Entre apparition de nouvelles menaces et évolutions stratégiques, la sûreté des entreprises est en pleine transformation. Toujours plus centralisée, cette fonction intervient désormais sur les questions de cybersécurité, de gestion de crise et collabore de manière toujours plus horizontale avec les équipes techniques. Un vrai tournant.

Quels outils pour réussir la transformation de votre entreprise ?

D’après l’étude « 21st Annual Global CEO Survey », l’enquête mondiale annuelle de PwC menée auprès des dirigeants d’entreprises, la menace terroriste est passée de la 12ème place en 2017 à la 2ème place en 2018 parmi leurs principales sources d’inquiétude. Les tensions géopolitiques sont également classées en 3e position, tandis que les cyber-menaces sont désormais à la 4ème place des préoccupations des décideurs. Face à ces risques, la sûreté devient une branche clé des entreprises.

Pour trouver le modèle organisationnel le plus performant, elles mettent la sûreté au centre de leur activité notamment en développant des pôles de compétences dotés d’experts aux profils variés. Ainsi, plus de 50% des entreprises interrogées dans le cadre de l’étude sur la transformation de la fonction Sûreté finissent par mettre en place un département chargé du pilotage de la sûreté sur le plan stratégique, opérationnel et local.

Une organisation qui présente des avantages indéniables : meilleur reporting, pilotage plus performant, homogénéisation des politiques en matière de cybersécurité. Ce modèle a aussi le mérite d’être plus lisible en interne comme en externe.

Augmentation des interactions entre la sûreté et la cybersécurité

Conscientes de l’importance de leur bonne collaboration, les entreprises décloisonnent le travail des équipes sûreté et cybersécurité. Désormais, le directeur Sûreté peut se voir confier la responsabilité de la sécurité physique, de la sécurité de l’information, mais aussi de la sécurité digitale. Plus d’organisation silotée et de concurrence contreproductive, ces services sont maintenant amenés à collaborer efficacement, avec l’objectif commun de protéger l’entreprise des menaces extérieures.

Cette optimisation passe aussi par le recrutement de profils qui parlent le même langage. Ces dernières années, des data scientists et des spécialistes de l’Intelligence Economique ont commencé à rejoindre les directions centrales de Sûreté, renforçant ainsi la capacité de ces entités à échanger d’égal à égal avec les meilleurs spécialistes internes de la cybersécurité.

Des synergies indispensables dans un contexte international, où le nombre de données croît de façon exponentielle… A cela s’ajoute la création de Security Operations Centres (centres d’analyses de risques et de réaction) et de fusions cells, des cellules transversales de consolidation et de traitement des données. Ensemble, la sûreté et la cybersécurité forment alors la meilleure paire pour prévenir les risques internes et externes, les anticiper et gérer les potentielles situations de crise.

Un cadre de référence modernisé à adapter aux typologies d’entreprises

Les entreprises interrogées dans le cadre de l’étude semblent toutes adopter un cadre de référence pour gérer au mieux le tournant de la sécurité. Ce modèle, basé sur une approche à trois lignes de défense, a le mérite d’être progressif et clair. Et il amène aussi, logiquement, le déploiement d’une vraie culture de la sûreté au sein de l’entreprise.

  • La première ligne de défense agit au quotidien
  • La deuxième ligne de défense, au cœur de la gouvernance
  • La troisième ligne de défense pour auditer et optimiser

La meilleure défense : le développement d’une culture de la sûreté

Si les e-learnings sur la sûreté facilitent l’accompagnement des salariés, ces démarches ne sont pas suffisantes face à la recrudescence des risques, à l’échelle mondiale. Des formations en bonne et due forme sont à organiser, en commençant par les personnes à hautes responsabilités. Les experts de la sûreté doivent donner des clés à la direction pour leur permettre d’appliquer, et de diffuser en interne les bonnes pratiques à respecter comme la vigilance sur les réseaux sociaux, à l’intérieur de ses courriels (notamment concernant le phishing), et la sensibilisation aux dernières techniques des cybermalfaiteurs…

Cette approche “top-down” est un bon début mais celle-ci doit être complétée par l’identification d’interlocuteurs “sûreté” de proximité. Cet interlocuteur, identifié au sein de la structure locale, est également tourné vers la direction générale. Un rôle pivot qui permet de diffuser la “bonne parole”, les bons réflexes, mais aussi de collecter les données “remontées” par les salariés. Enfin, l’usage des serious games permet de placer les participants dans des situations proches de la réalité pour leur inculquer les bonnes notions, tandis que les “bootcamps sûreté”, à raison de quelques jours par an, renforcent les apprentissages théoriques et pratiques.

Article écrit par PwC.