Malveillance interne

Ecrit par & déposé en vertu de Actualités.

« En matière de sûreté, l’homme est à la fois le maillon fort et le maillon faible de toutes les organisations »

C’est une évidence : si demain il n’y avait que des robots à la place de l’homme, la malveillance interne serait considérablement réduite, justement parce que l’être humain est à la fois le principal rempart contre les actes illicites, mais celui qui en est à l’origine.

Cette quasi-certitude est pourtant loin d’être appliquée lorsqu’il s’agit pour une organisation de mettre en sûreté son site, ses biens ou ses processus. En effet, lorsque celle-ci daigne s’y intéresser, car il n’est pas rare qu’elle la néglige, il est assez fréquent qu’elle pense d’abord à l’acte externe. Et lorsqu’elle identifie les menaces, c’est souvent celles venant de l’extérieur auxquelles elle pense, jamais l’inverse, ou rarement les deux en même temps.

Deux types de raisons sont, je pense, à l’origine de ce réflexe :

  • D’une part le focus sur la cause externe : les nombreux moyens techniques mis en œuvre qui facilitent la prévention et la protection, les actualités qui poussent à la prise de conscience, les assureurs qui insistent sur ces risques et qui incitent à les réduire, les malveillants qui deviennent tous les jours de plus en plus professionnels, et capables de nuire, la paupérisation progressive de la population, attirée par la richesse, …
  • D’autre part le rejet inconscient de la cause interne : la culture de l’organisation qui n’ose pas cibler ses collaborateurs, la peur de heurter leur sensibilité, la crainte de provoquer les syndicats, l’appréhension face aux codes et aux règles que la complexité rend à tout moment contrariants, des moyens techniques moins nombreux, du fait d’une législation exigeante, des moyens organisationnels et humains plus importants à mettre en œuvre, des scénarios de risques plus nombreux, donc plus difficiles à appréhender. Pourtant les méthodes actuelles de recrutement devraient pousser les organisations au renforcement de la prévention contre la malveillance interne : les CDD qui s’enchaînent, les emplois intérimaires qui se multiplient, les mentalités qui changent, …

Dans l’esprit collectif, aussi bien que dans notre inconscient individuel, la malveillance est essentiellement externe. Pourtant la réalité est loin d’être toujours celle-ci.

Les motivations

La malveillance interne ne procède ni de la même motivation ni n’a les mêmes objectifs que la malveillance externe. Autant cette dernière est essentiellement tournée vers le profit de celui ou celle qui l’engendre, autant les motivations et les objectifs peuvent aller bien au-delà dans le cas de la malveillance interne. Certes il ne faut ni caricaturer, ni généraliser

Le salarié ou l’employé malveillant est d’abord un être humain, c’est-à-dire soumis à des envies, des besoins et des attentes, mais aussi à des difficultés familiales, intimes, ou professionnelles. Une décision managériale incomprise, un besoin de reconnaissance inassouvi, une espérance de carrière brisée, et c’est le début d’un cycle vicieux pouvant se traduire par un acte malveillant.

Pourquoi faut-il traiter la malveillance interne avec autant, sinon plus d’égard que la malveillance externe ?

Tout d’abord parce que les conséquences d’un acte malveillant interne sont souvent plus difficiles à évaluer, en tous cas toujours plus tardives, que pour un acte malveillant externe. Plus insidieux, les moyens mis en œuvre par le malveillant le sont avec le maximum de discrétion, souvent par petites touches successives (vol « à la sauvette » de petites quantités).

Ensuite parce que le collaborateur a tout le temps nécessaire pour identifier les failles, les modes de contrôles, l’organisation. Il se peut également qu’il soit mal informé, que la tentation soit trop grande, ou que les sanctions ne soient jamais appliquées, ce qui se traduit par l’absence de peur du passage à l’acte.

Ensuite car les moyens à mettre en œuvre demandent davantage de préparation et de suivi. De ce fait, c’est un travail de longue haleine que l’organisation à tout intérêt à bien anticiper.

Par ailleurs, quand nous parlons de malveillance interne, il ne faut pas négliger celles ayant un lien de collusion avec l’externe, ce qui signifie que les moyens de prévention et de protection doivent agir de concert sur les deux origines pour être efficaces.

