Atelier 1 : Quelles sont les compétences qu’un directeur de sécurité doit avoir en 2023 ?
Pour assurer la sécurité des entreprises, le directeur de sécurité doit être efficace. Pour atteindre cet objectif, sa compétence est indispensable dans de plusieurs composantes. Pour être utile sur ce domaine aussi vaste, indéfini et évolutif, on pourrait imaginer qu’il soit compétent en tout. Mais, le périmètre de ses compétences demeure très variable car directement lié au secteur d’activité, à l’ADN de l’entreprise et aux directives du PDG. Il doit avoir des connaissances, sans être un expert, sur tous les volets de la sécurité et de la sûreté et, en particulier, la gestion de crise, la cybersécurité, l’Intelligence Economique, la mobilité à l’international, et l’incendie. Sa capacité d’analyser toutes les menaces et tous les risques est indispensable. Il doit avoir une approche transversale pour apporter des solutions et non des problèmes à résoudre. Un directeur de sécurité sait naviguer dans l’entreprise et à l’extérieur (autorités étatiques de sécurité) en inspirant confiance.
Atelier 2 : Comment estimer le ROI de la sécurité dans une entreprise ?
Toute entreprise doit conserver des marges positives pour assurer sa pérennité. La sécurité ne peut être rentable et ne peut s’intégrer dans la démarche financière du business. Tout accident /sinistre coûte cher, en direct (dégâts, réparations, ...) et indirect (perte d’exploitation, augmentation des polices d’assurance). Le ROI de la sécurité ne peut être comparable aux autres ROI concrets. Une bonne sécurité, connue des clients et partenaires, rassure et incite à la confiance. La sécurité de grande qualité, sans sinistre, fait baisser les polices d’assurance. Les KPI en sécurité, non comparables aux autres KPI de l’entreprise, doivent être définis par la direction de la sécurité et ne sont pas figés ; la mise en exergue des incidents est intéressante pour la DG et les actionnaires. La sûreté-sécurité joue un rôle important pour maintenir l’image de marque de l’entreprise en évitant des incidents sécuritaires préjudiciables ; elle devrait permettre de rassurer les clients en autorisant l’entreprise à vendre ses prestations à des prix plus élevés … car la sûreté- sécurité est une composante de la qualité. La migration de la sécurité d’un « centre de coûts » vers un « centre de profits » n’est pas évidente mais cela reste à explorer. Pourquoi ne pas mettre un coefficient de sécurité quand on vend un produit, une production, une prestation effectuée dans un monde sécurisé ? Il existe des applications permettant de suivre les couts, les disponibilités des équipements.
Atelier 3 : De qui l’Intelligence Economique pourrait-elle relever en entreprise ?
Les notions d’Intelligence Economique (IE), de guerre économique demeurent abstraites pour des chefs d’entreprise. L’IE consiste en la maîtrise de l’information stratégique couvrant l’ensemble des activités de collecte, de traitement et de diffusion de l'information économiques. Contrairement aux USA, la France n’a pas de culture de l’IE mais tente de combler son retard. Elle se pratique ouvertement à partir d’informations blanches ou grises obtenues par des moyens légaux, avec un esprit de déontologie et d'éthique. L'espionnage industriel ou espionnage économique est une pratique illégale et la guerre économique est une stratégie décidée par un Etat pour affirmer sa puissance internationale. L'IE se résume : veille (acquérir l'information stratégique), protection de ses informations sensibles, influence (favoriser sa stratégie). Il est fondamental d’exploiter les volumes gigantesques de données ouvertes (Internet), en mettant en place un dispositif d’IE et surveiller ce que font les concurrents, quels sont les partenariats qui se créent, les innovations sur lesquels les chercheurs travaillent, etc. Le directeur de sécurité est la personne, au sein de l’entreprise, qui analyse en temps réel les menaces et les risques. Les déclencheurs d’une démarche IE pour une entreprise sont : le développement à l’international, l’analyse de l’environnement économique, la veille concurrentielle, le lobbying, la stratégie d’influence, la cartographie d’acteurs… L’IE devrait devenir la clef de voute de la sécurité globale en entreprise et être menée en liaison avec la direction de la sécurité, car la sécurité permet de sécuriser le business sous toutes ses formes ; le directeur de sécurité doit être impliqué dans la démarche IE.
Atelier 4 : L’Intelligence Artificielle ne risque-t-elle pas de devenir trop invasive dans la sécurité globale des entreprises ?
