Comment gérer le post-incident sûreté ?

Lilian LAUGERAT – expert en gestion des risques sûreté – délivre sa méthode pour permettre aux entreprises de gérer le post-incident sûreté et d’atteindre la résilience.

En sûreté, les entreprises ont tendance à considérer que tant qu’il n’y a aucun incident, les moyens mis en place pour contrer les actes malveillants sont suffisants. Si bien qu’elles ne sont en général, pas parfaitement préparées lorsqu’arrive un événement. Le choc est d’autant plus rude que l’incident sûreté – braquage, vol, détérioration, intrusion, attentat – est toujours un événement hors du commun, avec une dynamique rapide et violente. Par ailleurs, il y a en général un fort impact humain dans la mesure où l’action est menée à l’encontre de personnes et de biens.

Le temps du post-incident doit permettre d’analyser les impacts de l’événement et la pertinence des réponses mises en place par l’entreprise. Le but étant de faire évoluer ces réponses afin d’éviter au maximum, qu’un incident du même type ne se reproduise. Une démarche indispensable que la plupart des entreprises ne prennent pas toujours le temps de mettre en oeuvre.

Une dynamique d’amélioration continue

Après un incident sûreté, l’entreprise se doit d’être résiliente. C’est à dire – si l’on prend la définition de la résilience – qu’elle doit avoir la capacité de reprendre sa forme naturelle malgré une altération de son environnement.

Pour parvenir à cette résilience, Lilian LAUGERAT incite les entreprises à s’inspirer du “Kaizen”. Un principe japonais mis en place au 20e siècle pour améliorer les processus de travail et qui est une fusion des mots “kai” et “zen” / “changement”, “meilleur”. On peut le traduire en français par “amélioration continue”. En résumé, il s’agit d’un état d’esprit qui consiste à analyser et à remettre en question en permanence les processus, dans le but de les améliorer. La gestion du post-incident sûreté doit donc être envisagée comme une amélioration continue et naturelle de l’entreprise, en réaction à un incident malveillant.

Une méthode en quatre étapes

Aujourd’hui, la gestion du post-incident sûreté n’est pas systématisée dans les entreprises. D’une part, car elles n’ont souvent pas la méthode adéquate, d’autre part, car elles ne prennent pas toujours le temps d’aller au bout du processus de réflexion. Elles ont en effet tendance à essayer de pallier les vulnérabilités de surface sans regarder le problème dans son ensemble.

La méthode mise au point par Lilian LAUGERAT, repose sur quatre étapes clés.

1/ La première consiste à revenir sur les faits pour comprendre ce qu’il s’est passé, analyser le mode opératoire des malveillants et lister les éventuelles défaillances de l’entreprise. C’est une analyse très factuelle.

2/ Il s’agit ensuite de lister et de comprendre les impacts – réels et potentiels – de l’acte malveillant. Ces impacts peuvent entrer dans 5 catégories : les personnes, l’activité, l’image (interne comme externe) de l’entreprise, la responsabilité juridique et l’environnement. Pendant cette deuxième étape, l’enjeu consiste à aller au-delà des impacts réels et d’envisager le scénario du pire. C’est une démarche importante car le plan d’action sera par la suite, calibré spécifiquement pour pouvoir anticiper et gérer ces impacts.

3/ Ensuite, il faut répertorier toutes les parties prenantes internes et externes qui ont été impliquées, de près ou de loin, dans l’incident sûreté. Il peut s’agir des premiers intervenants (agents de sécurité et de sûreté), des collaborateurs, des forces de police, des moyens de secours, jusqu’aux parties prenantes informées de l’incident (entreprise voisine, autorités, opinion publique, etc.).

4/ La quatrième étape est la formalisation du plan d’action avec, en vue, plusieurs objectifs :

• prendre toutes les mesures visant à réduire les impacts constatés et potentiels, déterminés lors de l’analyse d’impact
• corriger les vulnérabilités de l’entreprise par rapport aux moyens de protection existants (humains, techniques, physiques, plans et procédures)
• mettre en place des actions concrètes avec l’ensemble des parties prenantes pour améliorer le processus de gestion de l’événement avec celles impliquées et prendre en compte celles impactées (débriefing psychologique, etc.)

De l’importance de communiquer

Une fois le plan d’action établi, il est indispensable de le partager avec l’ensemble des parties prenantes. En interne, comme en externe, toutes les personnes touchées par l’événement doivent savoir ce qu’il s’est passé, comment cela a été analysé et les actions proposées pour que cela ne se réitère pas. C’est le meilleur moyen de rassurer, de faire accepter l’événement passé et de montrer la proactivité de l’entreprise.

En conclusion, Lilian LAUGERAT rappelle que la gestion du post-incident est une décision qui émane de la direction et qu’elle doit intervenir dans le mois qui suit l’événement. L’erreur serait de faire l’analyse à chaud. En effet, contrairement à la gestion de crise qui permet de gérer les conséquences immédiates de l’incident et qui est le temps de l’émotion, la gestion du post-incident est un moment rationnel. Elle permet de revenir sur les conséquences avec davantage de recul mais aussi d’intégrer les causes et les dysfonctionnements pour mieux les corriger.