Sécurité et Stratégie est une publication du CDSE

05

Dernier numéro : mars 2011

L’entreprise face aux fuites de données

L’entreprise face aux fuites de données

Enquête : Profils et trajectoires des directeurs sûreté

L’actualité de ces derniers mois a révélé au grand public l’existence des directeurs de sûreté. Toutefois, la réalité de ce que recouvre leur fonction reste méconnue y compris pour certains observateurs avertis. Un mal sans doute réparé grâce au travail réalisé pour le CDSE par Frédéric Ocqueteau, chercheur au CNRS. Il nous présente ici les résultats exclusifs de son étude et nous plonge dans le monde discret de la sûreté d’entreprise pour identifier les profils, les compétences et les missions de ses acteurs. Tâche d’autant plus ardue en raison de la diversité de leurs profils et de l’absence de vision partagée de ce qu’est la « sécurité ». L’auteur voit d’ailleurs dans cette diversité un frein à la stabilisation de l’identité professionnelle des directeurs de sécurité-sûreté.

Frédéric Ocqueteau rappelle que l’activité du directeur dépend de la structure, de la taille et du secteur d’activité de l’entreprise qu’il est chargé de protéger, mais également de son parcours individuel. Chaque directeur, selon son appartenance de corps et sa trajectoire personnelle, peut valoriser un savoir-faire spécifique et donc modeler la sûreté de l’entreprise pour laquelle il officie, selon qu’il vient d’une des trois filières identifiées : la filière privée ou voie interne, celle du ministère de l’Intérieur, et celle des militaires et des gendarmes. Conclusion de l’auteur : il semblerait qu’en dépit d’une apparente « civilianisation » du monde de la sécurité, l’expertise des anciens militaires et gendarmes continue d’être privilégiée par les entreprises.

Mieux appréhender qui sont aujourd’hui les directeurs de sûreté dans les entreprises devrait aider à mieux comprendre ce qu’ils font, c’est-à-dire à mieux évaluer l’impact de leur action. Alors que chacun perçoit le caractère de plus en plus incontournable de leur présence dans l’entreprise, beaucoup d’idées préconçues circulent encore sur leur rôle réel. L’art de protéger les entreprises vulnérables contre les risques et menaces internes ou externes est devenu un souci majeur, mais il est encore peu interrogé et rarement évalué empiriquement à partir de ceux-là mêmes à qui on en donne le mandat (Hassid, Masraff, 2010).

Or, contrairement à une croyance répandue parmi beaucoup de juristes de l’Etat, la mise en sûreté (security) de l’entreprise fait en réalité l’objet d’investissements normatifs encore assez peu contraignants. Hormis le domaine de la sécurité du travail et de l’incendie (safety), domaine très consolidé par le poids de l’histoire de l’Etat-providence (Ewald, 1986), la mise en sûreté reste une prérogative assez largement autonome. Les causes et conséquences de cette liberté relative engendrent certes des pratiques protectrices réelles, mais assez peu standardisées. Puisque la perception des risques et des dommages demeure un domaine d’appréciation souverain largement subjectif (produisant notamment des estimations différentes de la gravité relative des pertes liées aux actes malveillants ou insécures), les coûts d’investissements consentis pour limiter la survenue des risques ou leurs conséquences négatives fluctuent énormément d’une entreprise à l’autre. Ils fluctuent surtout au gré des capacités de financements spécifiques que leurs dirigeants sont prêts à investir.

A partir des années 2000, une littérature d’inspiration managériale très finalisée sur la gestion des risques en entreprise a néanmoins commencé d’apporter d’utiles repères à une meilleure connaissance du terrain de la mise en sûreté des entreprises. Ce savoir cumulatif se déploie généralement au sein de deux grandes inspirations déterministes : ou bien, le besoin de prévenir des menaces émergentes perçues comme de plus en plus préoccupantes explique l’appel à des agents aux compétences particulières pour les gérer. Ou bien, la taille et la nature juridique de l’entreprise expliquent la nécessité de créer un poste mal défini auparavant dans l’organigramme, le nouveau responsable étant tenu de prouver la contribution de la sécurité-sûreté à la productivité générale de l’entreprise jusqu’à répandre progressivement l’idée qu’elle puisse tirer profit des « non pertes ». Nous vivons en effet un moment de basculement historique où la sûreté empirique de l’entreprise devient une production pensée comme telle par le truchement d’agents dédiés à son office, et dont les meilleurs propagateurs sont en principe des hommes de business certes encore un peu égarés, mais plus offensifs que leurs homologues issus des services publics.

La structure des entreprises influe considérablement sur les modalités d’organisation de la sûreté. Il est clair que plus les entreprises sont de taille conséquente, plus les modes de gouvernance et de pilotage de la sûreté sont élaborés et différenciés : la sûreté ne peut être managée et incrémentée de la même façon selon que l’on raisonne par exemple à partir du top management au sein de la maison mère ou de la holding, ou en bottom up management, au niveau des filiales. Pour être encore plus précis à ce sujet, il convient de distinguer entre les différentes configurations de l’entreprise. Les organisations par fonctions placeraient la sûreté comme faisant partie des fonctions support (à la manière de la finance et de la comptabilité) en la distinguant nettement des fonctions opérationnelles. Les structures par divisions, avec métiers dédiés aux différents produits, marques ou clientèles distinctes tendraient à faire éclater des fonctions de sûreté appelées à devoir se doter de ressources propres dans chaque business unit ou centre de profit. Les structures par affaires connaitraient plutôt des configurations où une direction de sécurité-sûreté s’activerait dans la direction-siège (à vocation stratégique, développementale, et de mise en cohérence), avec des fonctions en partie mutualisées pour le reste (souvent, des missions administratives au bénéfice de tout ou partie des autres directions).

