Aspects organisationnels et physiques de la sécurité - Département ...
Aspects organisationnels et physiques de la sécurité - Département ...
Aspects organisationnels et physiques de la sécurité - Département ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>de</strong>nis.mangin@franc<strong>et</strong>elecom.com<br />
France Télécom - Secrétariat Général 02/03/2005 1
P<strong>la</strong>n <strong>de</strong> <strong>de</strong> <strong>la</strong> présentation<br />
1) Politique <strong>de</strong> sûr<strong>et</strong>é <strong>de</strong> l’entreprise<br />
2) Gestion du risque<br />
3) Analyse <strong>de</strong> risques<br />
4) Mise en sûr<strong>et</strong>é d’un immeuble<br />
5) Programme stratégique<br />
6) Un risque émergent : <strong>la</strong> Frau<strong>de</strong><br />
France Télécom - Secrétariat Général 02/03/2005 2
Politique <strong>de</strong> sûr<strong>et</strong>é <strong>de</strong><br />
l’entreprise<br />
France Télécom - Secrétariat Général 02/03/2005 3
L’entreprise <strong>et</strong> les risques <strong>de</strong> malveil<strong>la</strong>nce<br />
La protection <strong>de</strong>s biens au centre <strong>de</strong>s préoccupations .<br />
Le sentiment d’insécurité exacerbe <strong>la</strong> préoccupation sécurité.<br />
Quelques exemples <strong>de</strong>s menaces :<br />
- Pil<strong>la</strong>ge ou piratage <strong>de</strong> données informatiques, intrusions ou ingérences, virus<br />
informatiques,<br />
- Déstabilisation <strong>de</strong> l’entreprise par <strong>la</strong> rumeur ou <strong>la</strong> désinformation ,<br />
- Vengeance d’un cadre, d’un sa<strong>la</strong>rié licencié ou débauché,<br />
- Vols,<br />
- Vandalisme, dégradations <strong>et</strong> <strong>de</strong>structions volontaires…<br />
Une crise résultant d’un acte <strong>de</strong> malveil<strong>la</strong>nce majeur ou d’un risque acci<strong>de</strong>ntel peut<br />
être fatale à <strong>la</strong> survie d’une entreprise.<br />
France Télécom - Secrétariat Général 02/03/2005 4
Politique <strong>de</strong> sûr<strong>et</strong>é (Parlons le même <strong>la</strong>ngage)<br />
Définitions CNPP (Centre National <strong>de</strong> Prévention <strong>et</strong> <strong>de</strong> Protection)<br />
La sécurité :<br />
Au sens <strong>la</strong>rge : englobe <strong>la</strong> sécurité <strong>de</strong>s personnes <strong>et</strong> <strong>de</strong>s biens , les risques<br />
d’incendie comme <strong>de</strong> malveil<strong>la</strong>nce.<br />
Employé seul : concerne les mesures <strong>de</strong> prévention <strong>et</strong> <strong>de</strong> réaction pour<br />
faire face à une situation d’exposition résultant <strong>de</strong> risques acci<strong>de</strong>ntels<br />
qu’ils soient le fait <strong>de</strong> l’homme <strong>de</strong> <strong>la</strong> nature ou <strong>de</strong> <strong>la</strong> machine.<br />
La sûr<strong>et</strong>é :<br />
Ce terme regroupe toutes les mesures visant à réduire une situation<br />
d’exposition résultant <strong>de</strong> menace ou d’action malveil<strong>la</strong>nte<br />
France Télécom - Secrétariat Général 02/03/2005 5
Politique <strong>de</strong> sûr<strong>et</strong>é (La prévention <strong>de</strong>s risques <strong>de</strong><br />
malveil<strong>la</strong>nce<br />
La sécurité vue par le légis<strong>la</strong>teur vise à assurer <strong>la</strong> protection <strong>de</strong>s<br />
personnes (travailleurs, clients, visiteurs…) <strong>et</strong> <strong>de</strong> l’environnement face aux<br />
risques <strong>physiques</strong> ;<br />
Le domaine réglementaire :<br />
CT, CCH<br />
les règlements <strong>de</strong> sécurité <strong>de</strong>s ERP - IGH<br />
<strong>la</strong> réglementation re<strong>la</strong>tive aux ICPE<br />
LE LEGISLATEUR IMPOSE ET CONTRÔLE L’ENSEMBLE DES MESURES,<br />
L’ENTREPRISE OBTEMPERE ET MET EN OEUVRE.<br />
France Télécom - Secrétariat Général 02/03/2005 6
Politique <strong>de</strong> sûr<strong>et</strong>é (La prévention <strong>de</strong>s risques <strong>de</strong><br />
malveil<strong>la</strong>nce)<br />
La sûr<strong>et</strong>é vue par l’entreprise <strong>et</strong> les assureurs vise à assurer <strong>la</strong><br />
protection <strong>de</strong> l’outils <strong>de</strong> travail.<br />
L’Entreprise, m<strong>et</strong> en p<strong>la</strong>ce son propre système <strong>de</strong> management <strong>de</strong> <strong>la</strong><br />
sûr<strong>et</strong>é en s’inspirant <strong>de</strong>s règles <strong>et</strong> normes existantes (APSAD, ISO…) afin<br />
d’assurer <strong>la</strong> protection <strong>de</strong> :<br />
- son patrimoine,<br />
- ses outils <strong>de</strong> production,<br />
- son image <strong>de</strong> marque,<br />
C’EST L’ENTREPRISE QUI DECIDE DE SON NIVEAU DE SÛRETE<br />
Les assureurs incitent contraignent !!! l’entreprise à m<strong>et</strong>tre en p<strong>la</strong>ce ces<br />
mesures <strong>de</strong> protection (primes)<br />
France Télécom - Secrétariat Général 02/03/2005 7
Politique <strong>de</strong> sûr<strong>et</strong>é (Généralités)<br />
La gestion <strong>de</strong> <strong>la</strong> sûr<strong>et</strong>é d’un organisme est liée :<br />
- à son activité, à sa structure organisationnelle <strong>et</strong> dépend <strong>de</strong> sa stratégie.<br />
Il existe donc autant <strong>de</strong> politiques <strong>de</strong> sûr<strong>et</strong>é que d’entreprises.<br />
Le Groupe a procédé à :<br />
