nos contributions

Notre presence avec un stand au salon de Préventica Paris 2023.

De nombreux partenaires sont venus nous voir.

Date : 2021

Si vis pacem, para bellum

Citation latine.

La guerre. La guerre qui nous fascine. La guerre qui nous terrifie. Mais la guerre ce n’est ni un film, ni un jeux.

Comme l’a dit Cesar en son temps, il faut se préparer à toute éventualité.

A 10000km ou à 2000km, une guerre ce n’est pas que des drapeaux qui bougent sur une carte, ou des images chocs sur Twitter. La perte d’un proche, la perte d’un mode de vie, la perte de repères, le déploiement de moyens inhabituels, les exactions, ce que l’on voit dans les médias, n’est qu’un filtre. Un faible pourcentage de l’horreur et du réel que vivent les personnes sur place.

La guerre, bien que lointaine, sait aussi être proche, très proche. Et l’histoire l’a démontré à de nombreuses reprises. On aura comme exemples les tentatives de déstabilisation sur le sol français durant la guerre d’Ex-Yougoslavie, ou plus récemment les attentats de Paris en réponse à la guerre contre Daesh, ou encore les conséquences économiques de la guerre en Ukraine.

Alors comment la sécurité privée peut agir pour protéger les intérêts de sa nation contre les manipulations de ses ennemis ? Comment organiser votre stratégie de sécurité par des moyens privés ? Comment les moyens privés, peuvent être mis à disposition pour protéger les institutions privées ou publiques des conséquences vues plus hauts ?

Comprenons nous bien. Nous ne parlons pas ici de vous protéger contre des frappes de missiles ou une cohorte de blindés. Mais dans une guerre entre deux nations, la déstabilisation de l’arrière est aussi importante que le front. C’est un élément pour manipuler l’opinion, bloquer la logistique, fausser l’information etc… C’est la Petite Guerre, la guerre de l’ombre.

Terrorisme, mouvements sociaux de groupuscules, espionnage, etc… sont autant d’actions qui sont menées sur l’arrière, et dont les entreprises sont les premières cibles, et donc les lieux où la sécurité privée doit avoir son plus grand rôle à jouer.

Chaque entreprise est stratégique

De la mise en contexte

Trois exemples fictifs mais plausibles

La multinationale stratégique

Vous êtes une multinationale travaillant dans un secteur d’intérêt vital pour la France.

Vous êtes donc une cible dans le cas d’une guerre économique, pour l’espionnage industriel et commercial, pour des actes de déstabilisation (terrorisme, mouvement sociaux, etc…).

Dans ce cas, les dirigeants, les employés et les actifs de la société sont directement ciblés.

Mention spéciale si vous détenez des locaux à risques (traitement nucléaire, pétrochimique, de défense, vitaux pour le commerce, etc…)

L’entreprise nationale technologique

Vous ne travaillez qu’en France, mais vos technologies sont utilisées dans le monde de la tech. Vous êtes une cible. Selon votre production, désorganiser votre entreprise aurait pour but d’empêcher l’approvisionnement en équipements pour les loisirs, le médical, ou le militaire. S’en prendre aux entreprises des télécoms c’est aussi désorganiser les communications, etc…

Une entreprise de la tech, quelle que soit son activité, est une cible ! Nous avons parler de désorganisation, nous pourrions aussi parler du vol, de l’espionnage, etc…

La grosse strucuture locale très valorisée

Vous êtes une galerie commerciale, une salle d’événementiels, un lieu touristique… Bref, un lieu qui attire par sa réputation ou son offre. Vous n’avez pas d’intérêt vital ou stratégique pour la nation, ne représentez pas de source d’intérêt particulière pour l’ennemi.

Sauf, de part l’afflux de population que vous drainez.

Votre réputation est votre meilleur allié commercial, et votre pire ennemi en cas de conflit.

Ni les dirigeants, ni les salariés ne sont directement visés. Cependant, vous êtes une cible de choix pour instaurer la terreur et l’effroi. Les attentats de Novembre 2015 en sont le dramatique exemple.

Le rôle de l’humain

Protégrer son entreprise, son intégrité et celle de ses salariés.

Si l’armée et les forces de l’ordres sont le bouclier qui protège la nation, ils ne peuvent pas avoir d’yeux partout. Vous êtes le premier garant de votre intégrité.

