top of page
Rechercher

Politique de sûreté et plan de mise en sûreté : deux outils distincts, une erreur fréquente

  • 29 déc. 2025
  • 6 min de lecture


Cet article fait partie de notre série sur la sûreté en entreprise. Si vous souhaitez d'abord comprendre la différence fondamentale entre sécurité et sûreté, commencez par cet article.


Dans les organisations que nous auditons, nous retrouvons régulièrement deux situations opposées — et toutes deux problématiques.

La première : une organisation dotée d'une belle politique de sûreté, validée par la direction, affichée dans les locaux, mais sans plan opérationnel pour la mettre en œuvre. En cas d'incident, personne ne sait concrètement quoi faire. La politique définit les ambitions, pas les réflexes.

La seconde : une organisation qui a rédigé un plan d'urgence détaillé, avec des procédures de confinement, des listes de responsables, des numéros d'urgence — mais sans politique de sûreté qui en fixe le cadre. Le plan existe, mais il n'est ni connu ni approprié, parce qu'il n'a jamais été porté par la direction comme une priorité stratégique.

Ces deux documents sont complémentaires et indissociables. Pourtant, ils répondent à des logiques très différentes, et les confondre — ou n'en avoir qu'un — génère des failles réelles. Voici comment les distinguer et surtout comment les faire fonctionner ensemble.


La politique de sûreté : ce que la direction s'engage à faire

La politique de sûreté est un document stratégique. Elle ne décrit pas ce qu'il faut faire en cas d'incident — elle dit pourquoi la sûreté est une priorité pour l'organisation, comment elle s'inscrit dans la stratégie globale, et qui est responsable de quoi.

Concrètement, une politique de sûreté bien construite répond à trois questions essentielles.

Quels sont les actifs à protéger ? Pas seulement les bâtiments et les équipements — mais aussi les personnes, les données sensibles, les savoir-faire, la réputation, les relations avec les partenaires. Chaque organisation a ses actifs stratégiques propres. La politique de sûreté les nomme explicitement et établit leur ordre de priorité.

Quelles sont les menaces retenues ? La politique ne liste pas exhaustivement tous les scénarios possibles — elle définit les catégories de menaces jugées pertinentes pour l'organisation : intrusion, malveillance interne, vol, sabotage, terrorisme, selon le contexte et le secteur. Elle traduit ainsi une analyse de risque en orientations claires.

Qui est responsable de quoi ? La politique fixe la gouvernance de la sûreté : qui décide, qui coordonne, qui rend compte. Elle désigne nominalement ou par fonction les responsables de la sûreté, et définit leur périmètre d'action. Sans cette clarté, les responsabilités se diluent et les décisions se prennent trop tard.

Ce document est signé par la direction générale — pas parce que c'est un formalisme, mais parce que sans portage hiérarchique, la sûreté reste une préoccupation périphérique que les équipes ne prennent pas au sérieux.

La politique de sûreté doit être revue régulièrement. Un déménagement, une fusion, une montée en menace dans le secteur, une évolution réglementaire — autant de raisons de la remettre à jour. Un document figé depuis cinq ans n'est plus une politique, c'est une archive.


Le plan de mise en sûreté : ce qu'on fait quand ça arrive

Si la politique dit pourquoi et qui, le plan de mise en sûreté dit quoi et comment — en situation réelle.

C'est un document opérationnel qui décrit les actions concrètes à mener face à des scénarios de menace identifiés. Il ne remplace pas la réflexion stratégique — il en est la traduction pratique. Et c'est précisément pour ça qu'il ne peut pas exister sans une politique de sûreté qui le précède.

Un plan de mise en sûreté efficace est construit autour de scénarios, pas de principes généraux. Pour chaque menace retenue dans la politique de sûreté — intrusion dans les locaux, violence contre le personnel, vol avec effraction, alerte attentat — le plan décrit : les signaux qui déclenchent l'activation, les premiers réflexes à avoir, la chaîne d'alerte à activer, les rôles de chaque acteur, les mesures de protection immédiates, et les procédures de retour à la normale.

Cette logique scénarisée est importante parce que les incidents réels ne ressemblent jamais exactement aux situations génériques. Un plan qui dit "en cas d'intrusion, appeler le responsable sûreté" est inutile si le responsable sûreté est en déplacement, si son numéro n'est connu que de lui-même, ou si les personnes présentes n'ont jamais entendu parler de ce rôle. Un bon plan de mise en sûreté anticipe ces réalités.

Il y a une confusion fréquente à clarifier : le plan de mise en sûreté (PMS) dont nous parlons ici est un outil générique valable pour tout type d'organisation. Il ne faut pas le confondre avec le PPMS (Plan Particulier de Mise en Sûreté), qui est une obligation réglementaire spécifique aux établissements scolaires, encadrée par l'Éducation nationale. Le PPMS est un cas particulier de plan de mise en sûreté — avec ses propres procédures, ses propres exercices obligatoires, et ses propres contraintes.


