Cet article est construit comme un témoignage critique, basé sur une expérience professionnelle de 4 ans au sein d’une grande entreprise française de production d’arme. Pour des raisons de sécurité nationale, ni le nom de l’entreprise ni le site ne seront communiqués afin de ne pas encourager l’exploitation des failles et respecter la confidentialité. Les propos cités peuvent concerner des officiers de sécurité en charge des accès aux sites sensibles ainsi que l’application des protocoles de confidentialité défense. Les failles énumérées permettent de comprendre l’état de vulnérabilité de la défense nationale française et d’en déterminer les causes.
Une prise de poste troublante
Lorsque je suis rentré comme agent de sécurité dans l’une des plus grosses entreprises françaises d’armement, je pensais assister à un protocole drastique. Où les impératifs de sécurité ne pourraient pas être facilement contournés. Je l’espérais après des emplois où la réglementation était trop souvent considérée comme une contrainte inutile. J’avais en tête le préjugé selon lequel ce type de poste était même réservé aux gendarmes.
Tout commence lorsque je trouve sur Pôle-Emploi une annonce liée à la sécurité privée pour un site dit « sensible » et « en lien avec la Défense nationale ». Aucune précaution, il est affiché en grand partout, qu’un tel client cherche une personne pour contrôler les accès. Formé en journalisme, détenteur des diplômes nécessaires à la sécurité privée, en recherche d’emploi et curieux des questions de Défense, je saute évidemment sur l’offre sans me faire d’illusion. J’ai fréquenté des lieux libertaires, contribué à la rédaction d’un livre sur la guerre au Mali et assisté à des manifestations qui m’ont conduit au commissariat. Même si je n’avais commis aucun tord, que je n’ai reçu aucune condamnation, j’étais présent sur des fiches comme le TAJ. On me donne quand même rendez-vous.
Passé la surprise, l’entretien d’embauche est réalisé dans les locaux du sous traitant en sécurité. Le recruteur insiste sur la responsabilité liée au poste, sur le caractère sensible, sur la nécessité de renvoyer une image professionnelle de son entreprise et de bien prendre en compte que les personnes à contrôler sont souvent les salariés de la puissante entreprise et qu’il faut donc prendre des pincettes. Le poste est en vacation de 12 heures, avec seulement un agent de sécurité au même moment. Le jour en présence des salariés et seul durant la nuit.
On me rappelle une semaine plus tard pour signer mon contrat de travail. Le client, l’entreprise d’armement, me convoque un matin pour assister à une réunion de sensibilisation. Où le personnel de la sécurité assiste au même exposé que les intérimaires et les salariés du groupe alors que les moyens entre nos mains, n’ont pourtant rien à voir. On y apprend quelques réflexes basiques sur la discrétion sur les réseaux sociaux, les peines en cas de violation de la confidentialité et le risque que des espions nous séduisent dans notre vie privée pour accéder à nos logements, documents et téléphones. On nous cite notamment le cas des réseaux chinois qui ont déjà réussi à marier certaines espionnes avec des salariés d’entreprise d’armement. La réunion dure une heure, c’est court mais on comprend qu’il y a des enjeux et des risques propres à ce secteur d’activité. C’est la dernière fois que le ton sera aussi grave. Place ensuite à la pratique et ses mauvaises habitudes.
L’après midi je dois me rendre sur mon site d’affectation qui devait m’être présenté par des membres expérimentés de l’équipe de sécurité privée. Faire venir un membre habituel de l’équipe le jour de ma prise de service, aurait pu engendrer des heures supplémentaires C’est donc le remplaçant du poste vacant qui me fait visiter en me précisant « je ne connais pas très bien l’endroit je suis en poste volant sur d’autres sites. Je ne vais pas pouvoir tout te présenter le cahier de consigne n’est pas à jour. Il date de l’époque où une autre entreprise avait le contrat. »
Il fait de son mieux mais je sent qu’il me manque beaucoup d’éléments pour être efficace. Certaines données échappaient à l’ensemble de l’équipe. Par exemple, en 4 années nous n’aurons aucune formation ou information pour surveiller les machines qui restent en activité la nuit, sans salariés, ni pour les risques chimiques liés aux laboratoires et leur stock de produits dangereux. Outre le danger pour nous mêmes, c’est aussi un risque pour ces installations sensibles puisqu’il y a des produits inflammables inconnus, de l’hydrogène liquide et des fours industriels électriques atteignant des températures extrêmes. Nous n’avions aucune information sur les alarmes techniques liées. Si bien qu’un de mes collègue a du un jour, se rendre en face d’un détecteur en alarme, pour découvrir le lendemain qu’il correspondait à un manque d’oxygène dans la pièce…
Le second jour de travail, le collègue que je relève me fourni les clefs et les badges de sécurité pour l’intégralité du site, que je surveille désormais seul. Il est en fin de service après 12H et ne peut pas non plus me former aux particularités des lieux (plan d’intervention, dispositifs de sécurité, consignes, etc…). Je ne connais pas le site, je ne connais pas ses règles ni son fonctionnement, personne ne me connaît mais je peux en moins de 24H, ouvrir les bureaux de la direction d’une entreprise d’armement, comme j’ouvrirai un placard à balais. Sans compter que je suis en poste dans le bureau de l’officier de sécurité avec la capacité de changer les accès de n’importe quel badge et d’ouvrir les grilles d’entrée du site, même en pleine nuit. J’ai l’impression de rêver, j’essaye de me rassurer en me disant qu’une enquête préalable a forcement du avoir lieu me concernant et que n’étant pas une menace, ce n’est pas si grave. Me reste tout de même dans un coin de la tête, une question : que ce serait-il passé si j’étais mal intentionné ?