- une évaluation <strong>de</strong>s risques <strong>de</strong> l’établissement (<strong>la</strong> cartographie <strong>de</strong>s risques),<br />
- <strong>la</strong> mise en p<strong>la</strong>ce d’une structure <strong>de</strong> pilotage (Ex : <strong>la</strong> Direction <strong>de</strong> <strong>la</strong> sécurité <strong>de</strong><br />
l’information (DSEC).<br />
- <strong>la</strong> rédaction d’une note stratégique (Ex : Politique <strong>de</strong> Sécurité <strong>de</strong> l’Information Groupe<br />
« PSIG »),<br />
L’objectif à atteindre étant une appropriation <strong>de</strong>s grands principes décrits dans <strong>la</strong><br />
note stratégique par les différentes entités (DR,DIV,Métiers…) « Politiques<br />
Sectorielles métiers ».<br />
France Télécom - Secrétariat Général 02/03/2005 8
Politique <strong>de</strong> sûr<strong>et</strong>é (Note stratégique)<br />
Signée par le prési<strong>de</strong>nt, elle fixe les principes <strong>de</strong> sécurité <strong>et</strong> <strong>de</strong> sûr<strong>et</strong>é liés aux<br />
biens <strong>physiques</strong> afin <strong>de</strong> :<br />
Garantir qu’aucun préjudice ne puisse m<strong>et</strong>tre en péril <strong>la</strong> pérennité <strong>de</strong><br />
l’entreprise.<br />
Ce<strong>la</strong> consiste à :<br />
- diminuer <strong>la</strong> probabilité d’occurrence <strong>de</strong> voir une menace se concrétiser,<br />
- limiter les atteintes ou dysfonctionnements induits,<br />
- autoriser le r<strong>et</strong>our à un fonctionnement normal, à <strong>de</strong>s coûts <strong>et</strong> <strong>de</strong>s dé<strong>la</strong>is acceptables en<br />
cas <strong>de</strong> sinistre.<br />
La sécurité/sûr<strong>et</strong>é doit être considérée comme un facteur <strong>de</strong> différentiation,<br />
voire un avantage concurrentiel.<br />
France Télécom - Secrétariat Général 02/03/2005 9
Politique <strong>de</strong> sûr<strong>et</strong>é (Enjeux)<br />
Répondre aux enjeux suivants :<br />
- protéger le patrimoine physique, intellectuel <strong>et</strong> commercial notion rendue<br />
incontournable <strong>de</strong>puis l’avènement <strong>de</strong> <strong>la</strong> concurrence totale,<br />
- protéger les biens afin que l’entreprise assure auprès <strong>de</strong> ses clients les engagements<br />
<strong>de</strong> continuité <strong>et</strong> <strong>de</strong> qualité <strong>de</strong> service,<br />
- protéger les réseaux (systèmes <strong>de</strong> commutation, <strong>de</strong> transmission, <strong>de</strong> supervision, …),<br />
- contribuer à <strong>la</strong> gestion <strong>de</strong> l’image <strong>de</strong> marque celle-ci peut-être affectée par une série<br />
d'inci<strong>de</strong>nts (vol, effraction, pollutions…),<br />
- rendre les locaux plus sûrs besoin essentiel <strong>de</strong> toute entreprise afin d'assurer <strong>la</strong><br />
protection <strong>de</strong>s personnes (personnel, clients, prestataires, tiers).<br />
France Télécom - Secrétariat Général 02/03/2005 10
Politique <strong>de</strong> sûr<strong>et</strong>é (Déclinaison <strong>et</strong> Appropriation)<br />
Le socle commun :<br />
- décline le chapitre lié aux Principes <strong>de</strong> sécurité liés aux biens <strong>physiques</strong> <strong>de</strong> <strong>la</strong> note<br />
stratégique sur <strong>la</strong> Politique <strong>de</strong> Sécurité <strong>de</strong> l’Entreprise, du Groupe…<br />
- traite <strong>de</strong> <strong>la</strong> sûr<strong>et</strong>é <strong>de</strong>s bâtiments <strong>et</strong> <strong>de</strong>s locaux,<br />
- résulte d’un groupe <strong>de</strong> travail intégrant les acteurs <strong>de</strong> l’immobilier <strong>et</strong> <strong>de</strong>s métiers,<br />
- doit être validé par un panel représentatif <strong>de</strong> correspondants métiers (maison mère,<br />
filiales…) <strong>et</strong> par les instances dirigeantes <strong>de</strong> l’entreprise,<br />
- sert <strong>de</strong> référentiel <strong>de</strong> base à l’ensemble <strong>de</strong>s entités du groupe (directions fonctionnelles<br />
<strong>et</strong> directions métiers).<br />
Chaque entité doit se l’approprier <strong>et</strong> le décliner en « Politique sectorielle » propre à ses<br />
activités .<br />
France Télécom - Secrétariat Général 02/03/2005 11
Gestion du Risque<br />
France Télécom - Secrétariat Général 02/03/2005 12
Définition du risque<br />
Le risque selon l’IFACI (Institut Français <strong>de</strong> l’Audit <strong>et</strong> du Contrôle<br />
Interne)<br />
« Un risque peut être défini comme le niveau d’incertitu<strong>de</strong>s<br />
qui pèsent sur l’entreprise. L’entreprise doit comprendre <strong>et</strong><br />
gérer ces incertitu<strong>de</strong>s lors <strong>de</strong> <strong>la</strong> mise en œuvre <strong>de</strong> sa stratégie,<br />
afin d’atteindre ses objectifs <strong>et</strong> créer <strong>de</strong> <strong>la</strong> valeur »<br />
France Télécom - Secrétariat Général 02/03/2005 13
Risque ! Sécurité ! (Quelques vérités)<br />
- Le risque zéro n’existe pas.<br />
- La sécurité est l’affaire <strong>de</strong> tous.<br />
- Trop <strong>de</strong> sécurité est aussi problématique que pas assez.<br />
- La sécurité ne doit pas être un frein aux activités <strong>de</strong> l’entreprise.<br />
- La sécurité doit être fonction <strong>de</strong>s risques <strong>et</strong> proportionnelle aux enjeux.<br />
