Crise sûreté-sécurité :
face aux actes de malveillance
Attentat, intrusion, kidnapping, malveillance interne, mouvement violent. Définition, plan Vigipirate, loi SILT, PPMS, articulation forces de l'ordre, 12 typologies, 7 réflexes commune / entreprise / personne exposée.
Une crise de sûreté-sécurité est un événement causé par une intention de nuire qui menace la sécurité des personnes, des biens, des activités ou des informations sensibles d'une organisation. Elle se distingue d'une crise technologique (origine accidentelle) ou cyber (origine numérique) par son caractère intentionnel et humain. Elle inclut attentat, intrusion violente, kidnapping, sabotage, malveillance interne, menaces, mouvements violents.
Depuis 2015, la France vit une transformation durable de sa doctrine de sécurité : Bataclan 13 novembre 2015 (130 morts), Nice 14 juillet 2016 (86 morts), Trèbes 2018, Strasbourg 2018, Conflans-Sainte-Honorine 2020 (Samuel Paty), Arras 2023 (Dominique Bernard). Le plan Vigipirate est en niveau « Urgence attentat » depuis octobre 2023, niveau le plus élevé. À cela s'ajoutent les actes antisémites en hausse (~3 000 en 2023, record), les menaces contre les élus (loi 2023 pour leur protection), les kidnappings de dirigeants dans certains pays, les malveillances internes et les mouvements violents.
Twist intervient sur la dimension organisationnelle et humaine de la crise de sûreté-sécurité, en complément des forces de l'ordre (acteur principal opérationnel) et des cabinets de sécurité spécialisés : structuration des cellules de crise, exercices PPMS / Vigipirate, accompagnement des dirigeants exposés, communication interne et externe en post-attentat ou intrusion, plan de reprise psychologique. Cadre français : plan Vigipirate, loi SILT 2017, Code de la sécurité intérieure, loi sécurité globale 2021, Code du travail (DUERP intègre risque malveillance), articulation avec préfectures, DGSI, RAID, GIGN selon contexte.
L'essentiel à retenir
- Une crise de sûreté-sécurité est intentionnelle. Elle se distingue de la crise technologique (accidentelle) et de la crise cyber (numérique) par son origine humaine et délibérée.
- Trois audiences principales. Entreprises & sites sensibles (OIV, secteurs sensibles), collectivités & établissements publics (mairies, écoles, hôpitaux, lieux de culte, événements), personnes exposées (dirigeants, élus, journalistes, expatriés).
- Cadre français dense. Plan Vigipirate (3 niveaux), loi SILT 2017, Code de la sécurité intérieure, plan Sentinelle (depuis 2015), loi sécurité globale 2021, loi protection élus 2023, PPMS écoles, articulation avec préfectures et DGSI.
- Le plan Vigipirate. Trois niveaux : Vigilance (socle permanent), Sécurité renforcée (menace caractérisée), Urgence attentat (post-attentat ou menace imminente). France en Urgence attentat depuis octobre 2023 (post-Arras).
- Doctrine officielle face à intrusion / attentat : Échapper, Se cacher, Alerter. Issue du RETEX Bataclan 2015. Enseignée dans les exercices PPMS écoles depuis 2017.
- 12 typologies récurrentes. Attentat terroriste, intrusion physique malveillante, vol avec violence, kidnapping, malveillance interne, menaces et harcèlement, tuerie de masse, attaque arme blanche / véhicule-bélier, NRBC malveillant, cyber-physique, mouvement violent, attaque établissement symbolique.
- Sept réflexes universels. Qualifier la menace, alerter forces de l'ordre immédiatement (17 / 18 / 112), sécuriser les personnes (Échapper-Se cacher-Alerter), activer cellule de crise et coordonner avec autorités, communiquer avec retenue, articuler avec acteurs spécialisés (RAID, GIGN, BRI, DGSI), préparer la sortie et le RETEX.
- Le piège majeur. Tenter de gérer en interne ou ignorer la menace. Les forces de l'ordre sont l'acteur principal opérationnel. L'organisation est appui, pas substitut. Et la dimension psychologique long terme se prépare dès la phase aiguë.
- La préparation détermine 80 % de la qualité de la réponse. Plan exercé > plan formalisé > pas de plan. Écoles : PPMS exercé annuellement obligatoire. Entreprises : scénarios attentat-intrusion intégrés au plan de gestion de crise. Personnes exposées : protocoles personnels formalisés.
Sommaire du guide
Qu'est-ce qu'une crise de sûreté-sécurité ?
Une crise de sûreté-sécurité est un événement causé par une intention de nuire (malveillance) ou un acte criminel qui menace la sécurité des personnes, des biens, des activités ou des informations sensibles d'une organisation. Elle se distingue d'une crise technologique (origine accidentelle) ou cyber (origine numérique) par son caractère intentionnel et humain.
Les 4 critères qualifiants
- Intention de nuire ou acte criminel. L'événement est délibéré (attentat, intrusion, vol, kidnapping, sabotage). Ce n'est pas un accident. Il met en jeu un cadre pénal en parallèle du cadre civil et administratif.
- Atteinte ou menace caractérisée. Atteintes effectives (victimes, blessés, vol, dégâts) ou menace imminente crédible (signalement de complot, ciblage avéré, tentative déjouée). Pour la menace seule : caractère crédible vérifié par forces de l'ordre.
- Forces de l'ordre comme acteur principal. Police, gendarmerie, RAID, GIGN, BRI selon contexte sont les acteurs opérationnels principaux. L'organisation est appui, pas substitut. Forte différence avec crise technologique où l'exploitant est central.
- Engagement potentiel pénal. Pour les auteurs (poursuites pénales). Pour l'organisation parfois (responsabilité défaut de protection des personnes, art. L.4121-1 Code travail). Pour les dirigeants en cas de défaut grave.