L’officier de sécurité, cadre de l’entreprise d’armement, me remet quelques jours plus tard un document à remplir pour obtenir l’habilitation confidentielle défense. J’apprends que l’entreprise devait en principe limiter les fonctions et accès des agents dont les dossiers ne sont pas encore validés par la Direction Générale de l’Armement. Mais par soucis de continuité du service, elle s’autorise quelques légèretés. J’envoie le document à mon employeur, qui doit le contre signer avant l’envoi aux services.
Trois mois plus tard le responsable de secteur vient me voir et me redonne le fameux document : « Est-ce que vous pourriez retirer cette partie ? Cela va compliquer la vérification de votre profil. » Je feint de ne pas être fâché d’apprendre que le document a pris la poussière pendant trois mois sur son bureau et me pli à sa volonté. Je retire donc la partie « Indiquez toute information utile qui pourrait faciliter l’enquête ». J’y listais indiquais mon travail de rédaction et mes activités militantes, puisqu’on m’a toujours appris que les données assumées sont moins inquiétantes que les données dissimulées. Ce n’était visiblement pas l’avis de mon entreprise de sécurité privée. Le document amputé de mes éléments complémentaires, a donc engendré 9 mois d’enquête par la DGA. Ce qui est assez long par rapport à la norme habituelle. Il ce sera donc passée une année entière avant que l’on m’attribue l’habilitation Confidentiel Défense. Pendant toute cette période, je bénéficiais déjà des accès pourtant conditionnés au résultat de l’enquête. Et ce n’est que le premier bug d’une longue série.
La direction générale de l’armement et des divergences d’intérêts
Pour que vous compreniez bien l’encadrement des entreprises de la Défense : Différents organismes de l’État administrent les autorisations de production et sont censés avoir un droit de regard au sujet des accès sur les sites sensibles, ainsi que sur l’établissement des consignes et protocoles de sécurité. La Direction Générale de l’Armement est donc perçue comme la bête noire au sein de ces entreprises.
L’entreprise doit générer des profits donc évite de ralentir son activité et cherche à réduire au maximum sa facture. La DGA pour sa part à une mission de sécurité nationale et privilégie les mesures de prévention qui de facto, alourdissent le fonctionnement de l’entreprise et donc les coûts de production. Il y a donc deux logiques qui s’opposent et une absence de garde fou.
Si la Direction Générale de l’Armement est censée commander la gestion sécuritaire, elle en sous traite néanmoins l’activité aux entreprises et aux personnes affectées au poste d’officier de sécurité. Qui elles même sous traitent la partie opérationnelle aux entreprises privées de sécurité. On est déjà très loin d’une surveillance en direct de la DGA. Si bien que son travail consiste à visiter par moment les locaux, avec des cadres avertis en amont et pouvant cacher la poussière sous le tapis, et à valider les demandes d’accès qui lui sont faites. Mais ce n’est pas la DGA qui utilisent les logiciels contrôlant les autorisations d’accès. C’est le sous traitant de l’entreprise d’armement, ce qui rend les passes droits très faciles.
En 4 ans j’ai constaté que de nombreux dossiers de visite du site, non validés par la DGA, étaient acceptés par un cadre de l’entreprise qui soit avait fauté en oubliant d’envoyer le formulaire, soit n’acceptait pas les délais de traitement. Ces officiers et leurs adjoints, contrairement au titre de leur poste, ne sont pas des militaires mais des cadres du secteur privé. Ils craignent que leurs collaborateurs au sein de l’entreprise ne se fâchent lorsque leur visiteur n’ont pas le droit d’accéder au site. Si bien que durant mon contrat de travail, je n’ai strictement rien compris à l’utilité de mon poste. Puisque j’avais devant mois des consignes, puis la hiérarchie qui les rédige me demandait « de laisser passer ». Avant de me dire le lendemain, de surtout bien respecter les consignes.
