Monsieur Jean-Paul Bonnet, après avoir dirigé la sécurité d’Alcatel pendant huit ans, vous êtes depuis six ans responsable sécurité globale de BNP Paribas. Au cours de ces dix dernières années, constatez vous des évolutions dans le métier de la sécurité et dans les problématiques à gérer ?
Dans votre question, il y a plusieurs éléments qui méritent que l’on y prête attention rapidement.Tout d’abord, ce qui a considérablement évolué en 10 ans, ce sont les processus mis en œuvre par les entreprises pour exercer leurs activités commerciales. Et comme ce sont ces processus qui doivent être sécurisés, le monde de la sécurité s’est adapté en fonction, parfois de façon subie, parfois par anticipation ou en accompagnement des changements. Ensuite, vous évoquez le mot « métier », je pense justement qu’au cours de ces dernières années, la sécurité est réellement devenue un métier reconnu au sein de l’entreprise, il s’agit là vraiment d’un élément majeur et nouveau. Enfin, la sécurité a toujours été une activité de gestion de risques, quelque soit le domaine de l’activité commerciale, il n’y a pas de changements sur le fonds ; si les problématiques à gérer évoluent, cela est du aux changements évoqués en introduction . Il est impossible d’être exhaustif sur ce sujet, je ne vais donc citer que quelques exemples de ces nouveaux éléments à prendre en compte : l’extension de l’entreprise au delà de ses périmètres historiques (partenariats, externalisations, internationalisation, mobilité des collaborateurs…), l’informatisation de toute l’entreprise, l’évolution des usages et des technologies et la nécessité d’ouvrir des accès permanents entre le périmètre de confiance et l’extérieur, l’accélération des cycles technologiques, une jurisprudence confirmant une tendance nette à la non acceptation des failles de sécurité ou des interruptions d’activité et à la responsabilisation de l’entreprise et donc de ses représentants sur ces sujets de sécurité. C’est cela qui m’amène à dire que le modèle de sécurité historique de l’entreprise « forteresse assiégée » a vécu et que celui de l’entreprise «hub d’aéroport international » est plus pertinent.
Vous êtes passé de l’industrie au secteur bancaire. Constatez vous des grandes différences entre ces deux secteurs ? Peut-on dire qu’il y a une spécificité en matière de sécurité dans le domaine bancaire ?
Les différences entre les 2 secteurs d’activité sont évidemment considérables. Je ne vais pas prétendre les résumer en quelques lignes. Comme je l’ai dit en réponse à la question précédente, ce sont les processus de l’activité de l’entreprise qui sont à sécuriser. Comme il y a des spécificités propres à tous les secteurs d’activités, les actions de sécurisation qui en découlent évoluent en fonction, avec des particularités propres à chaque secteur. De plus, les régulations et les contrôles, les lois et règlements, entre autres, influent également sur la façon d’aborder ces questions de sécurité. Au fil du temps, le secteur bancaire s’est doté de nombreuses règles internationales, régionales et nationales, je ne peux donc pas toutes les citer ici. Par exemple, chaque pays a sa propre définition des notions de secret bancaire, de protection des données clients et d’identification des personnes, d’exigences de continuité d’activité, de sécurisation des personnes et des locaux contribuant à la mise à disposition des espèces… Sur ce dernier point, la France est en train de faire évoluer considérablement ses réglementations sur le transports de fonds. Sur la protection des données, l’Europe est en train de se doter de nouveaux textes. Je dois également, bien entendu, citer le Comité de Bâle (ce Comité se compose de représentants des banques centrales et des autorités prudentielles des principaux pays du monde) dont une des premières missions est le renforcement de la sécurité et de la fiabilité du système financier. Les accords de Bâle ont donc une influence directe sur nos activités que je peux illustrer très simplement par un exemple: chaque année, le coût de tous les incidents de sécurité doit être enregistré et comptabilisé de façon à pouvoir déterminer le capital immobilisé en vue d’incidents potentiels lors de l’exercice suivant. Il y a donc bien une spécificité en matière de sécurité dans le domaine bancaire mais ce constat est, sans aucun doute, valable pour tout autre domaine d’activité, que cela soit du à des réglementations ou lié à l’environnement et les modalités d’exécution des activités.Si l’on considère les mesures de sécurité organisationnelles, fonctionnelles ou techniques listées dans les normes internationales faisant référence, nous pouvons bien entendu considérer qu’elles s’appliquent à toute entreprise. La différence apparaît essentiellement dans l’importance accordée à chacune de ces mesures ou dans la façon de les mettre en œuvre, en fonction des enjeux, des priorités, des objectifs. De même, des menaces définies de façon génériques peuvent être communes à différentes entreprises, ce n’est pour autant qu’elles font peser les mêmes risques sur chaque entreprise. Il y a donc bien non seulement une spécificité de la sécurité bancaire mais également une spécificité liée au Groupe BNP Paribas, à son histoire, son écosystème, ses principes d’organisation et de fonctionnement.
Les périmètres de BNP Paribas ont évolué au cours de ces dernières années, notamment avec l’intégration de Fortis. Vous avez été conduit à réorganiser vos services et à revoir votre organisation. Pouvez vous nous en parler ? Quels sont les effectifs concernés ?
La réorganisation de la fonction sécurité globale du Groupe n’est pas liée directement à l’intégration de Fortis ou d’autres entités. Les objectifs principaux de cette réorganisation, mise en œuvre en 2012, étaient de rendre facilement lisibles et compréhensibles nos activités tant au sein du Groupe que vis à vis de nos interlocuteurs externes, en renforçant la sécurisation de bout en bout du Groupe BNP Paribas donc en dotant cette Fonction Sécurité Globale des moyens d’action nécessaires à l’exercice de ses missions. Cette nouvelle organisation répond ainsi mieux aux objectifs et aux principes d’organisation du Groupe.
En résumé, nous avons donc tout d’abord une activité de définition des exigences et des politiques de sécurité et de pilotage de la fonction sécurité, ensuite une activité de suivi et d’accompagnement des entités (apport d’expertise et de conseil, suivi de l’intégration de la sécurité dans les projets…) et enfin des activités opérationnelles que nous réalisons nous mêmes (veille, gestion de crise et coordination lors de la gestion des incidents, assistance opérationnelle auprès des entités pour aide à l’évaluation des menaces, des vulnérabilités et des risques encourus…) , tout cela de façon coordonnée sur l’ensemble des domaines regroupés au sein de la fonction sécurité globale, à savoir la sécurité physique, la sécurité des systèmes d’information et la continuité d’activité.
De gros efforts de professionnalisation de la fonction et donc des acteurs sécurité ont été entrepris, cela concerne un peu plus de 50 collaborateurs dans le département de la fonction centrale dont je suis responsable et environ 1000 collaborateurs pour l’ensemble du Groupe qui a engagé depuis plusieurs années des actions pour constituer un réseau d’acteurs chargé d’animer le déploiement de la Politique de sécurité. Il dispose désormais d’une filière structurée dont la professionnalisation doit bien entendu être encore renforcée, c’est ce à quoi nous allons nous attacher dans les mois à venir.