03.02.2014 Views

Aspects organisationnels et physiques de la sécurité - Département ...

Aspects organisationnels et physiques de la sécurité - Département ...

Aspects organisationnels et physiques de la sécurité - Département ...

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

<strong>de</strong>nis.mangin@franc<strong>et</strong>elecom.com<br />

France Télécom - Secrétariat Général 02/03/2005 1


P<strong>la</strong>n <strong>de</strong> <strong>de</strong> <strong>la</strong> présentation<br />

1) Politique <strong>de</strong> sûr<strong>et</strong>é <strong>de</strong> l’entreprise<br />

2) Gestion du risque<br />

3) Analyse <strong>de</strong> risques<br />

4) Mise en sûr<strong>et</strong>é d’un immeuble<br />

5) Programme stratégique<br />

6) Un risque émergent : <strong>la</strong> Frau<strong>de</strong><br />

France Télécom - Secrétariat Général 02/03/2005 2


Politique <strong>de</strong> sûr<strong>et</strong>é <strong>de</strong><br />

l’entreprise<br />

France Télécom - Secrétariat Général 02/03/2005 3


L’entreprise <strong>et</strong> les risques <strong>de</strong> malveil<strong>la</strong>nce<br />

La protection <strong>de</strong>s biens au centre <strong>de</strong>s préoccupations .<br />

Le sentiment d’insécurité exacerbe <strong>la</strong> préoccupation sécurité.<br />

Quelques exemples <strong>de</strong>s menaces :<br />

- Pil<strong>la</strong>ge ou piratage <strong>de</strong> données informatiques, intrusions ou ingérences, virus<br />

informatiques,<br />

- Déstabilisation <strong>de</strong> l’entreprise par <strong>la</strong> rumeur ou <strong>la</strong> désinformation ,<br />

- Vengeance d’un cadre, d’un sa<strong>la</strong>rié licencié ou débauché,<br />

- Vols,<br />

- Vandalisme, dégradations <strong>et</strong> <strong>de</strong>structions volontaires…<br />

Une crise résultant d’un acte <strong>de</strong> malveil<strong>la</strong>nce majeur ou d’un risque acci<strong>de</strong>ntel peut<br />

être fatale à <strong>la</strong> survie d’une entreprise.<br />

France Télécom - Secrétariat Général 02/03/2005 4


Politique <strong>de</strong> sûr<strong>et</strong>é (Parlons le même <strong>la</strong>ngage)<br />

Définitions CNPP (Centre National <strong>de</strong> Prévention <strong>et</strong> <strong>de</strong> Protection)<br />

La sécurité :<br />

Au sens <strong>la</strong>rge : englobe <strong>la</strong> sécurité <strong>de</strong>s personnes <strong>et</strong> <strong>de</strong>s biens , les risques<br />

d’incendie comme <strong>de</strong> malveil<strong>la</strong>nce.<br />

Employé seul : concerne les mesures <strong>de</strong> prévention <strong>et</strong> <strong>de</strong> réaction pour<br />

faire face à une situation d’exposition résultant <strong>de</strong> risques acci<strong>de</strong>ntels<br />

qu’ils soient le fait <strong>de</strong> l’homme <strong>de</strong> <strong>la</strong> nature ou <strong>de</strong> <strong>la</strong> machine.<br />

La sûr<strong>et</strong>é :<br />

Ce terme regroupe toutes les mesures visant à réduire une situation<br />

d’exposition résultant <strong>de</strong> menace ou d’action malveil<strong>la</strong>nte<br />

France Télécom - Secrétariat Général 02/03/2005 5


Politique <strong>de</strong> sûr<strong>et</strong>é (La prévention <strong>de</strong>s risques <strong>de</strong><br />

malveil<strong>la</strong>nce<br />

La sécurité vue par le légis<strong>la</strong>teur vise à assurer <strong>la</strong> protection <strong>de</strong>s<br />

personnes (travailleurs, clients, visiteurs…) <strong>et</strong> <strong>de</strong> l’environnement face aux<br />

risques <strong>physiques</strong> ;<br />

Le domaine réglementaire :<br />

CT, CCH<br />

les règlements <strong>de</strong> sécurité <strong>de</strong>s ERP - IGH<br />

<strong>la</strong> réglementation re<strong>la</strong>tive aux ICPE<br />

LE LEGISLATEUR IMPOSE ET CONTRÔLE L’ENSEMBLE DES MESURES,<br />

L’ENTREPRISE OBTEMPERE ET MET EN OEUVRE.<br />

France Télécom - Secrétariat Général 02/03/2005 6


Politique <strong>de</strong> sûr<strong>et</strong>é (La prévention <strong>de</strong>s risques <strong>de</strong><br />

malveil<strong>la</strong>nce)<br />

La sûr<strong>et</strong>é vue par l’entreprise <strong>et</strong> les assureurs vise à assurer <strong>la</strong><br />

protection <strong>de</strong> l’outils <strong>de</strong> travail.<br />

L’Entreprise, m<strong>et</strong> en p<strong>la</strong>ce son propre système <strong>de</strong> management <strong>de</strong> <strong>la</strong><br />

sûr<strong>et</strong>é en s’inspirant <strong>de</strong>s règles <strong>et</strong> normes existantes (APSAD, ISO…) afin<br />

d’assurer <strong>la</strong> protection <strong>de</strong> :<br />

- son patrimoine,<br />

- ses outils <strong>de</strong> production,<br />

- son image <strong>de</strong> marque,<br />

C’EST L’ENTREPRISE QUI DECIDE DE SON NIVEAU DE SÛRETE<br />

Les assureurs incitent contraignent !!! l’entreprise à m<strong>et</strong>tre en p<strong>la</strong>ce ces<br />

mesures <strong>de</strong> protection (primes)<br />

France Télécom - Secrétariat Général 02/03/2005 7


Politique <strong>de</strong> sûr<strong>et</strong>é (Généralités)<br />

La gestion <strong>de</strong> <strong>la</strong> sûr<strong>et</strong>é d’un organisme est liée :<br />

- à son activité, à sa structure organisationnelle <strong>et</strong> dépend <strong>de</strong> sa stratégie.<br />

Il existe donc autant <strong>de</strong> politiques <strong>de</strong> sûr<strong>et</strong>é que d’entreprises.<br />

