L’IMPORTANCE DU FACTEUR HUMAIN

Selon la légende, un homme déguisé en moine pénétra sans attirer la méfiance dans une forteresse du sud-est de la France (actuel Monaco), une nuit de janvier 1297. Il put ainsi ouvrir à des soldats qui s’en emparèrent facilement. Il en va de même pour des attaques perpétrées à l’aide de dispositifs USB familiers, que l’utilisateur branche en tout confiance sur le port d’une machine.

Une étude publiée au Blackhat USA en 2016 a montré que 45% des 297 clefs USB disséminées sur un campus universitaire ont été connectées à des ordinateurs et leurs fichiers ouverts. Cette étude illustre bien la capacité à mener des attaques efficaces via des clefs USB et pour un coût minime.

Par ailleurs qui n’a jamais laissé un téléphone portable se recharger sur l’un des ports USB de son PC ?

Si la connexion au réseau fait le plus souvent l’objet de nombreuses mesures de sécurité, les autres portes que constituent les ports USB font, généralement, l’objet d’une attention moindre, sur les serveurs, les postes de travail et désormais les tablettes et smartphones qui intègrent la technologie USB On-The-Go.

Les dispositifs USB sont présents partout, tirant partie de l’interopérabilité de l’Universal Serial Bus.

Le revers de la médaille de ce développement historique et de sa compatibilité descendante, est qu’il n’a pas été techniquement conçu « security by design » et que ces dispositifs offrent une large surface d’attaque.

Figure -Vidéo illustrative de sensibilisation sur la sécurité des clefs USB

UN LARGE PANEL D’ATTAQUES RENDUES POSSIBLES PAR L’USAGE (PRESQUE) INCONTOURNABLE DES DISPOSITIFS USB ET AU MANQUE INTRINSÈQUE DE SÉCURITÉ DES STANDARDS HISTORIQUES

Les périphériques de stockage amovibles, clefs ou disques USB, peuvent servir de vecteur à la propagation d’un code malicieux. D’autres types de périphériques USB (ex : webcam, clef 4G) peuvent également intégrer une fonction de stockage amovible, par exemple pour faciliter l’installation du pilote logiciel du périphérique.

La provenance légitime d’une clef USB ne peut garantir entièrement son innocuité, si celle-ci a été compromise en usine ou avant l’envoi aux clients, comme cela a pu arriver récemment à un fournisseur de systèmes de stockage.

Par ailleurs, un périphérique USB d’apparence banale, peut avoir été reprogrammé ou modifié physiquement pour compromettre ou endommager le système sur lequel il est branché, par exemple :

• En se faisant passer pour un clavier et envoyer des commandes au système hôte, lesquelles vont par exemple permettre sa prise de contrôle à distance. Il est à cet effet possible de reprogrammer une clef USB du commerce (voir cas d’usage illustratif dans la vidéo ci-dessus) ou d’utiliser un dispositif ayant l’apparence d’une clef USB classique ;
• En se faisant passer pour une interface réseau et un serveur DHCP/DNS, afin notamment d’intercepter le trafic de l’utilisateur, d’introduire des portes dérobées sur le poste de l’utilisateur, de faire exécuter par son navigateur des codes malveillants sur des sites sur lesquels il est autorisé à se connecter, voire d’exposer un  routeur interne ;
• Pour détruire le système hôte en délivrant au connecteur des tensions élevées.

Une clef USB peut également être utilisée pour attaquer des équipements sensibles déconnectés du réseau de l’entreprise, par exemple des équipements industriels, lorsque celle-ci est utilisée en « navette » avec des postes connectés internet, donc à un attaquant externe potentiel.

Il est également possible de tirer parti du rayonnement électromagnétique qui peut se produire au travers d’un périphérique/câble USB, d’un poste isolé de tout réseau, pour permettre à un code malicieux, introduit via le dispositif USB, d’exfiltrer des informations à quelques mètres.

