what is my security strategy / stratégie de sécurité

Posez-vous la question – Quelle est ma stratégie de sécurité?

Stephen Moore

Introduction

La sécurité est souvent considérée comme une question tactique qui ne concerne que les responsables de la protection des lieux. Bien que ces éléments tactiques de sécurité sont importants, ils ne sont vraiment efficaces que dans le cadre d’une stratégie de sécurité conçue pour atténuer les menaces et les risques pour votre société et ses opérations. Une véritable stratégie de sécurité est intégrée au niveau de la direction de l’entreprise et est perçue comme un catalyseur. Les questions et les discussions qui suivent décrivent le cadre de la stratégie de sécurité d’une société.

En quoi consiste la menace?

La conception d’une stratégie de sécurité commence par l’obtention d’une image fidèle de la menace qui pèse sur votre société et ses activités. Cela doit commencer par un examen général des menaces globales dans votre pays et votre secteur d’activité, puis considérer les tendances plus précises, comme les incidents de sécurité qui se sont produits dans votre société ou à proximité.
Les menaces sont étudiées du point de vue de la probabilité d’occurrence et de l’effet sur votre société, le cas échéant.

Une fois connus, les menaces et les risques doivent être examinés par rapport aux mesures de sécurité déjà en place dans votre société. Vos mesures de sécurité sont-elles adéquates pour protéger votre société des menaces les plus probables et qui sont susceptibles d’avoir un impact grave sur vos activités? Si ce n’est pas le cas, que faut-il faire pour combler l’écart?

Constatations communes

Presidia a fait de nombreuses évaluations des menaces et des risques, ou des examens de sécurité pour une grande variété de clients. Généralement, les résultats se divisent dans les catégories suivantes :

Gouvernance

Souvent, la sécurité est décentralisée et personne n’occupe de poste de responsable pour assurer une surveillance. Cela peut causer un manque d’efficacité et une application incohérente des mesures de sécurité dans l’ensemble des activités de la société. Les incohérences peuvent révéler une sécurité insuffisante, mais aussi trop de sécurité dans une zone où la menace ne justifie pas de telles mesures.

Politiques

Les politiques en matière de sécurité sont souvent inexistantes ou limitées, car trop souvent amalgamées aux nombreuses autres politiques, ce qui les rend difficiles à consulter.

Formation

De nombreuses sociétés n’ont pas de plan officiel de formation en sécurité pour aborder des sujets comme l’intervention en cas d’urgence, la protection de l’information et la sensibilisation à la sécurité.

Intervention

Les entreprises réagissent souvent à un incident de sécurité comme s’il s’agissait d’un incident parmi tant d’autres, et le suivi de l’incident n’est donc pas officiellement assuré, les statistiques ne sont souvent pas conservées et aucunes leçons n’en sont tirées.

Recommandations

Si les éléments exposés ci-dessus décrivent l’état du programme de sécurité de votre société, heureusement, cela n’est pas forcément difficile à corriger. Un processus formel mené par un professionnel de la sécurité (dans votre société ou par un contractuel chargé de faire un examen de la sécurité) peut vous donner une vision claire de l’état de la sécurité dans votre société, et des mesures supplémentaires qui devraient être mises en œuvre le cas échéant.
Si votre personnel ne compte pas de professionnel de la sécurité et qu’il n’est pas pratique d’en engager un, alors envisagez un auto-examen à l’aide des lignes directrices ci-dessous.

Gouvernance

  • Une personne haut placée devrait être désignée pour superviser le programme de sécurité de la société au niveau stratégique.
  • Un mécanisme officiel de création de rapports devrait être mis sur pied pour signaler les incidents de sécurité.
  • Des seuils devraient être établis pour déterminer quels incidents peuvent présenter un risque grave pour les opérations de la société. Ces incidents devraient être signalés à la personne responsable de la sécurité, idéalement à l’échelon des vice-présidents.

Politiques

  • La politique en matière de sécurité devrait se trouver à un seul endroit et être rédigée de façon à être comprise par ceux qui ne sont pas des professionnels de la sécurité.
  • La politique de sécurité devrait décrire les lignes directrices en matière de gouvernance de la sécurité pour la société.
  • La politique de sécurité doit tenir compte des programmes connexes, comme la continuité des affaires.

Formation

  • Il devrait y avoir un plan officiel de formation en matière de sécurité.
  • Ce plan doit déterminer qui doit être formé et à quelle fréquence.
  • Il doit aussi déterminer un mécanisme de communication pour s’assurer que les nouveaux risques et les mesures d’atténuation appropriées sont définis et communiqués à ceux qui doivent être informés.

Intervention

  • Les incidents de sécurité devraient être consignés et faire l’objet d’un suivi.
  • Des statistiques sur les incidents de sécurité devraient être conservées afin de repérer les tendances.
  • Un programme qui permet de tirer des leçons des événements devrait être adopté afin d’examiner les incidents graves et de recommander des modifications aux politiques ou aux procédures, le cas échéant.

Conclusion

Déterminer quelle est votre stratégie de sécurité ou ce qu’elle devrait être n’est pas une entreprise nécessairement coûteuse ou complexe. Réfléchir à cette question vous permettra de prendre des décisions en matière de sécurité qui s’appuient sur un savoir, et ce, afin de faire en sorte que les mesures de sécurité de votre entreprise sont peu couteuses, qu’elles réduisent vos risques et qu’elles facilitent les activités de votre entreprise.