Les 6 principales étapes pour aborder sereinement la malveillance interne ?

  1. Repenser l’organisation en interne.
    • Limiter la tentation.  Tout ce qui a de la valeur devra être particulièrement surveillé. Si possible écarté de la manipulation par le plus grand nombre.
    • Réduire la facilité du passage à l’acte
    • Isoler l’environnement de la personne de celui de l’employé. Parking véhicules personnels, vestiaires, effets personnels sur le lieu de production
    • Identifier minutieusement les zones à risques
  2. Analyser les risques et les mesures de sécurité déjà existantes et à compléter
    • Identifier les biens et les valeurs
    • Identifier les scénarios de menace et les différentes conséquences
    • Apprécier les mesures de sécurité existantes
    • Evaluer les risques, les prioriser
    • Identifier les mesures complémentaires à mettre en œuvre pour réduire les risques à un niveau acceptable
  3. Développer la communication autour de la sûreté
    • Informations affichées régulières (les interdictions, les mesures de sécurité, les sanctions possibles)
    • Temps de parole dédiés à la sûreté
    • Communication régulière sur les incidents, accompagnée des sanctions prises
  4. Mettre en place un management de la sûreté
    • Sécuriser la politique de recrutement
    • Charte de déontologie (sûreté)
    • Règlement intérieur
    • Livret d’accueil du collaborateur incluant le volet sûreté
    • Des contrôles réguliers (audits), du reporting
  5. Faire installer un dispositif technique
    • Contrôle des accès (cartographie précise des zones sensibles permettant le profilage des collaborateurs pouvant accéder à ces zones)
    • Vidéosurveillance des zones et positions sensibles
  6. Se conformer aux règles
    • CNIL
    • Codes du travail, …

Sécurisation d’une industrie agroalimentaire

Ecrit par & déposé en vertu de Problématiques / missions.

Sécurisation d’une industrie agroalimentaire : mars 2017

Problématique:

  • La détection d’un agent chimique dans le process de fabrication d’un produit a poussé une entreprise de l’agroalimentaire a souhaité une analyse préalable de risques. Objectif: mieux connaître ses risques pour mieux se sécuriser.
  • L’agent extérieur, d’origine chimique, aurait pu contaminer un grand nombre de personnes, même si le dosage relevé ne semblait pas de nature à une contamination de masse

Difficultés à lever:

  • Repartir d’une analyse de risques « vierge », sans faire abstraction des analyses existantes
  • Les analyses étaient de type CARVER (Criticability Accessibility Recuperability Vulnerability Effect Recognizability) et VACCP, dérivée de l’HACCP
  • Identifier des scénarios malveillants plausibles, puis démontrer que les mesures de sécurité existantes n’apportaient pas suffisamment d’efficacité

Ce qui a été mis en œuvre:

  • Une analyse des risques avec les collaborateurs en charge de la qualité environnement et la sécurité a été entreprise. Puis une visite fine des mesures de sécurité existantes
  • L’identification de 6 scénarios de type « contamination volontaire ». Enfin, la rédaction d’un rapport de 50 pages sur les risques, leur niveau d’inacceptabilité, et les mesures à mettre en place pour les réduire à un niveau acceptable

Le bilan:

  • Une grille de traitement des risques
  • Un plan d’actions complet et détaillé de mise en oeuvre de mesures autour de la détection, du contrôle des accès, et de la vidéosurveillance

Analyse de risques et sécurisation

Ecrit par & déposé en vertu de Actualités.

Analyse de risques et sécurisation

Ou autrement dit: est-il possible de se protéger efficacement de la malveillance sans analyse de risques ?

Illustration : un parallèle avec la généralisation de l’antibiotique

Accepteriez-vous aujourd’hui, sans hésitation ni même réflexion, une prescription d’antibiotique pour un simple mal de gorge ? Oui, me direz-vous, si le diagnostic du médecin, sur la base d’un prélèvement ad-hoc, aurait démontré un terrain infectieux bactérien. Hélas, ce scénario idéal est loin d’être monnaie courante.

