent.

Même si ce texte est sensé concilier information des populations et protection des installations (texte de présentation de l'instruction), il est à craindre qu'il atteigne les droits d'informations légitimes du public et ne freine aucunement les actions malveillantes.

À Lyondell Basell, l 'enquête semble avoir montré que le mobile n'était pas terroriste. À Saint-Quentin-Fallavier, si des liens ont pu être établis avec la Syrie et la mouvance djihadiste, il est difficile aujourd’hui d'en savoir plus, car le principal suspect s'est suicidé en prison - acte qui ne correspond pas exactement au profil "habituel" des terroristes. Alors donc, si aucune de ces affaires ne concerne le terrorisme, comment expliquer cette chape de plomb ?

L'industrie n'est pas une cible évidente

Les dernières attaques ont montré qu'avec peu très peu de moyens - comme un camion à Nice - l'action radicale pouvait marquer les esprits et être extrêmement meurtrière. Pas besoin de toucher une industrie, même si le propre de l'action terroriste est justement de frapper là où on ne l'attend pas.

Les associations ont raison de se mobiliser. Il semble bien que les paranos soient en passe de l‘emporter.