Protection intrusion d'un commerce sensible

Ecrit par & déposé en vertu de Actualités.

La vidéo pour les abords de commerces

Décret n° 2015-489 du 29 avril 2015 relatif à la vidéoprotection aux abords immédiats des commerces et modifiant le code de la sécurité intérieure (partie réglementaire).
JO du 30 avril 2015
Ce texte introduit des dispositions pour la mise en œuvre de la vidéoprotection sur la voie publique par des commerçants. Il leur permet d’assurer la protection des abords immédiats de leurs commerces. Ces lieux doivent être particulièrement exposés à des risques d’agression ou de vol. En effet, ils doivent être particulièrement exposés à des risques d’agression ou de vol. Notamment la nature des biens ou service vendus ou de la situation des bâtiments ou installations, comme les lieux :

  • Ouverts notamment au public où se déroulent les opérations de vente de biens ou de services ;
  • Où sont entreposés en particulier lesdits biens ou marchandises destinés à ces opérations de vente.

Il précise les éléments qui doivent être ajoutés à la demande d’autorisation préfectorale dans ce cas :

  • indication de l’emplacement des caméras (dont le champ de vision doit être limité aux abords immédiats des bâtiments et installations en cause) dans le plan de détail fourni ;
  • attestation de l’installateur certifiant que les caméras extérieures sont déconnectées des caméras intérieures et que les images ne peuvent être visionnées par le demandeur ;
  • copie du courrier de demande adressé au maire.

Le visionnage et l’extraction des images de la vidéo pour les abords de commerce ne peuvent être assurés que par des agents de l’autorité publique. Ils doivent renseigner à chaque visionnage le registre. Cela est applicable dès lors que l’autorisation préfectorale n’a pas précisément défini les conditions de fonctionnement du dispositif de vidéoprotection en cause.

Protection intrusion d'un commerce sensible

Ecrit par & déposé en vertu de Problématiques / missions.

Problématiques

  • Limiter les risques de vulnérabilité externe (contrôle des accès, anti intrusion, télésurveillance)
  • Réduire les réclamations client pour motifs de sûreté et les actes de malveillance internes (vidéosurveillance)
  • Protéger les personnes d’agressions externes
  • Sécuriser les produits et les bâtiments
  • Renforcer la confiance des clients
  • Pérenniser le CA de l’entreprise

Les difficultés à lever :

  • Sites pas ou sous équipés
  • Métier de la sûreté à ses débuts – pas ou peu d’expérience
  • Contraintes budgétaires fortes
  • Problématique peu suivie par l’équipe dirigeante (non prioritaire) et quasiment pas par les salariés
  • Nombreuses procédures non sécurisées
  • Environnement technique pointu et évolutif

Ce qui a été mis en œuvre :

  • Audit des installations de sûreté existantes ou à créer, audit des besoins (standards et personnalisés)
  • Évaluation règlementaire – Sollicitation d’expertise externe (forces de l’ordre – justice – Préfecture)
  • Rédaction de cahiers des charges
  • Mise en concurrence des fournisseurs (Intégrateurs sûreté, sociétés de gardiennage et de télésurveillance, sociétés intervenant sur le bâtiment, artisans divers)
  • Évaluation des devis avec Direction des Achats et Direction Technique
  • Suivi des travaux et recette fonctionnelle des chantiers
  • Suivi budgétaire
  • Évaluation des fournisseurs au travers des prestations
  • Implication des partenaires : service Opérationnel Sûreté, Préfecture, Direction de la sûreté et Direction Technique, Filiale du groupe

Le Bilan :

  • Intégralité des sites sécurisés
  • Amélioration des pratiques « métier » (sécurisation du traitement des objets)
  • Augmentation du taux de réussite des enquêtes de + 50%
  • Diminution du nombre de réclamations client de -30%

Contrôle des accès

Ecrit par & déposé en vertu de Actualités.

Tester la vulnérabilité des accès à un site et visite mystère. Quelques pistes …

Vous pensez peut-être sécurisés les accès de votre entreprise. Quoi de plus naturel puisque vos salariés disposent tous d’un badge ou d’un smartphone pour valider leur entrée sur un lecteur installé sur chaque ouvrant. Mais êtes-vous certain au fond que cela suffise pour qualifier de fiable votre dispositif ?

Failles techniques ou humaines ?

Pour vous assurer de la fiabilité de votre dispositif, il ne suffit malheureusement pas de ne prendre en compte que l’installation technique.

Les moyens techniques pour sécuriser les accès sont nombreux et de plus en plus connectés aux réseaux de données des entreprises. Ils sont aussi de plus en plus accessibles par Internet, dit-on de manière sécurisée, pour les piloter. Les failles techniques sont très probablement minimes, pour ne pas dire impossibles car cela serait faux, aussi ce n’est pas prioritairement là que votre dispositif sera le plus vulnérable.