Les attaques consécutives à la modification de périphériques USB restent encore limitées, assez ciblées et potentiellement très efficaces (ex : Stuxnet en milieu industriel). La mise au point de certaines de ces attaques est facilitée par les sources d’informations, les tutoriels et les outils librement accessibles sur Internet.

L’arrivée de l’USB-C, également utilisé comme alimentation électrique des nouveaux ordinateurs portables, peut contribuer à augmenter un peu plus la surface d’attaque (chargeurs, packs de batterie), tant que la compatibilité avec des standards non sécurisés devra être maintenue pour des raisons de compatibilité descendante avec les autres versions d’USB et dans l’attente de la généralisation de futurs chargeurs sécurisés.

LES CONTRE-MESURES DOIVENT ÊTRE CIBLÉES SUR LES RISQUES LES PLUS ÉLEVÉS (ET DONC ÉGALEMENT SUR L’HUMAIN)

L’évaluation des risques liés aux dispositifs USB doit permettre d’identifier les périmètres du SI et les populations vers lesquels cibler en priorité les contre-mesures :

• Sensibilité des populations (VIP, mainteneurs, administrateurs systèmes …) ;
• Sensibilité de l’équipement sur lequel il est possible de connecter un dispositif USB (poste utilisateur, poste sensible déconnecté du réseau, station d’administration, serveur, équipement industriel …).

La connexion d’un périphérique USB à un équipement passe par un choix humain. Il est donc essentiel de sensibiliser les acteurs, y compris leur management opérationnel, par des actions classiques (supports de communication des risques et des bonnes pratiques, …) voire plus innovantes (ex : disperser des clefs USB témoins remontant une alerte une fois connectées à un poste de travail, effectuer des démonstrations, organiser des jeux de plateau pour entraîner des populations plus ciblées à évaluer certaines prises de risque, …).

Les contre-mesures techniques sont un complément. Leur efficacité demeure toutefois variable.

• Un antivirus pourra le plus souvent détecter un fichier infecté sur un périphérique de stockage USB avec la même efficacité que si ce fichier se trouvait sur un autre espace de stockage. Certains produits pourront n’autoriser la lecture du contenu d’un stockage amovible, que si celui-ci a préalablement été chiffré avec une clef permettant d’y accéder seulement depuis des postes de l’entreprise ;
• Des équipements de ‘sas’ de décontamination peuvent également être utilisés pour sécuriser les échanges de fichiers entre une clef USB et le SI de l’entreprise ;
• Des solutions logicielles permettent de contrôler la connexion d’un dispositif USB à des groupes de postes ou serveurs, en fonction de caractéristiques annoncées lors de son branchement. Il s’agit du moyen le plus répandu pour maîtriser la connexion des dispositifs USB. Cependant, un dispositif USB modifié peut dans certains cas arriver à tromper cette protection logicielle ;
• Le marché propose également des clefs USB avec un micrologiciel sécurisé, qui permettent de s’assurer que celui-ci n’a pas été reprogrammé. Néanmoins, il reste toutefois possible d’introduire dans l’entreprise des dispositifs piégés reprenant ou imitant le packaging extérieur de clefs USB sécurisées ;
• La neutralisation ou le blocage physique des ports USB, en particulier sur les postes les plus sensibles, tels que des stations d’administration ou des stations de conduite dans le milieu industriel, reste toutefois une solution assez efficace pour des périmètres spécifiques.

Nous devrons attendre encore un peu avant de pouvoir pleinement bénéficier d’une sécurité efficace portée par de nouveaux standards USB. En attendant, le parc non sécurisé et le risque s’accroissent. Pour y faire face, ne comptons pas uniquement sur des réponses techniques et ne négligeons pas le facteur humain.

Cet article L’habit ne fait pas le moine – Ou l’importance du facteur humain dans la maîtrise du risque USB est apparu en premier sur RiskInsight.

