Toutes les entreprises peuvent être la cible d’actes de malveillance. Pour anticiper ces risques sûreté, Lilian LAUGERAT nous délivre les trois clés indispensables à la mise en place d’une politique sûreté efficace en entreprise. Toute entité – individu, site, entreprise ou activité – peut être la cible d’un acte de malveillance. Dans le domaine de la gestion des risques, c’est ce que l’on appelle le “risque sûreté”. Les entreprises en particulier, en raison de ce qu’elles génèrent — produits, données, processus — représentent une véritable attractivité aux actes de malveillance. La palette de ces scénarios malveillants est vaste : cyber-attaques, criminalité, fraude au président, actes terroristes… Malgré ce niveau de menace élevé, la culture de la sûreté n’est encore pas ou peu développée dans les entreprises françaises. Comment l’expliquer ? A l’inverse du domaine de la sécurité, la sûreté ne possède pas de réelles normes imposant la mise en place de standards de protection. Ceux-ci visent à dissuader et détecter les actes de malveillance, et à réagir en cas d’attaque. Pourtant, un seul acte de malveillance peut entraver voire condamner l’activité d’une entreprise. Faut-il en dire plus pour démontrer que la sûreté représente un enjeu stratégique majeur pour les entreprises ? Pour le dirigeant d’une entreprise qui a l’obligation juridique de protéger ses employés dans le cadre de leurs activités, ce vide normatif alimente une véritable problématique. Comment se protéger d’un risque sûreté par nature fluctuant et polymorphe? Lilian LAUGERAT, expert en analyse et gestion des risques sûreté, nous délivre les trois étapes indispensables à la construction d’une politique sûreté en entreprise. Celle-ci permet d’envisager tous les scénarios d’actes malveillants, dans le but de mettre en place des mesures de protection efficaces, réellement adaptées aux activités des entreprises. Réaliser une analyse des risques sûreté Pour construire une politique Sûreté adaptée et cohérente, le dirigeant d’une entreprise — propriétaire des risques — doit d’abord se poser quelques questions primordiales : quelles sont les cibles de mon entreprise qui représentent une réelle attractivité aux yeux des malveillants ? Quels sont les scénarios de malveillance potentiels pouvant impacter ces cibles et à quel niveau de risque ? L’unique moyen de répondre à ces interrogations est de conduire une analyse de risques sûreté. Cette étude permet de balayer l’ensemble des scénarios auxquels une entreprise peut être confrontée. Cette analyse ne s’appuie pas uniquement sur les évènements qui se sont déjà déroulés. Elle doit également envisager et étudier les scénarios potentiels, c’est-à-dire ceux qui pourraient survenir en fonction de l’activité et du contexte dans lequel l’entreprise évolue. L’objectif est de fournir une analyse claire et précise permettant de définir le niveau de risque auquel l’entreprise doit faire face et de mettre en place les standards de protection indispensables pour contrer les modes opératoires des malveillants. Mettre en place des moyens de protection adaptés A partir de cette analyse de risques, l’entreprise peut alors déployer sa propre politique de sûreté. Celle-ci s’apparente à un système de management spécifique qui vise à protéger les cibles contre les modes opératoires des malveillants grâce à ces moyens de protection adéquats. Concrètement, ces standards de protection se composent de moyens humains, techniques, physiques, de plans et de procédures. Ils ont pour objectif de dissuader et détecter tout passage à l’acte de la part des malveillants. Ils permettent également de réagir le plus rapidement possible par des procédures anticipées et de limiter ainsi les impacts et le basculement dans une situation de crise. Vérifier régulièrement l’adéquation des moyens de protection “Les objectifs et les modes opératoires des actes malveillants évoluent chaque jour. C’est toute la particularité du contexte de menace dans lequel nous vivons actuellement et ce, pour encore de nombreuses années” explique Lilian LAUGERAT. Les objectifs et les modes opératoires des actes malveillants évoluent chaque jour. C’est toute la particularité du contexte de menace dans lequel nous vivons actuellement et ce, pour encore de nombreuses années. Pour cette raison, l’entreprise doit – et c’est la dernière étape de la politique sûreté – contrôler très régulièrement les moyens de protection qu’elle a mis en place. Elle s’assure ainsi qu’ils sont toujours opérationnels et adaptés au niveau de risque. Si ce dernier évolue, elle devra alors réajuster ses dispositifs en fonction des standards validés dans son système de management. Pour résumer, les entreprises ont tout intérêt à prendre conscience des dangers actuels et potentiels qui les menacent. C’est à condition d’établir une analyse préalable de leurs risques qu’elles pourront élaborer une politique sûreté efficace pour se protéger. Pour atteindre cet objectif, il reste toutefois encore à mettre en place une véritable méthode de travail partagée, en d’autres mots, une normalisation concrète de la sûreté. Retrouvez toutes les interviews de Lilian LAUGERAT : Qu’est-ce qu’un standard de protection de sûreté ? Sûreté et sécurité : une question de définition Pourquoi il faut normaliser la sûreté Qu’est-ce qu’une analyse des risques sûreté ? Comment gérer le post-incident sûreté ? Crédit photo principale : © GORON Facebook Twitter LinkedIn
La fraude bancaire ne connaît pas la crise ! Sécurité & Sûreté humaine 21 mars 2023 Les banques ont beau multiplier les précautions pour sécuriser les accès aux comptes en ligne de leurs clientes et clients – notamment avec la double authentification –, les escroqueries bancaires prospèrent. En tentant de récupérer par la ruse les identifiants, mots de passe et numéros de carte bleue, les pirates…
Le panorama de la cybermenace à la loupe : retour sur l’année 2022 avec l’ANSSI Sécurité & Sûreté humaine 14 mars 2023 Quel a été le visage du risque cyber en 2022 ? L’Agence nationale de la sécurité des systèmes d’information (ANSSI) se penche sur le sujet dans son panorama de la cybermenace, publié le 24 janvier 2023. Le bilan fait état de 831 intrusions avérées, contre 1 082 en 2021. Malgré ce constat, la…
Cybersécurité : pourquoi les administrations publiques sont-elles prises pour cible ? Sécurité & Sûreté humaine 7 mars 2023 Alors que le système administratif français rassemble les informations personnelles de milliers de personnes, les services publics sont devenus des cibles prioritaires pour les cyberattaques. Depuis fin 2019, l’association Déclic a recensé plus de 130 attaques cybercriminelles, sur tous types de services publics. Hôpitaux, universités, mairies et bien d’autres tentent…