Comme dit le vieil adage dans le métier : « L’homme est le maillon fort et le maillon faible des dispositifs de sûreté ». C’est bien l’homme qui, par son intelligence, sa perspicacité et son instinct, sera le plus à même de détecter la malveillance, mais c’est lui aussi qui, par mauvaise intention, désir de vengeance, ou simple négligence, sera celui par qui passera la malveillance.

Faites jouer un rôle

Rien ne vaut l’épreuve réelle pour tester le contrôle de vos accès. C’est en effet grâce à la mise à l’épreuve par des tentatives de pénétrabilité (et non d’intrusion) que vous serez en mesure d’évaluer l’efficacité de votre dispositif. Car ce sont bien les négligences de vos salariés, ou les limites de votre organisation de la sûreté, qui peuvent être à l’origine de la vulnérabilité du contrôle des accès.

Tout d’abord, c’est évident, celui ou celle qui effectuera les tests ne peut être un salarié connu du site. Préférez donc un prestataire externe à qui vous aurez préalablement demandé de signer un engagement de discrétion.

Détermination du périmètre des tests

Vous devrez ensuite définir le périmètre des tests.

Quel créneau horaire par exemple ? Le choix d’un créneau horaire à forte affluence sera privilégié.

Quels objectifs ? Vous devrez définir la ou les cibles à atteindre sur le site. Entrer sur un site est une chose, atteindre une cible stratégique à l’intérieur d’un site en est une autre. Vous pouvez par exemple définir comme cible un bureau, une salle, un atelier, une photocopieuse, une machine, etc. …

Vous devrez ensuite définir les limites du test. Quand l’arrêter et comment ? Vous devrez en effet prévoir les actions à mener en cas de détection de la tentative, voire même prévoir le cas où celle-ci serait mal vécue par les salariés.

Une personne dans la confidence sera désignée pour intervenir en cas de besoin. Le test de pénétrabilité n’est pas une visite mystère au sens des visites mises en œuvre pour tester la qualité d’un accueil ou d’un service. Son impact sur les salariés peut être fort. Aussi il sera souhaitable pour le testeur de désigner le jour J la personne dans la confidence pour dégonfler une situation de stress.

Quelques pistes de scénarios

Le scénario est l’élément le plus important d’un test. Par quel scénario le test va pouvoir être effectué ?

Je vous propose quelques pistes de scénarios parmi un certain nombre qu’il m’est arrivé d’utiliser pour des clients.

L’entrée escortée

Le 1er scénario que je trouve intéressant est celui de l’entrée dite escortée. En fait votre visiteur profitera d’une entrée groupée pour se glisser parmi les personnes entrantes. En général, sur les sites importants où les effectifs sont nombreux, règne une certaine individualité. Celle-ci entraîne souvent une certaine indifférence vis-à-vis de l’autre. Il est difficile par ailleurs, ne nous le cachons pas, d’inciter tout le monde à se méfier de tout le monde. A moins d’une entrée individualisée de type tourniquet ou de visu par un personnel de sécurité, il faudra beaucoup de perspicacité et un sens aiguisé des risques à un salarié pour que celui-ci adopte la bonne attitude.

La 1ère entrée

Cette fois le visiteur se fait passer pour un stagiaire, par exemple. Il doit effectuer sa 1ère journée de stage, et doit se rendre pour cela auprès d’un collaborateur de votre entreprise. Vous aurez pris la peine que ce collaborateur dans la confidence ne soit pas joignable ce jour-là. Ainsi toute tentative de rapprocher le stagiaire à ce collaborateur ne pourra se concrétiser.

En général le résultat est assez immédiat. On laisse entrer le stagiaire.

Le badge qui ne marche pas

Un autre scénario consiste à fournir un badge vierge (non fonctionnel) à votre testeur.

Celui-ci, feignant de ne pas pouvoir entrer à cause de son badge, se fait très souvent et courtoisement ouvrir la porte par un salarié croyant bien faire.

La personne que je connais

Même si ce scénario est celui parmi tous qui semblerait marcher le moins bien, il peut être utilisé comme ultime recours par votre prestataire réalisant le test.

Encore une fois, bien s’assurer que le collaborateur désigné par le visiteur ne soit pas joignable le jour J. Vous aurez bien entendu averti ce collaborateur.

En conclusion pour les tests.

Les moyens pour entrer sur des sites même protégés sont relativement nombreux. Cela provient surtout du décalage encore trop grand entre les moyens techniques et le niveau de sensibilisation des salariés.

Quant aux moyens pour tester la sécurité des accès ils ne sont pas légions. Une première action pour renforcer le niveau d’efficacité du contrôle des accès est de consacrer du temps à la formation et la sensibilisation des salariés.

Il y en a d’autres, bien évidemment.

Qu’en est-il pour 2S RISK ?

