[CR] Transformation de la fonction Sûreté : vers un nouveau paradigme

Docteur en sciences économiques, Olivier Hassid est Directeur conseil chez PricewaterhouseCoopers (PwC) France en charge de l’offre globale de sécurité et de sûreté depuis janvier 2016 : cybersécurité, sécurité physique, protection de l’information, lutte contre la fraude, gestion de crise, intelligence économique. En 2017, il prend également la charge de la compliance. Ancien Directeur général du CDSE (Club des directeurs de sécurité et de sûreté des entreprises) pendant huit ans, sous la présidence d’Alain Juillet, Olivier Hassid est également chargé de cours à l’Université Paris Descartes et à l’Université de Nanterre.

Pour introduire son propos, Olivier Hassid indique que la différence entre sûreté et sécurité n’est pas vraiment importante : l’essentiel est de comprendre comment le patrimoine des entreprises peut être menacé et de savoir comment il est possible de se protéger. Pour rappel, c’est l’intention malveillante qui sépare la sûreté de la sécurité.

La conférence s’appuie sur l’étude de PwC sur  la transformation de la fonction sûreté  « CEO Survey ». Cette enquête internationale auprès de 1400 dirigeants du monde entier met en évidence une évolution de la perception des menaces par les dirigeants d’entreprises. Ceux-ci devaient répondre à cette question  : « Parmi les menaces suivantes, quelles sont celles qui vous préoccupent le plus par rapport aux perspectives de croissance de votre entreprise » ?

Les réponses placent le terrorisme, les tensions géopolitiques et les attaques cyber parmi les cinq menaces perçues comme étant les plus importantes. Aucune de ces trois menaces ne figurait parmi les cinq principales en 2017. La première reste néanmoins l’excès de réglementations. Face à ces menaces, les entreprises ont adapté leur stratégie pour renforcer leur résilience.

Le premier pilier de ce changement de stratégie est le positionnement clé de la fonction Sûreté dans l’entreprise.

De plus en plus de directions sûreté sont centralisées au niveau du groupe, permettant ainsi de piloter à la fois la stratégie et les opérations. Cette centralisation facilite notamment la remontée de l’information, l’uniformisation des standards et des méthodes ainsi que l’audit de la fonction.

Olivier Hassid signale qu’à la création du CDSE en 2007, le directeur sûreté n’avait pas une grande importance pour les membres du comité éxécutif. On note aujourd’hui un changement de paradigme : le directeur sûreté est de plus en plus rattaché au comité exécutif.

La question se pose alors de savoir à qui rattacher le directeur sûreté.

Pour Olivier Hassid, ce dernier ne doit pas reporter directement au président directeur général (PDG) pour deux raisons :

  • Ce dernier n’a pas assez de temps à accorder à la sûreté ;
  • Subsistent des risques que le PDG demande à la direction sûreté de s’occuper d’affaires « sensibles », approchant parfois les limites de la légalité.

Le meilleur choix serait de rattacher le directeur sûreté  au secrétaire général du comité éxécutif ou au directeur des opérations, le mieux étant de privilégier la personne qui s’intéresse le plus au sujet.

Les directions sûreté centralisées se structurent autour de directions régionales et de pôles de compétences dotés d’experts en matière de sûreté physique, d’intelligence économique, d’analyse des données, de cyber sécurité, de gestion de crise et d’investigations. La diversification des équipes passe donc par un recrutement plus large.

Par exemple, pour Olivier Hassid, les cinq prochaines années vont montrer une transformation du secteur de l’intelligence économique. Il y aura moins de recherche « terrain » et beaucoup plus d’informatique, en particulier grâce aux « data scientists », spécialistes de l’analyse de données.

Cette organisation en pôles de compétences sous-tend cependant quelques questions. Qui prend le lead sur les questions cyber ? Sur les questions IE (integrity due diligence, background checks, etc.) ou investigations (fraudes en entreprise, contrefaçons, etc.) ?

Regrouper toutes ces activités au sein de la direction sûreté permettrait une centralisation des budgets et des équipes.

Le deuxième pilier du changement de stratégie des entreprises concernant la sûreté est le développement de moyens innovants.

En effet, l’essor des nouvelles technologies (IA, digitalisation…) et l’émergence de nouvelles méthodes de collecte et d’analyse de données permettent à la fonction Sûreté d’atteindre un niveau de connaissance supérieur des menaces et de mieux anticiper les aléas. Dans un environnement qui se complexifie et ne cesse d’évoluer, les moyens de veille et d’analyse sont la clé de la résilience de l’organisation.

Olivier Hassid montre alors trois outils innovants pouvant être utilisés dans ce but : les « Security Operations Center » (SOC), les cellules d’intelligence économique et les « fusion cells ».

