Sécurité et Stratégie est une publication du CDSE

01

Dernier numéro : février 2009

Sécurité & Stratégie N°1

Confusion entre sûreté d’entreprise et conformité aux règlements : libres propos sur une incompréhension au plus haut niveau

Les scandales à répétition auxquels nous assistons actuellement démontrent clairement l’intérêt, pour toute entreprise, de disposer de services efficaces de sûreté/sécurité et de prévention des risques informatiques. Dans la pratique, ces deux postes sont de plus en plus liés. Se défendre contre les agressions externes, prévenir les abus ou dérives internes au nom du profit ; qui peut encore se dispenser de faire un minimum de police au sein de son organisation sans courir de risques importants ? Aussi surprenant que cela puisse paraître, nombre d’entreprises affichant des chiffres d’affaires souvent supérieurs à ceux de petits pays représentés à l’ONU se passent de telles structures. Imagine-t-on une nation, aussi modeste fut-elle, faire une telle impasse ? A l’évidence, non. Tout se passe comme si les entreprises n’arrivaient pas, contrairement aux états, à trouver naturellement en leur sein les raisons de sacrifier une part de leur budget à cette mission pourtant fondamentale. Elles n’y parviennent, le plus souvent, que sous l’effet d’une contrainte extérieure : tantôt précisément celle de l’état, tantôt celle des règlements ou quasi-règlements internationaux. La norme SOX en est, malgré ses défauts, l’exemple le plus frappant. Ce paradoxe mérite d’être analysé à la lumière de trois grands phénomènes, que nous nous proposons d’aborder librement.

Les dirigeants d’entreprise et les acteurs du business n’ont pas saisi l’objet même de la sûreté d’entreprise. Une incompréhension que démontre une récente étude de Forrester Consulting1.

Cette étude, pourtant effectuée en pays anglosaxons traditionnellement plus ouverts à ces questions que la France, met en évidence le divorce entre sûreté et le monde des affaires.

Que nous apprend-elle exactement ?

Premier constat : si tout le monde s’accorde pour dire que la sûreté/sécurité doit relever du plus haut niveau dans l’entreprise, les difficultés pour en tirer les conséquences en termes de budget et de structures sont énormes et empêchent ce principe de fonctionner réellement.

- Les organisations apparaissent comme trop complexes et transversales, ce qui empêche la sûreté de s’imposer comme une fonction incontournable. C’est d’autant plus vrai que celle-ci n’est que très rarement inscrite dans les objectifs des managers.

- Le report au plus haut niveau relève davantage de l’intention que des faits. Les comités exécutifs n’ont pas de temps à consacrer à la sûreté.

- La « business culture » n’a pas changé : les budgets sont consacrés à d’autres missions dont la rentabilité est plus démontrable. L’absence d’outils pour démontrer un retour sur investissement de la sûreté joue contre celle-ci. De façon surprenante, l’étude Forrester montre d’ailleurs que la culture anti-sûreté est encore plus vive dans les grandes entreprises, où les outils macro-économiques sont plus lourds.

- La fonction sûreté manque aussi cruellement d’indicateurs, que les financiers de l’entreprise refusent souvent, par ailleurs, pour des raisons de coût.

Deuxième constat : le monde des affaires et sûreté ne parlent pas le même langage, d’où un manque de communication.

- Le monde des affaires confie volontiers la mission sûreté/sécurité à un service (le plus petit possible) de l’entreprise, et ne veut pas s’y impliquer après l’avoir déléguée. Un peu comme si la sûreté fonctionnait sur le même mode que la production dans une usine, il existe généralement un input : un budget minimal, et un output ; la sécurité totale dans tous les domaines. Point à la ligne. D’ailleurs, et sans doute parce qu’ils évitent de s’y intéresser réellement, les acteurs économiques pensent majoritairement, selon l’étude Forrester, que la sûreté de l’entreprise est bien garantie. Ce n’est donc pas la confiance qui est en cause, plutôt la connaissance de la question.

Les services de l’audit interne et des affaires réglementaires priment sur ceux de sûreté/sécurité tant dans les faits que dans les budgets.

- Le monde des affaires s’étonne à une forte majorité (71 %) que la sûreté ne parle pas son langage, et que input et output ne soient pas mesurables comme des boîtes de conserve. S’il a conscience du phénomène, il impute celui-ci à la sûreté, ce qui n’est que partiellement exact. Troisième constat : les services de l’audit interne et des affaires réglementaires priment sur ceux de sûreté/sécurité, tant dans les faits que dans les budgets.

