SCORE NT

Les experts en sureté et sécurité

Storytelling

21-01-2016
Quand les apparences sont trompeuses!

Le nom de la  société ni l’activité ne seront  indiqués.
Quand nous avons  reçu cet appel d’offre pour un audit de la sûreté. il y a quelques années, j’ai bien sûr entrepris de prendre des informations sur cette grande entreprise; par l’organigramme, j’apprenais qu’il existait dix divisions, , plusieurs milliers d’employés, des sociétés externes présentes dans le site comme par exemple la société chargée de l’entretien, la gestion du bar et du restaurant et la société de manutention. Il y avait un security manager qui dépendait de la division Facility et une société de gardiennage avec une quinzaine d’agents de sûreté présents sur les trois roulements dirigés par un responsable et un vice responsable.
Toute cette organisation à première vue semblait impressionante et bien réglée et donc , je me suis demandée pourquoi avaient-ils besoin d’un audit?
Nous avons donc présenté notre offre et avons obtenu ce contrat. Au premier rendez-vous, nous avons été informés que c’était le nouveau CEO, anglosaxon, très sensible à la sécurité, qui avait voulu  cet audit afin d’évaluer le niveau de sécurité de l’entreprise.
Même si je m’attendais à trouver quelques failles, car il est très rare de trouver une organisation de sûreté parfaite, surtout dans les grandes entreprises et quand il y a de différents  acteurs , j’étais bien loin d’imaginer tout ce que nous avons découvert pendant nos inspections et enquêtes internes qui auraient dû durer à peu près trente jours vues et considérées  les dimensions du site.
Tout au début, nous nous sommes rendus compte qu’il y avait quelque chose qui clochait; le contrôle des accès ne fonctionnait pas très bien car nous pouvions noter des tas de personnes qui entraient sans badge visibile comme le préconisaient les politiques de l’entreprise. Nous avons donc envoyé quelques personnes qui n’étaient pas connues pour vérifier la faisabilité  d’intrusion  sur le site et malgré les trois agents de sûreté fixes à l’entrée du site, les sept personnes en undercover ont réussi à entrer sans être vérifiées ou bloquées. Cette expérience a été reproduite sur différentes journées et sur différents horaires. En fait, il suffisait de se mêler au flux des employés pour rentrer facilement.De plus, ces personnes sont restées dans l’entreprise pendant plusieurs heures, ont circulé dans les différentes parties sans badge à vue et malgré la présence de vidéosurveillance et de patrouilles d’agents, personne ne leur a jamais demandé le motif de leur présence.
Un autre détail avait attiré notre attention: la propreté du site n’était pas exactement adapté au type d'entreprise. Selon le contrat  établie avec la société externe , il devait y avoir une trentaine d’opérateurs à se relayer sur les différents horaires.  Pendant la première semaine, nous avons constaté que le numéro des opérateurs était de onze personnes, donc un tiers. Je retournerai sur ce point plus tard.
Nous nous sommes concentrés sur le dépôt qui contenait des marchandises extrèmement coûteuses, plusieurs dizaines de millions d’euros. Des alarmes étaient bien installées soit à l’accès de la partie externe soit aux accès de la partie interne. Pendant nos inspections, nous avions remarqué que les portes externes dédiées aux fournisseurs et aux courriers qui retiraient les marchandises étaient presque toujours ouvertes. Le responsable du dépôt, interrogé, nous répondait que cela était nécessaire pour les opérations, bien que cela n’était pas prévu selon le security manager.
Nous avons donc décidé de simuler un cambriolage un dimanche – le site était ouvert et actif 24/24 et 7/7. Nous avons organisé une équipe de trois de nos hommes qui sont arrivés par la rampe externe sur un fourgon et à grande surprise les portes du dépôt étaient grande ouvertes bien que le dimanche, il n’y avait aucune livraison prévue. Des palettes pleines de marchandises, imprimantes laser et cartouches de toner avaient été laissées à l’extérieur. En outre, les alarmes placées aux portes d’accès internes n’étaient même pas activées.Nos hommes ont pû circuler librement dans les dépôts, choisir les marchandises à emporter sans jamais être dérangés.
Aucune trace des gardes.  Le fourgon a été chargé sans que personne n'intervienne, le tout filmé bien sûr avec la liste de tout le matériel expédiés immédiatement à notre référent de l’entreprise. Une fois la simulation terminée, nous avons vérifié où se trouvaient les gardes de sécurité: tout simplement dans la central room à regarder le match de football.
A propos de la central room, les gardes présents de nuit ont été surpris plusieurs fois par nos inspecteurs soit à regarder des films porno soit à dormir tranquillement au lieu de surveiller le site. Pas de patrouilles autour et à l'intérieur du site.
