Sécurité : personne n’y arrivera seul !

0

La sécurité fait la une des médias du monde entier depuis le début de l’année. Celle des entreprises et des infrastructures est une préoccupation majeure des gouvernants et dirigeants. Le Val d’Oise bâtit depuis 2014 un « territoire de confiance ».

Morpho, empreinte de l’iris de l’œil

Morpho, empreinte de l’iris de l’œil

«  La vulnérabilité de nos systèmes est confrontée à l’ouverture des réseaux (révolution numérique) et à l’imprévisibilité des nouvelles menaces de toutes natures,expose Jean-François Benon, DG du CEEVO (Comité d’Expansion Economique du Val d’Oise). Les réponses traditionnelles ne suffisent plus pour affronter ces ruptures et il reste beaucoup à inventer alors que l’offre en sécurité, très fragmentée, manque de maturité. La démarche « Initiatives pour une Sécurité Globale », engagée par le CEEVO et l’Association du Pays de Roissy-CDG, élabore de nouvelles pratiques pour affronter la complexité et l’inattendu, tenant compte du caractère transversal de la sécurité qui passe par un rapprochement public-privé, mais aussi par un décloisonnement des domaines d’expertises, de la prospective à l’intégration de la sécurité dans les métiers.

Cette démarche s’appuie en outre sur les infrastructures de notre territoire, qui ont leur rôle à jouer pour installer la résilience¹, garantir la continuité d’activité et assurer la confiance dans l’évolution des services connectés. Bénéficiant de nombreux soutiens institutionnels, associatifs et académiques, « Initiatives pour une Sécurité Globale » devrait renforcer la filière nationale en sûreté – sécurité – maîtrise des risques, la compétitivité économique et l’attractivité territoriale. »

Au cœur du PJGN de Pontoise

Au cœur du PJGN de Pontoise

Un monde en danger

Selon Gérard Pesch, concepteur de la démarche à titre citoyen² : « La mondialisation et la rapidité des évolutions technologiques bouleversent le développement des entreprises et administrations à un rythme soutenu, confrontées à de nouveaux dangers dus à l’accroissement des données (big data, cloud computing, mobilité,…), à la multiplication des interconnections (internet des objets) et à la sophistication des menaces imprévisibles, asymétriques et polymorphes. D’autant plus inquiétant que la cible, auparavant limitée aux systèmes d’informations – essentiellement d’intelligence économique -, se déplace vers les systèmes opérationnels susceptibles de causer des dommages irréversibles (sabotages). »

Au-delà de l’espionnage avec la montée en puissance des États, les dirigeants prennent conscience qu’ils ont tout à craindre de l’exploitation de nouvelles vulnérabilités des opérations industrielles ou de services (cf. l’écran noir de TV5 monde qui a marqué un tournant ou le piratage des données de Sony), sans compter les défaillances de systèmes de production complexes devenus interdépendants (énergie, télécoms, transports, …)

Le développement de nouveaux usages dans tous les domaines (voiture connectée, réseaux intelligents, Usine du futur 4.0, Hôpital numérique, e-santé. smart cities, …) permet des scénarios-catastrophes audacieux, exploitant de nombreuses failles, avec des impacts sur notre tissu industriel comme sur la population.

Souvent la question des interdépendances – danger de crises systémiques – n’est pas posée. Plusieurs grands groupes ont été déclarés « Opérateurs d’Importance vitale » et l’État se préoccupe de ces questions relevant à la fois de la « résilience nationale» et de l’économie (Livre blanc sur la défense et la sécurité, Loi de programmation militaire, nouveau plan Vigipirate,… ). Mais le contexte ne cesse d’évoluer, forçant à une réécriture permanente des textes :
Renforcement de la menace cyber,
Pénétration du marché français par des fournisseurs « à risques »,
Apparition de nouveaux acteurs et mutualisation d’activités sensibles,
Multiplication des intervenants en matière de résilience,
Nouvelles obligations règlementaires.

Les réponses traditionnelles liées aux bonnes pratiques et à la conformité ne suffisent plus pour affronter ces changements et les directeurs sûreté, sécurité, DSI et RSSI des entreprises et administrations peinent à appréhender des paramètres complexes et globaux (travail en silo, chaque direction est en charge des risques relatifs à son activité, besoin de connaissances hors du champ de compétences, manque de reconnaissance, de liens avec les métiers … ). Ils pointent également l’absence de solutions et l’accroissement de la compétition et de la pression sur les prix.

Un écosystème bloqué

Les spécialistes ont du mal à traduire leurs exigences dans les cahiers des charges, d’autant que leurs services achats cherchent à réduire le nombre de fournisseurs et à obtenir des baisses de prix.