Nous pourrions parler d’attentats, mais nous oublierions trop rapidement l’espionnage et l’ingérence.

Alors comment des agents de sécurité peuvent vous aider à sécuriser votre entreprise ?

Fouilles et palpations, les bases qui font leurs preuves. 

Simples et efficaces, quand bien réalisées par des professionnels consciencieux c’est déjà un premier verrou efficace avec un impact dissuasif. On y adjoindra des portiques détecteurs de métaux ainsi qu’un contrôle de sacs par rayon x pour filtrer toujours plus en profondeur le matériel que vous laisser entrer sur votre entreprise. Les moyens doivent être à la hauteur du risque et de l’importance stratégique de votre entreprise.

Contrôle d’accès, le coeur de la sûreté d’entreprise.

Vous avez laissé entrer du personnel, certes, mais qui est-il réellement ?

Personnel, prestataire, visiteur, livreur, etc… ayez la maitrise de qui entre et qui sort. Identifiez chaque typologie de personne par des badges bien visibles. Contrôlez leurs droits d’accès par des cartes magnétiques et paramétrables. Gardez une trace permanente de qui est où et quand (très utile en cas d’évacuation incendie par la même).

Attention au favoritisme ! Certains seront tentés de ne pas fouiller clients et collaborateurs. La justification ne change jamais, la fouille rebute les clients, nous avons confiance en nos collaborateurs, etc… hors en sureté comme en cyber sécurité, l’ingénierie sociale est la première chose à faire avant de commettre son forfait. Si l’on se rend compte que vous ne ciblez qu’une catégorie d’individus, il suffit de se faire passer pour la catégorie ayant passe-droit et l’ont peut tout faire entrer, ainsi votre contrôle d’accès devient de la poudre aux yeux sans utilité.

Vous avez des caméras ? Avez-vous pensez à l’IA ?

Vous avez choisi d’en équiper votre établissement, et c’est une excellente chose, mais sont elles à la hauteur ?

Savez-vous que l’IA peut vous permettre d’analyser le comportement du personnel ?

Savez-vous que l’IA peut piloter elle-même les caméras pour traquer un suspect ?

Pensez-y, l’IA peut vous aider à considérablement augmenter la sécurité de votre établissement.

Sachez cependant que celle-ci peut être trompée par des artifices, tel que le maquillage.

On arrête là ?

Non.

Vous êtes équipé, vous avez des agents de sécurité, mais le principal acteur de la sécurité de votre entreprise c’est vous, et vos salariés.

Formez-vous, formez-les, instaurez une réelle culture d’entreprise de la sécurité. Savoir donner l’alerte, déceler une anomalie, ne pas enfreindre les règles. Toute l’IA du monde, tout les services de sécurité du monde, ne seront jamais aussi efficaces pour déceler un intrus au que vous et vos salariés.

Vous connaissez vos collègues.

Et vous connaissez tous ce collègue qui fait entrer un tiers par le portique pour être aimable, après tout il a l’air gentil, il a seulement oublié son badge, moi aussi ça m’arrive…

Les vols, pertes de données, accidents peuvent être le fruit de mauvaises pratiques culturelles à l’entreprise et de ses employés ou fournisseurs, de négligences, d’imprudences, de méconnaissances ou d’absences de règles, de manque de formations et d’informations.

Pour y remédier, instaurez votre culture sécurité.

La meilleure des protections reste la dissuasion

Déjà existants par le passé mais aujourd’hui de plus en plus sollicités et accessibles, les agents de sécurité armés et d’intervention seront votre force de dissuasion.

Soumis à un réglementation plus stricte que les collègues agent de sécurité, ils ont pour missions première la dissuasion, l’intervention vient par la suite, et enfin la primo intervention tactique en cas de blessés graves.

Si leur mise en place peut s’avérer complexe, une fois engagés, ils sauront être le véritable bouclier de votre entreprise qui vous permettra de protéger vos salariés et vos intérêts en attendant l’intervention de forces étatiques.

Ils s’emploieront à user de la force uniquement dans un cadre de riposte, ayant pour vocation de faciliter l’évacuation des personnels et l’arrivée des forces publiques.

Tenir une position sous le feu, sans que d’autres vies que la leur ne soient en jeu, n’est la mission que des agents postés sur des sites sensibles et stratégiques pour l’intérêt de la nation.

