« Souvent, la partie "check" est omise - et c'est une erreur »
Définir et mettre en œuvre des dispositifs et des mesures de sécurité est une chose. Les tester et apporter la preuve qu'ils fonctionnent en est une autre. De tels audits font également partie de l'offre de Künzler&Partners. Nadine Boillat explique comment on procède dans ce qu'on appelle les PEN-TESTS.
Madame Boillat, qu'entend-on par PEN-TEST ?
Il s'agit d'un audit d'un dispositif de sécurité au cours duquel une pénétration physique est tentée. L'auditeur ou l'auditrice se rend dans l'entreprise ou l'institution qui doit être contrôlée et effectue un test à l'aide d'un scénario défini au préalable.
Quel est l'objectif ?
Lorsqu'il s'agit de la sécurité d'un site ou d'un terrain, il est judicieux de miser sur la méthode PDCA : plan - do - check - act. Très souvent, la partie "check" est toutefois omise. Et c'est une erreur, car cette phase sert justement à contrôler les mesures existantes et de pouvoir les adapter si nécessaire. Tous les dispositifs fonctionnent-ils correctement ? Les collaborateurs ont-ils assimilé la culture de la sécurité ? Les mesures de sécurité sont-elles encore d'actualité et pertinentes au regard des nouvelles menaces ? Pensez par exemple aux drones !
Que testent concrètement vos auditeurs et auditrices ?
Jusqu'à présent, nos PEN-TESTS se sont regroupés autour de quatre axes : intrusion sur un site, accès non autorisé, signalement d'un incident, colis suspect.
Avez-vous des exemples concrets ?
Essayer de pénétrer dans le périmètre de nuit permet de voir si les caméras détectent rapidement et correctement l'auditeur. Accès non autorisé : dans ce cas, nous essayons de suivre les collaborateurs à l'entrée du personnel sans identification par badge. Cela permet de déterminer si la tentative est détectée par le système de sécurité ou si les collaborateurs arrêtent l'auditeur (culture d'entreprise). Signaler un incident : nous simulons un malaise dans la zone d'accueil pour tester la réactivité et voir si le service médical de l'institution intervient. Ou nous déposons un colis suspect et analysons si et comment il est pris en charge.
Comment ces scénarios sont-ils définis ?
Au départ, nous étudions avec le responsable les sites, terrains ou locaux concernés, les dispositifs de sécurité disponibles ainsi que les objectifs du client. Ensuite, nous proposons au client des scénarios sur mesure. Grâce à notre expérience dans le domaine de la sécurité et aux compétences de nos auditeurs, nous sommes en mesure de proposer toute une palette de scénarios. En fonction des objectifs et des besoins du responsable de la sécurité, nous pouvons lui annoncer - ou non - les dates et les moments de nos interventions.
Comment cela se passe-t-il concrètement ?
Une fois les scénarios acceptés, le test est planifié, l'auditeur se prépare avec toutes les informations recueillies et se rend sur le site concerné pour effectuer le test. Pour ce faire, il prend une autre identité, se déguise peut-être même et ne révèle que si nécessaire qu'il s'agit d'un test. Il rédige ensuite un rapport complet avec la description du déroulement et des interactions avec les personnes impliquées. Le rapport peut être complété par des indications du client et discuté avec lui. De notre côté, une évaluation peut être ajoutée, par exemple dans le cadre d'une période de test, afin de documenter une amélioration.
De quelle expérience disposent vos auditeurs ?
Tous sont spécialisés dans la sécurité et la sûreté depuis de nombreuses années. Grâce à leur expérience dans ce domaine, ils peuvent apporter des détails techniques ou comportementaux de grande qualité lors de leur rapport.
Intéressé?
Contactez-nous.
Nadine Boillat et toute son équipe se feront un plaisir de vous renseigner.
Nadine Boillat
nadine.boillat@kuenzlerpartners.ch