L’Intelligence Artificielle (IA) révolutionne le monde dans lequel nous vivons en étant présente dans de nombreux secteurs d’activité. L’IA consiste à mettre en œuvre un certain nombre de techniques visant à permettre aux machines d'imiter une forme d'intelligence réelle. Elles peuvent percevoir, agir et même apprendre grâce à une multitude de données. Deux applications de l’IA : la “Machine Learning” (IA faible) apprend et est capable d’évoluer logiquement ; la “Deep Learning” (IA forte) va encore plus loin et est capable d’analyser les données et de raisonner en imitant le cerveau humain. L’IA permet la reconnaissance faciale, l’analyse des sentiments et des émotions humaines, mais aussi la compréhension des langages. L’IA est, donc, un véritable atout d’aide à la prise de décision et n’est pas en conflit avec l’humain ; mais certains postes (analyseurs d’écran, ...) pourront être remplacés par de l’IA. Elle apportera plus d’efficacité aux humains car de nombreuses corrélations entre événements unitaires faciliteront la décision/réaction. Les agences de surveillances et les services de sécurité utilisent l’intelligence artificielle (reconnaissance faciale, caméras de sécurité, ...) pour tenter de prédire les crimes, les attentats afin de les empêcher. Cependant, les hackers et les criminels peuvent eux aussi utiliser cette technologie pour des méfaits plus sophistiqués. Il s’agit donc d’une arme à double tranchant… Avant de s'inquiéter de savoir si une IA pourrait devenir trop puissante, il faudrait déjà faire en sorte que les robots ne commettent pas d'erreurs fatales (accidents, perturbation de l'environnement, tricheries, autonomie). Dans la sécurité, l’IA éthique est une question à laquelle toute organisation devrait réfléchir avant toute mise en œuvre de l’IA.
Atelier 5 : La différenciation des termes « Sécurité » et « Sûreté » est-elle encore nécessaire pour la protection des entreprises ?
« Sécurité » et « Sûreté » font, tous deux, référence à la protection des biens et des personnes. La principale différence est dans l'intentionnalité des menaces. Les difficultés d’acceptabilité de la sécurisation viennent d’un flou linguistique et d’une querelle d’experts. Les personnels sont en sécurité lorsque leurs sécurités émotionnelle et physique sont assurées. Les actes malveillants relèvent de la sûreté et les accidents du ressort de la sécurité. Mais le terme « sécurité » est utilisé par ailleurs : sécurité civile, sécurité intérieure, sécurité juridique, sécurité économique. La sûreté a pour but de se protéger contre tout acte spontané ou réfléchi destiné à nuire, avec un objectif d’un profit (financier, psychique). La sécurité regroupe les mesures de protection contre des défauts, des dommages, des erreurs à caractère physique et matériel. Cette confusion n'est pas sans conséquence sur les solutions pour faire face aux menaces (le nombre de portes dans un immeuble est important pour l’évacuation/ la sécurité mais faible pour la surveillance des accès/sûreté) ; d’où le risque de mise en œuvre de moyens inefficaces, inadaptés et couteux. La mise en place d'une politique de sécurité englobant les problématiques de sécurité et de sûreté apportera une réponse efficace aux risques. La sécurité est une science ; la sûreté est un art ! Sous le terme de Sécurité Globale, sont intimement liées sécurité et sûreté, mais également, la cybersécurité, la protection des données et la gouvernance des systèmes d’information, la gestion de crise, etc. Selon la loi, l’employeur est dans l’obligation d’assurer la sécurité physique de son personnel et est tenu d’obtenir des résultats concrets en matière de sécurité et de santé au travail. L’entreprise doit veiller à l’aménagement du lieu de travail ; le DUERP (document unique d'évaluation des risques professionnels) restitue l’évaluation de tous les risques professionnels.
Atelier 6 : Demain, la sécurité privée occupera-t-elle une place plus significative dans la sécurité des espaces ouverts au public (étatiques ou privés) ?
