Introduction
Peut-être avez vous vu passer l'info? Il semblerait que les communes remplacent les sirènes d'alerte SEVESO par le système BE-Alert.
Dans la presse francophone: RTBF, Le Vif, Le Soir
Dans la presse francophone: RTBF, Le Vif, Le Soir
Dans cet article, j'explique pourquoi je pense personnellement que c'est une très mauvaise idée. Non pas parce que je voudrais réfuter inutilement un argument valide...
Il faut bien vivre avec son temps, mon bon Monsieur
... mais parce qu'une analyse de risque simple le montre sans aucune ambiguité. Par ailleurs, il me semble qu'une question essentielle, au delà du système d'alerte choisi (sirène ou BE-Alert), réside dans sa compréhension par les citoyens. Un point trop souvent ignoré par le monde politique, j'y reviendrai en conclusion.
Caveat
Si je pouvais énoncer un seul souhait, c'est que l'on puisse collectivement apprendre de nos erreurs lors des crises précédentes (p.ex. celle du COVID, bien qu'elle ne nécessitait pas de sirène 🤔). Dans la lignée de ce que suggérait Etienne Klein récemment, osons dépasser les guerres partisanes (et autres débats d'experts qui n'en sont pas), et nous tourner plutôt vers des mécanismes d'apprentissage.
C'est dans cette optique que je présente une technique d'analyse de risque que tout un chacun peut comprendre et interroger facilement. Je la présente sur le cas des sirènes en cas de danger seveso/nucléaire. Je fais le voeux que nos politiques la mettent en oeuvre réellement (ou nous démontrent que cela été correctement fait) 🤞.
Un second souhait c'est que l'analyse ci-dessous puisse se transformer en interpellation communale bien écrite, non partisane, et non va-t-en guerre. Cette interpellation pourrait alors être portée par de nombreux citoyens dans les communes concernées 🤞 ?
C'est dans cette optique que je présente une technique d'analyse de risque que tout un chacun peut comprendre et interroger facilement. Je la présente sur le cas des sirènes en cas de danger seveso/nucléaire. Je fais le voeux que nos politiques la mettent en oeuvre réellement (ou nous démontrent que cela été correctement fait) 🤞.
Un second souhait c'est que l'analyse ci-dessous puisse se transformer en interpellation communale bien écrite, non partisane, et non va-t-en guerre. Cette interpellation pourrait alors être portée par de nombreux citoyens dans les communes concernées 🤞 ?
Objectifs du système d'alerte
(je dois m'excuser auprès de toutes les citoyennes, je n'ai pas fait l'effort d'écriture inclusive ci-dessous ; je suis preneur de propositions d'améliorations)
Parlons objectifs tout d'abord.
Parlons objectifs tout d'abord.
- L'objectif d'un système d'alerte, c'est que les citoyens soient alertés d'un danger. Cela parait trivial comme cela, mais observez l'usage du participe passé - alertés - pas d'un infinitif - alerter ; j'y reviendrai.
- On veut que les citoyens soient alertés pour éviter une plus grosse catastrophe encore, c'est l'objectif supérieur.
- Pour qu'ils puissent éviter cette catastrophe, il faut que les citoyens réagissent bien lorsqu'ils sont alertés (par exemple qu'ils se mettent à l'abri)
Ce type de structure peut se dessiner ainsi:
SI un danger seveso ALORS une catastrophe plus grande est évitée -> SI un danger seveso ALORS faire en sorte que les citoyens soient alertés -> SI un citoyen est alerté ALORS il prend les mesures nécessaires pour qu'une catastrophe plus grande soit évitée
Il est peut être utile de prendre un exemple plus spécifique. Dans la suite, j'utiliserai le cas d'un directeur d'école, ses enseignants, et les élèves qui doivent pas exemple se calfeutrer dans une classe lors d'une explosion sur un site classé seveso. C'est anxiogène à dessein: une analyse de risque se doit évidemment d'envisager le pire. Vous pouvez jouer avec d'autres exemples concrets: que se passe-t-il pour des joueurs de foot? dans un home? si l'événement a lieu la nuit? etc.