Pour l’heure, ils en appellent aux équipementiers pour élaborer de nouvelles approches, mais en l’absence d’entreprises de taille intermédiaire, se trouvent confrontés selon leurs dires :
à des grands groupes qui leur offrent une solution préexistante à leurs besoins mais pas forcément adaptée et par définition couteuse ;
à des PME offrant une ou plusieurs briques technologiques qui ne couvrent qu’une partie du besoin sans être compatibles ou interopérables.

La question reste posée de l’intégration de la sécurité dans les systèmes opérationnels vendus.

D’où la difficulté de concilier logiques du marché et protection contre des événements à faible probabilité, d’identifier les leviers : le coût des mesures de protection est souvent mal accepté en interne, d’autant qu’il est confronté à une interdépendance qui dissuade avant tout la protection individuelle.

Anticiper les formations

Les spécialistes de ces questions en appellent aux dirigeants pour élaborer de nouvelles pratiques adaptées à « la complexité » et à « l’inattendu », prenant en compte le caractère horizontal de cette démarche : anticiper, détecter et garantir la continuité des opérations quoiqu’il advienne car il est illusoire de chercher à tout protéger … l’enjeu est avant tout organisationnel et humain.

Ces dirigeants sont pour la plupart sensibilisés à la question des risques pesant sur leurs systèmes opérationnels. Un basculement s’est produit avec les attentats récents de 2015 et 2016 en France et dans le monde, et la prise de conscience de la fragilité des transformations liées au numérique …

Il reste à les mobiliser pour mettre en place les moyens nécessaires à l’exécution, les impliquer pour concilier besoins des métiers et exigences de sécurité, et répondre aux questions essentielles identifiées :
Quelle gouvernance pour conduire le changement organisationnel ?
Quelles exigences pour définir la véritable expression du besoin utilisateur ?
Quels partenariats de confiance mettre en place, notamment entre l’Etat, les territoires et l’entreprise ?

Sans une expression des besoins clairement définie et une organisation adéquate, les offres de solutions et de services n’auront pas la maturité nécessaire à l’innovation, à la conception et au déploiement de nouvelles solutions.

Parmi les difficultés actuelles figure une obligation : faire converger sûreté et sécurité, logique et physique, informatique et électronique, civil et militaire, public et privé, ….

Personne n’y arrivera seul ! Le grand défi est d’appréhender l’ensemble des paramètres dans leur extrême complexité pour faire face aux enjeux nationaux de sécurité et de résilience. Les opérateurs sont à la recherche de leviers et de modèles, sans résultat pour l’heure car aucune structure en place, ni « think tank », n’apparaît pertinent en matière de décloisonnement. Il en va de même pour la formation initiale et continue alors que la fonction sûreté – sécurité doit faire sa révolution, les plans de formation voire d’enseignement n’ayant pas anticipé les évolutions.

« Initiatives pour une Sécurité Globale» (GSI) en Val d’Oise

De tous ces constats est née à l’initiative du CEEVO, en partenariat avec l’Association du Pays de Roissy-CDG, une démarche GSI « Initiatives pour une Sécurité Globale » pour s’interroger sur les nouveaux univers de connaissances et d’actions opérationnelles à inventer.

Le Val d’Oise est un « terrain d’expérimentation privilégié » du fait de la présence d’infrastructures critiques comme Roissy-CDG et de sa situation au carrefour du Grand Paris. Il peut mobiliser les dix plus importants opérateurs mondiaux de la sûreté-sécurité et maîtrise des risques comme Autoliv Electronic, sécurité automobile, Morpho, expert mondial de la biométrie, Thales et sa branche simulation et trois autres grands de la sécurité des données : Atos, leader international des services numériques, Sophos, leader mondial de sécurité informatique et EMC2, spécialiste mondial de la gestion de données.

Et aussi Airbus Helicopters, Brinks, sécurité bancaire, 3M, technologies diversifiées, UTC Fire & Security Services, Sagem Défense et Sécurité, technologies inertielles et optroniques… plus 500 PME-PMI, dont une partie œuvre dans la sécurité aéroportuaire et une autre dans la sécurité des biens et des personnes (vidéosurveillance, vigiles, etc.) autour de Paris Roissy-CDG.

Le Val d’Oise dispose aussi d’un maillage de laboratoires publics – à l’Université de Cergy-Pontoise – et privés, dans ces entreprises à la pointe de la recherche dans les multiples domaines de cette filière. Il bénéficie de l’expérience du secteur de l’aérien, qui s’est très vite organisé face à l’initiative de la commission européenne de promouvoir la recherche en matière de sécurité, de l’avion connecté au «single sky » : Air France est à ce titre partenaire du projet.

