Renault, TV5 Monde, Ikea, Gemalto, quoi de commun à toutes ces sociétés ? Peu de chose a priori sauf qu’elles ont toutes été confrontées, au cours de ces cinq dernières années, à un problème de sécurité qui les a mises gravement en difficulté : atteinte à la réputation de l’entreprise, chute du cours de Bourse, déstabilisation du comité exécutif, impact financier lourd, voire licenciement de la direction générale, comme ce fut le cas d’Ikea France. Qu’il s’agisse d’une fraude de grande ampleur, d’une faille de sécurité ou encore d’une cyber-attaque, toutes ont eu à gérer une crise de sécurité fragilisant l’entreprise.
S’il ne fait donc plus de doute que la sécurité est devenue un enjeu de plus en plus stratégique pour l’entreprise (qu’il s’agisse d’un grand groupe ou d’une entreprise de taille intermédiaire), les réponses au sein de l’entreprise ne sont pas toujours adaptées et à la mesure des défis présentés par cette question.
En effet, au sein des organisations, les acteurs concernés (direction générale, secrétariat général, direction des ressources humaines, voire direction financière) ont bien souvent du mal à cerner leurs besoins en la matière. Ils ne disposent pas (ou très rarement) d’une cartographie des risques de malveillance, connaissent mal leurs vulnérabilités, ne savent pas évaluer les performances de leur dispositif de sécurité et n’ont pas de culture de sécurité qui puisse leur permettre d’analyser clairement cette question. Pis, dans certains cas ils ne veulent pas en entendre parler…
N’ayant pas de vision de leur sécurité pour leur organisation, les réponses apportées sont souvent inefficaces. Quelles sont les compétences nécessaires en interne pour protéger la firme ? Quelle organisation mettre en place pour combattre les risques criminels au sein de leur entreprise ? Comment doit se positionner le directeur de la sécurité et de la sûreté par rapport au RSSI ou au responsable de l’audit et de la compliance ou encore au responsable de l’intelligence économique ? Quel doit être le profil du directeur de la sécurité ? Quel doit être le rattachement fonctionnel de ces différentes fonctions ? Comment évite-t-on les dérives que peut entraîner l’existence de services de sécurité ? « Quis custodiet ipsos custodes (qui garde les gardiens) ? »
A l’extérieur, presque aucun prestataire de sécurité français n’est en mesure de répondre au déficit interne. Les prestataires sont la plupart du temps des opérationnels. Ils connaissent mal l’entreprise et, faute de culture d’entreprise, ils peuvent, dans certains cas, la mettre en difficulté, notamment lorsqu’il s’agit de microstructures qui sont prêtes à tout pour répondre aux attentes de leurs clients.
Dans ce contexte, partant d’une mauvaise définition des besoins, l’entreprise met en oeuvre une organisation inadaptée qui entraîne de nombreux coûts directs (coûts de recrutement, coûts de prestation, etc.) et indirects (faille de sécurité, problème éthique, etc.) et qui dans certaines conditions fragilise plus la structure qu’elle ne la renforce. Par conséquent si la sécurité devient un enjeu stratégique pour l’entreprise, il devient indispensable qu’elle soit reconnue comme telle par les comités exécutifs et les conseils d’administration. Aux Etats-Unis, sur la base d’une enquête réalisée par Veracode auprès de 184 dirigeants d’entreprise, un conseil d’administration sur deux a discuté des problématiques de sécurité et un tiers en a fait un sujet prioritaire à chacune de ses réunions. Sans disposer de statistiques en France sur ce sujet, on peut supposer, sans une grande marge d’erreur, que l’évocation de ce sujet au sein des conseils d’administration est rare, voire inexistante. Or si nos entreprises veulent rester compétitives, il devient stratégique que leur « top management » se préoccupe de la sécurité de leur firme.