La huitième édition de SécuriDays a réuni près de 200 personnes afin de discuter et de débattre ensemble sur les enjeux de la sécurité. Vous pourrez retrouver ci-dessous, le compte rendu des 9 ateliers qui ont rythmé ces deux jours intenses !
ATELIER 1 - Guerre économique - Intelligence Economique en entreprise
La guerre économique ne doit pas être assimilée à l’espionnage économique ; elle peut être visible ou se révéler comme une guerre d’usure. La « guerre économique » existe contre les USA, contre la Chine et entre pays européens car l’intérêt national prime et elle peut entrainer des disparitions d’entreprises. Le but essentiel est la recherche d’informations et de « paralysie » des concurrents. Souvent, la volonté politique est le déclencheur de cette guerre avec tous les moyens étatiques légaux. Le volet juridique est important et l’infiltration par des cabinets d’audit, des sociétés de conseils et des stagiaires est permanente. L’implication dans les organismes de normalisation est un objectif pour imposer les normes « étatiques », le renseignement d’affaire s’intègre dans la stratégie d’entreprise. Les chefs d’entreprise doivent se renseigner sur les concurrents et leurs pratiques commerciales et stratégiques pour anticiper, comprendre et réagir aux enjeux concurrentiels. Les pionniers sont les anglo-saxons avec des cabinets travaillant en visible ou en « masqué ». L’information étant le minerai de l’IE, il faut agir pour obtenir au fil de l’eau des informations crédibles et pertinentes sur l’environnement de l’entreprise ; aucune information n’est inutile. Trois phases dans l’IE : recueil, analyse et diffusion. Le recueil se fait à l’aide de moyens de recherche techniques et/ou d’humains et, aussi, avec l’aide de l’IA corrélée aux recherches ciblées. Le plus délicat est l’analyse et surtout l’élaboration des décisions à prendre. Seule la direction générale peut décider et, en aucun cas, le responsable de l’IE. Le directeur de sécurité est impliqué pour bien appréhender les risques dans les pays sous tous les plans politiques, sociaux, militaires. Il doit se maintenir informé des évolutions juridiques imposées par les instances françaises et surtout internationales. Il est le mieux placé pour rapprocher toutes ces problématiques sous l’angle sécuritaire. L’IE doit être conduite par une équipe collégiale, agissant dans la légalité, regroupant les directions marketing, commerciale, juridique, Risk manager et sécurité. Le directeur de sécurité veille à la protection du patrimoine de l’entreprise et met en place une culture d’intelligence économique et de la discrétion.
ATELIER 2 - Construire l'architecture de la sûreté et de la sécurité des sites
Construire l’architecture de la sûreté et de la sécurité des sites reste une action délicate. Pour être robuste, la sécurité d’un site ne correspond jamais à une juxtaposition d’équipements, même très performants, mais à une organisation rationnelle, dans la logique d’un système de sécurité globale. A l’issue de la définition des besoins sécuritaires, adaptés aux fonctions opérationnelles, un audit s’impose pour identifier le réutilisable et les vulnérabilités. La sécurité (prioritaire) et la sûreté sont les idées directrices des travaux en pensant à la complémentarité technique et humaine (présentielle/distancielle). Le cahier des charges devra mentionner des points importants : objectifs globaux/unitaires, cohérence, timing, déploiement, compatibilité fonctionnelle, certification, plateformes expérimentales éventuelles, budget, garanties. La gestion du système doit être sécurisée (énergie, supports, base de données, serveur) et le déploiement doit être progressif tout en veillant à la survivabilité du système en mode dégradé. Pour des raisons de maintenabilité et de pérennité, les équipements choisis doivent être certifiés /normalisés et garantis. Il faut par ailleurs bien vérifier les interopérabilités techniques entre les équipements installés. Toute installation doit être testée avant sa mise en œuvre opérationnelle (test unitaire, test d’intégration). La sécurité d’un site doit rester sous l’entière maitrise du chef de site qui peut s’appuyer sur un prestataire, de l’installation à la mise en œuvre. La sécurité d’un site ne doit pas être totalement automatisée de la détection d’évènement jusqu’à la réaction induite. Pour assurer une maintenabilité efficace, l’élaboration de documents d’installation, de suivi du site et de mise en œuvre de la sécurité est indispensable. Les achats « moins-disant » faits dans l’urgence sont parfois très couteux dans la durée. Les maintenances préventive et curative des équipements sont obligatoires et l’IA sera un apport intéressant. Ne jamais oublier qu’un accident peut toujours se produire et que les assurances peuvent être souvent utiles ; le maximum des précautions prises seront toujours protectrices juridiquement.