Chaque minute compte.

Agent de protection rapprochée

Notamment pour les personnalités d’entreprises personnellement visées, ils peuvent s’articuler en équipe :

• Les conducteurs de sécurité, ayant pour objectif l’exfiltration rapide et sécurisée vers un lieu défini. Sa méthode sera d’apporter le soutien nécessaire pour permettre au reste de l’équipe d’exfiltrer en tout sécurité.
• La garde rapprochée, qui ne quittera pas son VIP tant que celui-ci ne sera pas à l’abris.
• Une équipe de couverture et de reconnaissance, ayant une mission double. En cas d’intervention ceux-ci ont la lourde tâche de faciliter l’exfiltration par la garde rapprochée, et en amont la reconnaissance des lieux où doit se rendre le VIP (hôtel, séminaire, etc…)

Quelque soit le dispositif, celui-ci est d’abord guidé par l’analyse du risque et la veille réputationnelle du VIP. Les moyens mis en place seront à la hauteur du risque et de la nécessité.

Les premiers sont des préventeurs, ils observent et font évacuer, leur capacité de protection, de défense et de riposte est au mieux limitée, au pire inexistante. Ils sont cependant fondamentaux dans votre dispositif puisqu’ils sont ceux qui donneront l’alerte et guideront les évacuants et les secours.

Cependant dans le cadre d’une situation de crise, et notamment de conflit ouvert, votre entreprise, ses intérêts, ses collaborateurs, sa direction, ses actifs et ses secrets peuvent être directement ciblés.

Protégez vous.

Votre première barrière c’est vous et votre culture de la sécurité

Concluons sur l’humain

• Instaurez une culture d’entreprise, vos salariés doivent savoir donner l’alerte.
• Équipez votre entreprise, un réel système de protection, pas d’attentisme !
• Équipez vos agents de sécurité. Ce n’est pas une paire de rangers qui l’aidera à vous protéger, donnez lui les moyens d’accomplir sa tâche.

Le front cyber 

Trop souvent oublié, c’est pourtant un accès direct pour paralyser votre production, détourner des fonds, espionner vos communications et voler vos ressources.

Le numérique est omniprésent en entreprise. Que l’entreprise soit de la Tech ou d’un secteur plus classique comme le Bâtiment et Travaux Public (BTP), l’usage de l’informatique est nécessaire selon les besoins et les services d’automatisation (comptabilité, gestion des stocks, des commandes, etc.) avec des degrés de dépendances plus ou moins grands.

Ainsi, elles sont dotées d’un Système d’Information (SI) dont la taille et le niveau de sécurité varie selon son type : TPE, PME-PMI ou grand groupe.

Tout dirigeant prévoyant doit anticiper les éventuels risques qui peuvent impactés sur son entreprise afin de mettre ses salariés et son business en sécurité (à l’abrit des déstabilisations externes) et d’en assurer la pérennité.

Il est évident qu’une entreprise multinationale a plus de chance d’être impactée par une guerre entre deux pays, surtout si l’entreprise à des filiales implantées dans l’un des pays en guerre ou si elle est dépendante économiquement de ces pays.

De plus, le secteur d’activité de votre entreprise peut revetir d’un intérêt capital pour cette guerre : satellite, OSINT, service de cartographie aérienne, communication, média public, ONG, secteur de la défense,… l’un des belligérants peut avoir un intérêt à neutraliser les activités de ces entreprises qui peuvent (de manière indirecte) entraver son action. Exemple : si l’approvisionnement en arme est envisagé par voie maritime, une attaque cyber sur les infrastructures portuaires soit pour une désorganisation du trafic maritime soit en vue de collecter les renseignements sur les navires susceptibles de contenir la cargaison d’arme et les cibler par des frappes.

Suise-je mlagré tout être concerné par des cyber attaques et mon entreprise impactée par cette guerre ?

C’est fort probable

A partir du moment ou votre gouvernement a affiché clairement une position de soutien à l’un des pays en guerre, il expose involontairement ses citoyens et ses entreprises (même sur le territoire national) a des représailles dans le cyberespace. Je dirai même que ces frappes sont d’autant plus faciles qu’une cyber attaque (ciblée ou généralisée) est asymétrique. C’est-à-dire qu’il est très difficile d’apporter avec une grande certitude la preuve de l’origine de l’attaque (son commanditaire). Contrairement à une frappe militaire conventionnelle (un missile par exemple), il est assez facile avec des radars d’identifier le point de départ et l’attribuer à un pays émetteur. Par le passé, le virus NotPetya destiné à cibler les centrales électriques Ukrainienne a débordé sur d’autres pays.

