Dans beaucoup d’entreprises, la sûreté ne se dégrade pas à cause d’un choc brutal. Elle s’affaiblit lentement, par petites dérives, jusqu’au moment où le système ne tient plus aussi bien qu’on le croit. L’érosion de la sûreté est souvent discrète. C’est pour cela qu’elle échappe si souvent au pilotage.
Le vrai danger n’est pas toujours là où on le cherche
Dans une entreprise, la sûreté est souvent pensée face à l’extérieur. Une intrusion. Un vol. Un acte malveillant. Une fraude. Cette logique reste nécessaire. Mais elle ne suffit pas.
Une entreprise peut aussi se fragiliser sans attaque visible. Sans incident spectaculaire. Sans alerte majeure. Le système tient encore. Les accès fonctionnent. Les caméras tournent. Les procédures existent. Les reportings sont produits. Pourtant, la réalité terrain se dégrade.
C’est là que la notion d’érosion devient utile. Elle ne remplace pas l’analyse des menaces ni celle des dangers. Elle apporte une autre lecture. Elle aide à comprendre comment un système de management de la sûreté perd peu à peu sa solidité, de l’intérieur, par relâchement, banalisation, décalage et manque de contrôle. C'est le syndrôme de la "tête dans le guidon", de la routine d'une équipe bien installée.
Dans le pilotage de la sûreté, c’est souvent un angle mort. Beaucoup de sociétés surveillent les risques visibles. Peu mesurent l’usure progressive de leur propre dispositif.
Menace, danger, érosion, trois logiques différentes
Une menace renvoie à une intention. Quelqu’un veut contourner, voler, nuire ou pénétrer un site. Il y a une volonté hostile.
Un danger renvoie à un événement accidentel ou à une source de dommage. Un incendie. Une panne critique. Une inondation. Une défaillance technique.
L’érosion est autre chose. Elle ne repose ni sur une intention malveillante, ni sur un accident isolé. Elle désigne une dégradation lente, interne, progressive. Elle s’installe dans le temps. Elle devient normale. Elle affaiblit le système sans faire de bruit.
Cette grille de lecture est très pertinente pour la gouvernance de la sûreté. Elle permet de voir ce qui se détériore avant qu’un incident n’oblige l’entreprise à le constater.
L’érosion de la sûreté commence souvent par des écarts jugés mineurs. Une revue repoussée. Un badge jamais récupéré. Un contrôle non testé. Une alarme ignorée parce qu’elle sonne trop souvent. Pris séparément, chaque écart semble gérable. Mis bout à bout, ils créent une dérive des procédures et une baisse réelle du niveau de maîtrise.
Comment l’érosion s’installe dans une entreprise
L’érosion ne s’installe pas en une semaine. Elle progresse par accumulation.
Au départ, il y a souvent un contexte banal. Une charge de travail forte. Un projet prioritaire. Un sous-effectif. Une équipe qui change. Un site qui s’agrandit. Une fusion. Un nouvel outil. Une exigence de rapidité plus forte que l’exigence de contrôle.
Ensuite, les arbitrages s’enchaînent. La maintenance est repoussée. La formation est différée. Les habilitations sont ouvertes plus vite qu’elles ne sont fermées. Les prestataires sont moins suivis. Les audits deviennent formels. Les écarts restent connus, mais ne sont plus vraiment traités.
Puis un décalage se crée entre le papier et le terrain. Les consignes écrites restent propres. La pratique réelle s’en éloigne. Le système de management de la sûreté semble intact, mais son efficacité diminue.
Les exemples sont connus dans de nombreux secteurs sensibles. Dans une banque, des droits d’accès s’accumulent après des changements de poste. Dans un site de santé, des badges temporaires restent actifs trop longtemps. Dans l’industrie, une porte technique reste régulièrement ouverte pour simplifier une circulation interne. Sur un site multi-bâtiments, des alarmes trop nombreuses finissent par créer une fatigue des alarmes. Dans une société à forte exigence de contrôle, certains tests ne sont plus rejoués car le dispositif est considéré comme stable.
Le point commun est simple. Le système ne casse pas. Il se relâche.
Les signaux faibles que beaucoup ne voient pas
L’érosion est difficile à voir au début car elle ne produit pas toujours d’incident. Elle produit d’abord de la tolérance. Une entreprise commence à accepter ce qu’elle aurait refusé quelques mois plus tôt. Un écart devient une habitude. Une exception devient une pratique. Un retard devient une norme.
Les signaux faibles existent pourtant. Ils sont souvent dispersés. Ils apparaissent dans des détails de fonctionnement :
- procédures jamais revues ou revues trop tard ;
- badges d’anciens collaborateurs non désactivés ;
- droits d’accès conservés par confort ;
- alarmes répétitives non analysées ;
- contrôles d’accès contournés au quotidien ;
- tests de dispositifs repoussés ;
- prestataires présents sur site sans suivi assez strict ;
- formations sûreté oubliées lors des arrivées ou des changements de fonction ;
- écarts entre les consignes écrites et la réalité terrain ;
- dépendance excessive à un outil sans vérification humaine.