Le Groupe a procédé à :<br />

- une évaluation <strong>de</strong>s risques <strong>de</strong> l’établissement (<strong>la</strong> cartographie <strong>de</strong>s risques),<br />

- <strong>la</strong> mise en p<strong>la</strong>ce d’une structure <strong>de</strong> pilotage (Ex : <strong>la</strong> Direction <strong>de</strong> <strong>la</strong> sécurité <strong>de</strong><br />

l’information (DSEC).<br />

- <strong>la</strong> rédaction d’une note stratégique (Ex : Politique <strong>de</strong> Sécurité <strong>de</strong> l’Information Groupe<br />

« PSIG »),<br />

L’objectif à atteindre étant une appropriation <strong>de</strong>s grands principes décrits dans <strong>la</strong><br />

note stratégique par les différentes entités (DR,DIV,Métiers…) « Politiques<br />

Sectorielles métiers ».<br />

France Télécom - Secrétariat Général 02/03/2005 8


Politique <strong>de</strong> sûr<strong>et</strong>é (Note stratégique)<br />

Signée par le prési<strong>de</strong>nt, elle fixe les principes <strong>de</strong> sécurité <strong>et</strong> <strong>de</strong> sûr<strong>et</strong>é liés aux<br />

biens <strong>physiques</strong> afin <strong>de</strong> :<br />

Garantir qu’aucun préjudice ne puisse m<strong>et</strong>tre en péril <strong>la</strong> pérennité <strong>de</strong><br />

l’entreprise.<br />

Ce<strong>la</strong> consiste à :<br />

- diminuer <strong>la</strong> probabilité d’occurrence <strong>de</strong> voir une menace se concrétiser,<br />

- limiter les atteintes ou dysfonctionnements induits,<br />

- autoriser le r<strong>et</strong>our à un fonctionnement normal, à <strong>de</strong>s coûts <strong>et</strong> <strong>de</strong>s dé<strong>la</strong>is acceptables en<br />

cas <strong>de</strong> sinistre.<br />

La sécurité/sûr<strong>et</strong>é doit être considérée comme un facteur <strong>de</strong> différentiation,<br />

voire un avantage concurrentiel.<br />

France Télécom - Secrétariat Général 02/03/2005 9


Politique <strong>de</strong> sûr<strong>et</strong>é (Enjeux)<br />

Répondre aux enjeux suivants :<br />

- protéger le patrimoine physique, intellectuel <strong>et</strong> commercial notion rendue<br />

incontournable <strong>de</strong>puis l’avènement <strong>de</strong> <strong>la</strong> concurrence totale,<br />

- protéger les biens afin que l’entreprise assure auprès <strong>de</strong> ses clients les engagements<br />

<strong>de</strong> continuité <strong>et</strong> <strong>de</strong> qualité <strong>de</strong> service,<br />

- protéger les réseaux (systèmes <strong>de</strong> commutation, <strong>de</strong> transmission, <strong>de</strong> supervision, …),<br />

- contribuer à <strong>la</strong> gestion <strong>de</strong> l’image <strong>de</strong> marque celle-ci peut-être affectée par une série<br />

d'inci<strong>de</strong>nts (vol, effraction, pollutions…),<br />

- rendre les locaux plus sûrs besoin essentiel <strong>de</strong> toute entreprise afin d'assurer <strong>la</strong><br />

protection <strong>de</strong>s personnes (personnel, clients, prestataires, tiers).<br />

France Télécom - Secrétariat Général 02/03/2005 10


Politique <strong>de</strong> sûr<strong>et</strong>é (Déclinaison <strong>et</strong> Appropriation)<br />

Le socle commun :<br />

- décline le chapitre lié aux Principes <strong>de</strong> sécurité liés aux biens <strong>physiques</strong> <strong>de</strong> <strong>la</strong> note<br />

stratégique sur <strong>la</strong> Politique <strong>de</strong> Sécurité <strong>de</strong> l’Entreprise, du Groupe…<br />

- traite <strong>de</strong> <strong>la</strong> sûr<strong>et</strong>é <strong>de</strong>s bâtiments <strong>et</strong> <strong>de</strong>s locaux,<br />

- résulte d’un groupe <strong>de</strong> travail intégrant les acteurs <strong>de</strong> l’immobilier <strong>et</strong> <strong>de</strong>s métiers,<br />

- doit être validé par un panel représentatif <strong>de</strong> correspondants métiers (maison mère,<br />

filiales…) <strong>et</strong> par les instances dirigeantes <strong>de</strong> l’entreprise,<br />

- sert <strong>de</strong> référentiel <strong>de</strong> base à l’ensemble <strong>de</strong>s entités du groupe (directions fonctionnelles<br />

<strong>et</strong> directions métiers).<br />

Chaque entité doit se l’approprier <strong>et</strong> le décliner en « Politique sectorielle » propre à ses<br />

activités .<br />

France Télécom - Secrétariat Général 02/03/2005 11


Gestion du Risque<br />

France Télécom - Secrétariat Général 02/03/2005 12


Définition du risque<br />

Le risque selon l’IFACI (Institut Français <strong>de</strong> l’Audit <strong>et</strong> du Contrôle<br />

Interne)<br />

« Un risque peut être défini comme le niveau d’incertitu<strong>de</strong>s<br />

qui pèsent sur l’entreprise. L’entreprise doit comprendre <strong>et</strong><br />

gérer ces incertitu<strong>de</strong>s lors <strong>de</strong> <strong>la</strong> mise en œuvre <strong>de</strong> sa stratégie,<br />

afin d’atteindre ses objectifs <strong>et</strong> créer <strong>de</strong> <strong>la</strong> valeur »<br />

France Télécom - Secrétariat Général 02/03/2005 13


Risque ! Sécurité ! (Quelques vérités)<br />

- Le risque zéro n’existe pas.<br />

- La sécurité est l’affaire <strong>de</strong> tous.<br />

- Trop <strong>de</strong> sécurité est aussi problématique que pas assez.<br />

- La sécurité ne doit pas être un frein aux activités <strong>de</strong> l’entreprise.<br />

- La sécurité doit être fonction <strong>de</strong>s risques <strong>et</strong> proportionnelle aux enjeux.<br />

- La sécurité n’est jamais acquise définitivement, elle vit au quotidien.<br />

- La qualité <strong>de</strong>s outils <strong>de</strong> sécurité dépend <strong>de</strong> <strong>la</strong> politique <strong>de</strong> sécurité qu’ils servent.<br />

