Cyberattaques, enlèvements, terrorisme, détournement de fonds… au fil des décennies, les agressions vis-à-vis des entreprises ont évolué. Avec la mondialisation, le XX^e siècle a vu la transformation des entreprises ainsi que le développement de leurs activités et de leurs implantations jusque dans des zones à risques. Selon une enquête mondiale annuelle du cabinet d’audit PwC (PricewaterhouseCoopers), l’évolution de l’importance de la menace terroriste sur les entreprises est passée de la douzième place en 2017 à la deuxième en 2018. Les craintes de celles-ci face aux tensions géopolitiques se situent en troisième position. Les inquiétudes relatives aux cybermenaces arrivent juste derrière. Avec la multiplication de ces risques se sont développées les directions sûreté. « La fonction était encore peu visible il y a dix ans », constate Olivier Hassid, directeur des activités de conseil en sécurité, sûreté et intelligence économique au sein du cabinet PwC. « Mais à la suite du traumatisme engendré par les attentats du Bataclan en 2015, des postes ont été créés. Désormais, les firmes françaises comblent leur retard par rapport aux sociétés américaines, anglaises et allemandes. » Un constat partagé par Gilles Leclair, ex-préfet et ancien patron de l’antiterrorisme, aujourd’hui directeur de la sûreté chez Air France : « Au sein d’entreprises vitales pour l’État comme Air France, il y a toujours eu des directions de la sécurité afin de protéger les infrastructures et les personnes. La direction de la sûreté s’est développée et s’est affirmée au fur et à mesure des crises. Mais le 11-Septembre a fait l’effet d’un sursaut. Air France est particulièrement vigilante sur les attaques, notamment à l’étranger, car nous portons le drapeau français sur nos avions. »

Jusqu’au milieu du XX^e siècle, la fonction se limitait à la gestion des conflits sociaux ou à la surveillance des sites industriels. Elle n’apparaissait en aucun cas dans les organigrammes des grands comptes. La fonction occupe désormais une place régalienne et transversale. Dans 74 % des cas [enquête du Club des directeurs de sécurité et de sûreté des entreprises (CDSE) en 2018], la filière SSC (sécurité-sûreté corporate) est rattachée à la direction générale de l’entreprise. La plupart des sociétés possèdent un département centralisé. Piloté par le CSO (Chief Security Officer), celui-ci définit les politiques et les directives, il possède un rôle opérationnel au niveau mondial (investigations, intelligence économique), et il assure un contrôle des activités de sûreté au niveau local. « La centralisation facilite la remontée d’informations et assure l’application des mêmes standards dans toutes les régions », souligne Olivier Hassid. Pour un tel poste, les grandes entreprises n’hésitent pas à recruter parmi les plus hauts fonctionnaires de la police, de l’armée ou de la gendarmerie. « Nous possédons le réseau nécessaire pour faire face à une situation de crise », explique Jean-Louis Fiamenghi, directeur sûreté de Veolia et ex-patron du Raid, unité d’élite de la police nationale. « En cas d’enlèvement dans un pays étranger, nous avons déjà les contacts avec l’ambassade et l’attaché de sécurité intérieure. » Les bons réseaux sur le terrain, une bonne gestion des situations de stress, l’habitude de coordonner une cellule de crise et de prévoir les menaces, y compris à l’internationale… des atouts essentiels. De plus, « les valeurs que nous portons dans nos missions sont similaires à celles de l’entreprise, estime Antoine Creux, directeur sûreté de la Société Générale et ancien général de l’armée de l’air. L’esprit d’équipe, la responsabilité, l’engagement et l’innovation. La sécurité est un état d’esprit qui doit être porté par tous. L’efficacité de notre action repose aussi sur une forte collaboration en interne ».

Un profil maison peut également s’avérer pertinent car la connaissance de l’entreprise est impérative. Céline Sibert a occupé de nombreux postes de direction à la SNCF. Et notamment la fonction de directrice des stratégies de crise durant trois ans, avant d’être nommée directrice de la sûreté. « Il faut une vraie appétence pour la fonction. Mais connaître l’entreprise est un « plus » incontestable. La compréhension des enjeux de sûreté est intimement liée à la gestion de l’exploitation et au cœur de l’entreprise. L’activité d’une gare est différente de celle d’une rame de train qui se situe en milieu confiné. Il est crucial de connaître le monde du transport et les équipes. Le poste comporte aussi une dimension de gestion financière et économique. C’est indispensable afin de maintenir la sécurité à un prix acceptable. » Sans omettre l’aspect managérial. « J’ai 3 000 collaborateurs au sein de ma direction, répartis sur tout l’Hexagone, avec lesquels je dois débattre des projets et travailler. La fonction nécessite de porter une vision, d’introduire une excellence opérationnelle et de veiller à la qualité de vie au travail. Le directeur de la sûreté est un dirigeant d’entreprise à lui tout seul », assure Céline Sibert.

