26
èmes
Rencontres du Risk Management | AMRAE 2018
1
Atelier A5
Comment adapter la
cartographie des
risques
sécurité/sureté aux
nouvelles menaces
16/11/2017 2Terrorisme : de 2012 à 2017, la France durement éprouvée
Par Esther Paolini Edouard de Mareschal, Le Figaro
• 11 et 19 mars 2012 - Toulouse et Montauban: Mohammed Merah tue 7 personnes
• 7 janvier 2015 - Charlie Hebdo: 17 victimes à Paris
• 9 janvier 2015 - Prise d'otages à l'Hyper Cacher
• 19 avril 2015 - L'attentat manqué de Sid Ahmed Ghlam
• 26 juin 2015 - Uun patron décapité à Saint-Quentin-Fallavier
• 21 août 2015 - Attaque d'un Thalys empêchée par des héros
• 13 novembre 2015 - La pire attaque terroriste sur le sol français
• 13 juin 2016 - Deux policiers tués dans les Yvelines
• 14 Juillet 2016 - Nice visée pendant son feu d'artifice
• 26 juillet 2016 - Le prêtre Hamel est assassiné à Saint-Etienne-du-Rouvray
• 4 septembre 2016 - Des bombonnes de gaz sont découvertes à proximité de la cathédrale Notre-Dame
• 3 février 2017 - Des militaires sont attaqés au Carrousel du Louvre
• 18 mars 2017 - Une patrouille de Sentinelle est attaquée à l'aéroport Paris-Orly
• 20 avril 2017 - Un policier est abattu sur les Champs-Élysées
• 6 juin 2017 - Attaque au marteau à Notre-Dame de Paris
• 19 juin 2017 - Une nouvelle attaque survient sur les Champs-Élysées
• 9 août 2017 - Des militaires de l'opération Sentinelle sont attaqués à Levallois-Perret
INTERVENANTS
08/02/2018 3
•Modérateur
•Intervenants
Eric CONTEGAL Responsable Audit et Risques
Paul Vincent VALTATResponsable du département prévention et
maitrise des risques
Conseiller de la Directrice Générale pour la
gestion globale des risques
Xavier CARN
Vice-Président Sécurité EMEA
International SOS & Control Risks
M. Conférencier Ministère de l’intérieur
INTERVENANTS
08/02/2018 4
Paul Vincent VALTAT
•est ingénieur sécurité et spécialiste de l’ingénierie de sûreté. Il est Officier de
sécurité d’HAROPA-Ports de Paris et auditeur ISPSpour le compte de la DGITMdu
Ministère de la transition écologique et solidaire. Il est administrateur du CDSE.
•Après une première partie de carrière dans les domaines de la sécurité et la sûreté
industrielles, PV Valtat est depuis 2013 conseiller de la Directrice Générale pour les
risques globaux et responsables du département prévention et maitrise des
risques d’Haropa-Ports de Paris.
A ce titre il propose la politique sécurité/sûreté, veille à son application et pilote
la cartographie globale des risques du Port Autonome de Paris.
•Intervenants dans différentes formations de 3ème cycle en sécurité/sûreté, il est
l’auteur de différentes publications
INTERVENANTS
08/02/2018 5
Xavier CARN
•Diplômé de l’Institut des Langues Orientales et titulaire d’un DESS en Commerce
International et en Sciences Politiques (Paris II), Xavier Carna débuté sa carrière en
1991 en tant qu’analyste pour la zone Asie au sein du Ministère de la Défense à
Paris. Il a ensuite travaillé en tant que Deuxième Secrétaire à l’ambassade de
France à Bangkok et comme Premier Secrétaire à l’ambassade de France à
Singapour.
•Xavier Carnest notamment responsable de la supervision et de la gestion
opérationnelle des services de sécurité d’International SOS. Il conseille et soutient
ses clients sur des problématiques de sécurité en voyage, de gestion de crise et de
continuité d’activité : il a été directement impliqué depuis 2006 sur la gestion de
nombreuses crises et des opérations d’évacuation de masse
•Depuis Juin 2017, il occupe le poste de Vice-Président Sécurité pour la région
EMEAoù il conseille ses clients dans la mise en place de leurs programmes de
Gestion du Risque Voyage.
