La protection des actifs matériels
4.3. Intrusion, fraude et malveillance
L’intrusion, la fraude et la malveillance sont des risques dont la source est une personne ayant volonté de nuire. En cela ces périls sont fondamentalement dif-férents des autres risques de l’entreprise qui ont pour source le hasard ou la défaillance. L’intrusion et la malveillance peuvent se manifester de différentes façons. La source de risque peut être externe à l’entreprise (intrusion réelle ou virtuelle) ou interne à celle-ci (salariés). L’objet de risque est généralement matériel (endommagement ou vol de biens), mais peut aussi être immatériel (falsification ou appropriation illicite d’informations). Dans tous les cas, les mesures visant à prévenir les risques d’atteinte accidentelle aux biens sont peu efficaces contre la malveillance, car les malfaiteurs sauront généralement les contourner.
La malveillance et son corollaire vol et/ou dégradation étant des risques de nature privée, seuls les établissements pour lesquels ce risque peut induire une atteinte aux personnes sont soumis à une réglementation. Plus précisément, deux décrets les concernent :
•Le décret N° 97-46 du 15 janvier 1997 relatif aux obligations de surveillance ou de gardiennage incombant à certains propriétaires, exploitants ou affec-tataires de locaux professionnels ou commerciaux,
•Le décret N° 97-47 du 15 janvier 1997 relatif aux obligations de surveillance incombant à certains propriétaires ou exploitants de garages ou parcs de stationnement.
Bien entendu, comme pour la sécurité contre l’incendie, les assureurs peuvent définir des obligations contractuelles, en particulier relatives à la nature et à la qualité des équipements de protection contre l’intrusion et le vol.
Enfin, certains clients peuvent imposer à leurs partenaires leurs exigences en la matière : industries de l’armement ou secteurs très concurrentiels, produits à forte valeur ajoutée, métaux précieux, etc.
L’arsenal de dispositions techniques permettant de lutter contre l’intrusion com-prend deux volets :
•La prévention : renforcement des fermetures fixes (murs, toitures, clôtures) et mobiles (portes, portails, ouvrants divers),
•La protection : sécurisation des biens, détection de l’intrusion.
Les règles APSAD R 51(risques courants), R 52 (risques lourds) et R 53 (risques très lourds) définissent les qualités de matériels, les méthodes de conception et de réalisation, le choix des installateurs de systèmes de détection d’intrusion et d’alarme.
© Éditions d’Organisation
Dans le cadre de l’entreprise, ces dispositions techniques ne sont cependant réellement efficaces que si elles sont complétées par des procédures définissant leur usage, ainsi que par la sensibilisation permanente du personnel. Qui en effet n’a jamais vu un système de détection ou de contrôle d’accès mis hors service car trop contraignant pour les utilisateurs ? On ne choisira donc un système que s’il est compatible avec les modes opératoires et les habitudes de travail de l’entreprise.
On veillera aussi à ce qu’aucun point faible ne subsiste, car cela rendrait le sys-tème totalement inutile : un vitrage de sécurité sur une cloison légère ne sert à rien ; la détection sur un portail est inutile si la clôture voisine n’est pas protégée, etc.
Enfin, comme pour la protection contre l’incendie, on n’investira qu’à bon escient, c’est-à-dire à hauteur des risques à protéger. Un calcul de flux financiers (chapitre 6) permettra d’optimiser économiquement les investissements protec-teurs.
La lutte contre la malveillance
Nous nous attacherons à la malveillance touchant des actifs matériels de l’entre-prise, celle visant des ressources immatérielles (informations) étant traitée par ailleurs.
La malveillance peut ou non être précédée d’intrusion. Elle peut en effet être l’œuvre de personnes dûment habilitées à pénétrer dans les locaux concernés.
La protection contre l’intrusion n’est donc pas suffisante à limiter les risques de malveillance.
La malveillance peut être « gratuite » : le salarié aigri peut tenter de se venger sur les biens de son entreprise. On a ainsi vu un salarié tirer à la carabine sur la bâche à eau du réseau d’extinction automatique, pour « punir » son patron de l’avoir licencié ! Lutter contre une telle malveillance est difficile, car le but n’est pas le gain, mais la vengeance par vandalisme, ou même agression physique. Le moins que l’on puisse faire est d’éviter de faciliter la tâche au malveillant poten-tiel. Les installations ne seront donc accessibles qu’aux personnes autorisées.
Les systèmes d’accès par badges sont aujourd’hui efficaces et simples d’emploi.
Le changement des codes permet de gérer de façon dynamique les autorisations d’accès et l’identification personnelle de chaque utilisateur réfrène les vélléités de malveillance.