Pour répondre à cette problématique, 2S RISK a élaboré une méthode et des schémas d’actions clés en main, capables d’être mis en oeuvre très rapidement. Les tests sous forme de visite mystère permettent au client, avant tout audit ou toute analyse des risques, d’évaluer le niveau réel de fiabilité des accès à ses bâtiments.

Label OEA statut OEA certification OEA sûreté sécurité ou AEO-S

Ecrit par & déposé en vertu de Problématiques / missions.

Label – Statut – Certification OEA : accompagnement d’une industrie pour l’obtention du certificat OEA sûreté sécurité

Avant-propos. Le label OEA, statut OEA, ou certification OEA, c’est quoi ?

Le label OEA, ou statut OEA, ou certification OEA, est une démarche volontaire et partenariale avec les douanes. Il permet à toute entreprise exerçant une activité liée au commerce international (PME ou grande entreprise) d’acquérir une reconnaissance de qualité sur les processus douaniers et sûreté- sécurité qu’elle met en œuvre. Deux volets composent ce label: le volet purement douanier, appelé AEO-C, et le volet OEA sûreté sécurité, appelé AEO-S.

Problématique de la mission

  • Permettre à l’entreprise d’accéder au label OEA sûreté et sécurité, ou AEO-S
  • Élever globalement son niveau de sûreté

Difficultés à lever

  • Sensibiliser l’organisation à la nécessité de changer sa vision vis-à-vis de la sûreté tout en conservant l’équilibre de son climat social
  • Mettre en sûreté les process liés à la certification tout en gardant de la souplesse dans l’ingénierie générale
  • Conduire un audit général induisant la mise en oeuvre de mesures de sécurité importantes

Ce qui a été mis en oeuvre

  1. Un audit sûreté sécurité pour faire l’inventaire des risques, pour préconiser des solutions à mettre en œuvre et les actions à mener pour réussir l’audit final de certification.
  2. Une mission d’accompagnement à la mise en œuvre d’un management de pilotage de la sûreté.
  3. Une mission de suivi de la mise en œuvre de solutions via l’élaboration d’un cahier des charges fonctionnel et technique, la rédaction d’un mémo à destination des entreprises consultées, et un suivi des travaux jusqu’à leur recette fonctionnelle.

Le bilan

  • Le certificat AEO-S obtenu brillamment et sans réserve par l’administration
  • Des méthodes et processus de conditionnements et d’expéditions sécurisés
  • Des pratiques sûreté sécurité nouvelles et appréciées, notamment en ce qui concerne les accès au site
  • Un exemple parmi les filiales françaises du groupe

Les avantages du certificat en général

  • Un traitement personnalisé par un nombre réduit de contrôles physiques et documentaires
  • Un classement en haut de l’échelle d’accréditation (partenaire de confiance de l’administration). Avec pour conséquence, une diminution  de 30% environ des informations à transmettre dans les déclarations sommaires d’entrée et de sortie
  • Une réduction significative des contrôles immédiats avec un engagement de l’administration (fluidité accrue de la chaîne logistique, diminution des coûts). Et enfin une procédure de secours à l’exportation ultra-simplifiée.

Ce qu’il faut savoir sur le questionnaire QAE …

Le nouveau questionnaire d’auto-évaluation

Depuis avril 2014, un questionnaire d’auto-évaluation (QAE) est proposé aux opérateurs par la Direction Générale des Douanes et Droits Indirects. Ce nouveau QAE est une version simplifiée du QAE harmonisé au niveau communautaire.

En effet, sur les 200 questions du QAE jusqu’alors employé, 46 ont été supprimées et 38 reformulées. Toutefois, cette simplification reste cependant limitée au respect des questions obligatoires du QAE communautaire qui ne peuvent faire l’objet d’aucune suppression. Enfin il est rappelé que la version du QAE jusqu’ici en vigueur était déjà une version simplifiée du QAE communautaire établi en 2008.

La finalité de ce questionnaire est d’évaluer le niveau de conformité de leur entreprise au regard des critères requis pour l’octroi du statut d’OEA.

Ce questionnaire d’auto-évaluation applicable en France annule et remplace le précédent QAE en vigueur depuis juillet 2010. Il est accompagné d’une notice explicative également mise à jour.
Afin de ne pas pénaliser les opérateurs ayant déjà engagé les préparatifs de leur demande de statut OEA sur la version précédent du QAE français, une période transitoire expirant le 31 décembre 2014 a été instituée.
Durant cette période transitoire, les autorités douanières accepteront les demandes OEA accompagnées indifféremment du questionnaire dans sa version précédent ou actuelle.

Maîtrise de la malveillance

Ecrit par & déposé en vertu de Actualités.

Maîtrise de la malveillance

« Quand le tonnerre éclate, il est déjà trop tard pour se boucher les oreilles » Sun Tzu, général chinois du 6ème siècle Av. JC.

