Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

PWC - Fonction Sûreté : comment réussir sa transformation au sein de l’entreprise ?

novembre 2018 par PwC

L’apparition des nouvelles menaces comme la cybersécurité ou la menace terroriste[1] engendre une transformation des métiers de la sécurité. Dans son étude, « La transformation de la fonction Sûreté : vers un nouveau paradigme. Retours sur les pratiques d’entreprises à l’échelle mondiales », le cabinet de conseil et d’audit PwC apportent un éclairage et des pistes afin de relever ce défi majeur. Les experts PwC misent sur un modèle centralisé, une collaboration accrue entre les différentes parties prenantes au sein de l’entreprise, ainsi que le développement d’une culture de sûreté.

Les atouts de la centralisation et structuration de la fonction Sûreté

Parmi les tendances clefs identifiées par les experts PwC, la centralisation de la fonction Sûreté est actuellement à l’œuvre. En effet, plus de 50% des entreprises interrogées tendent à centraliser leurs dispositifs de sûreté en créant un seul département au niveau central pilotant la gouvernance et les opérations. Ainsi, les directions centrales de Sûreté se structurent autour de pôles de compétences dotés d’experts en matière de sûreté physique, de gestion de crise, d’intelligence économique, d’investigation et de cybersécurité.

Les experts PwC relèvent trois atouts à la transition vers un modèle centralisé. Premièrement, la centralisation facilite la remontée d’informations ainsi que la consolidation de données de reporting et par conséquent permet un meilleur pilotage par la rationalisation des moyens et des actions. Deuxièmement, le modèle centralisé assure l’application des mêmes standards dans toutes les régions, réduisant ainsi les écarts de maturité entre elles. Troisièmement, ce modèle est plus lisible de la part des parties prenantes et donc auditable.

« On assiste à une véritable transition dans la structure organisationnelle des département Sûreté des entreprises. Il y a un début de prise de conscience des dirigeants quant à la nécessité de professionnaliser et de structurer cette fonction au sein de l’entreprise. C’est souvent l’arrivée d’un nouveau directeur Sûreté, qui permet d’impulser ces changements. L’apparition de nouvelles crises de sûreté à l’instar de NotPetya/WannaCry et les menaces terroristes ont également été déterminantes. Force est de constater que les entreprises françaises sont moins matures sur la centralisation de la fonction Sûreté par rapport aux entreprises anglo-saxonnes. C’est une dynamique plus récente, même si l’onde de choc provoquée par les attentats du Bataclan a largement participé de la prise de conscience des dirigeants. Ces derniers se montrent également préoccupés par la prévention de la radicalisation en entreprise qui fait partie des nouvelles menaces à anticiper », explique Olivier Hassid, directeur conseil en sécurité, sûreté des infrastructures et intelligence économique chez PwC.

Ce nouveau modèle implique l’implémentation d’un nouveau cadre de référence qui s’articule autour de trois lignes de défense qui s’appuie sur la définition claire et préalable des rôles et des responsabilités propres à chaque fonction.
Ainsi, la première ligne de défense est chargée d’appliquer les politiques et les procédures de sûreté et de gérer les incidents et les risques au quotidien. La deuxième ligne de défense est responsable de la gouvernance en matière de sûreté. A ce titre, elle est à l’origine de la définition et de l’articulation de la stratégie, des politiques et des standards de sûreté. La troisième ligne de défense élabore et met en œuvre un programme d’audit permettant à la direction générale de s’assurer de la capacité de l’organisation à maîtriser ses risques en contrôlant à échéances régulières, la mise en œuvre des standards.

« Au-delà du modèle centralisé, il est important de développer une véritable culture de sûreté car l’efficacité de la fonction Sûreté repose aussi sur l’engagement de tous les collaborateurs de l’entreprise qui deviennent aujourd’hui des véritables ambassadeurs et acteurs de la Sûreté. L’entreprise doit pouvoir favoriser l’appropriation de cette culture grâce à des formations individualisées pour les personnes à hautes responsabilités ainsi que des mesure concrètes parfois innovantes telles que des bootcamps sûreté ou des serious game qui sont de plus en plus utilisés au sein des entreprises », ajoute Olivier Hassid.

L’Intelligence Economique (IE) au cœur de ce nouveau modèle

Afin d’être proactive et toujours plus efficace, la fonction Sûreté est en quête de nouveaux outils techniques et organisationnels. D’après l’étude, plus de 80% des entreprises interrogées ont des services dédiés à l’IE. Rattachées à la direction Sûreté ou à la direction de la stratégie, les cellules d’intelligence économique sont chargées d’identifier les menaces et de les réduire, mais aussi de favoriser le développement de l’entreprise et d’être un soutien aux dirigeants dans la prise de décision.

« Face à l’essor des nouvelles technologies et l’émergence de méthodes de collecte et d’analyse de données, la production de connaissances pertinentes devient un des enjeux majeurs de la fonction Sûreté. On assiste à une montée en puissance de l’IE au sein des entreprises qui permet à la fonction d’atteindre un niveau de connaissance supérieur des menaces et de mieux anticiper les risques. Cette activité est véritablement en passe de retrouver une place centrale au sein de l’entreprise, notamment à travers la compliance et les enjeux d’éthique qui sont de plus en plus prégnants », analyse Oliver Hassid.

De plus, compte tenu du besoin permanent de veille liée aux enjeux de sûreté, les grands groupes internationaux mettent en place des centres d’analyse de risques et de réaction (« Security Operations Centers ») qui assurent le monitoring de situations opérationnelles 24h/24. Cette pratique est notamment très efficace en matière de cybersécurité, enjeu majeur qui mobilise différentes expertises au sein de l’entreprise.

Une meilleure collaboration face au défi de la cybersécurité

Les experts PwC constatent que les responsables Sûreté ont également vu leur rôle évoluer : ils sont aujourd’hui majoritairement rattachés à un membre du comité exécutif ce qui permet au département Sûreté de gagner en crédibilité et en légitimité. Le directeur Sûreté peut être à la fois considéré comme le responsable de la sécurité physique et de la sécurité de l’information. Dans certains cas, même, il est peut-être aussi le responsable de la sécurité digitale.
Ainsi, les experts soulignent la nécessité du décloisonnement entre les fonctions et la mutualisation des compétences avec la direction de la sécurité des systèmes d’information. Ceci est aujourd’hui d’autant plus crucial face aux cybermenaces. Selon l’étude, près d’une entreprise sur deux a entamé cette démarche, par exemple en faisant intervenir davantage le savoir-faire de la fonction Sûreté dans les discussions et les décisions stratégiques liées aux enjeux de cybersécurité. Néanmoins, seuls 17% des Responsables de la Sécurité des Systèmes d’Information (RSSI) sont aujourd’hui rattachés au Directeur de la sûreté.

Pour Olivier Hassid, « il existe de nombreuses pistes de coopération entre les équipes Sûreté, cybersécurité et Intelligence Economique. Le déploiement de centres de gestion et d’analyse de risques de sûreté tend à se généraliser dans le monde anglo-saxon mais cette pratique n’existe pas encore en France. Or, l’une des clefs d’une gestion des risques globale réside bien dans la collaboration avec l’ensemble des parties prenantes au sein de l’entreprise et particulièrement la Direction des Systèmes d’Information ».


Voir les articles précédents

    

Voir les articles suivants