Analyse

[JdR] L’adaptation de la cartographie des risques aux nouvelles menaces

Le 17 mai 2018 par Mathilde de Gournay

A l’occasion des 26e Rencontres du Risk Management de l’AMRAE, était proposé un atelier portant sur l’adaptation de la cartographie des risques sécurité/sûreté aux nouvelles menaces. Il a permis de mettre en lumière la nécessité d’adapter la cartographie des risques aux nouvelles menaces, afin de les anticiper et pouvoir assurer au mieux la sécurité des personnes et des biens. Cet atelier était animé par Eric Contegal, responsable Audit et Risques chez ATMB ; Paul-Vincent Valtat, responsable du département Prévention et Maîtrise des risques chez Ports de Paris et Xavier Carn, vice-président Sécurité EMEA International SOS et Contrôle Risk.

Ces dernières années, de nouvelles menaces engendrées par différents acteurs se sont développées et confrontent aussi bien les Etats que les entreprises à de nouveaux risques. La France a, par exemple, été durement éprouvée par le terrorisme depuis l’attentat de Montauban en 2012. Le pays a dû adapter ses mesures de sécurité et de sûreté à cette menace grandissante.  

 

Le développement de nouvelles menaces pesant sur la sécurité et la sureté

Les nouvelles menaces concernent à la fois la sûreté et la sécurité. Par convention dans le monde de l’entreprise, la sécurité traite des situations accidentelles alors que la sûreté concerne les actes intentionnels.

Les menaces qui se développent sont aussi bien internes qu’externes à l’entreprise. Elles touchent à la fois les personnes et les biens :

  • Le personnel, les prestataires et les clients : attentat, kidnapping, agression ;
  • Les biens matériels : vol, piraterie ;
  • Le patrimoine immatériel : vol d’informations commerciales et technologiques, insécurité des actifs financiers (blanchiment, chantage) ou de la notoriété (e-réputation).

 

Quelles sont les principales nouvelles menaces aujourd’hui ?

Le terrorisme

L’entreprise est vulnérable face au terrorisme tant par sa symbolique, comme l’a démontré l’attentat de Charlie Hebdo en 2015, que par sa forte fréquentation. Afin d’anticiper efficacement cette menace, l’entreprise est contrainte de mettre en place des protections. Pour cela, elle doit assurer la sûreté de ses locaux et garantir une protection humaine et matérielle.

 

L’entreprise peut aussi être une cible du terrorisme à travers la radicalisation en entreprise. La liberté religieuse est inscrite dans la Déclaration des Droits de l’Homme et du Citoyen. Un salarié peut donc affirmer sa croyance et agir selon ses principes même dans le cadre de son activité professionnelle. Cependant, il existe dans les entreprises publiques, le principe de neutralité, selon lequel il est interdit aux salariés de faire du prosélytisme, de promouvoir sa religion ou encore d’arborer des signes religieux ostentatoires. La situation est moins claire dans les entreprises privées. Le Code du Travail et le règlement intérieur ne constituent pas des outils adaptés pour lutter efficacement contre la radicalisation en entreprise. C’est pour cela que l’Observatoire de la laïcité liste « les différents motifs autorisant les limitations » au fait religieux :

  • Le respect de l’organisation du travail. Exemples : l’obligation du port d’un uniforme, refus de jour d’absence pour une fête religieuse, etc.
  • Les questions d’hygiène et de sécurité. Exemple : le salarié ne peut refuser une visite médicale pour motifs religieux.
  • Interdiction de faire du prosélytisme. Exemple : apologie du terrorisme.
  • Les aptitudes nécessaires. Exemple : refus d’obéir à sa supérieure hiérarchique au motif que c’est une femme.

Cybersécurité

La menace cyber est aujourd’hui considérable, notamment pour les entreprises. Selon le baromètre des risques d’Allianz, les cyber-incidents deviennent plus importants que ceux des catastrophes naturelles et ils sont désormais numéro un dans le secteur financier. La « fraude au président », la « cyberfraude », le « faux fournisseur », l’usurpation d’identité et le « faux client » sont les cinq tentatives de fraude les plus courantes. 59% des entreprises françaises ont déjà été visées par une tentative de fraude au président en 2016 et 57% d’entre elles par une cyberfraude. Cela représente chaque année plusieurs millions d’euros de perte. Ces pertes sont dues à un nombre important de vulnérabilités d’applications et de logiciels et un manque de vigilance et d’informations des entreprises. Par ailleurs, les types d’attaques et d’auteurs se diversifient, ce qui rend la menace plus difficile à détecter en amont.

