Archives

La consommation de sécurité dans les entreprises en France – De la différence entre besoin de sécurité et demande effective de sécurité.

La consommation de sécurité dans les entreprises en France – De la différence entre besoin de sécurité et demande effective de sécurité.

Posté on 08 sept 2016 at 5:42

La question du besoin en économie est une notion bien différente de celle de la question de la demande effective ou de la consommation réelle. En effet, dès le 19e siècle, en réaction notamment à la loi des débouchés de Jean-Baptiste Say, Malthus considérait dans son livre Principes d’Economie Politique que les besoins des individus devaient être dissociés de la deman¬de effective.
Pour reprendre la formule de Malthus, «la demande effective est une demande faite par ceux qui ont les moyens et la volonté d’en donner un prix suffisant (1)». Autrement dit, l’acte d’achat ne peut être réalisé que dans la mesure où il y a un désir d’acheter et que le besoin soit solvable. Or, en sécurité, si les besoins de sécurité en entreprise au vue des menaces actuelles (terrorisme, cyber criminalité (2), fraudes, etc.) peuvent paraître illimi-tés, la demande effective, même si celle-ci s’accroît au cours des années récentes, demeurent limités en tout cas en France en comparaison d’autres pays.

D’après une étude récente commandée par le Club des Directeurs de Sécurité des Entreprises (CDSE), sur un échantillon de 73 entreprises françaises, le budget d’une direction sécurité-sûreté (3) est inférieur à 1 million d’euros par an dans 55 % des cas (Griot 2015). En comparaison, aux Etats-Unis, le budget des directions de sécurité et de sûreté, selon une étude de l’International Security Management Association (ISMA), oscillerait entre un million de dollars et plus dans 72 % des entreprises interrogées (4) (sur la base d’un échantillon de 113 entreprises).

Naturellement la demande de sécurité des entreprises n’est pas concentrée uniquement dans les mains des directions sécurité-sûreté. D’autres directions peuvent consommer de la sécurité. Il peut s’agir aussi bien du service achat, du service en charge de la prévention de la fraude, du service informatique ou encore d’entités décentralisées (Nalla, Morash 2002).

Néanmoins, à notre sens, cela reste relativement faible. Partant des données de Robin et Mordier (2013), nous pouvons estimer le budget global de la sécurité et de la sûreté dans les entreprises françaises à 10 milliards d’euros. En comparaison, le chiffre d’affaire de la consommation de sécurité privée par les entreprises aux Etats-Unis est au moins cinq fois plus élevé (Leseaux 2014).

Par conséquent, si on accepte l’hypothèse d’une demande effective de la sécurité et sûreté relativement faible en France au sein des entreprises en comparaison d’autres pays occidentaux, il convient alors de se poser la question des raisons de cette faible importance. Nous nous proposerons de l’expliquer dans un premier temps. Dans un deuxième temps, nous chercherons à nous demander si aujourd’hui nous n’assistons pas à une inflexion. La croissance de la demande de sécurité des entreprises ne va-t-elle pas augmenter plus rapi-dement dans les années à venir?

I. Les facteurs d’une demande peu élevée de la part des entreprises en matière de sécurité et de sûreté

Tout pousse à croire que la demande de sécurité de la part des entreprises françaises est forte. D’une part, parce qu’il semblerait que nombre d’entreprises conviennent qu’elles interviennent dans un monde de plus en plus instables (Vuillerme 2013). D’autres part, parce que la variété des menaces paraît de plus en plus étendue: fraudes, cyber criminalité, éco terrorisme, enlèvements, agressions, etc. Or, au regard des données présentées en introduction, il ne paraît pas que la demande de consommation de sécurité privée en France au sein des entreprises soit très importante en comparaison des Etats-Unis ou d’autres pays comme la Grande-Bretagne.

Qu’est-ce qui justifie cette différence? A notre sens, plusieurs facteurs (4) peuvent l’expliquer. Premièrement, au cours du 20e siècle, en dehors de quelques secteurs d’activités particuliers (banques, hôtellerie, transports ferroviaires), la reconnaissance des services internes de sûreté et de sécurité ne devient réalité que très tardivement en France (Berlière, Levy 2013). Nous trouvons aucune trace de services internes de sécurité dans les organigrammes des entreprises françaises au milieu du 20e siècle. «L’auto-organisation de la sécurité» reste le principe dominant de la discipline dans les organisations industrielles (Kalifa 2000, p.143). Ces services avaient plutôt mauvaise presse puisqu’ils étaient perçus comme des auxiliaires privilégiés du patronat, vigoureusement dénoncé par les milieux syndicaux et les militants communistes (Kalifa, 2000, p.250). Aux Etats-Unis, la situation est quelque peu différente au début et surtout au milieu du 20e siècle. On prête ainsi à Henry Ford la création de la première direction sécurité «corporate» (Lippert, Walby, Steckle 2013).