De quels types de cyber attaques parlons-nous ?

Selon l’objectif recherché, le vecteur (la charge) d’attaque peut être différent. Pour provoquer une désorganisation des entreprises un « wiper» destructif (comme HermeticWiper) sera privilégier, un ransomware ou un DDOS total. Pour espionner un service de livraison ou de logistique, des attaques du type rootkit seront plus adaptées. Ce dernier choix est souvent précédé d’une phase de reconnaissance de la cible, identification de vulnérabilités et installation de Remote Access Tools (RAT) pour pouvoir l’activer en temps voulu.

Pour accomplir des opérations spécifiques (ou ciblées) : paralyser une banque, mettre au chômage technique les salariés, ou effacer le registre des stocks, l’action sera porter sur une équipe de Red team (cyber combattants) lançant des attaques actives contre une ou plusieurs cibles en même temps.

Il ne faut pas oublier que parfois, d’autres organisations appartenant à des pays qui n’ont rien à voir dans le conflit, s’y mêlent pour venir lancer des campagnes d’espionnage ou d’exfiltration d’informations. Car c’est le meilleur moment pour valider des codes malveillants dont on a pas eu l’occasion de tester par le passé. Alors on s’entraine par exemple sur une banque Européenne, avec des techniques de rebonds, pour améliorer sa charge, qui elle sera destinée à un autre pays cible. Pendant la guerre, les regards sont tournés vers les méchants, ce qui permet de noyer les tentatives de validation de code malveillant pendant cette période de chaos. Votre entreprise se retrouve paralysée alors qu’elle est juste une plateforme d’essai grandeur nature. Ces cibles sont souvent choisies car elles ont été identifiés comme pas bien protégées et elles ont une architecture de SI assez proche de celui de la cible finale. Par exemple, le réseau informatique d’un hôpital a de forte chance d’être a peut prêt le même dans un autre pays. Les éditeurs de logiciels et de solution destinées aux hôpitaux sont souvent les mêmes sociétés, elles revendent la même architecture pour faire des gains financiers (rework). Pirater le système informatique d’un hôpital permet d’exfiltrer le registre des admissions (si l’on souhaite connaître l’état réel des victimes) ou couper le réseau et l’électricité de l’hôpital pour rendre les blocs opératoires inutilisables (une fois les batteries des onduleurs vides).

Quelle attitude avoir en entreprise pendant cette période de crise ?

Chaque entreprise doit être préparée du mieux possible à faire face à ce type de situation

Une crise cyber en temps de guerre est une situation très sensible et grave. Les entreprises qui ont un bon niveau de maturité en cyber sécurité doivent avoir établi un Plan de Continuité d’Activités (PCA) ou un Plan de Reprise d’Activités (PRA). La conduite à tenir consiste à suivre les processus définit dans ces plans. Pour toutes les autres, il est recommandé de suivre quelques conseils de base :