6
Défense
d’enregistrer
7
La sûreté en entreprise
Quelques principes sur la sureté
On parle de:
•Sûreté des biens et des personnes
•Sécurité informatique
•Fraude économique
•Risque d’attentat, terrorisme et malveillance
Des menaces, internes ou externes …
•Vis-à-vis du personnel, des prestataires et clients
(attentat, kidnapping, agression…)
•Vis-à-vis des biens matériels(Vols, piraterie…)
•Vis-à-vis du patrimoine immatériel :
•Vols d’informations commerciales (fichiers
clients…) et technologiques (ordinateurs,
machines, brevets, licences…)
•Vis-à-vis des actifs financiers (blanchiment,
chantage…)
•Vis-à-vis de la notoriété ( E-réputation)
Une distinction entre «sécurité» et sûreté» :
En anglais, le terme «Safety»est utilisé dans le domaine de la sécurité, et le terme «Security» dans le
domaine de la sureté. Ajoutons à cela les termes «sécurité publique», «sécurité informatique» pour traiter
des problématiques de sûreté et l’on comprend pourquoi il est nécessaire d’acter un lexique clair.
Par convention interne au monde des entreprises, la sécurité traite des situations accidentelles, et la
sureté traite des actes intentionnels.
Les moteurs de la sûreté en entreprise
•Cadre réglementaire
–OIV/DNS
–Vigipirate
–ESSP (prévention situationnelle ERP …)
•Le business
•Opinion public/image
Identification Hiérarchisation Traitement Transfert
Une chaîne de traitement
classique du risque
Mais des outils différents
1. l’identification / notion de menace
Labasedel’identificationestlanotiondemenace.
Orcelle-cireposesurdeuxéléments:
•L’analysedesmenacesavéréesoupotentiellesissuesdel’environnement
–Etudedocumentaire;
–Etudedeterrain:visitesdejour/nuit,analysedesusages;
–Echangesaveclesacteurs:servicesdescollectivités(Maire,policemunicipale);services
del’Etat(police,gendarmerie,);partenairessocio-économiques(gestionnairesdes
réseauxdetransports,gestionnairesdel’habitatsocial,..
•L’attractivitédel’entreprisevis-à-visdesactesdemalveillances
2. Hiérarchisation
des risques de sûreté
Plausibilité
Enfonctiondelanaturedesciblespotentiellesdesmodesd’actionpeuvents’avérer
plusoumoinsplausibles.Laplausibilitédonneuneindicationsurlafacilitéoula
difficultéderéaliserlemoded’action,leschancesdesuccèsoud’échecdecemode
d’actionetdonclesrisquesdevoirlefauteurdetroublesutiliserl’und’euxplutôt
qu’unautrepourparveniràsesfins.
Vulnérabilité
La vulnérabilité rend compte de la facilité plus ou moins grande avec laquelle un fauteur
de troubles (tagueur par exemple) ou un terroriste (porteur d’une bombe) peuvent
parvenir à leurs fins par intrusion, escalade, effraction ou agression
Impact
L’impactcaractériseleniveaudedommagesquesubiraitlaciblepotentielleconsidérée
tantauplanhumainqu’auxplansmatérieletorganisationnel.
2. Hiérarchisation
des risques de sûreté
Plausibilité
Enfonctiondelanaturedesciblespotentiellesdesmodesd’actionpeuvents’avérer
plusoumoinsplausibles.Laplausibilitédonneuneindicationsurlafacilitéoula
difficultéderéaliserlemoded’action,leschancesdesuccèsoud’échecdecemode
d’actionetdonclesrisquesdevoirlefauteurdetroublesutiliserl’und’euxplutôt
qu’unautrepourparveniràsesfins.
Vulnérabilité
La vulnérabilité rend compte de la facilité plus ou moins grande avec laquelle un fauteur
de troubles (tagueur par exemple) ou un terroriste (porteur d’une bombe) peuvent
parvenir à leurs fins par intrusion, escalade, effraction ou agression
Impact
L’impactcaractériseleniveaudedommagesquesubiraitlaciblepotentielleconsidérée
tantauplanhumainqu’auxplansmatérieletorganisationnel.
2. Hiérarchisation
des risques de sûreté
Plausibilité
Enfonctiondelanaturedesciblespotentiellesdesmodesd’actionpeuvents’avérer
plusoumoinsplausibles.Laplausibilitédonneuneindicationsurlafacilitéoula
difficultéderéaliserlemoded’action,leschancesdesuccèsoud’échecdecemode
d’actionetdonclesrisquesdevoirlefauteurdetroublesutiliserl’und’euxplutôt
qu’unautrepourparveniràsesfins.
Vulnérabilité
La vulnérabilité rend compte de la facilité plus ou moins grande avec laquelle un fauteur
de troubles (tagueur par exemple) ou un terroriste (porteur d’une bombe) peuvent
parvenir à leurs fins par intrusion, escalade, effraction ou agression
Impact
L’impactcaractériseleniveaudedommagesquesubiraitlaciblepotentielleconsidérée
tantauplanhumainqu’auxplansmatérieletorganisationnel.
