Sécuriser un établissement d'enseignement supérieur : la méthode à plusieurs niveaux

Depuis le 5 janvier 2026, l'ensemble du territoire français est maintenu au niveau Vigipirate « urgence attentat ». Pour les établissements d'enseignement supérieur et organismes de recherche, cette posture s'accompagne de consignes spécifiques transmises par le haut fonctionnaire de défense et de sécurité du ministère aux présidents d'université, aux directeurs d'établissement et aux fonctionnaires de sécurité et de défense (FSD) de chaque structure. Mais la difficulté, pour un directeur de sûreté ou un président d'université, n'est pas seulement de connaître ces consignes : c'est de les appliquer à un objet qui n'a rien d'un collège ou d'un lycée. Un campus est ouvert, traversé par des flux d'étudiants, de visiteurs et de chercheurs étrangers, organisé autour de laboratoires sensibles, d'amphithéâtres accueillant du public extérieur et, souvent, de résidences universitaires. Calquer une approche scolaire sur ce terrain conduit immanquablement à des angles morts. Cet article détaille le cadre réglementaire propre à l'enseignement supérieur, les enseignements à tirer de plusieurs précédents documentés en France et aux États-Unis, et la stratégie à plusieurs niveaux que CARINEL recommande pour sécuriser ces établissements sans paralyser leur mission d'ouverture et de recherche.

Un cadre juridique qui distingue nettement l'enseignement supérieur des écoles

La première erreur consiste à appliquer aux universités la réglementation conçue pour le premier et le second degré. Les écoles, collèges et lycées sont soumis à un plan particulier de mise en sûreté (PPMS), rendu obligatoire par une circulaire dont la version actuelle unifie les volets « risques majeurs » et « intrusion-attentat ». Les établissements d'enseignement supérieur, eux, ne sont pas tenus par cette même obligation : ils élaborent un plan de mise en sûreté (PMS) adapté à leurs contraintes propres — amphithéâtres ouverts au public, laboratoires, résidences, campus multi-sites — comme le rappelle le dispositif d'accompagnement PPMS de CARINEL.

Deuxième spécificité, plus structurante encore : le régime juridique de l'autorité interne. En vertu de l'article L. 712-2 du code de l'éducation, le président de l'université exerce un pouvoir de police propre dans les enceintes et locaux universitaires, distinct de celui du maire ou du préfet. Cette prérogative trouve son origine dans les « franchises universitaires », un statut historique qui place en principe le président comme seul responsable du maintien de l'ordre sur son campus, les forces de sécurité intérieure n'intervenant qu'à sa demande ou en cas de trouble grave. Aucune école ni aucun lycée ne connaît cette architecture de gouvernance : c'est elle qui explique pourquoi tant de crises universitaires se jouent autant sur le terrain de la décision interne que sur celui de la sécurisation technique.

Sur cette base, les consignes ministérielles demandent concrètement aux établissements de surveiller les abords des sites, de contrôler les accès des personnes et des véhicules, de mettre en œuvre un contrôle visuel des bagages, de gérer les flux d'étudiants aux points d'entrée sur la voie publique, de signaler à la préfecture les manifestations et rassemblements importants, et de disposer de procédures de veille, d'alerte et de continuité d'activité régulièrement testées.

La PPST et les ZRR : une dimension que les écoles n'ont pas

Les établissements d'enseignement supérieur portant une activité de recherche ont une exposition que ne connaît aucun établissement scolaire : la captation de savoirs scientifiques et techniques sensibles. Le dispositif de protection du potentiel scientifique et technique de la nation (PPST), introduit par le décret n° 2011-1425 et précisé par l'arrêté du 3 juillet 2012 modifié en octobre 2024 ainsi que par le décret n° 2024-430 du 14 mai 2024, permet de créer des zones à régime restrictif (ZRR) dans les laboratoires présentant un niveau de risque significatif. L'accès à ces zones protégées au sens de l'article 413-7 du code pénal est conditionné à l'autorisation du ministre de tutelle, sur demande du chef d'établissement, et le haut fonctionnaire de défense et de sécurité instruit chaque année plus d'un millier de demandes d'accès.

Ce dispositif n'est pas théorique. Entre 2018 et 2021, une doctorante a mené une activité d'espionnage dans des laboratoires des campus de Strasbourg et de Metz, illustrant la vulnérabilité propre aux établissements de recherche face aux tentatives de captation de savoirs sensibles, par ailleurs distincte des intrusions malveillantes plus classiques. Pour les laboratoires concernés, la création d'une ZRR — combinée à un contrôle des accès physiques et logiques cohérent — relève d'une logique de sûreté à part entière, qui peut converger avec des obligations de cybersécurité lorsque l'établissement mène des activités de recherche critique au sens de la directive NIS2. Sans intervenir sur la dimension informatique, CARINEL accompagne cette mise en cohérence en coordination avec ses partenaires cybersécurité.

Ce que deux précédents en France et deux précédents aux États-Unis enseignent

Les retours d'expérience documentés montrent que les failles de sécurité universitaire ne sont presque jamais des failles isolées : elles combinent un défaut de contrôle d'accès, une gouvernance de crise hésitante et des procédures d'alerte mal calibrées.

