Contexte de la mission
Données de contexte (anonymisées)
Secteur : Groupe industriel marocain — fabrication et logistique
Taille : 1 200 employés, 3 sites de production
Zone : Nord du Maroc — région industrielle à fort trafic
Déclencheur : Série d'incidents sur 6 mois (vols internes, intrusions, incident mineur de sabotage)
En novembre 2025, la direction générale de ce groupe industriel prend contact avec A3E2S après une série d'incidents sûreté non résolus sur 6 mois : trois vols de matériel sur un site de stockage, une intrusion périmétrique détectée tardivement sur le site principal, et un incident de sabotage mineur sur une ligne de production — vraisemblablement interne.
Le groupe disposait d'une équipe de gardiennage externalisée (12 agents, 3 sites) et de caméras de surveillance installées 3 ans auparavant. Mais aucune politique de sûreté formalisée, aucune procédure de contrôle d'accès structurée, et aucun responsable sûreté désigné au niveau du groupe.
La direction voulait deux choses : comprendre pourquoi les incidents se répétaient malgré les investissements en gardiennage, et disposer d'un plan d'action concret pour les arrêter.
Déroulement de la mission
A3E2S a appliqué les 5 phases de son A3E2S Risk Framework — la méthodologie développée en 24 ans de Forces Spéciales, alignée ISO 31000.
Analyse du contexte géographique et sectoriel (zone industrielle, flux logistiques, historique criminel local), cartographie des parties prenantes (sous-traitants, personnel intérimaire, prestataires gardiennage), et revue documentaire des incidents sur 18 mois. Durée : 3 jours.
Constat clé : 73 % des incidents impliquaient des parties tierces (intérimaires, prestataires)Audit physique des 3 sites : périmètre, contrôle d'accès, vidéosurveillance, procédures de gardiennage, zones sensibles. Tests de pénétration physique non annoncés (deux agents A3E2S ont pénétré zone de production sans badge). Entretiens individuels confidentiels avec 18 agents de sécurité et 6 chefs d'atelier. Durée : 10 jours terrain.
Constat clé : accès zone de production non contrôlé en dehors des horaires normaux17 vulnérabilités identifiées, classées selon la matrice ISO 31000 (probabilité × impact). 4 niveaux de criticité. Cartographie visuelle des zones de risque par site. Analyse des causes racines (organisationnelles, humaines, techniques). Durée : 5 jours.
Constat clé : 5 vulnérabilités critiques, toutes liées à des défaillances organisationnelles — non techniques32 actions concrètes, priorisées en 3 vagues (immédiat / 30 jours / 90 jours), avec responsables désignés, coûts estimés et indicateurs de suivi. La direction a été surprise : 21 des 32 actions ne nécessitaient aucun investissement — uniquement des changements de procédure, de formation et de management. Durée : 5 jours.
Constat clé : 66 % des actions = coût nul. Budget total des 32 actions : 34 000 MADExercice de crise simulée 6 semaines après le déploiement du plan d'action — scénario : intrusion périmétrique sur site 2 avec vol matériel et activation de la chaîne d'alerte. Évaluation des temps de réponse, des décisions prises, et des nouvelles procédures en conditions réelles. Rapport post-drill avec ajustements. Durée : 1 jour.
Constat clé : temps de réponse réduit de 23 minutes à 4 minutesVulnérabilités identifiées
La phase PROBE a révélé 17 vulnérabilités distinctes. Voici les 8 principales, toutes documentées dans le rapport final remis à la direction :
| # | Vulnérabilité | Type | Criticité |
|---|---|---|---|
| V-01 | Accès zone de production non contrôlé hors horaires (absence de badge) | Physique | CRITIQUE |
| V-02 | Pas de distinction d'accès entre personnel permanent et intérimaire | Organisationnelle | CRITIQUE |
| V-03 | Gardiens non formés à la détection comportementale — rondes mécaniques sans objectif | Humaine | CRITIQUE |
| V-04 | Caméras couvrant 40 % du périmètre réel — angles morts non cartographiés | Technique | CRITIQUE |
| V-05 | Procédure de déclaration d'incidents inexistante — incidents non enregistrés systématiquement | Organisationnelle | CRITIQUE |
| V-06 | Accès prestataires : badge générique, non tracé, non limité dans le temps | Organisationnelle | ÉLEVÉE |
| V-07 | Éclairage insuffisant sur zone de stockage externe (nuit) | Physique | ÉLEVÉE |
| V-08 | Absence de référent sûreté interne — aucun interlocuteur unique pour les incidents | Organisationnelle | ÉLEVÉE |
Ce que le groupe ne savait pas
Le point qui a le plus surpris la direction : les incidents n'étaient pas dus à un sous-investissement en équipements de sécurité. Ils résultaient d'une architecture organisationnelle défaillante — des flux d'information mal conçus, une chaîne de commandement floue, et une culture de la sûreté absente.