Le continuum sécurité a mentionné l’implication des forces de sécurité privée pour la sécurité globale. Sachant que les forces étatiques de sécurité sont très sollicitées pour la sécurité publique, le recours croissant à la sécurité privée semble obligatoire. Le lieu ouvert au public est un lieu accessible à tous, sans autorisation spéciale de quiconque, que l’accès en soit permanent et inconditionnel ou subordonné à certaines conditions. Citons des espaces ouverts au public : espaces pour le commerce, espaces pour les loisirs /festifs, espaces sportifs, espaces de soins, espaces éducatifs, espaces de transport, espaces de cultes, espaces administratifs. La coordination, avant un évènement (à froid) et à chaud (durant l’évènement et gestion d’incident éventuel), entre le propriétaire de l’espace, la sécurité publique et la sécurité privée est indispensable. Le point majeur est la répartition entre sécurité privée et sécurité publique des zones d’action intérieures et publiques avec la frontière des responsabilités. En fonction des objectifs, seront définis la définition de la qualité d’image souhaitée avec intensité lumineuse, l’emploi éventuel des armes, le type des actions de contrôle, ... Le propriétaire contribue à assurer la sûreté de ces espaces par la prévention et la dissuasion des actes malveillants et l'assistance aux personnes. En fonction des directives, l'agent de sécurité exerce ses fonctions de prévention, de sécurité ou de sûreté, prévient tout acte de malveillance par une surveillance appropriée et rassure les usagers par sa présence active, intervient en cas d'accident mettant en péril la sécurité des personnes, prend des mesures immédiates, fait intervenir en cas de besoin les forces de l'ordre ou les services de secours compétents, cherche à maintenir un climat propice à la fréquentation des lieux et à l'usage des équipements qu'il a en charge..( il doit rassurer avec ou sans arme ).
Atelier 7 : Sachant qu’il est difficile de sécuriser parfaitement les accès d’un site, est-il envisageable de recourir massivement aux possibilités de la technologie (cloud, biométrie, IA, caméra, drones, ...) ?
La technologie progresse à grands pas et permet la création d’équipements performants, intégrant beaucoup d’informatique embarquée. L’imagination permet d’envisager des sécurisations de sites reposant uniquement sur la technologie. La recherche d’économie de la masse salariale conduit à supprimer des postes et, seule, la technologie peut y répondre en espérant pallier ce déficit humain. La technologie raisonnée permet de tout faire ; mais il faut conserver une présence humaine pour arbitrer et prendre du recul si besoin car la technologie ne doit pas décider ! Pour assurer la sécurité d’un site, différentes fonctions sont à assurer : voir, entendre, tester/mesurer, bloquer, émettre des sons/signaux, analyser/traiter tout en restant autonomes et résistants dans certains contextes. Ce sont des équipements simples ou complexes, assurant une ou plusieurs fonctions, qui seront installés au sein d’un système de sécurité. Mentionnons des équipements : caméra intelligente, robot de surveillance, drone aérien, drone aquatique, protection périmétrique ou de détection pré-intrusion, détecteurs, alarme, biométrie. L’objectif principal est de définir avec clarté les besoins sécuritaires à satisfaire ; la technologie choisie sera stabilisée et saura répondre parfaitement aux besoins. Il faudra raisonner besoins et non technique et ne jamais croire que la technique fera tout …en particulier se substituer à l’Homme. Différentes précautions sont indispensables : prévoir les modes de fonctionnement en dégradé car la sécurité doit être assurée en cas de pannes techniques, veiller à la compatibilité des équipements existants et nouveaux, intégrer l’existant réutilisable dans la conception du système futur, ne pas oublier les sources d’énergie (avec énergie de secours), la maintenance évolutive et curative. Pour réussir une telle sécurisation, l’approche « système global » est indispensable pour éviter la juxtaposition d’équipements parfois incompatibles !
Atelier 8 : Comment la cybersécurité doit-elle s’imbriquer avec le management de la sécurité globale en entreprise ?
La numérisation des entreprises a conduit à créer un cyberspace performant et riche mais vulnérable. La sécurité de ce monde nouveau est devenue une préoccupation majeure. La cybersécurité concerne la sécurité et la souveraineté numérique, avec des enjeux économiques, stratégiques et politiques bien au-delà de la seule Sécurité des Systèmes d'Information (informatique de gestion, informatique industrielle, informatique embarquée ). La cybersécurité doit être appréhendée de manière globale pour prendre en compte tous les aspects. Le responsable de la sécurité des systèmes d’information (ou RSSI) définit et met en œuvre la politique de sécurité de l'information de son entreprise. Le DPO (Data Protection Officer) a pour responsabilité de garantir la conformité des mécanismes de traitement et de stockage des données personnelles (RGPD). La sécurité est globale et, elle seule, contribue à protéger l’entreprise face à toutes les menaces. La cybersécurité est centrée sur la protection technique de l’information, le directeur de la sécurité connait les composantes juridique, business, humaine, stratégique. Le RSSI et le DPO doivent-ils être à la DSI ou à la direction sûreté ? 4 possibilités : 1 - à la DSI : le DSI risque de voir la cybersécurité comme un centre de coût et un frein technique par rapport à ses produits SI et le directeur sûreté risque d’être « oublié » ; 2 - à la direction sûreté : les rivalités entre le DSI et le directeur sûreté existeront et les frictions risquent d’être fréquentes ; 3- à la DSI avec un représentant cybersécurité à la direction sûreté : solution presque idéale car ce représentant serait l’interface valorisant entre les deux directions ; 4 - le RSSI est remplacé par un directeur de la cybersécurité : en raison de l’importance des enjeux cyber (et RGPD) au sein de l’entreprise, la direction générale créerait ce poste de directeur cyber et la direction de la sûreté aura un correspondant cyber. Ne jamais oublier que dans une entreprise, le réel pouvoir se trouve là où il y a les budgets. Le budget cyber doit être identifié et ne pas être noyé dans d’autres lignes. Le financement est directement lié à l’organisation.
