Pannes électriques, incendies, sabotages : les entreprises
vont devoir prévoir le pire
Les Echos, 7 mai 2025
L’Assemblée nationale démarre cette semaine l’examen du projet de loi résilience qui doit imposer à de nombreux secteurs économiques « vitaux » de mieux anticiper les risques extrêmes. Une semaine après la panne géante espagnole, la vulnérabilité des entreprises refait surface.
Transports à l’arrêt, paiements numériques et télécommunications en panne, stockages alimentaires périmés, eau potable coupée dans certaines villes. La panne électrique espagnole, il y a une grosse semaine, a montré à quel point les entreprises étaient vulnérables.
La catastrophe n’a pas duré assez longtemps pour virer au drame, mais la piqûre de rappel est sévère. « La crise espagnole est salutaire pour que les entreprises réalisent à quel point les risques se multiplient au-delà des cyberattaques », pointe Philippe Latombe, député Modem de la 1re circonscription de Vendée. Ce mercredi, la commission spéciale qu’il préside va aborder le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Ce nouveau texte, déjà voté en mars au Sénat, est la transcription française de trois directives européennes (REC, Dora et NIS 2) qui ont été rapprochées dans un seul projet de loi tant les sujets d’anticipation des risques sont proches. C’est une marche supplémentaire pour les entreprises.
Depuis 2006, environ 300 opérateurs d’importance vitale (OIV) dans une douzaine de secteurs doivent avoir un plan de protection des 1.500 sites sensibles (usines, locaux d’une administration, centres de données, etc.) qu’ils gèrent. La nouvelle réglementation va d’abord ajouter à cette liste plusieurs secteurs d’activité, comme les gestionnaires de réseaux de chaleur, la filière hydrogène ou les stations d’épuration.
Elle fait aussi évoluer la doctrine d’une logique de protection des sites à celle d’une stratégie de résilience à un événement extrême. « Les menaces sont devenues tellement nombreuses et les attaques informatiques tellement régulières que la question n’est pas de préserver les sites mais de maintenir les services vitaux, au maximum », explique Olivier Cadic, le sénateur centriste des Français de l’étranger qui préside la commission spéciale de la Chambre haute. « Auparavant, on demandait à un hôpital de déployer des pare-feu autour de son informatique. Maintenant, on va exiger qu’il réapprenne à travailler avec du papier et un crayon », illustre encore Philippe Latombe.
Enfin, le texte introduit des sanctions si l’entreprise ne se prépare pas correctement, avec des montants allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, puis 5.000 euros par jour de non-conformité. Un dispositif censé se substituer au régime de sanction pénal jusqu’ici en vigueur et jamais appliqué. Un bâton qui n’effraie pas les grandes entreprises et leurs responsables des risques, représentés à l’Association pour le management des risques et des assurances de l’entreprise (Amrae). « Le texte devrait faire l’objet d’un consensus, anticipe Philippe Cotelle, co-président de la commission cyber de l’Amrae, et risk manager d’Airbus Defence & Space. En Europe, on a besoin de se réveiller et de réaliser que les entreprises sont menacées. »
Tous les experts ont encore en tête quelques exemples spectaculaires de grosses failles chez les opérateurs sensibles. En 2018, plusieurs gares parisiennes avaient été paralysées, en plein départs de vacances, à cause de l’incendie d’un poste d’alimentation électrique. L’été dernier, juste avant les JO de Paris, plusieurs petits sabotages attribués à des groupuscules d’extrême gauche avaient suffi à stopper la circulation des TGV. Autre cas d’école régulièrement cité, la ferme de données d’OVH à Strasbourg partie en fumée… avec les données sensibles de bien des entreprises.
A l’étranger, on garde à l’esprit les mégafeux de Californie, les inondations de Valence, en Espagne, ou encore les sectionnements de câbles sous-marins en Baltique.
