Plan de défense contre les menaces

(Partie 1 de 2)

Le plan de défense et la démarche de gestion de crise qui doit lui être associée sont des éléments de protection essentiels à toute entreprise désireuse de se protéger et de protéger ses clients contre les menaces. Raison pour laquelle le GFSI et les différents référentiels sous sa gouverne ont mis de l’avant, depuis quelques années, des exigences strictes quant aux mécanismes requis pour contrer ou du moins atténuer la vulnérabilité des organisations et les impacts potentiels des menaces environnantes. Et en ces temps troubles, la nécessité d’orienter son organisation dans une logique préventive n’en est que plus évidente.

Bien que conscientes des risques et des obligations, plusieurs entreprises tergiversent encore trop face aux actions requises. Elles ont l’impression d’être à l’abri, de ne pas être concernées en raison de leur localisation, du type de produits fabriqués, des volumes produits ou du marché desservi et de ce fait, délèguent rapidement la mise en place d’un programme sommaire à leur responsable qualité : tant que l’audit de maintien ou de certification est réussi, l’entreprise a l’impression d’avoir suffisamment agi. Pourtant, sur la scène internationale, plusieurs cas d’attaques malveillantes nous ont démontré le risque réel pouvant peser sur la sûreté des activités et des produits d’une entreprise et donc, directement sur la sécurité de ses employés et de ses clients. Dans une approche préventive, l’adoption d’un programme réfléchi, structuré et validé devient l’outil de protection à privilégier.

Mise en œuvre d’un programme de défense

Un programme de défense se construit de manière systématique en réalisant une série d’étapes essentielles :

  1. Engagement de la direction
  2. Nomination d’une équipe dédiée
  3. Évaluation de la vulnérabilité aux menaces
  4. Adoption des mesures requises additionnelles d’atténuation et de protection
  5. Développement de procédures et de documents internes de soutien
  6. Déploiement du programme adopté, suivis de maintien et d’amélioration des pratiques
1. Engagement de la direction

Élément incontournable du programme, l’engagement de la direction doit dépasser l’engagement de façade. Essentiellement, l’approche doit s’inscrire non comme la réponse à une exigence client ou d’un référentiel, mais comme une démarche stratégique de protection. En prenant conscience du contexte externe et interne dans lequel l’entreprise évoluée, la direction est à même d’orienter les mesures à prendre pour atténuer significativement les risques. Ce positionnement traduit dans une politique claire quant à la sûreté du site, des opérations et des produits favorisera l’atteinte d’objectifs spécifiques et inspirera confiance à tous, quant à la capacité de l’organisation à assumer ses responsabilités.

 2 – Nomination d’une équipe dédiée

Les personnes mandatées à la défense peuvent participer à d’autres comités internes, mais ne seront pas d’emblée celles participant à l’évaluation des vulnérabilités de sécurité, de fraude, de SST ou encore celles composant le noyau de gestion de crise. Comme les enjeux et les objectifs de sûreté ne sont pas les mêmes que ceux concernant les préoccupations précédemment mentionnées, l’expertise recherchée auprès des membres de l’équipe sera elle aussi différente.

L’équipe responsable du programme de défense sera composée de membres choisis en fonction de leur autorité organisationnelle, de leur expérience et de leurs connaissances du contexte interne et externe avec lequel l’organisation doit composer, ainsi que de leur compréhension quant à la réalité des marchés. Par ailleurs, en plus d’être conscientisé aux enjeux et aux risques présents, chacun de ces membres devra se distingué par sa discrétion quant aux vulnérabilités identifiées.

Le fonctionnement de l’équipe sera certes dicté par la culture de l’organisation, mais son rôle restera toujours le même: réaliser des évaluations situationnelles, coordonner des mises en œuvre organisationnelles et assurer l’amélioration continue des mesures adoptées. Les membres pourront être remplacés, mais l’équipe ne pourra être dissoute; l’une de ses responsabilités principales restant la nécessité d’exercer une veille sur les menaces émergentes que des changements pourraient faire peser sur l’organisation.

Pour démontrer la validité de l’équipe, au-delà de la liste des membres, le coordonnateur devra s’assurer que ses membres ont été formés aux principes généraux soutenant un programme de défense et générer les preuves démontant la tenue des réunions et les mécanismes d’adoption des mesures.

3 – Évaluation de la vulnérabilité aux menaces

L’évaluation de la vulnérabilité aux menaces peut être faite à l’aide d’outils formatés, tel le TACCP, le CARVER+Shock Primer de la U.S. Food & Drug Administration https://www.fda.gov/food/food-defense-programs/carver-shock-primer ou être une adaptation interne de différentes approches, dans la mesure où l’adaptation faite permettra une analyse structurée, logique, fiable et pertinente en regard de la démarche à réaliser. Dans cette optique, il demeure quand même essentiel de référer aux listes de réflexion comme celle mise en ligne par le département de l’agriculture des États-Unis https://www.fsis.usda.gov/wps/wcm/connect/67bdd8ff-ee88-4472-b65e-37b87f8e0d9c/General-Food-Defense-Plan-French.pdf?MOD=AJPERES.

À titre d’exemple de démarche, le comité devra:

  • Identifier, en référant aux listes précédemment citées, les éléments sensibles de son organisation et décrire précisément les vulnérabilités qui leur sont associées.
  • Identifier, pour chacune de ces vulnérabilités, les mesures de protection déjà instaurées.
  • Évaluer le risque posé par chacune des vulnérabilités identifiées (la conception et l’interprétation d’une matrice de risque bien pensée et testée quant à sa pertinence sont préalables à la démarche et demeurent essentielles) en tenant compte de l’atténuation qu’apportent les mesures de protection déjà instaurées.

 

Rédactrice : Martine Guilbault, Blogue GFC Ressources inc.