Intervention de Philippe Knoche

Je vous remercie de me donner cette occasion de vous présenter l'engagement de nos 16 000 salariés, dont 12 000 sont employés en France. Chaque jour, vingt-quatre heures sur vingt-quatre, ils assurent la sûreté de nos installations, contrôlent qu'elles fonctionnent dans des conditions qui la respectent et les protègent également contre les menaces extérieures, y compris terroristes. Nous parlerons dans ce cas de « sécurité », même si la réglementation utilise plutôt en la circonstance le terme de « protection physique ».

Votre présentation liminaire décrit parfaitement notre groupe. Je préciserai simplement que ce groupe industriel a investi plus de quatre milliards d'euros dans ses installations françaises au cours de dernières années. Nous sommes un des plus gros investisseurs industriels en France, sur les plateformes du Tricastin et, plus généralement, de la vallée du Rhône, mais aussi dans le nord-ouest. Même s'il ne s'agit pour le moment que de projets de recherche et développement (R & D), le groupe réalise également des recherches sur l'apport médical des matières nucléaires, notamment pour les traitements contre le cancer. Je suis accompagné par Mme Morgane Augé, directrice des affaires publiques France, chargée à ce titre des contacts avec les parlementaires, et par M. Jean-Michel Chéreau, directeur de la protection du groupe ; ancien général de corps d'armée, il a eu à faire face au cours de sa carrière non seulement à des menaces mais, bien entendu, à des affrontements réels avec des groupes armés.

Même si les deux aspects peuvent être liés, je distinguerai dans ce propos liminaire les questions de sûreté et celles liées à la sécurité.

S'agissant de la sûreté, je m'exprimerai en cinq points.

Premièrement, notre niveau d'exigence s'applique à l'ensemble de nos sites, en fonction des enjeux. Nos programmes de formation – que nous nommons « safety excellence » – visent à améliorer notre rigueur d'exploitation : les facteurs organisationnels et humains contribuent fortement à la sûreté. Nous devons faire en sorte que nos équipes ne fassent pas d'erreur lors de leurs interventions. Nous ne sommes ni parfaits, ni infaillibles : l'erreur humaine est toujours possible, mais nous sommes particulièrement exigeants vis-à-vis du risque et respectueux de la réglementation, sur l'ensemble de nos sites.

Deuxièmement, nous appliquons l'ensemble des procédures en la matière dans la plus totale transparence. Nous produisons un rapport annuel sur notre politique de sûreté et les événements que nous gérons ; nous publions également un communiqué de presse sitôt qu'un événement de niveau 1 se produit – l'échelle International nuclear event scale (INES) en compte sept. L'an dernier, nous avons connu douze événements de niveau 1, sans conséquences sur les personnels ni sur l'environnement. Ils n'en font pas moins l'objet d'un communiqué de presse, et sont rapportés sur le site de l'ASN et sur le nôtre.

Cela ne nous empêche pas – bien au contraire, cela nous encourage – à déclarer également à l'ASN les incidents de niveau inférieur : en 2017, on a dénombré cent soixante événements de sûreté intéressants, que l'on pourrait appeler des « écarts », puisque nous traçons chaque écart par rapport nos exigences internes et à celles de la réglementation.

Non seulement cela procède de notre souci de transparence, mais cette démarche, et cela m'amène au troisième point, participe à l'amélioration en permanence de la sûreté. Le traitement de ces cent soixante événements nous permet d'apprendre et de progresser sur la base des écarts, en mettant en place de nouvelles mesures. Nous le faisons systématiquement et nous poussons les démarches d'autres industries à leur extrême. Si les mesures mises en oeuvre ne se révèlent pas efficaces, si les écarts se reproduisent dans certains domaines, alors nous renforçons nos plans d'action.

Ce n'est pas la seule source d'amélioration permanente. Nous disposons d'une inspection interne et nous subissons – comme toutes les installations nucléaires – des réexamens de sûreté tous les dix ans en France. L'ASN procède par ailleurs tous les ans à plus de cent inspections de nos sites, dont environ 20 % sont inopinées. Elles nous amènent parfois à réaliser des exercices ou des opérations pour tester nos réactions, l'ASN ne se contentant pas uniquement d'inspecter ce qui se passe.