- Plus gran<strong>de</strong> est <strong>la</strong> récompense, plus grand est le risque (notion d’attractibilité <strong>de</strong><br />

l’entreprise en tant que cible)<br />

France Télécom - Secrétariat Général 02/03/2005 14


Gestion du Risque (Définitions)<br />

« Gérer » est un verbe<br />

« Gérer le risque » est un processus<br />

France Télécom - Secrétariat Général 02/03/2005 15


Gestion du Risque (Généralités)<br />

Le risque dépend <strong>de</strong>s métiers <strong>de</strong> l’entreprise; créer un <strong>la</strong>ngage commun est donc<br />

essentiel<br />

Les entreprises sont différentes, leurs stratégies le sont également<br />

Nécessité <strong>de</strong> prendre en compte les facteurs <strong>de</strong> risques au niveau global<br />

Intégrer <strong>la</strong> notion <strong>de</strong> risque dans <strong>la</strong> gestion <strong>de</strong> chaque processus<br />

Le risque management, c’est un processus<br />

Chaque étape du processus compte autant que l’objectif final<br />

France Télécom - Secrétariat Général 02/03/2005 16


Des risques omniprésents<br />

Prise <strong>de</strong> décisions stratégiques<br />

Systèmes <strong>de</strong> contrôle interne<br />

Technologies <strong>de</strong> l’information<br />

Re<strong>la</strong>tions avec les fournisseurs<br />

Attitu<strong>de</strong>s <strong>de</strong>s sa<strong>la</strong>riés<br />

Fidélité <strong>de</strong> <strong>la</strong> clientèle<br />

Événements catastrophiques<br />

Réglementation<br />

Atteinte aux biens<br />

Atteinte aux personnes<br />

Dégradation <strong>de</strong> l’image<br />

Espionnage industriel<br />

France Télécom - Secrétariat Général 02/03/2005 17


Gestion du Risque (Risques <strong>et</strong> opportunités)<br />

Innovation <strong>et</strong><br />

complexité<br />

technologiques<br />

Évolution constante<br />

<strong>de</strong>s concurrents<br />

Impératif <strong>de</strong><br />

différenciation<br />

Externalisation <strong>et</strong><br />

partenariat<br />

Vo<strong>la</strong>tilité <strong>de</strong>s<br />

marchés<br />

Complexification <strong>de</strong>s<br />

modèles <strong>et</strong> <strong>de</strong>s solutions<br />

Multiplication <strong>de</strong>s<br />

instruments financiers<br />

Nouvelles réalités<br />

internationales<br />

Mondialisation<br />

Prise en compte<br />

<strong>de</strong>s aspects sociaux <strong>et</strong> culturels<br />

Médiatisation<br />

<strong>de</strong>s échecs<br />

Accélération <strong>de</strong>s<br />

changements<br />

Guerre <strong>de</strong>s<br />

talents<br />

Réglementation<br />

France Télécom - Secrétariat Général 02/03/2005 18


Gestion du Risque (Exemples <strong>de</strong> risques)<br />

Détournements d ’actif<br />

Pertes catastrophiques<br />

Coûts écologiques<br />

inacceptables<br />

Physique<br />

ENTREPRISE<br />

Client<br />

• Service médiocre au client<br />

• Attentes déçues<br />

• Défaut <strong>de</strong> qualité<br />

• Pertes importantes <strong>de</strong> clients ou <strong>de</strong><br />

canaux <strong>de</strong> distribution<br />

• Difficultés <strong>de</strong> fidélisation<br />

• Canaux <strong>de</strong> distribution inefficaces<br />

• Perte <strong>de</strong> marchés ou d’opportunités<br />

Ren<strong>de</strong>ments médiocres<br />

Sources insuffisantes <strong>de</strong><br />

emprunt/fonds propres<br />

Pertes inacceptables<br />

Liquidités insuffisantes<br />

Emploi inefficace <strong>de</strong>s fonds<br />

Frau<strong>de</strong><br />

financement<br />

Finances<br />

• Stratégies floues ou dépassées<br />

• Manque d’apprentissage collectif<br />

• Processus inefficaces/improductifs<br />

• Perte d’intégrité<br />

• Promesses <strong>de</strong> <strong>la</strong> marque non tenues<br />

• Interruption d’une activité<br />

• Détérioration <strong>de</strong> l’image<br />

• Frau<strong>de</strong>s<br />

Personnel<br />

• Expériences <strong>et</strong> compétences<br />

insuffisantes<br />

• Érosion du « capital intellectuel »<br />

• Baisse du moral<br />

• Grèves<br />

• Détérioration <strong>de</strong>s re<strong>la</strong>tions (fournisseurs<br />

• Coûts <strong>et</strong> dé<strong>la</strong>is excessifs<br />

• Incapacité à nouer <strong>de</strong>s partenariats<br />

• Vols <strong>et</strong> détournements<br />

France Télécom - Secrétariat Général 02/03/2005 19<br />

ef


Gestion du Risque (Genèse d’un sinistre)<br />

Aboutissement d’un faisceau <strong>de</strong> facteurs convergents représentant <strong>de</strong>s gran<strong>de</strong>s catégories <strong>de</strong><br />

risques<br />

Inobservation <strong>de</strong>s règles<br />

<strong>et</strong> règlements<br />

Ignorance<br />

Inconscience<br />

Dysfonctionnement<br />

technique<br />

Sinistre<br />

…<br />

Élément inattendu<br />

Concours <strong>de</strong> circonstances<br />

Malveil<strong>la</strong>nce<br />

France Télécom - Secrétariat Général 02/03/2005 20


Gestion du Risque (Conséquences d’un sinistre)<br />

CONSEQUENCES DIRECTES<br />

Pertes matérielles ou<br />

immatérielles directes<br />

Temps d’arrêt<br />

Vol<br />

Détournement<br />

Espionnage<br />

Mouvements Sociaux<br />

Vandalisme<br />

SINISTRE<br />

CONSEQUENCES INDIRECTES<br />

Pertes matérielles ou<br />

immatérielles indirectes<br />

& pertes corporelles<br />

MENACES<br />

Menace = probabilité <strong>de</strong> survenance d ’un sinistre<br />

Statistiques/Probabilités<br />

Contexte<br />

Résultat d’évaluations ou d’enquêtes<br />

ENTREPRISE<br />

CONSEQUENCES INDUITES<br />

Crise <strong>de</strong> trésorerie<br />

Crise structurelle<br />

Cessation d’activité<br />

France Télécom - Secrétariat Général 02/03/2005 21


Analyse <strong>de</strong> risques<br />

France Télécom - Secrétariat Général 02/03/2005 22


Analyse <strong>de</strong> risques (Généralités -1)<br />

La prise en compte <strong>de</strong> <strong>la</strong> sûr<strong>et</strong>é ,<br />