L'erreur de raisonnement
(ou pourquoi connaître la différence entre un infinitif et un participe passé reste primordial en 2022)
Une erreur de design fréquente dans les systèmes complexes, c'est d'aller trop vite en besogne et de confondre"faire" (infinitif, par un acteur) et "atteindre un état" (participe passé, chez un autre acteur). Dans le cas qui nous occupe "alerter" (dans le chef du bourgmestre qui allume la sirène ou active BE-Alert) vs. "alertés" (dans le chef des citoyens, ce qui n'est pas la même chose).
Avant l'analyse de risque elle-même comparons simplement nos deux systèmes, en affinant cette distinction essentielle.
La sirène
Une erreur de design fréquente dans les systèmes complexes, c'est d'aller trop vite en besogne et de confondre"faire" (infinitif, par un acteur) et "atteindre un état" (participe passé, chez un autre acteur). Dans le cas qui nous occupe "alerter" (dans le chef du bourgmestre qui allume la sirène ou active BE-Alert) vs. "alertés" (dans le chef des citoyens, ce qui n'est pas la même chose).
Avant l'analyse de risque elle-même comparons simplement nos deux systèmes, en affinant cette distinction essentielle.
La sirène
SI un danger seveso ALORS une catastrophe plus grande est évitée -> SI un danger seveso ALORS faire en sorte que les citoyens soient alertés -> SI un danger seveso ALORS faire retentir une sirène bien bruyante -> SI une sirène bien bruyante ALORS les citoyens sont alertés -> SI un citoyen est alerté ALORS il prend les mesures nécessaires pour qu'une catastrophe plus grande soit évitée
BE-Alert
SI un danger seveso ALORS une catastrophe plus grande est évitée -> SI un danger seveso ALORS faire en sorte que les citoyens soient alertés -> SI un danger seveso ALORS envoyer SMS, emails, et appels téléphoniques -> SI envoi de SMS et d'emails ALORS les citoyens sont alertés -> SI un citoyen est alerté ALORS il prend les mesures nécessaires pour qu'une catastrophe plus grande soit évitée
Les objectifs marqués en gras ci-dessus interrogent utilement la capacité de nos deux systèmes à atteindre l'objectif supérieur qui est d'éviter une catastrophe plus grande:
- Dans quelle mesure est-on sûrs que si l'on fait retentir la sirène, tous les citoyens sont bien alertés?
- Dans quelle mesure est-on sûrs que si l'on envoie des SMS/emails, tous les citoyens sont bien alertés?
Mon intuition, c'est que la sirène pourrait bien gagner largement au concours d'efficacité (pensez à notre école, nos joueurs de foot, nos dormeurs). Je rends cela plus précis dans la section suivante.
Remarquez que vous pouvez poser des questions similaires sur d'autres objectifs, et continuer à comparer nos deux systèmes candidats. Par exemple:
- Dans quelle mesure est-on sûrs qu'alerté, le citoyen prenne les mesures nécessaires?
Mon intuition est ici tout autre: les SMS & emails semblent un meilleur moyen d'offrir des instructions précises (si la communication est travaillée en amont, apprenons donc du COVID). Peut-être est-ce le but recherché?
L'analyse de risque
A ce stade "intuitif" on sent venir des débats sans fin, car cela manque de précision. Pour dépasser ce stade, on peut ancrer nos intuitions dans une vraie analyse de risque (toujours informelle ici). Elle opère en trois temps:
- On repart de la situation idéale
- Pourquoi ça a marché?
- Pourquoi cela ne marchera donc pas?
Quelques règles d'abord:
- Ce type d'analyse ne se fait pas sur les objectifs supérieurs, mais bien sur ceux des niveaux les plus bas (soit les feuilles de l'arbre). Nous en avons donc trois ici, qui nécessitent des analyses distinctes.
- Il faut évidemment appliquer ce raisonnement sur les deux systèmes concrets: sirène vs. be-alert.
Je ne ferai pas les six analyses ici. Mon but est essentiellement de montrer en quoi je pense que le système BE-Alert va nous réserver des surprises désagréables, parce qu'il n'est pas assez robuste. Je regarderai donc uniquement l'envoi des alertes (par le bourgmestre) et le citoyen ainsi "alerté".
