• IEC-IES

L’horizon 2025 : un tournant majeur pour la sûreté des entreprises?

Mis à jour : 7 mai 2020

Par Lionel POMMARAT

Les praticiens et théoriciens de la gestion de crise constatent la convergence et la concomitance de plusieurs phénomènes micro, macro et meso, ainsi que des travaux en phase d’élaboration qui semblent entériner pour les années à venir la prééminence des questions de sûreté des entreprises.


La sûreté des entreprises : des mutations récentes et un périmètre grandissant


La fonction sûreté des entreprises est le fruit de problématiques relativement récentes. Elle s’est naturellement développée prioritairement au sein des grandes entreprises internationales françaises, des industries et entreprises cotées en bourse. Pour bon nombre de structures de taille modeste et intermédiaires (Start-up, TPE, PME et ETI), qui représentent l’essentiel du tissu économique français [1], les problématiques de sûreté sont le plus souvent intégrées à la gouvernance de l’entreprise, et peuvent par conséquent être assumées directement par le ou les dirigeants de l’entité en question, éventuellement avec l’aide ponctuelle de consultants extérieurs spécialisés.


Sur cette typologie d’entreprises, les problématiques de sûreté peuvent de facto se voir plus ou moins occultées, en fonction de la sensibilité du dirigeant à cet aspect et de sa tolérance au risque, ou du degré global de disponibilité (ressources allouées, volume horaire consenti) accordé à ces questions.


Les attentes et exigences des clients et des diverses parties prenantes de l’entreprise [2], peuvent également exercer une certaine pression sur les dirigeants, les enjoignant ainsi à se saisir des problématiques de sûreté.


Par ailleurs, l’activité d’une entreprise, en ce qu’elle comporte comme risques intrinsèques et en fonction de sa portée géographique [3], ou de l’existence d’indicateurs de performances [4] sur de possibles pertes financières consécutives à des actes de malveillance, peuvent en outre être des paramètres incitatifs à se doter d’une organisation idoine.


Sur un plan « historique », on peut considérer que le sujet de la sûreté des entreprises françaises, est devenu une préoccupation plus concrète du fait de l’attentat de Karachi en 2002, et de l’établissement d’une jurisprudence éponyme avec obligation de résultat en 2004. Celle-ci alourdit la responsabilité de l’employeur en condamnant la Direction des Constructions navales pour faute inexcusable lors du décès de 11 de ses salariés des suites d’un attentat terroriste subi pendant un déplacement professionnel au Pakistan. La vague d’attentats terroristes de 2015, a en outre significativement contribué à accélérer le mouvement de création de « Directions sûreté » au sein des entreprises [5].


Cependant, ces aspects particuliers de la sûreté des collaborateurs à l’étranger que sont le « Duty of care » [6], et la protection des entreprises contre le terrorisme, sont loin d’être à eux seuls représentatifs des préoccupations actuelles d’une fonction sûreté d’entreprise.


Dans les faits, deux études récentes permettent de mieux appréhender certaines caractéristiques de la fonction sûreté. La première étude à laquelle nous nous référons est le « référentiel métiers de la sûreté sécurité corporate » du Club des Directeurs de Sécurité & de Sûreté des Entreprises (CDSE) paru le 8 mars 2019. Cette étude nous livre une cartographie qui dégage 14 grandes lignes de compétences illustrant le caractère désormais très hétérogène des métiers de la sûreté-sécurité :




La seconde étude à laquelle nous nous référons a été publiée en mai 2019 par le réseau d’experts de l’École de Guerre Économique, l’AEGE.


Elle nous livre une cartographie des métiers de l’Intelligence Économique [7], domaine fortement corrélé à la sûreté d’entreprise, et dresse un constat qui recoupe en partie la cartographie établie par le CDSE, puisque nous y retrouvons les 9 compétences suivantes (ou compétences connexes) sur les 14 compétences identifiées précédemment :

  • Analyse des risques Sécurité-Sûreté (Prévention des risques)

  • Intelligence et sécurité économique

  • Déplacement professionnels et mobilité internationales (Risques pays)

  • Prévention des fraudes (Audit, Due Diligence, Enquête financière)

  • Protection de l’image et de la réputation

  • Cybersécurité

  • Protection de l’information (Contre-ingérence économique)

  • Gestion de crise et continuité d’activité

  • Déontologie et conformité (Enquête financière, Anti-corruption, Anti-blanchiment)


Par conséquent, nous constatons que la fonction sûreté devient prépondérante au sein des entreprises (enjeux de gouvernance et périmètre grandissant [8]), et qu’elle s’inscrit à ce titre dans une démarche de performance globale de l’entreprise [9]. Évoluant vers des problématiques de cybersécurité (protection de l’information et du patrimoine immatériel), elle réclame une approche pluridisciplinaire. Ceci résulte en partie de l’impact crée par la rapidité des évolutions technologiques et digitales.


