Diplôme en gestion de la sécurité

Le besoin et
UNITÉ 1 Importance de la sécurité

Résultats d'apprentissage

À la fin de cette unité, l'apprenant sera capable de:

• Comprendre l'importance de la sécurité

• Discuter des différentes étapes du processus d'évaluation des risques

• Identifier les différences entre les différents types d'actifs

P age 1 | dix
Diplôme en gestion de la sécurité

Unité 1

Le besoin de l'importance de la sécurité

Dans le monde moderne au rythme effréné d'aujourd'hui, l'importance de la sécurité est plus grande que jamais. C'est aussi la raison pour laquelle la sécurité est

l'un des secteurs à la croissance la plus rapide, créant des millions de nouvelles opportunités d'emploi qui n'existaient pas il y a à peine quelques années.

Ce qui fait la différence dans le paysage de la sécurité d'aujourd'hui, c'est la façon dont les menaces ne se limitent plus aux problèmes de sécurité

physique traditionnels. L'Internet a ouvert la voie à une catégorie entièrement nouvelle d'activités criminelles, représentant une menace directe pour

pratiquement toutes les entreprises en activité dans le monde.

Pour les entreprises d'aujourd'hui, un système de gestion de la sécurité efficace doit prendre en compte et protéger suffisamment trois
classifications d'actifs entièrement différentes:

1. Actifs physiques

2. Atouts RH
3. Actifs informatiques

Chacun d'entre eux apporte ses propres défis uniques dans la combinaison, qui doivent être considérés indépendamment dans la classification individuelle

des actifs et dans le cadre d'un programme de sécurité plus large.

Qu'est-ce que la sécurité?

Le terme «sécurité» dérive du mot latin signifiant «soins» ou «préoccupation». Il est utilisé dans le cadre de toute politique, procédure, action
ou activité entreprise pour protéger une entité d'un résultat indésirable.

Pour les entreprises d'aujourd'hui, la sécurité est la somme totale de toutes les ressources et mesures investies dans la prévention des interventions illégales

ou potentiellement nuisibles. Par conséquent, pour qu'une politique ou un cadre de sécurité soit considéré comme viable et efficace, il doit prendre en compte chaque

risque identifiable à chaque niveau dans l’ensemble de l’organisation.

Surtout, la sécurité ne doit jamais être interprétée à tort comme une tâche finie ou une responsabilité ponctuelle. Bien au contraire,
la sécurité est une activité permanente et sans fin qui, pour réussir, doit être continuellement revue, affinée et améliorée en cours
de route.

Comme il n'existe pas de cadre de sécurité «sans faille», il y a toujours place à l'amélioration.

Les cinq niveaux de sécurité échelonnés

Chaque organisation a ses exigences de sécurité uniques, qui pour certaines seront plus sophistiquées et avancées que d'autres. Dans
l'ensemble, cependant, la sécurité peut être classée en cinq niveaux, en fonction de la menace respectivement:

P age 2 | dix
Diplôme en gestion de la sécurité

• Niveau minimum - Les dispositions les plus élémentaires pour empêcher l'entrée et les activités non autorisées de la part de tiers

• Niveau faible - Politiques et processus de sécurité relativement correctifs pour détecter, prévenir et traiter les activités internes et
externes non autorisées
• Niveau moyen - Étend les politiques de sécurité pour inclure la prévision des menaces potentielles et une préparation plus complète pour
détecter et empêcher avec succès les menaces internes et externes

• Haut niveau - Vise une protection plus complète de l'organisation, intégrant la gestion des contingences et la
planification des catastrophes
• Niveau maximum - Faire progresser les systèmes de sécurité intégrés pour fournir une protection au niveau de sécurité national.

