Procédure d'intervention sur site sensible

Un site sensible est tout lieu dont la compromission — partielle ou totale — de son dispositif de sécurité électronique est susceptible d'engendrer des conséquences graves sur la sécurité des personnes, la continuité d'activités critiques ou la protection d'actifs de haute valeur. Mileo Technology identifie quatre grandes catégories de sites sensibles : les centres de données et infrastructures informatiques critiques, les sites industriels classés Seveso ou relevant de la directive NIS2, les bâtiments gouvernementaux et les établissements relevant du secret de la défense, ainsi que les établissements bancaires, coffres-forts et centres de traitement de valeurs.

La classification d'un site est effectuée lors de la phase commerciale par le responsable technique en coordination avec le client. Elle est consignée dans la fiche site du logiciel de gestion des interventions et ne peut être rétrogradée sans validation explicite du responsable d'exploitation. Tout site non encore classé doit être traité par défaut comme sensible si le moindre doute existe.

L'intervention sur un site sensible est conditionnée à la détention d'une habilitation valide, délivrée conjointement par Mileo Technology et, lorsqu'applicable, par le client ou l'autorité compétente. Pour les sites gouvernementaux soumis à la protection du secret, l'habilitation du personnel (niveau Confidentiel Défense ou Secret Défense selon la classification du site) est obligatoire et vérifiée avant toute planification d'intervention.

Les habilitations délivrées par Mileo Technology comprennent : le niveau S1 (accès aux sites industriels et centres de données standards), le niveau S2 (établissements bancaires, centres de traitement de valeurs, data centers Tier III et IV) et le niveau S3 (bâtiments gouvernementaux classifiés, en complément d'une habilitation nationale). Ces habilitations sont nominatives, non transférables et révisées annuellement. Tout technicien dont l'habilitation est expirée ou suspendue ne peut pas accéder au site.

L'obtention d'une habilitation implique un entretien avec le responsable de sécurité interne, la consultation des mentions d'antécédents judiciaires pour les niveaux S2 et S3 (avec accord écrit du salarié conformément à la réglementation), et une formation spécifique aux enjeux de sécurité du niveau concerné.

Un briefing de sécurité est obligatoire avant toute intervention sur site sensible, qu'il s'agisse d'une première visite ou d'une intervention de maintenance récurrente. Ce briefing est conduit par le chef de projet ou le responsable technique référent et couvre au minimum : la nature et les objectifs de l'intervention, les zones d'accès autorisées, les zones strictement interdites, les contacts d'urgence sur site, les règles spécifiques au site (port du badge, accompagnement obligatoire, zones à ne pas photographier), et les procédures d'évacuation d'urgence.

Le briefing donne lieu à une fiche signée par chaque intervenant, archivée dans le dossier d'intervention. Pour les sites de niveaux S2 et S3, ce briefing inclut également la présentation du plan de sécurité du site (dans les limites de ce que le client autorise à divulguer) et la remise des consignes particulières établies par le responsable sécurité du client.

En cas d'intervention planifiée à plus de 72 heures, le briefing peut être réalisé à distance via visioconférence, mais doit être complété par une vérification physique des équipements de protection et des accréditations avant le départ sur site. Un second briefing court (15 minutes) est réalisé sur site avant le début effectif des travaux.

Sur un site sensible, chaque technicien Mileo Technology est tenu de respecter un code de conduite strict sans exception. Le badge d'identification Mileo Technology doit être porté de manière visible en permanence. Tout déplacement hors de la zone d'intervention autorisée est interdit sans accord explicite du référent sécurité du client. L'utilisation de téléphones personnels est interdite dans les zones sécurisées ; seuls les équipements professionnels fournis par Mileo Technology sont autorisés.

Il est formellement interdit de mémoriser, noter ou transmettre toute information relative à la topologie du dispositif de sécurité du client, aux zones couvertes ou non couvertes, aux codes d'accès ou aux failles identifiées. Les conversations professionnelles sensibles doivent être limitées à la zone de travail et ne jamais se tenir dans des espaces communs, couloirs ou ascenseurs où des tiers non habilités pourraient être présents.

En cas d'observation d'une situation anormale (comportement suspect d'une tierce personne, matériel endommagé anormalement, accès forcé constaté), le technicien doit interrompre son intervention, alerter immédiatement le référent sécurité du site et en informer sans délai son responsable hiérarchique chez Mileo Technology.

À l'issue de chaque intervention sur site sensible, un débrief structuré est réalisé par le technicien, idéalement dans l'heure suivant son départ du site. Ce débrief est consigné dans le rapport d'intervention et comprend : une description précise des travaux réalisés, les écarts éventuels par rapport au plan d'intervention initial, tout incident ou événement notable survenu pendant l'intervention, et la confirmation de la restitution des badges, clés et accès temporaires.

Pour les interventions de niveau S2 et S3, le débrief inclut également une vérification de l'inventaire des équipements apportés sur site (outillage, testeurs, câbles) afin de s'assurer qu'aucun matériel n'a été oublié ou laissé sur place sans autorisation. Tout écart d'inventaire est signalé immédiatement au responsable d'exploitation et au client.

Le rapport de débrief est validé par le responsable technique sous 48 heures et archivé dans le dossier client pour une durée minimale de 5 ans. En cas d'incident grave, une analyse post-intervention approfondie est déclenchée conformément à la procédure de gestion des incidents.