C’est ainsi que ce grand militaire et tacticien, il y a quinze siècles, avait coutume de mener ses batailles. Tout était dans l’anticipation des modes opératoires de ses adversaires, et dans l’installation préventive des défenses. Plus aucune instruction en stratégie militaire ne saurait se dispenser aujourd’hui de ces préceptes.

Ce qui vaut pour l’approche militaire devrait valoir pour la lutte contre la malveillance. Hélas, ce n’est qu’encore trop rare. Grand nombre d’organisations ont coutume de sous-estimer le risque de malveillance. Pourquoi ?

Pour 2 raisons essentielles à mon sens.

  1. La première, parce qu’une organisation est d’abord un groupement d’hommes et de femmes. Elle est liée à notre nature. C’est un des aspects primaires de celle-ci que de souvent minimiser ce qui fait peur.
  2. La seconde, plus concrète, est liée à l’approche de la malveillance qui impose des coûts et du temps à consacrer qu’une organisation n’est pas toujours prête à engager.

Au fond c’est quoi la malveillance ?

C’est un acte intentionnel visant à nuire à quelqu’un, à une organisation en particulier, ou un système en général. On trouvera quantité de définitions plus ou moins avantageuses de la malveillance, celle-ci me paraissant assez bien la résumer. On parle alors de sûreté (appelée Security en anglais).

J’avoue apprécier l’approche anglo-saxonne qui a tendance à qualifier de sécurité tout ce qui tout touche à la protection des biens et des produits, et de sûreté (Safety) ce qui concerne la protection de l’homme. J’attends la révélation de la définition idéale de ces deux termes.

Quelles en sont les conséquences ?

  • Elles peuvent être d’abord humaines. Aujourd’hui l’actualité terroriste nous incite à prendre conscience des risques physiques et traumatiques que nous encourons. Et cela vaut aussi pour des actes bien moins violents. Qui n‘a pas vécu les lendemains d’un hold-up, d’un vol avec effraction, ou moins visible encore, d’une fraude, d’un chantage ou d’une extorsion.
  • Elles le sont pour l’organisation victime de l’acte malveillant. Généralement elles sont alors financières, juridico-réglementaires, sociales ou organisationnelles. Elles peuvent affecter aussi son image.
  • Elles peuvent l’être pour la société en général. Un climat de malveillance crée l’insécurité, elle-même génératrice de mal-être et de tensions.
  • Enfin, elles peuvent affecter l’humanité toute entière dans les rapports entretenus entre les nations et les peuples.

Comment naît-elle ?

Abraham Maslow et sa fameuse pyramide nous livre une première explication. Selon lui, divers besoins non satisfaits ou mal vécus peuvent être à l’origine de la malveillance.

  • Les besoins physiologiques qui se traduisent tout d’abord par des besoins essentiels élémentaires, s’ils ne sont pas assouvis ou s’ils ne sont pas remplis, peuvent provoquer le désir malveillant. J’ai besoin de manger et je n’ai pas suffisamment, je vole.
  • Les besoins sociaux, au-dessus des besoins physiologiques, peuvent également conduire à l’acte malveillant. Je veux ressembler à mon idéal dans la société, mais n’en ai pas les moyens, je vole.
  • Les besoins d’estime, encore au-dessus. Je n’ai pas la reconnaissance attendue ou souhaite la conquérir, je me venge ou commets un acte qui est censé me l’apporter.
  • Enfin les besoins d’accomplissement qui font appel à la volonté d’accéder à un idéal, et qui peuvent pousser à commettre un acte malveillant au nom d’une idéologie. C’est le terrorisme religieux ou fanatique par exemple.

Mais là ne sont pas les seules raisons qui poussent à la malveillance, parfois pas forcément intentionnelles au sens réfléchi du terme. Un malade mental, un drogué en manque de substances, un pervers, un être sous influence ou en état d’ébriété, etc., sont autant de cas particuliers qu’un responsable de la sûreté se doit de prendre en compte dans son analyse des risques. Dans ce cas il n’y a pas d’objectif dans la commission de l’acte, et les moyens employés sont peu, voire pas maîtrisés. L’acte malveillant peut être le fruit d’un simple concours de circonstances.

Quelles approches sont utilisées pour la maitriser ?

Maîtriser la malveillance revient en clair à se sécuriser contre elle. Plusieurs approches aujourd’hui sont utilisées, parfois mélangées, souvent simplement effleurées.

