Le plan de sûreté, partie incontournable du système de management
Partie incontournable d’un système de management, le plan de sûreté ou schéma directeur de mise en sûreté, est l’aboutissement d’un diagnostic ou d’une analyse de risque et de vulnérabilité elle-même encadrée par le référentiel CNPP 6011. Il vient répondre aux vulnérabilités et aux non-conformités identifiées pour les réduire ou les résorber.
Jugé comme essentiel aux entreprises de toutes tailles, ce plan de traitement des vulnérabilités a donné lieu à une campagne d'enquête réalisée par France Assureurs en 2007. Ces études ont révélées qu'une part importante des organisations n'avaient pas établi de plan de sûreté ou que celui en place ne couvrait pas efficacement toutes les vulnérabilités auxquelles elles étaient soumises.
L'évolution constatée du nombre d'actes malveillants envers les entreprises et les collectivités ainsi que leur caractère hétérogène devrait cependant pousser les dirigeants et les responsables de la sûreté de ces établissements à intégrer et adopter une réelle politique de prévention des risques.
Le plan de sûreté, un maillon fondamental d'une politique de gestion des risques performante
Récemment consacré dans la norme ISO 22342 publiée par AFNOR, le plan de sûreté est également décrit dans le référentiel CNPP 1302 avec pour objectif d’assurer une maîtrise opérationnelle des risques de sûreté.
Il est attendu de ce plan qu’il détermine les moyens (technique, organisationnel et humains) permettant la maîtrise des enjeux principaux en matière de sûreté. En fonction des moyens alloués, une priorisation des actions peut être définie.
En fonction de la taille de l’organisation, ce plan peut être unique et global ou spécifique par domaine de risque sûreté.
La réglementation et les normes qui régissent le plan de sûreté
Ce plan d’actions qui a pour vocation de répondre et de faire face aux vulnérabilités identifiées préalablement dans la phase d’identification des menaces n’est pas considéré par les entreprises et organismes de certification comme étant un élément subsidiaire. Au contraire, le plan de sûreté est une thématique largement traitée par les institutions nationales lorsqu’il s’applique aux Opérateurs d’Importance Vitale (OIV) mais est également encadré par l’AFNOR.
Le plan de sécurité type des opérateurs d'importance vitale
Dans son architecture, nous pouvons préconiser, à titre d’exemple, la répartition suivante selon l’arrêté du 2 juillet 2018 portant approbation du plan type des plans de sécurité d’opérateurs d’importance vitale :
- Les mesures permanentes de vigilance, de prévention, de protection et de réaction,
- Les mesures spécifiques temporaires et graduées de vigilance, de prévention, de protection et de réaction selon l’évolution des menaces et le suivi des indicateurs de sûreté,
- Le développement de dispositions particulières liées aux plans de crise, de continuité d’activité, de sécurité informatique, etc…
La norme dédiée au plan de sûreté
La norme ISO 22342:2023 quant à elle, donne des lignes directrices et établit 3 grandes parties au plan de traitement des vulnérabilités :
- Gouvernance
- Management du risque
- Contrôles de sûreté
Adaptée à tous les types et tailles d'organisation, cette norme donne des directives pour la création et la mise à jour de plans de sûreté cohérent.
Cependant, elle ne propose pas de critères spécifiques pour déterminer la nécessité d'implémenter ou d'améliorer des mesures de prévention et de protection contre les actes de malveillance, et il n'est pas applicable aux services ou opérations des sociétés de sécurité privées.
Nos 4 recommandations pour l’élaboration d'un plan de sûreté efficace
En tant qu'experts et forts de chacune de nos expériences avec notre écosystème, nos consultants et experts sont en mesure d'accompagner et de conseiller tous les types d'entreprise dans ce processus qui fait partie intégrante du processus d'amélioration continue de la politique de management de la sûreté d'une organisation.
Les quatre préconisations établies par nos experts sûreté pour un plan de sûreté efficace :
- il est propre à chaque organisme ;
- il est basé sur des stratégies et des objectifs de sûreté concernant les menaces et les vulnérabilités ;
- il est passé en revue et approuvé officiellement par la direction avant son implémentation ;
- il anticipe la nécessité de faire face à long terme à des incidents relatifs à la sûreté, en intégrant des procédures spéciales et devrait en outre prévoir la nécessité de structures adaptatives afin d’être en mesure de faire face de façon adéquate à pareils événements perturbateurs.
En associant les éléments du référentiel CNPP 1008, nous préconisons d’équilibrer le plan de sûreté avec d’une part, une description pertinente de l’effet attendus des moyens de maîtrise, et, d’autre part, la description des actions de surveillance et de pilotage afin de pouvoir obtenir des garanties d’efficacité, notamment lors de la revue de Direction.
Enfin l’efficacité de l’ensemble de la démarche d’analyse des vulnérabilités suivie par celle de résorption peut être mesurée par la démarche complémentaire du Label sûreté CNPP qui vise à quantifier le niveau de maîtrise opérationnelle des risques d'une organisation.
Nos experts CNPP accompagnent votre entreprise et vos équipes dans le cadre de conseils en sûreté. Formez vos collaborateurs aux diverses formations en sûreté proposées et animées par nos spécialistes.
D’un audit personnalisé, d’un conseil ?