Lorsqu’il s’agit d’appliquer des mesures de sécurité, il existe différentes manières; certains sont mandatés, d’autres pas et d’autres sont basés sur les meilleures pratiques. Mais une chose est sûre : une taille unique ne convient pas à tous. Ou si?
Jetons un coup d’œil à certains des processus qui existent.
Sécurité selon les règles
Je suis un ancien militaire et l’application de la sécurité dans l’armée était relativement simple. Un manuel vous indiquait ce que vous deviez faire : la publication de service commun (JSP) 440, le manuel de défense de la sécurité en 3 volumes.
Le volume 1 couvrait les principes de la sécurité protectrice, les responsabilités de ceux qui les appliquaient et la politique de sécurité physique. Le volume 2 traitait de la politique de sécurité du personnel, y compris du système de contrôle, de la responsabilité du responsable hiérarchique et de la sécurité des voyages. Enfin, le volume 3 donnait des orientations et une politique sur la sécurité des systèmes de communication et d’information.
Cependant, il y a un problème avec cette approche de la sécurité; elle exige que vous agissiez, quelles que soient les circonstances et non en fonction de la menace. Il faut se poser une question fondamentale : existe-t-il une menace? Et, s’il n’y a pas de menace, alors pourquoi verrouiller la porte?
Cependant, l’armée n’est pas la seule organisation à avoir imposé des normes de sécurité fondées principalement sur un risque générique, avec la possibilité de passer à la vitesse supérieure ou inférieure en fonction de l’évolution de la menace.
L’approche en sécurité de la gestio des menaces actives
L’Autorité de l’aviation civile du Royaume-Uni (CAA) est responsable des activités de réglementation de la sûreté de l’aviation et de la surveillance de la conformité depuis 2014, après que ces fonctions ont été transférées du Department for Transport (DfT). Tous deux conservent une responsabilité en matière de sécurité de l’aviation, mais leurs rôles respectifs respectifs sont décrits dans un protocole d’entente et son énoncé de responsabilités annexe. Au Royaume-Uni, juste avant Noël, cette approche a fait ses preuves lorsque l’aéroport de Gatwick a été fermé en raison d’un survol illégal de drones pendant 36 heures. La police n’a toujours pas appréhendé de suspects.
Les incohérences s’aggravent. L’ an dernier, le Home Office britannique, au nom de Her Majesty’s Prison and Probation Service (HMPPS), a émis un appel d’ offres pour des solutions technologiques pour vérifier les visiteurs de prison. Ce besoin est apparu lorsque les autorités ont appris que certains visiteurs utilisaient des identités multiples et agissaient comme mules pour la drogue et la contrebande, livrant des objets à des prisonniers dans différentes prisons lors de visites. Les processus de sécurité actuels ne permettent pas de vérifier l’identité des personnes et de collecter des informations d’identité pouvant être utilisées dans d’autres prisons.
Lee Doddridge de Covenant, l’un des principaux consultants en sécurité, a déclaré: « Vous devez comprendre chaque secteur que vous soutenez et travailler en étroite collaboration avec toutes les principales parties prenantes. Une fois que vous avez compris les exigences, effectuez une analyse des besoins en matière de sécurité et complétez l’analyse par une évaluation détaillée de la sécurité, des menaces et des risques. » Il ajoute que c’est seulement après cela que vous pourrez identifier le niveau de sécurité requis selon les risques identifiés.
« Les besoins de sécurité d’un client peuvent être très différents de ceux d’un autre client, même au même endroit. Par exemple, la menace qui pèse sur une prison sera très différente de celle d’une école, mais les deux ont des exigences de sécurité. »
Développer une culture de la sécurité dans tous les secteurs
Tout cela semble évident, mais les organisations qui ont réglementé la sécurité ont tendance à appliquer les réglementations à la lettre. Les organisations qui n’ont pas de sécurité réglementée mandatée fondent leurs réponses sur les évaluations effectuées par des consultants. Si un consultant est issu d’un secteur réglementé, il adopte souvent ces processus, sinon il a tendance à examiner les risques et à proposer une solution plus appropriée.
Andy Blackwell, ancien responsable de la sécurité à Virgin Atlantic et désormais consultant indépendant en sécurité, fait valoir que les deux approches décrites ci-dessus ne doivent pas nécessairement s’exclure mutuellement. Andy, qui vient d’un secteur de l’aviation strictement réglementé, a déclaré: « Dans un secteur réglementé, une approche de la sécurité basée sur les risques peut certainement contribuer à réduire les coûts et à améliorer l’efficacité en ciblant les mesures de sécurité de manière appropriée et en mesurant leurs performances. »
Il plaide pour une approche du système de gestion de la sécurité (SGS) – éprouvée dans l’aviation mais adaptable à tout secteur. Concept similaire au secteur de la sécurité physique de l’approche GRSE , il préconise le développement proactif et le maintien d’un « processus d’ assurance de surveillance efficace et de qualité au sein de votre organisation. » À l’instar de la GRSE, il montre toute l’importance de la création et du maintien d’une culture de la sécurité.
Andy ajoute que « le simple respect de la réglementation ne signifie pas nécessairement que tous les risques pour la sécurité ont été identifiés et sont gérés. Une approche SGS offrira une tranquillité d’esprit aux organisations. »
Évaluation de la sécurité basée sur les risques
Lee Doddridge s’est dit d’accord avec Andy Blackwell quand il a déclaré: « Nous utilisons un outil de gestion des risques pour la sécurité appelé VSAT, l’outil d’auto-évaluation de la vulnérabilité . VSAT vous permet de réaliser un audit de sécurité selon les normes du gouvernement britannique et internationalement reconnues. En répondant à un certain nombre de questions détaillées sur divers domaines liés à la sécurité, vous pouvez comprendre rapidement et efficacement le niveau de risque que vous courez éventuellement sur un ou plusieurs de vos sites. Cela permet une approche totalement basée sur le risque et peut prendre en compte les normes réglementaires si nécessaire. »
Ainsi, en conclusion, qu’il s’agisse ou non d’une industrie réglementée, une approche fondée sur les risques semble être la solution la plus rentable et la plus judicieuse pour l’application de mesures de sécurité.