Évolution des tendances en matière de sécurité

Dans le passé, les seules menaces qui pèsent sur les organisations en général étaient de nature physique. L'idée de lancer une menace
distante ou «virtuelle» contre une organisation aurait semblé absurde.
De même, les organisations existaient autrefois à une époque où le terrorisme national et international n'était pas considéré comme une menace

particulièrement crédible. Aujourd'hui, de nombreux pays dans le monde vivent avec un «niveau de menace» terroriste constamment élevé et

doivent donc tenir compte des conséquences potentielles d'un tel événement. Dans une certaine mesure, cela ne signifie pas que la probabilité

qu'une entreprise donnée soit victime d'un incident dangereux soit plus élevée aujourd'hui qu'elle ne l'était auparavant. Il s'agit davantage des

types de menaces auxquels l'entreprise doit faire face, étant devenues plus diversifiées et difficiles à protéger.

En particulier en ce qui concerne les menaces virtuelles, il s'agit d'un jeu continu de «chat et de souris» pour essayer de garder une longueur d'avance sur les

entités criminelles sophistiquées.

Les principes de sécurité

Bien que chaque politique de sécurité organisationnelle soit unique, tous les efforts et activités sont guidés par une série de principes de

sécurité universels. Les plus importants sont les suivants:

• Les activités commerciales alimentent les économies de chaque nation. Dans ce cas, la sécurité des entreprises joue un rôle direct dans la stabilité

économique nationale.

• Même les plus petits efforts supplémentaires déployés pour protéger une entreprise ou un secteur contre les menaces peuvent faire une grande

différence.

• La sécurité est une responsabilité partagée dans toute l'organisation, qui devrait impliquer la direction et les
dirigeants.
• La sécurité ne doit jamais être considérée à tort comme un investissement non productif.

• Une politique de sécurité efficace est celle qui tient compte des niveaux acceptables de risques résiduels. La seule approche viable

• de la sécurité est de la considérer comme une activité continue où il y a toujours place à l'amélioration.

• Même lorsque les rendements des investissements en sécurité ne peuvent pas être quantifiés financièrement, cela ne signifie pas qu'ils ne sont pas

financièrement avantageux.

P age 3 | dix
Diplôme en gestion de la sécurité

Sûreté et sécurité individuelles

L'importance de la sûreté et de la sécurité individuelles réside non seulement dans la sécurité physique et le bien-être de l'individu, mais également

dans son bien-être psychologique. La sûreté et la sécurité individuelles ne se limitent pas

réduire / éliminer les menaces de dommages physiques - cela supprime également peur du préjudice de l'équation.

Les menaces à la sûreté et à la sécurité individuelles varient en termes de source, de gravité et de probabilité d'occurrence. Tous les types de blessures

accidentelles entrent dans cette catégorie, tout comme les épisodes de violence délibérée ou de comportement menaçant. Même lorsque le préjudice

physique subi par un individu est relativement mineur, l'impact psychologique d'un tel événement peut avoir une incidence sur la vie à long terme.

Contrôles de sécurité physique

Les contrôles de sécurité physique sont l'équipement, le matériel et les procédures mis en place pour protéger une organisation et ses

actifs. La sécurité physique est basée sur des éléments physiques (ou tangibles) similaires

contre-mesures, y compris des choses comme la caméra CCTV, l'éclairage de sécurité, les portes renforcées, les clôtures, les portails, etc.

Ces types de contrôles sont mis en œuvre pour dissuader les intrus potentiels à deux niveaux tout aussi importants:

Dissuasion physique

Cela fait référence au processus de dissuasion des criminels en plaçant des barrières physiques entre eux et l'organisation (ou ses actifs). Des

portes verrouillées aux volets verrouillés en passant par les barres de fenêtres et ainsi de suite, tout ce qui rend physiquement difficile l'entrée

dans le bâtiment est un exemple de dissuasion physique.

Dissuasion psychologique

Tout aussi importante et efficace, la dissuasion psychologique fonctionne sur la base des conséquences perçues par l'intrus potentiel de ses

actions prévues. Par exemple, un système de vidéosurveillance ou une alarme anti-intrusion ne les empêchera pas physiquement d'entrer dans le

bâtiment, mais rendra beaucoup plus probable qu'ils seront identifiés et poursuivis.