- La sécurité n’est jamais acquise définitivement, elle vit au quotidien.<br />
- La qualité <strong>de</strong>s outils <strong>de</strong> sécurité dépend <strong>de</strong> <strong>la</strong> politique <strong>de</strong> sécurité qu’ils servent.<br />
- Plus gran<strong>de</strong> est <strong>la</strong> récompense, plus grand est le risque (notion d’attractibilité <strong>de</strong><br />
l’entreprise en tant que cible)<br />
France Télécom - Secrétariat Général 02/03/2005 14
Gestion du Risque (Définitions)<br />
« Gérer » est un verbe<br />
« Gérer le risque » est un processus<br />
France Télécom - Secrétariat Général 02/03/2005 15
Gestion du Risque (Généralités)<br />
Le risque dépend <strong>de</strong>s métiers <strong>de</strong> l’entreprise; créer un <strong>la</strong>ngage commun est donc<br />
essentiel<br />
Les entreprises sont différentes, leurs stratégies le sont également<br />
Nécessité <strong>de</strong> prendre en compte les facteurs <strong>de</strong> risques au niveau global<br />
Intégrer <strong>la</strong> notion <strong>de</strong> risque dans <strong>la</strong> gestion <strong>de</strong> chaque processus<br />
Le risque management, c’est un processus<br />
Chaque étape du processus compte autant que l’objectif final<br />
France Télécom - Secrétariat Général 02/03/2005 16
Des risques omniprésents<br />
Prise <strong>de</strong> décisions stratégiques<br />
Systèmes <strong>de</strong> contrôle interne<br />
Technologies <strong>de</strong> l’information<br />
Re<strong>la</strong>tions avec les fournisseurs<br />
Attitu<strong>de</strong>s <strong>de</strong>s sa<strong>la</strong>riés<br />
Fidélité <strong>de</strong> <strong>la</strong> clientèle<br />
Événements catastrophiques<br />
Réglementation<br />
Atteinte aux biens<br />
Atteinte aux personnes<br />
Dégradation <strong>de</strong> l’image<br />
Espionnage industriel<br />
France Télécom - Secrétariat Général 02/03/2005 17
Gestion du Risque (Risques <strong>et</strong> opportunités)<br />
Innovation <strong>et</strong><br />
complexité<br />
technologiques<br />
Évolution constante<br />
<strong>de</strong>s concurrents<br />
Impératif <strong>de</strong><br />
différenciation<br />
Externalisation <strong>et</strong><br />
partenariat<br />
Vo<strong>la</strong>tilité <strong>de</strong>s<br />
marchés<br />
Complexification <strong>de</strong>s<br />
modèles <strong>et</strong> <strong>de</strong>s solutions<br />
Multiplication <strong>de</strong>s<br />
instruments financiers<br />
Nouvelles réalités<br />
internationales<br />
Mondialisation<br />
Prise en compte<br />
<strong>de</strong>s aspects sociaux <strong>et</strong> culturels<br />
Médiatisation<br />
<strong>de</strong>s échecs<br />
Accélération <strong>de</strong>s<br />
changements<br />
Guerre <strong>de</strong>s<br />
talents<br />
Réglementation<br />
France Télécom - Secrétariat Général 02/03/2005 18
Gestion du Risque (Exemples <strong>de</strong> risques)<br />
Détournements d ’actif<br />
Pertes catastrophiques<br />
Coûts écologiques<br />
inacceptables<br />
Physique<br />
ENTREPRISE<br />
Client<br />
• Service médiocre au client<br />
• Attentes déçues<br />
• Défaut <strong>de</strong> qualité<br />
• Pertes importantes <strong>de</strong> clients ou <strong>de</strong><br />
canaux <strong>de</strong> distribution<br />
• Difficultés <strong>de</strong> fidélisation<br />
• Canaux <strong>de</strong> distribution inefficaces<br />
• Perte <strong>de</strong> marchés ou d’opportunités<br />
Ren<strong>de</strong>ments médiocres<br />
Sources insuffisantes <strong>de</strong><br />
emprunt/fonds propres<br />
Pertes inacceptables<br />
Liquidités insuffisantes<br />
Emploi inefficace <strong>de</strong>s fonds<br />
Frau<strong>de</strong><br />
financement<br />
Finances<br />
• Stratégies floues ou dépassées<br />
• Manque d’apprentissage collectif<br />
• Processus inefficaces/improductifs<br />
• Perte d’intégrité<br />
• Promesses <strong>de</strong> <strong>la</strong> marque non tenues<br />
• Interruption d’une activité<br />
• Détérioration <strong>de</strong> l’image<br />
• Frau<strong>de</strong>s<br />
Personnel<br />
• Expériences <strong>et</strong> compétences<br />
insuffisantes<br />
• Érosion du « capital intellectuel »<br />
• Baisse du moral<br />
• Grèves<br />
• Détérioration <strong>de</strong>s re<strong>la</strong>tions (fournisseurs<br />
• Coûts <strong>et</strong> dé<strong>la</strong>is excessifs<br />
• Incapacité à nouer <strong>de</strong>s partenariats<br />
• Vols <strong>et</strong> détournements<br />
France Télécom - Secrétariat Général 02/03/2005 19<br />
ef
Gestion du Risque (Genèse d’un sinistre)<br />
Aboutissement d’un faisceau <strong>de</strong> facteurs convergents représentant <strong>de</strong>s gran<strong>de</strong>s catégories <strong>de</strong><br />
risques<br />
Inobservation <strong>de</strong>s règles<br />
<strong>et</strong> règlements<br />
Ignorance<br />
Inconscience<br />
Dysfonctionnement<br />
technique<br />
Sinistre<br />
…<br />
Élément inattendu<br />
Concours <strong>de</strong> circonstances<br />
Malveil<strong>la</strong>nce<br />
France Télécom - Secrétariat Général 02/03/2005 20
Gestion du Risque (Conséquences d’un sinistre)<br />
CONSEQUENCES DIRECTES<br />
Pertes matérielles ou<br />
immatérielles directes<br />
Temps d’arrêt<br />
Vol<br />
Détournement<br />
Espionnage<br />
Mouvements Sociaux<br />
Vandalisme<br />
SINISTRE<br />
CONSEQUENCES INDIRECTES<br />
Pertes matérielles ou<br />
immatérielles indirectes<br />
& pertes corporelles<br />
