top of page
Rechercher

Sécurité et Sûreté : comprendre les enjeux concrets dans les organisations

  • 16 janv.
  • 7 min de lecture

Avant de lire cet article, si vous n'avez pas encore clarifié la différence entre sécurité et sûreté, nous vous recommandons de commencer par "Quelle est la différence entre sécurité et sûreté ? ici . Ce que nous abordons ici, c'est ce qui se passe quand cette distinction n'est pas maîtrisée dans une organisation.


Dans la majorité des organisations que nous auditons, la distinction entre sécurité et sûreté est connue — du moins en théorie. Les responsables savent que la sécurité protège contre les accidents, la sûreté contre la malveillance. Mais entre savoir et organiser, il y a un écart considérable. Et c'est dans cet écart que se logent les vraies vulnérabilités.

Ce n'est pas la confusion sémantique qui coûte cher. C'est ce qu'elle produit en aval : des budgets mal orientés, des responsabilités floues, des incidents mal gérés, des formations inadaptées. Cet article explore ces conséquences concrètes, secteur par secteur, et explique pourquoi une gouvernance convergente est devenue une nécessité opérationnelle et non plus un idéal théorique.


Quand la confusion entre les deux produit des angles morts

Le premier effet de la confusion sécurité-sûreté n'est pas visible immédiatement. Il se manifeste dans des situations de crise, quand les équipes découvrent que leur organisation n'avait pas prévu le bon dispositif pour le bon type d'événement.

Prenons un exemple fréquent : un employé déclenche une alarme incendie alors qu'il n'y a pas de feu. Dans une organisation bien structurée, ce signal ambigu déclenche deux vérifications parallèles — une vérification technique (y a-t-il un départ de feu ?) et une vérification de sûreté (est-ce une manœuvre de diversion pour créer un mouvement de foule exploitable ?). Dans une organisation qui ne distingue pas les deux logiques, seule la première vérification a lieu. La deuxième possibilité ne vient même pas à l'esprit.

Ce n'est pas un exemple théorique. Les intrusions dans les établissements de santé, les vols organisés dans les entrepôts logistiques, les tentatives d'accès non autorisé dans les sites industriels utilisent régulièrement des déclencheurs de sécurité (fausses alertes, coupures de courant, saturations des systèmes de surveillance) comme vecteurs d'accès. Une organisation qui traite ces événements uniquement sous l'angle de la sécurité passe à côté de la menace réelle.


Les enjeux par secteur : pas les mêmes risques, pas les mêmes priorités

La distinction sécurité-sûreté ne s'applique pas de la même manière selon les contextes. Chaque secteur a ses menaces dominantes, ses obligations réglementaires spécifiques et ses angles morts habituels.

Dans les établissements de santé

L'hôpital est probablement l'environnement où la convergence sécurité-sûreté est la plus complexe à gérer. Les enjeux de sécurité y sont considérables : incendie dans des bâtiments accueillant des patients alités, risques liés aux équipements médicaux, gestion des produits dangereux. Mais les enjeux de sûreté y sont tout aussi présents et croissants : violences contre le personnel soignant, vols de médicaments (notamment les stupéfiants), intrusions, enlèvements de nouveau-nés, gestion des patients en situation judiciaire.

Ce qui complique la situation, c'est que les deux logiques entrent parfois en tension directe. Une porte coupe-feu laissée ouverte pour faciliter les flux de soins est une bonne pratique de sécurité opérationnelle — et une faille de sûreté majeure. Un accès ouvert la nuit pour les urgences est une nécessité médicale — et un point d'entrée pour des personnes malveillantes.

La loi du 9 juillet 2025 sur la protection des professionnels de santé a renforcé le cadre réglementaire, mais elle ne résout pas la question organisationnelle : qui, dans l'établissement, est en charge de penser la sûreté de manière structurée, et comment articule-t-il son action avec le responsable de la sécurité technique ?

Dans les entreprises industrielles et les sites sensibles

Sur les sites industriels, la sécurité est souvent très développée — les contraintes réglementaires (ICPE, sites SEVESO, normes de sécurité au travail) y ont imposé des dispositifs rigoureux. La sûreté, en revanche, est fréquemment le parent pauvre.

Pourtant, les menaces de malveillance sur les sites industriels sont réelles et documentées : espionnage industriel, vol de matières premières ou de produits finis, sabotage d'équipements par des concurrents ou des activistes, menaces internes d'employés mécontents. Un site qui a investi massivement dans la prévention des accidents industriels peut être très vulnérable à une intrusion ciblée ou à une fuite de données stratégiques.

Le risque de convergence est ici particulièrement critique : un sabotage d'équipement (acte de sûreté) peut provoquer un accident industriel majeur (événement de sécurité). Traiter ces deux dimensions en silos, c'est s'exposer à ne pas voir la menace se construire.

Dans les établissements scolaires

L'école présente une configuration particulière : elle doit accueillir du public en nombre, dans des bâtiments anciens souvent difficiles à sécuriser, avec des équipes peu formées aux enjeux de sûreté et des contraintes pédagogiques qui s'opposent parfois aux logiques de protection.

Les obligations réglementaires sont claires : chaque établissement scolaire doit disposer d'un PPMS (Plan Particulier de Mise en Sûreté), qui distingue les procédures selon la nature du risque — évacuation pour les risques accidentels, confinement pour les risques d'intrusion ou d'attentat. Ce document est en lui-même une démonstration pratique de la distinction sécurité-sûreté.

Mais dans la réalité, beaucoup d'établissements ont un PPMS rédigé sans exercice réel, des équipes qui ne connaissent pas les procédures, et des bâtiments dont la configuration rend le confinement théoriquement impossible. La distinction est maîtrisée sur le papier ; elle ne l'est pas dans les têtes ni dans les pratiques.