- repose sur une approche globale <strong>de</strong>s risques,<br />

- s’insère dans le management <strong>de</strong> l’entreprise,<br />

- repose sur analyse <strong>de</strong> risques structurée.<br />

Le principe <strong>de</strong> base <strong>de</strong> toute prévention en matière <strong>de</strong> lutte contre les actes <strong>de</strong><br />

malveil<strong>la</strong>nce consiste à :<br />

- analyser tous les scenarii vraisemb<strong>la</strong>bles.<br />

- prendre les mesures nécessaires pour :<br />

- dissua<strong>de</strong>r le malveil<strong>la</strong>nt,<br />

- détecter une intrusion le plus rapi<strong>de</strong>ment possible,<br />

- déclencher éventuellement une intervention.<br />

France Télécom - Secrétariat Général 02/03/2005 23


Analyse <strong>de</strong> risques (Généralités -2)<br />

Inventaire <strong>de</strong>s vulnérabilités qui pèsent sur l’entreprise ;<br />

- Risque environnement : dossiers administratifs, pollutions, gestion <strong>de</strong>s déch<strong>et</strong>s, transports<br />

<strong>de</strong> matières dangereuses, acci<strong>de</strong>nts, phénomènes naturels…;<br />

- Risque sécurité : obligations réglementaires, facteurs potentiels d’acci<strong>de</strong>nts…;<br />

- Risque sûr<strong>et</strong>é : ensemble <strong>de</strong>s événements intentionnels tels que terrorisme, espionnage<br />

industriel, sabotage, vol…;<br />

- Risque informatique <strong>et</strong> communication : atteinte aux équipements informatiques <strong>et</strong> <strong>de</strong><br />

transmission ou au patrimoine immatériel <strong>de</strong> l’organisme…;<br />

- Risque lié à l’absence <strong>de</strong> formation à <strong>la</strong> Sécurité/Sûr<strong>et</strong>é <strong>et</strong> à <strong>la</strong> gestion <strong>de</strong> crises : risques<br />

engendrés par l’absence <strong>de</strong> sensibilisation, <strong>la</strong> méconnaissance <strong>de</strong> <strong>la</strong> réglementation…<br />

France Télécom - Secrétariat Général 02/03/2005 24


Analyse <strong>de</strong> risques (Cartographie)<br />

PROCESSUS<br />

STRATEGIE<br />

PRISE EN COMPTE DES<br />

BESOINS DES UTILISATEURS<br />

EVALUATION DU<br />

DATE DE<br />

RISQUE<br />

REALISATION<br />

PROBABLE DE<br />

Réseaux<br />

Superviser le trafic<br />

Destruction acci<strong>de</strong>ntelle ou<br />

L’ÉTUDE<br />

malintentionnée d’un nœud<br />

stratégique<br />

Système d’Information<br />

Sécurité Physique <strong>et</strong><br />

Protection logique <strong>de</strong>s<br />

Logique du SI<br />

applications <strong>et</strong> <strong>de</strong>s données.<br />

Protection physique <strong>de</strong>s<br />

bâtiments USEI<br />

Achats<br />

Approvisionner <strong>et</strong><br />

Protection <strong>de</strong>s terminaux en<br />

Distribuer<br />

stock. Attaques d’agences<br />

France Télécom - Secrétariat Général 02/03/2005 25


Analyse <strong>de</strong> risques (Évaluation -1)<br />

Éléments nécessaires à l’évaluation <strong>de</strong>s risques <strong>de</strong> malveil<strong>la</strong>nce :<br />

- Les menaces internes <strong>et</strong> externes,<br />

- Les cibles potentielles,<br />

- L’attractivité <strong>de</strong>s produits, <strong>de</strong>s informations, <strong>de</strong>s savoir-faire,<strong>de</strong>s équipements <strong>et</strong> outils<br />

<strong>de</strong> travail,<br />

- Les différents mo<strong>de</strong>s <strong>de</strong> fonctionnement <strong>de</strong> l’entreprise,<br />

- La configuration <strong>de</strong>s locaux, l’environnement immédiat du site…<br />

- Le dé<strong>la</strong>i d’intervention <strong>de</strong> <strong>la</strong> société <strong>de</strong> télésécurité ou <strong>de</strong>s personnels habilités…<br />

Actions influant comme éléments <strong>de</strong> pondération :<br />

- Actions <strong>de</strong> suppression du risque (notamment <strong>de</strong> <strong>la</strong> cible),<br />

- Actions <strong>de</strong> prévention,<br />

- Moyens <strong>de</strong> protection,<br />

- Organisation <strong>de</strong> <strong>la</strong> sécurité au sein <strong>de</strong> l’entreprise…<br />

France Télécom - Secrétariat Général 02/03/2005 26


Analyse <strong>de</strong> risques (Évaluation -2)<br />

Dans <strong>la</strong> pratique, <strong>de</strong>s questions simples, <strong>de</strong>s réponses précises :<br />

- Quelles sont les valeurs <strong>de</strong> l’entreprise ?<br />

- Quel est leur niveau <strong>de</strong> sensibilité ou <strong>de</strong> criticité ?<br />

- De qui, <strong>de</strong> quoi doit-on se protéger ?<br />

- Quels sont les risques réellement encourus ?<br />

- Ces risques sont-ils supportables ?<br />

- Quel est le niveau actuel <strong>de</strong> sécurité <strong>de</strong> l’entreprise ?<br />

- Quel est le niveau <strong>de</strong> sécurité que l’on désire atteindre ?<br />

- Comment passer du niveau actuel au niveau désiré ?<br />

- Quelles sont les contraintes effectives ?<br />

- Quelles sont les ressources disponibles (humaines, financières, matérielles…) ?<br />

