Le jeudi 1er décembre se tenait la conférence annuelle du club des directeurs de sécurité en entreprise (CDSE). Cette année, le thème de l’étude s’intitule « les entreprises face aux nouveaux désordres mondiaux ». Son président, monsieur Alain Juillet, a dépeint cette année 2011 sous les traits d’une répétition de crises d’importance grandissante qu’il faudrait désormais s’approprier comme notre futur quotidien.
Pour encadrer cette nouvelle donne, le CDSE a notamment rédigé, sous forme de livre blanc, un guide de recommandation à l’attention des dirigeants et décideurs (comme une note sur la protection du secret des affaires).
Autre proposition martelée durant cette conférence, l’accréditation et l’identification des responsables de sécurité à l’aide d’un degré « confidentiel entreprise », ou encore le rattachement de la direction sécurité au sein du COMEX des entreprises. Enfin, il est intéressant de constater la proposition d’une amélioration des échanges d’information sous forme d’une communauté publique-privée du renseignement.
2011, année caractéristique d’un nouveau cycle de sécurité des activités économiques ?
L'année 2011 peut-être caractérisé par une surmultiplication de crises à portée mondiale (crise de la dette, révolution arabe, mais aussi via des attaques de réputation comme dans le cas de Safran ou encore Accord avec Sofitel).
Par ailleurs, on a constaté cette année une forte progression des axes de cybercriminalités sur l’entreprise via l’intrusion, le vol de données et diverses paralysies. 20% des entreprises évaluent ainsi à plus de 140.000 Euros cette menace latente. Accompagnant ce mouvement, 2011 est l’année qui voit particulièrement croitre les volumes d’activité sécurité des entreprises et leur délégation vers le domaine privé. Cette croissance se constate à la fois en terme de volume mais aussi dans la largeur du spectre des protections réalisées (veille, protection de la propriété intellectuelle, …).
Les entreprises semblent en effet initialement fortement démunies (menace des réseaux sociaux, d’après sondage Symantec). Cette situation nouvelle est due à la montée en puissance du principe d’éco-système dans lequel les entreprises gagnent en place et donc en responsabilité au sein de la sphère socio-économique. Cette sécurité des entreprises ne se traduit désormais plus alors seulement par une option financière mais aussi physique.
Cette situation est enfin surmultipliée par le fait que notre économie occidentale (du fait de ses contraintes) est désormais obligée de travailler dehors, dans des régions ou justement cette sécurité n’est pas assurée.
Face à cette nouvelle donne, la réaction des entrepreneurs et décideurs en entreprise doit être entièrement revue. Ainsi de la question des normes où trop d’entreprises considèrent que si elles respectent les normes émises par les Etats et les institutions, elles n’ont rien à craindre. C’est là une erreur qui peut s’avérer fatale. En effet, actuellement une entreprise peut en conformité légale avec les règles de protection de son activité tout en étant en grand danger.
De même, trop peu d’entreprises considèrent la sécurité comme un domaine stratégique. En réalité, le budget sécurité est bien souvent la variable d’ajustement en cas de difficulté économique. La place accordée aux responsables sécurité en entreprise illustre bien ce rôle de strapontin uniquement déployé quand tout va bien. Heureusement, de nombreux indicateurs, comme l’accroissement du nombre d’entrepreneurs au sein de CDSE montre que les choses commencent à bouger.
Sécuriser impose de prévoir. Peut-on réellement anticiper et se préparer à de nouvelles crises?
Si l’on s’en tient à la lecture du cygne noir de N. Thaleb, la connaissance par l’exemple et l’observation est très fragile face à la vérité. En effet, en considèrant que l’on ne sait que ce que l’on voit, la vue d’un phénomène nouveau et donc non inscrit dans nos process entraine directement une crise.
Cette explication de la limite de notre système de connaissance nécessite donc un changement d’état d’esprit, mais ne nous interdit en rien de pouvoir prévoir dès lors que l’on dépasse les modèles inductif ou déductif pour prévoir l’impossible (non vu, mais non pas physiquement impossible).
Par exemple, jusqu’à présent les acteurs économiques sont habitué à réfléchir en termes de crises localisées, mais des organismes comme l’OCDE réfléchissent par un groupe permanent d’Etat et d’entreprises, au principe de crise mondial (c’est-à-dire pandémie) qui entrainera une raréfaction (et donc une compétition destructrice) des produits. Dans ce cadre, personne ne peut alors s’appuyer sur son voisin, mais doit même le craindre comme un nouveau compétiteur.
Autre piste de prévisibilité, pour le criminologue Moniquet, des tendances peuvent donner un schéma très fin des tendances. C’est le métier reconnu du renseignement d’être capable de tracer ces tendances. Ce renseignement produit des hypothèses en combinant le connu (les lignes de force) et le potentiel, et en le passant au tamis du « out of the box », c’est-à-dire le travail de la cellule rouge de l’avocat du diable. Ainsi, l’arc de crise Sahel-Asie centrale est connu. Une des hypothèses à en déduire est que cet arc pouvait contaminer ses régions proches (d’où le printemps arabe).
A l’inverse Fukushima n’était ni prévisible, ni compréhensible, le Japon étant un des pays les mieux armés face au risque nucléaire. Dans cette démarche, pour Pascal Boniface, l’ennemi de l’anticipation est, plus que la rareté des données disponibles, l’idéologie qui leur est incorporée et qui suit le discours officiel ou le modèle. Ainsi, dans le cas de la prévision de la progression de la démocratie n’est pas obligatoire, mais peut se modéliser en fonction de critères matérialisables comme l’ADN du pays socio-historique du pays, son taux d’alphabétisation et sa situation économique.
Pour C.Lerchervy, responsable de la prospective au MAEE, cette description d’hypothèses doit cependant se faire avec prudence. Ainsi, réfutant l’utilisation des scénarios se terminant souvent par la proposition de 3 pistes (bénéfique, neutre, défavorable), il constate que le preneur d’ordre est condamner à choisir le scénario moyen et donc l’absence de vision originale.Il nous propose bien au contraire de nous attacher aux points suivants :
1. Le respect de l’éthique du prospectiviste : « celui qui pense l’avenir qui est moins à découvrir qu’à inventer ». (Gaston Berger).
2. Le caractère commun du processus. Une prospective est d’abord une écriture collective, car la seule connaissance de certain oriente nécessairement la rédaction du rapport.
3. Une prospective n’est pas un travail de long terme : le prospectiviste travaille simultanément sur 5 phases :
-le futur très proche (qui fera inscrire notre travail dans le processus de décision et donc reconnaitre notre rôle).
-le futur prospectif (3 à 6 mois), qui rentre dans le cadre de la prise de décision.
-le futur correspondant au rythme de vie de notre société (donc 3-5 ans, le rythme de vie d’une mandature).
-le futur à long terme (5 à 10 ans, guidant les tendances de fond).
4. La prospective est un travail transparent qui doit pouvoir être contesté par les structures de l’entreprise alors qu’elle est en cours de rédaction. Le but est alors d’impliquer les différentes parties prenantes (pour donner du poids lors de l’application la prise de décision finale).