Ces signaux faibles ne doivent pas être traités comme des anomalies mineures. Ils indiquent souvent une perte de discipline, une baisse de vigilance ou une rupture de cohérence entre gouvernance, management, terrain et outils.
Dans le pilotage de la sûreté, le plus risqué n’est pas seulement ce qui dysfonctionne. C’est ce qui dysfonctionne assez souvent pour devenir banal.
Pourquoi l’automatisation ne suffit pas
L’automatisation apporte beaucoup. Elle accélère les traitements. Elle trace. Elle alerte. Elle aide à couvrir des volumes que l’humain ne peut pas absorber seul. Dans un dispositif de sûreté moderne, elle est utile.
Mais elle ne corrige pas à elle seule l’érosion. Elle peut même l’aggraver si l’entreprise lui accorde une confiance excessive.
Un système automatisé mal paramétré diffuse des erreurs plus vite. Un contrôle d’accès bien déployé mais mal revu laisse vivre des droits inutiles. Une supervision qui génère trop d’alertes crée de la fatigue des alarmes. Un tableau de bord trop lisse masque la réalité du terrain. Une intelligence de détection non réévaluée produit une illusion de maîtrise.
La surconfiance dans l’outil devient alors une source d’érosion. L’entreprise croit que le système voit tout. Elle contrôle moins. Elle challenge moins. Elle teste moins.
C’est pour cela qu’un vrai human in the loop reste indispensable. Il faut un regard humain pour vérifier les exceptions, requalifier les alertes, arbitrer les accès sensibles, contrôler la qualité des données, observer les usages réels et décider quand le dispositif doit être corrigé.
La sûreté ne repose pas seulement sur des équipements. Elle repose aussi sur la qualité des contrôles, la vigilance humaine et la capacité d’une société à se remettre en question.
Ce qu’un responsable sûreté devrait suivre chaque mois
Pour détecter l’érosion de la sûreté, il faut suivre peu d’indicateurs, mais les suivre vraiment. Un responsable sûreté peut mettre en place un tableau mensuel simple autour de huit points :
- nombre de badges actifs sans justification à jour ;
- nombre de droits d’accès non revus dans les délais ;
- part des alarmes sans analyse ou sans action ;
- taux de tests de contrôle réellement effectués ;
- volume de maintenance repoussée sur les équipements critiques ;
- nombre d’écarts entre procédure écrite et pratique terrain ;
- taux de formation ou de recyclage sûreté réalisé ;
- niveau de suivi des prestataires sensibles.
Ces indicateurs ne servent pas à produire un reporting de plus. Ils servent à objectiver l’usure interne du système de management de la sûreté. Ils permettent aussi d’alerter la direction avant qu’un incident ne vienne faire le diagnostic à sa place.
Les bonnes réponses pour freiner l’érosion
La première réponse est de reconnaître le sujet. Tant que l’érosion est perçue comme une série de détails, rien ne change. Dès qu’elle est traitée comme un problème de gouvernance de la sûreté, le pilotage devient plus juste.
Au niveau gouvernance, la Direction doit demander une vision de la qualité réelle du dispositif, pas seulement une vision de sa présence. Un contrôle en place n’est pas un contrôle maîtrisé. Une procédure publiée n’est pas une procédure appliquée.
Au niveau management, il faut remettre des revues régulières sur les points sensibles. Accès. habilitations. tests. prestataires. maintenance. formation. écarts récurrents. Ces revues doivent déboucher sur des décisions, pas sur des constats.
Au niveau terrain, il faut rouvrir les boucles de retour. Les équipes savent souvent où le système se relâche. Encore faut-il qu’elles puissent le dire, que cela soit écouté et que cela soit traité rapidement.
Au niveau outils, il faut simplifier, fiabiliser et vérifier. Moins d’alertes inutiles. Des règles d’accès revues. Des journaux réellement exploités. Des contrôles automatisés testés. Des seuils ajustés. Une supervision qui aide à décider.
Enfin, il faut garder une exigence claire sur le human comme décideur. L’automatisation assiste. Elle ne remplace ni le discernement, ni la responsabilité.
Ce que cela change dans le pilotage de la sûreté
Prendre l’érosion au sérieux change la manière de piloter.
La question n’est plus seulement de savoir si l’entreprise est protégée contre une menace. La question devient aussi de savoir si son dispositif conserve, mois après mois, le niveau de rigueur qu’il prétend avoir.
Cette approche renforce le pilotage de la sûreté. Elle améliore la gouvernance de la sûreté. Elle rapproche les décideurs et le terrain. Elle évite de confondre conformité apparente et maîtrise réelle.
Une entreprise peut rester longtemps sans incident majeur visible tout en se fragilisant de l’intérieur. C’est précisément pour cela que l’érosion mérite une place claire dans le système de management de la sûreté.
Le constat à retenir est simple. Les menaces visibles mobilisent l’attention. L’usure interne du système, elle, reste souvent mal mesurée. C’est pourtant là que commencent beaucoup de failles.
Seeger Consulting peut vous aider à objectiver les signes d’érosion de la sûreté, à revoir vos points de contrôle et à remettre en cohérence gouvernance, terrain et outils.