  • Il y a l’approche situationnelle et ses dérivés. Née outre-Atlantique, du côté de Chicago semble-t-il, en tout cas des villes confrontées à la malveillance et au crime, elle concentre un certain nombre de mesures agissant sur l’augmentation de l’effort à commettre et sur les risques encourus, et sur la diminution des gains escomptés ou des excuses possibles à présenter à la suite de l’acte. Cette approche est valable à la fois au niveau d’un territoire que d’une organisation.
  • Une autre approche, beaucoup plus fréquente, est celle du tout « Technologie ». On installe ou renforce des dispositifs techniques et technologiques, en espérant que cela suffise à dissuader ou empêcher l’acte malveillant de se produire.
  • L’approche spéculative, elle, consiste pour une organisation à cibler un ou plusieurs actes malveillants, sur la base de la perception des risques engendrés, et installer des mesures de sécurité relatives à ces risques. C’est hélas le cas de bon nombre d’entreprises ou autres organisations qui n’ont pas réaliser une analyse de risques très détaillée.
  • Et enfin l’approche pédagogique consistant à sensibiliser, plus qu’à réellement sécuriser.

Pourquoi ces approches sont limitées ?

Citons pêlemêle quelques limites :

  • Incomplètes et restrictives avec pour conséquence le masquage de certaines vulnérabilités
  • Parfois trop couteuses, et même inadaptées
  • Pas assez ambitieuses
  • Parfois lourdes à mettre en place
  • Pas assez organisées

La vision de 2S RISK pour une bonne maitrise de la malveillance

Les 3 temps et les 5 familles de mesures sont la clé d’une bonne maîtrise de la malveillance

Les 3 temps : Que dois-je faire avant, pendant et après un acte de malveillance ?

Les 5 familles de mesures : les mesures d’identification des risques, les mesures de prévention, les mesures de protection, les mesures de résilience et les mesures permettant l’élucidation de l’acte malveillant.

Maîtrise de la malveillance

Vous trouverez dans la liste des articles rédigés un article sur l’analyse des risques et un autre sur la résilience. Restez connectés, suivront ceux sur la prévention, la protection et l’élucidation des actes de malveillance.

Terrorisme et Contreterrorisme

Ecrit par & déposé en vertu de Actualités.

Terrorisme et Contreterrorisme

Je suis heureux de vous présenter le symbole de ma réussite au cours sur le “Terrorisme et Contre-terrorisme : Comparer Théorie et Pratique”. Cet enseignement est dispensé par l’université de LEIDEN, aux Pays-Bas, principalement par Edwin BAKKER. Mais aussi par Jeanine de ROY VAN ZUIJDEWIJN.

Ce diplôme est l’aboutissement de 6 longues semaines de formation. Je suis allé puiser et m’instruire dans une vaste et pléthorique documentation fournie par les universitaires.

Par ailleurs l’examen final, qui ponctuait 6 examens intermédiaires, est certes très éprouvant, mais au demeurant oh combien enrichissant. Enfin, s’il ne fallait retenir qu’une définition ou assertion pour l’un et l’autre des thèmes abordés, voici celles que je garderais:

  1. Le Terrorisme est un instrument violent dont la propagation de la peur est une partie importante
  2. Le Contre-Terrorisme ne pourra être efficace que s’il panache trois types de mesures. Des mesures sécuritaires, des mesures législatives, mais aussi des mesures préventives, dont la communication est un des piliers permettant d’atteindre la nécessaire résilience

Sur notre territoire

La France définit le terrorisme comme un mode d’action auquel ont recours des adversaires qui s’affranchissent des règles de guerre conventionnelle pour compenser l’insuffisance de leurs moyens et atteindre leurs objectifs politiques.

Le terrorisme se déploie sur plusieurs fronts : hors des frontières où la France la combat, et au sein même du pays. La menace terroriste a profondément changé de nature, notamment avec l’évolution continue des formes d’actes terroristes. Près de 2 000 personnes sont, de près ou de loin, impliquées dans des phénomènes de radicalisation religieuse violente ou dans des filières de recrutements djihadistes. C’est pourquoi, pour assurer la sécurité des Français, le Gouvernement a complété l’arsenal juridique et mis en place un renforcement sans précédent des moyens et des effectifs dans la police, la justice, l’armée et les services de renseignement.

Sur le territoire national, différents acteurs font peser une menace particulièrement aiguë :

  • personnes radicalisées isolées ou appartenant à de petites cellules susceptibles de passer à l’acte sans commanditaire extérieur, à n’importe quel moment et avec des moyens plus ou moins élaborés
  • combattants ou sympathisants revenant de la zone syro-irakienne ou des éléments étant en contact avec des djihadistes francophones sur place
  • exécutants mettant en œuvre partout en Europe des projets terroristes planifiés directement à partir du Moyen-Orient.

Ecrit par & déposé en vertu de Problématiques / missions.