MENACES<br />
Menace = probabilité <strong>de</strong> survenance d ’un sinistre<br />
Statistiques/Probabilités<br />
Contexte<br />
Résultat d’évaluations ou d’enquêtes<br />
ENTREPRISE<br />
CONSEQUENCES INDUITES<br />
Crise <strong>de</strong> trésorerie<br />
Crise structurelle<br />
Cessation d’activité<br />
France Télécom - Secrétariat Général 02/03/2005 21
Analyse <strong>de</strong> risques<br />
France Télécom - Secrétariat Général 02/03/2005 22
Analyse <strong>de</strong> risques (Généralités -1)<br />
La prise en compte <strong>de</strong> <strong>la</strong> sûr<strong>et</strong>é ,<br />
- repose sur une approche globale <strong>de</strong>s risques,<br />
- s’insère dans le management <strong>de</strong> l’entreprise,<br />
- repose sur analyse <strong>de</strong> risques structurée.<br />
Le principe <strong>de</strong> base <strong>de</strong> toute prévention en matière <strong>de</strong> lutte contre les actes <strong>de</strong><br />
malveil<strong>la</strong>nce consiste à :<br />
- analyser tous les scenarii vraisemb<strong>la</strong>bles.<br />
- prendre les mesures nécessaires pour :<br />
- dissua<strong>de</strong>r le malveil<strong>la</strong>nt,<br />
- détecter une intrusion le plus rapi<strong>de</strong>ment possible,<br />
- déclencher éventuellement une intervention.<br />
France Télécom - Secrétariat Général 02/03/2005 23
Analyse <strong>de</strong> risques (Généralités -2)<br />
Inventaire <strong>de</strong>s vulnérabilités qui pèsent sur l’entreprise ;<br />
- Risque environnement : dossiers administratifs, pollutions, gestion <strong>de</strong>s déch<strong>et</strong>s, transports<br />
<strong>de</strong> matières dangereuses, acci<strong>de</strong>nts, phénomènes naturels…;<br />
- Risque sécurité : obligations réglementaires, facteurs potentiels d’acci<strong>de</strong>nts…;<br />
- Risque sûr<strong>et</strong>é : ensemble <strong>de</strong>s événements intentionnels tels que terrorisme, espionnage<br />
industriel, sabotage, vol…;<br />
- Risque informatique <strong>et</strong> communication : atteinte aux équipements informatiques <strong>et</strong> <strong>de</strong><br />
transmission ou au patrimoine immatériel <strong>de</strong> l’organisme…;<br />
- Risque lié à l’absence <strong>de</strong> formation à <strong>la</strong> Sécurité/Sûr<strong>et</strong>é <strong>et</strong> à <strong>la</strong> gestion <strong>de</strong> crises : risques<br />
engendrés par l’absence <strong>de</strong> sensibilisation, <strong>la</strong> méconnaissance <strong>de</strong> <strong>la</strong> réglementation…<br />
France Télécom - Secrétariat Général 02/03/2005 24
Analyse <strong>de</strong> risques (Cartographie)<br />
PROCESSUS<br />
STRATEGIE<br />
PRISE EN COMPTE DES<br />
BESOINS DES UTILISATEURS<br />
EVALUATION DU<br />
DATE DE<br />
RISQUE<br />
REALISATION<br />
PROBABLE DE<br />
Réseaux<br />
Superviser le trafic<br />
Destruction acci<strong>de</strong>ntelle ou<br />
L’ÉTUDE<br />
malintentionnée d’un nœud<br />
stratégique<br />
Système d’Information<br />
Sécurité Physique <strong>et</strong><br />
Protection logique <strong>de</strong>s<br />
Logique du SI<br />
applications <strong>et</strong> <strong>de</strong>s données.<br />
Protection physique <strong>de</strong>s<br />
bâtiments USEI<br />
Achats<br />
Approvisionner <strong>et</strong><br />
Protection <strong>de</strong>s terminaux en<br />
Distribuer<br />
stock. Attaques d’agences<br />
France Télécom - Secrétariat Général 02/03/2005 25
Analyse <strong>de</strong> risques (Évaluation -1)<br />
Éléments nécessaires à l’évaluation <strong>de</strong>s risques <strong>de</strong> malveil<strong>la</strong>nce :<br />
- Les menaces internes <strong>et</strong> externes,<br />
- Les cibles potentielles,<br />
- L’attractivité <strong>de</strong>s produits, <strong>de</strong>s informations, <strong>de</strong>s savoir-faire,<strong>de</strong>s équipements <strong>et</strong> outils<br />
<strong>de</strong> travail,<br />
- Les différents mo<strong>de</strong>s <strong>de</strong> fonctionnement <strong>de</strong> l’entreprise,<br />
- La configuration <strong>de</strong>s locaux, l’environnement immédiat du site…<br />
- Le dé<strong>la</strong>i d’intervention <strong>de</strong> <strong>la</strong> société <strong>de</strong> télésécurité ou <strong>de</strong>s personnels habilités…<br />
Actions influant comme éléments <strong>de</strong> pondération :<br />
- Actions <strong>de</strong> suppression du risque (notamment <strong>de</strong> <strong>la</strong> cible),<br />
- Actions <strong>de</strong> prévention,<br />
- Moyens <strong>de</strong> protection,<br />
- Organisation <strong>de</strong> <strong>la</strong> sécurité au sein <strong>de</strong> l’entreprise…<br />
France Télécom - Secrétariat Général 02/03/2005 26
Analyse <strong>de</strong> risques (Évaluation -2)<br />
Dans <strong>la</strong> pratique, <strong>de</strong>s questions simples, <strong>de</strong>s réponses précises :<br />
- Quelles sont les valeurs <strong>de</strong> l’entreprise ?<br />
- Quel est leur niveau <strong>de</strong> sensibilité ou <strong>de</strong> criticité ?<br />
- De qui, <strong>de</strong> quoi doit-on se protéger ?<br />
- Quels sont les risques réellement encourus ?<br />
- Ces risques sont-ils supportables ?<br />
- Quel est le niveau actuel <strong>de</strong> sécurité <strong>de</strong> l’entreprise ?<br />
- Quel est le niveau <strong>de</strong> sécurité que l’on désire atteindre ?<br />
- Comment passer du niveau actuel au niveau désiré ?<br />
