JE N’AI PAS DE RESPONSABLE SÛRETÉ ! A QUI CONFIER MON PROJET ?
09 octobre2024
C’est une question légitime pour de nombreuses entreprises. Si les grandes organisations disposent le plus souvent d’un directeur de la sûreté, il n’en est pas de même pour les PME et même pour certaines ETI. Dans ce cas, à qui confier le déploiement et la maintenance d’une solution de sûreté ?
Déjà de quoi parle-t-on ? Solution de sûreté ou solution de sécurité ?
La sécurité définit plus la prévention et la gestion des risques accidentels. La sûreté recouvre plutôt la protection contre des actions intentionnelles ayant vocation à nuire. Un système de contrôle d’accès, de détection intrusion ou de vidéo-surveillance entre donc dans la deuxième catégorie.
Qui fait quoi ?
Dans les plus grandes entreprises, la direction de la sûreté assume la responsabilité de la protection des personnes et des biens de l’entreprise contre les malveillances. La situation est claire : le choix, le déploiement et la maintenance de la solution de contrôle d’accès entrent très généralement dans son périmètre.
Dans les ETI et encore plus les PME, savoir qui est véritablement en charge de la sûreté dans l’organisation est souvent moins explicite.
Une fonction souvent à « temps partiel » et multi-service
Dans ces organisations, la fonction est le plus souvent assumée « à temps partiel » par plusieurs personnes qui vont prendre des responsabilités de sûreté par proximité fonctionnelle avec leur mission principale.
Le choix de la solution de contrôle d’accès électronique, son déploiement et son exploitation font le plus souvent intervenir plusieurs services. Son fonctionnement quotidien est ainsi basé sur une responsabilité multiple, ce qui peut aussi avoir pour conséquence une dilution des responsabilités au final.
Quels décideurs et quels acteurs quand l’organisation n’a pas de responsable sûreté ?
Sur les projets que nous gérons, nous observons que 3 grands types de fonctions sont régulièrement sollicitées sur les projets.
La DSI : l’architecte du système
La DSI est par nature très impliquée dans le choix de la solution. On estime qu’elle est consultée dans 85% des cas lors du choix de la solution de sûreté, elle peut même devenir le décideur principal dans les PME, et pour cause, car le système s’appuiera sur l’infrastructure IT, en particulier sur le réseau IP. La DSI est très fréquemment en responsabilité du déploiement de la solution, de l’installation et du paramétrage de nouveaux équipements électroniques et de l’administration au sens IT de la solution. Elle est par contre moins souvent en charge de son exploitation quotidienne qui peut être confiée à d’autres services. Dans les organisations ne disposant pas de responsable sûreté, la DSI est parfois en charge de la gestion des anomalies et des alertes. Elle peut devenir à ce titre un ‘quasi’ responsable sûreté…par défaut.
Le service RH : la gestion des droits au quotidien
Le service RH est régulièrement impliqué dans l’exploitation de la solution pour la gestion des employés, l’affectation des badges et des droits. Il est en charge de l’intégrité des données (identifiants, badges…) et doit notamment garantir que les droits d’accès sont en ligne avec les contrats de travail ou les missions dans le cas du personnel intérimaire.
Les services généraux / Le service logistique : la supply chain de la sûreté
Les services généraux sont assez souvent en charge du déploiement de la solution pour l’aspect bâtimentaire, génie civil et obstacles. Ils travaillent avec le service informatique pour les équipements informatiques et le paramétrage. Ils sont plus rarement en charge de la gestion de la sûreté au quotidien : levées de doutes, alertes, interventions etc….
Les directions opérationnelles peuvent aussi intervenir à différents degrés dans le déploiement et l’exploitation de la solution.
Bien délimiter qui fait quoi
Toutes les organisations ne peuvent pas justifier la création d’un poste de responsable de la sûreté. Pour autant, la plupart déploient aujourd’hui des systèmes de contrôle d’accès, de détection intrusion ou de vidéoprotection. Il faut donc composer au mieux en tenant compte des ressources et compétences disponibles dans l’entreprise.
Au niveau du déploiement : Les projets de sûreté intègrent de nombreux lots (logiciel, matériel électronique, obstacles, génie civil, courants faibles…) et la coordination doit être rigoureuse. Il est essentiel de savoir qui fait quoi au moment de la planification du projet. Cela évite des renvois de responsabilité, des tâches non affectées, et des retards lors de la mise en place.
Au niveau de l’exploitation : il est vital de savoir qui fait quoi au quotidien et où sont les limites de responsabilité de chaque intervenant quand il n’y a pas de responsable sûreté attitré. Nous recommandons en particulier de veiller à 2 aspects :
- Les processus de paramétrage au quotidien pour garantir que les droits sont constamment à jour. La rigueur sur ce point doit être absolue.
- Les processus d’exploitation et d’intervention en cas d’anomalie et de menace. Qui fait la levée de doute ? Qui enclenche l’intervention des équipes de sécurité ? Qui s’assure de la gestion de bout en bout de l’incident ?
David Siboun, Chef des ventes chez Horoquartz – Département Sûreté