Sécurisation des accès de 3 entités techniques d’un grand groupe hospitalier public parisien

Problématique :

  • Evaluer les risques liés à la malveillance et à la violence de type attentat dans 3 entités techniques du plus grand groupe hospitalier public
  • Proposer des mesures de sécurité à mettre en œuvre
  • Evaluer budgétairement 2 scénarios à court et moyen à long termes

Difficultés à lever :

  • Bâtiments extrêmement imbriqués
  • Population salariés peu sensibilisée à la sûreté
  • Peu de pilotage de la sûreté
  • Des équipements de sécurité obsolètes et hétérogènes

Ce qui a été mis en œuvre :

  • Une analyse des risques avec les collaborateurs en charge de la sécurité et de la qualité. Puis une visite fine des mesures de sécurité existantes
  • L’identification de 14 scénarios et de 3 familles de risques liés à la sécurité :
  • Sur les personnes
  • Le vol et le vandalisme de véhicules marqués du logo du groupe hospitalier
  • Et le vol des effets personnels des salariés
  • Enfin, la rédaction d’un rapport de 160 pages sur les risques, leur niveau d’inacceptabilité, et les mesures à mettre en place pour les réduire à un niveau acceptable

Le bilan :

  • Une grille de traitement des risques
  • Un plan d’actions complet et détaillé de mise en œuvre de mesures autour de la détection, du contrôle des accès, et de la vidéosurveillance

La menace terroriste

La démarche poursuivie par les pouvoirs publics est de réduire le risque d’attentat ou de sur-attentat dans ou à proximité des établissements de santé (ainsi que sociaux et médico-sociaux). Afin de préserver les capacités de prise en charge des patients, mais aussi d’éviter que l’attaque terroriste ne cause de dramatiques dommages.

La déclinaison de cette démarche est formalisée par les plans VIGIPIRATE. Elle l’est aussi par différents guides, dont le celui des mesures de sécurisation périmétriques et bâtimentaires. La responsabilité des établissements s’exerce tant vis-à-vis du personnel, au titre de la responsabilité de l’employeur, que vis-à-vis des patients, usagers et prestataires.

La menace violente ou malveillante

Toutefois l’attentat n’est pas le seul fléau auquel les établissements de santé doivent faire face. Aux risques d’attentat, peut-être statistiquement moins fréquents, s’ajoutent des risques plus « quotidiens » qui exigent eux-aussi une très grande vigilance et des moyens de prévention et de protection fiables.

Dans le strict lieu hospitalier, les menaces se traduisent souvent par de la violence à l’encontre des personnels ou vis-à-vis d’autres publics de passage. Dans les lieux tels que celui qui a été au cœur de la mission, des risques différents s’ajoutent encore. On parlera ici plus de malveillance, comme le vol ou le vandalisme.

Profil militaro-policier dans la sûreté sécurité

Ecrit par & déposé en vertu de Actualités.

Le profil militaro-policier dans la sûreté sécurité

J’espère ne pas me faire d’ennemis dans une profession encore largement dominée par des ex-militaires ou ex-policiers en reconversion. Notamment dans les strates élevées de responsabilités.

Je tiens à préciser que cet article cherche davantage à débroussailler plus qu’à affirmer. En aucun cas il n’est question de mettre en avant un profil plutôt qu’un autre (ex-militaire versus salarié civil). Les propos qui suivent restent du domaine général, et ne peuvent traduire toute la diversité des situations.

Je renvois le lecteur vers ce très intéressant article de fond de Frédéric Ocqueteau sur cette thématique. L’article est intitulé : Chefs d’orchestre de la sûreté des entreprises à l’ère de la sécurité global. A lire ici

Le contexte

C’est un fait indéniable. Le milieu de la sûreté sécurité est très largement occupé par des militaro-policier(s), surtout des hommes, en provenance des mondes de l’armée, de la gendarmerie et de la police.

On les retrouve :

  • Quasiment à tous les niveaux de responsabilités, généralement et légitimement proportionnelles à celles de leur niveau militaire ou policier quitté
  • A peu près dans toutes les strates de l’organisation (directions opérationnelles et fonctionnelles, directions stratégiques)
  • A peu près également dans tous les types d’entreprises (plutôt moyennes et grandes, voire très grandes, rarement des PME)
  • Et sur des fonctions assez diverses (conseil, management, exploitation, etc. …).

On les retrouve aussi sur des postes de consultant, la plupart du temps comme premier poste immédiat après reconversion.

Enfin, de manière quasi-systématique, ils ont suivi un ou plusieurs cursus universitaires ou professionnels, à la fois techniques et organisationnels. Ils peuvent ainsi répondre à peu près à tous types de besoins des organisations recruteuses.

Un recrutement souvent privilégié

Lorsqu’un décideur s’interroge sur les compétences d’un futur collaborateur dans le cadre d’un recrutement:

  • Que cela soit pour des besoins généraux et stratégiques de mise en œuvre d’une politique interne de sûreté
  • De renforcement de la filière sûreté
  • Ou pour des besoins spécifiques de recrutement d’un responsable de la sûreté sécurité,

il peut légitimement rencontrer quelques hésitations. En effet, doit-il se tourner vers un profil interne, à qui serait dispensée une formation ad hoc, ou se tourner vers l‘externe. Et dans ce cas, avec quel profil ?