2. Hiérarchisation
des risques de sûreté
Plausibilité
Enfonctiondelanaturedesciblespotentiellesdesmodesd’actionpeuvents’avérer
plusoumoinsplausibles.Laplausibilitédonneuneindicationsurlafacilitéoula
difficultéderéaliserlemoded’action,leschancesdesuccèsoud’échecdecemode
d’actionetdonclesrisquesdevoirlefauteurdetroublesutiliserl’und’euxplutôt
qu’unautrepourparveniràsesfins.
Vulnérabilité
La vulnérabilité rend compte de la facilité plus ou moins grande avec laquelle un fauteur
de troubles (tagueur par exemple) ou un terroriste (porteur d’une bombe) peuvent
parvenir à leurs fins par intrusion, escalade, effraction ou agression
Impact
L’impactcaractériseleniveaudedommagesquesubiraitlaciblepotentielleconsidérée
tantauplanhumainqu’auxplansmatérieletorganisationnel.
Hiérarchie des risques
CP 1 CP 2 CP 3 CP 4 CP 5
Violencesurbaines 16 16 8 24 48
Violencesphysiques 18 6 6 27 12
Incendiesprotestataires8 24 8 12 24
Pollutionmajeure 2 4 6 2 2
Prised’otage(s) 18 12 18 18 12
Colispiégé 36 36 18 18 36
Véhiculesuicide 32 24 4 8 12
Attentatbactériologique6 1 16 1 1
Bombehumaine 32 12 12 16 18
Bomberadiologique 12 6 3 4 8
Cotationde1à16 Risque bas
Cotationde17à32 Risque modéré
Cotationde33à48 Risque élevé
Cotationde48à64 Risque maximal
3. Traitement
Exemple 1 : Le DU, Document Unique des risques, jusqu’à peu exclusivement centré
sur la sécurité doit maintenant prendre en compte les risques de sûreté dans
l’entreprise :
•mise en sûreté des locaux de travail,
•Organisation des confinements en cas d’attaque.
Un DU sans chapitre sûreté est un DU qui ne répond pas à ses obligations
réglementaires
Exemple 2 : Focus sur les expatriés, missions à l’étranger
La sûreté est devenu une obligation de résultat et non plus de moyens.
Fait initiateur : Attentat de Karachi/ DCN en 2002. Le TASS a jugé que l’attentat n’avait
été possible que par la faute inexcusable de l’employeur.
C’est donc un sujet de pénalisation pour le chef d’entreprise
Traitement
Lieux de vie
•Géolocalisation
•Santé, Loisirs
Résidence•Résidence fermée
Trajet
•Transport
•Parcours privé balisé
Travail
•Préparation
•Règles de sécurité
Mesures de protection
Liberté individuelle
Préparation de l’expatriation :
Formation
Passeport
Cartographie des risques pays
Mesures de crise :
Mesures d’urgence
Plan de regroupement
Rapatriement des salariés
Traitement
OIV
ESSP
Vigipirate
Exemple 3 obligations légales
1.L’entreprise doit élaborée des évaluations de sûreté
2.En fonction de ces évaluations, elle construit des plans de protection
3.Et met en œuvre ces plans de maîtrise
En concertation/ Échange / Validation par l’Etat
Le coût de la sûreté est transféré sur
l’entreprise
Responsabilisation accrue sur l’entreprise
Ex : Attentat des
années 1990
20
LES NOUVEAUX RISQUES
Terrorisme
Comment définir la vulnérabilité de l’entreprise face au terrorisme ?
-Symbolique de l’entreprise (ex : Charlie Hebdo)
-Lieu de forte fréquentation et de rassemblement (ex : 13 Novembre, attentat déjoué au 4 temps, RER)
Mais une limite lorsque l’on parle de terrorisme d’opportunité (ex: Usine Air Productsà Saint-Quentin-Fallavier)
Quelle protection mettre en place ?
Mise en sûreté des locaux :
-Organisation de confinement
-Durcissement de la cible
-Protections Matérielles
-Protections Humaines
1.Gardiennage classique
2.Agents de sécurité privée qui, dans certaines
conditions et de formation adéquate, pourront utiliser
des armes non létales (matraques de type bâton de
défense ou tonfa, lacrymogènes etc.)
3.Agents de sécurité privée pouvant être dotés d’une
arme de poing
En application depuis le 1er janvier 2018 (traduction réglementaire de loi
du 28 février 2017 relative à la sécurité publique)
Radicalisation en entreprise :
moyens et limites
La liberté de conviction, un principe inscrit dans la Déclaration des Droits de l'Homme.
Un salarié peut donc affirmer sa croyance et agir selon ses principes, même dans le cadre de son activité
professionnelle.... sans que ce soit un signe de radicalisation
Dans les entreprises publiques, ou qui ont une délégation de service public, il y existe le principe de neutralité :
Interdiction de faire du prosélytisme, de promouvoir sa religion, et d'arborer des signes religieux ostentatoires.
