On pourrait penser que le secteur de la sécurité au Royaume-Uni serait fortement réglementé avec des normes et des politiques claires et cohérentes. La réalité, selon plusieurs, est légèrement différente. Déplorant l’absence de consolidation générale dans le secteur de la sécurité, Philip Ingram, MBE, se penche de plus près sur les réglementations de sécurité au Royaume-Uni.
Dans ce blogue, Philip explore ce qui est réglementé, ce qui ne l’est pas, qui sont les organismes de réglementation et comment le secteur britannique de la sécurité pourrait améliorer ses mesures réglementaires.
Le secteur de la sécurité reste très polarisé en deux camps : le camp de la sécurité TI/cyber et le camp de la sécurité physique. L’absence de réglementation et de surveillance conjointes perpétue la perception qu’il s’agit de disciplines distinctes. Cependant, avec la prolifération croissante des dispositifs de sécurité à la pointe de la technologie tels que les drones, la convergence entre les deux camps est le thème de nombreuses conférences et est constamment sur les lèvres de la plupart des chefs de la sécurité aujourd’hui.
Ce qui est inquiétant, cependant, c’est qu’il n’y a pas encore de signe de convergence dans la réglementation en matière de sécurité.
Security Industry Authority (SIA) & Private Security Industry Act
Le monde de la sécurité physique au Royaume-Uni est réglementé par la Security Industry Authority (SIA) en vertu d’une loi appelée Private Security Industry Act, qui a vu le jour en 2001. La SIA est un organisme indépendant qui relève du ministre britannique de l’Intérieur et est responsable de la sécurité et du maintien de l’ordre au sein du gouvernement britannique.
C’est le Private Security Industry Act qui a établi la SIA et lui a donné le pouvoir d’accorder des licences et de réglementer le secteur de la sécurité privée en lui donnant deux fonctions principales. La première est la délivrance de permis aux personnes qui assument certaines activités liées à la sécurité; cette étape a depuis été rendue obligatoire. La seconde consiste à gérer un système volontaire qui mesure les fournisseurs de sécurité privée en fonction de critères évalués de manière indépendante, ce que l’on appelle l’ Approved Contractor Scheme.
La SIA délivre des licences pour certaines activités : gardiennage, espèces et objets de valeur en transit, protection rapprochée, surveillance des portes, espace public (CTCF), garde de sécurité et détenteur de clé, ainsi que les personnes responsables de l’immobilisation, de la restriction et de l’enlèvement des
véhicules seulement. Une fois que les personnes ont terminé la formation préalable et passé avec succès l’examen SIA reconnu et que leurs antécédents ont été vérifiés, elles peuvent obtenir leur permis SIA délivré.
National Cyber Security Centre (NCSC) et GDPR
Le cybermonde ne jouit cependant pas du même niveau de discipline réglementaire que l’espace de sécurité physique. Mais la cybersécurité devenant de plus en plus préoccupante, le cyberespace doit faire l’objet d’un examen plus attentif. La liste des problèmes dans ce domaine commence par le fait qu’il n’y a pas d’obligation gouvernementale de délivrer des licences aux professionnels de la cybersécurité.
La seule loi qui va à l’encontre de la cybersécurité est celle du règlement général européen sur la protection des données qui exige certaines normes de sécurité. Bien sûr, il existe aussi des normes internationales telles que la norme ISO 27001 qui est la norme la plus connue, fournissant des exigences pour un système de gestion de la sécurité de l’information qui sont appliquées, mais non exigées par la législation.
L’une des victoires de la National Cyber Security Strategy a été l’établissement du National Cyber Security Centre (NCSC) qui fait partie du Government Communications Headquarters ou GCHQ, comme on l’appelle plus communément.
Points à améliorer
Dans le domaine de la sécurité physique, il n’y a pas de formation de mise à jour obligatoire pour la certification SIA, mais de grandes entreprises de sécurité plus réputées offrent leur propre formation interne. Un autre problème grave est qu’il n’y a pas de licence d’armes au Royaume-Uni car il n’y a pas d’organisations de sécurité armées, en fait, même la police ne porte pas d’armes régulièrement.
Pendant ce temps, dans le cybermonde, la National Cyber Security Strategy reconnaît l’importance de la cybersécurité mais déclare qu’elle ne veut pas surcharger les entreprises et les organisations d’exigences réglementaires inutiles. Cette position passive peut être inquiétante pour beaucoup, car peu d’organisations basées au Royaume-Uni ont une formation en cybersécurité (20 % des entreprises et 15 % des organismes de bienfaisance) ou ont des politiques adéquates en matière de cybersécurité (27 % et 21 %), d’après un rapport du Cyber Security Breaches Survey 2018 menée par l’Université de Portsmouth. Entre-temps, plus de deux entreprises sur cinq (43 %) ont relevé des manquements au cours des 12 derniers mois.
Un dernier domaine qui nécessite une mention du point de vue de la réglementation est l’utilisation des drones à des fins de sécurité. Actuellement, il n’y a pas d’appel pour un opérateur de drones qualifié qui a réussi un cours reconnu d’opérateur de drones de la Civil Aviation Authority (CAA) et qui a été certifié comme pilote à distance compétent. Je suggère que la CAA approuve et autorise l’utilisation d’un drone à des fins de sécurité « commerciales ». Cette autorisation peut être assez générale et durer jusqu’à un an dans certaines circonstances. C’est aussi simple que cela.
Dernières réflexions : un appel à la consolidation de la réglementation en matière de sécurité
La réglementation et les normes de sécurité au Royaume-Uni ne sont certainement pas cohérentes, même pour les acteurs du secteur d’activité. Des discussions sont en cours pour tenter de professionnaliser le secteur, mais il n’y a pas d’organisme général responsable devant le gouvernement de l’établissement et du respect des normes intersectorielles.
L’absence d’un organisme de réglementation centralisé semble simplement perpétuer ce qui, parfois, semble et est dysfonctionnel. C’est un domaine dans lequel de nombreuses associations membres de la sécurité ont essayé d’exercer une influence, mais jusqu’à présent, tout ce qu’elles ont réussi à faire, c’est de poursuivre le débat. Il n’y a aucun signe réel d’une solution appropriée en vue dans un avenir proche.
