Davadie.bzh

Organisation, innovation, légitimité, sûreté d'entreprise, intelligence économique, éthique, forensique…

Davadie.bzh
Partie norméePartie prudentielleSûreté d'entrepriseThèse

Mesurer la sûreté

phdbzh 0 Comments , , , , , ,

Par rapport aux autres directions de l’entreprise, la sûreté présente plusieurs particularités dont celle de voir son activité peu ou mal mesurée. Les entretiens menés avec des praticiens à l’occasion de notre thèse de doctorat comportaient la question suivante : À combien estimez-vous les pourcentages d’actions réussies, mitigées, échouées ?. Les réponses obtenues furent très variées mais tous les résultats reposaient sur une estimation et non une démarche scientifique. En effet, aucune personne interrogée n’a été en mesure d’exposer les métriques à partir desquelles les résultats (compris entre 66% et 100%, cf. p 366) ont été obtenus.

On pourrait néanmoins penser qu’un jour, un dirigeant d’entreprise demande à son directeur sûreté sur quels indicateurs il s’appuie pour affirmer que l’entreprise est en sûreté. Cet échange semble être à la limite de la science-fiction car, si on en croit les déclarations de M. Roux de Bézieux au dernier colloque du CDSE (à partir de 15’20) : “j’ai quand même l’impression qu’une grande majorité des dirigeants des entreprises que j’ai rencontrés est consciente qu’il y a une montée des risques. Par contre, tout le monde n’a pas pris les mesures, tout le monde n’a pas réorganisé l’entreprise ne serait-ce que parce que ça coûte cher. Parce que, et il faut le dire, mettre en place une vraie stratégie de sécurité dans une entreprise, ça coûte et ça ne rapporte pas, comme tout système de prévention des risques.” Une fois les paradoxes relevés (il nous livre une impression et non une certitude, les patrons sont conscients que les risques augmentent mais ils ne prennent pas de mesures), reconnaissons qu’il n’a pas totalement tort, comme n’avaient pas tort les responsables de la communauté autonome de Valence jusqu’en octobre 2024 avant les inondations. Ou comme les responsables de la société du tunnel du Mont-Blanc, jusqu’au procès consécutif à l’incendie de 1999. Rappelons que le tribunal condamna le président de l’entreprise à deux ans de prison avec sursis et 15000 € d’amende et le directeur de la sécurité écopa de 30 mois de prison, dont six mois ferme, peine confirmée en appel. Il est vraisemblable que toutes les leçons de cette affaire, en termes de responsabilité et d’indicateurs de la sécurité n’ont pas été toutes tirées et retenues.

Puisque “prudence est mère de sûreté”, les dirigeants d’entreprise seraient bien avisés de mettre en place non seulement une direction sûreté, mais aussi des indicateurs leur permettant de savoir si leur entreprise est bien préparée à affronter les risques, et bien protégée face aux menaces existantes. Ce qui revient à se demander si la sûreté est mesurable. Répondre à cette question nécessite de connaître la nature de la sûreté, sujet très complexe. En effet, dans la mesure où la sûreté est à la fois normée et prudentielle (cf. la même thèse de doctorat) la réponse ne peut pas être univoque. Cependant, l’apparition subite de deepseek nous a poussé à demander à cette IA quels pouvaient être des indicateurs de la sûreté d’entreprise. Ses résultats sont loin d’être absurdes comme on peut en juger ci-dessous.