ATELIER 3 - QHSE, sécurité incendie et mobilité internationale des salariés
Ces domaines sont souvent connexes aux activités des directions de sécurité car d’autres directions (RH, Qualité et Affaires générales) s’en occupent pour des raisons historiques ou de responsabilités pénales. La santé et la sécurité sont les volets importants de la gestion QHSE (Qualité, Hygiène/Veille à la conformité aux normes, Sécurité/face aux maladies et accidents professionnels, Environnement /impacts environnementaux). Les risques professionnels varient selon les métiers et les secteurs d’activité et peuvent résulter de l’exercice du métier, mais aussi de facteurs de stress, de fatigue. (Risques directs /indirects). Les familles de risques professionnels sont notamment : accidents du travail, maladies professionnelles, accidents des trajets, risques psychosociaux (stress, burn-out, bore out, ...). La sécurité incendie est un enjeu majeur pour prévenir les risques d’incendie dans les bâtiments et les lieux de travail (protéger les vies humaines et les biens). Elle nécessite une approche proactive, des équipements SSI adaptés et une sensibilisation continue. Les réglementations et normes sont très importantes (ERP, IGH, bâtiments d’habitation, établissements recevant des travailleurs, ICPE). Pour la mobilité à l’international, trois jurisprudences sont à méditer : Karachi (protection), Jolo (information voyageurs) et Abidjan (hors heures de travail). L’employeur est responsable civilement/pénalement de la sécurité de ses salariés à l’étranger (expatriés/travailleurs détachés) dès lors qu’il a conscience d’un risque ou qu’il ne prend pas de mesures suffisantes pour préserver leur sécurité face à un danger. Des actions sont à mener : administratives (contrats, formalités légales, assistance, santé, indemnités...) et documentations (dossiers, guides, fiches pays, etc.). La faute inexcusable est un manquement à l’obligation légale de sécurité et de protection de la santé à laquelle l’employeur est tenu envers son salarié (accident du travail/maladie professionnelle et absence de mesures nécessaires pour prévenir). La direction de sécurité-sûreté doit être intégrée pour des raisons de cohérence de sécurité globale et de transversalité. Les menaces et les conditions de vie à l’étranger peuvent peser sur la santé et le moral des salariés et cela pourrait devenir un catalyseur de mouvements sociaux internes.