Le risque pandémie décline doucement
Pour Clotilde Marchetti, qui pilote l’offre risques extrêmes au cabinet de conseil Grant Thornton France, il faut de tels événements pour que les entreprises mettent le sujet en haut de la liste des priorités. Au lendemain de la panne espagnole, elle expliquait « aux Echos » : « Je pense que le sujet panne électrique va remonter dans le Top 5 des risques majeurs dans toutes les cartographies des risques. Comme la pandémie, qui était devenue un non-sujet depuis la grippe aviaire en 2009, est remontée tout de suite après le Covid puis est en train de redécliner tout doucement. »
Le texte, dont le vote définitif n’est pas attendu avant la fin de l’année, devrait donner un coup de fouet dans la culture du risque des entreprises. D’autant que « 80 % des problèmes sont généralement des erreurs d’origine humaine », rappelle Olivier Cadic. Il cite le cas récent d’une grande organisation qui s’est fait hacker à cause d’un responsable du réseau informatique, qui a laissé son mot de passe fuiter. Une erreur de débutant qui a paralysé le système pendant quinze jours.
Pour les parlementaires, les industriels de l’armement sont les plus mûrs sur le sujet, tant ils sont la cible de menaces (espionnage, sabotages) et par la nature sensible de leurs activités. Mais même ce secteur doit progresser. « EDF anticipe bien les risques environnementaux, comme la nécessité de stopper des centrales en cas de chaleur extrême et de manque d’eau, car c’est le coeur de leur activité. Mais le site de Safran de Montluçon, qui équipe les drones, est-il bien préparé aux feux de forêt ? » interroge le député Philippe Latombe.
Pour les entreprises, ces nouvelles obligations risquent d’apparaître comme des énièmes contraintes. C’est pourquoi la ministre chargée du Numérique, Clara Chappaz, s’est opposée à la tentative de certains parlementaires d’étendre les obligations des entreprises à leurs fournisseurs. Anticipant la critique, le sénateur Olivier Cadic balaie aussi d’emblée le sujet des surcoûts induits pour les entreprises : « Il est sans commune mesure avec les dégâts subis lors d’une attaque. » A l’Amrae, Michel Josset, par ailleurs directeur assurance-prévention de l’équipementier Forvia, rappelle que les équipes risques du CAC 40 se limitent à une poignée de salariés. Il y a un donc un surcoût humain à prévoir. Quant à l’équation financière, elle est complexe. Entre le coût d’assurance, celui des risques non assurables, celui des investissements de protection et de résilience, les entreprises naviguent sur une ligne de crête, appuie Michel Josset.
Panne géante en Espagne : quelles leçons pour les paiements
par carte et sur mobile ?
Les Echos, 2 mai 2025
La récente panne électrique en Espagne a cruellement révélé les limites des paiements par carte ou sur mobile. Un cas d’école que vont disséquer attentivement les spécialistes des paiements en France.
Comment payer par carte lorsque les terminaux de paiement n’ont plus de batterie ? Comment régler ses achats en cash quand les distributeurs automatiques de billets (DAB) ne fonctionnent plus ? A quoi sert le paiement mobile si le réseau est coupé ? L’expérience de la panne d’électricité géante en Espagne et au Portugal le 28 avril a immédiatement fait surgir bon nombre de questions. Un incident qui a donné des sueurs froides aux spécialistes des paiements en France.
Le réseau national Cartes Bancaires en France indique analyser les conséquences de l’événement sur le paiement, le commerce et les DAB. Ses experts étudient les mesures prises par l’Espagne et le Portugal, ainsi que celles qui seraient nécessaires en France en pareille situation. Le réseau national dispose d’un modèle offline qui permet de limiter l’impact de ce genre de situation, mais organise environ une fois par an des exercices de crise impliquant tous les acteurs concernés.
« Nous avons demandé des retours d’expérience à nos adhérents qui ont des magasins en Espagne et au Portugal car nous n’avons jamais été confrontés à ce genre de phénomène, explique également Charlotte Pagot, secrétaire générale de Mercatel, une organisation représentant les commerçants. Nous avons régulièrement des discussions de place pour voir comment se retourner en cas de crise mais c’est sûr que cette expérience va les alimenter. »
Paiements par carte refusés
Concrètement, en Espagne, selon le quotidien « El Pais », les seuls magasins qui sont restés ouverts n’autorisaient pour la plupart que le paiement en liquide, les réseaux de carte ne fonctionnant pas tous. Les terminaux de paiement (TPE) de Sabadell et de Santander pouvaient accepter les paiements normalement, car les serveurs auxquels ils sont reliés avaient des générateurs de secours. Encore fallait-il toutefois que les terminaux des commerçants aient de la batterie, sachant que la panne a duré plus de dix heures par endroits.
