Dans un monde où un sommet du #G7 peut faire bouger les lignes économiques, sécuritaires et technologiques en quelques heures, les entreprises ne peuvent plus se contenter d’observer la géopolitique depuis la salle du conseil. Tensions entre puissances, conflits régionaux, souveraineté numérique, menaces hybrides, instabilité des chaînes d’approvisionnement, sécurité des sites sensibles : chaque décision stratégique est désormais traversée par des risques mondiaux. En Suisse, le sujet est encore plus intéressant. Le pays bénéficie d’une image de stabilité, de neutralité et de sécurité. Mais les entreprises helvétiques, elles, ne vivent pas dans une bulle alpine. Une banque genevoise, un groupe pharmaceutique bâlois, une société de négoce à Zoug, une entreprise technologique zurichoise ou une organisation internationale basée à Genève peuvent être installés dans un environnement local stable tout en étant exposés à des tensions mondiales très instables. C’est dans ce contexte qu’émerge une fonction encore rare, mais appelée à devenir centrale : le directeur de l’intelligence géopolitique et de la sûreté stratégique, équivalent francophone du Chief Geopolitical Officer. Sa mission ? Transformer les signaux faibles en décisions concrètes. Anticiper les crises. Protéger les collaborateurs, les actifs physiques, les données, les sites sensibles et la continuité d’activité. Et, de plus en plus, s’appuyer sur l’intelligence artificielle pour détecter plus vite les menaces, modéliser des scénarios et éclairer la direction générale. Pour les entreprises suisses exposées à l’international, cette fonction n’est plus un luxe. C’est un levier de résilience, de protection et de performance.

L’intelligence artificielle entre désormais dans les dispositifs de sécurité physique : caméras intelligentes, contrôle d’accès augmenté, analyse comportementale, détection d’anomalies, outils d’aide à la décision pour les équipes sûreté. Sur le papier, la promesse est séduisante : gagner du temps, mieux anticiper les incidents, réduire les angles morts et renforcer la prévention. Mais une question dérangeante se pose très vite : qui gouverne réellement ces systèmes une fois qu’ils sont déployés ? C’est là que la gouvernance avec la norme ISO 42001 devient un levier stratégique. Elle ne consiste pas à freiner l’innovation, mais à éviter le piège technologique : acheter une solution IA parce qu’elle impressionne, sans avoir clarifié les risques, les responsabilités, les critères de décision, la supervision humaine et les preuves de conformité attendues. Dans le domaine de la sécurité physique, une IA mal cadrée peut générer de faux positifs, orienter une mauvaise décision, créer une dépendance fournisseur ou exposer l’entreprise à des risques juridiques, éthiques et opérationnels. À l’inverse, une solution choisie avec une démarche ISO 42001 permet de structurer l’usage de l’IA, d’encadrer les prestataires et de sécuriser les décisions avant, pendant et après le déploiement. L’objectif de cet article est simple : aider les dirigeants, responsables sûreté et décideurs à choisir une solution IA fiable, utile et gouvernable, sans confondre performance technologique et maîtrise réelle du risque.

