Officier supérieur à la retraite, conférencier, formateur et consultant.
Sécuriser l’entreprise : un mode opératoire
La sécurité n’est pas l’apanage des dirigeants et des spécialistes, c’est l’affaire de tous, à tous les niveaux, partout et à tout moment. L’entreprise doit donc engager une démarche complexe et transversale car toutes les disciplines concourent à la sécurité.
La démarche « sécurité » suscite depuis toujours des visions antagonistes et des querelles byzantines. Elle est à la fois un besoin, un investissement, un devoir et un droit. On peut la voir soit comme une atteinte à la liberté, soit comme une nécessité, ou bien considérer que les deux réalités sont simultanément vraies.
Sécuriser signifie d’abord, dans le respect des réglementations, élaborer une réalité en utilisant :
- Un système cognitif et de mémorisation : il s’agit d’acquérir, traiter et échanger des flux permanents d’informations pour donner du sens à partir d’un référentiel.
- Un système décisionnel : il vise à transformer le savoir en décision puis en actions de régulation qui recouvrent la formation, le renseignement, la communication et l’influence, à partir de structures comme la hiérarchie intermédiaire, les choix organisationnels, les moyens informatiques, les réseaux Internet, intranet et de télécommunication, les moyens de reconnaissance, et la surveillance.
Au final, la sécurité consiste à accepter, face à des dangers plus ou moins probables, graves ou répétitifs, de prendre légalement des risques acceptables sans pour autant le faire savoir. Ici aussi l’état d’esprit compte autant que les moyens mis en œuvre. Au bon dosage, elle constitue une aide à la décision permettant de conduire des actions pertinentes. Au-delà d’un seuil, elle est ressentie comme une entrave, voire une brimade infantilisante mise en place par la hiérarchie. La sécurité permet à un système vivant d’accroître tant que possible son pouvoir dans les différentes couches cognitives : l’humain, les techniques et Internet, sans oublier que, même derrière un drone ou une cyberattaque, il y a toujours des humains…
Toute politique de sécurité constitue une fractale itérative : elle existe en permanence, à tous les niveaux, dans tous les périmètres cognitifs et dans toutes les zones considérées. Elle alimente une spirale (car si on s’arrête, le niveau baisse) : « Savoir, décision, préparation, action ». Compte tenu de la primauté de l’humain, des liens sociaux et de l’irrationnel, elle constitue un art subtil où l’incompétence rivalise avec la malhonnêteté, le zèle et le génie. C’est pour cela qu’un système de sécurité élabore et actualise toujours le profil psychologique et culturel des intervenants, ainsi que leur relationnel en termes de réseaux. Mais la technique est omniprésente. En effet, sans parler de la vidéosurveillance, hormis les écoutes légales administratives et judiciaires, par nature secrètes, tout individu peut, sans le savoir, être « écouté » par un système de sécurité étatique, semi-public ou privé (œuvrant pour une entreprises, une ONG, des « officines », voire un groupe criminel).
Les domaines à suivre
Comme tout système, la sécurité implique des moyens humains, financiers et techniques, articulés en structures interagissant de façon dynamique et non centralisée avec des flux d’informations. Ceci n’empêche pas de sous-traiter, voire d’externaliser ou de rechercher une assistance extérieure, notamment dans le domaine juridique où la multiplication des lois nationales et internationales et des procès implique une attention permanente. À ce titre, souscrire une assurance est une forme d’externalisation d’un risque qui peut être immatériel.
Les domaines de la sécurité forment un continuum fractal : chacun d’eux constitue un champ d’action. Aucun élément n’y domine ni ne peut être traité séparément. Par exemple, il ne sert à rien de chiffrer un message si les clés de chiffrement, les locaux où elles sont stockées, le personnel qui les utilise ou les crée ne font pas l’objet de mesures cohérentes, et si des procédures de compromission 1 ne sont pas connues et utilisées.
- Le personnel : du PDG aux individus clés, en passant par les visiteurs, les stagiaires, les participants à un salon, les intérimaires, etc., que ce soit dans l’entreprise, lors des déplacements professionnels, d’un recrutement ou d’un départ.
- Les matériels et produits sensibles, y compris les logiciels ou les robots.
- Les emprises, locaux, et installations, sans se limiter aux accès et en distinguant différentes zones concentriques en fonction de leurs spécificités.
- Les flux d’informations acquis, mémorisés, transmis et utilisés localement et lors de déplacements quels que soient le support et le vecteur.
- Le patrimoine financier et la réputation : notamment la notoriété, l’image (symboles, logos), les savoir-faire, les brevets, les procès.
- Les actions et décisions passées, en cours ou à venir.
- La confiance, le moral, la fluidité des relations : dans toute entité, les rumeurs (qui ne sont pas toutes néfastes ni fausses), la « théorie du complot » ou du « on ne nous dit pas tout » peuvent se propager. Il convient de les prendre aussi en compte.
- Les interactions entre les sous-systèmes : production, approvisionnements, réseaux humains et techniques, recherche et développement, etc.
Les sous-systèmes de sécurité
Quels que soient l’entreprise et le contexte il s’agit toujours, à partir des faits de sécurité connus, d’imaginer des réalités possibles. Mais décrire une situation n’implique pas de savoir comment, où et quand agir. Tout suivi de situation engage différents sous-systèmes dans les trois couches cognitives et décisionnelles superposées que sont l’humain, les moyens techniques 2 et Internet.