ATELIER 4 - Loi sécurité globale, deux ans après - Continuum de la sécurité
La loi de sécurité globale vise, en préservant les libertés, à mieux articuler le travail des policiers/gendarmes, de la police municipale, des gardes champêtres, des brigades cynophiles et le secteur de la sécurité privée tout en précisant le volet technologique (surveillance : caméras piétons, vidéoprotection...) et la protection des forces de l’ordre. Cette volonté de renforcer le continuum de sécurité avait aussi comme objectif de confier certaines missions régaliennes à la police municipale et certaines tâches d’exécution à la sécurité privée. Le renforcement des prérogatives des policiers municipaux restera en revanche timide. Très impliquées dans la gestion quotidienne de l'ordre public, les collectivités locales sont devenues un maillon essentiel de la sécurité intérieure. Quelques évolutions ont notamment été mise en œuvre : limitation de la sous-traitance en cascade, renforcement des compétences du CNAPS, durcissement des conditions d’obtention de la carte professionnelle (connaissance de la langue française, titre de séjour depuis cinq ans), hausse des obligations des dirigeants de société, renforcement de la protection des agents de sécurité privée. Par ailleurs, l’agrément du dirigeant ne peut être délivré qu’à l’appui d’un extrait de casier judiciaire vierge. Certaines activités de la sécurité privée ont aussi été améliorées : agrément palpation, exercice sur la voie publique, détection de drones. Les services pouvant visionner les images de vidéoprotection sont élargis. Les polices municipales peuvent visionner les images des caméras aux abords des commerces, mais uniquement les systèmes de vidéoprotection mis en œuvre dans leur commune ou leur intercommunalité. Afin de sécuriser les transports publics, certains agents de la RATP/SNCF ont eux aussi accès à la vidéoprotection de la voie publique. La loi sécurité globale a contribué à accélérer le déploiement des CSU. Tous les agents institutionnels de sécurité (policiers municipaux, policiers et gendarmes nationaux et sapeurs-pompiers, agents de sécurité RATP et SNCF) peuvent désormais porter une caméra piéton mais les agents de sécurité privée n’y sont pas autorisés. L’utilisation de drones par policiers, gendarmes, douaniers ou militaires est possible, dans certains cas : prévention des atteintes à la sécurité des personnes et des biens ; sécurité des rassemblements sur la voie publique, en appui des agents au sol, afin de maintenir ou de rétablir l’ordre public.
ATELIER 5 - Contrôle d'accès - Vidéosurveillance et vidéoprotection
Le contrôle d’accès contribue à la protection d’un site pour gérer/filtrer/optimiser les flux de personnes/véhicules (fluidité, suivi en temps réel). Il est intégré dans la démarche de sécurité et associé à d'autres systèmes de sécurité électronique, vidéosurveillance et télésurveillance. Pour compléter ce panel, ajoutons les capteurs (alarme, sirène, détecteurs, ...) et autres équipements de protection (détection volumétrique, magnétique, sismique, …). Tous les ouvrants [portes intérieures/extérieures, barrières/portes pleines (parking), rideaux métalliques (accès industriels), portillons non gardiennés/portiques d’accès (entrées gares, …), portails, ascenseurs, casiers/stockage d’appoint] sont combinés à l’identification et l’authentification. L’identification avec les lecteurs adaptés (à savoir badges et codes à chiffres, l’ouverture à distance, la lecture de plaques minéralogiques) demeure la plus fréquente. L’utilisation du smartphone, des QR code et RFID reste limitée. La biométrie permet, elle, d’identifier un individu à partir de ses caractéristiques physiques, biologiques, comportementales (main/empreintes digitales, œil/iris-rétine, voix/reconnaissance vocale, visage, signature dynamique, démarche) mais reste aujourd’hui marginale. La vidéosurveillance (protection espaces privés) repose sur un système de caméras reliées à des enregistreurs captant des flux vidéo (détection anomalies/identification auteurs présumés de dégradations/vols/agressions). La vidéoprotection (lieux publics et ouverts au public) permet de lutter contre l’insécurité sur la voie publique. Aux équipements d’accès et vidéo, il est obligatoire d’associer les données techniques et juridiques. Soulignons qu’on peut maîtriser le budget alloué en "substituant" un gardien par un système de contrôle d'accès. L’IA pourra, à terme, permettre une analyse comportementale pour détecter une activité suspecte et prendre des mesures préventives. L'IoT permet une interconnexion entre tous les dispositifs de sécurité, offrant une gestion centralisée et optimisée. Les APIs jouent un rôle essentiel dans ce domaine de la sécurité physique et permettent d’échanger des informations entre différentes applications et systèmes.
