L’audit de sécurité est désormais récurrent pour bon nombre d’organisations publiques ou privées, tous secteurs confondus dès lors que l’entité dispose de ressources humaines, matérielles et immatérielles pour mener à bien son activité. De ce fait, un espace de travail (entreprise, usine, entrepôt…), un établissement de service public (école, hôpital, maire…) ou tout autre lieu de rassemblement ou réserve stratégique est amené pour différentes raisons à réaliser un audit de sécurité pour protéger ses actifs. Il peut s’agir d’un audit de sécurité physique, informatique, d’un audit de sécurité incendie ou encore d’un audit du prestataire de sécurité privée.
Une fois le périmètre de l’audit de sécurité ou de sûreté choisi, il est essentiel de veiller à la méthodologie associée pour garantir le bon déroulement de ce dernier par rapport aux objectifs visés tels que :
Acquérir une vision exhaustive des forces et des faiblesses en matière de sécurité
S’assurer du respect des normes et des exigences sur la base d’un référentiel donné
Obtenir un diagnostic complet de l'état de la sécurité et des dispositifs associés
Révéler de possibles failles ou dysfonctionnements de sécurité dans l’entreprise
Mettre en évidence des écarts de sécurité par rapport aux exigences réglementaires
…
De plus, certains secteurs sont également soumis à une méthodologie stricte sur la base de référentiels précis comme les OIV (opérateur d'importance vitale) appartenant à des activités sensibles comme le nucléaire, l’eau, la santé, l’alimentation, les transports etc.
Les risques et les nouvelles menaces
Selon le réseau International francophone de formation policière – FRANCOPOL les nouvelles menaces auxquelles nos sociétés sont confrontées sont les suivantes :
Les risques géopolitiques résultant de l’accroissement du terrorisme, de l’insécurité internationale et de la multiplication des zones à risque.
Les risques criminels illustrent l’irruption d’organisations criminelles (mafias, cartels, etc.) dans l’économie légale.
Les risques sociétaux sont l’expression des comportements déviants qui caractérisent les sociétés du XXIe siècle, marqués par la perte des repères religieux, philosophiques et idéologiques, ainsi que par la recherche de sens et la montée du fondamentalisme.
Les risques anticoncurrentiels sont la conséquence du durcissement de la concurrence économique (accroissement de l’intensité concurrentielle, course effrénée à l’innovation et à la conquête des marchés), lequel conduit de nombreux acteurs à recourir à des pratiques hostiles, déloyales ou illégales pour acquérir des informations (espionnage), contourner les règles d’accès aux marchés (corruption, influence, pressions politiques) ou venir à bout de la concurrence (déstabilisation, sabotage).
Les risques pénaux extrajudiciaires sont la résultante de l’application extraterritoriale du droit américain en matière de règles d’exportation (embargos), de normes anticorruption et de lutte contre le terrorisme.
Les cybers menaces illustrent le fait que la révolution numérique a ouvert de nouveaux espaces à la conflictualité, au crime et à la contestation.
Certains de ces risques sont traités au niveau d’État et des Forces de Sécurité Intérieure, d’autres doivent être adressés au sein des organisation.
La conception d’un dispositif global de sécurité et de sûreté
Au niveau de l’entreprise, qui est tenue de prendre toutes les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale de ses salariés, la mise en place d’une politique de sécurité est un des moyens de diminuer les risques qui pèsent sur l’entreprise.
Pour bien comprendre de quelle manière la politique de sécurité et le dispositif global de sécurité peuvent être mis en place, il est important de bien comprendre deux notions :
la sécurité
la sûreté
La sécurité a pour but de prévenir et lutter contre les risques accidentels, naturels et technologiques induisant des dangers d’origine non intentionnelles, tandis que l’application de mesures de sûreté vise à prévenir et à lutter contre les actes délibérés.
La conception d’un dispositif global de sécurité doit, en principe, intégrer les notions de sécurité (prévention d’un événement non intentionnel) et de sûreté (prévention d’un acte intentionnel) en prenant soin que les impératifs de l’un ne contrarient pas les obligations de l’autre, tout en recherchant les complémentarités et synergies opérationnelles nécessaires.
Concernant le périmètre de la sûreté, pour être efficace et pérenne cette conception doit s’inscrire dans le schéma dit du « cycle vertueux » composé des 5 étapes suivantes :
1. État des lieux, aussi appelé audit de sûreté
Audit des lieux
Analyse des sites environnants
Étude d’accessibilité
Audit du matériel et des dispositifs en place
Analyse de l’environnement économique, social, criminel
Inventaire et étude documentaire
...
2. Diagnostic, analyse de performances
Intégration des mesures de sûreté existantes et étude et hiérarchisation des menaces
Identification des vulnérabilités sur les processus, dispositifs et matériels de sûreté
Étude des procédures internes relatives à la sécurisation et la protection du personnel
...
3. Schéma directeur de sûreté, vision et préconisations de sûreté
Élaboration du plan stratégique pluriannuel de la sûreté
Plan d'actions avec des mesures classées par priorité de mise en œuvre et budgétisées
Élaboration d'une stratégie de prévention adaptée intégrant :
la prévention primaire (mesures de dissuasion) ;
la prévention secondaire (mesures de réaction) ;
la prévention tertiaire (mesures de suivi).
4. Mise en place et suivi des chantiers de sécurisation
Déployer d’une manière structurée le plan pluriannuel de la sûreté
Partager largement au sein de l’organisation la politique de sûreté et les procédures mises en œuvre
Former le personnel :
A identifier et savoir agir face aux menaces ;
A l’utilisation des outils et procédures de sécurisation ;
Généraliser la culture de sécurité envers la sûreté.
5. Test d’efficacité des plans de sûreté et leur adaptation en fonction de l’évolution des menaces et vulnérabilités
Tests périodiques des procédures de sûreté pour s’assurer de leur pertinence et de leur exécution.
CARINEL et la conception d’un dispositif global de sûreté
Fort de son expérience dans la conception et la mise en place des dispositifs de sûreté sur plusieurs projets dans les différents secteurs, CARINEL a développé et a mis en place deux méthodologies :
RTA – Red Traffic Analyses
SCM – Security Circle Model
La méthodologie, Red Traffic Analyses (RTA), permet d’identifier et de classifier chaque risque selon un triptyque probabilité / gravité / impact.
Cette démarche correspond aux étapes d’audit et de diagnostic du schéma global de sûreté décrit ci-dessus.
Pour répondre à l’étape 3 du schéma global de sûreté CARINEL a développé une approche appelée Security Circle Model – SCM.
Le SCM permet de modéliser un système de sécurité complet en préconisant les mesures de sûreté qu’elles soient physiques, logiques ou organisationnelles.
Les étapes 4 et 5 du schéma global de sûreté correspondent au déploiement et aux tests réguliers de la politique de sûreté.
Un moyen rapide pour connaître le niveau de vulnérabilité de votre entreprise ou institution est de répondre au questionnaire de l’autodiagnostic sûreté mis en place par CARINEL.
Ce questionnaire gratuit et sans engagement a pour objectif de définir le niveau de vulnérabilité de votre structure à partir de plusieurs paramètres clés.
Il n’est pas sans dire que la démarche d’audit relève de l’investigation qui s’appuie sur des documents de travail précis avant de conclure sur des propositions adéquates et crédibles qui seront formulées au terme de l'audit. On retiendra donc que l’audit de sécurité ou de sûreté repose sur une méthode qui requiert à minima l'observation, la classification et la vérification par des enquêtes appropriées.
Comments