[Conversation] Annick Rimlinger, directrice du développement de la sûreté

Ayant effectué toute sa carrière dans le secteur de la sûreté, Annick Rimlinger a débuté dans la fonction publique territoriale à Evry pendant sept ans. Elle y dirigeait un service composé de la police municipale, d’un service d’aide aux victimes, d’un point d’accès au droit, et d’un service de médiation. Elle intègre ensuite le CNFPT (Centre National de la Fonction Publique Territoriale), en qualité de Responsable de la formation des fonctionnaires territoriaux travaillant dans la sécurité.
Elle rejoint ensuite le Ministère de l’Intérieur, d’abord comme directrice de cabinet du préfet directeur du CNAPS (Conseil National des Activités Privées de Sécurité), le régulateur de la sécurité privé en France. Elle est ensuite secrétaire générale du cabinet du Ministre de l’Intérieur chargée de la lutte contre la cybermenace.
En 2016 et 2019, elle devient Directrice Générale du CDSE (Club des Directeurs de sûreté et sécurité des entreprises), avant d’intégrer l’entreprise privée Apave en mars dernier comme directrice du développement de la sûreté.

Lors de votre arrivée chez Apave, la direction du développement de la sûreté existait-elle déjà ?

Non, le poste vient d’être créé. Toutefois, plusieurs personnes avaient déjà été formées en sûreté et travaillaient dans nos différentes SAS. En revanche, il manquait une réelle coordination au niveau du siège pour l’ensemble de ces prestations. Le groupe Apave dispose de 11 000 collaborateurs dont 8 000 ingénieurs et techniciens, et jouit d’une présence internationale importante, notamment dans des zones sensibles dans lesquelles nos clients sont localisés.

 

Pouvez-vous nous décrire vos missions au sein d’Apave ?

Je suis en charge du développement de la sûreté pour l’ensemble du groupe et de trois secteurs différents (business line) pour lesquels nous proposons des prestations : le conseil, la formation et la certification.

En matière de conseil, nous intervenons sur la partie réglementaire même si elle est relativement limitée dans le domaine de la sûreté, à la différence de la sécurité où les réglementations sont nombreuses. Nous réalisons par exemple pour nos clients des ESSP, des PSE (plan de sécurisation des établissements pour le domaine de la santé), des PPMS (plan de particulier de mise en sécurité), etc. Nous proposons également toute une offre de conseil en sûreté, malveillance, audit de site, avec des méthodes classiques et différents types de diagnostics (des « flash », ou des plus conséquents).

Beaucoup de professionnels partagent le sentiment que les grands groupes sont mieux sensibilisés sur les enjeux de la sûreté, et disposent de directions sûretés contrairement aux entreprises de taille réduite. Pourtant, ces dernières représentent une large majorité du tissu économique et n’ont souvent qu’une faible perception de ce qu’est une politique sûreté…et des risques auxquelles elles sont susceptibles d’être confrontées.

Sur la formation, nous intervenons dans de nombreux secteurs (radioprotection, habilitation électrique, travail en hauteur, sûreté etc.). En matière de sureté, nous intervenons auprès des agents privés de sécurité dans 8 centres certifiés. Nous proposons également des formations pour du middle management (responsables de site, managers de la sûreté), afin de les sensibiliser et les amener à faire face à différentes situations. Nous construisons des parcours de formation à la carte pour nos clients et nous mixons les techniques pédagogiques et les nouveaux outils en intégrant par exemple de la réalité virtuelle pour les mises en situation.

Sur la certification nous intervenons sur deux normes : la norme 18 788 qui certifie des organismes de sécurité privée et permet de déterminer si l’entreprise de sécurité privée respecte la réglementation du pays dans lequel elle intervient. Cette norme permet de déterminer son niveau de qualification. Elle a été développée à l’initiative des européens pour concurrencer les certifications anglo-saxonnes permettant ainsi aux sociétés françaises et européennes de travailler dans certains pays en offrant des garanties aux clients.

En matière de cybersécurité, la norme ISO 27 001 reste encore substantielle en France et peu d’entreprises se sont engagées, même si c’est l’une des plus grandes préoccupations des dirigeants d’entreprises, petites ou grandes.  

 

Vous avez mentionné les risques en cyber sécurité, quels sont les risques les plus récurrents qui menacent les entreprises françaises ?

Aujourd’hui le risque cyber constitue l’une des premières préoccupations des entreprises : elles doivent se protéger et protéger leurs collaborateurs.

Mais la variété de risques auxquels une entreprise peut être confrontée impacte à la fois les clients des entreprises, ses installations, son personnel et l’ensemble de ses assets qu’ils soient physiques ou non. Certains risques sont aujourd’hui bien intégrés, comme le risque lié aux déplacements professionnels : en fonctions des secteurs et des pays dans lesquels l’entreprise travaille, elle met en place une politique de déplacement voire de surveillance géolocalisée de ses collaborateurs, notamment quand ils sont dans certains types de zone dites « rouge ».

Il y a également la protection du quotidien, celle des installations, qui doit prendre en compte l’ensemble des vulnérabilités. Lorsqu’un site fait l’objet d’une classification, la protection périmétrique est extrêmement importante et il faut veiller à ce qu’elle soit parfaitement maîtrisée.

Une entreprise doit aussi prévenir les risques dans le domaine immatériel : il s’agit de la protection du patrimoine de l’entreprise, que ce soit en matière de R&D ou en termes d’images et d’informations qui circulent sur l’entreprise.

Aujourd’hui, finalement, toutes les entreprises sont soumises à un large panel de risques en fonction du domaine d’activité dans lequel elles exercent. Il est clair que les choses sont différentes pour une entreprise exerçant dans l’industrie ou dans le tertiaire. Néanmoins, certains risques touchent toutes les entreprises : les problématiques d’image, d’intelligence économique, de cyberattaque, de vol, d’agression sur les clients ou le personnel.