Les règlements par le système de paiement instantané espagnol Bizum ont été plusieurs fois interrompus. Pour se déplacer, les gens on dû abandonner les Uber, qui n’avaient plus de réseau et se ruer sur les taxis, qui étaient les seuls à accepter le cash. Mais de nombreux distributeurs de billets étaient en panne également faute d’électricité. Et les banques ont dû fermer certaines de leurs agences.
La Banque d’Espagne a pris contact avec les établissements bancaires dès le jour même pour surveiller la situation. Le réseau de carte local Redsys, l’équivalent de Cartes Bancaires en France, est également resté opérationnel, selon « El Pais ». Tout comme SIBS, le réseau de paiement portugais. Certains magasins ont ainsi pu bénéficier de générateurs de secours [au fioul] pour alimenter leurs TPE et ainsi autoriser les règlements par carte.
Argument pour le cash
« Les réseaux de carte locaux ont un rôle clé à jouer dans ce genre de situation, estime Andrea Toucinho, directrice études, prospective et formations du cabinet Partelya. Le réseau portugais SIBS est un système très centralisé, présent sur toute la chaîne de valeur du paiement, donc sur la carte mais aussi le paiement mobile ou sur Internet. L’avantage, c’est que si SIBS trouve des solutions pour pallier une situation de crise, ça permet d’avoir un service minimum garanti, car toutes les banques sont connectées à ce réseau. »
Au Portugal, l’association de consommateurs DECO, l’équivalent de l’UFC-Que Choisir en France, a néanmoins rapidement pris position pour réaffirmer l’importance d’accepter systématiquement le cash comme moyen de paiement « dans toutes les transactions physiques ». « La digitalisation croissante des paiements doit se faire en parallèle de l’argent liquide, jamais en remplacement », a-t-elle insisté, soulignant l’importance de maintenir et d’optimiser les DAB.
Un argument que partage Mercatel en France et sur lequel la Banque de France insiste régulièrement. L’alimentation des DAB et des commerçants en billets est d’ailleurs régulièrement soumise à des scénarios de crise. Cela a été le cas l’année dernière lors des Jeux Olympiques à Paris, afin de pouvoir parer à un éventuel problème de système de paiement ou encore en 2016 sur un scénario de crue de la Seine. En raison de craintes de cyberattaque russe, les pays nordiques ont déjà incité leurs citoyens à ne pas abandonner les paiements en liquide.
De son côté, l’opérateur indépendant Loomis, qui fournit et alimente des distributeurs automatiques de billets, s’est empressé de prêcher pour sa paroisse. « Bien que les paiements numériques soient extrêmement pratiques et présentent de nombreux avantages, les scénarios qui les rendent indisponibles sont un rappel important de la résilience et de la fiabilité que procurent les billets et les pièces de monnaie », avance-t-il.
Coup à jouer pour l’euro numérique ?
Le paiement « offline », qui est un des cas d’usage prévus pour l’euro numérique de détail, aurait également un très grand avantage dans ce genre de situation, estime Andrea Toucinho, affirmant que l’essentiel est de prévoir une proposition diversifiée de moyens de paiement. « Il faudrait peut-être aussi pousser une réflexion au niveau de l’écosystème des paiements sur des solutions qui puissent être accessibles y compris dans des situations exceptionnelles », ajoute-t-elle. Car sans batterie, difficile d’utiliser son téléphone pour payer en euro numérique.
Les recettes des télécoms face au black-out
Les Echos, 30 avril 2025
Lorsque un réseau électrique tombe, les télécoms suivent par effet domino. Impossibilité d’envoyer des SMS, absence de tonalité lors d’un appel, connexion Internet rompue… Ce black-out rappelle ce qu’avaient vécu les Mahorais en décembre après le passage du cyclone Chido [au 15 décembre 2024, 51 antennes du réseau mobile d’Orange sur 54 étaient alors devenues hors service]. Les coupures de courant, certes rares, ont mené les opérateurs français à s’armer en cas de crise.