- Les directeurs de l’audit interne sont, en réalité, les vrais chefs de la sûreté, grâce aux budgets et pouvoirs qui leur sont donnés au titre de la conformité à des normes imposées : règlement, normes ou encore Sox.

- Le rôle des directeurs d’audit s’étend aux outils de l’information. Issus du core business, ils possèdent une légitimité supérieure pour s’imposer aux DSI. La conclusion est sans appel : ni les dirigeants, ni les business units, ni les financiers, ne comprennent la sécurité/sûreté. Incommunicabilité, langage différent, les torts sont sans doute partagés. Une chose demeure certaine : l’incompréhension de ce qu’est la sûreté conduit le monde des affaires à largement confondre celle-ci avec la conformité.

La confusion sûreté-conformité et ses risques

Cette confusion repose certainement sur une logique simple dont il ne faut pas s’étonner, surtout en France où sécurité et sûreté restent encore, dans les mentalités collectives, une prérogative de l’état. Les dirigeants agissent, au fond, rationnellement. Dès l’instant que la sûreté ne fait pas la démonstration de sa nécessité dans les composantes du succès de l’entreprise (par manque de langage adapté, d’indicateurs, en l’absence de catastrophe prétexte à action ou, surtout, de pression extérieure), pourquoi y consacrer du temps, de l’argent, et faire l’effort de la comprendre ? On prétend s’y intéresser, en faire une fonction support parce que la plupart le font… Mais tout cela relève de la mode et de l’imitation plutôt que de convictions profondes, ce qui suscite bien des malentendus. Nombre de responsables de sûreté d’entreprise, recrutés dans le secteur public, déchantent en rejoignant le privé. Ils croyaient avoir une porte d’entrée dans le business et une mission de prévention à mettre sur pied ? On les a cantonnés dans un rôle de carnet d’adresses, souvent pour « arranger » les affaires. Cette image traditionnelle, assez propre à la France car liée au rôle qu’on y a longtemps fait jouer aux chefs de la Police, n’a rien fait pour préparer le terrain à la révolution des mentalités si nécessaire aujourd’hui. Dans ce contexte, les dirigeants se veulent pragmatiques : quelles sont, se demandent-ils logiquement, les obligations légales et de marché ? Qu’en est-il des lois, des règlements et des normes comme Sox ? Quelle peut être l’influence, sur le cours en bourse de l’entreprise, des notes accordées par des agences dédiées en fonction de la conformité ? Tels sont les vrais moteurs des dirigeants dans ce domaine, le reste étant confié aux assureurs. On préfère, souvent, prendre le risque plutôt que le prévenir. Bien peu ont compris le lien entre sûreté, éthique et durabilité. Ces notions sont trop modernes pour avoir pénétré en profondeur la culture des entreprises, d’où les résultats, à tout prendre peu surprenants, de l’étude Forrester.

Il existe pourtant un risque bien réel à confondre conformité bien notée par les agences et sûreté-sécurité. Sans être exhaustifs, notons les points suivants :

- On peut être conforme aux textes sans pour autant garantir la sûreté interne. Ne pas se faire remarquer est d’ailleurs le propre du délinquant : il évite avec prudence toute faute mineure qui pourrait provoquer un contrôle dangereux. On court ainsi le risque que certains utilisent une conformité affichée comme paravent pour se livrer à des actions répréhensibles.

- Donner le contrôle aux financiers par le biais de l’audit interne conduit à privilégier une logique et une culture industrielles qui ont peu à voir avec celle de la sûreté.

- Se limiter à la conformité en délaissant la sûreté comporte enfin un risque en terme d’image, au moment précis où les logiques du capitalisme se trouvent profondément remises en cause par les effets dévastateur de la crise.