Seul un entrainement régulier permet de créer les automatismes salvateurs lorsque surviendra la situation de crise. Il est impossible de tout prévoir, et illusoire et inefficace de chercher à décrire toutes les situations de crise possibles. Il surviendra toujours un événement nouveau, imprévisible, voire impensable. C’est pourquoi il est nécessaire de s’entraîner à analyser et réagir rapidement sous pression. Une fois les premiers réflexes acquis, les organes de gestion de crise plus matures pourront développer leur « force de réflexion rapide », un groupe dédié et entraîné pour aider les dirigeants dans leur pilotage des situations  très complexes et plus particulièrement « hors-cadre » de référence qui mettent en grande difficulté tous les schémas préétablis.[1] [2]»
Huit scénarios de gestion de crise « génériques »…

Le groupe de Place Robustesse[3], créé en 2005 à l’initiative de la Banque de France, a notamment défini huit scénarios de crise « génériques » en raison de leur représentativité :

• Grève générale des transports ;
• Crue de la Seine ;
• Risque de pandémie ;
• Attentats terroristes ;
• Panne générale d’électricité ;
• Accident industriel ou attentat de type NRBC (nucléaire, radiologique, biologique, chimique) ;
• Défaillance d’un prestataire « critique » ;
• Cyber-attaque

8 scénarios de crise…..dont 4 qui se sont produits durant ces 6 derniers mois : l’actualité met en exergue la nécessité de prendre en compte ces scénarios majeurs, qui décrivent des menaces actuelles et, malheureusement, probables.

… Qui nécessitent des entraînements spécifiques…

Au sein des organisations, il apparaît évident que les entraînements et les exercices ne sont plus une option mais bel et bien une nécessité. L’enjeu étant de construire un plan de progression pluriannuel à la fois suffisamment ambitieux mais également en adéquation avec le niveau de maturité de l’entité.

Le plan de test doit, in fine, couvrir à la fois les différentes étapes de la gestion de crise (de la phase d’alerting jusqu’à la sortie de crise) mais également les scénarios de crise auxquels peut être confrontée l’organisation. Idéalement, une fréquence de deux exercices de gestion de crise par an est préconisée pour permettre à l’équipe constituant la cellule de crise de s’habituer à travailler ensemble (prise en compte des turn over).

Il est primordial de varier les scénarios pour s’entraîner et acquérir les compétences nécessaires à une gestion de crise maîtrisée. Par exemple, les compétences liées à la communication de crise peuvent être consolidées lors d’exercices de média training spécifiques au cours desquels les communicants sont spécifiquement sollicités (simulation de prise de parole auprès de la presse, médias filmées avec débriefing et formalisation de communiqués à destination des autorités, des victimes…). En effet, il est impératif de comprendre comment fonctionnent les médias pour être en capacité de leur restituer le bon message dans le timing attendu avec le niveau souhaité d’information.

Par ailleurs, des entraînements spécifiques de grande ampleur, faisant interagir plusieurs cellules de crise (avec potentiellement des cellules extra entité), peuvent être organisés pour mesurer la capacité de l’organisation à maîtriser les outils et méthodes de gestion de crise prévus et mis en place. Ce type d’exercice permet de valider le circuit et les modalités de communication entre les cellules de crise.

Les constats réalisés au cours des exercices permettent d’identifier les failles potentielles du dispositif qui font alors l’objet d’un plan de recommandation priorisé. L’entité devra établir, mettre en œuvre et suivre un plan d’action lui permettant de s’assurer de la résilience du dispositif mis en place.

A l’issue des exercices, les partages de retours d’expériences entre les organisations constituent des éléments de progrès indispensables car ils permettent à la fois de faire progresser les entités mais également d’augmenter leur capacité d’apprentissage (notamment par l’identification des points forts qui doivent être capitalisés et actions qui pourraient être mises en place pour améliorer ce qui a moins bien fonctionné).