  • Un jeune diplômé formé aux grands principes de la malveillance et des techniques organisationnelles de défense. Sans expérience notable du terrain ?
  • Un profil intermédiaire doté conjointement d’une expérience significative de l’entreprise et du monde de la malveillance. Avec peut-être des exigences salariales elles aussi significatives ?
  • Ou un ex-militaire rompu au monde de la criminalité/malveillance, formé et discipliné ?

La réponse est souvent très rapidement trouvée. Un sentiment de confiance hérité du passé manifesté pour le monde militaro-policier, une pratique devenue récurrente par la majorité des concurrents, l’assurance de rapports naturellement proches du futur salarié avec les membres des forces de sûreté et de sécurité de notre pays, un amour inaltérable de la droiture et de la discipline, privilégié à l’appétit immodéré du profit, tous ces arguments auront raison des dernières interrogations du recruteur.

Mais de moins en moins systématique

Pourtant beaucoup d’entreprises ayant fait ce choix découvrent après bien des années qu’un militaire, même s’il apporte entière satisfaction, reste et restera militaire toute sa vie. Quand on a été militaire, la vie civile peut paraître bien fade, à tel point qu’inconsciemment on peut être amené à reproduire de temps en temps le contexte militaire.

Et à trop imposer un modèle militaire dans l’approche de la sûreté sécurité, dans un monde où le code du travail et la protection des salariés est abondamment relayée par les syndicats, il arrive que le courant ne passe plus très bien entre les civils et les ex militaires/policiers. Ou entre les dirigeants et leurs collaborateurs experts. Des conflits liés à l’incompréhension peuvent parfois éclater entre collatéraux. Et lorsqu’une filière sûreté est principalement recrutée dans le monde militaro-policier, un esprit communautariste peut naître et créer des tensions avec le reste des salariés.

Le monde de l’entreprise est un monde complexe. Parfois bien davantage que le monde militaire avec ses codes bien définis et ses postures imposées mais acceptées. Pour un ancien militaire ou un ancien policier il est parfois contraignant de se plier aux lenteurs administratives et indécisions des décideurs. Pour beaucoup d’entre eux encore, l’action prime sur bien d’autres considérations.

C’est ainsi que devant des attitudes parfois exagérées, en décalage avec la réalité des problématiques de sûreté, les recruteurs peuvent avoir le sentiment de s’être trompés.

La vérité est plus pragmatique

Le recrutement de collaborateurs issus du monde militaire ou policier prend tout son sens lorsque les problématiques de sûreté demandent des connaissances pointues, issues de ce monde. C’est le cas par exemple pour les grandes entreprises qui expatrient certains de leurs salariés, et pour lesquels il convient de bien connaître l’état de sécurité des pays destinataires. C’est le cas aussi pour les grands groupes qui veulent associer à l’image de leur filière sûreté sécurité le nom de collaborateurs prestigieux, issus du monde militaro-policier, au même titre d’ailleurs qu’on recrute aisément des grands noms issus du monde politique.

En conclusion

Lorsque le poste ne requiert pas de telles compétences ou de prestigieux profils, quand la taille de l’entreprise ou sa spécificité n’impose pas de compétences dites militaires, pour moi, le profil idéal d’un professionnel de la sûreté sécurité pourrait conjuguer les qualités intrinsèques d’un ex militaire/policier, que sont, entre autres, rigueur, perception affûtée de la malveillance et sens de l’organisation, à celles de l’expert des risques qui aborde la sûreté par la méthodologie systématique d’analyse, à celles du manager rompu à la mise en œuvre d’organisations et de processus, et à celles, enfin, du technicien maîtrisant les dernières évolutions de la technologie des solutions de sûreté sécurité.

Malveillance interne

Ecrit par & déposé en vertu de Actualités.

« En matière de sûreté, l’homme est à la fois le maillon fort et le maillon faible de toutes les organisations »

C’est une évidence : si demain il n’y avait que des robots à la place de l’homme, la malveillance interne serait considérablement réduite, justement parce que l’être humain est à la fois le principal rempart contre les actes illicites, mais celui qui en est à l’origine.

Cette quasi-certitude est pourtant loin d’être appliquée lorsqu’il s’agit pour une organisation de mettre en sûreté son site, ses biens ou ses processus. En effet, lorsque celle-ci daigne s’y intéresser, car il n’est pas rare qu’elle la néglige, il est assez fréquent qu’elle pense d’abord à l’acte externe. Et lorsqu’elle identifie les menaces, c’est souvent celles venant de l’extérieur auxquelles elle pense, jamais l’inverse, ou rarement les deux en même temps.