En conséquence, un système de sécurité efficace doit toujours accorder une importance égale à la dissuasion physique et psychologique. Aucun des

deux n'est nécessairement «meilleur» que l'autre - les deux sont nécessaires pour qu'un cadre de sécurité atteigne ses objectifs.

Évaluation de la vulnérabilité

La première étape du processus lors de l'élaboration d'une politique de sécurité consiste à effectuer une vulnérabilité détaillée

P age 4 | dix
Diplôme en gestion de la sécurité

évaluation. Une évaluation des vulnérabilités fournit à l'organisation les informations détaillées et les informations dont elle a besoin pour identifier les
faiblesses de sécurité et apporter les améliorations nécessaires. Les évaluations de la vulnérabilité doivent être menées de manière structurée et
formelle, dans le cadre d'un effort de collaboration entre la direction (ou les propriétaires d'entreprise) et le personnel de sécurité expérimenté.

Au fond, l'évaluation de la vulnérabilité cherche à identifier les actifs de l'organisation qui sont menacés et doivent donc être protégés. Là où
il y a une vulnérabilité, l'entreprise et ses actifs sont menacés. Toutes les mesures de sécurité existantes sont ensuite identifiées et
évaluées, afin de déterminer ce qui fonctionne et ce qui doit être étendu ou amélioré. Dans une certaine mesure, une évaluation de la
vulnérabilité doit être menée du point de vue d'un attaquant potentiel, pour qui repérer les failles et les faiblesses de sécurité n'est rien de
moins qu'une carrière.

Pour qu'une évaluation de la vulnérabilité soit effectuée avec succès, l'organisation et son personnel clé doivent se concentrer fortement sur les éléments

suivants:

Identification des actifs

Cela fait référence au processus d'identification des divers actifs que l'entreprise possède ou dont l'entreprise est responsable, qui peuvent appartenir à une

série de catégories, notamment:

• Propriété - Locaux commerciaux, équipements de bureau et biens matériels

• Ressources humaines - La main-d'œuvre, les clients, les visiteurs, etc.

• Information - Données financières, informations privées des clients, documents importants

Lorsqu'un actif a une valeur potentielle à n'importe quel niveau - matériel ou immatériel - il doit être intégré dans une évaluation de la vulnérabilité.

Après avoir identifié et enregistré avec succès les actifs de l'organisation, l'étape suivante du processus consiste à évaluer les menaces

potentielles posées à ces actifs en conséquence.

Perception des menaces

L'organisation d'aujourd'hui doit faire face à une liste plus longue et plus diversifiée de menaces potentielles qu'elle n'avait jamais auparavant. Les menaces sur

un actif donné peuvent être nombreuses, comme dans les exemples ci-dessous:

• Infrastructure. Catastrophes naturelles, dommages accidentels, sabotage délibéré.

• Actifs physiques. Vol, dommages intentionnels, dommages accidentels.

• Ressources humaines. Violence, comportement menaçant, accidents / blessures.

• Information. Vol de données, panne de serveur, piratage

La prise en compte de ces différents types de menaces est essentielle pour garantir que l'entreprise est prête à faire face à tout problème de sécurité potentiel

qu'elle pourrait rencontrer. Il est également important d'examiner attentivement la probabilité de

P age 5 | dix
Diplôme en gestion de la sécurité

compte tenu du problème de sécurité survenant, ainsi que des conséquences potentielles si tel est le cas.
Cela est nécessaire pour hiérarchiser par la suite les vulnérabilités, afin qu'elles puissent être traitées par ordre de gravité et
d'importance.

Normes de sécurité

Établir des normes, c'est créer un moyen convenu, efficace et reproductible de faire quelque chose. En matière de sécurité, cela signifie

publier un document (ou une série de documents) qui décrit les politiques et les pratiques auxquelles chacun doit adhérer. L'importance

des normes réside dans le fait qu'elles apportent cohérence, simplicité et fiabilité aux pratiques de sécurité.

