Reason et la gestion des risques

Je m’intéresse un peu à l’aéronautique, et surtout à sa partie technique/maintenance. Or, en surfant sur un de mes forums favoris : crash-aerien.aero, j’ai entendu parler des plaques de Reason. Quel est le rapport avec la choucroute me direz-vous ? Et bien c’est simple, je pense que ce concept est non seulement applicable à l’informatique, mais aussi dans la vie de tous les jours, et que nous pouvons en faire un formidable outil de lutte contre la procrastination !

James Reason est un psychologue expert en facteurs humains. Membre des plus respectées instances du Royaume Uni, il est connu, entre autres, pour ses travaux sur la réduction des risques en milieu hospitalier. Il est aussi le père d’un modèle étiologique d’accidents connu sous le nom de SCM : Swiss Cheese Model. C’est de ce modèle et de son application à l’informatique et à la vie en générale dont je vais traiter 🙂 .

James Reason est donc né en Angleterre en 1938, et diplômé de l’Université de Manchester en psychologie en 1962. Il travaille d’abord sur l’ergonomie des cockpits d’avion, puis sur le mal des transports et la désorientation sensorielle et enfin sur les erreurs du quotidien.

En 1985, il entre dans le domaine de la sécurité industrielle avec un article intitulé « Human factors principles relevant to the modelling of human errors in abnormal conditions of nuclear power plants and major hazardous installations » (nous sommes quelques années après l’accident de Three Mile Island).

Reason s’intéresse alors aux mécanismes cognitifs à l’origine de la production d’erreurs, et publie en 1987 le « Generic Error Modeling System » (GEMS) :

Puis il publie une taxonomie de l’erreur humaine. Celle-ci y est alors définie comme « a generic term to encompass all those occasions in which a planned sequence of mental or physical activities fails to achieve its intended outcome, and when these failures cannot be attributed to the intervention of some chance agent ». On parlera alors d’erreurs pour des actions planifiées (intentionality de l’action) qui n’atteignent pas l’objectif désiré car elles ne se déroulent pas en accord au plan ou le plan lui même est inadéquat pour atteindre l’objectif visé.

On va alors parler de :

  • Les « ratés » de l’action et de lapsus pour les erreurs verbales. Ces erreurs correspondent à un dysfonctionnement lors de l’exécution de l’action et adviennent pour les activités au niveau de contrôle bas (automatismes tâches routinières)
  • Les « méprises » correspondent à un dysfonctionnement lors de la planification de l’action. Elles correspondent aux tâches nécessitant un niveau de contrôle plus élevé (niveau basé sur les règles ou les connaissances)
  • Les « violations » qui sont une transgression volontaire d’une règle ou d’une procédure imposée. Elles peuvent être le fait d’une habitude (souvent facilité par la tolérance de l’organisation), d’une nécessité (matériel inadapté, conflit entre les objectifs de production et de sécurité) ou au pire de sabotage.

Et nous voici enfin à la création du Swiss Cheese Model !

Les premières versions du SCM ont été élaborées entre 1986 et 1988. Reason compare les accidents industriels à certaines maladies comme les cancers. Les accidents ne sont pas le fait d’une cause unique. Ils surviennent suite à une combinaison de plusieurs facteurs, chacun nécessaire mais non suffisant pour briser les défenses (immunitaires dans le cas d’une maladie, techniques, humaines et organisationnelles dans le cas des accidents industriels). Il en déduit que :

  • La probabilité d’un accident est proportionnelle au nombre d’agents pathogènes dans le système ou son organisation
  • Plus le système est opaque et complexe, plus il peut contenir d’agents pathogènes
  • les systèmes les plus simples et moins défendus peuvent êtres victimes d’un accident en présence de moins d’agents pathogènes que les systèmes complexes et bien défendus
  • Plus le niveau hiérarchique d’un individu est élevé dans une organisation, plus son potentiel à générer des agents pathogènes est grand
  • Les agents pathogènes dans un système peuvent êtres détectés de façon proactive. Cette prédictibilité implique donc un intérêt pour réaliser de la prévention sur leur recherche et leur traitement

Une adaptation de cette métaphore aux risques industriels pourrait être :

  • Des décideurs de niveau politique : les concepteurs et le haut management du système. Ils définissent les objectifs et allouent les moyens.
  • Une chaîne managériale chargée de gérer la production. Elle décline la stratégie des décideurs dans leurs sphères respectives (maintenance, opérations…)
  • Des pré-conditions : des opérateurs motivés, formés et entrainés aidés d’une technologie et d’équipements adéquats.
  • Des activités productives : la synchronisation précise entre opérateurs et machines pour produire le bon produit au bon moment.
  • Des défenses, un ensemble de mesures de protections nécessaires quant le système opère.

Cette base permet de décrire comment, où et pourquoi des agents pathogènes sont susceptibles d’agir et de provoquer des défaillances.

Les agents pathogènes peuvent donc avoir différentes origines. Si il s’agit d’un opérateur (inatention, démotivation…), on parlera de « facteur humain ». Si il s’agit des décideurs de niveau politique, on parlera alors de « facteur organisationnel ».

On arrive donc (enfin…) au fameux « Swiss Cheese Model » :

Dans ce modèle, chaque plaque représente une défense d’un système, et chaque trou une faiblesse ou défaillance de ces défenses. On peut imaginer ces plaques comme représentant les défenses technologiques, les défenses liées aux acteurs eux-mêmes (formation, expérience), les barrières correspondant aux procédures, les contrôles administratifs… Il faut considérer les trous comme dynamiques : leur taille et leur organisation évoluent au fil des arbitrages, audits, maintenances, erreurs humaines… Ces trous sont le fait d’actes non sûrs et / ou de conditions latentes.

La trajectoire accidentelle est rendue possible par l’alignement des trous dans les défenses.

Par exemple, pour l’association af447 : http://www.association-af447.fr , l’accident de l’avion pourrait se schématiser comme :

Défaut des sondes Pitot (cause patente) -> non prise en compte d’une unsafe condition dans le retour d’expérience -> non prise en compte du retour d’experience par les institutions compétentes (BEA, DGAC, Air France…) -> incompréhension de la situation par l’équipage -> CRASH.

Un accident n’est JAMAIS la cause d’un unique facteur.

Appliqué à l’informatique, et en simplifiant un peu le modèle pour le mettre à l’échelle, nous pourrions imaginer tout un tas de schémas :

Mots de passe trop faible -> Système non mis à jour -> Environnement à risque (Internet…) -> Piratage 😦

J’ai bien avancé sur mon travail aujourd’hui -> je suis fatiguée -> je ne fais pas de sauvegarde -> Mon disque dur tombe en panne (ou je fais tomber mon ordi…) -> Perte de données 😦

ect…

Je pense même que l’on peut appliquer ce modèle de raisonnement à la vie de tous les jours :

Je suis fatiguée -> J’ai de la route à faire en voiture -> Je n’ai pas changé les plaquettes de frein -> Je n’ai pas fait passer la voiture au contrôle technique -> Je dois circuler en montagne -> Accident 😦

En fait, depuis que j’essaye d’appliquer ce modèle dans la vie courante, je m’aperçois que j’ai beaucoup moins tendance à procrastiner 🙂 et que ma vie semble plus fluide 🙂 .

Je vous encourage donc à tester !

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.