Toujours dans cette optique d'amélioration continue, même si nous disposons d'une expertise relativement unique dans le monde, nous nous sommes rapprochés des autres exploitants nucléaires en devenant membre de l'association mondiale des exploitants nucléaires – World association of nuclear operators (WANO). Cette association réalise des peer reviews : ces visites de terrain regroupant plus de vingt sociétés d'exploitants nucléaires sur plusieurs semaines permettent d'évaluer la sûreté quotidienne des sites et donnent lieu à la rédaction de recommandations.

Au total, pour améliorer la sûreté, nous investissons plus de 350 millions d'euros par an, soit 10 % de notre chiffre d'affaires. Cela peut paraître beaucoup, mais c'est notre coeur de métier. C'est pour nous extrêmement important.

Bien entendu, la sûreté est la responsabilité de chaque salarié. Mais, par ailleurs, plus de six cents personnes y travaillent à temps plein et mettent notamment en oeuvre les retours d'expérience lorsque des écarts sont constatés, comme celui que vous avez mentionné s'agissant du Creusot.

Quatrième point, cette volonté d'amélioration permanente vaut également pour la radioprotection. Plus de 14 000 personnes – salariés ou sous-traitants du groupe – font l'objet d'une surveillance en matière de radioprotection. Leur dose moyenne est mesurée annuellement : elle est dix fois inférieure au maximum légal et même à la radioactivité naturelle.

Cinquième point : la surveillance de l'environnement. Chaque année, plus de 30 000 analyses sont réalisées dans l'air, l'eau, les végétaux, ainsi que sur les poissons et la faune autour de nos sites. Cela nous permet de confirmer les résultats des études d'impact réalisées lors des demandes d'autorisation : l'impact de nos activités sur l'environnement est réel – on ne peut le nier – mais il est cent fois inférieur à la radioactivité naturelle, celle qui préexiste à nos activités. Notre impact est donc particulièrement limité.

Les aspects que je viens de souligner ne sont évidemment pas exhaustifs. Je suis à votre disposition pour répondre à toute question complémentaire.

Premier point : en matière de sécurité comme en matière de sûreté, nous ne prétendons pas être parfaits. En revanche, nous cherchons en permanence à nous améliorer et à nous adapter aux menaces. La cuirasse et l'épée, c'est un débat millénaire : nous savons que les menaces évoluent et nous nous adaptons en conséquence.

Nos opposants utilisent beaucoup un exemple que je vais donc reprendre : celui des piscines d'entreposage de combustibles usés à La Hague. Après le 11 septembre, ces piscines ont été protégées par une batterie de missiles anti-antiaériens ; c'était la réponse la plus rapide et la plus efficace, mais nous y avons renoncé depuis pour les raisons que je vais vous expliquer.

Il faut garder en tête que la structure des piscines est composée de deux éléments. Les assemblages de combustibles usés qu'elles contiennent doivent être refroidis – même si une piscine de La Hague représente dix fois moins de puissance thermique qu'un réacteur en sortie, puisque les combustibles ont refroidi. Ces assemblages doivent donc être immergés. Face à une menace terroriste – tir de roquettes ou chute d'avion – nous devons éviter une brèche dans la partie inférieure de la piscine, celle qui contient l'eau, qui provoquerait ce qu'on appelle le « dénoyage » de la piscine. Du reste, et cela relève de la sûreté, en cas d'événements de type séisme ou tornade conduisant à des fissures dans ces piscines, nous nous assurons d'être en mesure de réinjecter de l'eau par des moyens permanents ou mobiles.

Au-dessus de cette partie inférieure emplie d'eau, il y a une superstructure. Si elle est endommagée, c'est évidemment un investissement perdu, ce qui est fort dommageable, mais cela ne conduit pas à un accident tant qu'on ne touche pas à l'intégrité des piscines.

À ce propos nos opposants soutiennent que les structures inférieures de nos piscines ne sont composées que d'un mur en béton de trente centimètres, ce qui est faux. Cette zone comporte plusieurs murs, dont un fait plus d'un mètre d'épaisseur. Autrement dit, au-delà du fait que ces installations sont partiellement enterrées, quelles que soient les configurations – et il y en a plusieurs –, une roquette tirée sur un mur de cette épaisseur ne provoque pas une brèche susceptible de provoquer un dénoyage des piscines. Je ne tire pas à la roquette pendant le week-end, je vous rassure, mais des tests ont été réalisés dans des installations officielles. Et un tir sur la superstructure créerait des dégâts, mais pas un accident nucléaire.