• Alerter ses salariés sur l’intensification des compagnes de phishing (ne pas ouvrir les mails suspects ou les pièces jointes) même si celles-ci abordent les sujets de l’actualité de la guerre en cours (messages de soutiens, …),
• Les salariés doivent modérer leur propos sur les réseaux sociaux (faire preuve de discrétion) pour ne pas exposer d’avantage leur employeur. Ils doivent garder un esprit critique et varier leurs sources d’information pour ne pas tomber sur les infox qui intoxiques l’esprit des salariés baissant par la même occasion leur niveau de productivités,
• Toutes clés USB n’appartenant pas à votre entreprise doit être considérée comme dangereuse elle ne doit surtout pas être utilisée sur vos postes informatiques. Dans tous les cas, ces clés doivent être passées au SAS anti-virus (si votre entreprise en possède un) sinon confier ce média suspect au service informatique de votre entreprise qui se chargera de l’inspecter,
• En cas de travail à distance, l’utilisation de solution type VPN est indispensable pour protéger vos communications et réduire la surface d’attaque de votre entreprise,
• Accentuer votre vigilance sur vos biens sensibles numériques, particulièrement en temps de guerre (services hébergés dans le cloud, base de données distantes, services externalisés : messagerie, commerce en ligne, service bancaires, …),
• En cas d’attaques massives et soutenues : et si votre activité le permet (non dépendante d’internet), débrancher totalement vos systèmes d’informations du réseau internet, le temps d’un pseudo retour à la normal,
• Les dirigeants doivent envisager la crise sur la durée et ne pas réfléchir sur une courte période. Cela implique l’identification d’un mode de travail dégradé pour les salariés en cas d’aggravation de la situation (papier et stylot). Il faut également anticiper la charge de travail sur vos équipes de sécurité informatique qui peuvent s’écrouler si la durée de la crise s’éternise. Ils ne pourront pas rester en tension constante, des solutions de relève, sous-traitances, voir des demandes d’aide à des associations spécialisées en cyber-sécurité peuvent être des solutions à envisager
• Enfin, et en cas de sinistre informatique (attaque avérée sur votre SI), il faut immédiatement alerter les autorités compétentes qui vous apporteront l’aide nécessaire et prendre les premières mesures conservatoires.

Dans un premier temps, comment peut-on résumer l’intérêt de l’intelligence économique ?

C’est disposer des informations nécessaires pour agir en conséquence. Pour ce faire, il faut réaliser un travail de collecte, de croisement, de trie et d’analyse des données sur les sujets cibles.

Cependant, cette discipline et bien souvent cloîtrée dans une perception d’analyse des acteurs concurrentiels sur des marchés économiques. C’est donc se limiter dans l’efficacité de l’usage de l’intelligence économique.

Nous allons donc, ici, essayer de tirer les grandes lignes d’un usage plus vaste et pertinent pour des entreprises :

La veille constante 

Afin d’avoir une connaissance de l’environnement dans lequel une société évolue il faut réaliser une veille constante sur des enjeux ciblés. Il est absolument nécessaire de cadrer une mission de veille sinon le risque est de se perdre.

Ne demandez jamais à un analyste d’appréhender des enjeux à l’échelle mondiale avec quelques mots clés. Vous allez avoir des informations floues et non pertinentes. L’analyste se perdra dans les données et ne pourra pas cibler de manière pertinente les problématiques. On cible donc : thématique, région du monde, enjeux, personnes, secteur cible.

Le monde est, avec la mondialisation, un immense village. Nos sociétés commercent constamment avec des entreprises étrangères qui sont soumises à des législations différentes et qui évoluent dans des régimes politiques qui ne sont pas forcément des démocraties ouvertes.

Aussi, avant de s’implanter dans une région du monde ou de commercer avec des acteurs internationaux il est nécessaire d’appréhender les enjeux et les risques locaux. Quel type de régime politique avons-nous en face ? Quel est le niveau de corruption des institutions publiques ? Quel est le niveau de sécurité physique ? Le régime est-il stable ? Quelle est la sociologie du territoire (notamment sur les pays du continent africain qui ont des frontières coloniales).

Si vous prenez connaissance ne serait-ce que de ces quelques éléments vous pouvez déjà évaluer les risques / opportunités de vous développer avec des entreprises de ce territoire ou de vous y implanter.

Veille sécuritaire

La sécurité est un élément bien souvent oublié. Elle peut être sur les infrastructures d’une société, les risques de vols (matériels ou immatériels) comme sur les personnes.

Si vous vous implantez / commercez avec des territoires internationaux, il est vital de comprendre les menaces sécuritaires qui peuvent vous entourer. Vous avez l’obligation de sécuriser à la fois le lieu de travail et l’intégrité de vos employés.

Une fois la veille réalisée sur les thématiques que vous désirez vous pouvez évaluer les risques qui pèsent sur vous et votre entreprise.

Il convient alors de mesurer le risque selon deux facteurs :

• La probabilité qu’il arrive.
• Les conséquences que cela peut produire.

Vous hiérarchisez alors les menaces et vous vous devez de préparer des stratégies pour y faire face. Être pris par surprise en raison d’un risque engendre le chaos, l’affolement et donc des réactions qui peuvent empirer la situation de crise. Vous devez vous préparez même au pire.

L’intelligence économique est une émulation des compétences.