Pourquoi les réseaux tombent ?
A Mayotte, le premier réflexe a été de se tourner vers les opérateurs pour faire le point sur le rétablissement de leurs antennes mobiles. Et la réponse était souvent la même : « Nous avons rétabli une partie de notre réseau mais l’électricité n’a pas été remise. » Selon le gendarme des télécoms (Arcep), une antenne 4G consomme jusqu’à 7 kilowatts (kW) et son équivalent en 5G, jusqu’à 19 kW. Dans le cas de la fibre optique, les fils de lumière ne consomment rien. Ce sont les équipements aux extrémités qui réclament des électrons. Côté utilisateurs : la box et tous les équipements afférents, comme un ordinateur ou un téléviseur. Côté opérateurs : le coeur de réseau (l’autoroute qui transporte les données via des serveurs et équipements réseaux énergivores), et les axes secondaires qui envoient Internet à l’échelle locale.
La consommation énergétique des infrastructures a de nouveau progressé en 2023, selon la dernière mesure de l’Arcep (+6 %). En parallèle, la transition de l’ADSL à la fibre a conduit à une baisse marquée de la consommation des réseaux fixes (-14 %). Les deux réseaux ont consommé cette année-là 4,1 TWh (+2 %), auxquels il faut ajouter 3,5 TWh pour les box et décodeurs TV.
Quelles solutions ?
Les antennes possèdent en règle générale une batterie, assurant de trente minutes à deux heures d’autonomie. Ce n’est pas suffisant pour faire face à un black-out comme celui vécu en Espagne, où l’électricité a mis plusieurs heures avant d’être rétablie, mais cela permet d’assurer des communications d’urgence.
Pour les coeurs de réseaux, des batteries sont aussi utilisées. La véritable résilience est cependant apportée par les groupes électrogènes au fioul. « Pour le coeur de réseau, des batteries sont activées en premier en cas de coupure, dans l’attente que le moteur démarre, indique Christian Gacon, directeur des réseaux haut débit d’Orange France. C’est important de maintenir un coeur de réseau car il ne suffit pas de remettre le courant pour relancer internet, cela prend plusieurs heures pour reconstituer l’architecture du réseau. »
A un niveau plus local, les OLT ne sont pas toujours épaulés par ces groupes électrogènes, ce qui priverait donc certains Français d’Internet en cas de black-out. Seuls les services critiques (hôpitaux, police, gendarmerie et ministères régaliens) sont assurés d’avoir une connexion, y compris mobile : certaines antennes critiques peuvent bénéficier des groupes électrogènes.
« On a pensé la résilience des réseaux en enterrant la fibre mais on a oublié que tout dépendait de la seule électricité, or nous avons vraiment besoin de groupes électrogènes au fioul », souffle le patron d’un opérateur.
A-t-on appris des crises passées ?
Lorsque le réseau électrique français faisait face à des risques de délestage à l’hiver 2022, en raison de problèmes techniques dans les centrales nucléaires, les opérateurs télécoms ont mené des travaux en lien étroit avec le gestionnaire de réseau Enedis.
Cela a permis de vérifier les process, réaliser des simulations et tester les groupes électrogènes, coûteux à entretenir et « qui peuvent ne pas démarrer quand on en a besoin », confie un opérateur. La tempête Ciaran, qui avait fait tomber des équipements dans l’ouest de la France à la fin de 2023, a fait prendre conscience aux opérateurs de l’importance de dialoguer étroitement avec le gestionnaire de réseau. Cela s’est confirmé à Mayotte, quand Electricité de Mayotte a été aidé par les télécoms à retrouver une vision de son réseau pour rétablir le courant, après avoir perdu ses serveurs.
En cas de coupure, une solidarité interopérateurs se met en place afin de partager des données. Un « téléphone rouge » est aussi prévu avec le Commissariat aux communications électroniques de défense (rattaché au Premier ministre), les préfectures, et Enedis.
Et Starlink ?