Plus de 80 % des entreprises interrogées, selon l’étude de PwC, ont des services dédiés à l’intelligence économique. Ces cellules sont chargées d’identifier les menaces afin de les limiter, mais aussi de favoriser le développement de l’entreprise en aidant les dirigeants dans leur prise de décision. « À Kaboul, en 2013, Veolia a renoncé à un contrat. La même année, les salariés présents en Lybie ont tous été rapatriés en France. Ceux-ci n’ont pas toujours conscience du risque, car ils apportent de l’eau, élément essentiel à la population locale. Mais les terroristes ne voient pas les choses sous cet angle. Un effort de pédagogie est nécessaire auprès des expatriés », explique Jean-Louis Fiamenghi. « Nous sommes aussi des acteurs au cœur des activités de l’entreprise. Nous devons anticiper tout ce qui est susceptible de la fragiliser ou de présenter un risque. Notre mission n’est pas seulement de protéger, mais aussi de prévenir, insiste Antoine Creux. Cela implique d’anticiper la nature des risques qui, dans le secteur bancaire, ont beaucoup évolué ces dernières années. Nous devons assurer la sécurité de nos personnels à travers le monde et sur tous nos sites. Et garantir à nos clients la protection de leurs données. » Pour Alain Fustec, président et fondateur du cabinet Goodwill Management, « la sûreté est un élément de la rentabilité. Si l’entreprise opte pour un dispositif anti-intrusion, celui-ci va augmenter ses dépenses, mais réduire les risques. Il vaut mieux investir 200 000 euros par an dans la sûreté que de se retrouver avec une ardoise de 3 millions d’euros en cas de vols de données. On peut toujours prospérer sans couvrir ses risques. Mais en cas de pépin, l’entreprise court à sa perte ». Celle-ci doit donc évaluer la valeur financière du risque pour mieux le couvrir. Or, toutes les entreprises n’ont pas les moyens de s’octroyer une direction de la sûreté, notamment pour les plus petites structures. Le poste est dédié au chef d’entreprise, au responsable RH, ou au responsable de production à temps partiel. Le CDSE, créé il y a plus de 25 ans, « permet de fédérer les diverses expériences professionnelles de chacun et d’échanger sur les bonnes pratiques, de bâtir des stratégies et de faire évoluer la culture de sûreté au sein des grands groupes et des petites entreprises », explique Stéphane Volant, président du CDSE et secrétaire général de la SNCF.

Mais, déjà, les entreprises sont confrontées à de nouvelles menaces. La cybersécurité sera l’enjeu de demain. Un enjeu majeur dans un monde de plus en plus digitalisé. Dès lors, un nouveau modèle doit se mettre en place. Pourtant, le rattachement du responsable de la sécurité des systèmes d’information à la direction sûreté reste rare (17 %). La coopération et la mutualisation des compétences s’opèrent cependant. « Aujourd’hui, les profils évoluent, constate Jean-Louis Fiamenghi. De jeunes informaticiens rejoignent nos équipes. » Le CDSE ajoute que l’évolution ne doit pas s’arrêter là. Pour attirer et fidéliser les futurs directrices et directeurs de la sûreté, « la filière doit construire des parcours de carrière et accentuer la féminisation de ces métiers ». Plus que jamais, les dirigeants des entreprises se doivent d’observer les meilleures pratiques à l’œuvre aujourd’hui et les transposer au sein de leur organisation, afin de faire face aux menaces actuelles et à venir.

Trop peu de formations existent sur le marché pour les futurs directeurs et directrices de la sûreté. Certes, l’Institut polytechnique de Grenoble forme des responsables HSE (hygiène, sécurité et environnement), Mines Paris Tech propose une option « risques industriels » et deux universités à Paris ont mis en place des masters en management des risques avec un volet sûreté-sécurité. « Cela doit rester une formation complémentaire », estime Hervé Laroche, directeur scientifique du programme Executive master manager des organisations à risques de l’ESCP Europe (anciennement École supérieure de commerce de Paris). « Les jeunes n’ont pas encore d’appétence pour cette fonction. Mais l’évolution se fera forcément dans les prochaines années. » L’ESCP Europe a proposé, dès 2015, des modules sur la thématique. De son côté, l’ENSP de Saint-Cyr-au-Mont-d’Or (École nationale supérieure de la police) est une référence en la matière depuis 2011. Des cycles de formations sur mesure ont été mis en place, à la demande du CDSE, à l’adresse des acteurs du privé. Ainsi, des modules de deux jours sont déployés, une dizaine de fois par an. Au programme : le fonctionnement des divers services de la sécurité de l’État, celui de la police et de la gendarmerie, ou encore le processus judiciaire. Mais aussi la gestion de crise, les cambriolages, la sécurité des salariés expatriés ou la détection d’une infraction au sein de la société. « Depuis 2015, de nouvelles demandes affluent concernant la radicalisation notamment », constate Pascal Bastide, commissaire divisionnaire et chef du département des formations préparatoires partenariales et internationales à l’ENSP. « Politiquement, la problématique est difficile à évoquer pour l’entreprise. Mais certaines y sont confrontées. Nous sommes là pour donner des pistes, pour faire le lien avec l’inspection du travail, mais aussi avec les agences locales de renseignements comme avec le Raid. » Ces échanges avec les correspondants locaux de la sécurité permettent également de gérer au mieux les grands rassemblements de l’entreprise afin de sécuriser les lieux et les salariés. L’ENSP organise aussi des conférences et des soirées-débats sur des thèmes spécifiques comme la police technique et scientifique ou la cybercriminalité. « La cybercriminalité est un vrai sujet. Ces échanges permettent de dégager une politique de sûreté optimale », poursuit Pascal Bastide. De son côté, PwC a lancé son premier « serious game » dédié à la cybersécurité : Game of Threats™. Une simulation à la prise de décision en temps réel pour se préparer aux cybermenaces.