Un contexte global qui interpelle


Nous vivons actuellement une période d’accélération technologique sans précédent. Souvent désignée comme une 4ème révolution industrielle [10] ou comme la « révolution numérique », celle-ci se caractérise par de multiples évolutions techniques telles que le Big data, le développement de l’intelligence artificielle, le Edge computing, l’internet des objets (Internet Of Things qui augmente la surface d’attaque des entreprises par la prolifération d’objets connectés au réseau. Ils sont souvent considérés comme mal sécurisés, ce qui représente un marché important [11]), la blockchain, et peut-être demain l’informatique quantique (qui en cas de concrétisation perturbera significativement la sécurisation de nos communications).


L’essor de ces nouvelles technologies entraîne une inévitable digitalisation et transformation numérique de l’ensemble de notre société, qui engage les entreprises françaises de toutes tailles et tous secteurs dans un processus inédit de création et d’adaptation de leurs activités. Ce phénomène de rupture peut,  parfois, inciter des dirigeants à décider dans une urgence relative [12] (pression du « time to market » ou délai opportun d’arrivée d’un produit ou d’un service sur le marché), et ainsi être un facteur déstabilisant pour les entreprises notamment sur le plan de leur sécurité [13].

Parallèlement à ce contexte, nous avons constaté qu’un certain nombre d’éléments sont susceptibles de produire des effets qui plaident pour une prise en charge effective de la fonction sûreté au sein des entreprises. En voici le détail ci-après :

  • Un accroissement significatif de l’importance du patrimoine informationnel, celui-ci tend à devenir le centre de la valeur des entreprises [14]

  • La domination technologique des États-Unis (Infrastructure de l’internet [15]), et de la Chine (composantes, réseau 5G [16]), dans un contexte patent de concurrence internationale exacerbée (usage récurrent de l’arme juridique extraterritoriale [17], Foreign Corrupt Practicies Act et Cloud Act au premier plan) et de déclin du multilatéralisme. Il en découle une forte incitation au protectionnisme économique.

  • Subséquemment au point précédent, la souveraineté numérique française évoquée dans le Livre Blanc de 2013 [18], est en cours d’élaboration (la commission d’enquête parlementaire « souveraineté numérique » [19] devrait rendre ses résultats en octobre 2019) ce qui confirme que notre approche nationale du sujet reste, à ce jour, encore perfectible.

  • L’inéluctable généralisation du modèle de « Cyber reliance » des organisations (ou dépendance marquée de l’activité des entreprises à leur systèmes d’informations). Celui-ci fait de la cybersécurité la clef de voûte des entreprises contemporaines, et induit de facto la probabilité de survenance de crises « à caractère holistique et immédiat» [20] (R. De Vittoris). A l’instar du constat effectué lors de la prolifération mondiale des rançongiciels NotPetya et WannaCry, la prédominance du modèle de cyber reliance fait redouter des risques d’impact majeur et instantané sur l’ensemble d’un écosystème d’organisations.

  • Globalement ce phénomène rejoint un constat plus ancien : celui de la progression et de la récurrence de chocs « hors cadre » qui « disloquent nos environnements et socles de référence » [21]. Au premier plan de ces chocs, on distingue la violence et le défi représenté par la gestion d’événements liés au dérèglement climatique, entraînant des conséquences en cascade.

  • La complexité croissante des crises, notamment dues à des problématiques d’interdépendance entre des entités qui évaluent et pilotent la gestion de crise dans des temporalités multiples (distribution aléatoire des événements, perception par les acteurs et temps de latence inhérent au feedback de leurs actions, temps de référence associé à la stratégie de multiples parties prenantes [22] (Thomas Meszaros). Ce paramètre perturbe significativement le processus décisionnel des organes confrontés au management de crise [23] (Thomas Meszaros).

  • Une tendance à la disparition [24] (Raphael De Vittoris), ou au contraire la surabondance [25] (Alain Juillet) des « signaux faibles » qui permettaient auparavant le décèlement précoce, et parfois l’évitement ou la résolution rapide de risques et de crises.

  • Un projet de norme ISO relatif au management de la sûreté des entreprises, porté par l’Institut National des Hautes Études de la Sécurité et de la Justice [26] (INHESJ) est en cours d’élaboration. Ce projet cherche à appréhender la mise en œuvre d’un système de management de la sûreté dans des entités aux caractéristiques, sensibilités et moyens extrêmement diversifiés (Start-up, TPE, PME, ETI, Multinationales). Il pourrait préfigurer l’établissement d’une législation spécifique pour les entreprises.

  • Par ailleurs, le modèle traditionnel de sécurité périmétrique semble, sans pour autant être caduc, avoir cependant démontré ces dernières années certaines limites dans le monde physique (apparition de la notion « d’espaces indéfendables » pour le terrorisme depuis 2015 [27]), comme dans la sphère numérique (développement des « Security Operations Center » [28] et apparition du paradigme de « zéro trust » [29]).


