Gestion des risques de sûreté : pourquoi la plupart des organisations commencent par le mauvais bout

La gestion des risques de sûreté est présentée partout comme une priorité. Les directions générales l'affichent dans leurs politiques, les responsables sécurité la documentent, les cabinets de conseil la recommandent. Et pourtant, le nombre d'organisations véritablement exposées — sans le savoir, ou sans agir à bon escient — reste élevé.

Pas par manque de volonté. Pas par manque de budget. Mais parce que la plupart des démarches de gestion des risques commencent par le mauvais bout.

Ce que la gestion des risques de sûreté n'est pas

Avant de parler méthode, il faut clarifier un malentendu fréquent.

La gestion des risques de sûreté n'est pas :

• la liste des équipements de protection en place

• un registre de risques rempli une fois par an et mis au tiroir

• la somme des formations dispensées aux équipes

• un plan de continuité d'activité non testé

Ces éléments peuvent tous exister dans une organisation et ne pas constituer une vraie gestion des risques. Ils en sont les artefacts, pas la substance.

La gestion des risques de sûreté, au sens opérationnel du terme, c'est la capacité d'une organisation à identifier les menaces réelles qui pèsent sur elle, à en mesurer l'impact potentiel, et à calibrer ses mesures de protection en conséquence — non pas en fonction de ce que font les autres ou de ce que conseille un catalogue, mais en fonction de sa propre réalité.

C'est une démarche active, continue, ancrée dans le terrain. Et c'est précisément là que le bât blesse.

Le piège du copier-coller sécuritaire

L'erreur la plus répandue : reproduire les mesures de protection d'un secteur ou d'une organisation similaire sans avoir analysé son propre contexte.

Un hôpital déploie un système de contrôle d'accès identique à celui de son voisin. Une entreprise de distribution adopte un protocole anti-braquage standard. Une mairie s'équipe de caméras parce que la commune d'à côté l'a fait. Dans chaque cas, la décision précède le diagnostic.

Ce raisonnement analogique a une logique apparente — si ça marche chez eux, ça marchera chez nous — mais il ignore un fait fondamental : les risques ne sont pas uniformes. Ils dépendent de la localisation, de l'activité, des flux humains, de la configuration des locaux, de l'historique des incidents, du profil des personnes accueillies, des tensions sociales du territoire.

Deux établissements du même secteur, situés à 10 km l'un de l'autre, peuvent présenter des profils de risque radicalement différents. Appliquer les mêmes solutions, c'est parfois surprotéger un point sans risque et laisser béante une vraie vulnérabilité.

Sécurité et sûreté : une distinction qui change tout

Un autre frein à une gestion des risques efficace est la confusion persistante entre sécurité et sûreté. Ces deux dimensions ne recouvrent pas les mêmes réalités et n'appellent pas les mêmes réponses.

La sécurité (safety en anglais) traite des risques accidentels : incendie, chute, accident du travail, défaillance technique. Elle relève principalement du droit du travail, du code de la construction, des normes ERP.

La sûreté (security) concerne les actes intentionnels : intrusions, agressions, vols, dégradations, violences. Elle relève d'une logique de menace, d'intention malveillante, de vulnérabilité exposée.

Ces deux dimensions s'influencent mutuellement — une faille sécurité peut être exploitée à des fins malveillantes, une défaillance sûreté peut créer un danger accidentel — mais elles nécessitent des analyses distinctes. Nous avons détaillé cette distinction fondamentale dans notre article dédié : la différence entre sécurité et sûreté.

Une organisation qui mélange les deux dans un registre de risques unique, ou qui confie la gestion des deux à une seule personne sans formation adaptée, prend le risque de traiter les mauvaises priorités avec les mauvais outils.

C'est l'une des raisons pour lesquelles CARINEL a développé une approche convergente : analyser simultanément les deux dimensions pour identifier les zones d'interaction, les vulnérabilités croisées, et les opportunités de mutualiser les dispositifs de protection.