Cette conceptualisation de la mise en sûreté se reflète dans les résultats d’une étude récente (Thalès et alii, 2008) centrée sur les perceptions d’une approche globale de la sécurité. Les entreprises sollicitées ont estimé que l’approche globale de la sécurité était devenue une nécessité (83% du panel, n=83), mais elles ne s’y seraient converties que très récemment (moins de quatre ans pour le quart des entreprises concernées, n=24). La motivation principale serait largement venue d’une volonté explicite de la Direction Générale, soucieuse d’assurer un développement à long terme (n=17). Pour les autres (n=7), les motivations de créations auraient divergé selon les secteurs. Chez les opérateurs d’infrastructures, la montée du terrorisme et de la violence criminelle aurait fait croître parmi le public une plus grande demande de sécurité, et donc des obligations nouvelles pour les opérateurs en réponse à leurs préoccupations. Dans les entreprises privées, les atteintes à la réputation internationale et les accidents industriels majeurs seraient devenus les facteurs explicatifs dominants. Pour les entreprises publiques privatisées, l’explication tiendrait à de nouvelles obligations et pratiques de gestion, auparavant prises en charge par l’Etat. Ce sont des considérations liminaires essentielles pour qui entend approfondir la connaissance de l’identité professionnelle des directeurs de sécurité-sûreté en entreprise.

Les directeurs de sûreté dans l’entreprise agissent dans un statut incertain.

Vouloir mieux connaître une fonction et son titulaire se justifie pour plusieurs raisons. Il se trouve que les directeurs de sûreté dans l’entreprise agissent dans un statut incertain, un statut qui se soucie d’être mieux assis et reconnu dans sa légitimité professionnelle. Si leur identité professionnelle n’est pas stabilisée, c’est en grande partie à cause de deux facteurs interdépendants mais mal articulés entre eux. On observe un réel manque d’adéquation entre des vulnérabilités liées aux risques et menaces qui affectent objectivement les entreprises en général et des politiques internes souvent incohérentes, qui prétendent y répondre. Cette apparente incohérence des réponses ne s’explique pas uniquement, comme on le croit trop souvent, par des controverses au sujet du bien fondé des investissements dans les dispositifs de prévention utiles. Elles s’expliquent aussi par l’héritage d’une frontière opposant fortement le périmètre de la protection des personnes, des biens et du patrimoine (contre des actes de malveillance ou des menaces à caractère malveillant) du domaine de la gestion des risques accidentels (incendie, hygiène et travail). Or cet effet d’écartèlement rend difficile l’émergence d’un acteur réputé orchestrer la sécurité globale de l’entreprise pour le dépasser, dans un moment où les cloisonnements historiques sont de plus en plus ressentis comme contre-productifs. Depuis la publication du Livre blanc sur la Défense et la Sécurité nationale paru en 2008, les ministères de l’Intérieur et de la Défense admettent que la sécurité-sûreté des entreprises à envergure régionale, nationale et internationale soit devenue un objectif stratégique fondamental, mais il n’est pas sûr que ces ministères sachent toujours comment en accompagner les évolutions dans un sens profitable à tous.

C’est pourquoi des associations ou clubs œuvrent activement à la reconnaissance et à la valorisation de la fonction du directeur de sécurité-sûreté, tels le Club des Directeurs de Sécurité en Entreprise (CDSE) ou l’Agora Sécurité pour les plus connus d’entre eux. Ils militent pour que ces postes soient imaginés et co-construits autour de vraies compétences, de vrais savoir-faire dans une démarche la plus éthique possible. Ils cherchent à promouvoir une meilleure articulation des postes avec les finalités d’une sûreté globale conçue comme capable de surmonter, voire de transcender les obstacles traditionnels de la coopération publique et privée, dans le cadre d’une économie mixte que caractérise encore largement le modèle français. Surmonter ces obstacles culturels et organisationnels constitue un pari ambitieux. Reste à savoir comment il est perçu et vécu parmi les directeurs de sûreté, en principe les fers de lance de ce programme.

Il est certainement dans la vocation du CDSE de chercher à rassembler et fédérer des éléments susceptibles d’aider à construire une « profession » ou un « métier » qui se cherche encore. Le constat généralement dressé parmi les animateurs du CDSE est celui de l’absence de profil-type dans les postes, de sorte que l’éclectisme des recrutements par des personnes aux cultures et expériences variées serait en phase avec la variété des missions assignées. Il ressort de cette diversité des profils une vertu collective, tant que l’on sait en organiser la synergie à intervalles réguliers.

Matériau recueilli
Proposition et opérationnalisation. L’enquête de terrain s’est plus prosaïquement donnée pour objectif de comprendre quel avait été l’itinéraire antérieur du témoin qui justifiait son recrutement au poste actuel ; les circonstances dans lesquelles il y était arrivé ; les raisons pour lesquelles il lui semblait avoir été choisi ; les modalités par lesquelles il occupait sa place telle qu’il en habitait le périmètre (avec ses collaborateurs éventuels) ; ce que lui apportait la circulation du savoir formel et informel à partir de son appartenance à des cercles de sociabilité d’homologues ; ce que l’avenir de la sécurité lui réservait. Le protocole ayant toujours été le même, l’enquête de terrain a été menée par nos soins seuls entre les mois d’avril à septembre 2010. Elle a porté sur un panel de vingt-cinq directeurs de sûreté-sécurité d’entreprises publiques ou privées aussi diversifiées que possible dans leur structure et leur raison sociale. La plupart de ces entreprises ont une importante activité de développement à l’international, « sensible » ou non ; d’autres ont plutôt un marché intérieur important, « sensible » ou non ; d’autres sont des EPIC ou EPAC, et des ERP. Les unes ont une structure financière avec Etat actionnaire majoritaire, d’autres avec Etat actionnaire minoritaire, les troisièmes sont purement privées (et parmi elles, on distingue soit des SA, soit des entreprises à capitaux majoritairement familiaux). Pour le dire autrement, on y trouve, comme dans toutes les enquêtes quantifiées répertoriées : des secteurs d’activité différenciés (qui des industries, qui des « opérateurs d’infrastructures », qui des administrations ou établissements publics, qui des sociétés de services et des commerces). Et dans une très grande proportion, des « directeurs sécurité ou sûreté » (n=20), le reste étant plutôt des risk managers (n=3), voire des directeurs de systèmes d’information (DSI=1) ou des responsables de sécurité pour les systèmes d’information RSSI (n=1). Le panel a sollicité l’expérience de vingt directeurs adhérents du CDSE en respectant la plus grande diversité possible de leurs entreprises, et cinq ne lui appartenant pas. Dix d’entre eux ont eu une longévité plus ou moins grande dans le monde militaire (5 = services centraux ou services opérationnels de renseignements, 5 = officiers ou sous-officiers de gendarmerie). Cinq d’entre eux ont eu un passé plus ou moins long dans le monde de la police ou de la préfectorale (dont 2 mis en disponibilité, en détachement longue durée). Dix d’entre eux sont issus de la filière des entreprises privées ou de la promotion interne : des self made men du gardiennage ou de l’incendie, des ingénieurs et des techniciens notamment.

