En sûreté-sécurité des lieux de travail, bien des directions générales souhaiteraient disposer d'indicateurs clé de la performance. Un vœu pieu ? Panorama des avis en la matière.
Contrôle d’accès, détection périmétrique, vidéosurveillance, biométrie, interphonie, drones… Certaines de ces composantes du système de sûreté-sécurité (SSS) des lieux de travail affichent des performances mesurables, voire normées. Mais qu’en est-il du SSS dans son ensemble ? Comment s’assurer de sa performance ? Et surtout, comment la mesurer ? « Ces question se posent aujourd’hui car les entreprises ont l’obligation d’assurer la sécurité au sein de leur entreprise. Or la menace est forte sur fond de terrorisme, espionnage industriel, malveillance interne, cyberattaques, explique Vincent Dupart, directeur général de STid, spécialiste français de l’identification sans contact. Dans ce contexte mesurer la performance de la sécurité est synonyme de vouloir atteindre un certain niveau de sécurité. »
Pas d’indicateur universel
Cependant, il est plus facile de mesurer la performance d’un système informatique de gestion de la relation client (GRC) que celle d’un SSS. « La sûreté et la sécurité sont toujours vues par les directions générales comme des centres de coûts. Résultat, personne ne saura combien rapportent les budgets demandés par le directeur de la sécurité. Jusqu’au jour où il y a un incident majeur, soulève Guillaume Farde, directeur associé et directeur général d’Althings Sécurité et Intelligence (groupe Spallian). D’où la difficulté à estimer la performance d’un système de sûreté-sécurité. En effet, que signifie le »zéro incident » ? Et lorsque l’entreprise y parvient, on peut rétorquer au directeur de la sécurité que l’environnement a été favorable. Ensuite, il existe autant de configurations de SSS que de sites. » L’indispensable diagnostic de la menace
Morale de l’histoire : entre une banque, une administration, un immeuble de bureaux, un hypermarché ou un musée, la mesure de la performance de la sécurité (MPS) ne s’établira qu’au cas par cas. Il n’y aura donc pas d’indice universel à mesurer. En majorité, les fournisseurs de SSS et les entreprises privées de sécurité le savent bien : les acheteurs de systèmes ou de prestations de sécurité ont un défaut général de connaissance en sécurité. Il leur est difficile d’apprécier la valeur technique d’une offre. Par ailleurs, leurs critères vont d’abord porter sur le prix. « Ils vont être tentés de sacrifier la sûreté-sécurité sur l’autel du prix. La performance devient alors très accessoire car la politique de sécurité est un moyen et non une fin en soi », reprend Guillaume Farde. Une chose est sûre : l’acheteur ou la direction générale ont besoin de s’appuyer sur un directeur de sécurité ou un professionnel externe lorsque l’entreprise est trop petite. Au travers d’un diagnostic des risques, ce dernier établira l’identification des failles de sécurité, proposera des mesures correctives, il les chiffrera et rédigera la partie technique d’un cahier des charges, analysera les offres, suivra les chantiers de mise en place des solutions pour vérifier que ce qui est installé est cohérent avec ce qui a été conçu.
Décloisonner la sécurité de ses silos
« Les SSS se constituent de trois composantes majeures qui, hélas, s’ignorent : l’aspect physique et matériel (équipements, câbles, antenne WiFi…), les logiciels et la dimension humaine », insiste Dominique Legrand, président de l’Association nationale de la vidéoprotection (AN2V). Ces trois composantes peuvent faire l’objet de multitudes d’attaques. « C‘est culturel : les uns ignorent et méprisent les autres. Un informaticien connaîtra IPV6 sur le bout des doigts mais pas la hauteur qu’il faut donner au grillage de protection périmétrique. C’est le directeur de la sécurité qui doit donner cette cohérence mais est-il informaticien ? Pas sûr, c’est souvent un ancien gendarme, remarque Dominique Legrand. Une faille d’autant plus gênante que, s’il existe de précieuses méthodologies développées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), celles-ci portent surtout sur le plan cyber mais pas suffisamment sur les dimensions physiques ou organisationnelles. »
A cet égard, le, président de l’AN2V met en garde : « Les risques ne s’ajoutent pas, ils se multiplient et les délinquants ont toujours une longueur d’avance. Ainsi personne ne sait si l’installateur de SSS a fait ou pas un stage de trois mois chez Daech. Pour cette raison, avec, notamment, le CICS et le syndicat Sûreté, vidéoprotection et détection incendie (SVDI), l’AN2V veut ré-ouvrir le débat sur les bureaux d’études et les installateurs qui auraient besoin d’une carte professionnelle délivrée par le Conseil national des activités privées de sécurité (CNAPS). »
Manque de »KPI »
En attendant, certains professionnels se plaignent de ce que les bureaux d’audit en sécurité-sûreté ne soient pas capables de mesurer la performance des SSS. « Du coup, il n’y a pas dévaluation. Certes, il y a un projet de loi qui va étendre les critères de performance dans la partie Obligation fonctionnelle des installations de systèmes de vidéosurveillance. Mais personne n’ira les vérifier car il n’y a aucun organisme d’évaluation ni de certificateur pour l’installation des SSS, indique Philippe Bénard, ingénieur avant-vente chez Axis Communications. En revanche, pour les opérateurs d’importance vitale (OIV), il existe des organismes d’évaluation qui vont mettre à l’épreuve les SSS afin d’en garantir l’efficacité. Néanmoins, aujourd’hui, il n’y a pas de transfert de bonnes pratiques des OIV vers les autres entreprises. »
Faute de »metrics », c’est-à-dire d’indicateurs clé de la performance [Key Performance Indicators (KPI], chacun »bricole » des théories ou des méthodologies dans son coin. « Pour moi, les indicateurs de la performance, ce sont les dysfonctionnements lorsqu’on peut les mesurer, détaille Cyril Hourtoule, directeur commercial chez Guidotti, Société française indépendante qui fabrique des systèmes de verrouillage électrique. Si l’on ne constate aucun dysfonctionnement car l’analyse de risque, l’installation, la prise en compte de l’organisation, l’extrapolation des comportements futurs conduisent à zéro panne et zéro défaut, tout va bien. Mais dès qu’il y a un dysfonctionnement, la performance est dégradée. »
Certes, il est possible de mesurer tout un tas de choses : en combien de temps telle personne quittant l’entreprise aura-t-elle ses droits d’accès supprimés, détecter le nombre d’actions de vandalisme ou des tentatives d’intrusion, le nombre de badgeages (même virtuels), de fermetures de portes, la satisfaction des utilisateurs… « Mais à un moment donné, estime Fabrice Moscheni, directeur commercial chez Fastcom Technology, un concepteur-ensemblier suisse de solutions de sûreté-sécurité, il faudra sortir de l’idée que la sécurité se mesure comme un investissement productif. »
Erick Haehnsen
Commentez