… Afin d’identifier les compétences requises…

Contrairement à ce que la plupart des managers en perçoivent, la capacité à savoir appréhender les éléments clés d’une gestion de crise réussie n’est pas innée, loin de là.

En effet, la gestion de crise requiert des compétences qui ne sont habituellement pas utilisées.

Si le niveau d’expertise métier de chacun des contributeurs assurant la conduite de crise n’est pas remis en cause, il n’en demeure pas moins que d’autres compétences spécifiques doivent être acquises pour contribuer à une gestion de crise efficace. Ces compétences englobent notamment la capacité à comprendre, analyser l’information, et à définir rapidement les impacts potentiels et les parties prenantes.

Sous l’effet du facteur pression du temps et de l’émotion, les managers se retrouvent confrontés à de nouveaux défis : être capables de traiter quasiment de manière instantanée les informations entrantes afin de les analyser à chaud, les partager et valider les actions à mettre en œuvre.

Le facteur temps compresse les délais habituels d’analyse, de qualification donc de réflexion. Quant au facteur émotion, le manager peut naturellement se retrouver dans une démarche instinctive et donc éloignée d’une démarche intellectuelle. Or, les décisions instinctives, prises dans l’urgence, sont dénuées de réflexions analytiques élaborées.

Ces nouveaux contextes et champ d’action modifient la donne, les curseurs et les niveaux d’expertise requis. Cela nécessite l’application d’une méthodologie qui, rappelons-le, n’est pas innée (car ne faisant pas a priori partie des réflexes acquis).

… Et de développer des réflexes appropriés

Face à des événements brutaux, déstabilisants voire choquants psychologiquement, il s’agit de s’appuyer sur des réflexes acquis au cours de l’expérience propre ou de l’entraînement spécifique. Cela est d’autant plus nécessaire que le facteur humain entre en considération : nous n’avons pas tous les mêmes capacités à gérer une situation déstabilisante et/ou inhabituelle. Quelle est ma capacité individuelle à évoluer dans un contexte excessivement complexe dont je ne connais ni les contours ni l’issue, ceci sous une intensité de stress constante et ce, sur du court, moyen voire long terme ?

L’effet du facteur humain est applicable à chaque membre de la cellule de crise mais également au groupe d’individus qui la constitue. Si les capacités intrinsèques de chaque individu peuvent influer sur les résultats en termes d’efficacité de l’équipe, les interactions entre les différents individus constituant le groupe peuvent avoir des impacts aussi bien positifs que négatifs. En effet, dans certaines situations deux « plus » peuvent faire un « moins » ; en d’autres termes, deux individus pourtant reconnus pour leurs expertises individuelles respectives ne parviennent pas à produire ensemble la valeur ajoutée attendue. Le facteur humain au sein du groupe est donc un élément dont on ne peut faire l’impasse. Aussi, pour être efficace et efficient ensemble, il faut se connaître (tout particulièrement dans le contexte particulier qui est celui de la gestion de l’urgence et des priorités). Les entraînements réguliers sur divers sujets et périmètres concourent à réduire les effets potentiellement néfastes du facteur humain.

[1] Patrick Lagadec : « La Force de réflexion rapide Aide au pilotage des crises », Préventique-Sécurité, n 112, Juillet-Août 2010, p. 31-35.

[2] Patrick Lagadec : « Le Continent des imprévus – Journal de bord des temps chaotiques », Ed. Les Belles Lettres, 2015, p. 239.

[3] Le Groupe de Place Robustesse se compose d’établissements de crédit ou assimilés, d’infrastructures de marché, du HFDS du ministère de l’Économie et des Finances, de la Direction générale du Trésor, de la Fédération bancaire française, de la Banque de France, des autorités de supervision et de régulation telles que l’Autorité de contrôle prudentiel et de résolution et l’Autorité des marchés financiers.