Formulation de la consigne suivie : « Je fais une étude exploratoire sur les évolutions de la fonction du directeur de la sécurité ou sûreté en entreprise pour le compte du CDSE. J’aimerais que vous m’expliquiez votre travail actuel dans ce poste et la façon dont vous vous y investissez. Mais auparavant, j’aimerais savoir ce qui vous y a conduit et que vous m’éclairiez sur quelques éléments déterminants de votre biographie et cursus professionnel. Après quoi, on pourra finir sur une note de prospective ayant trait à la façon dont vous voyez l’avenir de la fonction et quelle vous semble être l’utilité d’adhérer à ce Club » (sauf pour les cinq qui n’en font pas partie).

Sur quelques résultats significatifs de l’enquête

Eu égard à ce qui précède, l’enquête revendique de ne pouvoir s’appuyer que sur les témoignages subjectifs existants, dans ce moment particulier où, d’une part, de plus en plus d’entreprises de taille très importante ont tendance à recruter des directeurs de sécurité-sûreté dont les profils divergent puisqu’un corps de métier homogène n’existe pas encore ; moment où, d’autre part, les recrutements de ces personnels d’encadrement sont souvent liés à des soucis conjoncturels, plutôt qu’articulés à une juste perception d’un risk management anticipé à long terme ; enfin, dans un vivier de recrutés aux profils si différents qu’aucun poste ne saurait être optimisé dans l’ensemble de ses attributs souhaitables. En conséquence de quoi la présente étude ne peut que scruter auprès des titulaires labellisés directeurs de sécurité-sûreté1, la façon dont ils se représentent la fonction occupée, s’en expliquent l’exercice et en conçoivent sa légitimité. Nous avons décliné les résultats en quatre entrées spécifiques à partir d’une synthèse de l’information pertinente recueillie : des systèmes de convictions étayés par des retours d’expériences très variés ; la persistance du poids très clivant des cultures et des valeurs privées et publiques ; des indices indirects de la légitimité contrôlée du poste ; des représentations complexes des priorités d’action dans le pilotage de la sûreté globale de l’entreprise.

Un trésor d’expériences diversifiées

L’étude menée sur les lieux de travail des enquêtés a permis de pénétrer des univers de convictions autoréflexives très diversement élaborés, les arcanes du déchiffrement du monde recouvrant la sécurité-sûreté et des sensibilités très particulières pour l’orchestrer. A partir d’une batterie de trois questions structurantes et totalement ouvertes, les témoins furent en effet amenés à répondre plus ou moins directement à des questions engageant de vraies philosophies de la vie en entreprise : qui suis-je dans l’organisation qui m’emploie, et que suis-je censé y apporter de moi-même pour justifier de l’utilité de mon poste ? Comment puis-je le valoriser et pourquoi suis-je en train de défendre ses orientations, en voulant convaincre un interlocuteur de ma capacité à monter en généralité à partir de mon expérience individuelle ? Une question les travaille tous sans jamais être énoncée, à l’exception d’un ou deux enquêtés : comment puis-je justifier de mon salaire infiniment supérieur dans l’ensemble à celui consenti par l’Etat (un élément évidemment central dans les stratégies de reconversion des métiers publics lors des prises de retraite, anticipées ou non) et au-delà, comment puis-je rendre compte de ma motivation et de mon utilité depuis que j’ai été « accroché » et ai pris mes marques dans le poste actuel, sans en avoir trop souffert.

L’art de savoir relier et gérerdes cultures publiques et privéestrès différentes

C’est la deuxième ressource des plus valorisées au sein des entreprises publiques ou EPIC en voie de privatisation totale ou partielle. Les titulaires de la direction de sécurité-sûreté ont une meilleure capacité de réponse à la demande de prévention du risque pénal, à la détection alerte et anticipation des signaux faibles en interne. Savoir relier l’interne à l’externe peut être le fait d’un directeur recherché pour ses capacités de dialogue social. Le fait qu’il ait acquis une légitimité dans la défense de « l’esprit maison » dont il a gravi les échelons et accompagné l’histoire constitue une excellente ressource. Notamment quand des solutions d’apaisement diplomatiques exigent du doigté pour calmer une émotion collective du personnel et de la clientèle à la suite par exemple du traumatisme engendré par un acte hostile spectaculaire. C’est la capacité à savoir amener les pouvoirs publics à la rescousse grâce aux réseaux entretenus dans la haute fonction publique quand il s’agit de négocier des normes avec l’Etat. Ou la capacité à s’imposer comme la seule voie possible de la communication de l’entreprise quand elle doit défendre son image de service public dans le cas d’une opération de déstabilisation risquant de la salir. C’est également l’atout du self made man parti de rien qui monte en grade dans son ERP (Etablissement Recevant du Public) et finit par occuper le poste, parce qu’il dispose d’un réseau acquis par la bonne intelligence de l’histoire de la gestion partenariale des « populations difficiles » dans son environnement sensible.