Dans une certaine mesure, tenter de s'en sortir sans établir de normes, c'est inventer au fur et à mesure. Pour cette raison, ce n'est ni

une solution efficace ni viable pour l'organisation d'aujourd'hui.

Les avantages des normes

Dans le domaine de la sécurité, les normes (en termes de pratiques, politiques et procédures) diffèrent souvent énormément entre les différentes

organisations de sécurité et de police. Cela peut parfois entraîner des difficultés avec les entreprises de collaboration et les communications

générales.

Par conséquent, on pense généralement que pour introduire de nombreux avantages une normalisation plus large apporterait une variété de

tels que:

• Amélioration de l'efficacité et de la cohérence

• Réduction des coûts opérationnels

• Formation plus facile pour le nouveau personnel de sécurité

• Responsabilité renforcée

• Communication simplifiée entre les parties

• L'opportunité de collaborer plus efficacement

• Élimination de l'ambiguïté et des malentendus

Défis de la normalisation

Si la plupart conviennent qu'une normalisation généralisée serait bénéfique, on ne peut nier les énormes défis auxquels une telle initiative serait

confrontée. En particulier en raison de la privatisation quasi totale du secteur de la sécurité, dans laquelle différentes organisations et entités

abordent les choses de manière très différente.

Manque de coordination entre les différents fournisseurs de sécurité

La sécurité décentralisée permet aux acteurs du secteur et à ceux qui engagent des services de sécurité d'écrire essentiellement leurs propres

règles. Cela signifie à son tour que les modèles opérationnels et les politiques de deux

P age 6 | dix
Diplôme en gestion de la sécurité

les services ou entités de sécurité seront presque toujours complètement différents. Il y a peu ou pas de coordination (ou même de

communication) généralisée entre ces entités distinctes, ce qui rend difficile (voire impossible) l'intensification des efforts de

normalisation.

Les risques d'une mauvaise gestion de la sécurité des données

Sans politiques de sécurité des données larges et efficaces en place, une organisation se laisse ouverte aux attaques. Tant au niveau externe

qu'interne, les menaces qui ne sont pas prévues sont exponentiellement plus susceptibles de se matérialiser.

Les menaces internes typiques auxquelles l'entreprise doit faire face incluent le vol d'informations, les dommages délibérés ou accidentels de l'équipement

informatique, la corruption des données, la responsabilité juridique, etc. Les menaces externes s'étendent aux piratages effectués par des parties externes, aux

dommages aux serveurs hors site, aux virus, aux chevaux de Troie et plus encore.

Se familiariser avec la gestion de la sécurité des données signifie concentrer le temps, les efforts et les ressources nécessaires sur les éléments suivants:

• Intégrité: Cela signifie s'assurer que les données que vous collectez, détenez et utilisez ne sont pas modifiées ou compromises sans

autorisation. Des systèmes devraient être en place pour détecter et empêcher la modification des données, préservant ainsi leur intégrité.

Dans un exemple typique, un pirate informatique peut cibler un serveur et modifier le numéro de compte d'un destinataire du paiement

hebdomadaire, afin qu'il reçoive le paiement illégalement.

• Disponibilité: Seuls ceux qui absolument avoir besoin pour pouvoir accéder à un élément donné de données doit être autorisé à y accéder.

Plus vous restreignez fortement l'accès aux informations importantes et aux données sensibles, moins elles risquent de tomber entre de

mauvaises mains. Lorsqu'une donnée n'est plus nécessaire, elle doit être complètement supprimée afin qu'elle ne soit plus disponible pour n'importe

qui accéder.

L'évaluation des risques

Une évaluation des risques est un peu comme une évaluation de la vulnérabilité, mais elle examine les risques et menaces potentiels à un niveau beaucoup

plus approfondi. Il est conseillé aux organisations de toutes formes et tailles de mener régulièrement des évaluations des risques, afin d'établir dans quelle

mesure elles sont bien protégées (ou non) des diverses menaces auxquelles elles sont confrontées.