« On pensait avoir un problème de budget — pas assez de caméras, pas assez de gardiens. En réalité, on avait un problème de système. Les gardiens ne savaient pas quoi faire avec ce qu'ils voyaient. »
— Directeur général du groupe (anonymisé)Sur les 5 vulnérabilités critiques identifiées, 4 étaient organisationnelles. Aucune n'aurait été résolue par l'achat de nouvelles caméras ou le recrutement d'agents supplémentaires — ce que trois prestataires précédents avaient pourtant recommandé.
Chronologie de l'intervention
Prise de contact et cadrage
Appel de scoping gratuit (1h). Présentation de la méthodologie A3E2S Risk Framework. Signature NDA et lettre de mission. Validation périmètre : 3 sites, 4 semaines.
Phase SCAN + PROBE — Terrain
Analyse documentaire des incidents (18 mois), cartographie des menaces contextuelles, puis 10 jours d'audit physique sur les 3 sites. Tests non annoncés d'intrusion périmétrique. 18 entretiens individuels confidentiels.
Phase MAP — Cartographie des risques
Construction de la matrice probabilité × impact, cartographie visuelle des zones de risque, analyse des causes racines. 17 vulnérabilités classifiées en 4 niveaux.
Phase PLAN — Rapport final + Plan d'action
Rapport de 64 pages remis à la direction. 32 actions priorisées en 3 vagues. Présentation orale de 2h avec la DG et les 3 responsables de sites. Désignation du référent sûreté interne.
Déploiement du plan d'action (suivi à distance)
Mise en œuvre des 32 actions par les équipes internes, avec points hebdomadaires A3E2S / référent sûreté. Ajustements en temps réel. Formation des gardiens (1 jour, détection comportementale). Procédures d'accès différenciées déployées.
Phase DRILL — Exercice de simulation
Exercice non annoncé sur site 2. Scénario : intrusion + vol + activation chaîne d'alerte. Temps de réponse : 4 min (vs 23 min avant mission). Rapport post-drill et ajustements finaux.
Résultats à 4 mois
- ↓ −62 % d'incidents sûreté enregistrés sur les 3 sites dans les 4 mois suivant le déploiement du plan d'action (vs même période N-1).
- ↓ Temps de réponse réduit de 23 à 4 minutes lors de l'exercice DRILL — validé en conditions réelles deux semaines plus tard sur un incident réel.
- ✓ Référent sûreté interne désigné dans chaque site — traçabilité des incidents effective, tableau de bord mensuel opérationnel.
- ✓ Procédures d'accès différenciées : personnel permanent / intérimaire / prestataire. Badges à durée limitée pour les tiers.
- ✓ Gardiens reformés sur la détection comportementale. 3 comportements suspects signalés et traités dans le mois suivant la formation.
- ✓ Coût total du plan d'action déployé : 34 000 MAD (hors honoraires A3E2S). Équivalent à 2 mois de gardiennage externalisé.
Ce que cette mission enseigne
La sûreté n'est pas une question de budget
Le groupe dépensait déjà 180 000 MAD/mois en gardiennage. Ce n'était pas le problème. Le problème était l'absence de système : pas de procédures, pas de responsables, pas de culture. Ajouter des gardiens sans système revient à embaucher des vigiles sans consignes — inefficace et coûteux.
Les incidents internes sont les plus difficiles à traiter
73 % des incidents impliquaient des tiers (intérimaires, prestataires). Ce n'est pas une coïncidence : les tiers bénéficient d'un accès légitime mais d'une vérification réduite. La solution n'est pas de les exclure — c'est de différencier et tracer les accès, et de les intégrer dans la culture sûreté du site.
Les audits non annoncés révèlent la réalité
Sans les tests d'intrusion non annoncés (phase PROBE), deux vulnérabilités critiques seraient restées invisibles. Les audits "blancs" — avec préavis — photographient le comportement en mode présentation. Les audits terrain révèlent ce qui se passe vraiment à 22h un mercredi.
Le rapport est un outil, pas une fin en soi
Un audit sûreté qui se termine par un rapport remis dans une armoire ne sert à rien. La valeur est dans le déploiement du plan d'action, le suivi hebdomadaire, et la validation par exercice. C'est pourquoi la phase DRILL n'est pas optionnelle dans la méthodologie A3E2S.