ATELIER 6 - Changement climatique : risques incendies, sismiques, épidémiques
Les risques naturels sont nombreux et potentiellement dangereux pour les populations et les activités économiques ; ils sont très variés et parfois imbriqués : inondations, feux de forêt, vagues de chaleur et sécheresse, submersions marines, mouvements de terrain, retrait-gonflement des argiles, avalanches, séismes, volcanisme. Les risques climatiques liés au changement du climat peuvent causer d'immenses pertes économiques aux entreprises : dommages matériels aux installations, pertes de production, perturbations de la chaîne d'approvisionnement, coûts de relocalisation et pertes de revenus. Le risque climatique est aussi inhérent à la variabilité météorologique, avec des phénomènes récurrents : orages violents et stationnaires, succession d’orages localisés, perturbation associée à des pluies étendues. Dans ces configurations, la contamination des sols, les dommages affectant l’état écologique, chimique ou quantitatif ou le potentiel écologique des eaux sont importants et peuvent aussi impacter la santé, le moral et la disponibilité des salariés (accès impossible, absence d’énergie/télécom, ...). Le risque physique (pertes et dommages sur les acteurs économiques) peut toucher des entreprises ayant des actifs (comme des usines) dans des zones susceptibles de subir des aléas météorologiques, des assureurs qui enregistrent une hausse de la sinistralité et, encore, des banques ayant accordé des prêts à des entreprises affectées par le climat. On doit y associer le risque de transition, qui correspond aux sous-risques liés à l’adaptation des économies vers une trajectoire bas-carbone. Les épidémies représentent également une menace pour les populations et sont susceptibles de provoquer une désorganisation du système de santé, voire des perturbations importantes de la vie sociale et économique. Des mesures d’hygiène simples peuvent contribuer à limiter le risque de transmission de ces maladies et il ne faut pas oublier les risques dus à pollution de l’air, aux vagues de chaleur (fatigue, perte d'attention, symptômes cardiovasculaires). La gestion des risques climatiques devient une priorité pour les risk managers.
ATELIER 7 : Plan de Continuité et de Reprise d'Activités (PCA/PRA) - La gestion de crise
Une crise est soudaine et grave. Les causes peuvent être liées à des disparités internes (manque d’esprit d’innovation, mauvaise gestion des finances, incendie, mouvement social, ...) ou des circonstances externes (krach boursier, catastrophes naturelles, nouvelles législations, ...). Il est important de connaître tous les signes d’une crise, de les percevoir en temps utile et d’identifier les causes et l’ampleur des évolutions défavorables. La gestion de crise doit permettre de prévenir une crise majeure ou de la surmonter et en assurer le suivi. L’existence d’une équipe de crise est indispensable pour prendre des décisions vitales tout en opérant dans des conditions difficiles. Pour savoir gérer une crise, il faut un plan de prévention des risques (évènements générateurs de crise), un système d’alerte, une liste des personnels prêts à agir avec des responsabilités précises, un plan de gestion de crise (situations de crise ; menaces ; dommages possibles ; urgences médicales ; réputations) et un plan de communication de crise. A cela s’ajoute un plan de continuité d’activité, opérant en préventif, qui permet à une entreprise de préparer l’organisation de son activité en cas de crise. En anticipant, l’entreprise augmente son niveau de résilience et peut limiter l’impact des crises. La principale problématique des entreprises est d’assurer la continuité de l’activité malgré une perte de ressources (revenus, effectifs, logistique). La définition du contexte et des objectifs (nature de la crise, niveau d’échelle, objectifs à atteindre pour assurer la survie, actions prioritaires à mettre en place) est nécessaire. Le PRA complète la préparation avec l’ensemble des procédures et moyens matériels, technologiques et humains pouvant rétablir et reprendre l’activité de l’entreprise après la survenue d’un incident. Le PRA intervient seulement une fois que le sinistre a eu lieu. Les deux plans sont complémentaires, anticipant ou implémentant les ajustements nécessaires pour continuer l’activité en mode dégradé. La reprise d’une activité, même partielle, garantit un niveau de chiffre d’affaires minimum, et participe à la survie de l’entreprise. Une entreprise capable de satisfaire ses clients, même en période de crise, fidélise autant qu’elle améliore son image. La bonne gestion du fonctionnement de l’entreprise en période de crise permet aussi de fidéliser les collaborateurs et de fluidifier l’organisation interne de l’entreprise.
