|
21/06/2006
Sécurité dans les entreprises : beaucoup reste à faire
|
Menaces les plus redoutées par les entreprises, moyens mis en oeuvre, problèmes rencontrés... Une étude menée par Thales dresse un état des lieux de la sécurité globale dans les entreprises françaises. |
Terrorisme, malveillance, cybercriminalité, crises sanitaires, catastrophes naturelles… les menaces se multiplient. Dans les dispositifs mis en place par les entreprises, de nombreuses vulnérabilités subsistent, qui font peser une pression accrue sur les directions en charge de la sécurité.
Afin de mieux appréhender la nouvelle donne de la sécurité globale, le pôle conseil sécurité de Thales a mené une enquête auprès d'une centaine d'entreprises représentatives du tissu économique national. Premier bilan : parmi les difficultés actuelles figurent le cloisonnement des actions et la mesure du retour sur investissement des politiques de sécurité.
Une prise de conscience de nouveaux risques
"La montée des risques de choc extrême - terrorisme, actes de malveillance, crise sanitaire, catastrophe naturelle... - est le premier élément qui a modifié la perception de la sécurité de l'entreprise", explique Gérard Pesch, directeur du pôle conseil sécurité de Thales. "Ensuite, viennent les nouveaux comportements, comme la perte du sentiment d'appartenance à une entreprise… Or, la perte des valeurs, juxtaposée à un conflit social, peut mener à l'attaque de l'outil de production. Enfin, l'arrivée de nouveaux modes de travail - nomadisme, externalisation, ouverture des réseaux, wi-fi… - correspond à de nouvelles vulnérabilités."
 Les années 80 étaient celles de la qualité, les années 90 de la supply chain, les années 2000 seront peut-être les années sécurité"
Gérard Pesch, Thales |
Quant à l'importance des différentes menaces pour l'entreprise, l'atteinte à l'image est la première préoccupation des responsables. "Tout le monde a conscience qu'un fait peut se retrouver au journal de 20 heures, note Gérard Pesch. Le problème peut être encore accrû dans le cas de plus en plus fréquent des marques ombrelles : une filiale est mise en cause, toutes le sont. En conséquence, les grandes entreprises professionnalisent leur communication, notamment de crise."
|
Quelles menaces pour l'entreprise ? (source : Thales)
|
|
|
Des responsabilités trop cloisonnées en matière de sécurité
Direction, sûreté, sécurité des systèmes d'information, risk management… Chacun, dans sa fonction, a le sentiment de tout gérer. Or, 40 % des responsables interrogés estiment que le niveau de sécurité dans l'entreprise est insuffisant. Pour les autres, il faut entamer une démarche d'amélioration continue.
|
Quel niveau de sécurité pour...? (source : Thales)
|
|
|
A ce titre, le secteur bancaire joue un rôle de précurseur. C'est en effet la réglementation qui pousse ces institutions à "coopérer à leur frais à la protection des établissements contre toute menace, notamment à caractère terroriste" (nouvel article du code de la Défense). En conséquence, 80 % des responsables interrogés y jugent le niveau de sécurité suffisant.
Vers un mouvement de structuration
Pour Gérard Pesch, "on peut penser que si les années 80 étaient celles de la qualité et les années 90 celles de la supply chain, les années 2000 seront peut-être les années sécurité."
Pour l'instant, le principe d'une organisation globale de la sécurité semble acquis. "Par exemple, explique-t-il, on pourrait s'introduire dans un système d'information via les caméras de surveillance wi-fi gérées par la sécurité physique. On voit la nécessité de concerter les deux métiers pour éviter ce type de faille."
En revanche, les entreprises ont avancé très diversement sur ces sujets. "La démarche s'amorce seulement, estime Gérard Pesch. C'est l'impact de la direction générale qui sera la plus importante. Or, les directeurs sécurité sont souvent peu présents en comité de direction. Cela va donc prendre beaucoup de temps." Le directeur du pôle conseil sécurité de Thales considère qu'à moins que le niveau des menaces augmente, il faudra entre dix et quinze ans pour que se généralise une approche globale de la sécurité en entreprise.
|
Qui sont les acteurs de la sécurité et sont-ils membre du comité exécutif ?
(source : Thales)
|
|
Acteur de la sécurité
|
Comité exécutif
|
|
Direction générale
|
58 %
|
65 %
|
| Secrétaire général |
38 %
|
32 %
|
|
Industriel
|
18 %
|
14 %
|
| Hygiène et santé |
17 %
|
1 %
|
| Sécurité |
45 %
|
3 %
|
| Sûreté |
31 %
|
1 %
|
| Juridique |
48 %
|
10 %
|
| Services généraux |
41 %
|
8 %
|
| Directeur des SI |
70 %
|
14 %
|
| Responsable de la sécurité du SI |
55 %
|
3 %
|
| Risk manager |
35 %
|
4 %
|
| DRH |
51 %
|
24 %
|
Des axes de progrès clairement identifiés
Au-delà de la mise en place d'une sécurité globale, un autre facteur prédominant à prendre en compte est le facteur humain. En premier lieu, il apparaît qu'il faudrait mobiliser et responsabiliser les managers. Mais il s'agit également de trouver de nouveaux modes de sensibilisation pour les acteurs de la sécurité et le personnel de l'entreprise, en parallèle d'une meilleure communication.
|
Quelles carences de management peuvent générer des risques pour l'entreprise ?
(source : Thales)
|
|
|
A ce titre, gérer et anticiper le risque social et comportemental est jugé comme un objectif incontournable. Et à ce niveau, la marche à suivre qui se dégage serait d'abord d'identifier et traiter les causes de tensions, d'identifier les pratiques managériales pouvant générer des risques, pour enfin détecter et gérer les nouveaux comportements à risques.
Enfin, dernier constat majeur de l'étude menée par Thales, le droit commence à prendre une importance capitale dans la gestion de la sécurité. Sécurité de l'employeur et des personnels, connaissance des lois et règlements, clarification des délégations... nombreuses sont les problématiques légales impliquant la sécurité. Or, les acteurs de la sécurité s'estiment en majorité insuffisamment informés sur leur périmètre de responsabilités et sur les obligations de l'entreprise.
La grande inconnue : le retour sur investissement
La mesure du retour sur investissement des démarches sécurité était abordée dans les entretiens de l'enquête. "Tout le monde est très embarrassé, confirme Gérard Pesch. Les budgets sont souvent noyés dans des dépenses plus globales et il peut être difficile de faire la part des choses entre, par exemple, la sécurisation du risque incendie et des risques physiques des personnes."
Changer de mot de passe régulièrement est un bon exemple de procédure essentielle à laquelle peu se conforment"
Gérard Pesch |
|
D'autant qu'une politique sécurité commence souvent par l'application des règles déjà établies, ce qui, en théorie, ne coûte pas très cher mais fonctionne très bien. "Changer de mot de passe régulièrement sur le système d'information est un bon exemple de procédure essentielle à laquelle peu se conforment", regrette Gérard Pesch. Reste en suite à mener une analyse de risques destinée à attribuer les budgets aux risques prioritaires, puis, en troisième lieu uniquement, commencer à dépenser.
|