Ne pensez pas qu’une personne dispose du savoir nécessaire pour appréhender les enjeux. Il faut des profils différents : des économistes, des sociologues, des experts en imagerie etc… Cela dépend des thématiques que vous abordez mais cela demande des personnes aux compétences variées pour mettre le doigt sur des données stratégiques.

Une personne ne peut pas disposer d’un panel d’expertise trop large. Il va avoir ses thématiques de prédilections mais elle ne pourra pas disposer à elle seule de connaissances pointues pour faire face aux différents enjeux.

Si vous composez une équipe d’intelligence économique pour réaliser de la veille, recrutez des profils variés aux compétences complémentaires pour articuler le savoir et produire des analyses.

Hiérarchie de la sécurité

Une leçon de management doit être faite.

Je suis un partisan du management transversal, horizontal, anglo-saxon etc… Cependant il est bien naïf de penser que des systèmes innovants et modernes fonctionnant dans des Start Up ou des services de com’ sont applicables stricto sensu à la sécurité privée.

A même niveau, la hiérarchie rigoriste de la grande muette n’est pas, elle non plus, applicable.

Pour régler le problème il faut composer. Créer une horizontalité dans l’équipe qui fonctionne avec une hiérarchie pyramidale.

Pourquoi ?

Parce que nous œuvrons dans le risque permanent, la transversalité de la hiérarchie est importante au niveau de l’échelon équipe pour travailler en confiance et sereinement. Pour la même raison, la hiérarchie pyramidale est importante afin de bien cloisonner des décisions parfois cruciales et lourdes de conséquences en identifiant bien les différents décisionnaires.

Un risque oublié, le NRBC.

Nucléaire, Radiologique, Biologique, Chimique.

Un domaine trop oublié et pourtant omniprésent. Un risque qui faisait pourtant parti du quotidien de la guerre froide, un vecteur de communication et de propagande des deux blocs, et qui se rappelle à nous sous la forme du risque d’un nouvel Hiroshima et le déploiement de bombes nucléaires toujours plus forte.

Pourtant, si le sujet ici n’est pas de parler de l’impact d’une bombe nucléaire sur votre entreprise, il est toutefois intéressant de parler des autres lettres du NRBC qui ne sont, elles, pas assez mises en évidence dans le cas de conflit.

Plus petites, plus artisanales, ces méthodes sont néanmoins toute aussi efficaces pour mener à bien une déstabilisation, le but reste néanmoins clair, ici pas de déstabilisation par le chômage technique ou la perte de données. Ici, on tue vos salariés et vous même. L’effet pour l’entreprise reste le même, on est déstabilisé, le coût humain en revanche est non quantifiable.

Radiologique

C’est la bombe sale, ici ce n’est pas le blast de la bombe qui est recherché, mais la dispersion d’ondes radioactives.

C’est un outil faisable de façon artisanale pour peu que l’on en connaisse la recette et sa source d’approvisionnement. Le risque est donc réel, dans le cas d’un site stratégique notamment, de voir un loup solitaire armé d’un petit aérosol ou d’une petite bombe artisanale venir répandre son poison dans vos locaux.

Cette bombe a l’avantage d’être détectable avant son action, grâce à des portiques de détection. Ils n’empêcheront pas son usage, mais vous permettront d’adopter les bons réflexes et d’éviter des contaminations supplémentaires.

Biologique

C’est la contamination par l’utilisation de souches biologiques, notamment de souches virales.

C’est une utilisation historique qui peut être, aujourd’hui, mise en oeuvre par des moyens moderne.

Il est très difficile de sourcer cette menace, notamment parce que si l’on peut retracer le vol de souches virales, on ne peut pas savoir où et quand elles frappent. Une bombe qui explose 6J plus tard n’importe où dans le monde ne sera pas forcément détectée comme bombe biologique, pourrait pourtant l’être. C’est une action qui, tant qu’elle n’est pas revendiquée, est extrêmement difficile à détecter.

Nous avons cependant un exemple historique (certes très lointain) de l’utilisation de d’arme biologique dans le monde.

Lors du siège de Sebastopol par les mongols, des cadavres de pestiférés étaient catapultés dans la ville pour créer une épidémie. Les marchands Génois et Vénitiens ont fui par bateau ramenant avec eux ce qui sera l’épidémie de peste noire.