Le SOC permettrait ainsi de recueillir les signalements, de collecter, traiter, analyser et disséminer les informations, d’assurer l’échange d’information, de veiller à la liaison entre entreprise et forces de l’ordre, d’apporter un soutien informationnel et d’alimenter les bases de données.

Le rôle des cellules d’IE est plutôt de révéler les menaces et les réduire, de favoriser le développement de l’entreprise et d’aider à la prise décision des dirigeants.

Enfin, les « fusion cells » permettent d’agréger une grande variété de données au sein d’un même outil pour les transformer en information utile à tous les corps de l’entreprise, de créer et alimenter les bases de données, de traiter l’information afin d’offrir une visualisation « user friendly » et d’organiser le partage d’information en interne.

Le développement d’une culture de la sûreté est primordial pour une entreprise. En effet, l’efficacité de la fonction repose aussi sur l’engagement de tous les collaborateurs qui deviennent aujourd’hui des véritables ambassadeurs et acteurs de la sûreté. C’est pourquoi, les entreprises cherchent des solutions pratiques pour renforcer cette culture.

Là encore s’illustrent des moyens novateurs. On parle aujourd’hui de formations individualisées, de « bootcamps », de « serious games » ou encore de correspondants sûreté.

Les formations individualisées peuvent être réalisées auprès du top management. Olivier Hassid raconte ainsi l’anecdote d’une sensibilisation au sein d’un grand groupe bancaire, où le directeur sûreté a passé deux heures avec le PDG en lui montrant tout ce qu’il avait réussi à trouver sur son environnement personnel (famille, enfants…) et des menaces que cela représentait. Le directeur sûreté a fait le choix de la formation du top management pour que la banque ait une véritable politique sûreté. Il a ainsi fait le pari du « lead by example ».

Les correspondants sûreté sont pour leur part des ambassadeurs à leur niveau, chargés de diffuser la culture. Ils peuvent être audités par le directeur sûreté ou quelqu’un de son équipe.

Concernant les « serious games » (jeux réalistes) et les « bootcamps » (entraînement, fausses prises d’otage…), Olivier Hassid souligne le fait qu’il serait intéressant d’effectuer une évaluation et un suivi de ces formations.

Enfin, le troisième pilier du changement est la mise en place d’un modèle organisationnel abouti.

Ainsi, Olivier Hassid recommande trois lignes de défense, permettant d’établir un état des lieux, de s’assurer que les responsabilités sont définies, de mettre en évidence les écarts au regard des bonnes pratiques, d’appréhender les problématiques sous un prisme global, de démontrer une bonne gouvernance et de vérifier la bonne application des procédures et des standards.

  • La première ligne de défense est composée des équipes sûreté locales. Son rôle est d’appliquer les politiques et les procédures de sûreté et de gérer les incidents et les risques au quotidien.
  • La deuxième ligne de défense représente le département gouvernance de la sûreté. Ses missions sont la définition et l’articulation de la stratégie, des politiques et des standards de sûreté, l’évaluation des menaces et des vulnérabilités ainsi que la formation, la planification et l’évaluation des relations.

Ces deux premières lignes de défense sont déjà en place dans la majorité des grandes entreprises. Cependant, la troisième ligne de défense recommandée par Olivier Hassid serait utilisée par moins de dix entreprises. Elle serait néanmoins primordiale car les directeurs sûreté ne sont pas omniscients et peuvent être dans l’erreur.

  • Cette dernière ligne de défense correspond à l’audit interne (ou inspection générale). Elle élabore et met en œuvre un programme d’audit sur la maîtrise des risques et contribue activement à l’amélioration continue des méthodes et procédures.

Si le directeur sûreté ou le PDG demandent auprès des équipes de mener des actions frôlant l’illégalité, le collaborateur voit peser sur ses épaules le risque de perdre son emploi à défaut d’exécution. L’audit de la fonction sûreté est ainsi une façon de protéger non-seulement les collaborateurs, mais également l’entreprise devant les sanctions potentielles auxquelles elle s’expose.

Pour clore son intervention, Olivier Hassid a évoqué la problématique des moyens accordés à la sûreté. La principale erreur est de mettre en place un directeur sûreté uniquement pour être « compliant ». Par ailleurs, de nombreux grands groupes industriels appellent d’anciens militaires à la gouvernance de leur direction sûreté, ou ont recours à des sociétés militaires privées (SMP) afin d’assurer leur sûreté opérationnelle.

Trop souvent, la fonction sûreté a du mal à s’imposer car elle est perçue comme un coût plutôt que comme étant créatrice de valeur. C’est oublier que le risque représente également une opportunité.

Club Sûreté de l’AEGE