Un essai sur les risques encourus par les sociétés, dans lequel la sûreté est appréhendée comme une partie intégrante de la compétitivité des firmes.
Bien plus qu'un manuel de management à destination des cadres dirigeants des entreprises, l'ouvrage d'Alain Juillet, Olivier Hassid et Mathieu Pellerin est un essai d'analyse des risques encourus par les sociétés. La sûreté est appréhendée comme une partie intégrante de la compétitivité des firmes. Elle doit donc être prise en compte dans le contexte de l'internationalisation de la concurrence et du développement d'une société de l'information. Preuve de l'enjeu aujourd'hui, les grands groupes français consacrent à la sûreté entre 5 et 10 % de leurs investissements et de leurs frais de fonctionnement. Pas sûr néanmoins que cela suffise.
Pour pallier aux éventuelles vulnérabilités encore faut-il s'organiser. Quel est donc le profil idoine pour mobiliser les énergies ? Les auteurs dépeignent trois parcours professionnels types conduisant aux fonctions de direction de la sûreté - terme plus approprié il est vrai que sécurité -. Le premier qui vient à l'esprit, est celui du "Business Partner", une femme ou un homme qui connaît avant tout l'entreprise et ses métiers. Cependant, force est de constater qu'il vaut mieux être facilitateur de relations (ex haut fonctionnaires passés par les cabinets ministériels) ou un enquêteur professionnel (ex agent des services de renseignement) pour décrocher un tel emploi. Pour autant disposer des compétences adéquates n'assure pas d'être positionné au mieux dans l'organigramme interne de l'entreprise. Nombre de sociétés s'interrogent sur le positionnement hiérarchique de ce collaborateur à l'image parfois "sulfureuse" voire sur les contours même de ses champs d'action. Il existe bien des hésitations à faire dépendre, par exemple, les actions d'intelligence économique du directeur de la sûreté.
Une fois positionné dans une chaîne de commandement, reste à identifier les menaces sans que le traitement de celles-ci n'entraine une insécurité paralysante de l'entreprise, pour ne pas induire un repli dangereux sur soi. Le directeur de la sûreté ne doit surtout pas être un producteur de peurs. Sa lucidité doit le mener à manager sans emphase les risques. Ils sont pour autant aussi réels que polymorphes : les violences aux personnes, souvent minorées par l'encadrement; le vandalisme; le risque de contrefaçons chinoises - 85 % des articles soupçonnés de violer des droits de propriété intellectuelle sont fabriqués en République populaire -, les fuites d'information, la corruption, la pénétration du crime organisé dans les activités économiques légales sans parler du risque réputationnel.
Pour se prémunir de tous ces dangers et bien d'autres encore, les réponses sont toutes aussi hétérogènes. Juridiques par exemple. Depuis janvier 2012, les entrepreneurs peuvent légalement classifiés leurs informations sensibles, le "confidentiel entreprise" a été créé à cette fin. Mais à bien des égards, les sociétés privées se doivent de compter avec l'État, sa vigilance voire le soutien de ses services de renseignement. Ici, les trois auteurs touchent un sujet tabou et sur lequel la littérature est des plus rarissimes. S'il s'agit d'appréhender le risque terroriste cela ne fait pas débat, bien évidemment. La lutte contre la cybercriminalité, érigée depuis peu comme une priorité entrepreneuriale, n'en suscite guère plus, tant les formes d'agression sont violentes, nombreuses, souvent orchestrées secrètement par des États (malware ou déni de services par exemple) et les enjeux financiers non négligeables . Pour faire face à ce nouveau fléau, entreprises et administrations peuvent faire cause commune. Encore faut-il que les entreprises se dotent de structures dédiées à la sécurité des systèmes d'information, ce qui n'est pas toujours le cas. Un quart des entreprises françaises du SBF 120 n'aurait ainsi pas de véritable directeur de la sûreté.
Dans ce contexte, il appartient à l'État d'exprimer un intérêt beaucoup plus grand à la sûreté de "ses" entreprises. Cela devrait passer, comme les auteurs le suggèrent, par une réglementation nationale relative à la protection des systèmes d'information mais aussi par la définition de normes globales de type ISO en matière de management de la sûreté. En matière de police, il conviendrait également d'adapter certaines procédures notamment les cyber-perquisitions. Une réflexion plus générale sur les procédures simplifiées de dépôts de plaintes pour les entreprises ainsi que le principe de guichet unique mériterait d'être engagée. Il en est de même pour la généralisation des référents "sécurité des entreprises" et "intelligence économique" au sein des commissariats de police et brigades de gendarmerie, voire leur fusion, pour inciter à des démarches volontaires de sécurité et mieux suivre les plaintes déposées. A n'en pas douter, si les mécanismes administratifs proposés ne susciteront pas de grands débats, il pourrait ne pas en être de même pour l'adoption d'une nouvelle politique pénale bien que les qualifications de la plupart des méfaits en abus de bien sociaux et le faible niveau dissuasif des sanctions sont des constats assez consensuels.