- Quelles sont les contraintes effectives ?<br />
- Quelles sont les ressources disponibles (humaines, financières, matérielles…) ?<br />
France Télécom - Secrétariat Général 02/03/2005 27
Analyse <strong>de</strong> risques (Hiérarchisation -1)<br />
L’IMPORTANCE DES RISQUES SE MESURE EN TERMES DE PROBALITE ET DE GRAVITE<br />
Très Grave<br />
Modéré<br />
Risque Majeur<br />
Gravité<br />
Risque Mineur<br />
Modéré<br />
Peu Grave<br />
Probabilité<br />
Peu Probable<br />
Très Probable<br />
France Télécom - Secrétariat Général 02/03/2005 28
Analyse <strong>de</strong> risques (Hiérarchisation -2)<br />
Poids du risque pour une menace donnée :<br />
BRU<br />
T<br />
X<br />
PONDER<br />
E<br />
RISQUE A<br />
5<br />
RISQUE B<br />
5<br />
RISQUE C<br />
6<br />
RISQUE D<br />
7<br />
5 4 3 2 1 1 2 3 4 5<br />
GRAVITE<br />
PROBABILITE<br />
France Télécom - Secrétariat Général 02/03/2005 29
GRAVITE<br />
Analyse <strong>de</strong> risques (Gravité, Probabilité <strong>et</strong> Facteur « temps »<br />
)<br />
variables<br />
Forte<br />
clés <strong>de</strong> <strong>la</strong> prise <strong>de</strong> décisions)<br />
3<br />
Événements<br />
exceptionnels<br />
4<br />
Impératifs<br />
stratégiques<br />
Validité <strong>de</strong> toutes les<br />
options; besoin d’une<br />
bonne gestion à long terme<br />
Validité <strong>de</strong> toutes les options, mais<br />
<strong>la</strong> gestion du risque <strong>de</strong>meure limitée<br />
Faible<br />
1 Non<br />
applicable<br />
ou sans<br />
importance<br />
2<br />
Problèmes<br />
opérationnels<br />
ou <strong>de</strong><br />
conformité<br />
Application <strong>de</strong> contrôles<br />
préventifs <strong>et</strong> <strong>de</strong> détection<br />
Acceptable au niveau actuel,<br />
Faible<br />
PROBABILITE<br />
Forte<br />
mais à suivre à l’avenir<br />
France Télécom - Secrétariat Général 02/03/2005 30
Analyse <strong>de</strong> risques (Gestion)<br />
Éviter<br />
Cé<strong>de</strong>r Interdire Arrêter<br />
Cibler Sélectionner Supprimer<br />
Conserver<br />
Accepter Revaloriser<br />
S'auto assurer<br />
Compenser<br />
P<strong>la</strong>nifier<br />
Réduire<br />
Disperser<br />
Contrôler<br />
Transférer<br />
Assurer Réassurer<br />
Titriser<br />
Partager<br />
Se couvrir In<strong>de</strong>mniser<br />
Externaliser<br />
Exploiter<br />
Affecter<br />
Diversifier<br />
Réorganiser<br />
Valoriser<br />
Accroître Créer Reconfigurer<br />
Arbitrer Renégocier<br />
Influencer<br />
France Télécom - Secrétariat Général 02/03/2005 31
Mise en sûr<strong>et</strong>é d’un immeuble<br />
France Télécom - Secrétariat Général 02/03/2005 32
Mise en sûr<strong>et</strong>é d’un immeuble (Généralités -1)<br />
La protection <strong>de</strong>s infrastructures se résume en cinq types d’actions génériques :<br />
- Définir le périmètre <strong>de</strong> <strong>la</strong> vulnérabilité lié à l’usage (sensibilité <strong>de</strong>s locaux, <strong>de</strong>s<br />
activités,…) « analyse <strong>de</strong> risques »;<br />
- Offrir un niveau <strong>de</strong> protection adapté aux risques encourus par l’entreprise « analyse<br />
coût/efficacité »;<br />
- M<strong>et</strong>tre en œuvre <strong>et</strong> vali<strong>de</strong>r l’organisation, les mesures, les outils <strong>et</strong> les procédures <strong>de</strong><br />
sûr<strong>et</strong>é « p<strong>la</strong>n d’action »;<br />
- Optimiser le type <strong>de</strong> protection en fonction du niveau <strong>de</strong> sûr<strong>et</strong>é requis « adéquation<br />
entre les moyens <strong>et</strong> le niveau <strong>de</strong> sûr<strong>et</strong>é nécessaire »;<br />
- Assurer les conditions d’évolution <strong>de</strong>s systèmes <strong>de</strong> sûr<strong>et</strong>é « extensions, mises à<br />
niveau ».<br />
- Intégrer <strong>la</strong> composante <strong>de</strong> l’environnement <strong>de</strong> contrôle<br />
Conformité à l’approche PDCA (Roue <strong>de</strong> Deming)<br />
France Télécom - Secrétariat Général 02/03/2005 33
Mise en sûr<strong>et</strong>é d’un immeuble (Généralités -2)<br />
La mise en sûr<strong>et</strong>é ou "sanctuarisation d'un site" est réalisée selon <strong>la</strong> métho<strong>de</strong><br />
dite <strong>de</strong> <strong>la</strong> « pelure d'oignon ».<br />
D'une manière générale on part du principe qu'un site comporte trois périmètres <strong>de</strong><br />
Sûr<strong>et</strong>é :<br />
1. <strong>la</strong> périphérie du site (limite <strong>de</strong> propriété),<br />
2. <strong>la</strong> périmétrie du bâtiment (enveloppe du bâtiment),<br />
3. l'intérieur du bâtiment (locaux ou zones à définir par les métiers)<br />
avant <strong>de</strong> finir par <strong>la</strong> protection ponctuelle <strong>de</strong>s obj<strong>et</strong>s sensibles (coffre, dossiers,.. .).<br />
Lorsque ces différents périmètres ont été i<strong>de</strong>ntifiés, il est possible <strong>de</strong> procé<strong>de</strong>r à<br />
l'inventaire <strong>de</strong>s mesures matérielles <strong>et</strong> humaines que l'on désire y appliquer, en<br />
fonction <strong>de</strong> <strong>la</strong> vulnérabilité <strong>et</strong> <strong>de</strong>s risques constatés lors <strong>de</strong> l'analyse <strong>de</strong> risques<br />
(niveaux <strong>de</strong> sûr<strong>et</strong>é).<br />
France Télécom - Secrétariat Général 02/03/2005 34
Mise en sûr<strong>et</strong>é d’un immeuble (Niveaux -1)<br />
