De l'incident au modèle : pourquoi la sécurité physique sera le risque déterminant de cette décennie

La panne d'électricité à Berlin n'était pas un cas isolé, mais le signal d'un changement structurel à l'échelle européenne. Johan Vrydag, Country Manager chez BauWatch, décrypte l'augmentation des menaces hybrides et explique pourquoi la résilience physique doit de toute urgence s'inviter à la table du conseil d'administration.

La panne d'électricité à Berlin n'était pas un incident isolé. C'était un signal d'alarme. Depuis la publication de mon précédent article sur la résilience physique, le nombre d'incidents liés à la sécurité signalés dans les médias européens n'a fait qu'augmenter. Chaque titre confirme la même conclusion inconfortable : ce que nous observons n'est pas une suite de coïncidences, mais un changement structurel dans la manière dont nos vulnérabilités sont exploitées.

Partout en Europe, les infrastructures physiques deviennent de véritables points de pression stratégiques.

Ces derniers mois, les médias ont mis en lumière des tentatives de sabotage sur les réseaux ferroviaires, des incendies criminels contre des infrastructures de télécommunication, des activités suspectes à proximité de sources d'énergie, ainsi que des avertissements répétés des agences de renseignement concernant des menaces hybrides visant des systèmes civils. Ces incidents diffèrent par leur ampleur et leur localisation, mais ils ont un dénominateur commun. Ils ciblent des composants physiques qui n'ont jamais été conçus pour résister à des actions ennemies délibérées.

Le déséquilibre exploité

Pendant des années, les discussions sur la sécurité au niveau de la direction et des politiques ont été dominées par les risques cyber. Cette priorité était compréhensible. La numérisation s'est accélérée plus vite que les cadres de gouvernance ne pouvaient suivre. Les incidents cyber étaient visibles, mesurables et perturbateurs. En conséquence, la cybersécurité a connu une croissance rapide, soutenue par des réglementations, des investissements et l'attention soutenue des directions.

La sécurité physique, quant à elle, est restée fragmentée. Souvent décentralisée. Souvent sous-traitée. Rarement placée entre les mains du conseil d'administration. C’est précisément ce déséquilibre qui est aujourd'hui exploité.

Ce qui rend les attaques physiques particulièrement redoutables, c'est leur simplicité. Elles ne nécessitent pas de technologie de pointe, d'accès privilégié ou de planification complexe. Une seule intervention physique au bon endroit peut couper l'électricité, les communications, les transports ou les flux de données pour des millions de citoyens. Les réactions en chaîne sont directes et particulièrement difficiles à maîtriser.

Une compétence stratégique de gouvernance

Du point de vue de la gouvernance, cela modifie complètement l'équation du risque. La résilience physique n'est plus un détail opérationnel. C'est une compétence stratégique. Elle impacte directement la continuité des activités, la confiance du public, la conformité réglementaire et même la stabilité géopolitique. Lorsque les hôpitaux sont privés d'électricité, que les trains s'arrêtent ou que les réseaux mobiles tombent en panne, les conséquences dépassent de loin les seuls préjudices financiers.

C'est exactement la raison pour laquelle les régulateurs européens déplacent leur curseur. La directive CER n'est pas un simple ajout administratif aux cadres existants. Elle marque la reconnaissance du fait que la résilience doit être abordée de manière holistique, tant dans le domaine numérique que physique. Plus important encore, elle place la responsabilité exactement là où elle doit être : au niveau du leadership.

Dépasser la simple logique de conformité

Toutefois, la réglementation seule ne résoudra pas le problème. Ce que je constate sur le terrain, c'est que de nombreuses organisations peinent encore à traduire ces exigences en actions concrètes. Les évaluations des risques se concentrent trop souvent sur le siège social, tandis que les actifs externes restent largement ignorés. Les investissements de sécurité privilégient la détection au détriment de la prévention. Les mesures physiques sont menées de manière réactive, bien souvent après qu'un incident s'est produit.

Les organisations qui prennent une longueur d'avance dans cette nouvelle réalité sont celles qui dépassent la simple logique de conformité administrative. Elles traitent leurs actifs physiques comme des actifs stratégiques. Elles intègrent la sécurité physique dans la gestion globale des risques de l'entreprise. Elles testent des scénarios réels, pas des suppositions. Et elles comprennent que la résilience ne consiste pas à éliminer le risque, mais à en réduire l'impact et à accélérer la reprise d'activité.

Le rôle de la donnée dans la prise de décision

Dès lors, le message est clair. Nous devons cesser de nous demander si les infrastructures physiques seront ciblées ou non. Les événements récents ont déjà répondu à cette question. La vraie question est de savoir si nous sommes prêts à identifier ces modèles suffisamment tôt et à agir de manière décisive.

C'est pourquoi je reste convaincu qu'une sensibilisation continue est cruciale. En reliant les évolutions réglementaires aux incidents du monde réel, nous faisons évoluer le débat d'un risque abstrait vers des conséquences tangibles. Chaque sabotage, chaque perturbation ou chaque avertissement relayé n'est pas une simple actualité. C'est de la donnée. Une donnée qui doit guider les politiques, les investissements et les décisions de la direction.

Dans mes prochains articles, je continuerai à lier l'actualité médiatique à ce que j'observe sur le terrain en matière de protection des infrastructures critiques. Non pas pour céder à l'alarmisme, mais pour apporter de la clarté. Car la résilience commence par la compréhension de la réalité dans laquelle nous opérons. L'époque où la sécurité physique était traitée comme une préoccupation secondaire est révolue. Ceux qui le comprennent aujourd'hui façonneront les standards de demain. Les autres devront réagir sous pression.