Source

Ce que nous dit l’IA

Les indicateurs de performance (KPI, ou Key Performance Indicators) pour la sûreté d’entreprise sont essentiels pour mesurer l’efficacité des mesures de sécurité mises en place, identifier les points à améliorer et démontrer la valeur de la fonction sûreté à l’organisation. Voici une liste des meilleurs indicateurs de performance pour la sûreté d’entreprise, classés par catégorie :

1. Indicateurs de Sécurité Physique

  • Taux d’incidents de sécurité : Nombre d’incidents (vols, intrusions, actes de vandalisme) sur une période donnée. Formule : (Nombre d’incidents / Période) × 100.
  • Temps de réponse aux incidents : Temps moyen entre la détection d’un incident et l’intervention de l’équipe de sécurité.
  • Taux de résolution des incidents : Pourcentage d’incidents résolus avec succès. Formule : (Incidents résolus / Total des incidents) × 100.
  • Taux de conformité aux contrôles d’accès : Pourcentage de conformité aux procédures de contrôle d’accès (badges, biométrie, etc.).

2. Indicateurs de Cybersécurité

  • Nombre de cyberattaques détectées et bloquées : Mesure l’efficacité des systèmes de protection contre les menaces numériques.
  • Temps moyen de détection des menaces (MTTD) : Temps nécessaire pour identifier une menace après son apparition.
  • Temps moyen de réponse aux incidents (MTTR) : Temps nécessaire pour contenir et résoudre une cyberattaque.
  • Taux de vulnérabilités corrigées : Pourcentage de vulnérabilités identifiées et corrigées dans les systèmes informatiques. Formule : (Vulnérabilités corrigées / Total des vulnérabilités) × 100.

3. Indicateurs de Gestion des Risques

  • Taux de couverture des risques identifiés : Pourcentage des risques identifiés pour lesquels des mesures de mitigation ont été mises en place. Formule : (Risques couverts / Total des risques) × 100.
  • Nombre d’audits de sécurité réalisés : Fréquence et qualité des audits internes et externes pour évaluer la conformité et l’efficacité des mesures de sécurité.
  • Taux de conformité aux réglementations : Pourcentage de conformité aux normes légales et réglementaires (RGPD, ISO 27001, etc.).

4. Indicateurs de Formation et Sensibilisation

  • Taux de participation aux formations : Pourcentage d’employés ayant suivi les formations obligatoires en matière de sécurité.Formule : (Nombre de participants / Total des employés) × 100.
  • Taux de réussite aux tests de sensibilisation : Pourcentage d’employés ayant réussi les tests de sensibilisation à la sécurité (ex : phishing, bonnes pratiques).

5. Indicateurs de Gestion de Crise

  • Temps de rétablissement après un incident : Temps nécessaire pour revenir à un fonctionnement normal après un incident majeur.
  • Taux de réussite des simulations de crise : Pourcentage de simulations de crise (ex : incendie, cyberattaque) menées avec succès.

6. Indicateurs Financiers

  • Coût des incidents de sécurité : Coût total des incidents (pertes financières, réparations, amendes, etc.). Permet de justifier les investissements en sécurité.
  • Retour sur investissement (ROI) de la sécurité : Mesure l’efficacité des investissements en sécurité par rapport aux pertes évitées. Formule : (Gains liés à la sécurité – Coûts de la sécurité) / Coûts de la sécurité.

7. Indicateurs de Satisfaction

  • Satisfaction des employés : Mesure la perception des employés concernant les mesures de sécurité (sondages, feedback).
  • Satisfaction des parties prenantes : Mesure la confiance des clients, partenaires et actionnaires dans la sécurité de l’entreprise.

Comment Utiliser Ces Indicateurs ?

  • Suivi régulier : Analyser les KPI de manière périodique (mensuelle, trimestrielle, annuelle).
  • Benchmarking : Comparer les résultats avec ceux d’autres entreprises du même secteur.
  • Amélioration continue : Utiliser les données pour ajuster les stratégies de sécurité.

En résumé, ces indicateurs permettent de piloter la sûreté d’entreprise de manière proactive et démontrer son impact sur la protection de l’organisation. Si tu as besoin d’aide pour mettre en place ces KPI, n’hésite pas à demander ! 😊

Ces propositions d’une intelligence artificielle sont discutables et critiquables, mais ils devraient cependant inciter la profession à se pencher sur la question. En effet, il sera de plus en plus difficile de continuer à esquiver la question en affirmant que la sûreté est un art, donc non mesurable, alors que des programmes informatiques sont capables de répondre à cette question.

