Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Direction des bibliothèques AVIS Ce document a été numérisé par la Division de

Direction des bibliothèques AVIS Ce document a été numérisé par la Division de la gestion des documents et des archives de l’Université de Montréal. L’auteur a autorisé l’Université de Montréal à reproduire et diffuser, en totalité ou en partie, par quelque moyen que ce soit et sur quelque support que ce soit, et exclusivement à des fins non lucratives d’enseignement et de recherche, des copies de ce mémoire ou de cette thèse. L’auteur et les coauteurs le cas échéant conservent la propriété du droit d’auteur et des droits moraux qui protègent ce document. Ni la thèse ou le mémoire, ni des extraits substantiels de ce document, ne doivent être imprimés ou autrement reproduits sans l’autorisation de l’auteur. Afin de se conformer à la Loi canadienne sur la protection des renseignements personnels, quelques formulaires secondaires, coordonnées ou signatures intégrées au texte ont pu être enlevés de ce document. Bien que cela ait pu affecter la pagination, il n’y a aucun contenu manquant. NOTICE This document was digitized by the Records Management & Archives Division of Université de Montréal. The author of this thesis or dissertation has granted a nonexclusive license allowing Université de Montréal to reproduce and publish the document, in part or in whole, and in any format, solely for noncommercial educational and research purposes. The author and co-authors if applicable retain copyright ownership and moral rights in this document. Neither the whole thesis or dissertation, nor substantial extracts from it, may be printed or otherwise reproduced without the author’s permission. In compliance with the Canadian Privacy Act some supporting forms, contact information or signatures may have been removed from the document. While this may affect the document page count, it does not represent any loss of content from the document. Université de Montréal L'audit de sécurité et la protection des organisations par Sylvain Mignault École de criminologie Faculté des Arts et des Sciences Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de Maître ès sciences (M.Sc.) en criminologie Janvier 2009 © Sylvain Mignault, 2009 Université de Montréal Faculté des études supérieures Ce mémoire intitulé: L'audit de sécurité et la protection des organisations présenté par : Sylvain Mignault a été évalué par un jury composé des personnes suivantes : Stéphane Leman-Langlois, président-rapporteur Maurice Cusson, directeur de recherche Frédéric Lemieux, membre du jury Mémoire accepté le : ------------------- III RÉSUMÉ Il peut être difficile pour un néophyte de mettre le doigt sur les problèmes de sécurité d'une organisation, et encore pire, de trouver des solutions appropriées. Cette tâche n'est pas toujours plus facile pour les experts qui ont à travailler pour des organisations qui ont des problèmes complexes et qui ont à choisir parmi un choix de solutions grandissant. Le gestionnaire se doit d'agencer intelligemment des mesures en choisissant parmi le matériel de sécurité, l'embauche de personnel, l'achat d'équipement électronique, l'implantation de procédures ou l'innovation dans le but de trouver des solutions nouvelles. L'audit est un outil qui aide les experts à effectuer ce travail. Nous définissons l'audit, ou le relevé de sécurité, comme étant un examen méthodique d'une organisation ou d'un site visant à identifier ses risques, ses vulnérabilités et les faiblesses de ses protections existantes ainsi qu'à statuer sur son niveau de sécurité et à recommander des solutions aux problèmes identifiés. Cet examen permet de recueillir beaucoup de données concernant l'organisation. Celles-ci sont par la suite analysées pour trouver des solutions adaptées et efficaces pour régler les problèmes de sécurité rencontrés. Il y a deux types de données qui sont collectées lors d'un audit. Il y a celles qui sont quantitatives avec lesquelles il est possible de faire des analyses statistiques. Essentiellement, l'expert les trouve en consultant l'historique des incidents d'une organisation, les résultats des tests qui peuvent avoir été effectués sur les équipements de sécurité en place ou encore à l'aide des outils informatiques disponibles. Malheureusement, les données statistiques ne sont pas toujours accessibles. Les données qualitatives constituent le deuxième type de données. Elles sont collectées en allant rencontrer les personnes clés d'une organisation, en consultant des documents ou en observant les lieux. Idéalement, l'expert collecte le maximum de données qualitatives et quantitatives. Cela lui permet d'effectuer de bonnes analyses avant de faire ses recommandations finales. IV L'objectif général de cette recherche est d'analyser les audits de sécurité effectués par les acteurs chargés de la sécurité et vérifier s'ils utilisent la