Il existe une multitude de conseils sur la façon dont les installations et les opérations peuvent être plus sûres. Les audits de sécurité sont un moyen courant d'identifier les faiblesses et les domaines à améliorer. Mais en quoi consiste exactement un audit de sécurité physique ? Quels sont les éléments clés d'un audit réussi ? Et comment s'y prendre pour en réaliser un ? Cet article répondra à ces questions.
Qu'est-ce qu'un audit de sécurité physique ?
Un audit de sécurité physique est un examen externe et indépendant d'un programme de sécurité physique. L'auditeur examine le plan, les politiques et les procédures de sécurité d'une organisation. Il examine l'inventaire des actifs de l'organisation pour déterminer les risques de sécurité existants et les contrôles (procédures, politiques, équipements, etc.) mis en place pour gérer ou atténuer ces risques. L'audit est un élément essentiel du processus de sécurité, qui permet de s'assurer que l'organisation a mis en place les contrôles adéquats pour protéger ses actifs et son personnel.
Pourquoi réaliser un audit de sécurité physique ?
Un audit de sécurité permet d'identifier les domaines dans lesquels des améliorations peuvent être apportées au programme de sécurité physique. En examinant les politiques et procédures actuelles, ainsi que l'aménagement du site physique, l'auditeur peut formuler des recommandations d'amélioration fondées sur les normes et les meilleures pratiques du secteur. Un audit de sécurité réussi est un processus de collaboration qui aide toutes les parties à comprendre la situation en matière de sécurité, tant les risques que les contrôles en place pour les atténuer. Les audits sont également un bon moyen de démontrer la conformité et d'identifier les domaines dans lesquels des investissements en matière de sécurité pourraient être nécessaires.
Éléments clés d'un audit de sécurité physique
Le processus d'audit de la sécurité physique est conçu pour évaluer la sécurité des installations et des biens de l'organisation et pour déterminer si les contrôles en place sont conformes à la politique de sécurité de l'organisation et répondent aux normes du secteur. Un audit comprendra les aspects suivants.
- Inventaire des actifs - Cela comprend un audit de l'inventaire physique des actifs de l'organisation et un examen de l'inventaire informatique de l'organisation. Cela permettra de déterminer quels actifs nécessitent une protection supplémentaire et si les contrôles de sécurité existants sont appropriés pour les actifs.
- Évaluation des risques - Cette partie de l'audit permettra de déterminer les risques associés aux actifs (et aux personnes) de l'organisation. Cette évaluation sera basée sur une analyse de tous les facteurs, y compris la géolocalisation de l'organisation et de ses actifs, le type d'organisation, le type de données traitées et la sensibilité des données.
- Examen des mécanismes de contrôle - Cette partie de l'audit déterminera si les contrôles spécifiés par la politique de sécurité sont en place et fonctionnent comme prévu.
- Examen des plans de communication et d'intervention d'urgence - Il s'agit de déterminer si les plans de communication et d'intervention d'urgence en place sont adéquats.
- Examen de la vidéo-protection - Il s'agit de vérifier le type de systèmes de caméras en place, l'emplacement des caméras et le type de flux vidéo enregistré (en direct ou en différé).
Identifier les risques et les mécanismes de contrôle
Lors de l'audit de sécurité physique, l'auditeur doit procéder à un examen approfondi des installations et des équipements afin d'identifier les systèmes examinés et les risques qui y sont associés. Il doit notamment examiner des éléments tels que la disposition du bâtiment, le type et l'état des barrières physiques, l'emplacement des serveurs et des autres actifs informatiques critiques, le type de portes et de serrures utilisées dans l'installation, ainsi que l'état du câblage et des autres systèmes du bâtiment. De plus, l'auditeur voudra examiner la politique de sécurité pour déterminer ce qu'elle dit des risques associés aux systèmes examinés. Cela aidera l'auditeur à identifier les mécanismes de contrôle appropriés (comme un contrôle de sécurité) qui devraient être mis en place pour gérer les risques associés aux systèmes examinés.
Confirmez le problème que vous essayez de résoudre
Comme indiqué ci-dessus, un audit de sécurité physique aidera à identifier les risques associés aux systèmes examinés et les mécanismes de contrôle en place pour gérer ces risques. Si l'auditeur détermine que les mécanismes de contrôle sont appropriés et qu'ils sont en place pour gérer les risques, il a terminé son audit. Si, par contre, il détermine que les mécanismes de contrôle ne sont pas appropriés pour gérer les risques, il a un problème à résoudre. La première étape de la résolution de ce problème consiste à le confirmer. L'auditeur voudra s'assurer qu'il a correctement identifié le problème. Il voudra confirmer que le problème est réel et qu'il peut être résolu grâce aux résultats de l'audit de sécurité physique.
Revue de la gestion des biens physiques
Une autre partie importante d'un audit de sécurité physique est l'examen du programme de gestion des biens de l'organisation. Un actif est tout ce qui a de la valeur et que l'organisation possède, comme des serveurs, des ordinateurs portables, des équipements de réseau ou des véhicules. Le programme de gestion des biens est un processus de gestion qui garantit que l'organisation prend soin de ses biens, par exemple en entretenant correctement les véhicules, et que l'organisation sait où se trouvent les biens. Le programme de gestion des actifs s'applique généralement aussi aux actifs informatiques de l'organisation. Les actifs physiques qui ne font pas partie des actifs informatiques de l'organisation ne font généralement pas partie du programme de gestion des actifs.
Revue de la vidéo-protection
Un audit de sécurité physique comprendra également un examen du programme de vidéo-protection de l'organisation. Cela implique généralement un examen des caméras vidéo en place et une évaluation du type de flux vidéo enregistré (en direct ou en différé). L'auditeur voudra s'assurer que les caméras vidéo sont placées aux endroits appropriés pour capturer les scènes souhaitées, comme les entrées et les sorties, les parkings ou les zones considérées comme critiques ou sensibles. L'auditeur devra également s'assurer que les caméras vidéo enregistrent de la manière appropriée.
Examen de la communication et de l'intervention d'urgence
Enfin, un audit de sécurité physique comprendra également un examen des plans de communication et d'intervention d'urgence de l'organisation. L'auditeur voudra déterminer si les plans de communication et d'intervention d'urgence sont adéquats pour l'organisation. La communication comprend la communication interne entre les employés et la communication externe entre l'organisation et les entrepreneurs, les vendeurs, les clients ou d'autres parties prenantes. Les plans de communication et d'intervention d'urgence comprennent des procédures de communication en situation de crise et des procédures de notification aux autorités en cas de catastrophe.
Conclusion
Les audits de sécurité physique peuvent aider à identifier les faiblesses de la posture de sécurité d'une entreprise, et peuvent être un moyen bénéfique d'améliorer la sécurité d'une entreprise. Avant de réaliser un audit de sécurité physique, il est important de déterminer les éléments de l'audit sur lesquels se concentrer. Chaque élément révélera différents aspects du programme de sécurité de l'organisation et peut contribuer à mettre en évidence différents problèmes à résoudre.
Pour vous aider à définir le niveau initial de votre niveau de la sécurité physique CARINEL a mis en place un questionnaire d'auto-diagnostic de sûreté en ligne .
Ce questionnaire gratuit et sans engagement a pour objectif de définir votre niveau de vulnérabilité. En retour de ce questionnaire complété, nous vous ferons parvenir un bilan des vulnérabilités identifiées et nos préconisations d'améliorations.
Comments