La méthode CARINEL : diagnostic d'abord, solutions ensuite

Depuis ses débuts, CARINEL part d'un principe simple : on ne peut pas définir une stratégie de protection sans avoir d'abord cartographié les risques réels.

C'est ce que nous appelons l'approche diagnostic-first. Elle s'oppose à la logique catalogue-first, qui part des solutions disponibles pour les appliquer à une organisation.

Concrètement, cette approche se déroule en plusieurs temps.

1. L'analyse des menaces contextualisée

Avant toute recommandation, nous analysons le contexte opérationnel de l'organisation : son activité, ses sites, ses flux, ses parties prenantes, son historique d'incidents. Nous cartographions les menaces qui pèsent réellement sur elle — pas celles qui pèsent sur son secteur en général.

Cette analyse s'appuie sur notre méthodologie propriétaire Red Traffic Analyses (RTA), qui évalue de manière systématique les interactions entre vulnérabilités sécurité et menaces sûreté. Elle identifie les zones d'interface — là où une faille sécurité peut être exploitée malveillamment, ou là où une menace intentionnelle peut générer un accident.

2. L'évaluation de la maturité organisationnelle

Un dispositif de protection ne vaut que s'il est effectivement opéré. Nous évaluons donc non seulement les équipements et procédures en place, mais la capacité réelle de l'organisation à les faire vivre : communication entre équipes, formation des personnels, tests réguliers, culture de sécurité présente ou absente.

C'est souvent ici que les écarts les plus importants apparaissent. Une organisation peut avoir une politique de sûreté exemplaire sur le papier et une vulnérabilité réelle dès lors qu'on observe comment les procédures sont réellement appliquées au quotidien.

3. La priorisation des actions

À partir de ce diagnostic, nous définissons avec l'organisation ses priorités de protection. Pas une liste exhaustive de tout ce qui pourrait être amélioré — une feuille de route réaliste, séquencée, tenant compte des contraintes budgétaires et opérationnelles.

Cette priorisation s'appuie sur l'indice de vulnérabilité : une mesure composite qui croise la probabilité d'occurrence d'une menace, sa gravité potentielle, et la capacité de détection et de réaction de l'organisation.

4. La mise en œuvre et le suivi

La mise en œuvre des préconisations s'inscrit dans un cadre architectural global que nous appelons le Security Circle Model (SCM). Il organise la protection en cercles concentriques — du périmètre externe jusqu'aux zones critiques — en intégrant simultanément les enjeux sécurité et sûreté. Chaque cercle dispose de ses propres dispositifs, procédures et responsables, mais tous fonctionnent en cohérence.

Ce que révèle un audit de sûreté bien conduit

L'audit de sûreté est l'outil central du diagnostic. Pas l'audit de conformité réglementaire — celui qui vérifie si l'organisation respecte les textes. L'audit opérationnel, qui mesure l'écart entre ce qui est censé fonctionner et ce qui fonctionne vraiment.

Dans notre pratique, les audits révèlent systématiquement trois types d'écarts :

Les vulnérabilités visibles mais tolérées. L'organisation sait qu'elles existent, a parfois essayé d'y remédier, mais les a intégrées comme une contrainte permanente. La porte du local technique qu'on ne peut pas fermer à clé parce que les équipes de maintenance passent trop souvent. La caméra du parking qui est en panne depuis six mois mais dont le remplacement n'est jamais prioritaire. Ces points de faiblesse sont souvent les premiers exploités.

Les vulnérabilités invisibles parce que non cherchées. L'organisation ne dispose pas des outils ou de la méthode pour les détecter. Un angle mort dans le flux d'accès des visiteurs. Une procédure d'urgence que les équipes de nuit ne connaissent pas parce qu'elles n'ont pas été formées. Un escalier de service ouvert sur une zone sensible.

