Davadie.bzh

Organisation, innovation, légitimité, sûreté d'entreprise, intelligence économique, éthique, forensique…

Davadie.bzh
OrganisationPartie prudentielleSûreté d'entreprise

La juridiction de la sûreté

phdbzh 0 Comments , , , , ,

L’année dernière, l’affaire Kiabi a défrayé la chronique, et pour cause ! Une comptable qui détourne 100 millions d’une entreprise, laquelle ne s’en rend compte que plusieurs mois plus tard, cela peut susciter quelques interrogations quant à la gouvernance de ladite entreprise. Un retex aura-t-il été effectué ? Excellente question ! La réponse n’est pas certaine mais, s’il a eu lieu, nul doute que ses conclusions resteront secrètes. La réputation de l’entreprise l’exige sûrement, même s’il est dommage que les entreprises ne publient pas davantage les conclusions de leurs retex, comme l’ANSSI l’avait fait après le piratage de TV5Monde. Outre l’apport que cela représenterait pour les entreprises françaises, notamment en terme de protection, ces conclusions pourraient de plus aider à préciser la juridiction de la sûreté d’entreprise, le terme juridiction étant à prendre dans l’acception qu’Abbott lui donne, à savoir la compétence technique qu’elle se réserve (Abbott, The System of Profession, 1988).

Source

Une question ancienne

Cette question de la juridiction de la sûreté d’entreprise n’est pas nouvelle, elle se trouvait déjà dans notre thèse de doctorat dans laquelle nous citions différentes études, menées notamment par le CDSE, aux résultats hétérogènes. Ce pourrait être un moindre mal dans la mesure où un ou plusieurs domaines d’action présumés de la sûreté faisaient l’unanimité, mais tel n’est pas non plus le cas : aucun élément constitutif (a priori) du périmètre de la sûreté d’entreprise n’atteint le score de 100 %. Cette situation est inquiétante car elle montre que même les praticiens ne sont pas d’accord pour définir un socle commun de la sûreté d’entreprise. Ce doit être une singularité parmi les directions de l’entreprise, et vraisemblablement une des raisons pour laquelle les salariés ne sont pas capables d’exposer ce que la sûreté peut faire pour eux et donc de demander son appui lorsqu’elle serait utile.

Cette question de la juridiction de la sûreté n’est pas anecdotique : comment en effet est-il possible d’expliquer sa plus-value à l’entreprise si on ne sait pas définir précisément et rapidement ce qu’elle fait et ce qu’elle est la seule à savoir faire ?

Lorsque, il y a quelque temps déjà, il avait été demandé à un aréopage de praticiens ce que la sûreté était la seule à faire dans l’entreprise, la réponse avait été plutôt insolite : le directeur sûreté est le seul à répondre au téléphone à 4h du matin. C’est sûrement satisfaisant pour l’ego de ceux qui ont répondu, mais insuffisant pour construire une juridiction voire une réputation.

Après un tel constat, il ne reste que deux possibilités : tout remettre à plat pour définir ce que fait la sûreté, sa juridiction et, de ce fait, ses apports à l’entreprise, ou s’affranchir du principe de réalité en expliquant que (au choix) : ce n’est pas si simple, c’est plus compliqué que cela, ça dépend tellement de la personne qui exerce ces responsabilités, tu ne peux pas comprendre car tu ne pratiques pas, etc., etc. Pour ce dernier pseudo-argument, notons au passage que les principes de la guerre n’ont pas été énoncés par le maréchal Foch, mais par le colonel Foch en 1903 alors qu’il n’avait jamais commandé de troupes au combat. Notons également, pour l’anecdote, que Foch mentionne la sûreté comme un des principes de la guerre et la définit comme visant à préserver la liberté d’action. Il s’agit des questions relatives au troupes d’avant-garde, d’arrière-garde, et de flanc-garde. Une telle définition ne serait pas absurde pour l’entreprise, d’autant qu’elle rejoint l’image donnée par Alain Juillet : le directeur sûreté c’est l’éclaireur de l’entreprise.

