Vous êtes directeur de la sécurité d’un groupe Suisse, vous êtes connu comme étant un expert de la lutte contre la cybercriminalité en Europe. Considérez-vous que les Directeurs de la sûreté doivent aujourd’hui disposer d’une sérieuse expérience en matière de cyber pour exercer leur fonction ?
La sécurité doit de plus en plus être considérée comme globale. L’entreprise attend de son directeur de la sécurité une expertise et des conseils éclairés sur l’état des menaces et l’analyse des risques auxquelles elle est confrontée. Elle attend de lui également une analyse stratégique, un plan de déploiement et des réponses techniques appropriées. Elle lui demande une vision à 360° et une révision permanente du tout. Il doit enfin disposer d’un relationnel propre à régler au plus vite les problèmes du plus courant au plus exceptionnel.
Le directeur de la sécurité peut donc apparaître comme un mouton à cinq pattes duquel on attend une compétence de visionnaire, de gestionnaire de budget, de manager, une technicité portant sur la sureté des biens, des personnes, des voyageurs, le tout avec éthique et doigté. Il sera de plus en plus l’interlocuteur privilégié des autorités administratives réglementaires (préfectures, commissions ad hoc …) et judiciaires répressives (Justice, Police, Gendarmerie, Douanes …).
Ce directeur doit donc avant tout avoir une vision claire de son champ de compétences et de son territoire d’action. Comment veut-on au XXI° siècle, à l’heure où l’entreprise est inter, intra et extra connecté, s’abstenir d’englober, dans l’analyse globale des risques d’une entreprise, le facteur « cyber ».
De manière triviale, comment protéger une entité dont on aura renforcé la garde à l’accueil, que l’on aura protégé par une série de caméras vidéos, dont les voyageurs seront bien identifiés si aucun contrôle d’accès informatique n’existe et dont les collaborateurs ne sont pas avertis des dangers liés à leur poste de travail ? Comment participer à la stratégie d’une entreprise en l’aidant à s’armer en sécurité si l’on ne connait rien du cyber espionnage ?
Pensez-vous qu’il va y avoir un rapprochement voire une fusion entre le DSI et DSE?
Un rapprochement, cela parait évident. C’est la première marche à franchir. Au même titre que le DES ne peut travailler sans collaborer avec les Ressources Humaines ou la Direction Juridique. Travailler dans sa bulle contraint le DSE a l’isolement, donc à s’éloigner du cœur de sa mission qui doit être orientée business. La sécurité au sein d’une entreprise doit avant tout favoriser le travail des collaborateurs, aider au développement de l’institution, la protéger des agressions extérieures et internes. Elle n’est pas là pour créer un climat de défiance impropre à travailler de manière sereine. Il en va de même des responsabilités du DSI. Ces deux fonctions doivent s’éclairer mutuellement, échanger de manière quasi quotidienne, partager les bonnes pratiques, s’informer des dangers et veiller ensemble. S’éloigner l’un de l’autre fragilise l’entreprise, contraint à des chevauchements ou laisse des parts entières de sécurité inoccupées.
Une fusion ? Cela paraît à terme une nécessité inéluctable, du simple fait du développement des toujours nouvelles technologies et de leur poids croissant dans l’activité de l’entreprise en particulier, de notre société en général.
Comment voyez-vous l’avenir de la sûreté au sein des entreprises ?
La sureté me parait une fonction de plus en plus incontournable. La direction de la sureté est au carrefour de toutes les activités de l’entreprise. Cette direction requiert des compétences fines dans un domaine étendu. Les contraintes légales et réglementaires sont lourdes et engagent rapidement la responsabilité des personnes morales et physiques de l’entreprise. Devoir de précaution, normalisation, devoir de contrôle des collaborateurs actuels, futurs, des fournisseurs voire des acheteurs, besoin d’auditer, de challenger, de comparer, de conseiller, souci d’éthique, connaissances juridiques, techniques, managériales, comptables, lutte contre la malveillance, le sabotage, le vol, le blanchiment, la cybercriminalité, la corruption, la contrefaçon, crainte d’attaques ciblées, d’espionnage industriel, d’enlèvements crapuleux ou terroristes…Sans aucune paranoïa, l’entreprise est le reflet de la société dans laquelle elle puise sa force et sa légitimité. Or notre société supporte de moins en moins l’imprévu, le risque, le danger. Je suis surpris de croiser encore des entreprises dépourvues de direction de la sécurité ou pour les plus petites d’un « monsieur-madame sécurité » à temps plus ou moins plein.
La direction de la sureté évoluera de manière positive si elle englobe des fonctions jusqu’alors distanciées : sureté au sens traditionnel du terme, mais aussi analyse et management des risques, lutte anti contrefaçon, veille, sécurité des systèmes d’information, sécurité au poste de travail (HSE), gestion de crise, correspondant CNIL, audits, inspection, enquêtes internes, conseil de la direction. Elle doit impérativement être un interlocuteur visible et incontournable tant à l’intérieur qu’à l’extérieur de l’entreprise. Son action doit être transparente et doit être auditable. La fonction doit à court et moyen terme intégrer le comité de direction pour assurer cette visibilité totale et entière auquel nous contraint l’environnement dans lequel nous vivons. Je préfèrerai, comme nous tous, rêver d’ un monde où la fonction perdrait tout son sens. Belle utopie !