La méthode d'évaluation des risques sécuritaires développée à partir de 24 ans d'expérience opérationnelle en Forces Spéciales. 5 phases. Conforme ISO 31000. Déployée sur 3 continents.
La plupart des audits de sécurité partent du dispositif existant. Nous partons de la menace. C'est la différence fondamentale entre une approche administrative et une approche opérationnelle.
Avant d'inspecter un site, nous cartographions les menaces qui lui sont spécifiques. Géopolitique régionale, secteur d'activité, historique des incidents, profil des acteurs malveillants probables. Un entrepôt à Tanger Med n'est pas exposé aux mêmes menaces qu'un siège social à Casablanca ou qu'une installation industrielle à Berrechid.
Cette phase s'appuie sur les méthodologies de renseignement militaire adaptées au contexte civil : analyse de l'environnement humain, mapping des parties prenantes, identification des scénarios d'attaque les plus probables selon le contexte opérationnel réel.
Inspection physique complète du site : périmètres, accès, zones sensibles, équipements de surveillance, postes de contrôle. Test des procédures en conditions réelles — y compris sans notification préalable aux équipes sur place. C'est la méthode du "red team" militaire appliquée à l'audit civil.
Parallèlement à l'inspection terrain, nous analysons l'organisation : habilitations, droits d'accès, procédures internes, contrats prestataires. Les vulnérabilités organisationnelles sont souvent plus dangereuses que les vulnérabilités physiques.
Chaque vulnérabilité identifiée est positionnée dans une matrice probabilité × impact conforme ISO 31000. Ce n'est pas une liste de recommandations génériques. C'est une cartographie qui indique précisément quels risques traiter en priorité, selon votre contexte, vos ressources et vos contraintes opérationnelles.
La cartographie distingue les risques immédiats (à traiter sous 30 jours), les risques à moyen terme (3 à 6 mois), et les risques résiduels acceptables à surveiller. Elle constitue le document de référence pour toutes les décisions d'investissement en sécurité.
Le rapport final A3E2S n'est pas un document académique. C'est un outil de décision opérationnelle : chaque recommandation est accompagnée d'un délai de mise en œuvre, d'un responsable désigné, d'un coût estimé, et d'un indicateur de succès mesurable. Livrable sous 15 jours ouvrables après la dernière journée d'audit terrain.
La restitution orale au CODIR ou à la direction est systématiquement incluse. Elle permet de prioriser les actions selon les contraintes budgétaires réelles et d'aligner les équipes sur les décisions à prendre.
Les mesures implementées ne valent que si elles résistent à une simulation réelle. La phase DRILL consiste à tester les nouvelles procédures dans des conditions aussi proches que possible d'un incident réel. Intrusion simulée, activation d'une cellule de crise, gestion d'une menace téléphonique — selon les scénarios prioritaires identifiés en phase SCAN.
L'évaluation post-drill produit un rapport de validation et identifie les ajustements nécessaires. C'est souvent lors de cette phase que les lacunes réelles apparaissent — pas sur le papier, mais sous pression.
La plupart des auditeurs inspectent ce qui existe (caméras, gardiens, procédures) et vérifient la conformité. Nous commençons par identifier qui veut quoi sur votre site et pourquoi — avant d'inspecter quoi que ce soit.
Toutes nos inspections terrain incluent des tests non annoncés. Les procédures qui ne fonctionnent pas sous surprise ne fonctionneront pas lors d'un incident réel. Nous le testons avant que quelqu'un d'autre ne le fasse.
Chaque recommandation est actionnée : délai, responsable, coût estimé, KPI. Pas de liste de 80 points génériques à trier. Un plan que vous pouvez exécuter le lendemain de la restitution.
La phase DRILL est souvent absente des audits concurrents. Pour nous, une mesure non testée est une mesure inconnue. La validation opérationnelle est systématique — pas en option.
Ce que la différence de méthode produit comme différence de résultat.
| Critère | A3E2S Risk Framework | Audit standard | Cabinet généraliste |
|---|---|---|---|
| Point de départ | Analyse des menaces réelles | Inspection du dispositif | Questionnaire type |
| Test terrain non annoncé | ✓ Systématique | Rare | Non |
| Alignement ISO 31000 | ✓ Natif | Partiel | Non |
| Rapport avec coûts estimés | ✓ Inclus | Rarement | Non |
| Simulation post-audit | ✓ Phase DRILL | En option payante | Non |
| Restitution CODIR | ✓ Incluse | En option | Non |
| Délai rapport | 15 jours | 3–6 semaines | Variable |
Audit complet en 5 phases. Rapport sous 15 jours. Premier entretien offert.