Les évaluations des risques sont généralement menées par la haute direction, en collaboration avec le personnel de sécurité, le cas
échéant. Pour qu'une évaluation des risques atteigne ses objectifs, elle doit être supervisée par ceux qui comprennent parfaitement
l'entreprise. Chaque membre du personnel devrait être invité à faire part de ses suggestions et à contribuer au processus, mais on ne
saurait trop insister sur l'importance de l'implication de la direction au plus haut niveau.

P age 7 | dix
Diplôme en gestion de la sécurité

Beaucoup trop de propriétaires d'entreprise et de cadres supérieurs considèrent les évaluations des risques et la sécurité en général comme une non-priorité,

sans se rendre compte à quel point elles sont importantes.

Gestion des risques

Le terme «gestion des risques» fait référence à une série d'activités, d'initiatives et de politiques interconnectées, qui se réunissent pour protéger

l'organisation de toutes les menaces à tous les niveaux. Comme les menaces auxquelles est confrontée chaque entreprise sont fondamentalement uniques,

chaque cadre de gestion des risques devrait l'être également.

Une gestion des risques va encore plus loin en identifiant, classant, catégorisant, priorisant et, finalement, mettant en place des mesures pour atténuer

tous les types de risques. Une gestion efficace des risques signifie d'abord développer une compréhension des menaces, des vulnérabilités et des

contrôles, tels que définis brièvement ci-dessous:

• Menace —Il s'agit de tout ce qui «menace» l'organisation directement (d'origine humaine ou autre) qui pourrait avoir des
conséquences négatives.
• Vulnérabilité —Il s'agit d'une erreur, d'un problème, d'un oubli ou d'une imperfection dans la couverture de sécurité existante qui pourrait être

exploitée au détriment de l'organisation.

• Les contrôles —Il s'agit de toutes les actions, activités et politiques mises en place pour prévenir, traiter ou dissuader les risques potentiels de

se produire.

Atténuer les risques

L'identification précise et complète de tous les risques à tous les niveaux est l'étape la plus importante du processus de gestion des
risques. Après quoi, il est temps de décider exactement de ce que vous allez faire face aux risques que vous avez identifiés. L'action
requise sera déterminée par la nature et la gravité du risque en question, ainsi que par sa probabilité de survenance.

Cependant, il existe quatre principaux moyens de gérer le risque, qui dans de nombreux cas peuvent être combinés les uns aux
autres:

• Réduction de risque —Mise en œuvre de mesures pour réduire la probabilité de survenance du risque ou la gravité des conséquences
si tel est le cas.
• Transfert de risque —Couvrir l'entreprise contre les conséquences du risque en les transférant ailleurs - comme assurer
la propriété contre les dommages.
• Acceptation des risques —Lorsque le risque est considéré comme relativement mineur et que ses conséquences potentielles sont donc simplement

acceptées par l'entreprise.

• Rejet du risque —Exclusion du risque de la considération et l'ignorer entièrement, sous l'hypothèse qu'il ne se produira
pas.

En termes d'approche la plus appropriée pour gérer le risque, cela dépend entièrement de la nature du risque, de sa probabilité de
se produire, des conséquences potentielles s'il le fait et de la possibilité réaliste de le contrôler ou de le prévenir.

P age 8 | dix
Diplôme en gestion de la sécurité

Le simple fait est que dans de nombreux cas où des risques importants et potentiellement majeurs sont identifiés, l'organisation ne peut
pas faire grand-chose pour y remédier. Afin de vaquer à ses occupations quotidiennes, chaque entreprise doit prendre une grande variété
de risques, tous les jours et tous les jours.
Il n’existe pas d’organisation sécurisée à 100% et aucune entreprise ne devrait s’efforcer d’éliminer tous les risques de l’équation.