Cet article Gestion de crise : Comment maximiser mes chances ? est apparu en premier sur RiskInsight.

Or, ces faiblesses socio-organisationnelles sont analogues aux circonstances de certains accidents observés dans l’industrie. Ainsi, ce secteur a dépassé depuis plusieurs décennies l’étude des événements selon les facteurs technique, humain, procédural et environnemental, pour s’intéresser désormais aux causes dites « systémiques ». Une méthode d’analyse des accidents consiste à travailler à partir du modèle de défense en profondeur théorisé par le Pr. James Reason pour comprendre les conditions préalables et trouver les dysfonctionnements cachés au sein de l’organisation. Cette approche décrit le mécanisme d’accident par un élément déclenchant qui trouve un cheminement possible au travers des barrières de sécurité successives (flèche rouge ci-dessous) en raison de l’addition de vulnérabilités latentes (défaut d’organisation, décisions hiérarchiques faillibles, mauvais traitement de signaux précurseurs) et patentes (actes non sûrs, défaillance d’un équipement).

Défense en profondeur (d’après James Reason, Human error 1990)

La cybersécurité n’échappe pas à ce principe de « défense en profondeur », et le mécanisme des cyber-attaques présente une similitude avec celui des accidents industriels. Par exemple, une mauvaise prise en compte d’événements précurseurs ou une sensibilisation insuffisante du personnel sont autant d’éléments que l’on retrouve de façon récurrente dans le contexte d’attaques informatiques.
En conséquence, comment exploiter les enseignements issus de l’industrie pour renforcer la cybersécurité notamment en s’appuyant sur les comportements individuels et collectifs et en travaillant sur les FOH (facteurs organisationnel et humain) ?

La mise en place d’une « organisation apprenante »

Un des premiers leviers développés pour la maîtrise des risques industriels est la mise en place d’un système de gestion du retour d’expérience (REX) et la construction d’une « organisation apprenante » sur cinq points essentiels :

• Un engagement du niveau de la direction définissant la politique REX, les moyens techniques et humains, les seuils de détection et les modes de report des événements, des garanties sur la « non-punitivité » de l’erreur),
• La promotion d’une culture « déclarante » des erreurs, obtenue par un climat de confiance, changement sociologique au sein de l’entreprise qui permet de passer du « Qu’est-ce que je risque à en parler ? » à « Que risquons-nous si je n’en parle pas ? »,
• L’utilisation du principe de subsidiarité car, face à l’accroissement de la remontée d’information généré par ce système, pour continuer à détecter « le signal utile dans le bruit de fond » les dirigeants doivent laisser traiter les incidents au bon niveau de responsabilité,
• L’animation du système par des revues systématiques et des actions correctrices pour maintenir la motivation du personnel à reporter les erreurs en produisant des effets concrets et perceptibles,
• L’ajustement des seuils de détection d’événements et la diffusion des bonnes pratiques pour entretenir la dynamique du système lorsque la sécurité s’améliore. Cela permet d’éviter le paradoxe des systèmes « ultra-sûrs » ne générant plus d’incidents significatifs avec le risque de voir le système REX s’éteindre.

La cybersécurité s’est parfaitement appropriée les points 1 et 5 : PSSI, chartes, promotions des bonnes pratiques sont en place. Les points 3 et 4 restent à consolider : L’organisation SSI possède bien des relais locaux, mais l’expertise est souvent centralisée. Des audits et des contrôles sont effectués mais des lacunes sont observées dans le suivi et la mise en œuvre d’actions correctrices (hors SMSI). En revanche, un effort important reste à accomplir sur le point 2 : Les procédures de gestion des incidents existent mais le milieu de la cybersécurité doit encore développer une réelle « culture déclarante » au sein de l’entreprise.

Une claire séparation des pouvoirs

Pour renforcer la sécurité une claire séparation des pouvoirs est également à instaurer, entre autorités régulatrices (fixant lois, règles ou principes organisationnels), organismes de contrôle, et exploitants (ou fournisseurs de service).