Autrement dit, c’est le vécu d’une fonction permanente de « facilitateur » capable de mixer les cultures de mondes encore trop souvent cloisonnés en termes de hiérarchies implicites de pouvoir. Cet agent est reconnu pour sa sensibilité particulière à savoir trouver des solutions de déblocage aux résistances culturelles et/ou juridiques inhérentes à chaque entreprise. S’il ne peut pas toujours vaincre les résistances, du moins sait-il face à des risques similaires, mobiliser des ressorts psychologiques éprouvés ailleurs pour réduire les tensions rencontrées dans l’entreprise d’accueil.

L’apport de l’expertise et des valeurs d’ordre dans les entreprises sensibles

A rebours de phénomènes plus massifs de transferts d’agents publics dans les entreprises privées « sensibles », on rencontre parfois une exception qui confirme la règle. Notamment dans une entreprise aux activités gouvernées par le Secret Défense, où le titulaire du poste, un ingénieur privé, érige en secret quasi absolu la façon dont il conçoit son propre rôle. Ce qui tendrait à prouver que la nécessité de perpétuer certains cloisonnements fonctionnels entre mondes n’est pas toujours le fait des agents issus des services de renseignements de l’Etat. Les militaires, officiers et sous-officiers de la gendarmerie revendiquent le pilotage exclusif des services de sûreté.

Les valeurs qu’ils véhiculent (ordre et code pénal) sont fortement appréciées dans l’ensemble. Parmi les anciens militaires du renseignement extérieur par exemple, on apprécie leur aptitude stratégique à construire des décisions, à partir de leur bon décodage de la mentalité des élites politiques, au sein d’une aire culturelle spécifique où ils ont naguère officié et où l’entreprise cherche à s’implanter. Ce qui est le cas lorsque le besoin se fait impératif d’obtenir la confiance d’un partenaire avec lequel on s’apprête à négocier un contrat engageant l’avenir. Ils ne rechignent pas à accomplir sur place des missions officieuses de reconnaissance. Des témoignages indirects de satisfaction leur sont par ailleurs explicitement adressés. On leur prête une bonne capacité à discuter stratégie bec et ongles avec les directions, puis de savoir se mettre en ordre de marche derrière la décision arrêtée, n’emporterait-elle pas leur assentiment complet. D’autres qualités d’expertise émergente sont reconnues à certains des officiers plus jeunes, parmi lesquels on compte désormais de vrais spécialistes des S.S.I. (Sécurité des Systèmes d’Information). Quant à l’expertise recherchée des fonctionnaires de police ou de l’Intérieur, elle s’explique le plus souvent par la certitude qu’ils sont de bien meilleurs connaisseurs des rouages de la justice pénale et du monde souvent compliqué des magistrats. Ils maîtriseraient mieux les subtilités de la négociation officieuse au sein des directions administratives centrales du ministère. Un ministère au sein duquel ils sont réputés savoir trouver des oreilles attentives pour traduire et anticiper les décisions normatives à prendre et à appliquer au sein des entreprises dans lesquelles ils sont détachés.

Poids de l’héritage de cultures de sûreté dissemblables

L’auto-évaluation du rôle et de la fonction par les titulaires du poste diverge très sensiblement selon les trois filières principales de leur recrutement.

La filière privée ou la voie interne

Leurs titulaires se vivent encore souvent comme celle des « atypiques » par rapport aux deux autres, une perception sans doute abusive car ils ne raisonnent qu’à partir de l’exemple de leurs pairs immédiats adhérents du CDSE. En réalité, on voit apparaître deux sous-populations principales et une troisième en émergence. La première, plus âgée, regroupe des techniciens et ingénieurs de leur entreprise, arrivés au terme de leur carrière (entre 55 - 65 ans) ; de risk managers venus du monde de l’assurance ou ayant occupé, dans des entreprises, différents postes dans les services techniques ou de logistique. La deuxième, plus jeune, rassemble des managers et experts en risques (35 -50 ans). Ils ont parfois connu l’expérience de chargés de mission dans les organismes de la Défense, tels que la DGSE (Direction générale de la sécurité extérieure), mais revendiquent plutôt une approche civile des défis que militaire. L’entreprise n’a pas de secret pour eux, ni les dures lois du marché auxquelles leur cursus les a préparés et qu’ils acceptent.

Ces deux sous-populations se vivent comme les fers de lance d’une sécurité globale orientée business qu’ils ont à écrire de toutes pièces. C’est parmi eux que se repèrent les novations du langage managérial anglo-saxon les plus assumées, les réflexes les plus créatifs, les imaginations les plus entrepreneuriales, les compétences les plus pointues (protection de l’information et Intelligence Economique), et aussi, la plus grande prise de distance à l’égard d’aînés qui auraient, d’après eux, par trop tendance à reproduire des recettes anciennes plutôt que de chercher à innover. En conséquence de quoi, ils estiment, plus souvent que les autres, être mieux en mesure d’anoblir la fonction. Et de fait, étant recrutés en promotion interne dans les entreprises de grande taille, ou recherchés comme des collaborateurs généralistes et touche-à-tout, ils ont indiscutablement le mérite de savoir faire évoluer vers le haut une fonction gestionnaire et floue, en sachant démontrer leur rentabilité pour l’entreprise. L’entreprise n’a pas de secret pour eux, ni les dures lois du marché auxquelles leur cursus les a préparés et qu’ils acceptent. Leur défi est de savoir transformer une contrainte apparemment improductive en une ressource à plus long terme. Si la sûreté n’a pas de prix, ils savent, parce qu’issus du monde des assurances et parfois dotés d’un goût et d’un savoir pour la gestion des risques atypiques, qu’elle a un coût à « optimiser », sans nuire au développement durable de l’entreprise. Quand les risques sont rares mais peuvent s’avérer destructeurs, la réponse des « conceptuels » est claire : si la survenue du risque redouté n’a pas eu lieu, c’est « parce que j’ai su convaincre les politiques et les financiers de l’entreprise d’allouer les budgets nécessaires aux échelons opérationnels décentralisés, et que sur les sites où agissent les agents expatriés, ils ont pu travailler dans de bonnes conditions ».