Sécurité multidimensionnelle

La seule approche viable de la sécurité pour l'organisation actuelle est une approche complexe et multidimensionnelle. La réalisation
d'évaluations détaillées est essentielle pour dresser un tableau complet des divers risques et vulnérabilités auxquels l'entreprise doit faire
face. Après quoi, il s'agit de déterminer quels types de politiques et de protocoles doivent être rédigés et introduits en conséquence.

La sécurité physique (par des moyens de dissuasion physiques) n'est pas un sujet particulièrement complexe. Essentiellement, tous les obstacles ou barrières

que vous pouvez placer physiquement entre les actifs de votre organisation et les criminels potentiels vous aideront à faire le travail.

La sécurité des données, en revanche, n'est pas si simple. Il n'y a aucun moyen «physique» d'empêcher les pirates de se frayer un chemin
dans vos systèmes - tout se déroule de manière plus «virtuelle». C'est là que les mesures de sécurité des données telles que les suivantes
sont essentielles:

• Mots de passe

• Gestion des correctifs

• Pratiques de sauvegarde et exigences de stockage Formation de

• sensibilisation à la sécurité

• Antivirus
• Installation et configuration du système

Bien entendu, les risques internes (ceux posés par le personnel lui-même) peuvent être encore plus difficiles à prévenir et à prévoir. Il n'y a pratiquement aucun

moyen de savoir qui constituera une menace pour votre entreprise et ses actifs à un moment donné, que ce soit directement, indirectement, délibérément ou

accidentellement.

Néanmoins, les résultats de votre évaluation des risques et de votre évaluation de la vulnérabilité vous aideront à déterminer dans quelle mesure

votre entreprise doit faire face aux menaces internes.

Une sécurité efficace commence toujours au sommet de l'entreprise et imprègne chaque niveau hiérarchique jusqu'en bas. Les
décisions sur ce qui doit être protégé et comment devraient être prises par la haute direction, avant d'être officiellement enregistrées
sous forme de documents de politique.

Avant d'être officialisé, le contenu des documents doit être vérifié pour s'assurer qu'aucune des politiques n'enfreint les lois
applicables. Il convient également de préciser dans quelle mesure tous les membres du personnel sont attendus et tenus de
contribuer au cadre de sécurité de l'organisation.

P age 9 | dix
Diplôme en gestion de la sécurité

L'évolution des normes de sécurité

Comme évoqué précédemment, le sujet des «normes» en matière de sécurité est encore quelque peu une zone grise. Mais ce qui rend également

difficile la standardisation des pratiques de sécurité, c'est la manière dont les normes de sécurité (au sens des attentes et de la qualité) évoluent

continuellement.

Aujourd'hui, les normes (ou principes) de sécurité les plus largement reconnues et suivies sont les différentes normes «ISO». L'Organisation
internationale de normalisation publie une série de normes de bonnes pratiques, qui sont internationalement acceptées par des experts
dans leurs domaines respectifs.
Les normes ISO en termes de sécurité sont donc considérées comme la meilleure façon de faire quelque chose, mais ne représentent pas nécessairement des

«règles» et ne sont pas une question de droit.

Par exemple, ISO 45001 - SANTÉ ET SÉCURITÉ AU TRAVAIL - a été introduite pour aider les organisations à améliorer les conditions de travail et la

sécurité générale sur le lieu de travail au profit des employés. Parallèlement, la norme ISO / CEI 27001 - GESTION DE LA SÉCURITÉ DE

L'INFORMATION - a été introduite plus récemment, dans le but de normaliser les pratiques de sécurité des données pour les entreprises modernes.

Vous trouverez des informations complètes sur les normes ISO et leur pertinence sur le site Web officiel de l'Organisation
internationale de normalisation, accessible via le lien suivant:

https://www.iso.org/standards.html

Lectures complémentaires:

• L'importance de la sensibilisation à la sécurité de l'information pour le succès des entreprises

commerciales Janvier 2016 par Ebru Yeniman Yildirim

• Sensibilisation à la sécurité 4 février 2020 `` L'importance de la formation à la sensibilisation à la

sécurité '' par Cindy Brodie

P age 10 | dix