littérature spécialisée ainsi que les théories développées en criminologie. Les experts de la région de Montréal réalisent des audits de sécurité et nous voulons vérifier comment ils procèdent pour réaliser ces projets pour les organisations. Leur façon de faire ressemble à celle développée par les experts anglophone~ et nous expliquerons d'où provient cette ressemblance. Nous avons retenu cinq étapes à la réalisation d'un projet d'audit qui sont les suivantes: 1) La rencontre préliminaire 2) la préparation 3) la cueillette des données 4) l'analyse des données et 5) la rédaction d'un rapport. Ces étapes seront expliquées et critiquées dans ce mémoire. Pour rencontrer notre objectif général, nous avons opté pour une recherche eff~ctuée à l'aide de données qualitatives. Seize experts ont participé à cette recherche, nous avons fait onze entretiens non-directifs, étudié six cas, effectué deux séances d'observations et finalement nous avons assisté à une conférence donnée par les membres de l' ASIS International (chapitre Montréal). Dans cette recherche, nous allons aussi faire un lien entre les audits réalisés par les experts et l'analyse qui est faite en criminologie. L'analyse criminologique jumelée à la façon de faire pragmatique des experts peut constituer un apport dans ce domaine. Les criminologues ont développé des méthodes efficaces pour étudier le crime et pour analyser les problèmes. Utiliser ces méthodes dans le cadre d'un audit améliorerait l'analyse des données qui est souvent négligée par les experts. Joindre le savoir-faire des experts de la sécurité privée à celui des criminologues permettrait de cibler les problèmes et de leur attribuer des solutions praticables. Un exemple de guide de sécurité l est fourni dans ce mémoire. n s'agit d'une grille de questions qui est utilisée par l'ensemble des experts que nous avons rencontrés. Cette grille permet d'étudier les éléments de la sécurité d'une organisation et d'éviter les oublies. Pour plusieurs, il s'agit d'un outil très utile, voire indispensable. 1 Les anglophones utilisent le tenne 'security survey'. v MOTS CLÉS: Audit de sécurité, guide de sécurité, sécurité privée, analyse des risques VI ABSTRACT It might be difficult for a beginner to make the security problems of an organization apparent, and even harder to find the appropriate solutions. This task is not always easy for the experts who work for organizations dealing with complex problems to decide between many solutions. The manager has to hire people, to purchase electronic equipment, to set up procedures, or to break new ground to find new solutions. The security survey is a useful tool in helping the experts to do their work. We define the security survey as a methodical examination of an organization or of a site aiming to identify its risks, its vulnerabilities and its existing protection weaknesses, to find its security level and to recommend solutions to the identified problems. The exam allows for the collecting of a large amount of data conceming the organization. Then, they are analyzed to eventually find adapted and efficient solutions to resolve the security problems coming across. There are two types of data collected during a security survey. There is the quantitative data from which it is possible to make statistic analysis. Essentially, the expert finds it by consulting the historic incidents of an organization the results of tests made on security equipment in place or with the help of available informatics tools. Unfortunately, the statistic data are not always available. The qualitative data constitutes the second type of data. It is collected when meeting the people of an organization, consulting documents or observing places. The expert collects as much quantitative and qualitative data as possible because it helps to make a better analysis before giving final recommendations. The general objective of this research is to analyze and to describe the security survey realized by the actors in charge of the security and verify if they use the criminological analysis and the experts pragmatic methods. The experts from the Montreal area use this tool and we will show how they use it. Their methods are similar to the ones developed by the American experts and we explain where this similarity cornes from. To realize a security survey, we use five steps: 1) A preliminary meeting, 2) Vll Preparation, 3) Information research, 4) Analysis and 5) writing of a report. These steps are explained and criticized in this thesis. To reach our general goal, we opted for a research made of qualitative data. In total, we met 16 experts, had eleven meetings, six cases were studied, two sessions of observation, and finally, we assisted at a conference given by members of ASIS International (Montreal chapter). We also compare the methods of the specialists we met with the uploads/Management/ mignault-sylvain-2009-memoire.pdf