Deuxièmement, la perception des directions générales vis-à-vis de la sécurité n’est pas la même en France et aux Etats-Unis. Aux Etats-Unis, la sécurité d’entreprise est perçue comme un avantage concurrentiel et le nerf de la guerre commerciale. IBM avait, par exemple, mis en place des outils de management de la sécurité dès les années 1970 en sollicitant l’appui méthodologique de l’International Association of Chiefs of Police (IACP). Il s’agissait notamment de se prémunir contre le risque extrémiste, s’estimant exposée aux enlèvements et aux demandes de rançons. Il en résultait un cours à destination de tous les employés de ses filiales réalisés par le département de sécurité: Security. A management Style. A course of instruction in corporate protective service. IBM as a Target for terroristes (Mattelart 2007). La mobilisation d’IBM contre la menace terroriste n’était pas un fait isolé. Elle était largement partagée par les plus importantes multinationales à travers le monde qui, à l’époque, étaient majoritairement américaines.

En France, la perception de la sécurité n’est pas la même dans les entreprises. Dans de nombreuses entreprises, la direction de la sécurité et de la sûreté est souvent mal positionnée au sein des organigrammes de l’entreprise. Comme le souligne Philippe Very, «si la direction sûreté est une sous-unité noyée parmi de nombreuses autres au sein d’une unité «compliance», cette localisation ne favorisera pas l’acquisition de légitimité» (Very 2013, p.21).

Dans ce contexte, en France, la sécurité est surtout perçue au sein de nombreuses entreprises comme un surcoût. Souvent, les directeurs sécurité considèrent eux-mêmes que leur service est considéré comme une fonction support alors même que bon nombre d’entre eux aimeraient qu’on le considère comme une direction stratégique de l’entreprise. Comme le note Mulone, «la transformation de la culture de l’entreprise afin que celle-ci incorpore l’idée que l’implantation de mesures de sécurité (en vue de proté¬ger personnel, biens et/ou information) est à tous points de vue rentable (au sens où les coûts engagés permettent de prévenir des pertes supérieures) représente probablement le plus grand défi professionnel des gestionnaires de la sécurité au sein des entreprises» (Mulone 2013, p.157). Autrement dit, les dépenses en matière de sécurité peuvent paraître élevées sans capacité de mesurer clairement l’efficacité réelle et sans avoir une idée précise du retour d’investissement (Ocqueteau 2011). Ceci est d’autant plus vrai que la capacité de détection des attaques est souvent délicate. Pensons par exemple aux A.P.T (Advanced Persistent Threats) qui sont des cyber attaques qui ont pour objet de rester le plus longtemps possible dans le sys¬tème d’information de l’entreprise sans éveiller les soupçons et qui permettent aussi de voler des informations. Troisièmement, et de manière plus générale, en France, la sécurité privée n’a pas la même place dans la société que d’autres pays occidentaux. Par exemple, en Grande-Bretagne, des agents de sécurité privée peuvent se voir confier des enquêtes de voisinage, s’assurer de la garde des personnes arrêtées, répondre aux appels dans les salles de commande (De Maillard 2013). A l’inverse, rien de tout cela en France. La situation française est marquée par le poids d’un Etat centralisé. Dans la conscience de nombreux décideurs publics et privés l’idée reste ancrée que la sécurité est du monopole de l’Etat.

Enfin, dernier point important, le processus d’achat de la sécurité en entreprise. D’après Mulone, au Canada, la consommation de la sécurité en entreprise serait liée à l’action du directeur de la sécurité. Si tel est le cas au Canada, en France, tel n’est pas nécessairement le cas. La consommation de biens ou de services de sécurité ne dépend pas nécessairement de la direction de sécurité. La direction achat de l’entreprise peut gérer directement la consommation d’achat. De même, pour les activités qui ne dépendent pas du siège, les centres de profit (les «business units» ou B.U.) peuvent décider de l’achat ou non de sécurité sans en référer aux responsables de sécurité. Certes le directeur de la sécurité peut avoir un rôle de conseil, mais ses conseils peuvent être également sans effet ou inconnus de ces centres de profit (certaines B.U. ignorent même dans certains cas qu’il existe un directeur de la sécurité). Dans ce contexte, ces derniers chercheront à maximiser leur profit et donc à limiter au maximum leurs dépenses de sécurité.

Par conséquent, en France, la consommation de sécurité privée au sein des entreprises paraît limitée. Plusieurs arguments peuvent être avancés pour expliquer cette situation: la place des directions de sécurité et de sûreté au sein des entreprises, la complexité du processus d’achat de sécurité dans les organisations, l’histoire récente des services internes de sécurité dans les entreprises ou encore la place accordée par les décideurs à l’Etat dans la production de sécurité. Néanmoins, cette situation tend à changer, comme nous allons l’analyser présentement.