Hélas, au lieu de viser la simplicité, certains affirment que la sûreté a pour mission de protéger les patrimoines humain, matériel et immatériel de l’entreprise, sa juridiction découlant alors de sa mission. Nous réfutons cette définition (cf ce billet-ci et celui-là) comme les affaires Kiabi, TV5Monde, Ouest-France et tant d’autres l’ont prouvé : rencontrant de sérieux problèmes aboutissant parfois à un arrêt de l’entreprise à cause d’une malveillance physique ou cyber, à aucun moment leur directeur sûreté n’a exposé comment la situation avait été décelée et résolue. En outre, les directions sûreté ne s’occupent pas de la propriété intellectuelle de l’entreprise, de la marque et du système d’information qui sont des actifs immatériels, ce qui constitue un sérieux trou dans la raquette des trois patrimoines de l’entreprise.

Qui demeure d’actualité

Un optimiste affirmera que tout ceci n’est que du passé, que la sûreté évolue au rythme du monde actuel et que de tels faits ne pourraient se reproduire au vu des leçons tirées de ces incidents pour conclure que, maintenant, la sûreté protège bien les trois patrimoines de l’entreprise. Quelques affaires récentes montrent cependant que les faits sont têtus.

Prenons tout d’abord le piratage massif des données d’Adecco. Il y a eu un défaut avéré de surveillance de l’utilisation des codes d’accès, puisque ce sont des intérimaires eux-mêmes qui ont “signalé de petits prélèvements anormaux sur leurs comptes” les malfaiteurs prélevant frauduleusement sur les comptes des intérimaires “de petites sommes uniquement : 49,85 euros, pas plus, en dessous du seuil qui aurait déclenché une vérification bancaire” pour atteindre finalement le total de 1,6 million € en quatre jours, sur 32 000 comptes d’intérimaires. Au moins 72000 victimes ont été identifiées, ce qui n’est pas rien. Qu’a fait la sûreté d’entreprise ? Mystère. D’ailleurs lorsque l’on consulte le site internet d’Adecco, nulle mention d’un directeur sûreté parmi les dirigeants. Au passage, cela montre (une fois de plus) à quel point elle est estimée stratégique pour l’entreprise…

Passons à un autre monde, celui du nucléaire. La presse nous apprend la récente éviction d’Orano du Niger, décision qui était vraisemblablement en préparation depuis un certain temps. Orano dispose d’une directrice Sûreté, Santé, Sécurité et Environnement à laquelle nous souhaitons bon courage pour sortir d’une situation que l’on peut qualifier de complexe. Notons néanmoins qu’en septembre 2023, le président de la République avait “annoncé le rapatriement de l’ambassadeur de France à Niamey ainsi que le retrait des forces françaises présentes dans le pays, conformément au souhait des nouvelles autorités” (cf. ici). Nous pouvons nous demander quelles recommandations la sûreté a transmises au directeur de l’entreprise, voire la décision prise par le directeur si l’alerte lui avait été transmise. Cette affaire montre que si les investissements à l’étranger peuvent être rentables, il convient d’être prudent lorsqu’on s’aventure dans des pays aux usages différents de ceux de la métropole. Renault et Danone ont été rachetés pour le rouble symbolique en Russie, mais le retour de Renault est estimé à 1,3 milliards de dollars, et Danone a déjà annoncé avoir perdu 1,2 milliards € en Russie… Ne parlons pas des entreprises qui avaient encore des comptes en Iran et qui, suite aux récents événements, doivent se demander pourquoi ils ne les ont pas rapatriés plus tôt. L’Histoire montre que, dans certains cas, des alertes avaient été transmises par la sûreté à la direction de l’entreprise, laquelle n’en a eu cure.