Attribution <strong>de</strong>s niveaux <strong>de</strong> sûr<strong>et</strong>é pour les sites :<br />
Ces niveaux sont liés à l’impact qu’aurait un inci<strong>de</strong>nt sur <strong>la</strong> continuité <strong>et</strong> <strong>la</strong> qualité<br />
du service offert au client, le patrimoine physique <strong>et</strong> intellectuel, l’image <strong>de</strong><br />
marque, ...<br />
-Niveau 1 : Impact vital (majeur pour l’entreprise)<br />
-Niveau 2 : Impact critique (grave pour l’entreprise)<br />
-Niveau 3 : Impact sensible (faible pour l’entreprise)<br />
-Niveau 4 : Impact quasi-nul (négligeable : peu <strong>de</strong> conséquence, mais on ne saurait<br />
considérer que <strong>la</strong> <strong>de</strong>struction d’un bâtiment soit sans impact)<br />
France Télécom - Secrétariat Général 02/03/2005 35
Mise en sûr<strong>et</strong>é d’un immeuble (Niveaux -2)<br />
Attribution <strong>de</strong>s niveaux <strong>de</strong> sûr<strong>et</strong>é pour les locaux :<br />
-Niveau 1 : Accès très restreint (impact vital, enjeux très importants, menace sur<br />
l'entreprise)<br />
-Niveau 2 : Accès contrôlé (impact critique, enjeux importants, grave mais sans menace sur<br />
l'entreprise)<br />
-Niveau 3 : Accès limité (impact sensible, enjeux modérés <strong>et</strong> maîtrisés, cause du tort à<br />
l'entreprise)<br />
-Niveau 4 : Accès libre (pas d'impact, enjeux faibles <strong>et</strong> maîtrisés, préjudice faible)<br />
France Télécom - Secrétariat Général 02/03/2005 36
Mise en sûr<strong>et</strong>é d’un immeuble (Moyens -1)<br />
A chaque niveau <strong>de</strong> sûr<strong>et</strong>é attribué à un site, bâtiment ou local (cf. analyse <strong>de</strong> risques)<br />
doivent correspondre les mesures <strong>de</strong> sécurité passives <strong>et</strong> actives adaptées.<br />
Moyens <strong>de</strong> sécurisation :<br />
- Protections mécaniques <strong>et</strong> protections électroniques,<br />
- Surveil<strong>la</strong>nce humaine<br />
- Contrôle d’accès,<br />
- Détection <strong>et</strong> signalisation d’intrusion,<br />
- Télésurveil<strong>la</strong>nce <strong>et</strong> télésécurité,<br />
- Vidéosurveil<strong>la</strong>nce…<br />
- Procédures <strong>et</strong> consignes <strong>de</strong> sécurité-sûr<strong>et</strong>é<br />
Seule une analyse fine perm<strong>et</strong>tra d'optimiser l'efficacité <strong>de</strong>s systèmes mis en p<strong>la</strong>ce <strong>et</strong><br />
les coûts induits par ces mesures <strong>de</strong> sûr<strong>et</strong>é.<br />
France Télécom - Secrétariat Général 02/03/2005 37
Mise en sûr<strong>et</strong>é d’un immeuble (Moyens -2)<br />
L’instal<strong>la</strong>tion <strong>de</strong> moyens <strong>de</strong> protection électronique implique nécessairement <strong>la</strong> mise<br />
en œuvre <strong>de</strong> moyens complémentaires <strong>de</strong> télésurveil<strong>la</strong>nce <strong>et</strong> <strong>de</strong> télésécurité afin<br />
d’optimiser l’efficacité <strong>de</strong>s systèmes <strong>et</strong> <strong>de</strong> rentabiliser les investissements.<br />
L’ensemble <strong>de</strong>s moyens <strong>de</strong> sécurisation (humains, mécaniques <strong>et</strong> électroniques)<br />
concourant à <strong>la</strong> mise en sûr<strong>et</strong>é <strong>de</strong>s sites, <strong>de</strong>s bâtiments <strong>et</strong> <strong>de</strong>s locaux doit répondre<br />
aux 4 principes <strong>de</strong> <strong>la</strong> sûr<strong>et</strong>é, à savoir :<br />
dissua<strong>de</strong>r protéger r<strong>et</strong>ar<strong>de</strong>r alerter<br />
Pour accroître l’efficacité <strong>de</strong> ces dispositifs <strong>et</strong> préserver le niveau <strong>de</strong> protection <strong>de</strong><br />
certaines informations ou instal<strong>la</strong>tions particulièrement sensibles, les locaux peuvent<br />
être séparés en plusieurs zones c’est ce que l’on appelle le compartimentage.<br />
France Télécom - Secrétariat Général 02/03/2005 38
Mise en sûr<strong>et</strong>é d’un immeuble (zonage)<br />
Accès du personnel<br />
Accès du public<br />
Burea<br />
u<br />
Burea<br />
u<br />
Burea<br />
u<br />
Expo Matériels<br />
Agence<br />
Salle<br />
coffre<br />
Accès très<br />
restreint<br />
Stockag<br />
e<br />
Accès<br />
Contrôlé<br />
Pt<br />
Mat Accès<br />
Limité<br />
CA<br />
Espace <strong>de</strong><br />
vente<br />
Accès libre<br />
France Télécom - Secrétariat Général 02/03/2005 39
Mise en sûr<strong>et</strong>é d’un immeuble (Le Contrôle d’accès<br />
Définition :<br />
électronique)<br />
- La principale fonction d’un système <strong>de</strong> contrôle d’accès électronique est d’interdire à<br />
tout individu non autorisé, l’accès à un périmètre contrôlé, tout en l’autorisant à <strong>de</strong>s<br />
personnes habilitées.<br />
Les autres fonctions optionnelles étant :<br />
- L’attribution individuelle <strong>de</strong>s droits en fonction <strong>de</strong>s besoins professionnels (sites, locaux,<br />
p<strong>la</strong>ges horaires, durée <strong>de</strong> validité <strong>de</strong>s droits…)<br />
- La traçabilité <strong>de</strong>s mouvements (entrées/sorties)<br />
- La gestion <strong>de</strong>s pério<strong>de</strong>s <strong>de</strong> crises (mouvements sociaux, vigipirate… )<br />
- La signalisation <strong>de</strong> dysfonctionnements<br />
France Télécom - Secrétariat Général 02/03/2005 40
ise en sûr<strong>et</strong>é d’un immeuble(Les moyens humains <strong>de</strong> protection)<br />
