Assurance - BTP - BUP - Cybersécurité - ERP/IGH - Industrie/ICPE - Sûreté

Évolution de la fonction sûreté dans les grandes entreprises

30 novembre 2018•Gaëlle Carcaly•5 min•

Évolution de la fonction sûreté
dans les grandes entreprises

L’apparition de nouvelles technologies et de nouvelles menaces entraîne une transformation des métiers de la sécurité. Le cabinet de conseil PwC a publié, le 15 novembre 2018, une étude sur le sujet.

Un modèle centralisé, une collaboration accrue entre les différentes parties prenantes de l’entreprise et le développement d’une culture de sûreté, telles sont les tendances identifiées par l’étude PwC, basée sur des enquêtes et entretiens réalisés à partir de janvier 2018 auprès de directeurs sureté, sécurité ou responsables de la sécurité des systèmes d’information d’une vingtaine d’entreprises internationales de secteurs variés.

Nouvelle organisation de la fonction sûreté

Concernant l’organisation de la fonction sûreté dans l’entreprise, trois grandes tendances sont identifiées dans l’étude :

La centralisation. Plus de la moitié des entreprises interrogées tendent ainsi à centraliser leurs dispositifs sûreté avec un seul département au niveau groupe qui pilote la gouvernance et les opérations. D’après les répondants, la centralisation permet un meilleur pilotage (remontée d’informations facilitée et données de reporting consolidées), assure l’application des mêmes standards dans toutes les régions et rend le modèle plus lisible et auditable.

La structuration de la fonction autour de compétences variées en matière de sûreté physique, intelligence économique, gestion de crise, mais aussi cybersécurité et analyse des données.

La professionnalisation de la fonction. Les responsables sûreté, longtemps considérés comme limités à la sécurité bâtimentaire et celle des voyageurs, sont aujourd’hui majoritairement rattaché à un membre du comité exécutif. Le directeur sûreté peut désormais être considéré comme le responsable de la sécurité physique, de la sécurité de l’information et de la gestion de crise.

L’étude fait également le point concernant les implications du responsable sûreté sur les aspect cyber. Si le rattachement du RSSI à la direction sureté est encore rare (17 %), de manière générale, les directions sûreté sont impliquées dans la protection de l’information, la participation à la gestion de crises et des incidents cyber et la gestion des crimes traditionnels (fraude, harcèlement), amplifiés par l’utilisation des nouvelles technologies.

« Il y a un début de prise de conscience des dirigeants quant à la nécessité de professionnaliser et de structurer la fonction sûreté au sein de l’entreprise. C’est souvent l’arrivée d’un nouveau directeur sûreté qui permet d’impulser ces changements. L’apparition de nouvelles crises à l’instar de NotPetya/ WannaCry et les menaces terroristes ont également été déterminantes. Force est de constater que les entreprises françaises sont moins matures sur la centralisation de la fonction sûreté par rapport aux entreprises anglo-saxonnes. C’est une dynamique plus récente, même si l’onde de choc provoquée par les attentats du Bataclan a largement participé à la prise de conscience des dirigeants . Ces derniers se montrent également préoccupés par la prévention de la radicalisation en entreprise qui fait partie des nouvelles menaces à anticiper. »

Olivier Hassid, Directeur conseil en sécurité, sûreté des infrastructures et intelligence économique chez PwC.

Les nouveaux moyens d’action des équipes sûreté

Face à la multiplication des nouvelles technologies et aux nouvelles méthodes de collecte et d’analyse de données, les entreprises se dotent de nouveaux outils techniques et organisationnels. D’après l’étude, 80 % des entreprises interrogées ont des services dédiées à l’intelligence économique (IE).

Les équipes IE, composées de 5 à 20 collaborateurs dans la plupart des cas observés par l’étude, identifient et analysent les risques sécuritaires, les vulnérabilités, vérifient la fiabilité des tierces parties, assure une veille juridique, réputationnelle, technologique…

D’après l’étude, les grands groupes internationaux mettent également en place des Security operations centers (SOC), ou centres d’analyse de risques et de réaction, qui assurent le monitoring des situations opérationnelles. La pratique, déjà utilisée en cybersécurité, tend à se généraliser.

« La production de connaissances pertinentes devient un des enjeux majeurs de la fonction sûreté. On assiste à une montée en puissance de l’IE au sein des entreprises qui permet à la fonction d’atteindre un niveau de connaissance supérieur des menaces et de mieux anticiper les risques . Cette activité est véritablement en passe de retrouver une place centrale au sein de l’entreprise, notamment à travers la compliance et les enjeux d’éthique qui sont de plus en plus prégnants. »

Olivier Hassid, Directeur conseil en sécurité, sûreté des infrastructures et intelligence économique chez PwC.

Par ailleurs, puisqu’un système efficace de sûreté passe par la formation régulière des employés, les entreprises interrogées ont mis en place différentes mesures pour déployer une culture de la sûreté dans l’entreprise : formations individualisées pour les personnes à haute responsabilité, bootcamp (camps d’entraînement) sûreté, désignation de correspondants sûreté ou encore serious games.

Un nouveau cadre de référence

Pour les experts PwC, les entreprises doivent mettre en œuvre une approche basée sur trois ligne de défense:

la première ligne de défense est chargée d’appliquer les politiques et les procédures de sûreté et de gérer les incidents et les risques au quotidien;
la deuxième ligne de défense est responsable de la gouvernance en matière de sûreté;
la troisième élabore et met en œuvre un programme d’audit pour permettre à la direction générale de s’assurer de la capacité de l’entreprise à maîtriser ses risques. Elle est idéalement représentée par un autre département que la sûreté pour garantir son objectivité.

D’après l’étude, moins d’un tiers des entreprises interrogées dispose d’une troisième ligne de défense indépendante pour la sûreté.