Dans les collectivités territoriales

Les collectivités gèrent des espaces publics, des équipements culturels et sportifs, des services techniques — autant d'environnements où sécurité et sûreté s'entrecroisent continuellement. La responsabilité du maire en matière de sécurité des administrés est à la fois morale et juridique.

Ce qui manque le plus souvent dans les collectivités, c'est une vision consolidée des risques. La sécurité des bâtiments est gérée par les services techniques. La sûreté — quand elle est pensée — relève de la police municipale ou de la direction générale. La formation du personnel transversal (accueil, animation, entretien) est rarement au programme. Et pourtant, ce sont souvent ces personnes qui sont en première ligne lors d'un incident.

Le problème de gouvernance : qui pilote quoi ?


Au-delà des secteurs, il y a une question organisationnelle commune qui revient dans presque toutes nos missions : la confusion des responsabilités entre sécurité et sûreté crée des zones grises dans la gouvernance.

Dans beaucoup d'organisations de taille intermédiaire, le même responsable gère à la fois la sécurité au travail, la sûreté des biens et des personnes, et parfois une partie de la relation avec les prestataires de gardiennage. Ce cumul n'est pas forcément un problème — mais il l'est quand ce responsable n'a pas été formé à la spécificité de la logique de sûreté, qui demande une posture d'anticipation face à des menaces intentionnelles, pas seulement une logique de conformité réglementaire.

Il l'est aussi quand, en cas d'incident, personne ne sait clairement qui décide et selon quelle procédure. L'accident de travail a son circuit réglementaire (DUERP, déclaration à la CPAM, etc.). L'acte de malveillance a le sien (dépôt de plainte, préservation des preuves, information de la direction, activation du plan de crise). Mais si les équipes n'ont jamais réfléchi à cette distinction, l'incident sera traité selon les réflexes disponibles — pas selon la procédure adaptée.


Ce que les réglementations imposent désormais

Le cadre réglementaire évolue dans le sens d'une plus grande exigence sur les deux dimensions.

Du côté de la sécurité, le Code du travail, les normes ERP, les obligations sectorielles (ICPE, Seveso, établissements de santé) ont depuis longtemps structuré les obligations des organisations. Du côté de la sûreté, le mouvement est plus récent mais accéléré.

L'AFNOR SPEC 2404, publié en juin 2025 à l'initiative du ministère de l'Intérieur, fournit désormais un référentiel opérationnel gratuit pour élaborer un plan de sûreté — accessible même aux organisations sans expertise ni budget dédiés. Le dispositif Pacte Sûreté permet aux entreprises qui s'y conforment d'afficher un gage de confiance reconnu par le ministère.

Par ailleurs, les directives européennes NIS2 et REC renforcent les obligations de résilience pour les entités critiques — une résilience qui ne se limite pas à la cybersécurité mais inclut explicitement la sécurité physique et la sûreté des installations.

Ces évolutions réglementaires convergent toutes vers le même constat : une organisation qui ne pilote pas explicitement ses enjeux de sûreté s'expose à des risques légaux, opérationnels et réputationnels croissants.


Vers une gouvernance convergente : ce que ça change concrètement

Piloter ensemble sécurité et sûreté ne signifie pas les fusionner ni confier les deux à la même personne. Cela signifie créer les conditions d'une coordination effective entre des logiques différentes mais complémentaires.

Dans les organisations que nous accompagnons, cette convergence prend plusieurs formes concrètes. Elle passe par un diagnostic partagé qui cartographie les risques accidentels et les menaces intentionnelles en les traitant comme deux dimensions d'un même tableau de bord, pas comme deux sujets séparés. Elle passe par des procédures qui anticipent les deux types d'événements et qui définissent clairement qui fait quoi selon la nature de l'incident. Elle passe par une formation qui donne à l'ensemble du personnel — pas seulement aux responsables sûreté — les réflexes de base pour reconnaître un événement anormal et adopter la bonne posture.

Notre approche par le Security Circle Model (SCM) organise cette protection en cercles concentriques, du périmètre extérieur jusqu'aux actifs critiques, en traitant simultanément les vulnérabilités de sécurité et les menaces de sûreté à chaque niveau. Ce n'est pas une complexité ajoutée — c'est une simplification : une seule architecture de protection, cohérente, au lieu de deux dispositifs parallèles qui s'ignorent.


Ce qu'il faut retenir

La distinction entre sécurité et sûreté n'est pas un exercice intellectuel. Elle structure la façon dont une organisation identifie ses risques, alloue ses ressources, forme ses équipes et réagit en situation de crise.

Quand cette distinction est maîtrisée et intégrée dans la gouvernance, elle renforce l'efficacité de chaque dispositif. Quand elle ne l'est pas, elle génère des angles morts que des acteurs malveillants savent parfaitement exploiter.

La bonne nouvelle, c'est que cette maturité organisationnelle n'est pas réservée aux grandes entreprises avec des directions sûreté structurées. Les outils existent, les référentiels sont accessibles, et l'accompagnement peut être proportionné à la taille et aux moyens de chaque organisation.

Pour aller plus loin

Votre organisation est-elle exposée sans le savoir ?

La première étape, c'est de comprendre où vous en êtes réellement — pas par rapport à un modèle théorique, mais par rapport à vos risques concrets. CARINEL propose un premier échange gratuit pour vous aider à y voir clair.

Prenez rendez-vous : www.carinel.com/test-avec-nos-experts Téléphone : 01 89 71 59 06 Email : info@carinel.com Site : www.carinel.com

 
 
 

Commentaires

bottom of page