Tout le monde le sait désormais, la multiplication des prises d’antibiotiques est loin d’être toujours justifiée. Avec leurs effets « rouleau-compresseur », les effets secondaires vont à l’encontre de notre santé sur le long terme.

Vous l’avez bien compris, le recours systématique à des solutions toutes prêtes entraîne très souvent des conséquences inappropriées. Au mieux juste une inefficacité, pouvant même cacher des problématiques plus graves, au pire des effets secondaires non prévus initialement.

Les méfaits d’une sécurisation aveugle sans analyse de risque préalable

Au cours de mes missions d’audit ou de sécurisation de sites, j’ai très souvent fait le constat suivant. Certains de mes clients, lorsqu’ils avaient souhaité protéger leurs biens (un site, un processus, des accès, etc. …), avaient fait le choix de faire appel directement à des sociétés installatrices en équipement de sûreté, sans analyse particulière des risques auxquels ils pouvaient être confrontés.

Résultats

  • Parfois un sur-dimensionnement des équipements, au demeurant fort coûteux et pas toujours efficaces
  • Des dispositifs pas toujours ou peu adaptés aux besoins
  • Parfois des contraintes fortes sur le personnel, avec contournement ou détournement des mesures de sécurité pour réduire ces mêmes contraintes
  • Des problématiques de sûreté totalement écartées car ne faisant pas partie du périmètre de compétences de la société installatrice
  • Une certaine obsolescence de matériel induite par le lien d’un installateur avec une marque
  • Des risques totalement surévalués, mal perçus
  • Au final, des clients insatisfaits, mais pieds et poings liés avec leur société spécialisée…

Bref, vous l’avez compris, le « tout technologie » aveugle, renforcé par la mode médiatique, produit souvent plus d’insatisfaction que de contentement. Surtout si son usage n’est pas , ou trop peu justifié. C’est le cas de la vidéosurveillance par exemple,

La faute à qui ou à quoi ?

Au manque de temps du décideur de faire une analyse préalable de risque, à son sentiment convaincu de maitriser la sécurité parce qu’il s’est focalisé sur une solution standard, à la pression des fabricants ou installateurs qui fabriquent, vendent ou installent toujours la meilleure solution, ou tout simplement, à la sous-estimation des risques, voire à leur ignorance pure et dure ?

L’analyse de risques liés à la malveillance, étape indispensable de la sécurisation

L’analyse de risques est la première étape indispensable à la mise en œuvre de solutions, car c’est grâce à elle qu’une organisation est en mesure de cartographier les points sensibles, là où elle doit concentrer les mesures de sécurité, mais aussi pour identifier les risques négligeables ou des risques à simplement surveiller. Il m’est arrivé de voir des entreprises ayant renforcé des contrôles d’accès d’un côté, et laissé des secteurs totalement ouverts de l’autre, ou bien des entreprises ne penser obstinément qu’à de la malveillance externe, ignorant de manière étonnante la malveillance interne.

Une analyse de risques démarre toujours par l’identification des biens réputés essentiels pour l’organisation, c’est-à-dire ceux qui, s’ils devaient disparaître ou perdre de leur intégrité, mettraient la survie de l’organisation en péril.

Une analyse de risques déterminera et estimera les niveaux de vraisemblance et de gravité des scénarios de menace pouvant impacter les biens. Elle évaluera aussi les seuils d’acceptabilité des risques, et les traitements qui peuvent être apportés. Car la solution de la réduction du risque n’est pas forcément la seule. Dans l’absolu, il est toujours possible de l’éviter, même si cela signifie abandonner l’activité source des risques. Il est également possible de le transférer, ce que, hélas, beaucoup trop d’entreprises ou d’organisations ont tendance à faire lorsqu’elles s’assurent contre un risque, ignorant que cette solution, qui est une solution résiliente, ne les épargneraient pas forcément d’un arrêt définitif d’activité. Je ne parle pas du refus du risque, inconscient ou pas, qui consiste à l’ignorer ou l’accepter sans renforcement de mesure de sécurité, ce qui est totalement justifié si celui-ci est négligeable, mais inacceptable s’il ne l’est pas.