Ce sont des adeptes et des praticiens de toutes les techniques de rationalisation de l’optimisation des coûts par le biais du calcul du ROSI (Return on Security Investment). Parmi eux, se rencontrent plus souvent des responsables SSI pour qui la protection des informations sensibles n’est pas encore assez valorisée. C’est dans cette filière que le lobbying des experts est le plus fort. On a tendance à vouloir moins tirer vers le haut l’ensemble de la profession que de faire pression sur les collaborateurs et sur les pouvoirs publics pour changer les équilibres de la polarisation de la sécurité globale dans la défense des actifs immatériels. Entre ces deux modèles de titulaires clivés par un net effet de génération, se glissent les « atypiques » de cette filière, au sein d’entreprises de service public stratégiques vouées à devenir de plus en plus compétitives par le jeu de leur privatisation partielle ou totale.

La filière du ministère de l’Intérieur

Elle est incarnée soit par des retraités reconvertis des directions centrales dont l’attrait principal réside dans la richesse de leur portefeuille relationnel ou de leurs réseaux à l’étranger, soit par des agents de la préfectorale (préfets et sous préfets), administrateurs civils ou commissaires de police en détachement ou mis en disponibilité temporaire. A l’exception des premiers, ceux-ci se prévalent d’itinéraires plutôt sinueux, accidentés et très mobiles (collectivités territoriales, territoires difficiles…) et par une appétence plus marquée pour l’univers du monde politique (députés, maires) et de l’entreprise, plutôt que pour celui de l’administration. Ils se vivent comme des généralistes utiles à deux composantes de leurs missions : une forte capacité à mobiliser l’ensemble des fonctions d’ordre en périodes de crise ; une légitimité importée de l’Etat qui, de son côté, leur reconnaîtrait deux qualités : confiance dans la gestion des dossiers à forte confidentialité ; aptitude à négocier d’égal à égal l’impact des réglementations, standards et normes déontologiques qu’imposent désormais l’Etat, le marché et les agences de notation de la qualité.

La filière des militaires et des gendarmes

C’est la ressource la plus fréquente, très appréciée dans les grandes entreprises publiques et privées « sensibles ». Dotés d’une grande aisance à la reconversion, les militaires et gendarmes bénéficient d’atouts attrayants : ils ont été et sont encore « des hommes de terrain » dans l’âme, parfois même des « baroudeurs », ayant exercé sur des théâtres opérationnels extérieurs réputés difficiles, et dotés à ce titre de bonnes connaissances du « matériau humain » ; ce sont de bons fournisseurs de renseignements à propos de certains « pays à risque ». On leur concède en outre d’être dotés de valeurs morales de droiture et d’obéissance aux hiérarchies, ainsi que de garder la tête froide en périodes de crise et d’urgence. Ces atouts peuvent être néanmoins considérés comme des défauts ou des freins quand ces agents passent pour avoir tendance à reproduire des techniques intériorisées de discipline et d’obéissance (d’où leur propension à vouloir disposer pour agir de procédures bordées par le seul code pénal), plutôt qu’à produire de la sécurité globale horizontale dans l’entreprise.

Sur la perception de la légitimité du poste par son titulaire lui-même

Il existe deux manières d’objectiver la légitimité du titulaire d’un poste dont le périmètre et les finalités ne sont pas stabilisées dans la conscience de tous les personnels d’une entreprise. Ou bien, en sondant ses alter proches, parmi le personnel d’une cellule dédiée ou parmi les autres directions (comme on l’a vu dans les enquêtes quantitatives effectuées auprès de directions se prononçant sur la « fonction »). Ou bien, en sondant le titulaire lui-même, amené à évoquer et dévoiler à un étranger la nature des signes de gratification le motivant au quotidien, démarche principalement initiée dans cette enquête. Objectivement, les titulaires des postes de direction de sécurité-sûreté ne peuvent pas d’euxmêmes en théoriser la légitimité. Mais en faisant état des compétences attendues, ils la justifient indirectement en expliquant comment et pourquoi ils ont été recrutés. Grosso modo, on peut dire que la fonction se cherche tendanciellement une identité spécifique en complémentarité des missions internes plus traditionnelles liées au code du travail, que ce soit l’entité Hygiène Sécurité et Conditions de Travail (HSCT), historiquement plus stabilisée, ou le Département Hygiène Sécurité Environnement (HSE). La fonction sûreté resterait encore vécue de son côté comme une fonction support, plus ou moins isolée, plus ou moins visible, plus ou moins stratégique et transverse dans l’entreprise, selon la position de l’occupant du poste dans l’organigramme : dans le comité exécutif (rarissime) ; au niveau corporate (assez fréquent) ; proche des services opérationnels dans les structures décentralisées (fréquent). Dans la mesure où elle se présente encore comme assez peu finalisée, elle reste perçue à tort ou à raison par les salariés, voire par certains cadres, comme une mission occulte ou peu transparente de protection et de conseil stratégique de la direction centrale, suscitant des sentiments de défiance, ou plus généralement d’indifférence.