Que se passerait-il en cas de chute d'avion sur les piscines de La Hague ? Les députés qui le souhaiteront peuvent visiter le site ou consulter les plans ou sa reproduction en trois dimensions. Du fait de la configuration du site, un avion gros porteur ne peut atteindre la partie basse et les bâtiments contenant les piscines, puisqu'il y a des bâtiments autour.

En revanche, on ne peut pas exclure la chute d'un avion sur la partie haute, constituée d'une structure métallique légère supportée par des poutres en acier très solides – représentant plusieurs rails de chemin de fer. Sur ce type de supports, une aile d'avion en aluminium, très légère par construction, se disloquerait. Les plus gros débris susceptibles de chuter sont le moteur et sa nacelle. Sachant qu'il y a cinq mètres d'eau au-dessus du combustible usé, et même si elles ne sont peut-être pas parfaites, nos études montrent que la chute d'un moteur ne provoquerait pas davantage le dénoyage d'une piscine.

Tous ces éléments et ces documents ont systématiquement été partagés avec les autorités et nous les tenons à la disposition des députés. Nous nous adaptons donc en permanence aux menaces.

Le deuxième élément, c'est la complémentarité entre l'État et l'exploitant. En amont, c'est bien l'État qui opère les missions de renseignement, qui identifie, définit les approches générales, édicte la réglementation et décrit les menaces à prendre en compte. In fine, en cas d'attaques sévères, ce sont les forces armées – groupe d'intervention de la gendarmerie nationale (GIGN) ou Recherche, assistance, intervention, dissuasion (RAID) – qui interviennent.

En cas d'agression, notre rôle est de minimiser l'impact et les conséquences de la malveillance, de l'attaque ou de l'intrusion et de retarder les intrus. Pour ce faire, nous disposons d'outils à la fois réglementaires et pratiques. En matière réglementaire, nous sommes un organisme d'importance vitale : à ce titre, nous devons déployer un plan de sécurité opérateur, qui n'est pas propre au secteur nucléaire, régulièrement examiné par les autorités. Mais en tant qu'opérateur nucléaire, nous disposons également d'un plan de contrôle des matières nucléaires, réglementé lui aussi. Enfin, chaque site met en oeuvre un plan particulier de protection, revu régulièrement en fonction des menaces. À chaque fois que le haut fonctionnaire de défense l'examine et émet des recommandations, nous devons nous ajuster et rentrer dans la boucle d'amélioration.

Cette démarche couvre notamment cinq types de menaces sur lesquelles je voudrais insister. La première est la menace aérienne ; j'en ai parlé tout à l'heure. À ce propos, nous ne parvenons pas à obtenir de Google Earth et des fournisseurs de services équivalents le floutage de nos sites. Nous ne sommes d'ailleurs pas les seuls concernés, d'autres sites importants de l'État ne sont pas floutés… Le législateur ou le Gouvernement pourrait peut-être tenter de revenir à la situation antérieure, dans laquelle ces sites étaient floutés sur internet.

Deuxième type de menace, l'intrusion. Comme d'autres exploitants nucléaires français, nous sommes protégés par trois types de barrières : la clôture détermine la zone à accès contrôlé. Grâce au vote récent des lois liées à l'évolution de la menace, nous pouvons contrôler ce qui se passe à l'extérieur de la clôture et donc surveiller une personne qui se trouve à proximité. Nous mettons progressivement en place ces surveillances extérieures. La première zone, dite « à accès contrôlé » permet le cas échéant d'identifier d'éventuels intrus. La seconde zone, dite « à protection renforcée », permet de ralentir ou d'intercepter une éventuelle menace. Elle protège une troisième zone extrêmement sensible, à l'intérieur de l'intérieur des bâtiments, et particulièrement protégée. Pour assurer ces missions, plus de trois cent cinquante personnes spécialisées et armées peuvent intervenir – bien entendu, uniquement dans les conditions prévues par le code pénal.