Ce que l'AFNOR SPEC 2404 apporte à cette articulation

Depuis juin 2025, les organisations disposent d'un référentiel public et gratuit pour structurer leur démarche : l'AFNOR SPEC 2404, publié à l'initiative du ministère de l'Intérieur. Ce référentiel s'adresse en priorité aux TPE, PME et collectivités qui n'ont pas de direction sûreté structurée.

Ce qui est intéressant dans l'AFNOR SPEC 2404, c'est précisément qu'il articule les deux niveaux dont nous parlons. Il propose une logique de processus en plusieurs étapes — identifier les actifs, analyser les menaces, définir les mesures, élaborer le plan, tester et améliorer — qui oblige à construire la politique avant le plan opérationnel, et non l'inverse.

Les organisations qui appliquent ce référentiel peuvent rejoindre le Pacte Sûreté du ministère de l'Intérieur, un dispositif de reconnaissance qui leur permet d'afficher un gage de confiance auprès de leurs parties prenantes.


Pourquoi l'un sans l'autre ne fonctionne pas

Une politique sans plan opérationnel est une déclaration d'intention. Elle montre que la direction a conscience des enjeux, mais elle ne prépare pas les équipes à agir. En situation de crise, les bonnes intentions ne remplacent pas les réflexes. La panique, la désorganisation, les décisions prises sous stress et sans cadre : voilà ce qui arrive quand la politique existe mais que le plan ne suit pas.

Un plan sans politique est une procédure orpheline. Sans portage de la direction, il ne sera ni connu, ni appliqué, ni maintenu à jour. Les équipes qui ne savent pas pourquoi un dispositif existe ont tendance à le contourner dès qu'il leur semble contraignant. Et un plan qui n'a jamais été expliqué, exercé, validé devient rapidement obsolète — un document qui dort dans un tiroir jusqu'au jour où on en aurait besoin.

Il y a aussi un problème de cohérence. Sans politique qui fixe les priorités et les actifs à protéger, le plan opérationnel risque de protéger ce qui est visible plutôt que ce qui est vraiment stratégique. On installe une alarme sur la porte principale, mais on oublie la sortie de secours. On forme les agents de sécurité, mais pas les équipes d'accueil qui sont en première ligne.


Comment les deux s'alimentent mutuellement

La relation entre politique et plan n'est pas à sens unique. La politique de sûreté donne le cadre et les priorités. Le plan opérationnel teste ce cadre dans la réalité — et révèle souvent ses limites.

Un exercice de simulation bien conduit remonte des informations précieuses sur ce qui ne fonctionne pas : un scénario que la politique n'avait pas anticipé, une procédure qui se révèle inapplicable en conditions réelles, une chaîne d'alerte avec un maillon manquant. Ces remontées doivent alimenter une révision de la politique — et parfois une refonte du plan.

C'est pour cette raison que nous insistons, dans nos accompagnements, sur l'importance des exercices réguliers. Pas pour cocher une case réglementaire, mais pour tester la cohérence entre le document stratégique et la réalité opérationnelle. Un écart entre les deux est une information précieuse — à condition de le traiter.

Notre méthodologie Red Traffic Analyses (RTA) permet de mener cet audit de cohérence de manière structurée : elle analyse simultanément les vulnérabilités identifiées dans la politique et les lacunes révélées par le plan opérationnel, pour identifier les zones où la protection est théorique mais pas réelle.


Par où commencer concrètement

La question revient souvent : doit-on commencer par la politique ou par le plan ? La réponse logique est : par la politique, qui fixe le cadre. Mais dans la pratique, les deux se construisent souvent en parallèle et s'enrichissent mutuellement.

Ce qui compte, c'est de ne pas commencer par les outils — ni par les caméras, ni par les procédures, ni par les formations. Ces éléments n'ont de sens que s'ils répondent à une analyse préalable des risques et des menaces propres à l'organisation.

C'est cette logique que nous appliquons systématiquement : d'abord le diagnostic, ensuite le cadre stratégique, ensuite les outils opérationnels. Dans cet ordre, et pas l'inverse.

Pour aller plus loin

Vous souhaitez structurer votre démarche de sûreté ?

Politique de sûreté, plan de mise en sûreté, exercices de simulation : CARINEL vous accompagne à chaque étape, de l'audit initial à la mise en œuvre opérationnelle.

Prenez rendez-vous gratuitement : www.carinel.com/test-avec-nos-experts

Téléphone : 01 89 71 59 06

Commentaires

Les commentaires sur ce post ne sont plus acceptés. Contactez le propriétaire pour plus d'informations.
bottom of page