L’attentat contre le site de Saint-Quentin-Fallavier (Isère) le 26 juin 2015, les deux explosions criminelles survenues sur le site pétrochimique de Berre-l’Étang (Bouches-du-Rhône) le 14 juillet 2015, sont autant d’accidents regrettables qu’ils doivent faire prendre conscience du rôle central de la prévention des risques liés à la sûreté en entreprise. Par où commencer ? Que dit la règlementation à ce sujet ? Petit tour d’horizon…
Sûreté ou sécurité ?
La SECURITE consiste à mettre en œuvre des moyens afin de prévenir les défaillances humaines et techniques (sprinkler, plans de circulation, exercices d’évacuation, …). La SURETE, en revanche, a pour objectif de prévenir les actes de malveillance délibérés (attentats, intrusions, occupations des locaux, espionnage industriel, cyberattaques, vols de biens, kidnappings, vandalismes, agressions verbales et physiques…).
Toute entreprise, quel que soit son activité ou sa taille, est potentiellement une cible d’acte de malveillance.
La sûreté en entreprise qui a pour objectif de garantir sa pérennité et la protection de ses collaborateurs, est un véritable enjeu pour les chefs d’entreprise. Il devient en effet essentiel de mettre en place un dispositif de management des risques sûreté visant à réduire les menaces et les actes de malveillance.
Les systèmes de management des risques sûreté en entreprise
Ainsi, au même titre que l’évaluation des risques sécurité, c’est le rôle de chaque entreprise d’identifier les besoins en sûreté et d’évaluer les menaces internes et externes, de développer des politiques, des plans, des procédures et des moyens de protections afin de pouvoir maîtriser ces menaces.
Quels sont les intérêts d’une telle politique de sûreté en entreprises ?
1- La protection de leurs collaborateurs ;
2- La protection de leurs données et de leur image de marque ;
3- La protection de l’environnement (pollutions de l’air, de l’eau, …).
Quels sont les points essentiels pour la mise en œuvre d’un système de management des risques ?
1- Réaliser une évaluation des risques : quelles sont les cibles de mon entreprise ? quels sont les scénarios de malveillance potentiels ?…
2- Déployer des moyens de protections : moyens humains (ex. : gardiennage), technique (ex : vidéosurveillance), procédures, information et formation du personnel, exercices de confinement, …
3- Assurer une veille sûreté permanente et contrôler régulièrement les moyens de protection mis en place.
Quels sont les chiffres de la sûreté ?
Selon le “Traité Pratique de Sûreté Malveillance” du CNPP (2018) :
77% des accidents liés à la malveillance se caractérise par un incendie ;
7 816 vols de métaux ont été recensés en 2015, en France ;
67% des entreprises en 2018 ont été touchés par un « évènements cyber »
Sûreté en entreprise : que dit la réglementation ?
La Norme
Contrairement à la sécurité, la sûreté en entreprise n’est pas encore normée… mais cela devrait très prochainement changer avec le projet de norme managériale ISO 22342 sur le plan de sûreté.
Le Code du Travail
Ce dernier encadre les moyens à mettre en œuvre, par les entreprises, dans le cadre de l’obligation de sécurité et de sûreté des employés (article L. 4121-1 du Code du travail).
Le Code pénal
Si un employeur ne respecte pas son devoir de protection en manquant au respect des règles de sûreté et de sécurité relevant du Code du travail et que ce manquement cause un préjudice, il peut s’exposer à des sanctions pénales (amendes et peines d’emprisonnement).
Dans le cas des sites Seveso
La réglementation concernant la protection les sites classées Seveso est plus précise, notamment, avec l’accord du 18 juillet 2016, relatif à la santé, à l’amélioration des conditions de travail, à la sécurité et à la sûreté, qui aborde la notion de « dossier de sûreté » que toutes entreprises extérieures prestataires de sites classés Seveso devront fournir.
Pour aller plus loin nous vous conseillons de consulter le “Guide pour la protection des sites Seveso et des sites industriels sensibles du CICS (Conseil des Industries de la Confiance et de la Sécurité)“
Dans le cas des cyberattaques
Pour y faire face, la réglementation a mis en place une organisation qui regroupe les opérateurs d’importance vitale (OIV), privés ou publics.
Ce sont les opérateurs qui de part leur activité et en cas de cyberattaque mettrait en péril les habitants ou paralyserait la France (exemples : activité tels que la santé, l’eau, l’électricité et le gaz, l’alimentation, les hydrocarbures, les transports, les télécommunications, l’industrie, la finance, le nucléaire, …).
Si une entreprise fait partie des OIV, elle est informée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et doit donc répondre à des obligations en termes matière de sécurité informatique.
Par ailleurs, l’article 22 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013), impose aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV).
Face aux multiples menaces de malveillances auxquelles font face les entreprises, il devient donc important d’anticiper et de maîtriser les risques de malveillance afin d’en limiter les conséquences. Au même titre que la sécurité, les entreprises doivent mettre en place une organisation permettant de prévenir les risques de sûreté en entreprise.