En vedette Chroniques et opinions Règles et pratiques de sécurité
Prioriser efficacement les actions en sécurité physique

Dans de trop nombreux cas, par manque de temps, de ressources, ou simplement de connaissance des bonnes pratiques, des actions mal adaptées devant améliorer la sécurité sont implantées dans les organisations. Cependant, si ces démarches ne sont pas minutieusement analysées au préalable et intégrées dans un plan global de sécurité, les chances d’obtenir des résultats nuls, voir même contre productifs, sont grands.

Afin de bien définir vos besoins en sécurité, il convient de suivre une méthodologie exhaustive qui permettra à la fois d’adopter les mesures en sécurité les plus efficaces pour vos besoins particuliers, de les prioriser, et d’autre part d’éviter des dépenses injustifiées. Il est important de s’assurer que les contremesures implantées ne sont pas plus onéreuses que les biens à protéger!

Il existe différentes approches destinées à évaluer votre environnement et vos besoins en sécurité (1, 3) mais ces dernières se basent sur les mêmes principes directeurs. Les analyses de risques et de vulnérabilités destinées à dresser un portrait complet des problématiques de sécurité sont issues des pratiques adoptées à l’origine par les compagnies d’assurance et peuvent se découper en six étapes distinctes.

1.    Préparation
La phase initiale de préparation a pour objectif d’obtenir l’appui de la direction, de la constitution de l’équipe en charge du projet d’analyse ou de l’appel d’offre, et de définir le mandat et les objectifs à atteindre. Dans bien des cas, cette phase essentielle est négligée. Comme cela se fait dans tout projet, s’assurer de bien définir la collaboration, les besoins et les attentes des partenaires clefs permet d’économiser un temps considérable lors de l’exécution du mandat.

2.    Identification des actifs
Pour savoir quelles mesures de sécurité mettre en place, la première étape opérationnelle est de définir quels sont les actifs à protéger. En règle générale, en sécurité physique, les actifs peuvent s’inscrire dans trois catégories distinctes à savoir, les personnes (employés, clients, contracteurs, visiteurs, etc.), les biens tangibles (édifices, matériels, véhicules, infrastructures, etc.) et les biens intangibles (opérations, réputation, informations, intelligence, etc.).

Identifier les actifs ne s’arrête pas à une simple liste de ce qui appartient ou importe à l’organisation. Il est nécessaire d’établir la valeur de chaque bien et les coûts associés à la perte potentielle d’un tel bien. Sans entrer dans les formules de calculs, il est important de comprendre que les coûts associés à la perte d’un actif peuvent être considérés de manière exhaustive en incorporant les coûts de remplacement, de substitut temporaire, de besoins associés, d’image, de perte de revenus et d’assurance.

3.    Évaluation des menaces
L’étape suivante vise à établir les menaces potentielles et effectives envers les actifs de l’organisation. Pour cela, plusieurs aspects doivent être considérés. L’historique des incidents passés permet d’établir les menaces qui se sont déjà concrétisées envers l’organisation. Le manque de données sur les événements passés étant une des plus grandes problématiques rencontrées, il est donc important de s’assurer qu’un système efficace de gestion des incidents est implanté et exploité dans son ensemble. Il conviendra également de procéder à des entrevues devant permettre de considérer l’expérience des personnes clefs impliquées et d’analyser l’environnement dans lequel est physiquement implantée l’entité afin de prendre en considération les facteurs externes pouvant influencer le niveau de sécurité.

Une fois les menaces évaluées, il conviendra d’établir à la fois la probabilité d’occurrence de ces menaces, ainsi que l’impact qu’elles devraient avoir sur l’organisation dans la mesure où elles devraient se concrétiser.

4.    Évaluation des vulnérabilités
L’évaluation des vulnérabilités face aux menaces établies précédemment passe par l’analyse des systèmes de sécurité en place. Cette évaluation se fait généralement par un audit de sécurité en détaillant l’ensemble des contremesures en place telles que l’aménagement et l’utilisation des espaces, le contrôle d’accès, la vidéosurveillance, les personnels, la structure de construction, les systèmes d’alarmes, les politiques et directives en lien avec la sécurité, etc.

5.    Établissement des risques résiduels
L’évaluation des niveaux de risques résiduels se calcule par une formule établie selon la méthodologie choisie et mettant en relation l’ensemble des facteurs déterminés précédemment, soient les actifs, les menaces, les probabilités d’occurrence, les impacts et les vulnérabilités. Arrivé à cette étape, si le processus est constitué dans son ensemble, les organisations obtiennent un portrait intégral des risques auxquels elles sont confrontées.

6.    Proposition des recommandations
C’est seulement lorsque les actions ci-dessus sont posées qu’il devient possible de prioriser les risques et d’établir des recommandations fondées sur une logique actuarielle éprouvée, justifiant la prise de décisions. Il convient de rappeler que tous les risques ne sont pas nécessairement adressés de la même manière. En effet, un risque peut être accepté (aucune mesure compensatoire adoptée), transféré (via une assurance) ou diminué (mise en place de contremesures).

Références:
1.    ASIS International (2012). Protection Of Assets. Physical Security.
2.    ASIS International (2012). Security Management Standard: Physical Asset Protection. American National Standard. ANSI/ASIS PAP.1-2012
3.    Centre de la sécurité des télécommunications et Commissaire de la Gendarmerie royale du Canada (2007). Méthodologie harmonisée d’évaluation des menaces et des risques. Publication non classifiée.

Jean-Charles Gris, M.Sc., CPP, est président d’ASIS Montréal, vice-président adjoint de la région ASIS Québec/Maritimes et directeur Conseil – Expertise Sécurité –(*Graham :Remove this hyphen) chez WSP Canada.