Sûreté vs sécurité, la distinction
Distinction technique souvent floue dans le langage courant mais utile :
- Sûreté (security en anglais). Protection contre les actes intentionnels malveillants : attentat, vol, sabotage, espionnage, malveillance, intrusion. C'est le périmètre principal de cette page.
- Sécurité (safety en anglais). Protection contre les accidents et risques non intentionnels : incendie, accident industriel, blessures au travail, accident transport. Périmètre principal : crise technologique.
- Direction Sûreté-Sécurité (DSS). Dans la pratique, les organisations associent souvent les deux fonctions car elles partagent des moyens (gardiennage, vidéosurveillance, contrôle d'accès, équipes de réaction).
Ce que ce n'est pas
- Pas un accident technique. Un incendie spontané, une fuite chimique accidentelle, une panne SI relèvent de la crise technologique. Sauf si ces événements sont causés intentionnellement (sabotage), auquel cas ils basculent en sûreté-sécurité.
- Pas une cyberattaque pure. Une cyberattaque relève de la crise cyber. Sauf si elle est couplée à une action physique (intrusion + sabotage SI), auquel cas elle est cyber-physique.
- Pas un harcèlement individuel ordinaire au travail. Cela relève de la crise organisationnelle (RPS, harcèlement moral L.1152-1). Sauf si le harcèlement intègre des menaces graves contre la personne ou son entourage, qui basculent en sûreté.
Pourquoi vous êtes concerné
La crise de sûreté-sécurité concerne trois audiences avec des cadres et leviers d'action distincts : les entreprises & sites sensibles, les collectivités & établissements publics, les personnes exposées (dirigeants, élus, journalistes, expatriés).
Statistiques 2024
Trois audiences, trois logiques d'action
OIV, OSE, ETI, sites industriels, sièges, ERP grand public
Obligation : protection des salariés (Code du travail L.4121-1), protection des sites sensibles, intégration risque malveillance dans le DUERP.
Outils : plan de sûreté-sécurité documenté, contrôle d'accès, vidéosurveillance, agents de sécurité, scénarios attentat-intrusion intégrés au plan de gestion de crise interne, exercices Vigipirate pour ERP.
Cadre : Code du travail L.4121-1, Code sécurité intérieure, plan Vigipirate (déclinaisons sectorielles), LPM 2013 / NIS2 2024 pour OIV/OSE, ERP réglementations sécurité.
Profils exposés : OIV (énergie, banque, santé, transport, télécoms…), ERP grand public (centres commerciaux, grandes surfaces, gares), sièges médiatisés, sites symboliques (médias, religieux, communautaires).
Mairies, écoles, hôpitaux, lieux culturels, événements
Obligation : PPMS pour les établissements scolaires (obligatoire depuis 2002, renforcé depuis 2015), volet sûreté du PCS pour les communes, sécurisation des événements (déclarations préfecture, dispositifs).
Outils : PPMS scolaire, volet sûreté PCS, dispositif Vigipirate appliqué aux établissements, articulation police municipale + nationale, sécurisation des événements (zones, fouilles, plots anti-bélier).
Cadre : Code de l'éducation (PPMS), Code sécurité intérieure, loi SILT 2017, loi sécurité globale 2021, loi protection élus 2023, articulation préfecture systématique pour grands événements.
Profils exposés : établissements scolaires (~62 000 en France), hôpitaux médiatisés, lieux de culte, salles de spectacle, événements de masse (festivals, marchés, courses), équipements municipaux symboliques.
Dirigeants, élus, journalistes, expatriés, personnalités
Enjeu : protection physique de la personne et de son entourage proche (famille, équipe rapprochée). Crises personnelles ou professionnelles qui peuvent rejaillir sur l'organisation.
Outils : protocole personnel de sûreté, conseil sécurité spécialisé, protection rapprochée temporaire ou permanente selon menace, articulation conjugale/familiale, veille des menaces ciblées.
Cadre : Code pénal (menaces, agressions), loi protection élus 2023 (dispositif renforcé), pour expatriés : dispositif consulaire et entreprise (devoir vigilance L.225-102-4), pour journalistes : protection des sources et physique.
Profils exposés : CEO de grandes entreprises, DG-personnes-publiques, élus locaux et nationaux (~36 500 maires + 925 parlementaires), journalistes investigation, magistrats, experts/scientifiques médiatisés, dirigeants ONG, expatriés en zone à risque.
Cadre réglementaire applicable
Le cadre français de la crise de sûreté-sécurité s'est massivement densifié depuis 2015 (post-Bataclan) : loi SILT 2017, plan Sentinelle, loi sécurité globale 2021, loi protection élus 2023. Sept textes structurent l'essentiel.
Sources officielles : Code de la sécurité intérieure (Légifrance), SGDSN (plan Vigipirate), Ministère de l'Intérieur, Éducation nationale (PPMS), ANSSI (OIV, NIS2).
