Actualités

Pourquoi et comment faut-il aborder la malveillance interne ?

Malveillance interne

« En matière de sûreté, l’homme est à la fois le maillon fort et le maillon faible de toutes les organisations »

C’est une évidence : si demain il n’y avait que des robots à la place de l’homme, la malveillance interne serait considérablement réduite, justement parce que l’être humain est à la fois le principal rempart contre les actes illicites, mais celui qui en est à l’origine.

Cette quasi-certitude est pourtant loin d’être appliquée lorsqu’il s’agit pour une organisation de mettre en sûreté son site, ses biens ou ses processus. En effet, lorsque celle-ci daigne s’y intéresser, car il n’est pas rare qu’elle la néglige, il est assez fréquent qu’elle pense d’abord à l’acte externe. Et lorsqu’elle identifie les menaces, c’est souvent celles venant de l’extérieur auxquelles elle pense, jamais l’inverse, ou rarement les deux en même temps.

Deux types de raisons sont, je pense, à l’origine de ce réflexe :

  • D’une part le focus sur la cause externe : les nombreux moyens techniques mis en œuvre qui facilitent la prévention et la protection, les actualités qui poussent à la prise de conscience, les assureurs qui insistent sur ces risques et qui incitent à les réduire, les malveillants qui deviennent tous les jours de plus en plus professionnels, et capables de nuire, la paupérisation progressive de la population, attirée par la richesse, …
  • D’autre part le rejet inconscient de la cause interne : la culture de l’organisation qui n’ose pas cibler ses collaborateurs, la peur de heurter leur sensibilité, la crainte de provoquer les syndicats, l’appréhension face aux codes et aux règles que la complexité rend à tout moment contrariants, des moyens techniques moins nombreux, du fait d’une législation exigeante, des moyens organisationnels et humains plus importants à mettre en œuvre, des scénarios de risques plus nombreux, donc plus difficiles à appréhender. Pourtant les méthodes actuelles de recrutement devraient pousser les organisations au renforcement de la prévention contre la malveillance interne : les CDD qui s’enchaînent, les emplois intérimaires qui se multiplient, les mentalités qui changent, …

Dans l’esprit collectif, aussi bien que dans notre inconscient individuel, la malveillance est essentiellement externe. Pourtant la réalité est loin d’être toujours celle-ci.

Les motivations

La malveillance interne ne procède ni de la même motivation ni n’a les mêmes objectifs que la malveillance externe. Autant cette dernière est essentiellement tournée vers le profit de celui ou celle qui l’engendre, autant les motivations et les objectifs peuvent aller bien au-delà dans le cas de la malveillance interne. Certes il ne faut ni caricaturer, ni généraliser

Le salarié ou l’employé malveillant est d’abord un être humain, c’est-à-dire soumis à des envies, des besoins et des attentes, mais aussi à des difficultés familiales, intimes, ou professionnelles. Une décision managériale incomprise, un besoin de reconnaissance inassouvi, une espérance de carrière brisée, et c’est le début d’un cycle vicieux pouvant se traduire par un acte malveillant.

Pourquoi faut-il traiter la malveillance interne avec autant, sinon plus d’égard que la malveillance externe ?

Tout d’abord parce que les conséquences d’un acte malveillant interne sont souvent plus difficiles à évaluer, en tous cas toujours plus tardives, que pour un acte malveillant externe. Plus insidieux, les moyens mis en œuvre par le malveillant le sont avec le maximum de discrétion, souvent par petites touches successives (vol « à la sauvette » de petites quantités).

Ensuite parce que le collaborateur a tout le temps nécessaire pour identifier les failles, les modes de contrôles, l’organisation. Il se peut également qu’il soit mal informé, que la tentation soit trop grande, ou que les sanctions ne soient jamais appliquées, ce qui se traduit par l’absence de peur du passage à l’acte.

Ensuite car les moyens à mettre en œuvre demandent davantage de préparation et de suivi. De ce fait, c’est un travail de longue haleine que l’organisation à tout intérêt à bien anticiper.

Par ailleurs, quand nous parlons de malveillance interne, il ne faut pas négliger celles ayant un lien de collusion avec l’externe, ce qui signifie que les moyens de prévention et de protection doivent agir de concert sur les deux origines pour être efficaces.

Les 6 principales étapes pour aborder sereinement la malveillance interne ?

  1. Repenser l’organisation en interne.
    • Limiter la tentation.  Tout ce qui a de la valeur devra être particulièrement surveillé. Si possible écarté de la manipulation par le plus grand nombre.
    • Réduire la facilité du passage à l’acte
    • Isoler l’environnement de la personne de celui de l’employé. Parking véhicules personnels, vestiaires, effets personnels sur le lieu de production
    • Identifier minutieusement les zones à risques
  2. Analyser les risques et les mesures de sécurité déjà existantes et à compléter
    • Identifier les biens et les valeurs
    • Identifier les scénarios de menace et les différentes conséquences
    • Apprécier les mesures de sécurité existantes
    • Evaluer les risques, les prioriser
    • Identifier les mesures complémentaires à mettre en œuvre pour réduire les risques à un niveau acceptable
  3. Développer la communication autour de la sûreté
    • Informations affichées régulières (les interdictions, les mesures de sécurité, les sanctions possibles)
    • Temps de parole dédiés à la sûreté
    • Communication régulière sur les incidents, accompagnée des sanctions prises
  4. Mettre en place un management de la sûreté
    • Sécuriser la politique de recrutement
    • Charte de déontologie (sûreté)
    • Règlement intérieur
    • Livret d’accueil du collaborateur incluant le volet sûreté
    • Des contrôles réguliers (audits), du reporting
  5. Faire installer un dispositif technique
    • Contrôle des accès (cartographie précise des zones sensibles permettant le profilage des collaborateurs pouvant accéder à ces zones)
    • Vidéosurveillance des zones et positions sensibles
  6. Se conformer aux règles
    • CNIL
    • Codes du travail, …