En cas d’incidents liés aux passes droits et consignes à géométrie variable, pas de soucis : l’Officier de Sécurité peut accuser les agents d’avoir mal compris. Soit vous vous pliez à la chose, soit vous accusez en tant que salarié du sous traitant, une personne bien installée, ayant un rôle dans l’attribution du marché, d’avoir commis une faute professionnelle. Sans preuve, le débat est vite clos : « Oui monsieur, bien monsieur, vous avez raison monsieur. »
Des contrôles superficiels et la poussière sous le tapis :
Un matin j’arrive sur site en constatant une activité intense. Les officiers de sécurité de l’entreprise, leurs adjoints et les responsables Hygiène et Sécurité patrouillent dans tout le bâtiment pour compléter les registres incomplets sur les anomalies des dispositifs de prévention, pour retirer les cales des portes coupe feu pour lesquelles ils autorisent habituellement les passes droits et pour cacher les documents qui n’ont pas été détruits en temps et en heure. Cette dernière m’a achevé.
Je surveille les caméras pendant que l’officier et son adjoint discutent à côté. Ce dernier panique « Merde on met où les poubelles pour les documents à diffusion restreinte ? », l’officier lui répond « On les laisse faut juste fournir l’inventaire. » En principe c’est simple, sauf que « On a oublié de détruire leur contenu et elles débordent. » Pourtant, les agents de sécurité dont ce n’est pas la mission, ont prévenu plusieurs fois qu’il était possible de récupérer le contenu de ces poubelles sensibles, juste en glissant ses doigts dans la fente. Mais la solution chez le géant de l’armement est toute trouvée : « Tu mets les poubelles dans le local des agents de sécurité, la DGA n’ira pas là bas. »
Non seulement le jour du contrôle d’un site d’armement est connu à l’avance par les personnes contrôlées, mais en plus elles connaissent les procédés pour dissimuler leur faute.
La DGA devrait s’y intéresser. Car outre des documents restreints, des salariés un peu pressés, y jettent aussi des plans de fabrication qui devraient être classés au minimum en Confidentiel Défense. Classement qui engendre une procédure de destruction spécifique rapide. Afin d’éviter qu’un salarié de l’entreprise, ou un agent de sécurité, un technicien de surface ou un éboueur ne puisse revendre des données sensibles. Car oui, c’est extrêmement facile pour tout ces métiers, d’obtenir de tels documents si la procédure n’est pas appliquée.
Des sous traitants qui s’octroient des droits :
Si déjà le contrôle des officiers de sécurité par la DGA est plus que leger, imaginez les échelons plus bas. Sur des sites sensibles, vous avez un système de parrainage pour les profils non confirmés par les services et les personnes de passage : l’accompagnement.
Des personnes sont habilitées à prendre en charge des visiteurs à condition de les suivre sur l’intégralité de leur trajet. En théorie. Dans la pratique j’ai pu constater qu’une entreprise de sous traitance laissait des intérimaires vadrouillaient seuls dans des zones d’expérimentation de prototypes. Mais voilà, ce sous traitant ne comptant pas ses heures, l’officier de sécurité ne veut surtout pas le contrarier. Encore une fois, la logique de profit empiète sur les impératifs de sécurité.
D’autres parts, des agents de sécurité autant que des officiers, lorsqu’ils ont déjà vu plusieurs fois un visiteur, comme la personne qui vient ravitailler les distributeurs de boisson, abandonnent totalement les directives de la DGA. Ils badgent pour faire entrer le sous traitant, et le laisse aller et venir. Il suffit donc de candidater sur la bonne entreprise et être un peu patient pour pouvoir aisément poser un micro sur la machine à café qu’utilise les ingénieurs et la direction d’une entreprise d’armement, où chacun discute du projet sur lequel il travaille, ou des dernières négociations pour vendre des équipements.
Alors que vous travaillez dans la sécurité, si vous évoquez l’hypothèse d’un espionnage industriel de ce genre, tout le monde vous prend pour un paranoïaque. Comme si l’entreprise vendait de simples bonbons sans être dans un contexte particulier. Comme si on ne vous avez pas averti que dans ce milieu, des services de Renseignement sont allés jusqu’à bousiller la vie de leurs agents et des cibles, par des mariages d’intérêts. L’entreprise n’était rigoureuse, que les jours de visite de la DGA.