Une analyse de risque fournira une cartographie précise des risques auxquels une organisation est confrontée, et dimensionnera avec justesse les mesures de sécurité à mettre en place.

Quel coût pour une analyse de risque, et quels sont les enjeux ?

Ne me dites pas qu’une analyse des risques est longue et coûteuse. Avec un peu de méthodologie, rien de plus simple. Par expérience et par pratique, je vous le certifie.

Sachez enfin que les enjeux d’une analyse de risques sont multiples : des gains financiers grâce à l’adaptation correcte des mesures de sécurité, lesquels peuvent n’être parfois qu’organisationnels, une vision sereine des risques par le décideur ou celui en charge de leur gestion, la certitude de l’efficacité des solutions, et au bout du bout, la santé préservée de l’organisation.

Résilience

Ecrit par & déposé en vertu de Actualités.

Résilience des organisations

Les termes à résonance anglo-saxonne confèrent dans les pays latins des aprioris avantageux. Parfois même des faux-airs de concept nouveau. Celui de la résilience ne fait pas défaut à la règle. Il semble bénéficier aujourd’hui d’une aura dans des grandes entreprises ou entités publiques, soucieuses de leur pérennité en cas crise.

Un peu de définition

La résilience désigne la capacité pour un organisme, ou une organisation quelconque, à retrouver ses propriétés initiales après une altération.

Toutefois, si ce terme se comprend par une approche médicale, c’est par la psychologie qu’il trouve sa meilleure définition. Et c’est en particulier grâce au Dr. Boris Cyrulnik que la résilience a acquis sa popularité depuis quelques années. En effet, la résilience en psychologie désigne la capacité de se refaire une vie et de s’épanouir en surmontant un choc traumatique grave. Il s’agit d’une qualité personnelle permettant de survivre aux épreuves majeures et d’en sortir grandi malgré l’importante destruction intérieure, en partie irréversible, subie lors de la crise.

En clair, la résilience permet non seulement de revenir à l’état initial après une agression externe, mais de consolider plus fortement la nature même de la structure.

Qu’en est-il de la résilience à l’échelle d’une entreprise ou d’une collectivité ?

En France, comme partout d’ailleurs, la discipline consistant à anticiper une crise puise sa légitimité dans un contexte général de sinistralité croissante. Le sens actuel des évènements ne laisse malheureusement pas trop de doutes quant à l’utilité d’un plan de restauration de l’activité en cas de crise grave. Une crise grave est une crise qui engendre des préjudices lourds, souvent assortis de traumatismes difficiles à évacuer.

Les parades désignées sous le vocable de PCA/PCS (*), très souvent vues sous un angle technique (description des entités concernées, métiers exercés, méthodes utilisées, logistique mise en œuvre, salariés impliqués, coordonnées utiles, etc. …) et communicant (plan de communication, communication de crise, etc. …), suffisent-elles à garantir la résilience ?

« 54% des organisations disent ne pas avoir testé leur plan de continuité d’activité »

Pour parvenir à la résilience, une entité doit être en mesure de retrouver toutes ses capacités originelles d’avant la crise. Et surtout très rapidement. Or les PCA/PCS ne sont que des outils, et rien d’autre que des outils. Il conviendra donc en amont de s’exercer.

Une récente étude aux Etats-Unis a montré que plus de la moitié des entreprises américaines ont été touchées par des pannes d’équipement, des cyber-attaques ou des catastrophes naturelles au cours des cinq dernières années. 86 % des directeurs financiers disent que leurs entreprises devront être plus résilientes à l’avenir. Plus précisément, au cours des cinq dernières années, 70 % des dirigeants financiers interrogés reconnaissent avoir souffert de défaillances d’équipement. 60 % de cyber-attaques ou de vols de données et plus de la moitié (52 %) de catastrophes naturelles. Pour autant, 54% des responsables reconnaissent que leurs organisations n’ont pas développé ou testé de plan de continuité d’activité. Seuls 34 % des responsables financiers estiment que leurs entreprises sont très bien préparées pour faire face à une panne d’équipement. 33 % à une catastrophe naturelle, et seulement 24 % à un vol de données ou à une cyber-attaque.