Quand les dirigeants ou leurs proches conseillers évoquent la fonction, l’accent est mis sur des justifications différentes. Par exemple, dans les entreprises à capitaux familiaux, l’objectif du responsable de sécurité-sûreté pourrait être de savoir jouer les éminences grises dans un domaine secret, pour rassurer un PDG soucieux de la pérennité de son entreprise, ce qui diffère d’un mode de légitimation par un directoire salarié pour la satisfaction éphémère d’actionnaires sans visage et sans état d’âme3 ; dans les entreprises à actionnariat privé majoritaire, de plutôt savoir défendre rapidement la réputation du groupe et l’image éthique de l’entreprise, les cours de la Bourse étant le premier des tableaux de bord pour le Comex de l’entreprise ; dans les entreprises publiques, de plutôt savoir protéger un intérêt social plus général par une bonne pratique de la coordination des acteurs en interaction interne (personnel) et externe (usagers). Ces distinctions et subtiles nuances dont témoignent les enquêtés restent néanmoins fragiles, car peu ou prou, de telles considérations se rencontrent virtuellement dans tous les discours d’emprunt sur les pratiques réelles ou fantasmées de leur rôle. En portant le regard sur « ce qu’ils font », on observe comment les titulaires auto-évaluent leur contribution personnelle à la production de leur entreprise et témoignent subjectivement de la légitimité de leur travail, donc de leur identité professionnelle, objet de l’analyse. Pour ce faire, ils ont besoin de situer un périmètre, et d’évaluer leur marge de manœuvre en son sein. L’autoévaluation de sa propre surface de compétence classe les acteurs dans une économie de la grandeur de leur propre légitimité, selon que le département sûreté-sécurité se trouve composé d’un titulaire unique (PME), ou d’une dizaine de personnes (la plupart des cas du panel). Il apparaît que plus le département (ou la cellule) de sécurité-sûreté dirigé est étoffé en agents, plus le périmètre des missions prises en charge par son directeur s’élargit, plus s’y accroît la division sociale du travail par spécialisation des risques, et plus la fonction tend à se justifier par la promotion du concept de sécurité globale stratégique. Elle englobe ainsi virtuellement, le domaine de la prévention contre les menaces traditionnelles (protection des personnes et des biens vulnérables), celui de la protection des actifs matériels et immatériels (informations sensibles contre des attaques délibérées ou vulnérabilités induites par le manque de vigilance des collaborateurs les plus jeunes), enfin, celui de l’anticipation et la gestion de nouveaux risques (gestion des crises systémiques et majeures, défense de la marque et de la réputation de l’entreprise). L’invocation du concept de « sécurité globale », concept fédérateur popularisé par le Livre Blanc de 2008, place le titulaire en position de surplomb vis-à-vis de plusieurs activités naguère disséminées et morcelées, tant dans le domaine de la security que de la safety. Or, cette notion de sécurité globale fédératrice est de plus en plus articulée, dans l’entreprise, autour d’une prise de conscience de « l’intelligence économique » et du besoin de défendre le « patrimoine industriel », soit surtout les actifs immatériels et informationnels4, car toutes les autres composantes y seraient déjà peu ou prou validées et normalisées.

La défense de cette conception moderniste de « l’entreprise dématérialisée » pénètre plus rapidement l’entendement des directeurs de sûreté des entreprises leaders (les « fleurons de l’industrie ») à dimension internationale que celui des dirigeants d’entreprises moyennes et petites, nationales ou régionales. Les premiers ont nettement conscience de préfigurer l’avenir de la mise en sécurité globale par rapport à eux, et se vivent un peu comme des missionnaires plus éclairés, des fers de lance plus pédagogues, car ils se sentent plus exposés aux règles du jeu de la compétitivité mondiale débridée sans la garantie de protection des Etats demeurés impuissants à la réguler. Très certainement aussi, parce qu’ils ont acquis des compétences plus diversifiées dans des entreprises différentes, ce qui est bien plus souvent le cas parmi des directeurs de sûreté issus de la « filière civile ».

Représentations du pilotage concret de la mise en sûreté de l’entreprise

L’enquête permet d’identifier, au-delà des effets de générations et de différences de cultures et d’adaptation au monde de l’entreprise, des conclusions plutôt attendues, et quelques autres plus contre-intuitives. Le préjugé selon lequel la sécurité-sûreté serait toujours a priori vécue comme un investissement improductif dans l’entreprise par rapport aux autres business units, et partant toujours moins bien investie, semble de moins en moins avéré. Non seulement, les risques d’externalisation de fonctions secondaires (tels le recours au gardiennage, à la protection rapprochée, à la gestion des filtrages et aux contrôles d’accès) et le sentiment de dépossession induit, sont correctement évalués mais prévaut plutôt l’impression que ces activités seraient de mieux en mieux moralisées. On paraît surtout de plus en plus conscient d’avoir une bonne maîtrise de la délimitation de la gestion des risques touchant aux intérêts les plus vitaux de l’entreprise par rapport à la gestion des risques secondaires. Il est généralement reconnu comme plus facile d’estimer les retours d’investissement en protection des biens, ne serait-ce que par le biais du calcul actuariel de la prévention des pertes et de la négociation de la diminution des primes par les efforts consentis dans les mises en conformité avec les normes techniques ou les chartes déontologiques. Divergent, en revanche, les évaluations sur des investissements plus difficiles à « vendre », et notamment les risques rares. Il s’ensuit d’âpres négociations sur la hiérarchie des urgences, variable selon la puissance des entreprises, mais aussi des tâtonnements pas toujours rationnels à l’égard de l’évaluation des coûts financiers d’une vie par rapport aux dispositifs de protection (contre l’attentat, l’enlèvement, la prise d’otage), celle notamment des collaborateurs exposés à l’étranger.