ATELIER 8 : Intelligence Artificielle (IA), IoT, drones pour la sécurité globale
L’intelligence artificielle (IA) impacte la sécurité dans toutes ses composantes : caméra, lecteurs accès, portails/barrières, clôtures, drones, robots, capteurs/détecteur, hypervision, télésurveillance, gestion de crises, maintenance, analyse documentaire, enquêtes, prévention de sinistres/agressions. L’IA, grâce à une grande puissance de traitement alliée au Big data, permet de renforcer les actions humaines où elle facilite les prises de décision dans des situations complexes et/ou comportementales. Les technologies IP et Internet permettent de véhiculer toutes les informations extérieures (image, température, usure, pluie, individu, voix, ...) sur les réseaux physiques (Wifi, Bluetooth, fibre optique, laser, câble métallique, ondes). L'Internet of Things (IoT) est l'interconnexion entre l'Internet et des objets, des lieux et des environnements physiques ; réseau interconnecté de dispositifs physiques (ordinateurs, capteurs et machines) et de logiciels (applications) qui fonctionnent ensemble pour automatiser et rationaliser les processus. 4 rôles principaux des IoT : collecter des données, les transmettre, permettre l’analyse de l’information et ainsi agir à la suite de l’alerte. Les analyses peuvent être effectuées par des êtres humains ou par une intelligence artificielle en quasi-temps réel ou sur une longue période. L'intégration du Big Data aux systèmes existants peut être compliquée et la sécurité peut devenir un enjeu critique lors de la création de systèmes IoT. Les plates-formes cloud permettent d’accéder à l’infrastructure dont la sécurité a besoin pour évoluer. Les robots physiques (machines programmables exécutant des tâches en autonome ou semi-autonome), interagissant avec le monde physique à l'aide de capteurs et d'activateurs, sont indépendants n’intègrent pas obligatoirement jusqu’à présent de l’IA. En effet, un drone ou robot mobile autonome (aérien, terrestre, naval) est équipé de capteurs/caméras pour collecter des informations sur son environnement et son état, tels que son orientation et sa position. Ils renforcent la sécurité et la sûreté publique ou privée et sont pertinents pour des missions de surveillance et de reconnaissance de zones difficilement accessibles ou dangereuses. Ainsi, les dispositifs de surveillance humaine gagnent en efficacité avec les drones.
ATELIER 9 – Armement des agents de sécurité privée (armes non létales / létales)
Les armes létales peuvent causer des blessures graves, voire la mort (Armes à feu, couteaux, explosifs, armes chimiques) et sont interdites ou très réglementées pour les civils. Les armes non létales sont destinées à maîtriser un individu sans le tuer ; elles sont utilisées dans des situations où l’usage de la force est nécessaire, mais où l’objectif n’est pas de causer des blessures mortelles (Taser, Lanceur de balles de défense (LBD) ; gaz lacrymogène). La législation française (Code du Travail et Code de la Sécurité Intérieure) dispose que les employeurs doivent équiper adéquatement leurs agents pour garantir leur sécurité. L’armement est autorisé s’il y a un risque exceptionnel d’atteinte à la vie de l’agent ; légalisé depuis le 1er janvier 2018, l’armement des agents de sécurité est très encadré et reste marginal. Les agents de surveillance renforcée peuvent s’équiper d’armes de catégorie B (revolvers chambrés calibre 38 spécial, armes de poing chambrées, générateurs d’aérosols). Les agents de sécurité peuvent avoir des armes non létales de catégorie D : matraques/bâton de défense ou tonfa, tonfas télescopiques, générateurs d’aérosols. L’armement peut être effectif seulement si l’agent dispose d’une carte professionnelle permettant l’exercice de l’activité avec usage des armes. Cela dépend du client/service de sécurité interne qui en fait la demande et si le préfet l’accorde. L’autorisation préfectorale mentionne l’objet, la durée, le lieu de la mission, les noms des agents, ainsi que les armes autorisées. Les agents doivent disposer d’une copie de l’autorisation préfectorale, conserver les armes en lieu sûr, être équipés d’un gilet pare-balles, toujours être deux en mission. Les agents en question doivent suivre des formations et entraînements réguliers sur le maniement des armes, leur sécurité et le tir. L’armement des agents de sécurité prouve que l’État accorde sa confiance à la profession, pour la protection de tous.