Certes on dit les exercices de crise onéreux et difficiles de mise en œuvre. Cependant combien de fois a-t-on vu des entreprises, pourtant dotées de PCA, mal réagir à des crises, si ce n’est parce ce qu’elles n’ont jamais mis en œuvre d’exercices de crise. Être équipé d’outils de préparation à la reprise d’activités ne dispense pas de s’exercer. La résilience aura toujours un prix : celui de la répétition des scénarios d’altération.

Alors que reste-t-il à faire ?

Le chemin à parcourir est encore long en matière d’efficacité des plans de continuité d’activité. On distingue mieux désormais la différence entre PCA et résilience. Etant donné les aspects protéiformes et inattendus des crises, il est impossible de s’y préparer à toutes. C’est pourquoi, pour construire une résilience solide, il conviendra toujours de privilégier la posture, c’est à dire la MÉTHODE pour anticiper, et les ENTRAÎNEMENTS pour s’exercer.

La prochaine étape pour les collectivités et les entreprises consiste désormais à mettre en œuvre des exercices pour mieux préparer les crises, sans négliger les aspects psychologiques inhérents à une crise. L’approche des conséquences d’une crise sur les salariés impliqués est aussi un axe d’amélioration.

(*) Plan de Continuité d’Activité/Plan de Continuité de Services

Formation Sûreté Sécurité

Ecrit par & déposé en vertu de Actualités.

Formation Sûreté et Sécurité

La famille formation sûreté et sécurité 2S RISK s’agrandit. Résumons ci-dessous nos formations disponibles.

Formation sur la gestion des risques et des crises en collectivités:

L’article 5 de la constitution de la Vème république exige depuis le 25 juillet 1979 la continuité des services publics, pour tous, et sans distinction aucune.

En effet, chaque entité territoriale a l’obligation de mettre en œuvre un dispositif minimal et suffisant pour remplir sa mission de service public, ce même en situation de crise.

Rappelons les objectifs

  • Maîtriser le concept et les notions fondamentales de management des risques et des techniques d’évaluation
  • Mais aussi, identifier les risques susceptibles de conduire à une situation de crise, les moyens de maîtrise et les parties prenantes
  • Mettre en place également une organisation d’anticipation et la faire fonctionner au quotidien
  • Élaborer des schémas de réponse et un plan de communication
  • Enfin, construire des scénario d’exercices de crise et en réaliser un en simulation ou en « grandeur nature»
Formation sur la sécurité du SI

De nombreuses entreprises sous estiment encore largement la valeur et l’importance de leur système d’information. A l’heure où beaucoup d’entre elles sont victimes de négligence ou de malveillance, il est en effet important pour elles d’obtenir des réponses rapides et efficaces à leurs demandes.

Plus qu’une formation, cet outil pédagogique repose sur des apports techniques, méthodologiques, et pratiques, très en phase avec la réalité du terrain.

Rappelons les objectifs

  • Matérialiser la logique de sécurité d’un SI (Système d’Information)
  • Mais aussi iIdentifier toutes les composantes de son SI, les risques et leurs vulnérabilités, et les actions concrètes à mener
  • Structurer ses informations pour mieux les protéger
  • Et enfin répondre aux obligations en matière de SI

Voici la dernière née.

Formation sur les fondamentaux de la sécurité incendie

C’est incontestable. La sécurité incendie est un incontournable du pack de compétences d’un responsable QHSE dans une entreprise. Pourquoi ? Parce que, même si celui-ci n’est pas le principal acteur au service de la protection contre le feu, de par sa fonction, il doit être en mesure d’en maîtriser les fondamentaux.

Rappelons les objectifs

  • Comprendre le mécanisme du feu et de l’incendie
  • Evaluer les moyens de détection et de protection existants
  • Organiser la sécurité incendie en entreprise
  • Maîtriser la réglementation et les règles de l’art (APSAD)

AN2V

Ecrit par & déposé en vertu de Actualités.

2S RISK rejoint le collectif AN2V créé par Dominique LEGRAND.

AN2V [Association Nationale de la vidéoprotection]

Collectif d’experts et de professionnels œuvrant de près ou de loin autour de la vidéoprotection.