Pendant le contrôle technique des alarmes qui avait été confié à une société de télésurveillance externe, nous avons provoqué une alarme d’une zone particulièrement sensible pour vérifier les temps d’intervention. Nous ne recevions aucun feedback et après une demi-heure, nous avons appelé la société qui nous a répondu qu’elle n’avait reçu aucune alarme; nous demandions la vérification du système. Leur  réponse a été positive et l’opérateur nous répondait même que des vérifications fréquentes étaient effectuées. Eh bien, vous n’y croirez peût –être pas mais nous avons découvert que les alarmes n’avaient jamais été branchées sur la ligne téléphonique! Motif? Manque de coordination entre la société de télésurveillance et la société de maintenance qui aurait dû relier le système à la ligne!
En inspectionnant les différents locaux, nous découvrions des locaux techniques  pleins de dizaines de bouteilles de champagne et d’alcool de grandes marques vides. Il a été vérifié par la suite que ces bouteilles provenaient du stock des cadeaux de fin d’année qui arrivaient tous les ans offerts par des clients et des fournisseurs et qui avaient été prélevés dans le dépôt des marchandises par les opérateurs à l’entretien. Ils se cachaient ensuite dans les locaux  pour boire et ensuite abandonnaient les bouteilles vides.
Dans les toilettes, nous avons relevé plusieurs fois une forte odeur de cannabis et des traces de poudre blanche sur les étagères; par la suite, nous avons individué qui étaient les fréquentateurs habituels qui venaient se faire un joint ou tirer un peu de cocaine  pendant les heures de travail, tout simplement.
En interviewant un certain numéro d’employés, nous découvrions aussi que de nombreux vols  d’affaires personnelles (ordinateurs portables, téléphones, argent )étaient commis.
Ce serait vraiment trop long vous décrire tous les faits hallucinants que nous avons découvert, comme des situations de mobbing ou de harcèlement, de véritables conspirations   pour arriver au pouvoir, des dealers qui venaient refournir des employés juste en dehors de l’entreprise  et ce que j’ai raconté jusqu’ici ne sont que quelques exemples.
Ce qui était  très intéressant par contre,  était l’occupation principale du security manger :  naviguer sur internet sur des sujets d’intérêt personnel comme la pêche ou les appareils photographiques et il ne s’en cachait nullement car on pouvait le noter en passant devant son bureau vitré. Pire encore, de la documentation réservée relative à la sécurité de l’entreprise trônait sur son bureau à vue et à disposition de n’importe qui. Pour ce qui regardait la sûreté, il déléguait le tout au responsable des agents de sûreté dont le passe temps favori était de draguer les jolies filles de l’établissement.
Une fois, notre rapport terminé et présenté au CEO, celui ci nous chargeait de faire des enquêtes internes et de réorganiser la sûreté de l’entreprise.
Il nous a fallu plus d’un an de travail pour redresser  la situation, découvrir des délinquances astucieuses, une en particulier m’ait restée gravée dans la mémoire. Le facility manager avait créé grâce à quelques complices une société de services à laquelle il “attribuait”  des tas de contrats. En outre, il recevait des pots-de-vin de la part des fournisseurs soit pour les choisir comme prestateurs de services  soit pour fermer les yeux  sur certains méfaits commis par les employés de ces sociétés et sur le nombre d’employés présents comme celle de nettoyage dont j’ai parlé auparavant. Cela expliquait le total manque de contrôle sur les sociétés externes qui opéraient à l’intérieur du site.
Grâce à un système de vidéosurveillance supplémentaire installé à l’intérieur du site, nous découvrions les auteurs de nombreux vols et de dégradations volontaires des biens de l’entreprise commis par des employés qui éprouvaient du ressentiment envers la société.
En effectuant un contrôle informatique, il fût découvert qu’une grande quantité de documents importants  avait  été imprimée par plusieurs employés qui n’avaient aucun motif pour le faire; données de clients, contrats , documents réservés… Les techniciens de la division IT n'avaient jamais relevé les anomalies, tout simplement parce qu'ils ne contrôlaient rien!
Nous avons établi de nouvelles procédures et de nouvelles règles, formé le personnel de surveillance, impliqué tout le personnel de l’entreprise en les sensibilisant pendant de courts séminaires sur l’importance du respect des politiques de sécurité, certaines personnes bien sûr et certains prestataires de services ont été éloignés et je dois avouer que cela a été assez ardu mais très satisfaisant comme résultat.
Voilà ce qui se passait dans cette  entreprise qui semblait à première vue aussi sûre que Fort Knox .
Nicole Touati