Lorsqu’on parle de sécurité globale, on parle de sécurité physique, de sécurité informatique ou encore de sécurité économique. Assurer la protection des locaux, mettre en place des procédures de gestion de crise, connaitre, préserver et valoriser le patrimoine immatériel mais aussi sélectionner, protéger et former les collaborateurs, sont autant de points à prendre en compte dans l’élaboration d’une politique de sécurité complète et efficace. Dans un souci de maitrise et de réduction des risques, la sûreté, la cyber-sécurité, l’intelligence économique et l’implication de l’ensemble des acteurs sont des éléments à intégrer au cœur de la stratégie des entreprises.
Vol ou perte de données, de savoir-faire, attaque informatique, mauvais recrutement, espionnage, concurrence déloyale, OPA hostile... Qu’ils soient internes, externes, économiques, opérationnels, technologiques ou encore humains, les risques qui pèsent sur les organisations sont multiples et variés. Ils sont polymorphes, certains peuvent disparaitre, et d’autres apparaitre ou s’adapter en fonction des évolutions de l’organisation elle-même ou de son environnement. Pour autant, ils sont étroitement liés les uns aux autres, d’où la nécessité de penser et de mettre en œuvre une politique de sécurité globale parfaitement adaptée à la structure concernée.
L’analyse de risques, première étape de la mise en place d’une politique de sécurité
L’analyse de risques, qui consiste à identifier et évaluer l’ensemble des risques propres à une organisation, est la première étape de l’élaboration d’une politique de sécurité globale, pertinente et efficace. Lorsque la probabilité et l’impact d’une menace sont élevés, le risque est maximum et sa maitrise devient vitale pour l’entreprise.
Par l’élaboration de scénarios et l’implication des acteurs clés de l’organisation (direction, informatique, utilisateurs etc.), l’analyse et la classification des risques permettent de matérialiser les menaces, d’en évaluer la gravité et l’occurrence, d’identifier les points critiques et ainsi, de se donner toutes les chances pour mettre en place des mesures de mitigation et de protection. Une entreprise qui se montre proactive dans cette démarche est plus résiliente, elle est apte à anticiper et à mieux gérer l’incertitude.
La sécurité des locaux et du personnel
La protection physique des entreprises répond à deux nécessités : celle de prévenir en limitant les risques d’intrusion (protection des biens et des personnes) et celle de protéger le cœur de l’entreprise, son savoir-faire et son organisation.
En termes de sûreté, plusieurs aspects doivent être étudiés. Bien penser sa politique de contrôle d’accès (badges, codes, barrières physiques etc.), solliciter une société de gardiennage efficace, installer des dispositifs de vidéosurveillance ou encore des systèmes d’alarme, permettent de réduire la possibilité d’une intrusion malveillante. La notion de sûreté englobe la mise en œuvre d’une politique de recrutement et de gestion du personnel, de stockage et de destruction des documents importants ou encore les mécanismes de protection face à une catastrophe type incendie ou inondation.
Face à une offre croissante et aux évolutions technologiques dans le domaine de la sûreté, il est parfois difficile de faire les bons choix. Au-delà du choix du matériel, de nombreux autres aspects entrent en compte en fonction de la structure de l’organisation ou encore des règles juridiques qui s’y appliquent. La politique de sécurité des locaux doit être le fruit d’une réflexion aboutie et adaptée au niveau de risques. En amont ou en fonction des évolutions de l’organisation, la réalisation d’un audit de sûreté permet d’obtenir les conseils de professionnels aguerris aux enjeux et risques actuels.
Inévitablement, la notion de sûreté physique doit être articulée avec celle de cyber-sécurité, un enjeu stratégique pour les entreprises.