Créée en 2004, l’AN2V est un lieu d’échange et de mutualisation des expériences dans le domaine de la vidéoprotection. Elle fédère un très grand nombre fournisseurs de solutions dans ce secteur d’activité. L’AN2V ne cesse de se développer, en élargissant, notamment, son public d’utilisateurs de vidéoprotection. Les villes et toutes les entités publiques, ainsi que tous les utilisateurs de systèmes de vidéoprotection privés comme les commerçants, les grandes entreprises, etc…

Toutes les catégories y sont représentées: Conseil et formation, hardware, software, intégration, distributeur …

L’AN2V est notamment rédactrice du livre blanc sur la vidéprotection. Véritable état de l’Art de la vidéoprotection, ce livre est le fruit de réflexions de 14 groupes de travail mis en place en 2013, associant des fournisseurs et des utilisateurs de vidéoprotection.

L’AN2V est pour 2S RISK la garantie de trouver de véritables partenaires pour répondre de manière globale à ses clients

La sûreté: 2S RISK

Ecrit par & déposé en vertu de Actualités.

Circulaire du 17 août 2016

La circulaire du 17 août 2016 ministérielle n° DGCS/SD2C/2016/261 relative à la préparation aux situations d’urgence particulière pouvant toucher la sécurité des établissements d’accueil du jeune enfant ou des établissements relevant de la protection de l’enfance présente les modalités de préparation aux accidents majeurs et aux situations d’urgence particulières (intrusions, attentas, dans les établissements d’accueil du jeune enfant (EAJE) ou ceux relevant de la protection de l’enfance (foyers de l’enfance, maisons d’enfants à caractère social, village d’enfants, centres maternels).

La circulaire rappelle les responsabilités de chaque acteur dans la préparation aux situations d’urgence particulière pouvant toucher la sécurité des établissements d’accueil du jeune enfant (EAJE) ou établissements relevant de la protection de l’enfance, quel que soit leur statut. Elle informe des démarches de sensibilisation en cours auprès des réseaux nationaux de gestionnaires de tels établissements quant à leurs responsabilités, et 2 demande d’assurer leur bonne prise en compte.

Les établissements d’accueil du jeune enfant (EAJE) ou relevant de la protection de l’enfance (foyers de l’enfance, maisons d’enfants à caractère social, villages d’enfants, centres maternels) peuvent être confrontés à des situations d’urgence particulières (intrusion de personnes inconnues, attentats) susceptibles de causer de graves dommages aux personnes et aux biens. En conséquence, chacun doit s’y préparer, notamment dans le cas où le caractère soudain et/ou l’ampleur de ces situations retarderait l’intervention des services de secours et où l’EAJE ou établissement relevant de la protection de l’enfance se trouverait de facto momentanément isolé.

 

Découvrez ici la circulaire du 17 août 2016

Plan de Continuité d'Activité

Ecrit par & déposé en vertu de Actualités.

Une bonne gestion des risques et des crises impose une vision globale. 2S RISK s’est doté de cette expertise générale autour du cycle Risque –> Crise.

Cette expertise s’adresse principalement aux collectivités qui ont l’obligation de continuité d’activités inscrite dans les règles constitutionnelles, mais aussi à toutes les entreprises soucieuses de préserver leur intégrité quelque soient les situations auxquelles elles sont confrontées. L’obligation: se former à la gestion des risques et des crises

Un dispositif d’anticipation de crise est conçu pour permettre de bien anticiper les crises, de mieux les gérer et d’en tirer le maximum d’enseignement. Cependant, étant donné les aspects protéiformes et inattendus des crises, il est impossible de s’y préparer à toutes, mieux vaudra donc privilégier la posture que le nombre de crises identifiées.

Un dispositif d’anticipation de crise est certes conçu pour permettre de bien l’anticiper, mais il contribue à mieux la gérer lorsque elle survient, et à en tirer un maximum d’enseignement une fois passée. Cependant, étant donné les aspects protéiformes et inattendus des crises, il est impossible de s’y préparer à toutes, mieux vaudra donc privilégier la posture, c’est à dire la MÉTHODE pour anticiper, et les ENTRAÎNEMENTS pour s’exercer

Découvrez ici notre vidéo