Deux types de raisons sont, je pense, à l’origine de ce réflexe :

  • D’une part le focus sur la cause externe : les nombreux moyens techniques mis en œuvre qui facilitent la prévention et la protection, les actualités qui poussent à la prise de conscience, les assureurs qui insistent sur ces risques et qui incitent à les réduire, les malveillants qui deviennent tous les jours de plus en plus professionnels, et capables de nuire, la paupérisation progressive de la population, attirée par la richesse, …
  • D’autre part le rejet inconscient de la cause interne : la culture de l’organisation qui n’ose pas cibler ses collaborateurs, la peur de heurter leur sensibilité, la crainte de provoquer les syndicats, l’appréhension face aux codes et aux règles que la complexité rend à tout moment contrariants, des moyens techniques moins nombreux, du fait d’une législation exigeante, des moyens organisationnels et humains plus importants à mettre en œuvre, des scénarios de risques plus nombreux, donc plus difficiles à appréhender. Pourtant les méthodes actuelles de recrutement devraient pousser les organisations au renforcement de la prévention contre la malveillance interne : les CDD qui s’enchaînent, les emplois intérimaires qui se multiplient, les mentalités qui changent, …

Dans l’esprit collectif, aussi bien que dans notre inconscient individuel, la malveillance est essentiellement externe. Pourtant la réalité est loin d’être toujours celle-ci.

Les motivations

La malveillance interne ne procède ni de la même motivation ni n’a les mêmes objectifs que la malveillance externe. Autant cette dernière est essentiellement tournée vers le profit de celui ou celle qui l’engendre, autant les motivations et les objectifs peuvent aller bien au-delà dans le cas de la malveillance interne. Certes il ne faut ni caricaturer, ni généraliser

Le salarié ou l’employé malveillant est d’abord un être humain, c’est-à-dire soumis à des envies, des besoins et des attentes, mais aussi à des difficultés familiales, intimes, ou professionnelles. Une décision managériale incomprise, un besoin de reconnaissance inassouvi, une espérance de carrière brisée, et c’est le début d’un cycle vicieux pouvant se traduire par un acte malveillant.

Pourquoi faut-il traiter la malveillance interne avec autant, sinon plus d’égard que la malveillance externe ?

Tout d’abord parce que les conséquences d’un acte malveillant interne sont souvent plus difficiles à évaluer, en tous cas toujours plus tardives, que pour un acte malveillant externe. Plus insidieux, les moyens mis en œuvre par le malveillant le sont avec le maximum de discrétion, souvent par petites touches successives (vol « à la sauvette » de petites quantités).

Ensuite parce que le collaborateur a tout le temps nécessaire pour identifier les failles, les modes de contrôles, l’organisation. Il se peut également qu’il soit mal informé, que la tentation soit trop grande, ou que les sanctions ne soient jamais appliquées, ce qui se traduit par l’absence de peur du passage à l’acte.

Ensuite car les moyens à mettre en œuvre demandent davantage de préparation et de suivi. De ce fait, c’est un travail de longue haleine que l’organisation à tout intérêt à bien anticiper.

Par ailleurs, quand nous parlons de malveillance interne, il ne faut pas négliger celles ayant un lien de collusion avec l’externe, ce qui signifie que les moyens de prévention et de protection doivent agir de concert sur les deux origines pour être efficaces.

Les 6 principales étapes pour aborder sereinement la malveillance interne ?

  1. Repenser l’organisation en interne.
    • Limiter la tentation.  Tout ce qui a de la valeur devra être particulièrement surveillé. Si possible écarté de la manipulation par le plus grand nombre.
    • Réduire la facilité du passage à l’acte
    • Isoler l’environnement de la personne de celui de l’employé. Parking véhicules personnels, vestiaires, effets personnels sur le lieu de production
    • Identifier minutieusement les zones à risques
  2. Analyser les risques et les mesures de sécurité déjà existantes et à compléter
    • Identifier les biens et les valeurs
    • Identifier les scénarios de menace et les différentes conséquences
    • Apprécier les mesures de sécurité existantes
    • Evaluer les risques, les prioriser
    • Identifier les mesures complémentaires à mettre en œuvre pour réduire les risques à un niveau acceptable
  3. Développer la communication autour de la sûreté
    • Informations affichées régulières (les interdictions, les mesures de sécurité, les sanctions possibles)
    • Temps de parole dédiés à la sûreté
    • Communication régulière sur les incidents, accompagnée des sanctions prises
  4. Mettre en place un management de la sûreté
    • Sécuriser la politique de recrutement
    • Charte de déontologie (sûreté)
    • Règlement intérieur
    • Livret d’accueil du collaborateur incluant le volet sûreté
    • Des contrôles réguliers (audits), du reporting
  5. Faire installer un dispositif technique
    • Contrôle des accès (cartographie précise des zones sensibles permettant le profilage des collaborateurs pouvant accéder à ces zones)
    • Vidéosurveillance des zones et positions sensibles
  6. Se conformer aux règles
    • CNIL
    • Codes du travail, …