L’entreprise a-t-elle encore les moyens de sa sécurité dans un contexte où se multiplient prises d’otages et assassinats d’expatriés, conflits sociaux ou encore catastrophes naturelles non prévisibles ? C’est en ces termes que FRANÇOIS ROUSSELY, Président du CDSE (Club des Directeurs de Sécurité des Entreprises), a introduit le quatrième colloque du CDSE qui se tenait le jeudi 25 novembre à l’OCDE et qui a réuni près de 450 participants (Directeurs de sécurité d’entreprises, hauts fonctionnaires, cabinets de sécurité…).
L’occasion pour un bon nombre d’experts publics comme privés de la sécurité d’évoquer les effets simultanés de la mondialisation (implantation dans des pays instables), de l’externalisation (sociétés de sécurité privée, cloud computing) et de la virtualisation (cybercriminalité, atteinte à la réputation). Autant de phénomènes qui complexifient l’univers dans lequel opère l’entreprise mais avec lesquels elle n’a d’autre choix que de composer aux yeux d’ALAIN BAUER, Président du CSFRS.
L’instabilité de certaines zones empêche-t-elle les entreprises d’opérer ? « Non » répond l’Ambassadeur de France en Irak, BORIS BOILLON, pour qui la France reste « une marque de qualité en Irak ». Evoquant les récents marchés obtenus par Alstom et Saint-Gobain, il rappelle que l’Irak est une terre d’opportunités pour nombres d’entreprises françaises en dépit des conditions sécuritaires fragiles. En la présence de JEAN-PIERRE VUILLERME, Directeur du CFA en Irak (Centre Français des Affaires), l’Ambassadeur a invité les entreprises à s’appuyer sur l’Ambassade, qui bénéficie du soutien des forces de sécurité irakiennes, de l’appui des autorités locales, et de la logistique sécurisée offerte par le CFA, situé en face de l’Ambassade.
Selon JEROME FERRIER, Directeur de la Sécurité Générale de Total, « la rentabilité du business doit être à la hauteur des risques que l’entreprise encourt ». Par conséquent, précise-t-il, « toute décision [quant aux moyens et au coût de la protection] doit s’appuyer sur l’évaluation des risques », laquelle doit être la plus fiable possible grâce aux analyses de la cellule de veille interne, combinées aux expertises externes (consultants, services de la République, sources locales). Le Directeur met toutefois en garde : « Il y a certaines circonstances ou situations particulières qui peuvent nous amener à déconseiller de développer une activité dans des régions où la gestion des risques devient trop compliquée».
Ce délicat équilibre entre besoin d’opérer et besoin de se protéger ouvre-t-il la voix à l’externalisation de la sécurité aux fameuses SMP (Sociétés Militaires Privées) ? « Débat qui peut vite déraper » confie en coulisse un participant. J. FERRIER rappelle qu’il peut arriver, dans certains pays comme l’Irak, que l’entreprise n’ait pas d’autre choix. Toutefois, il convient de la protection par les forces armées nationales du pays d’implantation, mais « par le biais d’accords permettant à Total de poser des conditions relatives au respect des droits de l’homme par les forces armées ». « Le recours à des personnels travaillant pour le compte de l’entreprise permet alors de s’assurer que les conditions sont correctement remplies».. JEAN-LOUIS BRUGUIERE, ancien juge antiterroriste, et CHRISTIAN LECHERVY, Directeur adjoint de la Direction Prospective au ministère des Affaires Etrangères y sont résolument opposés. Ce que les entreprises gagneraient en sécurité, elles le perdraient en image, résume en substance C. LECHERVY, pour qui ces SMP sont difficilement contrôlables. Il y a un « risque légal » ajoute J-L BRUGUIERE, que les entreprises comme les Etats s’exposent à d’éventuelles poursuites judiciaires en cas d’exactions commises par les SMP, jusqu’à la Cour Pénale Internationale en cas d’évolution de sa jurisprudence.
Dans ce contexte d’instabilité, généralement alimenté par des inégalités sociales et un manque d’infrastructures, le développement durable joue un rôle fondamental. L’entreprise ne peut pas s’implanter dans un pays sans connaître « la société, les populations et leurs cultures » précise BERNARD FRAHI, Directeur Sécurité de Sanofi-Aventis. Un constat que défend ardemment JEROME FERRIER : « le développement durable est souvent étroitement lié à la sûreté. Pour bien sécuriser nos installations et nos personnels, il faut un bon relationnel avec les communautés locales et cela doit s’appuyer sur des activités de développement durable qui s’inscrivent dans le long terme». Plus globalement se pose la question de l’éthique de l’entreprise et de ses implications pour la sécurité. « Ce qui est légal n’est pas toujours moral » défend CLARA GAYMARD, PDG de General Electric Europe, l’éthique joue donc un rôle clé. D’autant que le risque de réputation généré par un manque d’éthique est « le seul qu’on ne parvient pas à maîtriser », avance GERARD KUSTER, Directeur Ethique de GDF-SUEZ
Si la sécurité peut être externalisée, l’externalisation s’avère porteuse d’insécurité dans d’autres domaines, notamment l’informatique. Appliquée aux données numériques, à travers le cloud computing (déportation d’applications et de données d’un particulier ou d’une entreprise vers des serveurs à distance), cette externalisation s’avère économiquement avantageuse, mais suscite des inquiétudes du point de vue de la sécurité. Selon PATRICK PAILLOUX, Directeur de l’ANSSI, le cloud computing est « l’extrême de l’externalisation » et n’est pas recommandé en raison de certaines failles comme la mutualisation de serveurs avec d’autres moins sécurisés, l’indisponibilité des prestataires en cas de crise, l’absence d’archivage des données, ou la sous-traitance cachée à des prestataires inconnus. En dépit de ces limites, VIVEK BADRINATH, Directeur exécutif d’Orange Business Services, défend l’idée d’une croissance naturelle de l’externalisation à mesure qu’augmente la demande de mobilité des particuliers comme des entreprises (notamment via les smartphones). Reste qu’il est nécessaire de prendre un maximum de précaution d’usage avant d’utiliser cette technologie.
La virtualisation est également source de dilution de la sécurité pour l’entreprise. « Comment faire face à la cybercriminalité ?» questionne JEAN-CLAUDE MARIN, Procureur de Paris. Attrayante par « son rapport bénéfices Vs risques très avantageux », cette menace est encore insuffisamment prise en compte par le législateur : « il n’existe pas de définition légale de la cybercriminalité ». « Le Parquet de Paris est le seul à disposer de moyens pour s’opposer aux pirates informatiques ». Parmi ceux-là, le Procureur évoque les perquisitions informatiques, le décryptage, le rallongement de la durée de conservation des données personnelles, l’infiltration numérique ou certaines innovations introduites prochainement par la LOPPSI 2 : captation des données à distance, pénalisation du vol d’identité numérique, régime plus sévère en matière de contrefaçon par l’introduction de la « circonstance aggravante ».
Le colloque fut l’occasion d’évoquer des enjeux d’une actualité brûlante, et le nombre de participants témoigne de l’intérêt que ces enjeux suscitent dans l’univers de la sécurité.