La part mesurable de la sûreté

Revenons maintenant à la sûreté vue non plus par une IA mais par les humains, à savoir composée d’une partie normée et d’une partie prudentielle. La mise en œuvre de la partie normée de la sûreté peut être mesurable, car cette partie constitue ce qui s’apprend, s’enseigne, et concerne ce qui est connu et maîtrisé. Ainsi la sécurité des emprises de l’entreprise est mesurable car il est possible de savoir combien d’intrusions ou de tentatives d’intrusion ont eu lieu dans un intervalle de temps donné (indicateur n° 1 fourni par deepseek). Mais encore faut-il pour cela avoir envie de le mesurer et donc avoir auparavant adopté et mis en œuvre une politique dans l’entreprise. Dans ces intrusions peuvent figurer celles de manifestants lors de l’assemblée générale de l’entreprise. Dans ce cas précis, les résultats de la politique mise en œuvre, l’implication des responsables et des exécutants se voient immédiatement. La mesure est donc facile et ses résultats parlants car le résultat est simple à mesurer : intrusion ou absence d’intrusion.

Cependant, les situations binaires (succès/échec) ne sont pas les seules à être mesurables. D’autres peuvent l’être, bien que plus nuancées, une partie seulement étant mesurable. Ainsi de l’évacuation d’expatriés dans un pays étranger. Si l’on prend le cas de Fukushima (11 mars 2011), les entreprises qui y ont été confrontées ont réussi cette mission (indicateur 5 de deepseek), mais le degré de satisfaction et de sérénité des expatriés évacués pouvait varier (indicateur 7 de deepseek). Ainsi, s’intéresser à un élément mesurable (tous les expatriés de l’entreprise ont-ils été évacués ?) peut faire surgir un élément aux résultats variables (l’évacuation s’est-elle déroulée dans des conditions optimales ?) selon que la question était posée aux responsables de l’évacuation ou aux évacués.

Ce dernier cas nous montre que l’indicateur, se voulant construit sur des éléments réputés objectifs, peut voir son objectivité remise en cause. Ce qui soulève la question de sa diffusion et, une fois de plus, celle de l’interprétation du résultat : comme le résultat va être interprété, peut-il y avoir des erreurs d’interprétation ? Poussant le raisonnement, nous pouvons interroger les KPI : sont-ils des miroirs fidèles de tout ce qui concourt au succès, ou masquent-ils des éléments qui ne se mesurent pas, bien que concourant à l’efficacité ? En focalisant l’attention sur des chiffres, on privilégie le quantitatif risquant ainsi d’avoir une vision myope, court-termiste et déshumanisée de la performance. Ces indicateurs chiffrés peuvent également donner l’illusion du contrôle en faisant croire qu’agir sur les indicateurs améliorera la situation.

La part non mesurable de la sûreté

Outre sa partie normée et enseignable, la sûreté se compose d’une partie prudentielle. Le praticien agit de façon prudentielle lorsqu’il doit faire appel à ses connaissances théoriques et pratiques pour régler la situation insolite et peu fréquente dans laquelle se trouve l’entreprise (cf. thèse p 346). Ces situations telles que la résolution de prise d’otages par exemple ne peuvent être mesurées du fait de leur caractère unique et inédit. Mesurer la réussite de ces situations nécessiterait de pouvoir rejouer la même séquence dans les mêmes conditions mais avec une autre personne aux commandes. Les crises partagent avec les prises d’otages cette caractéristique. Nous voyons ainsi la difficulté de mesurer l’action de la sûreté dans ces situations, car même si le directeur sûreté est aux commandes de la crise, il n’est pas le seul à agir sur elle pour la faire cesser. Une difficulté supplémentaire à propos des crises réside dans le fait que le débat à leur sujet, une fois qu’elles sont passées, est très difficile. Le plus souvent le retour d’expérience n’est pas organisé, en invoquant des prétextes plausibles (manque de temps), ou il l’est de manière convenue (cela ne s’est pas si mal passé, nous ferons mieux la prochaine fois), ce qui nuit à l’amélioration de la réponse de l’organisation en cas de nouvelle crise. Il serait donc injuste de rendre le directeur sûreté responsable d’une mauvaise gestion de crise si les séances de retours d’expérience n’ont jamais lieu.