1. Situation idéale
Un incident sévère a lieu dans une usine classée SEVESO a lieu. Le système BE-Alert a immédiatement été enclenché pour avertir l'ensemble de la population, dont les professeurs et enseignants de l'école toute proche qui ont bien été alertés.
(Ils ont donc pu prendre les mesures nécessaires, et se sont calfeutrés - on est ici sur le troisième but)
2. Pourquoi cela a marché?
Comme je ne connais pas la système BE-Alert en détails, je dois faire des hypothèses. Je les indique avec un (?).
BE-Alert a bien été immédiatement enclenché car:
- Le bourgmestre, averti par l'usine, était proche de son ordinateur (?)
- Son PC était branché et/ou avait assez de batterie
- Il s'est souvenu de son mot de passe, avait itsme sur son téléphone, ou son eID pour s'authentifier (?)
- Seul habilité à le faire (?) il a correctement activé BE-Alert
- L'électricité est restée disponible
- La connexion internet (?) est restée disponible
- Il savait exactement quoi faire, car il avait été formé au préalable
- Il avait la capacité de vérifier qu'il n'avait pas fait d'erreur, donc de mesurer le résultat de son action
- Il n'a pas fait l'hypothèse que quelqu'un d'autre s'en occuperait (protection civile, pompiers) (?)
L'ensemble des citoyens (nos enseignants, joueurs de foot, etc.) ont été correctement alertés car:
- Un nombre suffisant d'entre eux étaient enregistrés sur BE-Alert
- L'adresse email ou numéro de téléphone renseigné lors de l'inscription était toujours en activité
- Ils avaient accès à leur téléphone et/ou leur ordinateur au même moment
- La catastrophe a (donc) eu lieu en journée
- Ils avaient accès au réseau, n'étaient pas dans une zone blanche
- Les emails n'ont pas atterri en SPAM
- Les citoyens n'ont pas classé l'email verticalement, par exemple en confondant un email d'information et un email d'alerte (looking at you comité de concertation covid)
- Les SMS & emails ont donc été immédiatement lus
- Par ailleurs, BE-Alert n'a pas présenté de bug majeur
- Il n'y a pas eu d'intention malveillante de mettre BE-Alert à terre au même moment
- La capacité de BE-Alert était suffisante pour contacter tous les citoyens en moins d'une heure (?)
- La capacité du réseau téléphonique a supporté la charge elle-aussi
3. Pourquoi cela ne marchera donc pas?
La véritable analyse de risque consiste à étudier la probabilité qu'une des conditions ci-dessus ne soit pas satisfaite (puis d'en évaluer la gravité, mais c'est un sujet que je n'aborde pas ici).
Par exemple:
- Quelle est la probabilité que le bourgmestre soit immédiatement disponible (si seul habilité)?
- Quelle est la probabilité que l'électricité ne soit plus disponible en cas d'incident seveso?
- Quelle est la probabilité qu'Internet soit resté disponible localement en cas d'incident seveso?
- Quelle est la probabilité que la catastrophe n'ait pas lieu en journée?
- Quelle est la probabilité qu'un enseignant ou joueur de foot n'ait pas accès à son téléphone?
- Quelle est la probabilité qu'il faille envoyer plus de 360.000 SMS en une heure (capacité actuelle de BE-Alert)?
- etc.
La "beauté" d'une analyse de risque c'est qu'il ne faut pas que toutes les conditions énoncées à la section précédente soient insatisfaites. Il suffit généralement d'une seule d'entre elles pour faire tomber le château de cartes (et donc se retrouver avec une catastrophe plus grave, par exemple une école intoxiquée).
Dans la plupart des catastrophes passées, on a observé que les systèmes étaient souvent conçus pour être robustes à l'insatisfaction d'une seule condition. C'est la combinaison de conditions insatisfaites qui nous a généralement mis dedans. Dans le cas qui nous occupe, on peut imaginer le fait que l'accident seveso soit précisément du à une coupure généralisée d'électricité, que le générateur de secours n'a pu être utilisé (pénurie d'essence), alors que par ailleurs, l'explosion a emporté la cabine Belgacom qui reliait la commune, faisant perdre un temps précieux pour activer BE-Alert.