Un deuxième clivage démarque nettement d’un côté les directeurs des départements sûreté-sécurité orientés business (objectivement dépossédés de toute arme de coercition légale à l’égard des populations peu coopératives), et de l’autre les directeurs pour qui l’Etat reste le dernier recours pour venir au secours de l’entreprise vitale sensible, en période de grande vulnérabilité ou de crise majeure. Ces derniers considèrent l’Etat avec ses propres ressources de renseignement, sa capacité à mobiliser toutes les administrations en cas de crise majeure et notamment la sécurité civile et la défense. Les positionnements dans le poste diffèrent à ce sujet assez sensiblement. Quand les premiers ont la certitude que la loi du marché doit dicter ses conditions à un Etat restant en retrait, la mobilisation des critères et des indicateurs de rentabilité de la sûreté globale passe au premier rang de leurs préoccupations. Prouver l’efficience et l’efficacité reste l’épreuve de vérité majeure qui se donne à voir dans la symbolique des objectifs attendus de résultats chiffrés : diminution de pertes (en fréquence et en intensité) ; non survenue d’événements redoutés ; rentabilité des PCA (Plans de Continuité d’Activité). L’imagination est, en ce domaine, assez féconde. Certains ont d’ailleurs promu des expériences tellement innovantes et créatives, que, jugées trop audacieuses, elles ne furent pas validées par leur direction, ce qui les a conduits à devoir réduire leur propre périmètre d’action. Les seconds, rehaussés dans le bien-fondé d’une identité qui puise aux deux registres de la loi du marché et de la loi de l’Etat5, magnifient plutôt les apports vertueux d’une culture mixte. Elle ne les conduit pas à mettre toute leur énergie dans les seuls indicateurs de qualité, chartes déontologiques et mécaniques de la reddition financière des comptes à court terme. Ils jouent sur de nombreux autres claviers, tels qu’appris dans les écoles des grands corps d’Etat de l’économie administrée. Proches des patrons des grands groupes industriels publics, ils sont conduits à fournir de l’information sensible (blanche ou noire), produite par leurs propres services de veille interne, aux agences publiques de renseignement. La recherche d’un partenariat plus équilibré dans les échanges d’informations à valeur économique et/ou non économique mais stratégique (la vie des salariés) est également un souci récurrent. Certains mettent parfois en cause le traitement en France de la circulation des informations sensibles, jugé encore trop asymétrique dans le sens « Etat vers les entreprises », et militent en conséquence ardemment pour un meilleur rééquilibrage. Si tous reconnaissent une contribution pédagogique plutôt bienvenue en matière de diffusion de la culture en « intelligence économique » de la part des services de l’Etat, certains déplorent néanmoins un accès trop lent au prêt d’informations sensibles, préjudiciable à leur compétitivité. Bref, à leurs yeux, l’Etat en ferait souvent trop et mal ou pas assez, dans son rôle attendu de bras armé de la défense de ses « fleurons industriels ».

L’enjeu d’une diffusion durable de la culture de sûreté ou de précaution s’impose à l’ordre du jour. A ce sujet, les pratiques divergent sensiblement quant aux bons leviers à mobiliser. Quand on n’a pas la certitude de disposer de budgets illimités, une technique en clair-obscur reste répandue, face aux salariés et cadres de la production réfractaires ou indifférents. Elle doit composer avec ce tropisme très français, qui mêlerait idéologie de la méfiance et du soupçon à l’égard de toute sécurité interne a priori. Quelle que soit la structure de l’entreprise où ils officient, beaucoup de responsables sûreté-sécurité avouent devoir composer avec des piqûres de rappel permanentes, basées sur l’instillation de la crainte des foudres du pénal, une ressource apparemment dissuasive ou mobilisatrice selon les cas.

Chez les moins rigoristes ou les plus souples d’entre eux, la pédagogie se fait plutôt sur un mode ludique, de la réassurance et sur des simulations de crises emblématiques, dont on étudie les conséquences des implications personnelles et collectives. Chez les plus rigoristes, elle s’exerce en revanche selon des tactiques individuelles plus menaçantes à l’égard de fautifs, ou par des stratégies indirectes du recours à l’arsenal des sanctions disciplinaires internes. S’agissant de leur propre sensibilisation et formation permanente à la complexité de la mise en sécurité-sûreté, les possibilités de perfectionnement sont vécues par les responsables selon deux modalités principales :

- La nécessité est reconnue par tous de multiplier et systématiser les échanges informels sur les expériences préexistantes dans les cercles dédiés à cet effet, tels le CDSE, l’ISMA (International Security Management Association), l’ASIS (American Society for Industrial Security) ou le CINDEX (Centre Inter-Entreprises de l’Expatriation). Certains estiment que le CDSE devrait rester un club d’échanges informels et ils résistent à son institutionnalisation progressive par sa tendance à vouloir provoquer de l’auto-formation collective, tandis que d’autres, plus nombreux, espèrent sa montée en visibilité en tant que groupe de pression auprès des pouvoirs publics. Les premiers, fonctionnaires détachés du ministère de l’Intérieur officiant dans de grandes entreprises publiques, en voient moins l’utilité que les seconds, issus depuis toujours des cadres de l’entreprise privée. Mais la nécessité d’appartenir à ce club de rencontres et d’échanges ne laisse personne indifférent, d’autant que le coût d’entrée y est relativement sélectif ; le sentiment d’appartenir à une élite compte. Les rencontres périodiques sont des espaces de détente et de tension où sont mises à plat différentes pratiques et représentations de la sûreté, où s’atténuent les barrières de l’isolement et s’élaborent les apprentissages à la confiance entre « grands ».

- Le besoin de disposer d’un vivier de compétences en sécurité globale, au sein duquel les entreprises pourraient puiser, reste un horizon évalué par tous à une quinzaine d’années. Pour l’instant, un tel vivier n’existe qu’à l’état virtuel. La sûreté globale est polymorphe en entreprise et n’est le cœur de cible d’aucune école, car les formateurs pertinents ne sont pas encore eux-mêmes formés. On ignore si une « criminologie appliquée » ou une géopolitique des risques aura vocation à devenir le socle stratégique d’une formation spécialisée pour futurs cadres et directeurs de la sûreté en entreprise, de larges doutes subsistant à ce propos. Ce qui ne fait aucun doute en revanche, c’est que le profil des directeurs du présent échantillon de l’étude va se rajeunir en même temps que mieux se finaliser. Tout inviterait à penser que les nouveaux directeurs de sûreté seront des gestionnaires et des managers des risques plutôt issus des entreprises privées, car ils passent pour le moment pour être les plus inventifs et novateurs, comme les mieux adaptés aux défis de la globalisation de l’économie et de la finance et de ses vulnérabilités. Au titre des compétences requises, ils se seront frottés aux sciences humaines, à l’ingénierie sociale, à la gestion de crise et auront subi certains baptêmes du feu pour conforter le test de leur aptitude à rassurer les directions et les personnels, en sachant faire preuve de sang-froid dans les situations de panique.