| Texte / Dispositif | Périmètre | Levier principal | Sanction / portée |
|---|---|---|---|
| Plan Vigipirate SGDSN, actualisé 2014, 2016, 2023 |
Tout le territoire national, dispositif gouvernemental | 3 niveaux (Vigilance, Sécurité renforcée, Urgence attentat). Mesures sectorielles déclinées (transports, écoles, ERP, événements) | (plan d'action gouvernemental, opposable aux opérateurs) |
| Loi SILT 2017 Sécurité Intérieure et Lutte contre le Terrorisme |
Forces de l'ordre, préfets, procureurs anti-terroristes | Périmètres de protection, fermeture lieux de culte, MICAS (mesures individuelles de contrôle administratif), visites domiciliaires | Mesures administratives encadrées par juge, recours possibles |
| Plan Sentinelle Depuis janvier 2015 |
Forces armées en appui forces de sécurité intérieure | Patrouilles militaires sur sites sensibles (lieux de culte, écoles, transports), ~7 000 militaires actifs en 2024 | (dispositif opérationnel permanent) |
| Code de l'éducation, PPMS Obligation depuis 2002, renforcée 2015 et 2017 |
Tous les établissements scolaires (~62 000 en France) | Plan Particulier de Mise en Sûreté, 3 risques : majeurs, attentat-intrusion, attentat-attaque. Exercice annuel obligatoire. | Sanctions administratives, mises en demeure rectorat |
| Loi sécurité globale 2021 25 mai 2021 |
Police municipale, sociétés sécurité privée, captation images | Élargissement compétences police municipale, encadrement sécurité privée, déploiement vidéosurveillance et drones | Recours possibles, certaines dispositions censurées par CC |
| Loi protection des élus 2023 24 janvier 2023 |
Élus locaux et nationaux victimes ou menacés | Dispositif renforcé : prise en charge frais avocat, accompagnement psychologique, télé-protection, protection famille, suivi spécifique préfecture | (dispositif d'aide, sanctions pénales agresseurs) |
| Code du travail L.4121-1 + DUERP Obligation employeur |
Tous les employeurs (privé, FPT, association) | Évaluation du risque malveillance dans le DUERP, plan d'action, mesures de protection (formation, organisation, équipements) | Faute inexcusable, sanctions civiles et pénales |
Le tournant post-Bataclan, janvier 2015 et novembre 2015
Les attentats de janvier 2015 (Charlie Hebdo, Hyper Cacher) et novembre 2015 (Bataclan, Stade de France, terrasses) ont marqué un tournant doctrinal majeur en France. Conséquences durables : (1) Activation continue du plan Sentinelle (~7 000 militaires en patrouille permanente). (2) Refonte du plan Vigipirate avec création du niveau « Urgence attentat » en 2016. (3) Adoption de la loi SILT 2017 qui a pérennisé certaines mesures de l'état d'urgence. (4) Doctrine officielle « Échapper, Se cacher, Alerter » issue du RETEX Bataclan, enseignée dans les exercices PPMS depuis 2017.
L'attentat d'Arras (octobre 2023) contre l'enseignant Dominique Bernard a conduit à un nouveau passage en niveau « Urgence attentat », niveau dans lequel la France reste depuis lors. Cette inscription dans la durée signe une transformation pérenne du paysage de la sûreté.
Mécanismes et facteurs aggravants
Une crise de sûreté-sécurité a une cinétique très variable : de quelques secondes pour un attentat suicide à plusieurs jours/semaines pour un kidnapping ou une malveillance interne révélée. Sa spécificité : les forces de l'ordre prennent la direction opérationnelle dès qu'elles sont sur place, l'organisation devient appui.
Le cycle en 5 phases
Préparation hostile
L'auteur ou le groupe planifie : repérage des lieux, choix de la cible, acquisition des moyens, ciblage informationnel des personnes. Phase souvent invisible mais parfois précédée de signaux faibles (radicalisation observée, menaces antérieures, surveillance suspecte).
Passage à l'acte
Attentat, intrusion, kidnapping, sabotage. Cinétique très variable selon mode opératoire. Pour les attentats : souvent quelques minutes critiques avec impact maximum. Pour les intrusions : quelques secondes à quelques heures.
Phase aiguë et intervention
Mobilisation forces de l'ordre, première intervention (police-secours, gendarmes, SAMU), arrivée éventuelle de RAID/GIGN/BRI, neutralisation de la menace, prise en charge victimes. Quelques minutes à plusieurs heures.
Stabilisation et enquête
Sécurisation périmètre, levée progressive du dispositif, début enquête judiciaire (parquet anti-terroriste si applicable, juge d'instruction), prise en charge psychologique aiguë des victimes et témoins. Plusieurs heures à plusieurs jours.
Sortie durable, suivi et RETEX
Suivi psychologique long terme victimes et témoins (parfois années), suivi judiciaire (procès des auteurs, indemnisations), RETEX organisationnel et institutionnel, refonte des dispositifs, mémoire collective. Plusieurs mois à plusieurs années, Bataclan encore en suivi.
6 facteurs aggravants spécifiques
- Surprise et imprévisibilité. Contrairement à une crise naturelle (alerte météo) ou technologique (alarme capteur), une crise de sûreté arrive presque toujours sans préavis. Préparation = exercices répétés.
- Effet panique de masse. Mouvement de foule, fuite désordonnée, écrasement. Cas Bataclan : les flux de fuite ont eu un impact majeur sur la prise en charge. Doctrine « Échapper, Se cacher, Alerter » pour structurer la réaction.
- Effet psychologique long. Stress post-traumatique, anxiété, syndrome du témoin. Pour les attentats : impacts durables sur ~30 % des présents directs (études cohorte ESPA 13-Novembre).
- Médiatisation et émotion publique. Couverture médiatique massive, polarisation de l'opinion, instrumentalisation politique possible. Bascule fréquente en crise de réputation et de défiance.
- Effet copycat. Risque d'imitation par d'autres auteurs après attentat médiatisé. Doctrine officielle : ne pas nommer/glorifier les auteurs, focus sur les victimes et la résilience.
- Articulation forces de l'ordre / organisation parfois floue. En phase aiguë, qui décide de quoi ? Forces de l'ordre dirigent l'opération, mais l'organisation reste responsable de ses salariés/agents/élèves. Articulation à exercer en amont.
Les 12 typologies de crises sûreté-sécurité
Classification opérationnelle des principales formes de crise de sûreté-sécurité observées en France depuis 2015. Plusieurs peuvent s'imbriquer : un attentat (typologie 1) qui touche un établissement scolaire (typologie 12), avec prise d'otages possible (typologie 4) et impact malveillance interne révélée a posteriori (typologie 5).
Attentat terroriste
Attaque planifiée à finalité politique/idéologique. Cas Charlie 2015, Bataclan 2015, Nice 2016, Conflans 2020, Arras 2023. Cadre Vigipirate Urgence attentat, parquet national anti-terroriste.