- La veille ou « devoir de vigilance » : elle permet de surveiller et de suivre certains intervenants et faits ciblés (incidents, accidents, malveillances, concurrence, plaintes en justice, etc.). Mais ici aussi, au-delà des faits, ce qui importe est la façon de les interpréter lors du traitement, tout en sachant qu’il y a des faits que l’on ne sait pas comprendre.
- Les activités de régulation : actions et mesures (procédures, normes, plans) qui visent à limiter :
- les atteintes : comportements inadaptés liés à un défaut de formation ou de surveillance, à la négligence, aux courtisans, aux rancœurs et au zèle.
- la malveillance : qui peut être d’opportunité (« l’occasion fait le larron »), aléatoire (« on y va au culot »), ou organisée (c’est la plus dangereuse et la plus compliquée car l’agresseur doit disposer de savoirs ou complicités).
- La sûreté : elle a pour but de limiter les pannes et les dysfonctionnements humains et techniques, notamment sur les matériels, et ce dès leur conception.
- La prévention : elle vise à lutter contre les causes, en envisageant différents scénarios probables et possibles, sans tomber dans la prédiction ni dans un excessif principe de précaution.
- La protection : il s’agit de lutter contre les conséquences. Cela inclut les activités visant à leurrer et dissimuler, la diffusion d’alertes, l’intervention pour la remise en état ou la continuité en mode dégradé, la gestion de crise et le retour d’expérience.
- Le HSQE : hygiène, sécurité du travail, qualité, environnement.
Les mesures à mettre en œuvre
1. Faire un état des lieux et désigner un responsable. Il faut ici procéder en deux étapes : définir le poste, son intitulé, son rattachement hiérarchique et son autonomie, puis veiller à donner au responsable l’appui suffisant pour qu’il mette en place des principes, des mesures et des actions et qu’il « anime », en liaison avec les dirigeants, les différents sous-systèmes et réseaux liés à l’entreprise.
2. Renforcer l’esprit d’équipe. Même si des moyens, des structures et des procédures sont nécessaires, ce qui importe ici c’est la qualité du personnel et la cohésion des équipes.
Cela impose de susciter :
- la mobilisation et la connaissance du personnel, ce qui nécessite le partage des informations non confidentielles, le retour d’expérience, le rapport d’incident et d’étonnement ;
- la curiosité (rester attentif sans se focaliser sur des éléments comme dans la veille) et le doute (trier, vérifier, recouper, prendre du recul, analyser, synthétiser, etc.) ;
- la discrétion notamment sur les intentions, les difficultés et les actions en cours particulièrement lors des conversations dans la vie courante et sur Internet (il s’agit de ne pas s’afficher comme une cible sauf si c’est volontaire, pour leurrer) ;
- l’autonomie et l’initiative dans un cadre hiérarchique non rigide et décentralisé (ce qui impose de laisser une place à l’intuition et l’imagination).
3. Mettre en œuvre un fonds d’information. Il ne suffit pas de mémoriser selon des procédures permettant de retrouver, mettre à jour et croiser les informations. Il faut aussi les sécuriser par des copies de sauvegardes et des plans de fonctionnement en mode dégradé.
4. Animer la veille sécuritaire en mobilisant ses contacts et constituant des réseaux afin de donner du sens, motiver, diriger, relancer l’acquisition des informations et actualiser le fonds d’informations. Tout cela à l’aide d’un corpus de procédures concernant la collecte, le traitement, le stockage, la diffusion, la transmission et la destruction des informations.
5. Créer et tester une chaîne de communication et d’assistance d’urgence permettant, d’une part, de faire circuler rapidement et en toute sécurité des alertes et des renseignements déterminants ou très urgents, et d’autre part de disposer d’un réseau relationnel de soutien (carnet d’adresses, « correspondants sécurité » au sein de l’entreprise, etc.). On pourra ainsi en cas de besoin contacter la bonne personne : il vaut mieux connaître et évaluer les compétences d’un avocat avant une crise, plutôt que d’en chercher un après un incident.
6. Organiser des vérifications méthodiques (due intelligence en anglais). Il s’agit, entre autres, de conduire épisodiquement des audits, de vérifier les CV des candidats (screening) et d’effectuer des entretiens de sécurité avec le personnel sensible (vetting), ce qui peut déboucher sur une habilitation ou une clause de confidentialité dans le contrat de travail.
7. Élaborer, tester et faire évoluer les plans et mesures à appliquer lors des alertes de différents niveaux ou lors de l’activation d’une cellule de crise. Dans ce domaine, il faut garder à l’esprit que planifier est indispensable mais qu’aucun plan ne répondra jamais pleinement aux attentes : il faudra s’adapter.
- On appelle compromission toute perte ou suspicion de perte de contrôle, même momentanée, des mesures prévues afin de sécuriser une information confidentielle. Cette situation doit faire l’objet de procédures, d’entraînements et de suivi. Par exemple, en mars 2010, l’armée israélienne renonce à une opération après sa divulgation malencontreuse par un militaire dans un réseau social.
- Le renseignement et les actions techniques permettent d’effectuer (ou de lutter contre) des interceptions, des écoutes, du brouillage de signaux, de la localisation, de l’intrusion dans un système, de l’analyse de trafic et de la destruction ou falsification d’informations, d’énergie ou de matière.
http://www.constructif.fr/bibliotheque/2014-7/securiser-l-entreprise-un-mode-operatoire.html?item_id=3431&bonus=1
© Constructif
Imprimer
Envoyer par mail
Réagir à l'article