La surveil<strong>la</strong>nce humaine (gardiens, agents <strong>de</strong> sécurité) perm<strong>et</strong> <strong>de</strong> renforcer le niveau <strong>de</strong><br />
sûr<strong>et</strong>é d’un site ou d’un bâtiment particulièrement sensible ou isolé.<br />
Elle vient en complément <strong>de</strong>s moyens <strong>de</strong> protection matérielle, mécaniques <strong>et</strong> électroniques<br />
déjà mis en p<strong>la</strong>ce.<br />
- C<strong>et</strong>te activité consiste principalement à :<br />
- Contrôler les entrées <strong>et</strong> les sorties, voire les mouvements internes en HO,<br />
- Surveiller le site en HNO (effectuer <strong>de</strong>s ron<strong>de</strong>s <strong>de</strong> sécurité),<br />
- Signaler/intervenir sur tout dysfonctionnement…<br />
Le contrat définissant une prestation <strong>de</strong> surveil<strong>la</strong>nce doit perm<strong>et</strong>tre <strong>de</strong> répondre correctement<br />
aux objectifs <strong>de</strong> <strong>la</strong> politique <strong>de</strong> sûr<strong>et</strong>é fixés par l’entreprise.<br />
France Télécom - Secrétariat Général 02/03/2005 41
ise en sûr<strong>et</strong>é d’un immeuble (Télésurveil<strong>la</strong>nce <strong>et</strong> Télésécurité)<br />
La télésurveil<strong>la</strong>nce consiste à recevoir <strong>et</strong> traiter à distance en temps réel <strong>de</strong>s informations<br />
émises par une instal<strong>la</strong>tion d’a<strong>la</strong>rme (capteurs, caméras…)<br />
La télésurveil<strong>la</strong>nce repose sur :<br />
- une instal<strong>la</strong>tion d’a<strong>la</strong>rme<br />
- une centrale <strong>de</strong> télésurveil<strong>la</strong>nce<br />
- une intervention adaptée « levé <strong>de</strong> doute »<br />
La levé <strong>de</strong> doute :<br />
- Technique => à distance<br />
- Humaine => sur site (télésécurité)<br />
- Mise en sécurité du site (gardiennage)<br />
Devant le risque potentiel que représente une intervention humaine (cf. Document unique), il<br />
doit être fait appel à une société <strong>de</strong> télésécurité qui dispose <strong>de</strong>s moyens humains <strong>et</strong> matériels<br />
adaptés à ce type <strong>de</strong> situation.<br />
France Télécom - Secrétariat Général 02/03/2005 42
Mise en sûr<strong>et</strong>é d’un immeuble (Moyens -3)<br />
Mesures en « Réduction <strong>de</strong> risques »<br />
SPECIFIQUES<br />
Objectifs SMART<br />
A un risque i<strong>de</strong>ntifié correspon<strong>de</strong>nt une ou <strong>de</strong>s mesures particulières (Analyse <strong>de</strong> risque)<br />
MESURABLES<br />
C<strong>et</strong>te/ces mesures doivent obligatoirement après mise en p<strong>la</strong>ce, conduire à une meilleure maîtrise du risque<br />
initial. (Notion du risque résiduel)<br />
APPROPRIEES<br />
Elles sont correctement dimensionnées (Analyse Coût/Efficacité)<br />
REALISTES<br />
Les actions proposées sont réalisables <strong>et</strong> utiles à l'entreprise (Crédibilité)<br />
TEMPORISEES<br />
Une date limite <strong>de</strong> mise en œuvre est arrêtée, <strong>et</strong> <strong>de</strong>s étapes intermédiaires sont fixées (Échéancier)<br />
France Télécom - Secrétariat Général 02/03/2005 43
Programme stratégique<br />
France Télécom - Secrétariat Général 02/03/2005 44
Programme stratégique (1)<br />
• Proposer un ensemble d’actions homogènes <strong>et</strong> cohérentes<br />
• Hiérarchisées en fonction <strong>de</strong> l’existant <strong>et</strong> <strong>de</strong>s besoins<br />
• Adaptées aux risques <strong>et</strong> enjeux<br />
• Quantifiables <strong>et</strong> mesurables<br />
• Fournir <strong>de</strong>s éléments <strong>de</strong> décision pour <strong>la</strong> Direction<br />
France Télécom - Secrétariat Général 02/03/2005 45
Programme stratégique (2)<br />
• Doit pouvoir être « vendu » à <strong>la</strong> Direction<br />
• Doit être évolutif<br />
• En fonction <strong>de</strong> son avancement<br />
• En fonction du contexte<br />
• Doit répondre aux questions<br />
• Quelles sont les conséquences <strong>de</strong>s actions proposées sur le niveau <strong>de</strong> sécurité ?<br />
• Quelles sont les actions à forte contribution ?<br />
France Télécom - Secrétariat Général 02/03/2005 46
Processus <strong>de</strong> gestion <strong>de</strong>s risques<br />
Etablir un processus <strong>de</strong><br />
gestion du risque<br />
• Objectifs à CT <strong>et</strong> LT<br />
• Langage commun<br />
• Structure <strong>de</strong> pilotage<br />
Améliorer en permanence <strong>la</strong><br />
gestion du risque<br />
Evaluer les risques<br />
• I<strong>de</strong>ntifier<br />
• Rechercher <strong>la</strong> source<br />
• Mesurer<br />
Information pour<br />
<strong>la</strong> prise <strong>de</strong><br />
décisions<br />
Définir <strong>de</strong>s stratégies <strong>de</strong><br />
gestion du risque<br />
ι Eviter ι Réduire ιConserver<br />
ι Exploiter ι Transférer<br />
Contrôler <strong>la</strong> performance en<br />
matière <strong>de</strong> gestion du risque<br />
Concevoir/m<strong>et</strong>tre en œuvre les<br />
infrastructures <strong>de</strong> gestion du<br />
risque<br />
France Télécom - Secrétariat Général 02/03/2005 47
Frau<strong>de</strong><br />
France Télécom - Secrétariat Général 02/03/2005 48
Frau<strong>de</strong> un risque émergent (Définition)<br />
On entend par frau<strong>de</strong>, toutes les irrégu<strong>la</strong>rités <strong>et</strong> actes illégaux<br />
