Evolution de la fonction Sûreté

Quels outils pour réussir la transformation de votre entreprise ?

Novembre 2018

Entre apparition de nouvelles menaces et évolutions stratégiques, la sûreté des entreprises est en pleine transformation. Toujours plus centralisée, cette fonction intervient désormais sur les questions de cybersécurité, de gestion de crise et collabore de manière toujours plus horizontale avec les équipes techniques. Un vrai tournant.

L’évolution des menaces entraîne des changements d’organisation pour y répondre

+ 50% des entreprises interrogées mettent en place un département chargé du pilotage de la sûreté
Partager sur

D’après l’étude « 21st Annual Global CEO Survey », l’enquête mondiale annuelle de PwC menée auprès des dirigeants d’entreprises, la menace terroriste est passée de la 12ème place en 2017 à la 2ème place en 2018 parmi leurs principales sources d’inquiétude. Les tensions géopolitiques sont également classées en 3e position, tandis que les cyber-menaces sont désormais à la 4ème place des préoccupations des décideurs. Face à ces risques, la sûreté devient une branche clé des entreprises.

Pour trouver le modèle organisationnel le plus performant, elles mettent la sûreté au centre de leur activité notamment en développant des pôles de compétences dotés d’experts aux profils variés. Ainsi, plus de 50% des entreprises interrogées dans le cadre de l’étude sur la transformation de la fonction Sûreté finissent par mettre en place un département chargé du pilotage de la sûreté sur le plan stratégique, opérationnel et local.

Une organisation qui présente des avantages indéniables : meilleur reporting, pilotage plus performant, homogénéisation des politiques en matière de cybersécurité. Ce modèle a aussi le mérite d’être plus lisible en interne comme en externe.

Augmentation des interactions entre la sûreté et la cybersécurité

Conscientes de l’importance de leur bonne collaboration, les entreprises décloisonnent le travail des équipes sûreté et cybersécurité. Désormais, le directeur Sûreté peut se voir confier la responsabilité de la sécurité physique, de la sécurité de l’information, mais aussi de la sécurité digitale. Plus d’organisation silotée et de concurrence contreproductive, ces services sont maintenant amenés à collaborer efficacement, avec l’objectif commun de protéger l’entreprise des menaces extérieures.

Cette optimisation passe aussi par le recrutement de profils qui parlent le même langage. Ces dernières années, des data scientists et des spécialistes de l’Intelligence Economique ont commencé à rejoindre les directions centrales de Sûreté, renforçant ainsi la capacité de ces entités à échanger d’égal à égal avec les meilleurs spécialistes internes de la cybersécurité.

Des synergies indispensables dans un contexte international, où le nombre de données croît de façon exponentielle… A cela s’ajoute la création de Security Operations Centres (centres d’analyses de risques et de réaction) et de fusions cells, des cellules transversales de consolidation et de traitement des données. Ensemble, la sûreté et la cybersécurité forment alors la meilleure paire pour prévenir les risques internes et externes, les anticiper et gérer les potentielles situations de crise. 

Un cadre de référence modernisé à adapter aux typologies d’entreprises

 

Les entreprises interrogées dans le cadre de l'étude semblent toutes adopter un cadre de référence pour gérer au mieux le tournant de la sécurité. Ce modèle, basé sur une approche à trois lignes de défense, a le mérite d’être progressif et clair. Et il amène aussi, logiquement, le déploiement d’une vraie culture de la sûreté au sein de l’entreprise.

La première ligne de défense agit au quotidien

Chargée d’appliquer les procédures de sûreté, elle gère les incidents et les risques du quotidien.

Composée d’équipes sûreté locales ou régionales, son travail est complété par la vigilance de l’ensemble des collaborateurs de l’entreprise. Pour cela, l’entreprise doit mettre en place des “bonnes pratiques” notamment pour la gestion des informations sensibles ou le signalement d’événement suspect.

La deuxième ligne de défense, au cœur de la gouvernance

Cette ligne définit et articule la stratégie en matière de sûreté.

Évaluation des menaces et des zones de vulnérabilité, formation des salariés et des prestataires, recueil et synthèse de l’information émanant de l’opérationnel, opérations de contrôle…

C’est un rôle pivot et central au cœur de l’entreprise.

La troisième ligne de défense pour auditer et optimiser

Enfin, la troisième ligne de défense a la responsabilité d’auditer l’activité de la fonction Sûreté.

Pour garantir son impartialité, cette troisième ligne est idéalement portée par une fonction indépendante des premières et deuxièmes lignes de défense et ne rend de comptes qu’à la direction générale. Une sous-traitance reste évidemment possible. Dans les faits, de nombreuses entreprises permettent à leurs directions Sûreté d’auditer leur propre activité, en l’absence d’un vrai contrôle indépendant…


La meilleure défense : le développement d’une culture de la sûreté

Si les e-learnings sur la sûreté facilitent l’accompagnement des salariés, ces démarches ne sont pas suffisantes face à la recrudescence des risques, à l’échelle mondiale. Des formations en bonne et due forme sont à organiser, en commençant par les personnes à hautes responsabilités. Les experts de la sûreté doivent donner des clés à la direction pour leur permettre d’appliquer, et de diffuser en interne les bonnes pratiques à respecter comme la vigilance sur les réseaux sociaux, à l’intérieur de ses courriels (notamment concernant le phishing), et la sensibilisation aux dernières techniques des cybermalfaiteurs…

Cette approche “top-down” est un bon début mais celle-ci doit être complétée par l’identification d’interlocuteurs “sûreté” de proximité. Cet interlocuteur, identifié au sein de la structure locale, est également tourné vers la direction générale. Un rôle pivot qui permet de diffuser la “bonne parole”, les bons réflexes, mais aussi de collecter les données “remontées” par les salariés. Enfin, l’usage des serious games permet de placer les participants dans des situations proches de la réalité pour leur inculquer les bonnes notions, tandis que les “bootcamps sûreté”, à raison de quelques jours par an, renforcent les apprentissages théoriques et pratiques.

« L’adoption d’une approche articulée autour de trois lignes de défense a été réalisée il y a deux ans. Malgré certaines difficultés rencontrées je considère que cette approche est un modèle à suivre »

Directeur Sûreté d’un leader du secteur pharmaceutique

The transformation of the Security sector: towards a new paradigm 

Download the study

Contactez-nous

Olivier Hassid

Associé en charge des activités de conseil en Sécurité, Sûreté et Intelligence économique, PwC France

Tel : +33 1 56 57 75 16

Thierry Delville

Associé Cyber Intelligence, PwC France

Tel : +33 1 56 57 41 56

Suivez-nous !