Une méthode reposant sur quatre principes
Les problématiques de sûreté sont des questions complexes, au croisement d’une multitude de domaines : sociologie, économie, droit, justice, police, psychologie, psychiatrie, criminologie, etc.
L’expérience acquise par AFL Conseil a favorisé la création d’une méthode, déposée, de décomposition des problématiques de sûreté qui permet aux décideurs à la fois d’en saisir la synthèse et de ne pas perdre de vue la complexité et la précision nécessaires à la réalisation des contre-mesures.
Elle repose sur quatre principes :
1. Séparer risque et réponse
Il faut systématiquement considérer de manière séparée l’analyse de risques de l’analyse des réponses de sûreté. Dans les faits, la lutte contre le risque ne correspond que très rarement, et encore, dans des conditions limitées, à une baisse du risque. C’est à partir de cette expérience de risques très majoritairement exogènes sur les structures, que la méthodologie a été développée. Cet exercice place l’auditeur dans une logique d’évaluation de résultats et pas seulement de moyens.
2. Pondérer par la gravité, l’occurrence et l’impact
Il s’agit d’intégrer trois facteurs de pondération dans l’analyse de risques : la gravité du risque analysé, la probabilité d’occurrence du risque considéré et l’impact sur la structure. Cette triple pondération permet de réellement envisager toute la palette de risques inhérents à une organisation, sans la simplifier de manière déformante.
3. Fixer le niveau de vulnérabilité admissible
Il faut ensuite rapprocher le niveau de risque évalué du niveau de performance de la structure en matière de protection, ce qui permet de véritablement « positionner le curseur ».
Le sur-mesure est un impératif de la sûreté moderne, en opposition à toutes les formes de prêt à porter trop souvent proposées par les fournisseurs de solutions.
4. Permettre le déploiement spatio-temporel interne de l’audit
Il faut enfin permettre un déploiement de la méthode d’analyse de vulnérabilité à l’intérieur d’une organisation et dans le temps, par un transfert de compétences.
L’auditeur n’a en effet pas vocation à rendre l’organisation qui fait appel à lui dépendante de son savoir. Il s’agit donc de transférer la méthodologie posée pour chaque organisation.