Nous touchons ainsi du doigt un des paradoxes de la sûreté : sa raison d’être est de s’occuper des événements sortant de l’ordinaire de l’entreprise. Les prises d’otages, les évacuations de ressortissants, la déstabilisation d’États dans les pays desquels l’entreprise est installée ne sont pas des événements courants, mais c’est principalement dans ces situations que la sûreté est attendue. L’action du praticien doit être de ramener l’entreprise dans des voies qui lui sont plus familières : Il engagera alors, par ses paroles et ses actes, la réputation de l’entreprise, et incarnera ainsi la volonté de la profession (thèse p 361). Ce retour à une situation familière ne pourra pas toujours être mesuré, mais il sera estimé notamment par le dirigeant qui donnera son ressenti. C’est ainsi qu’un sentiment, en l’occurrence celui du dirigeant, qui repose sur des bases scientifiques discutables, sera retenu comme indicateur de succès.

Afin d’éviter de dépendre de l’avis subjectif d’un dirigeant, la transformation de situations prudentielles en situations normées est envisageable. Cela nécessite un travail de théorisation qui reste cependant assez proche des leçons tirées par le commandant Bigeard après le repli du 6° BPC à Tu Lé (octobre 1952) tel qu’il l’écrit dans Pour une parcelle de gloire : ce repli illustre parfaitement ce qui est connu sous le terme de mission de “freiner”. Un travail de théorisation n’est vraisemblablement pas faisable pour toutes les situations prudentielles que les directeurs sûreté rencontreront, mais la réduction du nombre de ces dernières est de nature à diminuer l’incertitude au moment où l’action démarre.

Conclusion

Même si une intelligence artificielle nous donne des éléments d’appréciation intéressants, mesurer la sûreté restera un exercice difficile, ne serait-ce que parce que, outre sa partie prudentielle, la sûreté est souvent vue de manière subjective. Une entreprise disposant de magasins de vente pourra ainsi estimer que la sûreté s’améliore parce que le nombre de caissières agressées diminue, mais l’avis des victimes sera d’autant plus différent que leur incapacité temporaire de travail sera longue.

Nous avons émis l’hypothèse que la transformation de situations prudentielles, dépendantes totalement de la personne qui les traite, en situations normées pourrait accroître le domaine mesurable de la sûreté. Nous estimons que pour qu’elle réussisse, cette transformation s’accompagnera de la mise en place de méta-règles à l’instar de celles de la fiabilité (définies par Morel et Oury, cf. thèse p 156) qui permettront de dégager au fur et à mesure du temps une doctrine indépendante de celui qui la mettra en œuvre. Il est pour cela nécessaire que la profession s’empare du sujet et traite à la fois la question des méta-règles et celle des indicateurs. Ce pourrait être un bon sujet de réflexion et de travail pour l’une ou l’autre des associations professionnelles de directeur sûreté.

Terminons avec les méta-règles. Il pourrait nous être opposé que, du fait de son caractère prudentiel et des situations uniques qu’elle traite, la sûreté ne peut être résumée par des méta-règles. Il est facile de réfuter cet argument : la science forensique qui a pour objectif d’aider à résoudre les crimes l’a fait avec la déclaration de Sydney. Et pourtant, peu de crimes se ressemblent (sauf peut-être s’ils sont l’œuvre d’un tueur en série) et surtout, chaque trace est unique.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

quatre-vingts un  −  soixante-dix quatre  =