Aujourd’hui, l’équipe des Jeudis du Risque du Portail de l’IE rencontre M. Rudolphe PROUST, Directeur Sûreté du groupe Altarea Cogedim depuis huit mois, afin de comprendre les enjeux liés à la création de la Direction Sûreté du groupe.
Altarea Cogedim est une société foncière française créée en 1994. À la fois entreprise foncière de commerce, promoteur de logements et développeur d’immobilier d’entreprise, Altarea Cogedim emploie près de 1400 collaborateurs. Dans le top 3 des promoteurs de logements en France et des foncières de commerce avec 41 centres commerciaux en patrimoine en France, en Italie et en Espagne, le groupe est aussi le 1er développeur en immobilier d’entreprise en Île-de-France.
Rudolphe PROUST, a passé 20 années dans la police en tant que commissaire divisionnaire au sein de différentes directions, y compris à l’International en tant qu’Attaché de Sécurité Intérieure à Singapour. Il a dirigé des services d’intervention et des commissariats de police, ainsi qu’un service de police judiciaire. Il a également été détaché au sein de l’Autorité des Marchés Financiers où il a dirigé des enquêtes sur les marchés boursiers et auprès de sociétés cotées. En disponibilité dans le privé depuis quatre ans, tout d’abord au sein de la multinationale américaine United Technologies Corporation (200 000 salariés, 65 Milliards US$ de CA) en tant que Senior Compliance & Security Manager, il a eu en charge la sûreté ainsi que les enquêtes internationales au sein de la direction de la Compliance pour la zone EMEA.
Avec ces multiples expériences, il a acquis des compétences liées à la Sûreté au sens large, aussi bien en matière de sécurité des personnes et des biens matériels et immatériels que dans la lutte contre les fraudes, en France et à l’international.
Il est aujourd’hui directeur de la sûreté du groupe Altarea Cogedim.
Jeudis du Risque (JdR) : Tout d’abord, pouvez-vous nous décrire votre feuille de route au sein du groupe Altarea Cogedim ?
Rudolphe PROUST (R.P) : Mes missions au sein du groupe sont multiples. Il y a bien évidemment la Gestion de la sûreté des centres commerciaux exploités par le groupe. J’ai également des missions en co-pilotage avec d’autres directions sur plusieurs thématiques ; on peut retenir la Gestion de crise avec la Communication et le Plan de Continué d’Activité (PCA) avec le Contrôle Interne. Concernant le volet Cybersécurité, je suis en charge du déploiement de la politique et le responsable de la Sécurité des Systèmes d’Information me sera directement rattaché. La gouvernance de la sécurité des systèmes est partie intégrante de la politique de sûreté globale du Groupe.
Pour la partie Business, je suis également en charge de la Sûreté du siège. Cette mission est d’une ampleur conséquente puisqu’elle nécessite la mise à niveau des mesures de sûreté sur le siège actuel mais également celles de nos nouveaux locaux dans lesquels nous emménagerons d’ici un an et demi. Ce nouveau site s’articulera autour d’espaces de coworking, d’un business center et un amphithéâtre. Ce dernier pourrait alors être ouvert à des acteurs extérieurs, ce qui impacte fortement la sûreté tant au niveau des aménagements à prévoir qu’au niveau des futures procédures de sûreté des infrastructures.
Aujourd’hui, la stratégie business d’Altarea est de proposer à ses clients la « Security by design », c’est-à-dire de « penser les systèmes de sûreté le plus tôt possible dans le carnet de construction ». Ce positionnement, sur les « Projets Mixtes » – logements, bureaux, commerces – et sur les « Grands Projets » – tel que l’appel d’offre public de la Gare du Nord – implique un management de l’ingénierie de sûreté, management qui me revient.
En tant que Directeur Sûreté, je suis également en charge du volet Business Intelligence & Fraude. Cette mission englobe l’obligation de conformité d’Altarea sur divers secteurs, notamment avec la loi Sapin 2 (en co-pilotage avec le contrôle interne) et la 4e Directive Anti Blanchiment, le groupe ayant des activités assujetties au titre de l’article L 561-2 du code monétaire et financier. Je suis également déclarant TRACFIN et je co-pilote la mise en conformité sur le GDPR avec la DPO (Data Privacy Officer) qui est directement rattachée au Secrétariat Général du groupe.
Concernant les obligations de donneur d’ordres en matière de chantier, à savoir la lutte contre le travail dissimulé, je copilote ces sujets en partenariat avec la direction juridique et suis également dans un rôle de conseil sur la thématique du travail clandestin.
Je suis aussi en appui de la communication sur la sécurisation des évènements et évidemment en charge des mesures de sécurité du président et des personnalités de l’entreprise.