Les moyens de surmonter l’incompréhension

Plusieurs pistes peuvent contribuer à surmonter l’incompréhension dont pâtit la sûreté-sécurité. Tout d’abord, il semble indispensable de faire accepter l’idée selon laquelle l’entreprise est la résultante de plusieurs cultures : commerciale et financière, évidemment, mais également sûreté, environnement physique et social etc… Les entreprises de demain devront prendre en compte de multiples fonctions qui leur semblent aujourd’hui ne pas relever de leur cœur de métier, mais qu’elles intègreront pour durer. Ici encore ce n’est que logique, dans la mesure où la plupart des entreprises se sont largement dématérialisées : elles se sont chargées, ce faisant, d’obligations autres que les seules industrielles.
Les différences de langage peuvent certainement être réduites. Il suffit d’une volonté mutuelle de comprendre la culture de l’autre. Les dirigeants doivent apprendre ce qu’est la sûreté via un minimum de formation. En contrepartie, les responsables de sûreté devront faire l’effort d’intégrer les logiques économiques et financières de l’entreprise. La diversité des profils doit servir cet objectif de mixité des cultures.
Le problème sera, cependant, complexe à résoudre en France. La plupart des grandes entreprises s’étant recentrées sur des organisations élitistes, il reste peu de place pour les métiers intermédiaires. Ces derniers disparaissent progressivement des structures modernes, au détriment d’une diversité que des lois maladroites ont bien du mal à protéger.

Les cadres, particulièrement en région parisienne, proviennent tous des mêmes écoles de commerce et autres grandes écoles ayant copié le modèle de l’élitisme « énarchique ». Ils en retirent une assurance prédisposant mal à écouter l’autre, ou à se croire susceptible de céder à la tentation. Et pourtant…

Les cadres, particulièrement en région parisienne, proviennent tous des mêmes écoles de commerce et autres grandes écoles ayant copié le modèle de l’élitisme « énarchique ». Ils en retirent une assurance prédisposant mal à écouter l’autre, ou à se croire susceptible de céder à la tentation. Et pourtant… L’éthique doit être systématiquement valorisée. Elle semble aujourd’hui antinomique de la notion de profit, mais nul ne dit que cela durera. La crise actuelle conduira, sans aucun doute, à une réflexion sur le rôle des agences de notation et la pression qu’elles font peser sur les entreprises, poussées à prendre trop de risques au détriment du développement durable. Peut-être faut-il, enfin, rappeler au capitalisme français que la consanguinité n’a jamais rien produit de bon. Un examen attentif révèle que ce sont une trentaine d’hommes qui « font » le CAC 40. Tous se connaissent, se reçoivent, entretiennent des liens incestueux avec les politiques. Un phénomène de sous culture se développe alors : il y a la loi du commun des mortels et celle du microcosme, laquelle finit par sembler naturelle et légitime à ceux qui en font partie. A cet égard, la convocation des banquiers à l’Elysée, destinée à les faire renoncer à leurs bonus, est beaucoup plus révolutionnaire qu’il n’y paraît. Il n’existe pas de contre-pouvoir au capitalisme en France. Les conseils d’administration sont aux mains des trente citoyens déjà évoqués, de même que les conseils de surveillance. Et l’absence de fonds de pension a privé les Français de la possibilité d’exercer un contrôle plus étendu. La sûreté interne pourrait contribuer à inverser la tendance : on s’en méfie donc d’autant plus.

Dans ce contexte peu propice à sa généralisation, une sûreté interne des entreprises ne pourra se développer que sur trois éléments, proposées ici par ordre d’importance :

- Une volonté de l’entreprise de s’adapter à l’époque pour sauvegarder son avantage concurrentiel, l’éthique étant perçue par l’ensemble du public comme une composante indiscutable des sociétés. C’est le point le plus souhaitable, le moins contraignant, et celui qui aurait le plus d’effet.

- Une pression des actionnaires relayée par les agences de notation. L’élargissement de l’actionnariat populaire permettrait à celui-ci de s’organiser et de peser sur la gestion des entreprises. Les agences de notation seraient obligées d’en tenir compte dans leur grille d’appréciation. Ces agences ont à coup sûr leur part de responsabilité dans les phénomènes en cause, ce dont personne ne parle.

- Une pression de l’Etat, en dernier lieu ; car si aucunes des deux pistes précédentes ne se met spontanément en place, celui-ci devra intervenir pour suggérer avec force la venue d’une conduite « policée » des entreprises. Ceci permettrait d’éviter que le contrat social ne continue de se dégrader, ce qui deviendrait alors un problème d’ordre public. Ainsi donc, l’incompréhension à l’égard de la sûreté ne saurait perdurer sans entraîner de risque majeur.

Voir le sommaire

Pour s'abonner à la revue Sécurité & StratégiePour s'abonner à la revue Sécurité & Stratégie

Accueil | Contact | Mentions légales | Comité d’orientation | Note aux auteurs | Organisation
Acheter | S’abonner | Les derniers numéros | A propos de l’éditeur

Copyright© CDSE - Sécurité & Stratégie - 2017
Sécurité et Stratégie est une publication du CDSE