En France, l'épisode le plus instructif reste l'intrusion violente survenue dans la nuit du 22 au 23 mars 2018 dans un amphithéâtre de l'UFR droit et science politique de l'université de Montpellier, où un groupe d'individus cagoulés a évacué par la force des étudiants occupant les lieux. La mission d'inspection générale diligentée par le ministère a établi que des responsables de l'établissement avaient eux-mêmes facilité l'accès du groupe au site, révélant une défaillance de gouvernance de crise bien plus qu'un simple défaut de moyens techniques.

Aux États-Unis, la fusillade du 16 avril 2007 à Virginia Tech, qui a causé la mort de 32 victimes avant que l'auteur ne se suicide, demeure la référence en matière de défaillance d'alerte : la police, après une première fusillade dans une résidence universitaire vers 7h15, a traité l'événement comme un fait isolé et n'a diffusé une alerte à l'ensemble du campus que près de deux heures plus tard, alors que l'auteur commettait une seconde attaque dans un bâtiment d'enseignement. Cet épisode a durablement transformé les standards américains de notification de masse instantanée sur les campus. Plus récemment, la fusillade du 13 février 2023 à Michigan State University, qui a fait trois morts et cinq blessés, a mis en lumière un défaut différent : l'auteur, sans aucun lien avec l'établissement, a pu pénétrer librement dans deux bâtiments ouverts en soirée. L'université a depuis restreint l'accès de ses bâtiments par badge en dehors des heures de cours et renforcé sa vidéosurveillance — une mesure de contrôle d'accès qu'un campus universitaire, par nature ouvert, ne s'impose pas spontanément.

Ces quatre épisodes, bien que de nature très différente, convergent vers un même constat : la vulnérabilité d'un établissement d'enseignement supérieur ne se loge pas à un seul endroit. Elle se distribue entre le périmètre, les bâtiments, la gouvernance humaine et la chaîne d'alerte.

Une stratégie de sécurisation à plusieurs niveaux

C'est précisément pour traiter cette distribution du risque que CARINEL structure ses missions en enseignement supérieur autour de quatre niveaux articulés, et non d'une liste de dispositifs juxtaposés.

Le premier niveau est périmétrique : contrôle des accès et des véhicules aux entrées de site, contrôle visuel des bagages, gestion des flux aux heures d'affluence, traitement des attroupements aux abords lorsqu'une manifestation ou une conférence à caractère sensible est annoncée. C'est le niveau le plus visible, et celui que les consignes Vigipirate détaillent le plus précisément.

Le deuxième niveau est bâtimentaire et zonal : amphithéâtres et espaces recevant du public extérieur, résidences étudiantes, et zones à régime restrictif des laboratoires sensibles, qui appellent chacune un niveau de contrôle d'accès distinct et proportionné à leur exposition réelle.

Le troisième niveau est humain et organisationnel. Sans une gouvernance de crise clarifiée — qui décide, à quel moment, avec quelle marge d'appréciation face aux forces de sécurité intérieure — les meilleurs dispositifs techniques restent inopérants, comme l'a montré l'épisode de Montpellier. Cela implique de former les équipes via notre système de formation TASK et de sensibiliser durablement le personnel et les étudiants aux modes opératoires suspects.

Le quatrième niveau est celui de la continuité et de l'alerte : plan de mise en sûreté testé par des exercices réguliers, procédure de notification capable d'informer l'ensemble d'un campus en quelques minutes — la leçon centrale de Virginia Tech — et coordination établie en amont avec la préfecture et les forces de sécurité intérieure pour les événements à risque.

Cette articulation correspond à la logique de nos méthodologies Red Traffic Analyses (RTA) et Security Circle Model (SCM), qui cartographient les vulnérabilités d'un site avant de structurer une réponse proportionnée, plutôt que d'empiler des équipements sans hiérarchie.

Auditer avant d'équiper, former après avoir audité

Cette approche à plusieurs niveaux n'a de valeur que si elle s'appuie sur un diagnostic préalable. Chez CARINEL, l'audit de sûreté précède systématiquement toute préconisation technique ou tout programme de formation : il identifie les vulnérabilités propres à chaque site — configuration du campus, exposition des laboratoires, historique des incidents, qualité de la gouvernance de crise existante — avant de proposer un plan de mise en sûreté réellement adapté, puis de former les équipes et les référents internes. C'est cette séquence, et non l'inverse, qui distingue une sécurisation durable d'un empilement de mesures réactives prises après un incident.

Sécuriser un établissement d'enseignement supérieur ne consiste donc pas à reproduire les recettes du milieu scolaire à plus grande échelle. C'est un exercice à part, qui combine un cadre juridique spécifique, une exposition propre à la recherche et une gouvernance de crise singulière. Les établissements qui s'y engagent avec méthode — diagnostic, plan à plusieurs niveaux, formation, exercices — réduisent significativement leur exposition, sans renoncer à l'ouverture qui définit leur mission.

Pour évaluer la maturité sûreté de votre établissement et construire un plan de mise en sûreté adapté à votre campus, prenez rendez-vous gratuitement avec nos experts.

Vous pouvez également nous contacter au 01 89 71 59 06, par email à info@carinel.com, ou consulter www.carinel.com.