Intrusion physique malveillante
Intrusion non autorisée à fin de vol, sabotage, agression, prise d'otages. Site industriel, école, mairie, entreprise, lieu de culte. Cas réguliers en France, particulièrement en milieu scolaire post-2015.
Vol avec violence / braquage
Vol à main armée, agression, violence physique sur personnes. Banques, commerces, distributeurs automatiques, transporteurs de fonds, particuliers visés (home-jacking). Cadre pénal, cellule SAFE-Bank pour secteur bancaire.
Kidnapping / prise d'otages
Enlèvement avec demande de rançon, prise d'otages politique ou crapuleux. Pour expatriés en zones à risque ou dirigeants exposés. Cadre devoir vigilance employeur, conventions assurance K&R, cellule de crise spécialisée.
Malveillance interne
Sabotage par salarié, vol de données, espionnage industriel, vandalisme. Souvent en lien avec licenciement, conflit, idéologie. Cadre Code pénal, Code travail, dispositif Sapin II / Waserman si lanceur d'alerte légitime.
Menaces et harcèlement
Menaces directes ou voilées (mail, SMS, courrier, message vocal, post réseaux sociaux), harcèlement physique ou en ligne. Particulièrement vers élus et journalistes. Loi protection élus 2023, dispositif PHAROS pour signalements en ligne.
Tuerie de masse / fusillade
Attaque planifiée par individu ou petit groupe armé visant un maximum de victimes. Souvent contexte non terroriste (santé mentale, vengeance personnelle). Plus fréquente aux États-Unis (mass shootings), rare mais possible en France.
Attaque arme blanche / véhicule-bélier
Attaque opportuniste sans nécessité de préparation lourde. Cas Nice 14 juillet 2016 (camion-bélier, 86 morts), attaque préfecture Police Paris 2019, Conflans 2020, Arras 2023. Réponse : protections physiques événements, plots anti-bélier.
Risque NRBC malveillant
Attentat avec agent biologique (anthrax), chimique, radiologique (bombe sale). Risque faible mais à très fort impact. Préparation : équipes spécialisées CMIC SDIS, modules de décontamination, modélisation INERIS, articulation préfecture.
Cyber-physique
Couplage attaque cyber + action physique. Intrusion système couplée vol, sabotage industriel ciblé, prise de contrôle SCADA. Cas industriels Stuxnet (Iran nucléaire 2010), récents en France sur infrastructures. Articulation cyber + sûreté.
Émeute / mouvement violent
Mouvement collectif violent : émeute urbaine, manifestation qui dégénère, occupation hostile, casse coordonnée. Impact sur sites commerciaux, mairies, établissements publics. Cas émeutes 2023 post-Nahel.
Attaque établissement symbolique
Lieu de culte (synagogues, mosquées, églises), école (Conflans, Arras), mairie, monument, médias, ambassade. Impact symbolique fort dépassant le préjudice direct. Vigipirate sectoriels appliqués.
Effets en cascade d'une crise de sûreté-sécurité
Une crise de sûreté-sécurité d'ampleur déploie ses effets sur 4 dimensions imbriquées, dont la dimension psychologique est généralement la plus longue à se résorber, souvent plusieurs années pour les attentats majeurs.
Humaine et psychologique
Décès, blessés graves, traumatismes physiques. Sur le long terme : stress post-traumatique (~30 % des présents directs lors d'attentats), syndrome du témoin, anxiété, dépression. Étude ESPA 13-Novembre : impact durable sur survivants Bataclan 8 ans après.
Organisationnelle
Mobilisation interne massive, perturbation activité normale, démissions ou arrêts maladie post-événement, dégradation climat interne, perte de talents, difficultés de recrutement. Pour les écoles : anxiété parents, demandes de transfert.
Économique et opérationnelle
Coûts directs (réparation, sécurisation, indemnisations), coûts indirects (perte CA, baisse fréquentation événements, hausse primes assurance), coûts long terme renforcement dispositif sécurité, perte de licences ou habilitations.
Médiatique et institutionnelle
Couverture médiatique massive, polarisation politique, instrumentalisation possible. Pour les autorités : défiance citoyenne, débats sécurité vs libertés. Bascule fréquente en crise de réputation pour l'organisation visée.
Une cellule d'anticipation dédiée permet de cartographier ces 4 dimensions avant qu'elles ne se déploient. Pour la méthode complète :
Explorer la cellule d'anticipation →Signaux précurseurs spécifiques aux crises de sûreté-sécurité
La spécificité des crises de sûreté est que les signaux précurseurs sont souvent visibles a posteriori dans les RETEX, mais difficiles à interpréter en temps réel. Trois familles à surveiller activement.
Signaux comportementaux et menaces
- Repérages physiques observés. Personnes filmant ou photographiant un site, posant des questions précises sur les horaires/dispositifs/personnes-clés, observation prolongée. À signaler systématiquement.
- Menaces directes. Mails, SMS, courriers, messages vocaux, posts réseaux sociaux. Conserver toutes les preuves sans les modifier. Signalement forces de l'ordre dès le premier signal : la première menace est la plus ignorée et la plus prédictive.
- Comportement suspect dans les locaux. Visiteur insistant, refus de contrôle, inscription à plusieurs réunions sans légitimité apparente, prise d'informations anormale.
- Salarié en rupture. Démission conflictuelle, licenciement avec menaces, idéologisation observée, isolement croissant. Cadre Sapin II / Waserman protège lanceurs alerte légitimes, mais ne couvre pas les menaces.
Signaux institutionnels et veille
- Alertes SGDSN et préfectures. Bulletins Vigipirate, recommandations sectorielles, alertes ciblées sur certaines périodes (Noël, fêtes religieuses, événements politiques majeurs). Veille à entretenir.