France Télécom - Secrétariat Général 02/03/2005 27


Analyse <strong>de</strong> risques (Hiérarchisation -1)<br />

L’IMPORTANCE DES RISQUES SE MESURE EN TERMES DE PROBALITE ET DE GRAVITE<br />

Très Grave<br />

Modéré<br />

Risque Majeur<br />

Gravité<br />

Risque Mineur<br />

Modéré<br />

Peu Grave<br />

Probabilité<br />

Peu Probable<br />

Très Probable<br />

France Télécom - Secrétariat Général 02/03/2005 28


Analyse <strong>de</strong> risques (Hiérarchisation -2)<br />

Poids du risque pour une menace donnée :<br />

BRU<br />

T<br />

X<br />

PONDER<br />

E<br />

RISQUE A<br />

5<br />

RISQUE B<br />

5<br />

RISQUE C<br />

6<br />

RISQUE D<br />

7<br />

5 4 3 2 1 1 2 3 4 5<br />

GRAVITE<br />

PROBABILITE<br />

France Télécom - Secrétariat Général 02/03/2005 29


GRAVITE<br />

Analyse <strong>de</strong> risques (Gravité, Probabilité <strong>et</strong> Facteur « temps »<br />

)<br />

variables<br />

Forte<br />

clés <strong>de</strong> <strong>la</strong> prise <strong>de</strong> décisions)<br />

3<br />

Événements<br />

exceptionnels<br />

4<br />

Impératifs<br />

stratégiques<br />

Validité <strong>de</strong> toutes les<br />

options; besoin d’une<br />

bonne gestion à long terme<br />

Validité <strong>de</strong> toutes les options, mais<br />

<strong>la</strong> gestion du risque <strong>de</strong>meure limitée<br />

Faible<br />

1 Non<br />

applicable<br />

ou sans<br />

importance<br />

2<br />

Problèmes<br />

opérationnels<br />

ou <strong>de</strong><br />

conformité<br />

Application <strong>de</strong> contrôles<br />

préventifs <strong>et</strong> <strong>de</strong> détection<br />

Acceptable au niveau actuel,<br />

Faible<br />

PROBABILITE<br />

Forte<br />

mais à suivre à l’avenir<br />

France Télécom - Secrétariat Général 02/03/2005 30


Analyse <strong>de</strong> risques (Gestion)<br />

Éviter<br />

Cé<strong>de</strong>r Interdire Arrêter<br />

Cibler Sélectionner Supprimer<br />

Conserver<br />

Accepter Revaloriser<br />

S'auto assurer<br />

Compenser<br />

P<strong>la</strong>nifier<br />

Réduire<br />

Disperser<br />

Contrôler<br />

Transférer<br />

Assurer Réassurer<br />

Titriser<br />

Partager<br />

Se couvrir In<strong>de</strong>mniser<br />

Externaliser<br />

Exploiter<br />

Affecter<br />

Diversifier<br />

Réorganiser<br />

Valoriser<br />

Accroître Créer Reconfigurer<br />

Arbitrer Renégocier<br />

Influencer<br />

France Télécom - Secrétariat Général 02/03/2005 31


Mise en sûr<strong>et</strong>é d’un immeuble<br />

France Télécom - Secrétariat Général 02/03/2005 32


Mise en sûr<strong>et</strong>é d’un immeuble (Généralités -1)<br />

La protection <strong>de</strong>s infrastructures se résume en cinq types d’actions génériques :<br />

- Définir le périmètre <strong>de</strong> <strong>la</strong> vulnérabilité lié à l’usage (sensibilité <strong>de</strong>s locaux, <strong>de</strong>s<br />

activités,…) « analyse <strong>de</strong> risques »;<br />

- Offrir un niveau <strong>de</strong> protection adapté aux risques encourus par l’entreprise « analyse<br />

coût/efficacité »;<br />

- M<strong>et</strong>tre en œuvre <strong>et</strong> vali<strong>de</strong>r l’organisation, les mesures, les outils <strong>et</strong> les procédures <strong>de</strong><br />

sûr<strong>et</strong>é « p<strong>la</strong>n d’action »;<br />

- Optimiser le type <strong>de</strong> protection en fonction du niveau <strong>de</strong> sûr<strong>et</strong>é requis « adéquation<br />

entre les moyens <strong>et</strong> le niveau <strong>de</strong> sûr<strong>et</strong>é nécessaire »;<br />

- Assurer les conditions d’évolution <strong>de</strong>s systèmes <strong>de</strong> sûr<strong>et</strong>é « extensions, mises à<br />

niveau ».<br />

- Intégrer <strong>la</strong> composante <strong>de</strong> l’environnement <strong>de</strong> contrôle<br />

Conformité à l’approche PDCA (Roue <strong>de</strong> Deming)<br />

France Télécom - Secrétariat Général 02/03/2005 33


Mise en sûr<strong>et</strong>é d’un immeuble (Généralités -2)<br />

La mise en sûr<strong>et</strong>é ou "sanctuarisation d'un site" est réalisée selon <strong>la</strong> métho<strong>de</strong><br />

dite <strong>de</strong> <strong>la</strong> « pelure d'oignon ».<br />

D'une manière générale on part du principe qu'un site comporte trois périmètres <strong>de</strong><br />

Sûr<strong>et</strong>é :<br />

1. <strong>la</strong> périphérie du site (limite <strong>de</strong> propriété),<br />

2. <strong>la</strong> périmétrie du bâtiment (enveloppe du bâtiment),<br />

3. l'intérieur du bâtiment (locaux ou zones à définir par les métiers)<br />

avant <strong>de</strong> finir par <strong>la</strong> protection ponctuelle <strong>de</strong>s obj<strong>et</strong>s sensibles (coffre, dossiers,.. .).<br />

Lorsque ces différents périmètres ont été i<strong>de</strong>ntifiés, il est possible <strong>de</strong> procé<strong>de</strong>r à<br />

l'inventaire <strong>de</strong>s mesures matérielles <strong>et</strong> humaines que l'on désire y appliquer, en<br />

fonction <strong>de</strong> <strong>la</strong> vulnérabilité <strong>et</strong> <strong>de</strong>s risques constatés lors <strong>de</strong> l'analyse <strong>de</strong> risques<br />

(niveaux <strong>de</strong> sûr<strong>et</strong>é).<br />

France Télécom - Secrétariat Général 02/03/2005 34


Mise en sûr<strong>et</strong>é d’un immeuble (Niveaux -1)<br />

Attribution <strong>de</strong>s niveaux <strong>de</strong> sûr<strong>et</strong>é pour les sites :<br />