Et c’est à Pontoise que s’est installé le nouveau Pôle Judiciaire de la Gendarmerie Nationale (PJGN) qui regroupe l’Institut de recherche criminelle de la gendarmerie nationale (IRCGN), le Service central de renseignement criminel (SCRC) et le Centre de lutte contre les criminalités numériques (C3N).

GSI se décline en trois axes :
1- Protection des utilisateurs :
définir les besoins en « sécurité globale » pour accompagner la révolution numérique et créer le cadre de la confiance :
Pour le citoyen : protéger ses données personnelles,
Pour les entreprises : protéger leurs activités sensibles en intégrant des systèmes critiques industriels ou opérationnels (objets et chaînes connectés),
Pour l’Etat : répondre aux impératifs de résilience quoiqu’il advienne.

2- Compétitivité économique : renforcer la filière nationale sûreté / sécurité / maîtrise des risques et développer de nouvelles réponses technologiques et de services :
Cette approche irrigue transversalement plusieurs plans de la Nouvelle France Industrielle (réseaux intelligents, hôpital numérique, cyber sécurité, objets connectés, services sans contacts, …),
Elle doit dynamiser et mutualiser le réseau de PME-PMI, mobiliser des forces d’ingénierie (intégrateurs) et faire émerger des ETI (entreprises de taille intermédiaire)
Elle vise au développement de technologies et de services issus du numérique pour répondre aux enjeux de sécurité identifiés : « Le numérique au service de la sécurité »

« Face à l’écosystème traditionnel de la sécurité, en blocage partiel, il s’agit d’observer le nouvel écosystème de l’économie numérique et d’en identifier les acteurs, notamment les « start up», qui développent des applications ou services de la protection et de la résilience, pour les intégrer dans une nouvelle génération d’offres innovantes. » précise Gérard Pesch.

3 – Attractivité des territoires : développer des expérimentations locales.
Le défi consiste à associer les gestionnaires des collectivités territoriales pour créer des « territoires de confiance ». Il s’agit de développer un tissu local socio-économique sécurisé, en privilégiant l’échelon urbain de proximité, pour assurer la protection des citoyens et des entreprises, de leur données, anticiper les crises et installer les capacités de résistance.
À l’heure où la crise et la compétition s’accentuent, ce « territoire de confiance» devient un atout majeur et renforce l’attractivité géographique pour attirer les investisseurs à la recherche d’un environnement sécurisé  ;
Cette approche va bien au-delà de l’espace géographique car elle peut concerner, au sens large, toute communauté d’intérêt usant des mêmes codes ou relevant d’une même logique. (voir www.gsi-event.com)

Synthèse de travaux du GSI et de Gérard Pesch, réalisée par Béatrice  Monomakhoff


1- La résilience et la Sécurité. Le concept de résilience a connu au cours des dix dernières années un succès grandissant chez les chercheurs et experts intéressés par la sécurité industrielle. Ce terme a été utilisé en premier dans la physique des matériaux, où il mesure la capacité d’un objet à retrouver son état initial après un choc. Il a ensuite inspiré des travaux en psychologie (concernant en particulier le passage de l’enfance à l’adolescence), en écologie (capacité d’un écosystème à absorber les effets d’une perturbation), en économie et gestion (capacité d’une entreprise à maintenir sa production face à la perturbation d’une chaîne fournisseur). S’agissant de la sécurité, la littérature suggère qu’un système résilient a des capacités d’anticipation des menaces, d’adaptation aux changements de contexte et de mesure continue de sa propre performance. Ce concept permet donc d’intégrer des courants de recherche ayant travaillé depuis de nombreuses années sur les vulnérabilités, la gestion de crise et l’adaptation.
2-Gérard Pesch est expert en ingénierie des systèmes complexes, directeur de l’activité conseil en sécurité du Groupe THALES de 2003 à 2014, Conseiller défense et sécurité, administrateur de l’ANA-INHESJ.
Partager.

Auteur

D’abord journaliste dans la presse écrite et radio (France-Inter, Le Point, Le Nouvel Économiste), Béatrice Monomakhoff a ensuite exercé, pendant 10 ans, les postes de responsable communication, successivement chez Yves Rocher, Alcatel et L’Oréal, puis fondé, en 1999, Hors-série.com/, une agence de communication, BtoB avec plusieurs associés dont Jacques Barraux, (ex Les Echos) et Didier Adès ( ex France Inter). C’est en 2007 qu’elle crée La Lettre de L’Entreprise. Elle est rédactrice en chef de ce magazine économique trimestriel diffusé à 3 000 exemplaires dans le Nord-Ouest de l’Île de France édité par l’agence Hors-série.com/ gérée par Isabelle Jariod.

Poster un commentaire