Parmi les actions de l'État recensées par A. Juillet (ex-Haut responsable pour l'intelligence économique auprès du premier ministre), O. Hassid (directeur de la revue Sécurité et stratégie) et M. Pellerin (chercheur à l'Institut français de relations internationales) pour aider les entreprises, son attention grandissante à la protection des installations critiques. Une politique qui s'accompagne d'ailleurs d'un volet communautaire structurant comme en témoignent des directives européennes et les mécanismes d'alerte de l'Union . A contrario, on peut douter du bienfondé de légitimer puis légaliser par ce biais les "entreprises de service de sécurité et de défense", manière pudique de dénommer les sociétés militaires privées. Néanmoins, à mesure que s'amplifient les synergies entre l'État et les entreprises privées, c'est toute une politique d'influence qui s'établit en France comme à l'échelle européenne . Autant d'acteurs nouveaux qui incitent les entreprises à s'appuyer sur des cabinets de conseils spécialisés et prônent de véritables partenariats entreprises - services de renseignement. Un sujet sur lequel l'État et ses plus hauts responsables se montrent très peu diserts. On notera d'ailleurs qu'ils sont déjà extrêmement très réservés pour évoquer publiquement les politiques protectrices de contre-ingérence, sur les aspects plus offensifs du partage des renseignements économiques et financiers, ils sont totalement muets sur toute connivence, comme si cela n'existait pas. Toutefois, à lire la presse étrangère, on peut en douter pour nombre de secteurs stratégiques tels l'armement, le nucléaire ou le transport aéronautique. Reste donc à ouvrir le débat, c'est ce que tente de faire, à l'un ou l'autre chapitre, cet essai. Il apparaît ainsi que pour limiter les risques criminels, les collaborations services de renseignement - entreprises semblent bien imparfaites. Le plus souvent, elles sont souvent soumises aux aléas des relations interpersonnelles entre les directeurs de sûreté et les responsables au sein des services de renseignement concernés. Dans ce contexte, comment dépasser les relations individuelles et bâtir une véritable politique qui servent l'État et la prospérité des opérateurs économiques nationaux ? Jusqu'où l'État doit-il s'impliquer et comment, puisqu'il ne lui appartient pas de biaiser par ses actions la concurrence telle qu'édictée par les règles de l'Organisation mondiale du commerce ?
Canaliser les actions diligentées par les directeurs sécurité est certainement bienvenu notamment pour qu'ils ne recourent pas à des méthodes prohibées par la loi mais cela suppose que les autorités étatiques se chargent avec d'avantage d'exhaustivité de mener les investigations nécessaires pour infirmer ou confirmer la crédibilité d'une menace identifiée par un acteur économique privé voir public. Pour l'heure, l'État ne s'est pas publiquement organisé à cette fin. Il apparaît même réfractaire à se charger de vérifier des "signaux faibles". Y remédier pourrait passer par exemple par l'interception à des fins économiques avec l'aval de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) des communications. Pas si simple sur le plan légal et éthique. Dès lors, faut-il considérer l'intelligence économique comme une composante de la sûreté de l'entreprise et de l'économie de la Nation ? Si oui, l'État se devra de contribuer plus directement aux objectifs commerciaux des entreprises mais en vertu de quelles priorités, selon quelles modalités et peut-il le faire avec la même dextérité pour les grands groupes industriels et les PME/PMI ? Faudra-t-il aussi inclure dans la communauté nationale du renseignement de nouvelles administrations telles l'Office central de lutte contre la criminalité liée aux technologies d'information et de communication (OCLCTIC), la Brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI) ou encore l'Agence nationale de sécurité des systèmes d'information (ANSSI), pour ne citer que quelques exemples ? Ces questions ne sont pas encore débattues, tout au moins sur la place publique.
Par mimétisme avec les pratiques américaines, devrons-nous également nous doter d'un organisme central tel l'Overseas Security Advisory Council (OSAC) créé en 1985, qui apporte un soutien public continu aux entreprises en matière de sûreté et dispose de bureaux à travers le monde. Cet exemple laisse transparaître la nécessité de préciser les modus operandi pour de nouveaux partenariats public/privé visant à faire de la prospective des risques. Dans ce contexte, on peut regretter avec nos trois auteurs la disparition, sous l'administration Sarkozy, de deux instruments du ministère de l'Intérieur : la Délégation à la prospective et à la stratégie (DPS) et la Direction de la prospective et de la planification de sécurité nationale. Si ce constat nous rappelle que l'État doit encore se réformer pour aider les entreprises, il n'en demeure pas moins que leur sécurité et celle de leurs employés leur incombe en premier. C'est pourquoi, ce manuel souligne à juste titre la responsabilité civile de l'entreprise et ses obligations de sûreté et pas seulement de moyens comme l'a édicté la jurisprudence du tribunal de grande instance de Paris après la prise d'otage de Jolo. Dès lors, gérer les risques criminels en entreprise, c'est aussi prévenir la mise en cause de l'entreprise et de ses dirigeant