 

L’utilisation d’outils différents face aux menaces

L’identification et l’appropriation de la notion de menace

L’analyse des différentes menaces avérées ou potentielles, issues de l’environnement, permet d’évaluer le niveau et la typologie des menaces. Ces analyses peuvent résulter d’une étude documentaire, d’une étude de terrain ou d’échanges avec différents acteurs (collectivités, services de l’Etat, partenaires socio-économiques). La menace peut aussi être identifiée en analysant l’attractivité de l’entreprise vis-à-vis des actes de malveillance.

La hiérarchisation des risques de sûreté

Il est nécessaire d’étudier, en premier lieu, la plausibilité des modes d’action en fonction de la future cible potentielle. Elle permet d’indiquer la facilité ou, à l’inverse, la difficulté de réaliser le mode d’action et ses chances de succès ou d’échec. Il est alors possible de mettre en place un système de notation sur les différents modes d’action qui refléterait la plausibilité de chacun en fonction de chaque cible potentielle. Evaluer la vulnérabilité d’un acteur est aussi une étape cruciale. Elle rend compte de la facilité plus ou moins grande avec laquelle un fauteur de troubles peut arriver à ses fins. Enfin, il faut mesurer l’impact, c’est-à-dire le niveau de dommages que subirait la cible potentielle, tant sur le plan humain que matériel et organisationnel. Ces trois étapes permettent d’établir une hiérarchisation des risques et d’orienter son action sur les risques les plus importants.

Source : « Méthodes de programmation à court terme des travaux d'entretien et de rénovation du patrimoine » - CREMONA Christian, LE GAT Yves, ROYET Paul et SANZ Christelle - 2016

 

La prise en compte nécessaire de la sûreté et de la sécurité

L’intégration de la sûreté au sein d’une entreprise peut être imposée par le cadre règlementaire, notamment pour les activités d’importance vitale. Ces dernières sont définies comme un ensemble d’activités essentielles et difficilement substituables ou remplaçables, concourant à un même objectif visant à produire et à distribuer des biens ou des services indispensables. Des opérateurs d’importance vitale (OIV) ont été identifiés et exploitent ou utilisent des installations jugées indispensables à la survie de la nation : les points d’importance vitale (PIV). Afin de renforcer la sécurité des systèmes d’information sensibles, le livre blanc sur la défense et la sécurité nationale de 2013 et plusieurs décrets ont imposé aux OIV des dispositions de sécurité spécifiques telles que la surveillance des prestataires exploitant les services ou la déclaration des incidents de sécurité. L’entreprise doit alors élaborer des évaluations de sûreté et construit des plans de protection en fonction de celles-ci. Elle met en œuvre ces plans de maîtrise en concertation ou après validation par l’Etat.

Le plan Vigipirate, consolidé en 2016, impose lui aussi aux établissements, notamment ceux qui reçoivent du public, de renforcer leur système de sécurité en fonction du niveau de la menace. C’est la raison pour laquelle de nombreuses entreprises ont recours à des entreprises privées de sécurité. Le coût de la sûreté a donc été transféré sur l’entreprise, ce qui entraîne une responsabilité plus importante de l’entreprise.

Selon le Code du Travail, l’employeur a d’ailleurs l’obligation d’assurer la sécurité des salariés au sein de l’entreprise et protéger la santé physique et mentale de ceux-ci. L’employeur doit alors mettre en place des actions de prévention des risques professionnels, des actions d’information et de formation ainsi qu’une organisation et des moyens adaptés. L’obligation de sécurité des employés, soit de protection effective, est une obligation de résultat et l’employeur peut donc engager sa responsabilité civile et pénale en cas de défaillance.

 

Il est donc désormais nécessaire que les entreprises intègrent la sûreté et la sécurité dans leur fonctionnement afin de garantir la protection des personnes et des biens, notamment face aux nouvelles menaces.

 

Mathilde de Gournay