Actualités

Le cycle de maîtrise de la malveillance

Maîtrise de la malveillance

Maîtrise de la malveillance

« Quand le tonnerre éclate, il est déjà trop tard pour se boucher les oreilles » Sun Tzu, général chinois du 6ème siècle Av. JC.

C’est ainsi que ce grand militaire et tacticien, il y a quinze siècles, avait coutume de mener ses batailles. Tout était dans l’anticipation des modes opératoires de ses adversaires, et dans l’installation préventive des défenses. Plus aucune instruction en stratégie militaire ne saurait se dispenser aujourd’hui de ces préceptes.

Ce qui vaut pour l’approche militaire devrait valoir pour la lutte contre la malveillance. Hélas, ce n’est qu’encore trop rare. Grand nombre d’organisations ont coutume de sous-estimer le risque de malveillance. Pourquoi ?

Pour 2 raisons essentielles à mon sens.

  1. La première, parce qu’une organisation est d’abord un groupement d’hommes et de femmes. Elle est liée à notre nature. C’est un des aspects primaires de celle-ci que de souvent minimiser ce qui fait peur.
  2. La seconde, plus concrète, est liée à l’approche de la malveillance qui impose des coûts et du temps à consacrer qu’une organisation n’est pas toujours prête à engager.

Au fond c’est quoi la malveillance ?

C’est un acte intentionnel visant à nuire à quelqu’un, à une organisation en particulier, ou un système en général. On trouvera quantité de définitions plus ou moins avantageuses de la malveillance, celle-ci me paraissant assez bien la résumer. On parle alors de sûreté (appelée Security en anglais).

J’avoue apprécier l’approche anglo-saxonne qui a tendance à qualifier de sécurité tout ce qui tout touche à la protection des biens et des produits, et de sûreté (Safety) ce qui concerne la protection de l’homme. J’attends la révélation de la définition idéale de ces deux termes.

Quelles en sont les conséquences ?

  • Elles peuvent être d’abord humaines. Aujourd’hui l’actualité terroriste nous incite à prendre conscience des risques physiques et traumatiques que nous encourons. Et cela vaut aussi pour des actes bien moins violents. Qui n‘a pas vécu les lendemains d’un hold-up, d’un vol avec effraction, ou moins visible encore, d’une fraude, d’un chantage ou d’une extorsion.
  • Elles le sont pour l’organisation victime de l’acte malveillant. Généralement elles sont alors financières, juridico-réglementaires, sociales ou organisationnelles. Elles peuvent affecter aussi son image.
  • Elles peuvent l’être pour la société en général. Un climat de malveillance crée l’insécurité, elle-même génératrice de mal-être et de tensions.
  • Enfin, elles peuvent affecter l’humanité toute entière dans les rapports entretenus entre les nations et les peuples.

Comment naît-elle ?

Abraham Maslow et sa fameuse pyramide nous livre une première explication. Selon lui, divers besoins non satisfaits ou mal vécus peuvent être à l’origine de la malveillance.

  • Les besoins physiologiques qui se traduisent tout d’abord par des besoins essentiels élémentaires, s’ils ne sont pas assouvis ou s’ils ne sont pas remplis, peuvent provoquer le désir malveillant. J’ai besoin de manger et je n’ai pas suffisamment, je vole.
  • Les besoins sociaux, au-dessus des besoins physiologiques, peuvent également conduire à l’acte malveillant. Je veux ressembler à mon idéal dans la société, mais n’en ai pas les moyens, je vole.
  • Les besoins d’estime, encore au-dessus. Je n’ai pas la reconnaissance attendue ou souhaite la conquérir, je me venge ou commets un acte qui est censé me l’apporter.
  • Enfin les besoins d’accomplissement qui font appel à la volonté d’accéder à un idéal, et qui peuvent pousser à commettre un acte malveillant au nom d’une idéologie. C’est le terrorisme religieux ou fanatique par exemple.

Mais là ne sont pas les seules raisons qui poussent à la malveillance, parfois pas forcément intentionnelles au sens réfléchi du terme. Un malade mental, un drogué en manque de substances, un pervers, un être sous influence ou en état d’ébriété, etc., sont autant de cas particuliers qu’un responsable de la sûreté se doit de prendre en compte dans son analyse des risques. Dans ce cas il n’y a pas d’objectif dans la commission de l’acte, et les moyens employés sont peu, voire pas maîtrisés. L’acte malveillant peut être le fruit d’un simple concours de circonstances.

Quelles approches sont utilisées pour la maitriser ?

Maîtriser la malveillance revient en clair à se sécuriser contre elle. Plusieurs approches aujourd’hui sont utilisées, parfois mélangées, souvent simplement effleurées.

  • Il y a l’approche situationnelle et ses dérivés. Née outre-Atlantique, du côté de Chicago semble-t-il, en tout cas des villes confrontées à la malveillance et au crime, elle concentre un certain nombre de mesures agissant sur l’augmentation de l’effort à commettre et sur les risques encourus, et sur la diminution des gains escomptés ou des excuses possibles à présenter à la suite de l’acte. Cette approche est valable à la fois au niveau d’un territoire que d’une organisation.
  • Une autre approche, beaucoup plus fréquente, est celle du tout « Technologie ». On installe ou renforce des dispositifs techniques et technologiques, en espérant que cela suffise à dissuader ou empêcher l’acte malveillant de se produire.
  • L’approche spéculative, elle, consiste pour une organisation à cibler un ou plusieurs actes malveillants, sur la base de la perception des risques engendrés, et installer des mesures de sécurité relatives à ces risques. C’est hélas le cas de bon nombre d’entreprises ou autres organisations qui n’ont pas réaliser une analyse de risques très détaillée.
  • Et enfin l’approche pédagogique consistant à sensibiliser, plus qu’à réellement sécuriser.

Pourquoi ces approches sont limitées ?

Citons pêlemêle quelques limites :

  • Incomplètes et restrictives avec pour conséquence le masquage de certaines vulnérabilités
  • Parfois trop couteuses, et même inadaptées
  • Pas assez ambitieuses
  • Parfois lourdes à mettre en place
  • Pas assez organisées

La vision de 2S RISK pour une bonne maitrise de la malveillance

Les 3 temps et les 5 familles de mesures sont la clé d’une bonne maîtrise de la malveillance

Les 3 temps : Que dois-je faire avant, pendant et après un acte de malveillance ?

Les 5 familles de mesures : les mesures d’identification des risques, les mesures de prévention, les mesures de protection, les mesures de résilience et les mesures permettant l’élucidation de l’acte malveillant.

Maîtrise de la malveillance

Vous trouverez dans la liste des articles rédigés un article sur l’analyse des risques et un autre sur la résilience. Restez connectés, suivront ceux sur la prévention, la protection et l’élucidation des actes de malveillance.