JdR : La Direction Sûreté est nouvelle au sein d’Altarea. Aussi, dans quel contexte le groupe a-t-il décidé de créer ce nouveau département ?
R.P : La maturation concernant la création de la Direction Sûreté s’est faite en quatre temps.
D’abord, il y a eu les attentats de Charlie Hebdo en janvier 2015. En effet, pour Altarea Cogedim comme pour toutes les entreprises françaises et plus globalement les Français, cet évènement marque la première prise de conscience sur la réalité des risques terroristes.
Cette prise de conscience se traduit alors par la mise en place de mesures, notamment la présence d’un vigile aux niveaux des accès des bâtiments, et un renforcement des mesures de gardiennages dans les centres commerciaux. Petit à petit, le risque est alors « intégré » et la vigilance s’est relâchée, jusqu’au Bataclan. Une réflexion pour intégrer pleinement la sûreté à l’entreprise a été alors lancée. Dans le même temps, la multiplication des incidents de cybersécurité favorise la prise de conscience des risques inhérents à l’activité économique d’une entreprise. Enfin, un accident en août dernier dans un centre commercial valide définitivement la volonté de la Présidence de créer ce nouveau département.
JdR : Selon vous, dans le secteur foncier, la sûreté est-elle actuellement une priorité ? Y a-t-il une prise de conscience des décideurs ?
R.P : Définitivement, oui. Les trois principales entreprises foncières françaises, à savoir Unibail, Klépierre et Altarea Cogedim se sont dotées d’une direction sûreté quasi-simultanément. La prise de conscience du secteur est donc certaine. Le Conseil National des centres Commerciaux (CNCC) s’est également doté d’une sous-commission Sûreté, à laquelle nous participons activement.
De plus, avec la création de la Direction Sûreté, Altarea Cogedim réoriente sa stratégie et souhaite inclure l’ingénierie de sûreté à son offre commerciale. Nous nous positionnons ainsi comme précurseurs. Nous avons d’ailleurs lancé un groupe de travail sur les bureaux du futur avec une première rencontre avec la branche « junior » du Club des Directeurs de Sûreté et de Sécurité des Entreprises, le Lab du CDSE.
JdR: Quels sont les risques majeurs auxquels vous faites face ? Quelle est votre vision du management de ces risques ?
R.P : Aujourd’hui, les entreprises sont confrontées à de nombreuses menaces. Au sein d’Altarea Cogedim, l’incident malveillant et principalement l’attaque terroriste dans un centre est considéré comme le premier risque.
Il faut savoir que selon l’évaluation étatique de la menace, les centres commerciaux ne sont pas particulièrement désignés par les terroristes djihadistes. Néanmoins, un centre pourrait devenir la cible de groupes armés de par visibilité et sa fréquentation. En effet, lors d’un pic de fréquentation tels que les soldes ou encore Noël, un centre peut accueillir près de 40 000 personnes par jour. Certains attentats contre des centres ont d’ailleurs déjà été organisés, à l’image de l’attaque du centre commercial de Nairobi, au Kenya, en 2013, revendiquée par le groupe islamique al-Shabaab.
Pour la partie business, il ne faut pas oublier que la propagande djihadiste d’Al-Qaida cible spécifiquement les sièges sociaux d’entreprise dans un de ses magazines de propagande Inspire, au travers du slogan « work place assassination ».
Il ne faut bien sûr pas oublier les attaques contre le patrimoine immatériel via nos systèmes d’informations, avec les risques de concurrence, d’intelligence économique, etc.
Il existe également des risques qui pourraient impacter l’activité d’Altarea Cogedim sans pour autant que l’entreprise en soit la cible. On peut ainsi imaginer une attaque dans un centre commercial appartenant au patrimoine d’une autre foncière. Les centres d’Altarea Cogedim et, plus globalement le secteur du commerce des centres, seraient alors impactés de par la portée médiatique. On a pu le mesurer de façon globale lors des attentats en France, avec une baisse corrélative de la fréquentation des lieux de rassemblements de population, et les centres ont ainsi également été impactés.
Ainsi, nous prenons part à un grand nombre de groupes de travail sur les thématiques liées à notre activité. Cette participation nous permet d’échanger sur ces sujets avec à la fois nos partenaires mais aussi nos concurrents.
Par exemple, je suis associé au Dialogue National de Sûreté des Centres Commerciaux, sous l’égide du Secrétariat Général de la Défense et de la Sécurité Nationale. Nous travaillons également avec le Ministère de l’Intérieur et le Conseil National des Centres Commerciaux. De plus, Altarea est membre du Club des Directeurs de Sûreté et de Sécurité des Entreprises.