La séparation des pouvoirs

Cette disposition permet des prises de décision éclairées par des points de vue extérieurs, parfois divergents, et d’éviter la « consanguinité » dans les processus de décision et de gestion des risques. En cybersécurité ce point reste à consolider, les autorités régulatrices devant davantage déléguer, à terme, la certification des systèmes et des organisations à des organismes tiers et indépendants.

Vers une culture de sécurité intégrée

Les points précédents doivent être renforcés par l’instauration, au sein de l’entreprise, d’une culture de sécurité intégrée, ensemble de bonnes pratiques visant à réduire les risques de façon proactive ou réactive, construites collectivement en intégrant fortement le personnel d’exécution dans l’établissement des règles et procédures.

Une culture de sécurité intégrée

Dans cet ensemble le management fixe les objectifs et fournit à ses subordonnés les moyens matériels et humains d’agir en temps utile. Il crée également une organisation qui doit coordonner les activités de chacun, en profitant au mieux des qualités complémentaires des individus. Celle-ci sollicite le management qui est amené sans cesse à ajuster et décider (arbitrage collectif si nécessaire). L’organisation est vivante et doit avoir la capacité de réagir à toutes les situations, même imprévues, en faisant appel à l’intelligence collective et adaptative de tous ses membres pour rattraper des situations critiques. Les collaborateurs doivent saisir l’importance de leur rôle dans l’activité en cours ou dans les objectifs à atteindre. Avec un management de proximité qui donne du sens à l’action, ils seront plus efficaces, se coordonneront mieux dans l’organisation, et seront à même de prendre des décisions à leur niveau permettant en cela à l’organisation de mieux résister aux événements néfastes. Dans ce contexte, un équilibre subtil est à trouver entre la sécurité réglée (basée sur le formalisme, les procédures, les équipements et les automatismes) et la sécurité gérée (s’appuyant sur la capacité d’anticipation, la faculté d’initiative et d’adaptation des individus et de l’organisation).

Conclusion : Quelles pistes d’avenir pour la cybersécurité ?

Ces derniers points, relatifs à la culture d’entreprise et au bon équilibre « sécurité réglée – sécurité gérée », représentent l’état de l’art en matière de sécurité industrielle sur lequel travaillent, depuis bien des années, des organismes experts (ICSI/FONCSI, IMdR). Force est de constater que le milieu de la cybersécurité est encore peu impliqué dans ces réflexions, alors que l’information et les technologies associées doivent être considérées comme un actif stratégique de l’entreprise jouant un rôle de plus en plus important dans la maîtrise des risques. Un meilleur échange entre ces deux mondes constitue donc un enjeu de taille pour la cybersécurité dans les années à venir. Notons que cette question, abordée ici sous l’angle des cyber-attaques, serait tout aussi pertinente en ce qui concerne la continuité d’activité et les autres menaces environnementales.

Cet article Cybersécurité : Quelle place pour l’humain et quelle organisation ? est apparu en premier sur RiskInsight.

Les erreurs commises et leurs leçons

L’enquête a montré que cet accident était la conséquence d’erreurs simples et multiples qui auraient pu être évitées.

Tout d’abord, les procédures de démarrage n’ont pas été respectées car elles étaient contraignantes. Les opérateurs avaient pris l’habitude de les court-circuiter. Par ailleurs, le management de la raffinerie avait fermé les yeux sur plus de 13 cas de non-respect de la procédure de redémarrage recensés par les enquêteurs.

Expliquer le bien-fondé des procédures et les dangers auxquels les opérateurs sont exposés incite le personnel à les respecter. Cela augmente à peu de frais la sécurité d’ensemble. De plus, une structure de traitement du retour d’expérience aurait sans doute permis de déceler l’anomalie et d’y remédier de façon pratique en prenant en compte les contraintes de terrain et les propositions des opérateurs.