Ainsi, il semble désormais pertinent de mettre en œuvre un modèle de sécurité considérant l’intrus comme d’ores et déjà présent dans les murs, et sur les réseaux (vulnérabilité intrinsèque de l’individu et infiltration). En conséquence, il faudrait donc s’attacher à développer une politique de sécurité plus dynamique, en évoluant vers des modèles centrés sur l’identité, et sur l’emploi de systèmes d’analyse comportementale. Les principe de zones physiques d’accès privilégiés ou de gestion des accès privilégiés en SSI conservent néanmoins leur pertinence.


Tous ces éléments contribuent à complexifier considérablement l’environnement des entreprises, tout en produisant un accroissement significatif de sa dangerosité.


La « cyber reliance » : risques et opportunités


Le modèle de « cyber reliance », qui indique le fait de faire reposer un part conséquente des activités d’une entreprise sur la disponibilité de ses systèmes d’informations, est devenu indispensable à la performance des entreprises contemporaines. Semblant impossible à limiter, la « cyber reliance » implique pourtant une vulnérabilité accrue aux cyberattaques, et soulève donc inévitablement la question du degré de résilience souhaitable de nos organisations (Raphael De Vittoris).


Devons-nous (et pouvons-nous?) intégrer des systèmes de fonctionnement plus rudimentaires ou « low tech » (R. De Vittoris), afin de préserver les entreprises d’une dépendance excessive à leurs systèmes d’informations au motif de la vulnérabilité ainsi générée [30]? La question revêt un intérêt certain en matière de prévention de crises futures.


Au delà de cette interrogation, l’intelligence artificielle porte en elle la promesse de progrès considérables pour l’humanité (santé, science, environnement, transports…), qu’il n’est probablement pas souhaitable de chercher à ralentir. La démarche de prise en compte de ses potentiels effets néfastes par la communauté scientifique paraît déjà par ailleurs assez bien engagée (émergence et prévalence de l’approche par le concept de « Human In Command » [31] et de phases d’apprentissages contrôlées et supervisées par l’homme : « Human In The Loop », « Human On The Loop »).


En attendant que notre espace informationnel mondial soit effectivement réglementé [32] et contrôlé, et en l’absence de législation spécifique (Infrastructure critiques, Opérateur d’Importance Vitale, Opérateur de Services Essentiels), chaque entité reste donc relativement libre de déterminer un niveau de sécurité qu’elle jugera satisfaisant, en cohérence avec sa propre perception des bénéfices et dangers que représente le contexte de digitalisation et d’innovation technologique actuel.


Transformation numérique et cybersécurité


Dans ce cadre, le « Edge computing », qui consiste à traiter les données d’une entité dans sa périphérie directe en réduisant les temps de latence et les problématique de bande passante, constitue une importante mutation, qui pourrait également apparaître comme une opportunité de se réapproprier les données numériques nationales. Ce point reste néanmoins conditionné par le développement d’un label de sécurité des objets connectés.


Les technologies de la « Blockchain », aux propriétés décentralisatrices, sont en outre susceptibles de faire gagner nos entreprises en autonomie de traitement des données, en se substituant à des organes « de type régaliens » [33] et en limitant ainsi les flux de communications vers diverses autorités centrales. [34]


Ainsi, un état idéal viserait à tendre à terme vers un confinement de nos données numériques et à se défaire de l’emprise néfaste que constitue le modèle architectural du « Cloud », actuellement opportunément dominé par les GAFAM.


Mais conformément aux travaux actuels des pouvoirs publics sur la souveraineté numérique, un traitement plus autonome de nos données impliquerait de parvenir à maîtriser l’intégralité de la chaîne des technologies numériques, ainsi que d’en imposer l’emploi aux entreprises nationales (couches techniques et s'émantique [35] : composantes, matériels, logiciels, flux de communications, données, cryptographie…).


Mais dans la pratique, nos entreprises peuvent-elles réellement contourner des solutions matérielles et logicielles telles que Cisco ou Microsoft par exemple ?


Dans l’absolu, cet axiome pourrait supposer de chercher à établir une ambitieuse stratégie nationale de partenariat public/privé, à même d’intégrer en outre, toute la complexité des entreprises de notre économie mondialisée [36] (G.longuet) (entreprises internationales, multinationales).


On pourrait également envisager de chercher à établir une « politique de puissance » [37] pragmatique, visant à renouveler l’adhésion nationale de nos entreprises, et à maximiser l’utilisation des Institutions Européennes dans des logiques d’intérêts convergents (Christian Harbulot).


Face à ce constat, la France est loin de se trouver en situation d’infériorité. Dans le domaine des technologies de pointe, nous possédons notamment un certain nombre de fleurons à l’avant-garde du domaine des supercalculateurs et des systèmes d’identification et d’authentification par exemple [38].


Les struct