PwC a mené une étude internationale portant sur l’évolution de la perception des menaces par les entreprises, et l’impact de celle-ci sur la transformation des pratiques de la sûreté.
« La sûreté est une en pleine mutation » introduit l’étude de PwC, réseau britannique d’entreprises d’audit et de conseil. Basée sur des enquêtes et entretiens auprès d’une vingtaine d’entreprises dans le monde, aux secteurs d’activités variés, cette étude présente la manière dont les entreprises ont repensé et réorganisé leurs départements sûreté face aux évolutions stratégiques constatées.
Alors qu’en 2017 les principales inquiétudes étaient d’ordre économique ou réglementaire, 2018 connait un réel changement : le terrorisme passe de la 12ème à la 2ème place, les tensions géopolitiques de la 5ème à la 3ème et le cyber de la 10ème à la 4ème. Des inquiétudes qui font écho à l’actualité : le retour de l’instabilité dans certaines régions du monde, les craintes d’actions terroristes du groupe État islamique après leur défaite au Moyen-Orient ou l’importance de la numérisation de l’économie qui expose exponentiellement les entreprises aux cyberattaques.
Une nouvelle organisation de la fonction
La plupart des entreprises interrogées pour l’étude ont apporté des changements dans la structure organisationnelle de leur département sûreté . PwC a identifié trois grandes tendances : « une centralisation, une structuration et une professionnalisation de la fonction ».
Plus de la moitié des entreprises de l’étude organise une centralisation de leurs dispositifs sûreté, permettant – entre autres – une meilleure remontée d’information, un meilleur pilotage et une amélioration de la visibilité pour les parties prenantes. A titre d’exemple, ce type d’organisation peut se partitionner dans une logique verticale : un département central (pôle de décision principal), avec en dessous les directions sûreté régions, puis les directeurs sûreté pays, et enfin les responsables sûreté sites.
La professionnalisation de la fonction se remarque par la diversité des profils travaillant au sein des directions sûreté : autrefois réduit à la sécurité des bâtiments et des voyageurs, le champ de compétences du Directeur Sûreté s’est élargi aux activités de sécurité de l’information, de la gestion de crise et de la continuité d’activité. De ce fait, des experts en gestion de crise, en intelligence économique ou en Due Diligence composent l’équipe sûreté. On constate également un rapprochement entre les départements sûreté et cyber-sécurité, auparavant très cloisonnés.
Enfin, le statut du Directeur Sûreté s’est crédibilisé et légitimé au sein des entreprises par son rattachement auprès d’un membre du comité exécutif. Le directeur de la sécurité est désormais un acteur à part entière de la stratégie d’entreprise.
Le renforcement de la judiciarisation des activités commerciales, en particulier de la part des États-Unis, amène les dirigeants à faire preuve de prudence lors de leurs activités, notamment pour les fusions/acquisitions.
De nouveaux moyens d’action
L’étude note une « montée en puissance de cellules d’Intelligence Économique », en particulier dans les milieux sensibles de l’industrie et de la finance, dont le but est – par un travail de l’information – d’identifier les risques et d’offrir une aide à la décision aux dirigeants. Pour cela, les nouvelles technologies accompagnent également l’évolution du secteur : à l’ère de la « donnée », les nouveaux outils de veille et d’analyse permettent une meilleure compréhension des risques et un accroissement des capacités de résiliences des entreprises.
L’étude présente également l’émergence d’une nouvelle cellule présente dans quelques départements Sûreté du panel : les « fusion cells ». S’appuyant sur les nouvelles technologies (Big Data, Intelligence Artificielle ou encore Deep Learning), les Data Analysts et Data Scientists de la cellule traitent une importante quantité de données variées, afin de les rendre exploitables pour le reste des employés (bases de données, tableaux de bords, etc.).
Les entreprises cherchent également à approfondir la culture de la sûreté au sein du personnel. Au-delà des classiques e-learnings, elles organisent pour leurs employés des sessions de serious games (jeux interactifs à but pédagogique) afin d’acquérir de réelles notions et réflexes, ou encore des camps d’entrainement (bootcamps), sorte de séminaires en milieu immersif visant à en apprendre davantage sur leurs responsabilités et les pratiques utiles. Le personnel à hautes responsabilités ou occupant des postes critiques – ainsi que sa famille – est également sensibilisé aux différents risques et pratiques malicieuses pouvant les viser, notamment au travers des réseaux sociaux ou par messagerie.
Un nouveau cadre de référence managérial
Afin d’optimiser le management des risques et d’améliorer la gouvernance de l’ensemble des ressources, la pratique organisationnelle de la sûreté a également connu une évolution. La plupart des entreprises adoptent une approche dite des trois lignes de défense (3 LoD model) :
- La première ligne se concentre sur un périmètre défini (par exemple l’entreprise) et met en œuvre les standards de la centrale. Elle comprend des équipes sûreté locales et régionales, ainsi que des unités en centrale pour l’opérationnel. Elle englobe également les employés qui, par la pratique des mesures de sûreté, sont acteurs de la protection de l’entreprise et de ses activités.
- La deuxième ligne est chargée de la gouvernance en matière de sûreté, en s’appuyant sur les évaluations des menaces et vulnérabilités globales. Elle est généralement composée d’un département de gouvernance de la sûreté et d’analyse des risques, positionné en centrale.
- La troisième ligne s’occupe des audits nécessaires pour s’assurer des capacités des services. Dans un souci d’objectivité et afin d’identifier d’éventuelles incohérences, cette ligne de défense travaille généralement indépendamment des deux premières et rend directement compte à la direction générale. L’étude précise cependant que « moins d’1/3 des entreprises interrogées dispose d’une troisième ligne de défense indépendante pour la sûreté ».
Les entreprises ont su répondre aux nouveaux enjeux de la sûreté : le secteur est mieux organisé, l’adoption de nouveaux outils améliore le travail des équipes et le savoir-faire s’appuie sur un panel varié d’experts. Le rôle du directeur Sûreté est désormais pris au sérieux par les plus hautes instances de l’entreprise, bien conscientes qu’une crise peut profondément affecter leurs activités. Comme le conclue le rapport, les grandes entreprises sont désormais plus ouvertes à la communication sur le sujet : présenter l’organisation du département et les moyens mis en place permet de rassurer les parties-prenantes, en particuliers les investisseurs et les clients. Désormais, la sûreté/sécurité n’est plus vue comme un coût, mais comme un investissement.