Thales dévoile aujourd’hui les conclusions d’une enquête sur « la nouvelle donne de la sécurité dans l’entreprise ». Lancée à l’initiative du pôle Conseil sécurité de Thales et menée en collaboration avec le cabinet de conseil en management César Consulting et le cabinet d’avocats Courtois Lebel, cette enquête permet de dresser un état des lieux de la sécurité dans les grandes entreprises françaises. Unique en son genre, l’interrogation a porté sur toutes les fonctions liées à la sécurité au sein de l’entreprise, du Risk Manager au directeur de la sécurité ou celui des systèmes informatiques.

Les résultats font apparaître que les entreprises ont pris conscience des nouveaux risques et appréhendent désormais la sécurité de manière transverse et dans sa globalité (sûreté, sécurité des biens et des personnes, protection de l’information, intelligence économique, gestion de crise…) pour anticiper et faire face aux impacts potentiels, notamment l’atteinte à l’image à l’heure où la communication est mondialisée et instantanée.

Alors que les menaces se multiplient (terrorisme, malveillance, cybercriminalité, crises sanitaires, catastrophes naturelles…), de nombreuses vulnérabilités subsistent dans les systèmes et les infrastructures, qui n’ont pas été étudiés pour faire face à l’inconcevable. Menée auprès d’un échantillon représentatif du tissu économique national avec près d’une centaine d’entreprises interrogées, cette enquête aborde des grands thèmes portant sur l’évolution des besoins, l’approche de la sécurité, l’organisation, les outils et les méthodes.

Le bénéfice attendu d’une telle enquête, outre une meilleure anticipation et prévention des risques, réside dans la facilitation du dialogue avec les autorités, partie prenante dans la couverture, mais aussi avec les assureurs, avec qui s’ouvre un nouveau champ de dialogue. Voici l’essentiel des constats effectués lors de cette étude :

Une prise de conscience avérée, accélérée par les nouveaux modes de travail (externalisation, ouverture des réseaux), les nouvelles technologies (wi-fi…) et les nouveaux comportements (nomadisme, perte du sentiment d’appartenance à une entreprise…). Au-delà des risques « traditionnels » bien connus, les risques « émergents » sont aujourd’hui mal identifiés et mal anticipés. Il existe un consensus pour revoir l’approche de la sécurité, par le biais d’une plus grande intégration de ce facteur dans la stratégie et les métiers de l’entreprise.

Une évolution nette vers la sécurité globale : à ce jour, les responsabilités sont souvent éparses et parfois trop cloisonnées ; on constate ainsi un foisonnement dans les périmètres d’actions et chacun dans sa fonction a le sentiment de tout gérer (Direction Sûreté, responsable de la sécurité des systèmes d’information, Risk Management…). 40 % des personnes interrogées pensent que le niveau de sécurité dans l’entreprise est insuffisant et pour les autres qu’il faut entamer une démarche d’amélioration continue.

La sécurité globale : une fonction à structurer, un métier à créer. Si le concept de sécurité globale est acquis, et considéré comme fondamental en matière de gestion de crise, son contenu se cherche. Bien que loin d’être stabilisée, la définition de la sécurité globale pourrait être celle-ci : assurer la coordination entre les différents métiers de la sécurité (sûreté, sécurité, intelligence économique…) tout en faisant le lien avec les autres services concernés dans l’entreprise (ressources humaines, assurances, juridique, communication…) et ses partenaires extérieurs (clients, fournisseurs, pouvoirs publics…). Il faut définir le périmètre de la fonction de coordinateur, établir sa reconnaissance stratégique et conduire le changement organisationnel.

Des axes majeurs de développement identifiés. À ce jour, les responsables de la sécurité doivent répondre à des problématiques qui dépassent bien souvent leur champ de compétences initial. On peut également s’étonner de leur faible taux de représentation aux organes de Direction. C’est la naissance d’une véritable filière dont il s’agit, associant connaissance et reconnaissance : enseignement, formation, recherche et développement… Beaucoup restent à faire aussi en termes d’outils et méthodes de référence de gestion du risque sécuritaire : établir des indicateurs et des moyens d’observation en temps réel, capitaliser sur les retours d’expérience et construire des référentiels. La question du retour sur investissement est toutefois clairement posée : quel est le juste prix de la sécurité ? Comment l’apprécier ? Chacun est conscient de la nécessité de rationaliser les discussions budgétaires.

Parce que le facteur humain demeure prédominant, il est nécessaire de mobiliser les managers sur la problématique sécurité, trouver de nouveaux modes de sensibilisation pour les acteurs de la sécurité et le personnel de l’entreprise et en règle générale mieux communiquer. « Au-delà de l’organisation et des aspects opérationnels, c’est la mobilisation des hommes qui donne au projet l’énergie nécessaire pour aboutir » déclare Yves Le Dauphin, associé du cabinet César Consulting.

Gérer et anticiper le risque social et comportemental est considéré comme un élément majeur : il faut traiter les causes de tensions, identifier les pratiques managériales pouvant générer des risques, détecter et gérer les dérives de comportements.

Parce qu’il n’y a pas de sécurité sans droit, « le facteur juridique est passé du stade de la contrainte pure à la contrainte ressentie comme nécessaire parce qu’utile », déclare Cédric Frenel, avocat au cabinet Courtois Lebel. En effet, les entreprises soulignent l’importance de l’intégration des aspects juridiques dans la gestion de la sécurité, en raison notamment de l’augmentation significative des contraintes légales et réglementaires, mais aussi de la judiciarisation croissante du monde des affaires. D’ailleurs, les acteurs de la sécurité s’estiment aujourd’hui insuffisamment informés sur les obligations légales associées à leurs activités et celles de leur entreprise, ainsi que sur leur périmètre de responsabilité.

En conclusion, personne n’y parviendra seul : il est indispensable que l’entreprise ne raisonne plus comme une entité unique, mais comme l’un des maillons d’une chaîne. La question du positionnement de l’État par rapport aux entreprises est clairement posée et constitue l’une des interrogations principales des opérateurs d’infrastructures critiques.

« Les années 80 étaient les années qualité, les années 90 ont été les années supply chain, les années 2000 s’annoncent comme les années sécurité » déclare Gérard Pesch, directeur du pôle Conseil sécurité de Thales. « Se préparer à l’imprévisible, faire face à la pression, revoir l’approche : tout reste à inventer en matière de sécurité globale. Les résultats de cette étude confortent notre vision dans ce domaine, et nous incitent à poursuivre nos développements pour proposer aux entreprises les moyens nécessaires à la confiance et à la continuité, depuis l’analyse des menaces jusqu’à l’ingénierie de la résilience ».

En conclusion, nous sommes face à un nouveau grand processus transverse qui positionne le responsable de la sécurité en partenaire stratégique de l’entreprise. Il lui faudra en particulier intégrer la sécurité dès la conception des systèmes et ouvrages. ♦