Dans cet exemple on peut constater l’impact que peut avoir l’utilisation d’une bombe biologique sur le plan sanitaire et moral. Bien que cet exemple ne puisse être représentatif du risque actuel, il est néanmoins intéressant de comprendre que son utilisation est possible et désastreuse.

Chimique 

C’est l’emploi de bombe contenant des « poisons » parfois artisanaux : Gaz sarin, Ypérite, agent VX. Des noms que nous connaissons tant ils ont fait parler d’eux (métro de Tokyo, assassinat de Kim Jong Nam, etc…)

Comprendre le risque

Encore une fois, que le risque soit chimique, radiologique ou bactériologique, ce sont des procédés utilisables par des groupes ou des activistes isolés dans le but de déstabiliser une entreprise ou l’opinion publique. Leur usage n’est pas ou peu détectable avant leur mise en action, et lorsqu’il l’est, c’est généralement trop tard. Alors comment s’en protéger ?

On peut limiter les dégâts et faire de la prévention pour intervenir en toute sécurité.

Votre organisation de contrôle d’accès se doit d’être irréprochable et de remonter toute activité suspecte (quelqu’un de louche avec une bouteille de vin ou d’eau peu contenir du VX par exemple). Le risque sera cantonné à l’entrée du site, voir idéalement dans un sas d’entrée.

Enfin traiter une explosion comme une possible contamination. Lors de l’intervention des secouristes, le minimum serait de se protéger les mains ou le nez en prévention, avec de l’équipement filtrant et isolant. Ensuite le message à passer aux services de secours doit être clair, et laisser entrevoir une possibilité d’attaque NRBC.

L’IEM

Je profite de ce chapitre pour parler de l’IEM qui a fait les gros titre, cette bombe jamais utilisée entre dans le N de NRBC, seul lettre que nous n’ayons pas vu plus haut.

Son objectif contrairement aux autres points vu précédemment n’est pas la mort, ni la dévastation comme peut le faire une bombe nucléaire « traditionnelle », mais la désorganisation d’une zone pour un temps, non quantifiable (mais parler d’une perte technologique d’un siècle n’est pas stupide).

En explosant à très haute altitude, cette bombe créé une onde électro-magnétique qui vient détruire les composants électroniques. Votre voiture, votre TV, le service IT de votre entreprise, le système électronique d’une centrale nucléaire, etc…

Pour faire simple, l’entreprise devient une cible. Ses salariés, ses dirigeants, ses actifs, son intérêt stratégique, ses secrets, sa représentation publique etc… Vous n’êtes plus sujet aux larcins, à l’hypothèse d’un ex-salarié revanchard, ou à la criminalité habituelle.

Vous êtes une cible de guerre. Pas au sens d’une cible militaire, personne n’ira délibérément cibler votre entreprise avec un missile on ne parle pas de ça (sauf si vous travaillez pour l’armement c’est autre chose). Non, on parle d’une cible de guerre pour la désorganisation, l’espionnage, le vol, le terrorisme.

L’ensemble des conseils de cet article sont valables en tout temps, et notamment depuis l’activation de Vigipirate et son renforcement post-attentat de 2015.

Il n’est pas question ici de vous doter de sacs de sable et de miradors, il est question ici de comprendre quel est le rôle habituel de la sécurité privée, comment s’en servir à bon escient pour maximiser son efficacité par rapport à son coût, et comprendre qu’en temps de guerre le curseur doit être monté proportionnellement aux risques, et en général celui-ci doit être monté au maximum.

Le risque et sa gestion

Il faut anticiper et prévoir. Les services de veilles doivent vous alerter d’un risque, sa nature et ses actions possibles. Vos équipes opérationnelles doivent ensuite pouvoir traiter ces rapports de veilles pour diriger leur surveillance, voire renforcer les effectifs.

Dans toute guerre il faut une stratégie et afin de pouvoir en élaborer une, il faut en premier lieu effectuer une analyse des risques et des vulnérabilités tant sur le plan sûreté que sécurité, sur site comme au dehors.

Cependant, le meilleur moyen de se tenir prêt… c’est de se former, pas uniquement de s’informer. A ce titre vous devez veiller à ce que l’ensemble de vos collaborateurs soient instruits de l’ensemble des procédures d’urgences et de leurs mises à jour.

