70 ans de regards sur les risques opérationnels - Sûreté

À l’occasion de ses 70 ans, CNPP partage, à travers cette série d’articles, ses regards d’experts sur les grands domaines de risques qu’il couvre. Une lecture fondée sur l’expérience du terrain et l’évolution des pratiques, pour éclairer les décisions auxquelles sont confrontées les organisations aujourd’hui.

Contrairement à l'incendie ou aux risques naturels, le risque de malveillance est le fruit d’une intention. Il pense, s’adapte et contourne les défenses. En 70 ans, sa nature a radicalement changé, passant du vol opportuniste ou du risque de braquage à des attaques hybrides complexes. Aujourd’hui, la fonction sûreté est à un carrefour : reconnue comme un maillon essentiel de la résilience, elle doit composer avec des menaces plus variées, des exigences réglementaires croissantes et des angles morts qui bousculent les certitudes. Pour les organisations, le défi n'est plus seulement de protéger un périmètre, mais de piloter une fonction encore en transition vers sa pleine maturité.

Si les menaces spectaculaires comme le terrorisme ou la cybercriminalité restent présentes, certaines autres priorités apparaissent clairement. Premier constat attendu : les cyberattaques dominent le classement, perçues comme un risque systémique. Mais deux résultats surprennent et témoignent de l'ancrage des tensions sociales dans le quotidien des organisations :

• Les incivilités, révélant la nécessité de mieux protéger les personnels en contact avec le public.
• Les dégradations volontaires et actes de sabotage ont longtemps été sous-estimés ; ils sont désormais vus comme un facteur majeur de désorganisation.

Le changement le plus profond vient des auteurs. Si les cybercriminels sont logiquement en tête, la vraie surprise réside dans la place du personnel interne, cité comme un nouveau point de vigilance. Négligence, vol, fraude ou sabotage : l'interne apparaît comme une source de vulnérabilité majeure et transversale à tous les secteurs. Ces "angles morts" – menaces internes, dégradations, incivilités – ne sont plus des irritants mineurs, mais des menaces structurantes.

Face à cette nouvelle donne, la sûreté n'est plus une fonction support mais une composante stratégique de la résilience. Preuve en est, un responsable sûreté sur deux avait un projet d’investissement en sûreté en 2025 (vidéoprotection, contrôle d’accès, détection intrusion). Cette dynamique est portée par des impacts qui touchent l'organisation au cœur, mais aussi par une complexité de gouvernance accrue. La fonction navigue souvent entre une direction corporate et le chef d’établissement, dans des organisations matricielles qui complexifient la décision.

La sûreté est également encadrée par un cadre juridique qui s’est fortement densifié. D'une démarche largement volontaire il y a 70 ans, nous sommes passés à un arsenal réglementaire qui s'impose à tous : loi de 1983 sur la sécurité privée, dispositif SAIV pour les OIV en 2013, PSE (2016) pour les hôpitaux, audits de vulnérabilité malveillance des sites Seveso (2015) ... La conformité n'est plus une option, mais une obligation complexe engageant la responsabilité des dirigeants.

La pluralité des référentiels utilisés, parmi lesquels ceux de CNPP, comme la méthodologie 6011 ou le système de management de la sûreté 1302, mais aussi les normes ISO 27001 (créé en 2005) ou la norme ISO 22340 (2022) et suivantes, montre que la sûreté est devenue une discipline transversale, mais que son application reste souvent plus inspirante qu'opérationnelle. Le nombre d’organisations ayant formalisé une analyse de vulnérabilité et un système de management de la sûreté reste embryonnaire. Citons aussi la professionnalisation de la sécurité privée, portée d’abord par la loi de 1983, puis par la création du CQP APS à partir de 2006 et la création du CNAPS au 1er janvier 2012. 

Notre légitimité s'est construite en répondant aux attentes fondamentales du marché : la qualité de la réponse, l'expérience du consultant et le rapport qualité/prix. Notre positionnement repose sur la maîtrise du continuum de la sûreté.

En parallèle, la technologie a bouleversé les pratiques. Du contrôle d'accès biométrique à la vidéoprotection enrichie par l'IA, en passant par les brouillards opacifiants ou l'hypervision, l'innovation est constante. Suivre activement cette course technologique est au cœur de notre mission. À travers nos laboratoires, nous testons la résistance de ces solutions. Notre activité de certification de produits, via la marque A2P, et de certification de services, via la marque APSAD, offre un repère de confiance sur leur performance réelle, transformant les normes en outils opérationnels. Nos formations et missions de conseil intègrent en permanence ces innovations pour garantir une réponse pertinente face à la menace, notamment face aux scénarios hybrides où cyber et physique s'entremêlent.

Si beaucoup d'actions sont internalisées, les missions complexes comme l'Assistance à Maîtrise d’Ouvrage (AMO), la gestion de crise ou la veille technologique sont volontiers confiées à des experts externes. Notre logique d'intervention est donc de construire une réponse experte et pragmatique, en se concentrant sur les conditions de succès d'une mission : l'écoute, une gestion de projet rigoureuse et la qualité des livrables.

• Décider & concevoir (conseil et AMO) : les projets d'investissement annoncés confirment la recherche d'un équilibre. D'un côté, le triptyque technologique (contrôle d’accès, vidéo, intrusion) reste prioritaire ; de l'autre, la montée en puissance de définition de doctrine sûreté au sein de grands groupes, l’avènement des systèmes de management et des schémas directeurs de sûreté avec des scenarii malveillance variés traduit un besoin de structuration organisationnelle. Notre rôle est d'aider à trouver le juste équilibre entre ces deux approches.
• Agir & mettre en œuvre : notre activité de certification apporte un gage de confiance. Parallèlement, nos parcours de formation managériale, opérationnelle et technologique assurent que les équipes disposent des compétences comportementales (gestion des incivilités, culture sûreté, cursus manager des risques sûreté) et techniques nécessaires pour gérer ces nouvelles formes de malveillance.

La fonction sûreté reste une fonction en transition, marquée par un paradoxe : une conscience aiguë des menaces, mais des dispositifs qui peinent encore à couvrir les angles morts que sont la menace interne, la sécurité de l‘information, les dégradations et les incivilités. Pour les professionnels, c’est un signal fort : il est temps d’investir dans la gestion des menaces hybrides et de renforcer la culture de sûreté en interne.

La sûreté est passée de la protection périmétrique et volumétrique à la gestion globale des risques. Le défi n'est plus seulement de construire des murs contre un ennemi extérieur, mais aussi de bâtir une culture de vigilance et de résilience face à des menaces qui peuvent naître au sein même de l'organisation. 

La maturité viendra de trois évolutions clés : une convergence accrue avec la cybersécurité, une formalisation renforcée des systèmes de management, et une meilleure prise en charge de ces angles morts. 

Pour les professionnels de la sûreté, c'est un défi autant qu'une opportunité : transformer une fonction encore fragmentée en véritable pilier de la résilience organisationnelle. CNPP est là pour les accompagner.