- Plateforme PHAROS. Pour les contenus illicites en ligne ciblant l'organisation ou ses dirigeants. Outil de signalement officiel du ministère de l'Intérieur, suivi possible des dossiers.
- Mouvements activistes ou idéologiques en cours. Tensions qui peuvent rejaillir sur certains secteurs (énergie, banque, agroalimentaire, défense). Veille des appels au boycott violent ou actions directes.
- Contexte international tendu. Tensions géopolitiques affectant communautés en France (cas conflit Israël-Hamas, hausse antisémitisme), risques de répercussions sur certaines audiences.
Signaux faibles internes
- Anomalies sur dispositifs sécurité. Vidéosurveillance dégradée, mots de passe contrôle d'accès partagés, badges perdus non désactivés, gardes absents. Précurseurs souvent identifiés en RETEX.
- Inquiétudes salariées non remontées. Témoignages convergents sur un visiteur, sentiment d'insécurité partagé. La direction sécurité doit être à l'écoute systématique.
- Failles humaines. Démotivation des agents de sécurité, formation insuffisante, exercices non réalisés, plans non mis à jour. Symptômes d'un sous-investissement durable.
- Évolutions chez voisins ou concurrents. Incidents proches, attentat récent dans le secteur ou sur le territoire, précurseur potentiel pour effet copycat ou attaque coordonnée.
Le signalement préventif est l'antidote
Aucun de ces signaux n'est révélateur isolément, et tous demandent une appréciation experte. Mais : (1) Tout doute sur une menace mérite signalement aux forces de l'ordre, la première menace est généralement la plus prédictive. (2) La culture de signalement interne (sans paranoïa) est l'antidote : « si vous voyez quelque chose, dites quelque chose ». (3) Les forces de l'ordre disposent de cellules spécialisées pour traiter les signalements (DGSI, RAID coopération internationale). Voir aussi signaux faibles.
Les 7 réflexes opérationnels en phase aiguë
Sept étapes universelles pour traverser une crise de sûreté-sécurité, déclinées ensuite par audience.
Qualifier la menace ou l'événement
Nature exacte, périmètre touché, cinétique (en cours, imminente, latente), crédibilité si signalement préalable. Croiser sources : témoignages, vidéosurveillance, signalements, alerte SGDSN.
Alerter les forces de l'ordre
Appel 17 / 18 / 112 immédiatement. Pour attentat ou intrusion armée : ne pas tenter de gérer en interne. Conserver toutes les preuves de menace écrite. Information cellule de crise + préfecture si OIV.
Sécuriser les personnes, Échapper, Se cacher, Alerter
Doctrine officielle : Échapper si possible, sinon Se cacher (silencieux, lumière éteinte, portes verrouillées), Alerter les forces de l'ordre quand sûr. Pour écoles : PPMS. Pour vulnérables : évacuation prioritaire.
Activer la cellule de crise
Cellule interne : DG, RSSE/RSE, juridique, RH, com, médecin du travail. Pour OIV : articulation préfecture, ANSSI le cas échéant. Cellule psychologique externe pré-mobilisée. Voir cellule de crise.
Communiquer avec retenue
Communication interne factuelle sans détails opérationnels (compromettrait l'intervention forces de l'ordre). Aucune communication externe avant accord parquet/préfecture. Lutte active contre rumeurs. Voir communication de crise.
Articuler avec acteurs spécialisés
Police / Gendarmerie / RAID / GIGN / BRI selon contexte, SAMU pour blessés, parquet pour plaintes, DGSI pour attentats / espionnage, conseil juridique spécialisé pour kidnapping, médecin du travail.
Préparer la sortie et le RETEX
Sortie progressive sur conseil forces de l'ordre. Accompagnement psychologique long terme victimes/témoins (6 à 18 mois minimum). Refonte dispositifs (DUERP, PPMS, plan continuité, formation). RETEX formalisé.
Déclinaisons par audience
Entreprises & sites sensibles
- Cellule de crise interne : DG, RSSE, juridique, RH, com.
- Activation plan de sûreté-sécurité interne.
- Pour OIV/OSE : information préfecture, ANSSI le cas échéant.
- Coordination avec services de sécurité (interne et privé).
- Médecin du travail mobilisé pour suivi salariés.
- Cellule psychologique externe activée pour soutien.
Collectivités & établissements publics
- Pour écoles : activation PPMS sans hésitation.
- Pour communes : activation volet sûreté du PCS.
- Cellule : maire/président, DGS, police municipale, com.
- Articulation immédiate préfecture (COD activé si grave).
- Information mesurée aux familles (écoles) ou habitants.
- Accompagnement psychologique des élèves/agents/élus.
Personnes exposées
- Suivre instructions des forces de l'ordre, pas d'initiative.
- Conserver les preuves de menace sans modifier.
- Pour élus : dispositif loi 2023 (préfecture, télé-protection).
- Évaluer protection rapprochée temporaire avec spécialiste.
- Adapter comportements : trajets variés, vigilance accrue.
- Soutien psychologique pour la personne et sa famille.
Pièges et erreurs récurrentes
Sept pièges documentés en RETEX (Charlie 2015, Bataclan 2015, Nice 2016, Conflans 2020, Arras 2023) qui aggravent une crise de sûreté-sécurité ou compromettent la qualité de l'intervention.
1. Tenter de gérer en interne
« On va régler ça nous-mêmes. » Erreur fatale en sûreté-sécurité : les forces de l'ordre sont l'acteur principal opérationnel, l'organisation est appui. L'appel 17 / 18 / 112 doit être le premier réflexe, pas le dernier. Tout retard à l'alerte aggrave systématiquement le bilan.
2. Ignorer ou minimiser une menace
« C'est juste un mauvais plaisantin. » « Pas la peine de signaler. » RETEX systématique : la première menace est généralement la plus prédictive et la plus ignorée. Toute menace doit être signalée et conservée comme preuve, y compris les plus floues. Charge aux forces de l'ordre de qualifier, pas à l'organisation.