Nous l’avons vu plus haut, la prévention passe d’abord par la culture sécurité.

Les moyens 

Humains et électroniques, si pendant longtemps les deux ont été mis en confrontation, nous voyons qu’ici ils doivent fonctionner de paire. C’est l’humain qui interprète les données de votre portique de sécurité, qui pilote votre caméra, qui intervient lors d’une intrusion, ou qui patch votre IT.

Vos services, humains et technologiques, doivent être équipés en conséquence.

L’organisation

POI et PCA. Plan Opérationnel d’Intervention et Plan de Continuité d’Activité. Si le second a été mis sur le devant pendant l’épidémie de COVID et notamment durant les premiers confinements pour répondre à la question « Comment maintenir mon activité quand il n’y ni livraison ni salarié ? ». Le premier est pour le coup plus obscur et revêt généralement plus un caractère obligatoire vis à vis de la réglementation qu’une réelle prise de conscience du risque.

Pour autant tout les risques doivent être traités, avec l’intensité qui leur est propre certes, mais aucun ne doit être oublié.

Votre POI, initialement prévu pour le risque incendie ou le déversement de produits dangereux accidentellement, doit être décliné pour vos risques de sûreté en reprenant avec des experts l’ensemble des risques auquel vous êtes soumis, et en graduant leur intensité.

Comment anticiper la menace, comment intervenir, quelle structure donner à mes services d’intervention, comment reprendre l’activité, comment communiquer à ce sujet, etc…

Ce sont ici les éléments auxquels doivent répondre POI et PCA.

Conclusion

La recrudescence de conflits « conventionnels » depuis les années 2000 mais néanmoins lointains nous a fait prendre en compte le risque terroriste sur notre territoire, et pourtant jusqu’en 2015 les moyens privés n’étaient que trop peu mis en avant pour contrer cette menace, laissant aux services d’ordre de l’état le soin de gérer la prévention et l’intervention.

Le conflit actuel en Ukraine, conflit conventionnel de haute intensité aux portes de l’Europe nous rappelle que la paix n’est jamais acquise.

L’objectif ici n’est pas de faire prendre les armes ou d’envisager la militarisation de la société, mais bien de rappeler à tous (et notamment aux entreprises) que des risques existent, et que si ceux-ci n’ont pas été d’actualité depuis plusieurs décennies, il n’ont pas pour autant disparu.

Protéger son entreprise c’est protéger sa production, son investissement, des moyens utiles à l’état et aux citoyens, mais aussi et surtout protéger vos salariés.

« Cet article est une présentation de l’éventail des dispositifs de sécurité privée, il se veut volontairement généraliste pour permettre aux experts de reprendre leurs sujets dans le fond pour ceux qui se montreront intéressés. L’objectif est aussi de ne pas rendre l’article plus long qu’il ne l’est déjà. »

Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais être en péril. Qui ne connaît pas l’autre mais se connaît lui-même, pour chaque victoire, connaîtra une défaite

Sun Tzu, l’art de la guerre

Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux

Sun Tzu, l’art de la guerre

Crédit et remerciement

Nidhal Ben Aloui pour la rédaction du chapitre cyber sécurité

Loic Sauvaget pour les informations sur les ESSD et la protection rapprochée

Henri Petry pour les informations sur la gestion de crise, la protection rapprochée et les ESSD

Yann Paris pour la rédaction du chapitre géopolitique et veille économique

Claude Lefebvre pour les informations sur le champs NRBC

Oz Znamirowski pour la relecture et les conseils

Moi-même sur les parties concernant la sécurité privée et sa structuration, ainsi qu’à la rédaction et l’imagerie.

A l’ADESS, dont je fais parti, et son président pour les mises en relation et la qualité du réseau.

Notre presence au salon de Préventica Lyon du 22 au 24 Juin 2021 avec nos partenaires ADMS et la FFSP.

Nous serons aussi présent prochainement à Paris du 30 Novembre au 2 Décembre avec Préventica. 

La Sûreté économique et la protection des informations sont des notions qui, en France, ne sont pas encore d’un usage courant alors que dans les pays anglo-saxons ou asiatiques, elles font partie de la boîte à outils du chef d’entreprise et une philosophie comportementale et technique de tous les instants. Ce Webinaire vulgarise dans un premier temps cette thématique et aborde en surface les contre-mesures à adopter.