Au niveau international, nous sommes associés à l’International Council for Shopping Center pour le compte du CNCC.
Le management de ces risques passe par la mise en place de nombreuses actions.
JdR : Nous parlions toute à l’heure de gestion de crise, pouvez-vous nous en dire plus sur la réalisation des exercices de crise ?
R.P : Les exercices de crise nous permettent de tester nos procédures, de détecter les failles et donc de les améliorer. C’est notre « Plan, Do, Check, Act ».
Par exemple, sur le centre Cap 3000 à Nice, nous avons organisé un exercice de tuerie de masse dans le bâtiment, assez similaire à ce qu’il s’est passé à Nairobi. Pour être au plus près de la réalité, cet exercice a été placé sous l’égide du préfet et du procureur de la République. Nous avons fait appel aux forces de l’ordre de Monaco, qui ont ainsi joué le rôle des assaillants. Notre objectif est de réaliser un cas de ce type par an sur nos principaux centres.
Ces exercices nous permettent également d’interagir avec les forces de l’ordre aux regards des documents d’intervention transmis, à savoir les dossiers d’Objectifs pour la Gendarmerie et les dossiers d’Aide à l’Intervention pour la Police.
JdR : Comment communiquez-vous auprès de l’ensemble des collaborateurs l’ensemble des mesures mises en place ? Avez-vous déjà des retours concernant ces mesures ?
R.P : Pour les nouveaux collaborateurs au sein du groupe, nous intégrons une session dédiée à la sûreté, sécurité et conformité. L’objectif est de présenter à nos nouveaux talents la politique et les procédures mises en place afin de les faire adhérer et se les approprier. En ce qui concerne les collaborateurs déjà en poste, nous communiquons auprès d’eux grâce à nos canaux de communication interne en intégrant des onglets « sûreté ».
A terme, la stratégie de la Direction Sûreté est de déployer un certain nombre de sensibilisations obligatoires. On peut citer par exemple une certification annuelle concernant l’utilisation des systèmes d’informations. Sous forme d’e-learning, cette certification permettrait un rappel permanent et obligatoire des bonnes pratiques en matière d’utilisation par le collaborateur des systèmes d’informations. Cette obligation serait complétée par les missions de sensibilisation du RSSI.
Pour le moment, les retours sont positifs sur l’ensemble des mesures, y compris sur la mise en place de contrôle d’accès à l’entrée du siège, qui va quelque peu modifier les habitudes…
JdR : Face à l’appel de nombreux prestataires, la Direction Sûreté a-t-elle un droit de regard sur ces acteurs ? Prend-elle part au processus de recrutement ?
R.P : Sur cette thématique, la Direction Sûreté a pour mission de fixer la ligne directrice du groupe. Pour les centres commerciaux, les entreprises prestataires sont ensuite sélectionnées par la direction générale de l’Exploitation en fonction de la qualité de la prestation. Ces contrats sont signés pour une durée de trois ans. Je suis chargé de la conduite des audits de ces prestations et suis en contact quasi quotidiennement avec la direction de l’Exploitation et les différents directeurs de centre. Pour les prestations de sécurité des systèmes, il existe une codécision avec la DSI. Enfin il y a une part des prestataires (outils et exercices de gestion de crise, ingénierie de sûreté) que je pilote.
JdR : Pour les établissements recevant du public, il existe des règles de sécurité, quid de la sûreté ?
R.P : Il s’agit aujourd’hui d’un débat au plus haut niveau puisqu’il existe actuellement un minimum en termes de règles de sûreté. Une réflexion est en train d’être menée au sein de diverses instances nationales afin de proposer un cadre de sûreté plus conséquent.
Il existe aujourd’hui au sein des centres commerciaux un Responsable Unique de Sécurité (RUS). Est-il possible d’envisager la création d’un RUS ? Si oui, quelles seraient ses prérogatives ?
Il semble concrètement difficile de mettre en place un RUS. En revanche, une mutualisation des moyens en cas de crise serait une piste à approfondir.
JdR : Que peut-on vous souhaitez pour cette nouvelle année ?
R.P : Plusieurs choses ! D’abord l’absence d’incidents majeurs qui impacteraient le secteur et plus largement nos concitoyens de façon dramatique…
Ensuite, la poursuite du déploiement de la direction sûreté et de belles réussites en termes d’adhésion de l’ensemble des collaborateurs du plus haut niveau jusqu’au plus bas dans notre groupe, et surtout de l’efficacité dans les résultats !
Mais rien ne pourra se faire sans une bonne fluidité dans les échanges, à la fois avec les autorités publiques et avec tous nos partenaires.
Propos recueillis par Océane Rué