Ces niveaux sont liés à l’impact qu’aurait un inci<strong>de</strong>nt sur <strong>la</strong> continuité <strong>et</strong> <strong>la</strong> qualité<br />

du service offert au client, le patrimoine physique <strong>et</strong> intellectuel, l’image <strong>de</strong><br />

marque, ...<br />

-Niveau 1 : Impact vital (majeur pour l’entreprise)<br />

-Niveau 2 : Impact critique (grave pour l’entreprise)<br />

-Niveau 3 : Impact sensible (faible pour l’entreprise)<br />

-Niveau 4 : Impact quasi-nul (négligeable : peu <strong>de</strong> conséquence, mais on ne saurait<br />

considérer que <strong>la</strong> <strong>de</strong>struction d’un bâtiment soit sans impact)<br />

France Télécom - Secrétariat Général 02/03/2005 35


Mise en sûr<strong>et</strong>é d’un immeuble (Niveaux -2)<br />

Attribution <strong>de</strong>s niveaux <strong>de</strong> sûr<strong>et</strong>é pour les locaux :<br />

-Niveau 1 : Accès très restreint (impact vital, enjeux très importants, menace sur<br />

l'entreprise)<br />

-Niveau 2 : Accès contrôlé (impact critique, enjeux importants, grave mais sans menace sur<br />

l'entreprise)<br />

-Niveau 3 : Accès limité (impact sensible, enjeux modérés <strong>et</strong> maîtrisés, cause du tort à<br />

l'entreprise)<br />

-Niveau 4 : Accès libre (pas d'impact, enjeux faibles <strong>et</strong> maîtrisés, préjudice faible)<br />

France Télécom - Secrétariat Général 02/03/2005 36


Mise en sûr<strong>et</strong>é d’un immeuble (Moyens -1)<br />

A chaque niveau <strong>de</strong> sûr<strong>et</strong>é attribué à un site, bâtiment ou local (cf. analyse <strong>de</strong> risques)<br />

doivent correspondre les mesures <strong>de</strong> sécurité passives <strong>et</strong> actives adaptées.<br />

Moyens <strong>de</strong> sécurisation :<br />

- Protections mécaniques <strong>et</strong> protections électroniques,<br />

- Surveil<strong>la</strong>nce humaine<br />

- Contrôle d’accès,<br />

- Détection <strong>et</strong> signalisation d’intrusion,<br />

- Télésurveil<strong>la</strong>nce <strong>et</strong> télésécurité,<br />

- Vidéosurveil<strong>la</strong>nce…<br />

- Procédures <strong>et</strong> consignes <strong>de</strong> sécurité-sûr<strong>et</strong>é<br />

Seule une analyse fine perm<strong>et</strong>tra d'optimiser l'efficacité <strong>de</strong>s systèmes mis en p<strong>la</strong>ce <strong>et</strong><br />

les coûts induits par ces mesures <strong>de</strong> sûr<strong>et</strong>é.<br />

France Télécom - Secrétariat Général 02/03/2005 37


Mise en sûr<strong>et</strong>é d’un immeuble (Moyens -2)<br />

L’instal<strong>la</strong>tion <strong>de</strong> moyens <strong>de</strong> protection électronique implique nécessairement <strong>la</strong> mise<br />

en œuvre <strong>de</strong> moyens complémentaires <strong>de</strong> télésurveil<strong>la</strong>nce <strong>et</strong> <strong>de</strong> télésécurité afin<br />

d’optimiser l’efficacité <strong>de</strong>s systèmes <strong>et</strong> <strong>de</strong> rentabiliser les investissements.<br />

L’ensemble <strong>de</strong>s moyens <strong>de</strong> sécurisation (humains, mécaniques <strong>et</strong> électroniques)<br />

concourant à <strong>la</strong> mise en sûr<strong>et</strong>é <strong>de</strong>s sites, <strong>de</strong>s bâtiments <strong>et</strong> <strong>de</strong>s locaux doit répondre<br />

aux 4 principes <strong>de</strong> <strong>la</strong> sûr<strong>et</strong>é, à savoir :<br />

dissua<strong>de</strong>r protéger r<strong>et</strong>ar<strong>de</strong>r alerter<br />

Pour accroître l’efficacité <strong>de</strong> ces dispositifs <strong>et</strong> préserver le niveau <strong>de</strong> protection <strong>de</strong><br />

certaines informations ou instal<strong>la</strong>tions particulièrement sensibles, les locaux peuvent<br />

être séparés en plusieurs zones c’est ce que l’on appelle le compartimentage.<br />

France Télécom - Secrétariat Général 02/03/2005 38


Mise en sûr<strong>et</strong>é d’un immeuble (zonage)<br />

Accès du personnel<br />

Accès du public<br />

Burea<br />

u<br />

Burea<br />

u<br />

Burea<br />

u<br />

Expo Matériels<br />

Agence<br />

Salle<br />

coffre<br />

Accès très<br />

restreint<br />

Stockag<br />

e<br />

Accès<br />

Contrôlé<br />

Pt<br />

Mat Accès<br />

Limité<br />

CA<br />

Espace <strong>de</strong><br />

vente<br />

Accès libre<br />

France Télécom - Secrétariat Général 02/03/2005 39


Mise en sûr<strong>et</strong>é d’un immeuble (Le Contrôle d’accès<br />

Définition :<br />

électronique)<br />

- La principale fonction d’un système <strong>de</strong> contrôle d’accès électronique est d’interdire à<br />

tout individu non autorisé, l’accès à un périmètre contrôlé, tout en l’autorisant à <strong>de</strong>s<br />

personnes habilitées.<br />

Les autres fonctions optionnelles étant :<br />

- L’attribution individuelle <strong>de</strong>s droits en fonction <strong>de</strong>s besoins professionnels (sites, locaux,<br />

p<strong>la</strong>ges horaires, durée <strong>de</strong> validité <strong>de</strong>s droits…)<br />

- La traçabilité <strong>de</strong>s mouvements (entrées/sorties)<br />

- La gestion <strong>de</strong>s pério<strong>de</strong>s <strong>de</strong> crises (mouvements sociaux, vigipirate… )<br />