Le non-respect de la procédure consistait à dépasser le niveau d’hydrocarbure à distiller dans la tour. Mais les opérateurs étaient confiants dans le fait que s’ils dépassaient le niveau prescrit par la procédure, une alarme de « rattrapage » s’activerait. Ils pensaient aussi que la régulation de niveau automatique maintiendrait le niveau dans des limites acceptables. Ce qu’ils ne savaient pas, et que personne n’a contrôlé, c’est que l’alarme de « rattrapage » était défaillante et que la régulation automatique n’avait pas été mise en marche.

Nous relevons là plusieurs erreurs de transmission d’informations, de maintenance et de non-vérification de fonctionnalités importantes pour la sécurité. Organiser les passations de suite entre équipes, entre opérateurs et superviseurs, formaliser les communications, mettre en place des tableaux de situations et un système de bons de travaux opérationnel aurait permis d’alerter les opérateurs et de corriger largement à temps la défaillance, même si les procédures étaient court-circuitées ce jour-là.

L’enjeu de la formation et les conséquences de la défaillance du management

Par ailleurs, les informations présentées à l’opérateur de jour et à son superviseur étaient biaisées et les ont conduit tous deux à se faire une représentation erronée de la situation. Par manque de formation et d’expérience, ils n’ont pas identifié d’incohérences et n’ont pas considéré lesdites informations d’un œil critique. Sensibiliser opérateurs et superviseurs à croiser les informations et, pour ces derniers, à prendre du recul, aurait sans doute permis de déceler une anomalie.

Ne perdons pas de vue qu’une formation défaillante doit être au moins compensée par une supervision plus attentive parce qu’expérimentée. La formation se fait alors naturellement in situ. Constituer une équipe d’un opérateur insuffisamment formé (il ne savait pas que le liquide devait sortir de la tour) et d’un superviseur inexpérimenté (il ne regardait pas les bonnes indications et faisait confiance à l’opérateur) est une erreur de management.

Vis-à-vis des impacts de l’accident, pourquoi y avait-il des bureaux préfabriqués à proximité de la torchère ? Vraisemblablement à cause de l’absence d’analyse de risques. Créer et entretenir une culture de sécurité au sein d’une entreprise encourage le personnel à s’interroger (« que se passerait-il si…») et amène à considérer les opérations en cours d’un œil critique, bénéfique pour la sécurité de tous.

Prévenir de grandes catastrophes par de petites actions simples

Dans le contexte de l’accident, il faut mentionner les pressions de la hiérarchie sur le management de la raffinerie. Outre le fait que cette raffinerie avait été rachetée depuis peu par une autre compagnie et que les tensions étaient encore vives à cause de cultures d’entreprises différentes et de craintes légitimes, une réduction des coûts de 25% avait été décidée. Cela a nécessairement eu un impact sur la sécurité, secteur habituellement considéré comme coûteux pour un retour sur investissement impossible à chiffrer. Inviter les cadres à résister aux sirènes du low cost et à ne pas transiger sur la sécurité aurait permis de prévenir bien en amont ce désastre.

Il n’est pas question ici de décider à qui revient la responsabilité de cette explosion et des 15 victimes : trop de personnes, à tous les niveaux, portent une petite part de responsabilité. L’accident s’explique en effet par cette accumulation d’erreurs. Mais imaginons qu’une seule des personnes impliquées ait corrigé l’une des défaillances, il est certain que l’accident n’aurait pas eu lieu.

Par conséquent, en aidant les entreprises à travailler leur organisation, améliorer les communications entre personnes et entre groupes, en sensibilisant sous de multiples formes les opérateurs et leurs managers aux risques pris, il est possible à peu de frais d’améliorer la sécurité dans de grandes proportions.

Cet article Le facteur humain dans l’accident de la raffinerie de Texas City en 2005 est apparu en premier sur RiskInsight.