3. Communiquer pendant l'intervention
Communiquer publiquement (presse, réseaux sociaux) pendant qu'une intervention forces de l'ordre est en cours. Risque : compromettre l'opération, aider l'auteur, surexposer victimes/otages. Aucune communication externe sans accord parquet/préfecture. La communication tactique appartient aux autorités en phase aiguë.
4. Négliger l'accompagnement psychologique long terme
Phase aiguë gérée, victimes prises en charge médicalement, puis on tourne la page. Or les impacts psychologiques se déploient sur des années (étude ESPA 13-Novembre : ~30 % des présents Bataclan en stress post-traumatique chronique). Cellule d'écoute maintenue 6 à 18 mois minimum, suivi individualisé, accompagnement familles.
5. Sous-investir l'exercice et la préparation
Plan PPMS rédigé mais jamais exercé. Salariés non sensibilisés à la doctrine « Échapper, Se cacher, Alerter ». Vidéosurveillance non monitorée. Agents de sécurité non formés à l'attentat. RETEX systématique : l'exercice répété est la meilleure préparation. Un PPMS exercé vaut 10 PPMS écrits.
6. Ne pas anticiper la dimension réputationnelle
Considérer la crise de sûreté comme purement opérationnelle. Or elle bascule presque toujours en crise de réputation : opinion publique mobilisée, médias, débat politique, parfois mise en cause de la responsabilité de l'organisation (défaut de protection). Anticiper la communication post-crise dès la phase aiguë, pas après.
7. Absence de RETEX structurel
RETEX rapide après crise, conclusions partagées, puis tour est passée. Or les conditions structurelles qui ont permis ou aggravé la crise (sous-investissement sécurité, défaut de culture, signaux ignorés) ne sont pas modifiées. La crise suivante reproduit le schéma. Le RETEX doit déboucher sur des changements structurels tracés dans la durée et partagés avec autorités.
L'approche Twist sur la crise sûreté-sécurité
La crise de sûreté-sécurité a une spécificité forte : les forces de l'ordre sont l'acteur principal opérationnel. Twist intervient en complément : structuration des cellules de crise internes, exercices PPMS / Vigipirate, accompagnement post-traumatique, communication interne et externe en post-attentat ou intrusion. Pas de substitution aux forces de l'ordre, articulation pragmatique.
Plans (PPMS, volet sûreté) opérationnels
Twist accompagne la rédaction ou la refonte du PPMS pour les établissements scolaires, du volet sûreté du PCS pour les communes, des plans sûreté-sécurité d'entreprise, avec une attention particulière à l'opérationnalité : format ramassé, fiches réflexes par scénario (intrusion armée, attentat, NRBC), procédures « Échapper-Se cacher-Alerter », annuaires forces de l'ordre, conventions d'exercice.
Exercices Vigipirate / PPMS
Format exercice de crise calibré sur scénarios sûreté : intrusion armée scolaire, attentat sur événement, alerte à la bombe, prise d'otages. Mobilisation conjointe interne + police municipale + police nationale ou gendarmerie. Format tabletop 4-8h ou exercice grandeur nature avec accord forces de l'ordre. Préparation aux exercices Vigipirate préfectoraux.
Accompagnement post-attentat ou intrusion
Module dédié post-Bataclan : cellule d'écoute maintenue 6 à 18 mois, accompagnement individualisé survivants et familles, ateliers RETEX participatifs, refonte managériale, plan de réintégration des absences longue durée. Articulation systématique avec spécialistes psychotrauma (CUMP, professionnels libéraux formés).
Protection des dirigeants exposés
Pour CEO, élus, dirigeants associatifs très exposés : protocole personnel de sûreté, conseil sécurité spécialisé, articulation cabinets de protection rapprochée, accompagnement psychologique et conjugal/familial (la famille est souvent oubliée), formation à la posture publique, gestion menaces en ligne (PHAROS, démarches juridiques).
Cas concret : un événement public face à une menace la veille
Une commune de 35 000 habitants organise un grand festival culturel attendant 15 000 personnes sur 3 jours. La veille de l'ouverture, un signalement crédible arrive aux services préfectoraux : une menace ciblée contre l'événement a été repérée par la DGSI. Le préfet convoque le maire et les organisateurs en urgence. Twist était déjà accompagnant pour la coordination communication ; la cellule de crise est activée à 17h.
Qualification & décision
Réunion préfecture-mairie-organisateurs-Twist. La menace est qualifiée « crédible mais non imminente » par la DGSI. Trois options évaluées : annulation, report, maintien avec dispositif renforcé. Décision retenue : maintien avec dispositif renforcé (Vigipirate Urgence attentat actif).
Mobilisation dispositif
Renforts forces de l'ordre demandés et obtenus (~120 policiers + gendarmes + ~40 militaires Sentinelle). Plots anti-bélier renforcés. Fouilles systématiques aux entrées. Briefing agents de sécurité privée. Coordination communication avec préfecture.
Festival en dispositif renforcé
Trois jours sous dispositif Vigipirate renforcé avec présence policière visible. Communication transparente aux festivaliers (information préventive sur dispositifs, ton mesuré). Coordination temps réel cellule mairie + préfecture + Twist. Aucun incident.
Sortie & communication
Levée du dispositif renforcé après accord forces de l'ordre. Communication post-événement : bilan factuel, remerciements forces de l'ordre, transparence partielle sur la menace (sur autorisation parquet à J+5). Articulation médias.
RETEX & renforcement
RETEX conjoint préfecture + mairie + organisateurs + Twist. 12 actions correctives : refonte protocole événements, exercice Vigipirate annuel, conventions renforcées forces de l'ordre, formation managers, dispositif veille permanent.