En terme de sécurité informatique, là encore les passes droits sont nombreux. En principe il est interdit d’utiliser des clefs USB personnels sans les passer par les logiciels spécifiques de l’entreprise afin d’en garantir la sécurité. Au début on se plie au protocole, puis le chef de l’équipe de sécurité ayant confiance en son matériel fait transiter les documents entre le PC du bureau de sécurité et son ordinateur personnel, sans précaution. Ordinateur qui comprend la gestion des badges et des caméras, les demandes d’accès, les alertes de sécurité ainsi que les plans du site. Par ailleurs nombre d’interventions informatiques sont réalisées par des sous traitant : du brassage des bais informatiques et serveurs de calcul, à l’installation et paramétrage des caméras et alarmes.
Lors du service de jour, on assiste à une véritable usine à gaz. Ce n’est plus seulement le sous traitant de l’entreprise d’armement qui s’occupe de la sécurité privée, mais une personne tierce, hors surveillance de la DGA, engagée par une autre entreprise au niveau de l’accueil de la zone d’activité. Elle a la charge de l’ouverture du portail conduisant à la cours. Cela donne des choses extraordinaires. Comme de voir sur les caméras apparaître un camion inconnu, avec un passager inconnu juste à côté du stockage des gaz et des accès aux nefs. Je prends donc mon téléphone pour appeler l’accueil de la zone et leur demande ce qu’il se passe : « Oui désolé. J’ai oublié de vous appeler. » Donc là, une personne qui n’est engagée en rien vis à vis de l’entreprise d’armement, possède la gestion d’accès et fait passer des camions sans avoir aucune confirmation sur l’autorisation d’accès. Cerise sur le gâteau : les consignes du site ne comprennent pas la fouille du camion avant son entrée sur site.
Il y aurait bien d’autres anecdotes à publier mais l’essentiel du problème est dans l’affectation des rôles, le mile feuille et la légèreté des contrôles. La nature des contrats d’installation d’un site sensible est aussi à critiquer. De nombreuses anomalies sont validées par les autorités de contrôle. Car si certains éléments sont dissimulés, d’autres comme la gestion d’un portail d’accès à une personne tierce, a été acté par la Direction Générale de l’Armement à travers des arguments d’économie sur le personnel à employer et encadrer.
Déjà sensible face à l’espionnage industriel et les attentats, ces lieux de recherche et de production d’armement sont dans un contexte d’hostilités russes, encore plus menacés. Il est peu probable que des réformes soient opérées sans un audit qui prenne en compte les conséquences de la sous traitance et du partenariat public-privé dans un tel secteur. La logique de profit inhérente aux entreprises et à leurs sous traitant, n’autorisent pas à se contenter d’un encadrement reposant davantage sur les promesses d’intention que sur la vérification et les contrôles inopinés.
Ce secteur privé, qui a ses tords, ait aussi pris en étaux par les missions que lui donne l’État. Un État qui depuis un certain nombre de gouvernements, ne veut plus engager de fonctionnaires de la Défense pour encadrer la sécurité des sites sensibles. La gendarmerie fut retirée du dispositif afin de réduire les frais. Les agents de sécurité sur un tel site, ont un salaire d’environ 1450 euros net pour des vacations de 12H, de nuit, avec un fort risque terroriste et sans aucun logement ou véhicule de fonction. L’État a donc encouragé la sous traitance pour réduire le coût des commandes passées aux entreprises d’armement.
Le contrôle de la sécurité dans un tel secteur d’activité, devrait au moins réserver les postes d’agent de sécurité liés à la gestion des accès, à un personnel recruté et formé par la DGA.
Pour exemple de cet étaux imposé par les choix gouvernementaux. Dans le cas de mes accès à l’intégralité du site sans contrôle de mon dossier, si l’employeur ne m’avait pas affecté à la hâte sur site il n’était tout simplement plus possible d’ouvrir le bâtiment aux centaines de salariés y travaillant. Ce qui engendrerait des retards de livraison, donc des amandes ou perte de marché et donc des remontrances du gouvernement. Le serpent se mord la queue.
Dans l’idéal le sous traitant aurait du de lui même avertir son client qu’à la suite d’un licenciement il n’avait plus de personnel habilité pour le poste. Le client aurait dû transmettre à la DGA, qui aurait du proposer la mise à disposition temporaire d’un militaire le temps de valider une candidature.
Mais personne ne dira de lui même à son client qu’il n’a pas les moyens humains pour remplir son principal contrat. Et aucune entreprise privée vivant des commandes publiques, ne dira à l’État qu’il n’a pas les moyens d’honorer son contrat. Si tout les sites sensibles ne sont pas aussi mal sécurisés que celui rencontré, c’est néanmoins l’encadrement légal, les statuts et contrats civilo-militaire qui permettent des failles et imposent des logiques contraires aux enjeux.