La constellation d’Elon Musk avait été mise en avant à Mayotte pour rapidement rétablir une connexion, mais en s’appuyant… sur des groupes électrogènes. Cela avait provoqué l’ire des opérateurs qui avaient été dépriorisés.
Face aux menaces, les pays nordiques travaillent à un système
de paiement par carte offline
Les Echos, 7 mai 2025
Dans un contexte géopolitique compliqué par la guerre en Ukraine, la Finlande, la Suède, la Norvège, le Danemark et l’Estonie veulent avoir un plan de secours pour les paiements si les connexions Internet venaient à être coupées. En France, Cartes Bancaires dispose déjà d’un modèle offline.
Après avoir recommandé à leurs citoyens de conserver du cash chez eux, les pays du Nord cherchent maintenant un plan pour permettre les paiements par carte hors ligne, au cas où les connexions Internet seraient coupées. Tuomas Valimaki, membre du conseil de la Banque de Finlande, a expliqué ce mercredi à Reuters que la Finlande, la Suède, la Norvège, le Danemark et l’Estonie envisageaient de mettre en place un système de paiement par carte hors ligne afin de disposer d’une solution de secours en cas de coupure de réseau.
Pour ces pays, l’enjeu est de faire face à la menace d’une cyberattaque d’ampleur ou de sabotages de câbles sous-marins par la Russie dans le cadre de pressions liées à la guerre en Ukraine. Cela pourrait potentiellement paralyser les systèmes de paiement et par conséquent semer le chaos en obligeant les magasins à fermer leurs portes.
Stocker les données de transaction
En effet, selon les dernières données de la Banque centrale européenne, les paiements par carte et mobiles représentent 57 % des paiements en magasin en Estonie et 67 % des paiements en Finlande. Et seulement 10 % des Finlandais utilisent le cash comme principal moyen de paiement, selon la Banque de Finlande. Le pays devrait ainsi permettre les paiements hors ligne dès l’année prochaine.
« Comme les paiements par carte nécessitent des liaisons de données internationales en bon état de fonctionnement, la Finlande doit être prête à faire face à des interruptions. De nombreux autres pays sont bien sûr dans la même situation », a déclaré Tuomas Valimaki, ajoutant que la Norvège, la Suède, le Danemark et l’Estonie prévoyaient également d’introduire les paiements par carte hors ligne, et peut-être d’autres pays encore. Il a précisé que les plans étaient encore en cours d’élaboration, mais concrètement il pourrait s’agir par exemple d’utiliser les terminaux de paiement pour crypter et stocker les données de transaction jusqu’à ce que la connexion Internet soit rétablie.
La Finlande aimerait par ailleurs être moins dépendante des grands réseaux de cartes américains Visa et MasterCard, ou des portefeuilles électroniques comme Apple Pay et prévoit d’introduire un système national de paiement par virement instantané d’ici quelques années, a-t-il expliqué.
La Banque centrale de Suède a, de son côté, expliqué à Reuters qu’elle espérait établir un système d’ici au 1er juillet 2026 permettant aux Suédois de faire des paiements par carte hors ligne pour des achats essentiels, en cas de perturbations qui pourraient durer jusqu’à sept jours.
CB a déjà un modèle « offline »
Les pays nordiques ne sont pas les seuls à étudier des plans de paiement hors ligne, et ces initiatives devraient se multiplier face à la variété des menaces qui pèsent aujourd’hui sur l’Europe, que ce soit d’un point de vue industriel, géopolitique ou climatique.
La panne électrique géante qui a touché l’Espagne la semaine dernière a également ravivé les inquiétudes. En France, le réseau national Cartes Bancaires dispose déjà d’un modèle hors ligne qui lui permet de continuer à traiter les paiements chez les commerçants en cas de pannes des systèmes ou de rupture de connexion Internet.
Mais le scénario de crise va être à présent testé sur toute la chaîne des paiements, des commerçants aux banques, en coordination avec les pouvoirs publics, les transporteurs de fonds, le régulateur, etc. Et CB va profiter du retour d’expérience espagnol pour tester des scénarios de rupture énergétique, afin de renforcer les points nécessitant des générateurs de secours.