- La signalisation <strong>de</strong> dysfonctionnements<br />

France Télécom - Secrétariat Général 02/03/2005 40


ise en sûr<strong>et</strong>é d’un immeuble(Les moyens humains <strong>de</strong> protection)<br />

La surveil<strong>la</strong>nce humaine (gardiens, agents <strong>de</strong> sécurité) perm<strong>et</strong> <strong>de</strong> renforcer le niveau <strong>de</strong><br />

sûr<strong>et</strong>é d’un site ou d’un bâtiment particulièrement sensible ou isolé.<br />

Elle vient en complément <strong>de</strong>s moyens <strong>de</strong> protection matérielle, mécaniques <strong>et</strong> électroniques<br />

déjà mis en p<strong>la</strong>ce.<br />

- C<strong>et</strong>te activité consiste principalement à :<br />

- Contrôler les entrées <strong>et</strong> les sorties, voire les mouvements internes en HO,<br />

- Surveiller le site en HNO (effectuer <strong>de</strong>s ron<strong>de</strong>s <strong>de</strong> sécurité),<br />

- Signaler/intervenir sur tout dysfonctionnement…<br />

Le contrat définissant une prestation <strong>de</strong> surveil<strong>la</strong>nce doit perm<strong>et</strong>tre <strong>de</strong> répondre correctement<br />

aux objectifs <strong>de</strong> <strong>la</strong> politique <strong>de</strong> sûr<strong>et</strong>é fixés par l’entreprise.<br />

France Télécom - Secrétariat Général 02/03/2005 41


ise en sûr<strong>et</strong>é d’un immeuble (Télésurveil<strong>la</strong>nce <strong>et</strong> Télésécurité)<br />

La télésurveil<strong>la</strong>nce consiste à recevoir <strong>et</strong> traiter à distance en temps réel <strong>de</strong>s informations<br />

émises par une instal<strong>la</strong>tion d’a<strong>la</strong>rme (capteurs, caméras…)<br />

La télésurveil<strong>la</strong>nce repose sur :<br />

- une instal<strong>la</strong>tion d’a<strong>la</strong>rme<br />

- une centrale <strong>de</strong> télésurveil<strong>la</strong>nce<br />

- une intervention adaptée « levé <strong>de</strong> doute »<br />

La levé <strong>de</strong> doute :<br />

- Technique => à distance<br />

- Humaine => sur site (télésécurité)<br />

- Mise en sécurité du site (gardiennage)<br />

Devant le risque potentiel que représente une intervention humaine (cf. Document unique), il<br />

doit être fait appel à une société <strong>de</strong> télésécurité qui dispose <strong>de</strong>s moyens humains <strong>et</strong> matériels<br />

adaptés à ce type <strong>de</strong> situation.<br />

France Télécom - Secrétariat Général 02/03/2005 42


Mise en sûr<strong>et</strong>é d’un immeuble (Moyens -3)<br />

Mesures en « Réduction <strong>de</strong> risques »<br />

SPECIFIQUES<br />

Objectifs SMART<br />

A un risque i<strong>de</strong>ntifié correspon<strong>de</strong>nt une ou <strong>de</strong>s mesures particulières (Analyse <strong>de</strong> risque)<br />

MESURABLES<br />

C<strong>et</strong>te/ces mesures doivent obligatoirement après mise en p<strong>la</strong>ce, conduire à une meilleure maîtrise du risque<br />

initial. (Notion du risque résiduel)<br />

APPROPRIEES<br />

Elles sont correctement dimensionnées (Analyse Coût/Efficacité)<br />

REALISTES<br />

Les actions proposées sont réalisables <strong>et</strong> utiles à l'entreprise (Crédibilité)<br />

TEMPORISEES<br />

Une date limite <strong>de</strong> mise en œuvre est arrêtée, <strong>et</strong> <strong>de</strong>s étapes intermédiaires sont fixées (Échéancier)<br />

France Télécom - Secrétariat Général 02/03/2005 43


Programme stratégique<br />

France Télécom - Secrétariat Général 02/03/2005 44


Programme stratégique (1)<br />

• Proposer un ensemble d’actions homogènes <strong>et</strong> cohérentes<br />

• Hiérarchisées en fonction <strong>de</strong> l’existant <strong>et</strong> <strong>de</strong>s besoins<br />

• Adaptées aux risques <strong>et</strong> enjeux<br />

• Quantifiables <strong>et</strong> mesurables<br />

• Fournir <strong>de</strong>s éléments <strong>de</strong> décision pour <strong>la</strong> Direction<br />

France Télécom - Secrétariat Général 02/03/2005 45


Programme stratégique (2)<br />

• Doit pouvoir être « vendu » à <strong>la</strong> Direction<br />

• Doit être évolutif<br />

• En fonction <strong>de</strong> son avancement<br />

• En fonction du contexte<br />

• Doit répondre aux questions<br />

• Quelles sont les conséquences <strong>de</strong>s actions proposées sur le niveau <strong>de</strong> sécurité ?<br />

• Quelles sont les actions à forte contribution ?<br />

France Télécom - Secrétariat Général 02/03/2005 46


Processus <strong>de</strong> gestion <strong>de</strong>s risques<br />

Etablir un processus <strong>de</strong><br />

gestion du risque<br />

• Objectifs à CT <strong>et</strong> LT<br />

• Langage commun<br />

• Structure <strong>de</strong> pilotage<br />

Améliorer en permanence <strong>la</strong><br />

gestion du risque<br />

Evaluer les risques<br />

• I<strong>de</strong>ntifier<br />

• Rechercher <strong>la</strong> source<br />

• Mesurer<br />

Information pour<br />

<strong>la</strong> prise <strong>de</strong><br />

décisions<br />

Définir <strong>de</strong>s stratégies <strong>de</strong><br />

gestion du risque<br />

ι Eviter ι Réduire ιConserver<br />

ι Exploiter ι Transférer<br />

Contrôler <strong>la</strong> performance en<br />

matière <strong>de</strong> gestion du risque<br />

Concevoir/m<strong>et</strong>tre en œuvre les<br />

infrastructures <strong>de</strong> gestion du<br />

risque<br />

France Télécom - Secrétariat Général 02/03/2005 47


Frau<strong>de</strong><br />

France Télécom - Secrétariat Général 02/03/2005 48


Frau<strong>de</strong> un risque émergent (Définition)<br />

On entend par frau<strong>de</strong>, toutes les irrégu<strong>la</strong>rités <strong>et</strong> actes illégaux<br />

commis avec l’intention <strong>de</strong> tromper.<br />

Les frau<strong>de</strong>s peuvent être commises pour le bénéfice <strong>de</strong><br />

l’organisation ou à son détriment, tant par les employés <strong>de</strong><br />

l’organisation que par <strong>de</strong>s personnes extérieures à celle-ci.<br />