Conclusion

Et pourtant !... Ce n’est apparemment pas ce à quoi cet idéal de « civilianisation » de la gestion des risques en entreprise invite l’observateur à constater pour l’instant. Au terme de cette immersion qui exigera de nombreux approfondissements ultérieurs, nous restons frappés par un constat inverse : la séduction exercée dans la plupart des grandes entreprises par les agents issus des mondes militaire et gendarmique devrait faire durablement sentir ses effets. Nous ne sommes pas en mesure d’interpréter définitivement ce phénomène, quand bien même nous avons cherché à contrôler la représentativité de l’échantillon. Sauf à ce que nous soyons en présence d’expériences malheureuses dans les entreprises ou de directions d’entreprises aux idéologies ostensiblement antimilitaires, rien ne permet de penser que le flux important de la reconversion des militaires dans la sécurité-sûreté de l’entreprise se tarisse rapidement.

Hors la présence d’anciens cadres de la police ou hauts fonctionnaires du ministère de l’Intérieur se suffisant à elle-même dans les entreprises réputées « non vitales », ces cas de figure s’observent très rarement. Dans l’une ou l’autre des ces configurations, on rencontre toujours dans le « staff » de la direction de sûreté de l’entreprise publique, au moins un « bras droit » militaire ou gendarme. Le réflexe dominant serait même que le civil y soit rapidement remplacé par le militaire6, comme si l’exception devait confirmer cette règle. Cette tendance -qu’il restera à quantifier plus sérieusement -exige d’être interrogée, car elle est susceptible d’aller à contre-courant de bien des certitudes sur la civilianisation de la gestion de la sûreté en entreprise. Et la vraie question devient alors : pourquoi a-t-on si facilement recours aux militaires dans les directions de sécurité-sûreté des grandes entreprises, alors qu’ils sont, à tort ou à raison, réputés les moins souples dans le management des risques polymorphes vécus dans l’entreprise ? A cette question, je serais tenté d’avancer trois éléments de réponses cumulatifs. Deux d’entre eux me semblent résider dans un mécanisme d’offre de reconversion mieux en phase avec une demande incertaine. Ce n’est pas tant la caricature des « généraux cinq étoiles » de jadis qui emporte désormais l’adhésion, que des personnels aguerris généralement plus jeunes que leurs collègues policiers, dans la mesure où l’âge de leur départ à la retraite est l’un des plus précoces de la fonction publique d’Etat. Il s’ensuit que si les valeurs d’ordre, de maîtrise et de loyauté, qui font la spécificité de leur ethos sont a priori appréciées, c’est que le calcul implicite de l’entreprise demandeuse réside dans la croyance que leur jeunesse relative les rendra encore capables de se plier ou de se former rapidement aux lois de son (des)ordre interne. S’ils ne disposent peut-être pas d’un capital de ressources relationnelles aussi étoffé que leurs homologues conceptuels de l’encadrement policier, ils bénéficient d’une réputation inentamée de savoir comment collecter du renseignement stratégique aux meilleures sources et au bon moment. Or, dans une conjoncture dangereuse où des entreprises réputées « vitales » doivent apporter la preuve de leur conformité aux attentes de la mise en sécurité globale prêchées par les Etats-nations face aux risques majeurs NRCB (nucléaires, radiologiques, chimiques et biologiques) ou autres, quelle meilleure facilité pour l’entreprise que de pouvoir ainsi attester de ces gestes de bonne volonté ? D’autant que, deuxième réponse plus pragmatique, la « demande » rencontre une « offre » de plus en plus offensive : les militaires en reconversion ont en effet appris à s’organiser rapidement, en recourant à des associations dédiées à l’apprentissage des techniques de reconversion par les retours d’expériences. De plus en plus de candidats apprennent à séduire et savoir se vendre, dès lors qu’ils ont décidé de partir à la conquête de l’entreprise.
Une troisième raison plus fondamentale tient à ce que de tels phénomènes émergent dans le contexte d’une militarisation plus générale des appareils de police occidentaux, d’après une hypothèse de plus en plus solidement étayée parmi les analystes8. Ils en ont surtout documenté la tendance dans le domaine du contrôle des foules, du renseignement ou de l’information de sécurité, et dans les sphères d’éclatement des espaces de souveraineté traditionnels, qui ont vu monter une offre de sécurité commerciale globale en accompagnement du développement d’entreprises à implantations mondiales . Or, dans ce domaine, nous estimons que les analystes se sont peut-être trop attachés au spectaculaire : l’externalisation des savoir-faire militaires dans les reconversions au sein de sociétés militaires privées (SMP), serait-ce pour accomplir des opérations de police de paix. Ils auraient oublié, ce faisant, d’autres phénomènes plus souterrains peut-être encore davantage significatifs : l’internalisation de la « culture militaire du risque » au sein des grandes entreprises. L’un des facteurs les plus décisifs à cet attrait si fort pour l’appel à la culture militaire proviendrait d’une représentation implicite de sa présence comme dernier rempart possible à l’anxiété des entreprises leaders face aux risques. Tout se passerait alors comme si une instance providentielle charismatique rassurante allait pouvoir magiquement conjurer l’incertitude liée à la perte de rationalité face aux environnements complexes, dangereux et immaîtrisables.

Voir le sommaire

Pour s'abonner à la revue Sécurité & StratégiePour s'abonner à la revue Sécurité & Stratégie

Accueil | Contact | Mentions légales | Comité d’orientation | Note aux auteurs | Organisation
Acheter | S’abonner | Les derniers numéros | A propos de l’éditeur

Copyright© CDSE - Sécurité & Stratégie - 2017
Sécurité et Stratégie est une publication du CDSE