La malveillance peut aussi servir des intérêts bien précis, individuels ou collectifs.
Les difficultés causées à l’entreprise peuvent être bienvenues pour certains, et pas seulement les concurrents. N’oublions pas que certains individus sont prêts à tout, même perdre leur gagne-pain, pour voir leurs idées triompher ou pour ne pas perdre la face. La lutte contre la malveillance commence donc par compren-dre et réduire l’hostilité individuelle ou collective à l’égard de l’entreprise.
© Éditions d’Organisation
Ceci nous renvoie à la gestion des ressources humaines, mais aussi à l’image que donne l’entreprise, qui peut cristalliser la vindicte de mouvements spontanés ou organisés de la part des salariés, des riverains ou d’organisations sectaires de tou-tes natures.
La lutte contre la malveillance passe ensuite par la réduction des possibilités de nuire offertes aux malfaiteurs et vandales potentiels, et en premier lieu par le ren-forcement des contrôles et en particulier des contrôles d’accès. On veillera cependant à respecter certaines règles pour éviter de porter atteinte aux libertés fondamentales des salariés.
Par application de l’article 432-2-1 du Code du travail, les dispositifs de contrôle des salariés doivent être signalés, et, en vertu de l’article L 432-3, le Comité d’Entreprise doit être informé et consulté sur l’organisation du travail. Ceci con-cerne en particulier les techniques de recrutement, les contrôles électroniques d’accès, la video-surveillance, le contrôle des téléphones, les moyens de sur-veillance de la productivité. On notera en outre que la video-sursur-veillance est strictement interdite si elle ne vise que la surveillance des salariés. Elle n’est admise que pour lutter contre les intrusions.
Il est bon de rappeler ici que toute preuve obtenue par un moyen de contrôle ou de surveillance du personnel est considérée illicite, sauf si le recours à ce con-trôle ou cette surveillance sert à établir formellement une infraction probable.
Ainsi un licenciement pour flagrant élit de vol attesté par un agent de surveillance a été cassé en appel (Lyon, 05/02/99) au motif que la surveillance avait été instau-rée sans consultation du Comité d’Entreprise et sans information du personnel.
La lutte contre la fraude
La fraude ne se mesure que lorsqu’elle frappe. Elle est partout au sein de l’entre-prise. Elle concerne tous les salariés, seuls ou en collusion avec des complices externes à l’entreprise. Les montants sont effrayants, et croissent avec la position hiérarchique du fraudeur : de quelques centaines d’Euros à la base de la pyra-mide, la fraude « moyenne » du cadre supérieur dépasse 100.000 € ! Selon certai-nes études, les entreprises françaises perdent ainsi 2 % de leur chiffre d’affaires.
Si les motivations du fraudeur évoluent peu (besoins d’argent consécutifs à un surendettement, frustration professionnelle), les mécanismes de la fraude ont suivi les évolutions des systèmes de communication et d’information des entre-prises. La lutte contre la fraude ne saurait cependant se satisfaire de la simple protection de ces systèmes (voir ci-après le chapitre sur la préservation de la con-naissance), car s’il y a fraude, c’est qu’il y a fraudeur, c’est-à-dire un individu pos-sédant toutes les clés d’accès aux systèmes, et par ailleurs capable de maquiller son forfait. Dans 6 cas sur 10, le fraudeur est découvert par hasard. C’est dire qu’il n’existe que rarement de systèmes de protection contre la fraude au sein de nos entreprises.
© Éditions d’Organisation
Outre la garantie Fraude offerte par les assureurs, d’ailleurs peu souscrite par les PME françaises, la gestion de ce risque repose sur une double approche :
•Les fonctions à risques (trésorerie, achats, stocks, informatique, etc),
•Les hommes affectés à ces fonctions.
L’audit des fonctions à risques portera aussi bien sur les systèmes que sur les pro-cédures, avec deux préoccupations permanentes : la fiabilité des systèmes et le recoupement des procédures. La fraude baisse en effet de façon considérable dès lors que le fraudeur potentiel sait que d’une façon ou d’une autre, son travail sera automatiquement validé par l’un de ses collègues, non pas dans un but de contrôle, mais parce que la procédure de travail de son collègue lui imposera la vérification au moins partielle de son propre travail. On veillera en outre à garder trace de ces contrôles croisés, pour responsabiliser le personnel mais aussi parce que cette traçabilité peut se révéler très utile pour retrouver a posteriori les indi-vidus, les procédures et l’étendue d’une fraude dont seul un élément découvert aura donné l’alerte.
© Éditions d’Organisation