Atelier 9 : La gestion de crise constitue-t-elle une préoccupation majeure des dirigeants d’entreprise en 2023 ?
Le monde actuel se caractérise comme une période avec des risques très présents. La crise correspond à toute situation anormale, d’origine interne ou externe, pouvant mettre en difficulté, voire en péril, l’entreprise et/ou ses dirigeants et ayant des conséquences potentielles sur le business, les salariés et/ou les partenaires. La crise inquiète donc les dirigeants. Un incident, un accident, un évènement, une campagne de désinformation, une attaque cyber, un incendie, une explosion, un suicide, une grève, …peuvent être des générateurs de crise ! La naissance d’une crise doit être identifiée par des signaux faibles que l’on doit savoir décoder et ce n’est pas simple car trop de banalisation. La DG ne doit ni sous-estimer une crise car on ne sait pas comment elle doit évoluer, ni maximiser une crise car il faut contrôler la crise sans dramatiser (pas d’affolement). La DG peut déléguer, en interne, la gestion de la crise en fonction du secteur touché et de la gravité. La crise peut avoir des conséquences dramatiques pour une entreprise : dégradation de l’image de marque surtout si l’incident ayant provoqué la crise aurait pu être évité (absence de politique de sécurité, négligence interne, …), perte financière suite à une perte de business résultant de chaines de fabrication à l’arrêt, d’arrêt du système informatique, d’absence de personnels, de destruction d’équipement, ...crise de confiance chez les partenaires. Le chef d’orchestre est souvent le directeur de sécurité, seul apte à appréhender des situations complexes. Les dirigeants ont pris conscience que la gestion d’une crise ne se fait pas de manière empirique car il faut une structure fonctionnelle regroupant les acteurs compétents et impliqués, des documents pour la gestion des différentes crises (journalisation du déroulement de la crise, fiches reflex, PCA (plan de Continuité d’activité). Soulignons l’importance de la communication de crise.
Atelier 10 : En quoi la sécurité d’entreprise devrait être une préoccupation des Directeurs de Ressources Humaines en entreprise ?
Le DRH est le « Directeur des Richesses Humaines » et il doit rester très attentif au capital humain de l’entreprise. Le DRH veut que les personnels de l’entreprise soient en bonne santé, qu’ils aient le moral et le sentiment d’être en sécurité car de tels salariés sont plus performants dans leurs activités professionnelles. Selon le code du travail, l'employeur doit prendre des mesures pour assurer la sécurité et protéger la santé mentale et physique de l'ensemble des travailleurs sur leurs postes de travail. Il doit évaluer les risques et mettre en œuvre des mesures de prévention, d'information et de formation. En cas de non-respect de cette obligation, sa responsabilité civile et/ou pénale peut être engagée (faute inexcusable). Le document unique d'évaluation des risques professionnels (DUERP) est obligatoire dans toutes les entreprises ; il consigne le résultat de l'évaluation des risques pour la santé et la sécurité auxquels peuvent être exposés les salariés. Le fait d'exposer un salarié à un risque identifié, sans prendre les mesures de prévention qui s'imposent, est un manquement à l'obligation de sécurité de résultat de l'employeur. Ce manquement peut faire l'objet d'une condamnation pénale. La politique de QHSE (Qualité, Hygiène, Sécurité, Environnement) est une évaluation de la mise aux normes de la production. Le responsable des affaires sociales à la charge de l'ensemble des affaires liées au social au sein d’une entreprise : climat social et l’application du droit du travail. A l’embauche, l’analyse d’un CV est importante (diplôme, compétence, santé incompatible, antécédents judiciaires, passé personnel préoccupant, comportement agitateur. L’implication du directeur de sécurité est indispensable car il doit être en contact régulier avec les syndicats (ambiance interne), le responsable QHSE (analyse des accidents et des conditions de travail pouvant être liés à de la malveillance), le responsable des affaires sociales (ambiance interne), le service mobilité à l’international (vérification que les mesures de protection des voyageurs) et le service santé au travail (ambiance et troubles psychiques liés au travail).