Pannes électriques, incendies, sabotages : les entreprises vont devoir prévoir le pire

Transports à l'arrêt, paiements numériques et télécommunications en panne, stockages alimentaires périmés, eau potable coupée dans certaines villes. La panne électrique espagnole, il y a une grosse semaine, a montré à quel point les entreprises étaient vulnérables.

La catastrophe n'a pas duré assez longtemps pour virer au drame, mais la piqûre de rappel est sévère.

« La crise espagnole est salutaire pour que les entreprises réalisent à quel point les risques se multiplient au-delà des cyberattaques », pointe Philippe Latombe, député Modem de la 1re circonscription de Vendée. Ce mercredi, la commission spéciale qu'il préside va aborder le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Ce nouveau texte, déjà voté en mars au Sénat, est la transcription française de trois directives européennes (REC, Dora et NIS 2) qui ont été rapprochées dans un seul projet de loi tant les sujets d'anticipation des risques sont proches. C'est une marche supplémentaire pour les entreprises.

Depuis 2006, environ 300 opérateurs d'importance vitale (OIV) dans une douzaine de secteurs doivent avoir un plan de protection des 1.500 sites sensibles (usines, locaux d'une administration, centres de données, etc.) qu'ils gèrent. La nouvelle réglementation va d'abord ajouter à cette liste plusieurs secteurs d'activité, comme les gestionnaires de réseaux de chaleur, la filière hydrogène ou les stations d'épuration.

Elle fait aussi évoluer la doctrine d'une logique de protection des sites à celle d'une stratégie de résilience à un événement extrême. « Les menaces sont devenues tellement nombreuses et les attaques informatiques tellement régulières que la question n'est pas de préserver les sites mais de maintenir les services vitaux, au maximum », explique Olivier Cadic, le sénateur centriste des Français de l'étranger qui préside la commission spéciale de la Chambre haute. « Auparavant, on demandait à un hôpital de déployer des pare-feu autour de son informatique. Maintenant, on va exiger qu'il réapprenne à travailler avec du papier et un crayon », illustre encore Philippe Latombe.

Enfin, le texte introduit des sanctions si l'entreprise ne se prépare pas correctement, avec des montants allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, puis 5.000 euros par jour de non-conformité. Un dispositif censé se substituer au régime de sanction pénal jusqu'ici en vigueur et jamais appliqué.

Un bâton qui n'effraie pas les grandes entreprises et leurs responsables des risques, représentés à l'Association pour le management des risques et des assurances de l'entreprise (Amrae).

Le texte devrait faire l'objet d'un consensus, anticipe Philippe Cotelle, co-président de la commission cyber de l'Amrae, et risk manager d'Airbus Defence & Space. En Europe, on a besoin de se réveiller et de réaliser que les entreprises sont menacées. 

Tous les experts ont encore en tête quelques exemples spectaculaires de grosses failles chez les opérateurs sensibles. En 2018, plusieurs gares parisiennes avaient été paralysées, en plein départs de vacances, à cause de l'incendie d'un poste d'alimentation électrique. L'été dernier, juste avant les JO de Paris, plusieurs petits sabotages attribués à des groupuscules d'extrême gauche avaient suffi à stopper la circulation des TGV. Autre cas d'école régulièrement cité, la ferme de données d'OVH à Strasbourg partie en fumée… avec les données sensibles de bien des entreprises.

A l'étranger, on garde à l'esprit les mégafeux de Californie, les inondations de Valence, en Espagne, ou encore les sectionnements de câbles sous-marins en Baltique.

Le risque pandémie décline doucement

Pour Clotilde Marchetti, qui pilote l'offre risques extrêmes au cabinet de conseil Grant Thornton France, il faut de tels événements pour que les entreprises mettent le sujet en haut de la liste des priorités. Au lendemain de la panne espagnole, elle expliquait « aux Echos » : « Je pense que le sujet panne électrique va remonter dans le Top 5 des risques majeurs dans toutes les cartographies des risques. Comme la pandémie, qui était devenue un non-sujet depuis la grippe aviaire en 2009, est remontée tout de suite après le Covid puis est en train de redécliner tout doucement. »

Le texte, dont le vote définitif n'est pas attendu avant la fin de l'année, devrait donner un coup de fouet dans la culture du risque des entreprises. D'autant que « 80 % des problèmes sont généralement des erreurs d'origine humaine », rappelle Olivier Cadic. Il cite le cas récent d'une grande organisation qui s'est fait hacker à cause d'un responsable du réseau informatique, qui a laissé son mot de passe fuiter. Une erreur de débutant qui a paralysé le système pendant quinze jours.

Pour les parlementaires, les industriels de l'armement sont les plus mûrs sur le sujet, tant ils sont la cible de menaces (espionnage, sabotages) et par la nature sensible de leurs activités. Mais même ce secteur doit progresser. « EDF anticipe bien les risques environnementaux, comme la nécessité de stopper des centrales en cas de chaleur extrême et de manque d'eau, car c'est le coeur de leur activité. Mais le site de Safran de Montluçon, qui équipe les drones, est-il bien préparé aux feux de forêt ? » interroge le député Philippe Latombe.

Pour les entreprises, ces nouvelles obligations risquent d'apparaître comme des énièmes contraintes. C'est pourquoi la ministre chargée du Numérique, Clara Chappaz, s'est opposée à la tentative de certains parlementaires d'étendre les obligations des entreprises à leurs fournisseurs.

Anticipant la critique, le sénateur Olivier Cadic balaie aussi d'emblée le sujet des surcoûts induits pour les entreprises : « Il est sans commune mesure avec les dégâts subis lors d'une attaque. » A l'Amrae, Michel Josset, par ailleurs directeur assurance-prévention de l'équipementier Forvia, rappelle que les équipes risques du CAC 40 se limitent à une poignée de salariés. Il y a un donc un surcoût humain à prévoir. Quant à l'équation financière, elle est complexe. Entre le coût d'assurance, celui des risques non assurables, celui des investissements de protection et de résilience, les entreprises naviguent sur une ligne de crête, appuie Michel Josset.

Les Echos. Par Matthieu Quiret. Publié le 7 mai 2025