Bilan. Aucun incident pendant les 3 jours. ~15 000 visiteurs accueillis. Confiance préservée pour l'édition suivante. Coût direct du dispositif renforcé : ~85 000 € (sécurité privée renforcée, dispositifs physiques, communication, coordination). Pas de retombée médiatique négative. Facteurs déterminants identifiés en RETEX : signalement précoce DGSI (24h avant), articulation immédiate préfecture-mairie-organisateurs, transparence mesurée auprès du public, dispositif renforcé visible mais non anxiogène, coordination communication coordonnée Twist + préfecture.
Ce que le RETEX a révélé
Trois leviers ont fait la différence. (1) Signalement précoce et qualification rapide par DGSI, sans cela, la menace n'aurait pas été traitée à temps. (2) Décision collégiale préfecture-mairie-organisateurs à 22h, sans hésitation excessive ni précipitation, option « maintien renforcé » calibrée. (3) Communication transparente mesurée aux festivaliers (avant et après), qui a renforcé la confiance plutôt que la peur, la transparence n'aggrave pas la crise quand elle est calibrée.
FAQ Crise sûreté-sécurité
Qu'est-ce qu'une crise de sûreté-sécurité ?
Une crise de sûreté-sécurité est un événement causé par une intention de nuire (malveillance) ou un acte criminel qui menace la sécurité des personnes, des biens, des activités ou des informations sensibles d'une organisation. Elle se distingue d'une crise technologique (origine accidentelle) ou cyber (origine numérique) par son caractère intentionnel et humain. Elle inclut attentats, intrusions violentes, kidnappings, sabotages, malveillances internes, menaces, mouvements violents.
Quelle différence entre sûreté et sécurité ?
Distinction technique. La sûreté (security) protège contre les actes intentionnels malveillants : attentat, vol, sabotage, espionnage. La sécurité (safety) protège contre les accidents et risques non intentionnels : incendie, accident industriel. La crise de sûreté-sécurité couvre la première dimension (intentionnelle), tandis que la crise technologique couvre la seconde (accidentelle). Les organisations associent souvent les deux fonctions dans une même Direction Sûreté-Sécurité.
Qu'est-ce que le plan Vigipirate et ses 3 niveaux ?
Le plan Vigipirate est le dispositif national de vigilance, prévention et protection face à la menace terroriste, piloté par le SGDSN. Trois niveaux depuis 2014 : (1) Vigilance, niveau permanent socle. (2) Sécurité renforcée / risque attentat, menace caractérisée, mesures renforcées. (3) Urgence attentat, post-attentat ou menace imminente connue, mesures exceptionnelles. La France est en Urgence attentat depuis octobre 2023 (post-Arras), niveau le plus élevé.
Que faire face à une intrusion armée, règle Échapper, Se cacher, Alerter ?
Doctrine officielle française depuis Bataclan 2015. (1) ÉCHAPPER si possible, fuir la zone, ne pas s'attarder, ne pas filmer ou récupérer ses affaires. (2) SE CACHER si fuite impossible, silencieux, lumière éteinte, téléphone en silencieux, portes verrouillées, baisser la tête. (3) ALERTER les forces de l'ordre quand sûr, appel 17 ou 112, donner localisation précise et nature de la menace. Lors arrivée forces : mains levées et visibles, suivre instructions.
Que faire face à une menace ciblée contre un dirigeant ou élu ?
Cinq réflexes immédiats. (1) Conserver toutes les preuves (mail, SMS, courrier, post réseaux sociaux) sans modifier ni effacer. (2) Signaler immédiatement aux forces de l'ordre. Pour élus : dispositif national renforcé loi 2023. (3) Informer cellule de crise interne et service de protection. (4) Adapter immédiatement comportements : trajets variés, vigilance accrue. (5) Évaluer protection rapprochée temporaire avec service spécialisé.
Mon entreprise est-elle un OIV ?
Probablement non. Il y a ~250 OIV en France, désignés individuellement par le SGDSN dans 12 secteurs d'activités d'importance vitale. Si vous êtes OIV, vous le savez : désignation officielle, obligations renforcées (plan de sécurité opérateur, plan particulier de protection des points d'importance vitale). Pour les autres organisations, le cadre NIS2 crée le statut élargi d'OSE avec ~10 000 à 15 000 entités potentiellement concernées. Vérification ANSSI ou fédération professionnelle.
Qu'est-ce que le PPMS et qui doit en avoir un ?
Le PPMS (Plan Particulier de Mise en Sûreté) est obligatoire pour tous les établissements scolaires depuis 2002, renforcé depuis 2015. Il prévoit la conduite à tenir face à 3 risques majeurs : risques majeurs (technologiques, naturels), attentat-intrusion, attentat-attaque. Composantes obligatoires : organisation interne, signaux d'alerte spécifiques, procédures, coordinateur, exercice annuel obligatoire. Étendu à certains ERP et établissements de santé.
Comment se préparer en amont à une crise de sûreté ?
Sept leviers structurants. (1) Évaluation de la menace et étude de vulnérabilité. (2) Plan de sûreté-sécurité documenté avec scénarios types. (3) Mesures de protection physiques (contrôle d'accès, vidéosurveillance, plots anti-bélier). (4) Mesures organisationnelles (sensibilisation, badges, contrôles ponctuels). (5) Exercices Vigipirate / PPMS annuels minimum. (6) Conventions avec forces de l'ordre locales. (7) Cellule psychologique externe pré-mobilisable.
Explorer les pages connexes
Gestion de crise, méthode complète
Notre approche globale : doctrine, dispositifs, accompagnement. Le point d'entrée vers toutes les expertises Twist.
Explorer la méthode → Crise connexeCrise cyber
Les attaques cyber-physiques (intrusion système couplée à action physique) sont à la frontière des deux familles. Cadre LPM/NIS2 articulé avec sûreté.
Crise connexeCrise technologique
Sabotage industriel, NRBC malveillant, quand un acte de malveillance prend pour cible une infrastructure critique, les deux dispositifs se mobilisent.