commis avec l’intention <strong>de</strong> tromper.<br />
Les frau<strong>de</strong>s peuvent être commises pour le bénéfice <strong>de</strong><br />
l’organisation ou à son détriment, tant par les employés <strong>de</strong><br />
l’organisation que par <strong>de</strong>s personnes extérieures à celle-ci.<br />
France Télécom - Secrétariat Général 02/03/2005 49
Frau<strong>de</strong> un risque émergent (Objectifs généraux)<br />
- Sensibiliser les acteurs <strong>de</strong> <strong>la</strong> « Sécurité » sur les risques<br />
<strong>de</strong> Frau<strong>de</strong><br />
---<br />
- I<strong>de</strong>ntifier les indicateurs perm<strong>et</strong>tant <strong>de</strong> m<strong>et</strong>tre ces risques<br />
en Évi<strong>de</strong>nce<br />
- Ai<strong>de</strong>r à <strong>la</strong> recherche <strong>de</strong> <strong>la</strong> preuve<br />
France Télécom - Secrétariat Général 02/03/2005 50
Frau<strong>de</strong> un risque émergent (Causes <strong>de</strong><br />
l’accélération)<br />
- Multiforme, Endémique <strong>et</strong> Évolutive<br />
- Les résultats <strong>de</strong> l’inventivité <strong>de</strong>s organisateurs <strong>et</strong> <strong>de</strong><br />
l’adaptation aux carences offertes aux malveil<strong>la</strong>nts<br />
- Opportuniste <strong>et</strong> Professionnelle<br />
France Télécom - Secrétariat Général 02/03/2005 51
Frau<strong>de</strong> un risque émergent (Pour qui <strong>et</strong> pour quoi<br />
faire)<br />
- Dans l’intérêt personnel d’un sa<strong>la</strong>rié (vengeance)<br />
- Dans l’intérêt d’un mandataire social (amélioration du<br />
train <strong>de</strong> vie)<br />
- Dans l’intérêt d’un dirigeant (surfacturation)<br />
- Dans l’intérêt d’un réseau (intelligence économique)<br />
France Télécom - Secrétariat Général 02/03/2005 52
Frau<strong>de</strong> un risque émergent (Pourquoi une<br />
accélération)<br />
- Absence <strong>de</strong> déontologie <strong>et</strong> d’éthique (règles écrites)<br />
- La c<strong>la</strong>use <strong>de</strong> <strong>la</strong> règle <strong>la</strong> plus favorable<br />
- La primauté <strong>de</strong> <strong>la</strong> finalité sur <strong>la</strong> règle du droit<br />
- La sophistication <strong>de</strong>s systèmes<br />
- Le regroupement <strong>de</strong> certaines fonctions<br />
- L’importance <strong>de</strong> plus en plus forte d’un appel à <strong>la</strong><br />
sous - traitance<br />
France Télécom - Secrétariat Général 02/03/2005 53
Bibliographie<br />
OHSAS 18001 (1999)-système <strong>de</strong> management <strong>de</strong> <strong>la</strong> santé <strong>et</strong> <strong>de</strong> <strong>la</strong><br />
sécurité du travail,<br />
ISO 14001 (10/1996)-système <strong>de</strong> management environnemental,<br />
NF EN ISO 9001(version 2000)- système <strong>de</strong> management <strong>de</strong> <strong>la</strong><br />
qualité,<br />
BP Z 74-500-référentiel <strong>de</strong>s bonnes pratiques-sécurité <strong>de</strong>s<br />
informations stratégiques (Afnor-08/2002),<br />
ISO 17799 (version 2000)-technologie <strong>de</strong> l’information-gui<strong>de</strong> <strong>de</strong>s<br />
bonnes pratiques pour le management <strong>de</strong> <strong>la</strong> sécurité <strong>de</strong><br />
l’information .<br />
EBIOS (SGDN-DCSSI)<br />
MEHARI (CLUSIF)<br />
France Télécom - Secrétariat Général 02/03/2005 54
Politique <strong>de</strong> sûr<strong>et</strong>é <strong>de</strong><br />
l’entreprise<br />
MERCI<br />
<strong>de</strong> votre attention<br />
France Télécom - Secrétariat Général 02/03/2005 55
Points sensibles (Généralités -1)<br />
Définition :<br />
Est considéré comme point sensible, tout établissement ou ouvrage présentant à titre<br />
permanent, ou dans certaines circonstances, une importance particulière pour <strong>la</strong><br />
défense ou <strong>la</strong> survie <strong>de</strong> <strong>la</strong> nation.<br />
Référentiels :<br />
- Loi n°90-568 du 2 juill<strong>et</strong> 1990 re<strong>la</strong>tive à l’organisation du service public <strong>de</strong> <strong>la</strong> Poste <strong>et</strong> <strong>de</strong>s<br />
Télécommunications modifiée par <strong>la</strong> loi 2003-1365 du 31 décembre 2003<br />
- Loi re<strong>la</strong>tive aux obligations <strong>de</strong> service public <strong>de</strong>s télécommunications <strong>et</strong> à France Télécom<br />
France Télécom - Secrétariat Général 02/03/2005 56
Points sensibles (Généralités -2)<br />
Référentiels (suite) :<br />
- Instruction Générale Interministérielle du Secrétariat Général <strong>de</strong> <strong>la</strong> Défense Nationale<br />
n°4600 du 8 février 1993 sur <strong>la</strong> sécurité <strong>de</strong>s Points <strong>et</strong> Réseaux Sensibles,<br />
- Décr<strong>et</strong> n°96-1 2 25 du 27 décembre 1996 portant approbation du cahier <strong>de</strong>s charges <strong>de</strong><br />
France Télécom<br />
- Co<strong>de</strong> <strong>de</strong>s postes <strong>et</strong> télécommunications article D 98-1 f) « Prescriptions exigées par <strong>la</strong><br />
défense <strong>et</strong> <strong>la</strong> sécurité publique »),<br />
- Courrier réf. : SG/SSC/Patr-Déf/PG/97.03/DR du 14 janvier 1997 traitant <strong>de</strong> <strong>la</strong> gestion <strong>de</strong>s<br />
Points <strong>et</strong> Réseaux sensibles pour ce qui concerne France Télécom.<br />
France Télécom - Secrétariat Général 02/03/2005 57