C’est d’abord une question de curseur et je pense que toutes les entreprises doivent avoir à l’esprit que les risques existent et qu’elles ne peuvent en être exemptées. Elles doivent les identifier afin de pouvoir ensuite adresser une politique pour les prévenir et les gérer lorsque c’est nécessaire.

 

Comment bien former, sensibiliser les collaborateurs en entreprises et créer une culture de la sûreté afin de minimiser ces risques ?  

La première chose est la prise de conscience des risques, qui n’est pas égale partout. À cet égard, les directions de sûreté sont fondamentales pour alerter le COMEX sur ces questions. Quand il n’y a pas de direction sûreté, ce qui est parfois le cas dans des entreprises de taille moyenne, je crois que c’est le travail des services de l’État ou de prestataires externes.  

Pour bien former, il est primordial d’effectuer un travail de définition et de cartographie des risques pour identifier l’existant et ce qui peut être proposé pour améliorer l’efficience de l’entreprise.

Une fois que ce travail est effectué, l’intervention d’un professionnel n’est pas suffisante : c’est l’adhésion de tous les collaborateurs de l’entreprise qui est fondamentale et cette participation se traduit par des formations et des actions de sensibilisation à destination de tous. Les premiers bénéficiaires doivent être les experts, avant d’élargir la démarche à l’ensemble des collaborateurs et ce, dans la durée. Si on prend par exemple la problématique de l’hygiène informatique, il faut régulièrement rappeler aux collaborateurs le danger de cliquer sur certains types de liens ou pièces jointes dans les emails.

Une entreprise qui n’aurait pas des collaborateurs formés sur le sujet prend de gros risques  et peut même en mourir.  

 

Que pensez-vous des formations 2.0 (e-learning, serious game…) ? Pensez-vous que cela puisse devenir plus efficace ?

Oui. En termes de méthode pédagogique, il n’y a pas qu’une méthode qui s’impose aujourd’hui en matière de formation. Au sein d’Apave, nous disposons d’ailleurs d’une direction avec des personnes dédiées au développement d’autres outils de formation, car les publics ne sont pas les mêmes et le fait de mixer les modalités des formations est extrêmement intéressant.

Je pense néanmoins que sur certaines formations, une partie de présentiel est importante, car les personnes ont besoin de se voir, d’échanger, de se rencontrer. Mais dans ces formations, la technologie a toute sa place et nous y intégrons par exemple des modules sous forme de réalité virtuelle ainsi que des simulateurs (en matière de formation incendie par exemple).

Après, ce n’est pas exclusif et le fait de continuer, poursuivre ou compléter ces formations par des e-learning, serious game, ou des formations à distance, offre aux collaborateurs qui n’ont pas beaucoup de temps la possibilité de pouvoir continuer à se former sur ces sujets.

 

Revenons à la norme ISO 18788 (formation des sociétés de sécurité privée) : Est-ce qu’elle répond aux attentes des donneurs d’ordre et des opérateurs ? Dans quel cas cela pourrait être applicable ? Si demain cette norme est déployée, pourrait-elle servir comme un gage de sérieux pour les appels d’offres étant donné que le secteur n’a pas atteint son âge de maturité et a encore du mal à s’autoréguler ?

Apave est le seul certificateur qui ait certifié des entreprises sur cette norme. Je suis persuadée que cette norme va devenir un élément différenciant, de démarquage, pour les sociétés de sécurité privée, car il s’agit d’un univers très concurrentiel, incluant une homogénéité du niveau de ces entreprises. Elle peut permettre de se différencier pour attaquer certains types de marché, notamment chez des clients qui sont des OIV ou qui requièrent des exigences très particulières, notamment eu égard le domaine dans laquelle elles interviennent.

J’imagine que les clients vont être attentifs à cette différence. Cependant, ce n’est pas encore aujourd’hui un élément qu’ils font figurer dans leurs appels d’offres. Mais on peut penser que certains donneurs d’ordres puissent à l’avenir demander à des sociétés certifiées de répondre à leurs marchés les plus sensibles.

 

Dans la continuité du continuum de sécurité et de la coproduction public-privée, est-ce que le CNAPS peut rendre cette norme obligatoire pour les appels d’offres visant des missions d’externalisation de l’État (type opération sentinelle par exemple) ?

Est-ce que ce sera cette norme ou une autre… je crois qu’en effet l’État passera par la normalisation plutôt que par le fait de réglementer un certain nombre de choses. Mais je pense que ça restera une démarche volontaire des entreprises.

Je ne sais pas si ce sera la norme 18788, bien que la manière dont elle est construite permet de répondre à cet enjeu, mais la réflexion est ouverte. Il faut que les personnes intéressées par ce sujet puissent éventuellement travailler sur une autre norme, peut-être un peu différente : à l’AFNOR, une norme sur le système de management de la sûreté est également en cours de travaux.  

En conclusion, la certification constitue certainement un sujet futur pour la sûreté. Si elle apparaît parfois de prime abord comme contraignante, ses bénéfices sont importants. Le premier d’entre eux est la confiance, confiance du client, mais aussi des collaborateurs dans les process. La certification permet de démontrer que votre entreprise travaille de manière sûre et efficace, que vous gérez l’activité et les processus de travail et que vous êtes engagés dans une démarche durable. Elle permet d’identifier, mais aussi de limiter les risques, de renforcer la qualité de l’organisation et ainsi d’accroître la satisfaction client.

 

Propos recueills par Celia Kahouadji et Jonathan Chaste