Enfin, l’affaire Disneyland se montre riche en rebondissements et donc en questions, d’autant que la version officielle est passée d’un mariage avec une mineure de 9 ans à un simulacre de mariage pour lequel tous les figurants ne connaissaient pas l’âge de la (fausse) mariée. De quoi s’agit-il, qu’a fait ou n’a pas fait la sûreté, il est actuellement difficile de tirer au clair cette ténébreuse affaire, d’autant que, dans un temps court, une cyberattaque contre Disneyland a eu lieu. Après les faux époux Turenge, le faux mariage chez Disney montre que la France demeure le pays de l’amour… Émilie in Paris restera-t-elle pour autant à Paris ? Mystère…

Alors, puisque la la sûreté ne protège pas les trois patrimoines de l’entreprise, quelles sont ses missions exactes, quel est le socle commun à toutes les directions sûreté ? Ni la profession, ni l’actualité ne permettent de se faire une idée précise du périmètre de la fonction et de sa juridiction et, s’il est certain qu’on ne sort de l’ambiguïté qu’à ses dépens (cardinal de Retz), il n’est pas certain que l’ambiguïté soit la meilleure façon d’être légitime au sein de l’entreprise.

Sortir de l’obsession stratégique

La ritournelle est maintenant bien connue : la sûreté est stratégique ! L’inconvénient est que cette ritournelle n’est un tube que dans les milieux déjà acquis à sa cause. Il suffit, pour s’en convaincre, de visionner les entretiens donnés par les chefs d’entreprise aux différents colloques du CDSE : à chaque fois la question est amenée habilement, mais la réponse est tout aussi habile. Aucun chef d’entreprise interrogé n’a reconnu “oui, la sûreté est stratégique”. N’oublions pas non plus que cela fait au moins 2 mois, selon le canard enchaîné, qu’Air France n’a plus de directeur sûreté. Pour un poste dit stratégique, la vacance commence à être longue.

Alors, parce qu’il est vain d’attendre qu’une chimère devienne réalité, il serait plus opportun de cesser d’invoquer le caractère stratégique de la sûreté (dans quelle entreprise participe-t-elle à la définition de la stratégie ?) et de se demander si sa plus-value ne résiderait pas au niveau opératif, l’art opératif se définissant comme une discipline militaire complexe, relative à la théorie, la mise en place et la conduite d’opérations (wikipedia). Svetchine, général-major de l’armée soviétique passé par le goulag puis purgé par Staline en 1938 et considéré comme le père de l’art opératif le définit comme « une discipline militaire à laquelle est confiée la tâche centrale d’organiser l’activité militaire en  « opérations », sur la base de buts fixés, eux, par la stratégie ». Le même auteur estime que l’opération est « une action de guerre où les efforts des troupes sont dirigés, sans interruption, vers l’atteinte d’un certain but intermédiaire dans un théâtre d’opérations militaires donné. Elle est un conglomérat d’actions diverses. » Si l’on met de côté l’aspect militaire de la définition, l’art opératif vise à la conduite d’opérations afin d’atteindre des buts fixés par le stratège, en agglomérant des opérations diverses.

Cette agglomération d’actions diverses correspond parfaitement au rôle transverse que le directeur sûreté est en mesure de tenir. De plus, la nature des opérations n’étant pas figée, le savoir prudentiel du directeur sûreté (que nous avons identifié dans notre thèse) y trouverait un bon moyen de se développer. en outre, la conception d’opération (au sens que lui donne Svetchine) peut être un prolongement à la conception de manœuvres réalisées par un certain nombre de praticiens de la sûreté dans leur parcours professionnel précédent.

Nous voyons ainsi que l’art opératif nous permet de nous approcher de la définition de la juridiction de la sûreté, à savoir la compétence technique qu’elle se réserve qui consisterait en la conception et la conduite d’opérations au profit de l’entreprise.

N’est-ce pas là une piste de réflexion intéressante pour la sûreté et ses praticiens ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  +  soixante quatre  =  soixante-dix