Dans les entreprises privées, la situation est plus complexe :
Code du travail Des outils pas nécessairement forgés pour lutter contre la radicalisation :
Règlement intérieurex : refus de serrer la main
L'Observatoire de la laïcité liste «les différents motifs autorisant les limitations» de la liberté de conviction :
•Le respect de l'organisation du travail. Ex : l’obligation du port d’un uniforme;
•Les questions d'hygiène et de sécurité. Ex : le salarié ne peut refuser une visite médicale sous motif que sa religion lui
interdit;
•Interdiction de faire du prosélytisme. Ex : l'apologie du terrorisme devant ses collègues;
•Les aptitudes nécessaires. Ex : un serveur ne peut refuser de servir du vin / refuser d’obéir aux ordres de son supérieure
hiérarchique car c’est une femme;
•Organisation du travail. Ex : un salarié ne peut pas contester le refus d'un jour d'absence pour une fête religieuse si
l'employeur est prévenu à la dernière minute et que l'absence perturbe l'organisation du service.
Cybersécurité
* Etude«Global EconomicCrime Survey 2016» menée par PwCauprès de 6337 entreprises dans 115 pays entre juillet et septembre 2015
**https://www.lesechos.fr/08/04/2016/lesechos.fr/021827593152_le-boom-inquietant-de-la---fraude-au-president---.htm#EbS7HRgVKmwRSqyB.99
***Etude« Fraude et cybercriminalité » -Euler Hermes-DFCG 2017, réalisée auprès 200 responsables d'entreprise, essentiellement financiers, 04/2017
Les entreprises françaises auraient perdues en 2016,485 millions
d'euros cumulées pour les fraudes du type faux au président.
Le FBI estime une perte cumulée de 2,3 milliards de dollars aux
entreprises entre octobre 2013 et février 2016 sur la base des
plaintes reçues aux États-Unis et dans au moins 79 pays du
monde.**
Faux président,cyberfraude, faux fournisseur,
usurpation d'identité,faux client: les 5 tentatives
de fraudes les courantes
•59 % des entreprises françaises ont déjà été visées
par unetentative de fraude au président en
2016***
•57 % d’entre elles, par unetentative de cyberfraude
(dont 22 % de ransomware)
Distinction entre :
•celui qui évalue les risques et les besoins en matière de protection (ex: AQSSI)
•celui qui apporte les solutions techniques (ex: RSSI)
*
Une distinction à faire entre sécurité et sûreté
Accidentel VS Intentionnel
Pour la sécurité :
fort lien avec les assurances
Pour la sûreté :
Investissements dans les
équipements de sûreté moins
valorisés qu’en sécurité
Des risques dans la sûreté de plus en plus importants
Exemple : la cybercriminalité, actions violentes armées
Un marché à fort potentiel pour les assurances
Une réponse de transfert assurantiel pour ce
type de risque (cyber, santé)
Sécurité-Sûreté et Assurances
16/11/2017 25
LA RADICALISATION EN ENTREPRISE
26
POURQUOI PARLER DU RISQUE
VOYAGE AUJOURD’HUI ?
TRAVEL RISK MAP 2018
16/11/2017 27
https://www.internationalsos.com/risk-outlook
-28-
16/11/2017
LES NIVEAUX DE RISQUE
SPECIAL ADVISORY
EVACUATION
NOTIFICATION
NOTICE
ADVISORY
-29-
16/11/2017
L’IMPORTANCE DE LA FORMATION
L’IMPORTANCE DE L’INFORMATION
ET DE LA PRÉVENTION
16/11/2017 30
LA GESTION DU RISQUE VOYAGE
16/11/2017 31
AVANT le VOYAGE PENDANT LE VOYAGE APRES LE VOYAGE
Rôleset
Responsabilités
Sources
d’information
Mécanismespour gérer
les incidents
Revue régulière
Politique
Suretéen
Voyage
Analyserles risquesdes voyages effectués, identifier les contrôleset les
procédurespour limiter cesrisques
Évaluerle
Risque
•Informer et conseiller les voyageurs
•Sensibiliser selon le profil, la destination, l’activité
•Examens médicaux avant, pendant, après
•Préparer des plans d’urgence
•Mettre en place le suivi et le soutien des voyageurs
Organiser
Planifier
Contrôler
Revoir et auditerles plans encohérenceavec la politiquede gestiondes
risquesde l’Entreprise
Auditer
Créerun processusde recueilet d’intégrationdu feedback des voyageursAméliorer
Pour aller plus loin…
-33-
16/11/2017
Merci
Les slides seront en ligne dès
la semaine prochaine sur
www.amrae.fr
Atelier A5 : Comment adapter la cartographie des risques sécurité/sureté aux nouvelles menaces - Février 2018
Atelier A5 : Comment adapter la cartographie des risques sécurité/sureté aux nouvelles menaces - Février 2018