Crise connexeCrise organisationnelle
La malveillance interne est à la frontière : salarié saboteur, lanceur d'alerte ciblé, harcèlement avec menaces. Articulation cadre Sapin II / Waserman.
MéthodeCommunication de crise
La communication post-attentat ou intrusion exige une articulation parfaite avec les autorités, les familles, les médias. Méthode et doctrine.
AccompagnementParcours Territoire
L'offre Twist pour les collectivités : PPMS écoles, volet sûreté du PCS, exercices Vigipirate, formation des élus et agents, articulation préfecture.
Les termes à connaître
Plan Vigipirate
Dispositif national de vigilance, prévention et protection face à la menace terroriste. Piloté par le SGDSN. 3 niveaux : Vigilance, Sécurité renforcée, Urgence attentat. France en Urgence attentat depuis octobre 2023.
Plan Sentinelle
Dispositif militaire actif depuis janvier 2015. ~7 000 militaires en patrouille sur sites sensibles (lieux de culte, écoles, transports). Appui aux forces de sécurité intérieure. Continu depuis Charlie Hebdo.
Loi SILT 2017
Loi Sécurité Intérieure et Lutte contre le Terrorisme. A pérennisé certaines mesures de l'état d'urgence : périmètres de protection, fermeture lieux culte, MICAS (mesures individuelles), visites domiciliaires.
PPMS
Plan Particulier de Mise en Sûreté. Obligatoire pour tous les établissements scolaires depuis 2002, renforcé 2015. Couvre 3 risques : majeurs, attentat-intrusion, attentat-attaque. Exercice annuel obligatoire.
OIV, Opérateur d'Importance Vitale
~250 OIV désignés en France par SGDSN dans 12 secteurs d'activités d'importance vitale (énergie, eau, santé, alimentation, transports, finance, communications, espace, recherche, judiciaire, militaire, civile/État). Cadre LPM 2013.
OSE, Opérateur de Services Essentiels
Statut élargi créé par directive NIS et renforcé par NIS2 (transposée 2024-2025). ~10 000 à 15 000 entités potentiellement concernées. Obligations renforcées sécurité numérique et signalement.
Échapper, Se cacher, Alerter
Doctrine officielle française face à attentat ou intrusion armée, issue du RETEX Bataclan 2015. Enseignée dans les exercices PPMS depuis 2017. Hiérarchie : fuir si possible, sinon se cacher en silence, alerter forces de l'ordre quand sûr.
SGDSN
Secrétariat Général de la Défense et de la Sécurité Nationale. Pilote la stratégie de sécurité nationale, coordonne le plan Vigipirate, supervise les OIV. Rattaché au Premier ministre.
DGSI
Direction Générale de la Sécurité Intérieure. Service de renseignement principal du ministère de l'Intérieur. Lutte contre le terrorisme, espionnage, ingérences étrangères, dissolutions associations radicales.
RAID / GIGN / BRI
RAID : Recherche, Assistance, Intervention, Dissuasion (police nationale). GIGN : Groupe d'Intervention de la Gendarmerie Nationale. BRI : Brigade de Recherche et d'Intervention. Unités spécialisées d'intervention en situations de crise.
Loi protection élus 2023
Loi du 24 janvier 2023. Dispositif renforcé pour élus victimes ou menacés : prise en charge frais avocat, accompagnement psychologique, télé-protection (alarme), protection famille, suivi spécifique préfecture.
PHAROS
Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements. Service du ministère de l'Intérieur pour signaler en ligne tout contenu illicite (terrorisme, harcèlement, menaces). Disponible en ligne 24/7.
K&R, Kidnapping & Ransom
Police d'assurance spécifique couvrant le risque kidnapping et rançon, notamment pour expatriés en zones à risque ou dirigeants exposés. Inclut conseil de crise et négociation par cabinet spécialisé.
Cellule psychologique CUMP
Cellule d'Urgence Médico-Psychologique. Dispositif national activé en cas d'événement traumatique majeur (attentat, accident grave, drame collectif). Prise en charge immédiate des victimes et témoins.
NRBC
Nucléaire, Radiologique, Biologique, Chimique. Catégorie de menaces graves utilisant des agents non conventionnels. Préparation : équipes CMIC SDIS, modules de décontamination, plans ORSAN-NRC.
Cyber-physique
Couplage attaque cyber + action physique. Intrusion système couplée à vol, sabotage industriel ciblé, prise de contrôle SCADA. Articulation cyber + sûreté à anticiper. Cas Stuxnet (Iran 2010) emblématique.
MICAS
Mesure Individuelle de Contrôle Administratif et de Surveillance. Créée par loi SILT 2017. Permet au préfet d'imposer obligation de pointage, restrictions de déplacement, à toute personne suspectée de terrorisme, sous contrôle juge.
RETEX
Retour d'expérience. Démarche structurée d'analyse post-crise. Composantes : chronologie, analyse causes, leçons apprises, plan d'action correctif. Indispensable après crise traversée. Partagé avec autorités pour les crises de sûreté.
Signature SCOPIC
Twist est la marque gestion de crise de SCOPIC, une équipe de 20 consultant·es, créatif·ves et chef·fes de projets qui accompagne les entreprises et les territoires dans leurs projets de transformation, de concertation et de communication responsables. Notre signature : ne jamais livrer un plan seul. PPMS exercé + cellule de crise vivante + accompagnement post-traumatique + dialogue avec les forces de l'ordre, toujours articulés. Neutralité revendiquée, approche sur-mesure, ancrage humain.
Renforcer votre dispositif sûreté-sécurité ?
30 minutes pour cadrer vos enjeux PPMS, volet sûreté PCS, exercice Vigipirate ou protection des dirigeants. Confidentialité absolue. Gratuit et sans engagement.
Benoît Labalette
Consultant en gestion de crise et culture du risque