Les sur-protections inefficaces. Des dispositifs coûteux dont la valeur réelle de protection est faible au regard des risques effectifs. Des formations répétées sur des scenarios improbables au détriment de la préparation aux incidents courants.

L'audit permet de réallouer les ressources là où elles produisent le plus d'effet protecteur.

Pourquoi la gestion des risques est une démarche continue, pas un projet

Beaucoup d'organisations abordent la gestion des risques de sûreté comme un projet : on l'engage, on le finalise, on passe à autre chose. C'est une erreur structurelle.

Les risques évoluent. Un changement d'activité, un déménagement, une nouvelle réglementation, une évolution du contexte social ou géopolitique, un incident chez un concurrent — chacun de ces éléments peut modifier significativement le profil de risque d'une organisation.

Une politique de sûreté qui n'est pas révisée régulièrement devient rapidement un document qui décrit ce que l'organisation était, pas ce qu'elle est.

La bonne pratique est d'inscrire la gestion des risques dans un cycle structuré : audit initial pour partir d'une base solide, revue annuelle ou biannuelle pour intégrer les évolutions, tests réguliers des procédures pour vérifier leur efficacité opérationnelle, et retour d'expérience après chaque incident — même mineur — pour en tirer des enseignements. Ce cycle suppose également de bien distinguer ce que recouvrent la politique de sûreté et le plan de mise en sûreté : deux outils complémentaires que beaucoup d'organisations confondent ou utilisent de façon interchangeable.

Ce cycle est d'autant plus important qu'il s'inscrit désormais dans un contexte réglementaire exigeant. La directive NIS2, le règlement DORA, la directive REC, l'AFNOR SPEC 2404 : toutes ces références normatives récentes intègrent explicitement la gestion des risques de sûreté physique dans leurs exigences. Les organisations qui n'ont pas encore structuré leur démarche ont tout intérêt à anticiper ces obligations plutôt qu'à les subir.

Ce que change une approche convergente

L'un des apports les plus concrets de l'approche convergente sécurité-sûreté est l'élimination des zones grises de responsabilité.

Dans la plupart des organisations, la sécurité et la sûreté sont gérées par des équipes différentes, avec des budgets distincts, des outils séparés, et des remontées d'information qui ne se croisent jamais. Résultat : les interfaces entre les deux domaines — là où les risques hybrides émergent — ne sont gérées par personne.

L'approche convergente ne signifie pas fusionner les équipes. Elle signifie créer les conditions d'un dialogue structuré : procédures communes sur les points d'interface, tableaux de bord partagés, formations croisées, gouvernance unifiée au niveau de la direction.

C'est cette gouvernance convergente qui permet de détecter les menaces hybrides — par exemple, une intrusion physique visant à faciliter une cyberattaque — et d'y répondre de manière coordonnée plutôt que de laisser chaque équipe gérer sa partie en silo.

Par où commencer ?

La question revient souvent, surtout dans les organisations qui n'ont pas encore de politique de sûreté formalisée ou qui cherchent à faire le point sur l'existant.

La réponse est toujours la même : commencez par évaluer ce que vous avez réellement, pas ce que vous pensez avoir.

Un autodiagnostic de sûreté — même simplifié — permet d'identifier rapidement les zones de vulnérabilité les plus critiques et de commencer à prioriser. C'est un préalable utile avant de s'engager dans un audit complet, et c'est souvent révélateur de décalages entre la perception interne des risques et la réalité du terrain.

CARINEL propose un premier échange gratuit pour aider les organisations à situer leur niveau de maturité et à définir les premières étapes d'une démarche structurée.

Vous souhaitez faire le point sur votre gestion des risques de sûreté ?

Prenez rendez-vous avec nos experts pour un premier échange sans engagement :

• En ligne : carinel.com/test-avec-nos-experts

• Par téléphone : 01 89 71 59 06

• Par email : info@carinel.com

• Site : www.carinel.com