Les menaces de l’IA pour la sécurité physique ne relèvent plus de la science-fiction. Aujourd’hui, une intelligence artificielle utilisée à mauvais escient peut aider un attaquant à préparer une intrusion, imiter une identité, manipuler un collaborateur, contourner une procédure de contrôle ou exploiter les angles morts d’un dispositif de sûreté. Le risque n’est donc plus seulement numérique. Il devient concret, opérationnel, parfois même physique. En Europe, plusieurs incidents récents montrent déjà cette porosité entre cyberattaque et sécurité terrain. En Scandinavie, Nordic Choice Hotels a subi en décembre 2021 une attaque par ransomware qui a touché des fonctions très concrètes : réservations, check-in, paiements, mais aussi cartes d’accès et fonctionnement des hôtels. Le cas est parlant : lorsqu’un système numérique tombe, l’accueil, les accès, les clients et les équipes sont immédiatement impactés. Même constat dans la santé. En juin 2024, l’attaque contre Synnovis, prestataire de services de laboratoire pour plusieurs hôpitaux londoniens, a provoqué des perturbations majeures : annulations d’opérations, reports de rendez-vous, tensions sur les analyses sanguines et continuité des soins fragilisée. Ici encore, le sujet dépasse largement la donnée informatique : il touche directement les patients, les soignants et l’organisation physique des établissements. Dans le monde du luxe et des grandes entreprises, la menace prend une autre forme : l’usurpation ultra-crédible. En 2024, un cadre de Ferrari a été ciblé par une tentative d’arnaque utilisant une voix générée par IA pour imiter le CEO Benedetto Vigna. La tentative a été déjouée grâce à une question personnelle posée par le cadre. La même année, le CEO de WPP, Mark Read, a été visé par une tentative de deepfake mêlant faux compte WhatsApp, réunion Microsoft Teams, voix clonée et vidéo. Ces exemples ont un point commun : l’attaquant ne force pas forcément une porte. Il cherche à obtenir une validation, une action, une autorisation, une confiance. Demain, ce type de scénario pourrait viser un accès à une boutique de luxe, une livraison sensible, une réserve de bijoux, un campus, un hôpital ou un site industriel. Pour une entreprise, la question n’est donc plus simplement : “Mes données sont-elles protégées ?” mais aussi : “Mes bâtiments, mes collaborateurs, mes visiteurs, mes patients, mes stocks ou mes infrastructures peuvent-ils résister à une attaque augmentée par l’IA ?”

Dans beaucoup d’entreprises, les incidents sont bien consignés. Une altercation à l’accueil. Une porte retrouvée ouverte. Un badge utilisé hors horaire. Une alarme traitée avec retard. Chaque événement est enregistré, classé, parfois transmis. Puis il disparaît dans une main courante, un tableau Excel ou un dossier PDF. Le problème n’est donc pas toujours l’absence d’information. C’est l’absence de rapprochement. Trois incidents mineurs, pris séparément, semblent anodins. Ensemble, ils peuvent révéler une faiblesse de procédure, une zone mal surveillée ou une chaîne d’alerte trop lente. L’intelligence artificielle peut aider à transformer ces traces dispersées en radar opérationnel. À condition de rester un outil d’analyse, pas un juge automatique.

Les entreprises suisses disposent souvent déjà de caméras. Pourtant, lorsqu’un incident survient, plusieurs difficultés apparaissent : images trop nombreuses à examiner, recherche lente après un événement, alertes peu fiables ou absence de surveillance active en dehors des heures habituelles. L’analyse vidéo assistée par intelligence artificielle peut apporter une réponse à certains de ces problèmes. Elle peut aider à signaler un franchissement de ligne, une présence dans une zone restreinte, une chute, un objet abandonné ou accélérer la recherche d’une séquence après incident. L’enjeu n’est pas de remplacer l’opérateur. Il est de lui éviter de regarder passivement des écrans pendant des heures et de concentrer son attention sur les événements qui nécessitent une action. Cette évolution intéresse naturellement les responsables sûreté et facility managers. Mais elle crée aussi un piège : commencer le projet par une fonctionnalité attractive, plutôt que par le risque opérationnel à traiter. Une caméra intelligente n’est pas un objectif. C’est un outil au service d’une décision.

Une interdiction d’entrée dans un bâtiment ouvert au public n’est jamais une mesure anodine. Dans une agence bancaire, une administration ou tout autre lieu privé accessible au public, elle intervient souvent après une montée progressive des tensions : un simple rappel à l’ordre, une altercation verbale, une menace, voire une violence physique envers les collaborateurs. Face aux incivilités, l’organisation doit protéger ses équipes. Mais elle doit aussi éviter les décisions improvisées. Qui peut décider d’interdire l’accès ? Comment notifier la mesure ? Faut-il prévenir la police ? Peut-on étendre l’interdiction à plusieurs sites d’un même réseau ? Et surtout, comment tenir un registre interne sans porter une atteinte excessive à la protection des données personnelles ? C’est ici que l’équilibre devient délicat. D’un côté, l’employeur a l’obligation de protéger ses collaborateurs. De l’autre, toute collecte ou diffusion d’informations sur une personne interdite d’accès doit rester proportionnée, limitée et justifiée. Entre sécurité des personnes, conformité juridique et gestion opérationnelle du risque, chaque étape compte. Cet article vous aide à structurer une réponse claire, graduée et documentée pour sécuriser vos espaces d’accueil sans fragiliser votre organisation.