La protection des systèmes d’informations et de télécommunications
Les systèmes d’informations sont la cible d’actes malveillants volontaires (intrusion, vol de données, blocage des moyens de communication etc.). Des dommages involontaires ou accidentels (suppression de données par erreur, dégradation/destruction du système d’information suite à un incendie etc.) peuvent intervenir. A l’heure de la dématérialisation des documents et de la multiplication des cyber-attaques, la préservation et la redondance des systèmes d’informations sont des éléments clés de la politique de sécurité des organisations.
La réalisation d’un test d’intrusion (pentest) et/ou d’un audit, permet à une organisation de s’assurer de la perméabilité de son système d’information. Réalisées par des professionnels, les simulations d’attaque informatique permettent d’identifier les vulnérabilités d’un réseau informatique, d’une application ou d’un site web en mettant en évidence les failles susceptibles d’être exploitées par une organisation criminelle ou un logiciel malveillant. En s’appuyant sur les résultats du test et/ou de l’audit, l’entreprise peut appliquer des correctifs et renforcer son niveau de sécurité informatique. Assurer le bon fonctionnement du système d’information, garantir l’intégrité des données et des échanges, vérifier que seules les personnes autorisées aient accès à telle ou telle ressource, mettre en place une politique de mots de passe et de chiffrement des données ou encore sensibiliser les collaborateurs aux enjeux de cyber-sécurité, sont autant d’éléments à prendre en compte dans le cadre d’une politique de sécurité.
Sécuriser son environnement économique et concurrentiel
La sécurité physique des locaux et la sécurisation des systèmes d’informations renforcent la protection du patrimoine de l’entreprise. Pour autant, elles ne sont qu’un maillon de la chaîne globale. L’intelligence économique (I.E), c’est à dire la connaissance de son environnement, de ses partenaires, clients, concurrents etc. est un autre aspect essentiel de la politique de sûreté de l’entreprise. Elle permet par exemple de valider la réalité économique, la réputation, les réseaux politiques ou les liens licites d’un partenaire, d’un client ou d’un fournisseur. C’est aussi un excellent outil pour vérifier l’origine des fonds d’une opération (compliance), pour suivre l’évolution ou l’émergence d’un concurrent potentiel ou encore pour vérifier un CV et ainsi éviter une erreur de recrutement.
Par des actions de recherche, de traitement et de diffusion de l’information utile (veille, collecte de données, due diligence etc.), l’intelligence économique permet aux décideurs de connaitre leur environnement économique et concurrentiel et d’avoir les bonnes informations au bon moment pour prendre des décisions stratégiques. Maitriser les méthodes de l’intelligence économique, c’est se donner un avantage dans la compétition internationale en prenant une décision éclairée d’informations pertinentes. L’I.E, appuyée par les mécanismes de la sécurité et les outils de la cyber-sécurité, est à la fois un filet de sécurité et un formidable axe de développement stratégique et concurrentiel.
L’humain au cœur du dispositif
A quoi bon mettre en place des procédures et des mécanismes de sécurité s’ils ne sont pas respectés par les utilisateurs du fait d’un manque de sensibilisation et de prévention ?
Force est de constater que les erreurs humaines sont à l’origine de la majorité des incidents de sécurité. La technique et les moyens matériels ne suffisent pas à limiter les risques et à anticiper les menaces. L’implication et la sensibilisation de tous les acteurs de l’organisation est un élément clé. Par exemple, un utilisateur sensibilisé aux méthodes et procédés des cyber-criminels sera plus à même de reconnaitre un mail de phishing. Il sera aussi d'avantage conscient de la nécessité de faire remonter une alerte en cas d'incident de sécurité.
Pour élaborer et appliquer une politique de sécurité globale, il est essentiel de mettre en oeuvre des procédures et des mécanismes de gestion de risques, notamment par le biais de la sûreté, de la cyber-sécurité et de l’intelligence économique. Toutefois, sans l’implication personnelle, la formation et la sensibilisation de tous les collaborateurs aux enjeux de sécurité, ces efforts risquent d’être vains ou amoindris, d’où l’intérêt de ne surtout pas négliger cet aspect.