Pour comparer deux systèmes, compter le nombre de conditions nécessaires pour qu'il fonctionne correctement offre un bon indicateur. Je ne peux que nous inviter ici à faire ce travail de comparaison, en appliquant la même méthode d'analyse de risque sur le système "sirène". J'ai personnellement Einstein visé en tête: favorisons la simplicité.
Conclusion
Je suis informaticien, j'ai déjà vu bien trop de bugs et de logiciels mal conçus dans ma carrière.
Je fais des analyses de risque, j'ai donc un biais naturel pour le "et donc ça ne marchera pas".
Il s'agit de biais, j'en conviens, qui m'amènent sans doute à penser à tort que "ces bonnes vieilles sirènes feront bien mieux le job", et qu'une décision politique trop rapide pointe peut-être le bout de son nez (rappelons-nous des masques, de la sortie du nucléaire, etc.).
Je ne veux donc pas trop vite entendre que cette décision est nécessairement mauvaise (d'autant que l'analyse ci-dessus repose sur nombre d'hypothèses non vérifiées - je manque d'information). Je pense personnellement que les deux systèmes pourraient cohabiter. La sirène a l'immense avantage d'être un système de broadcast simple et efficace pour avoir des citoyens "alertés". BE-Alert a l'immense avantage de pouvoir envoyer des instructions claires. Cette stratégie est évidemment plus coûteuse et comporte ses risques propres.
Mes conclusions, que j'aimerais voir donner lieu à une interpellation citoyenne massive dans les communes concernées, seraient plutôt celles-ci:
Je fais des analyses de risque, j'ai donc un biais naturel pour le "et donc ça ne marchera pas".
Il s'agit de biais, j'en conviens, qui m'amènent sans doute à penser à tort que "ces bonnes vieilles sirènes feront bien mieux le job", et qu'une décision politique trop rapide pointe peut-être le bout de son nez (rappelons-nous des masques, de la sortie du nucléaire, etc.).
Je ne veux donc pas trop vite entendre que cette décision est nécessairement mauvaise (d'autant que l'analyse ci-dessus repose sur nombre d'hypothèses non vérifiées - je manque d'information). Je pense personnellement que les deux systèmes pourraient cohabiter. La sirène a l'immense avantage d'être un système de broadcast simple et efficace pour avoir des citoyens "alertés". BE-Alert a l'immense avantage de pouvoir envoyer des instructions claires. Cette stratégie est évidemment plus coûteuse et comporte ses risques propres.
Mes conclusions, que j'aimerais voir donner lieu à une interpellation citoyenne massive dans les communes concernées, seraient plutôt celles-ci:
- L'analyse de risque qui a accompagné la décision politique de remplacer les sirènes par le système BE-Alert ne devrait-elle pas être partagée dans la plus grande transparence?
- Ne devrait-on pas donner un accès libre aux détails de fonctionnement des deux systèmes, pour que des citoyens motivés, académiques, et autres professionnels puissent étudier ces risques, et émettre le cas échéant des propositions d'amélioration?
- Ne faudrait-il pas attendre que l'ensemble des citoyens soient connectés à BE-Alert, et sachent comment il s'utilise, avant de remplacer les sirènes?
- Sirène ou BE-Alert, n'oublie-t-on pas un peu rapidement qu'un système d'alerte n'est efficace que si les citoyens ont été formés au préalable, à reconnaître l'alerte et savoir comment y réagir?
Répondre à ces questions me parait primordial: ils sont un reflet de nos manquements lors des crises précédentes: stock de masques supprimés avant l'achat de nouveaux, alertes inondations reçues au SPW mais ignorées, etc.
Personnellement, j'aimerais éviter de lire le journal un matin, d'apprendre qu'une école a été intoxiquée, de penser "et donc, ça n'a pas marché?" et de découvrir que certains ont entendu la sirène (ou reçu un SMS qu'ils n'avaient jamais vu avant), mais qu'ils n'ont simplement pas su comment réagir.