Troisième risque : la malveillance de nos propres intervenants, qui pourraient commettre des actes mettant en cause la sûreté des sites. En préliminaire, je rappelle qu'il n'y a pas de réaction nucléaire à l'intérieur de nos installations : provoquer un accident n'est donc pas évident. Néanmoins, la menace existe puisque nous stockons des matières nucléaires. Nous devons faire attention. L'État a fait évoluer son dispositif de criblage des intervenants dans le secteur nucléaire, en chargeant le Commandement spécialisé pour la sécurité nucléaire (COSSEN) de cette mission. Le criblage est renouvelé tous les ans pour les salariés sous-traitants ; il est bien entendu systématique pour les nouveaux entrants sur nos sites. L'an passé, 16 000 avis de sécurité ont été sollicités, qui ont donné lieu à une centaine de refus, soit moins de 1 % des personnels – proportion similaire à ce que l'on peut constater ailleurs.

Quatrième type de menace : la menace cyber, celle qui évolue le plus rapidement. La menace mais surtout les attaques sont réelles. Nous recensons plus de deux cents attaques par jour sur nos réseaux, dont plus de quatre-vingt-dix attaques virales. Chaque jour, 400 000 événements de sécurité sont analysés par les ordinateurs dédiés à la surveillance de nos réseaux. Nous réalisons ces analyses en partenariat avec un centre de surveillance et avec Thales, sous le contrôle de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Il peut s'agir d'attaques automatiques ; en revanche, deux fois par jour, des attaques très ciblées nous visent spécifiquement, par le biais de logiciels malveillants ou autres techniques.

La menace et les attaques sont donc permanentes. Ces menaces ayant été détectées il y a déjà longtemps, nous avons développé la segmentation de nos systèmes et d'autres parades classiques en termes de cybersécurité. Lors des cyberattaques de type NotPetya de l'an passé, cela nous a permis de ne pas perdre un seul ordinateur ; tous les ordinateurs de nos salariés sont restés parfaitement fonctionnels.

Il n'y a pas de science exacte en matière de cybersécurité, mais nous réalisons en permanence des tests, notamment des tests d'intrusion par le biais d'entreprises extérieures homologué par l'ANSSI. Elles viennent tester nos systèmes une vingtaine de fois par an afin que nous progressions encore. Sur les trois prochaines années (2018-2020), en complément du budget initialement prévu, nous allons investir plus de dix millions d'euros dans notre cybersécurité. C'est un point particulier de vigilance.

Dernier risque, celui lié aux transports : en fonction des catégories, nous organisons plusieurs centaines de transport de matières radioactives par an. Les combustibles usés sont transportés dans des assemblages, eux-mêmes entourés d'une couverture en acier de plus de trente centimètres, afin de bien les protéger contre les attaques. Nous continuons malgré tout à travailler sur ces protections. Ainsi, pour le transport de matières dites de classe I, comme le plutonium, nous disposerons avant la fin de l'année de blindages supplémentaires.

Autre problème, celui de la prévisibilité de nos transports. Nous allons mettre en place des évolutions dans les prochains mois afin de les rendre plus aléatoires, donc moins prévisibles.

Une autre question se pose – que nous ne traitons pas nous-mêmes, bien évidemment, pas plus que celle de la prévisibilité : pour garantir la sécurité, vaut-il mieux des transports plus banalisés ou plus escortés ? Plus l'escorte est importante, plus elle est identifiable. Mais les escortes sont malgré tout rassurantes pour la population. Nous devons mener ce débat avec l'État, afin de trouver le bon équilibre entre transports banalisés, escortes discrètes ou plus visibles.

Sur le plan financier, 50 millions d'euros sont consacrés chaque année à ces menaces. Un plan d'investissement supplémentaire de 140 millions d'euros a par ailleurs été adopté sur plusieurs années. Cela représente un coût de 80 à 100 millions d'euros par an sur les prochaines années pour la seule sécurité, à comparer aux plus de 300 millions d'euros dévolus à la sûreté.

La sécurité représente 5 % des coûts annuels des sites de La Hague et Marcoule (Melox). Le recyclage représentant 2 à 4 % du prix de l'électricité, la sécurité ne représente que quelques millièmes. Même dans l'hypothèse haute d'un doublement des coûts liés à la sécurité – qui ont déjà bien augmenté – cela ne représenterait guère que 0,2 % du prix de vente de l'électricité au consommateur particulier ou industriel.