France Télécom - Secrétariat Général 02/03/2005 49


Frau<strong>de</strong> un risque émergent (Objectifs généraux)<br />

- Sensibiliser les acteurs <strong>de</strong> <strong>la</strong> « Sécurité » sur les risques<br />

<strong>de</strong> Frau<strong>de</strong><br />

---<br />

- I<strong>de</strong>ntifier les indicateurs perm<strong>et</strong>tant <strong>de</strong> m<strong>et</strong>tre ces risques<br />

en Évi<strong>de</strong>nce<br />

- Ai<strong>de</strong>r à <strong>la</strong> recherche <strong>de</strong> <strong>la</strong> preuve<br />

France Télécom - Secrétariat Général 02/03/2005 50


Frau<strong>de</strong> un risque émergent (Causes <strong>de</strong><br />

l’accélération)<br />

- Multiforme, Endémique <strong>et</strong> Évolutive<br />

- Les résultats <strong>de</strong> l’inventivité <strong>de</strong>s organisateurs <strong>et</strong> <strong>de</strong><br />

l’adaptation aux carences offertes aux malveil<strong>la</strong>nts<br />

- Opportuniste <strong>et</strong> Professionnelle<br />

France Télécom - Secrétariat Général 02/03/2005 51


Frau<strong>de</strong> un risque émergent (Pour qui <strong>et</strong> pour quoi<br />

faire)<br />

- Dans l’intérêt personnel d’un sa<strong>la</strong>rié (vengeance)<br />

- Dans l’intérêt d’un mandataire social (amélioration du<br />

train <strong>de</strong> vie)<br />

- Dans l’intérêt d’un dirigeant (surfacturation)<br />

- Dans l’intérêt d’un réseau (intelligence économique)<br />

France Télécom - Secrétariat Général 02/03/2005 52


Frau<strong>de</strong> un risque émergent (Pourquoi une<br />

accélération)<br />

- Absence <strong>de</strong> déontologie <strong>et</strong> d’éthique (règles écrites)<br />

- La c<strong>la</strong>use <strong>de</strong> <strong>la</strong> règle <strong>la</strong> plus favorable<br />

- La primauté <strong>de</strong> <strong>la</strong> finalité sur <strong>la</strong> règle du droit<br />

- La sophistication <strong>de</strong>s systèmes<br />

- Le regroupement <strong>de</strong> certaines fonctions<br />

- L’importance <strong>de</strong> plus en plus forte d’un appel à <strong>la</strong><br />

sous - traitance<br />

France Télécom - Secrétariat Général 02/03/2005 53


Bibliographie<br />

OHSAS 18001 (1999)-système <strong>de</strong> management <strong>de</strong> <strong>la</strong> santé <strong>et</strong> <strong>de</strong> <strong>la</strong><br />

sécurité du travail,<br />

ISO 14001 (10/1996)-système <strong>de</strong> management environnemental,<br />

NF EN ISO 9001(version 2000)- système <strong>de</strong> management <strong>de</strong> <strong>la</strong><br />

qualité,<br />

BP Z 74-500-référentiel <strong>de</strong>s bonnes pratiques-sécurité <strong>de</strong>s<br />

informations stratégiques (Afnor-08/2002),<br />

ISO 17799 (version 2000)-technologie <strong>de</strong> l’information-gui<strong>de</strong> <strong>de</strong>s<br />

bonnes pratiques pour le management <strong>de</strong> <strong>la</strong> sécurité <strong>de</strong><br />

l’information .<br />

EBIOS (SGDN-DCSSI)<br />

MEHARI (CLUSIF)<br />

France Télécom - Secrétariat Général 02/03/2005 54


Politique <strong>de</strong> sûr<strong>et</strong>é <strong>de</strong><br />

l’entreprise<br />

MERCI<br />

<strong>de</strong> votre attention<br />

France Télécom - Secrétariat Général 02/03/2005 55


Points sensibles (Généralités -1)<br />

Définition :<br />

Est considéré comme point sensible, tout établissement ou ouvrage présentant à titre<br />

permanent, ou dans certaines circonstances, une importance particulière pour <strong>la</strong><br />

défense ou <strong>la</strong> survie <strong>de</strong> <strong>la</strong> nation.<br />

Référentiels :<br />

- Loi n°90-568 du 2 juill<strong>et</strong> 1990 re<strong>la</strong>tive à l’organisation du service public <strong>de</strong> <strong>la</strong> Poste <strong>et</strong> <strong>de</strong>s<br />

Télécommunications modifiée par <strong>la</strong> loi 2003-1365 du 31 décembre 2003<br />

- Loi re<strong>la</strong>tive aux obligations <strong>de</strong> service public <strong>de</strong>s télécommunications <strong>et</strong> à France Télécom<br />

France Télécom - Secrétariat Général 02/03/2005 56


Points sensibles (Généralités -2)<br />

Référentiels (suite) :<br />

- Instruction Générale Interministérielle du Secrétariat Général <strong>de</strong> <strong>la</strong> Défense Nationale<br />

n°4600 du 8 février 1993 sur <strong>la</strong> sécurité <strong>de</strong>s Points <strong>et</strong> Réseaux Sensibles,<br />

- Décr<strong>et</strong> n°96-1 2 25 du 27 décembre 1996 portant approbation du cahier <strong>de</strong>s charges <strong>de</strong><br />

France Télécom<br />

- Co<strong>de</strong> <strong>de</strong>s postes <strong>et</strong> télécommunications article D 98-1 f) « Prescriptions exigées par <strong>la</strong><br />

défense <strong>et</strong> <strong>la</strong> sécurité publique »),<br />

- Courrier réf. : SG/SSC/Patr-Déf/PG/97.03/DR du 14 janvier 1997 traitant <strong>de</strong> <strong>la</strong> gestion <strong>de</strong>s<br />

Points <strong>et</strong> Réseaux sensibles pour ce qui concerne France Télécom.<br />

France Télécom - Secrétariat Général 02/03/2005 57

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!