II. Les dépenses de sécurité en entreprise en France: vers une augmentation certaine dans les années à venir

La demande de sécurité en France connaît une évolution positive de son chiffre d’affaire (de 1998 à 2010, le volume du chiffre d’affaires a progressé en moyenne de +5.5 %) profitant notamment de la demande de sécurité des entreprises puisque celles-ci sont les principaux clients (77 % du chiffre d’affaire) du secteur de la sécurité privée. Mais comme nous l’avons démontré, cette progression aussi importante soit-elle ne reflète pas la réalité éco¬nomique du marché de la sécurité et plus particulièrement la consommation de sécurité en entreprise. Cette dernière reste modeste en comparaison à la consommation d’autres pays comme les Etats-Unis ou le Royaume-Uni par exemple. Cette réalité n’est peut-être pas amenée à perdurer et ce pour différentes raisons. D’une part, et même si les effets seront certainement limités, les inquiétudes relatives à la menace terroriste suite aux attaques terroristes de janvier 2015 à l’encontre de la rédaction du journal Charlie Hebdo ont mis en évidence la nécessité des entreprises de se protéger. Rappelons que suite aux attentats du 11 septembre 2001, les entreprises américaines avaient vu, après coup, leur budget sécurité croître de 10 % (Gill 2014) (5). Il est probable que certaines entreprises en France fassent le choix d’accroître les budgets de sécurité et par voie de conséquence augmentent leur consommation en la matière.

Deuxièmement, les grands groupes se sont engagés dans l’assainissement de l’offre de sécurité privée et le développement d’une offre de sécurité haut de gamme. Ainsi, les agents de sécurité présents chez Louis Vuitton sont payés environ 200 à 300 euros/jours (de 27 à 40 €/h), qui sont des prix inaccessibles pour les PME (6). L’Oréal, Total, Bouygues, Lazard, etc., sont dans le même cas. Ce sont ces mêmes grands groupes qui ont milité pour une habilitation des sociétés de sécurité privée et leurs employés. A ce titre, depuis le 7 mars 2009, tout candidat à l’emploi pour exercer des activités privées de sécurité (agent de sécurité et de gardiennage, agent cynophile, portier de discothèque, agent de sûreté aéroportuaire, transporteur de fonds, personne chargée de la protection physique de personnes) doit être titulaire d’une carte professionnelle. La délivrance de cette carte repose à la fois sur des conditions de moralité, mais aussi sur des conditions d’aptitude (définit par un nombre d’heures de formation ou/et par la preuve de l’exercice pendant une certaine durée). Par conséquent, les entreprises sont prêtes à dépenser plus, si elles ont l’assurance d’une meilleure qualité (ce qui n’était pas nécessairement le cas). La mise en place de certifications et de qualifications en matière de sécurité peut être un signal crédible de l’amélioration de l’offre de sécurité et favoriser à terme l’achat de biens et de services à des prix plus élevés. Par ailleurs, l’AFNOR, organisme de normalisation français, s’inscrit dans le cadre de la démarche de normalisation internationale en matière de sécurité promue par l’organisation internationale de normalisation (ISO). Cette démarche internationale de normalisation, appelée ISO TC 292 security, vise à la fois à normaliser les démarches de management de la sécurité, de gestion de continuité d’activité, de résilience, de gestion de crise, de lutte anti-contrefaçon ou encore les services de sécurité. Cette démarche qui a pour objet de rendre plus performant les procédures et les services de sécurité aura certainement en bout de chaîne un impact sur la qualité et les coûts en matière de sécurité. Elle rassurera le donneur d’ordre qui sera prêt à payer plus cher un service nor¬malisé qu’un service qui ne l’est pas.

Troisièmement, la pression des assureurs dans le domaine de la lutte contre la malveillance va aller certainement en s’accroissant. Alors que ces derniers proposent de nouveaux contrats d’assurance aux entreprises françaises (le contrat d’assurance face aux cyber-risques a vu le jour en 2010, par exemple), il est probable que les entreprises qui s’assureront face à ces nouveaux risques devront modifier leur consommation en matière de sécurité. Les assureurs cherchent en effet à inciter les assurés à maintenir un niveau minimum de sécurité afin d’éviter d’avoir à supporter un risque trop élevé de pertes potentiels. Dans ces conditions, l’assureur veillera à ce que le client respecte bien les règles du contrat et dans ce cadre cherchera à contrôler régulièrement les assurés pendant la durée du contrat. Ainsi, une coopération est-elle nécessaire entre les assureurs, les assurés et les spé¬cialistes de la sécurité afin d’éviter tout dommage important.
Quatrièmement, l’offre technologique de sécurité connaît une profonde mutation. En effet, si la demande de technologie de sécurité complexe a connu, semble-t-il, un ralentissement au tournant de 2010, la donne est peut être entrain de changer. En effet, d’après un rapport du ministère de l’intérieur datant de 2009, la demande en technologies de sécurité avait diminué en raison de la complexité de ces technologies et de leur faible adaptation aux besoins de l’entreprise. Une grande entreprise de la grande distribution française avait à ce titre abandonné les contrôles d’accès biométrique et les caméras sur rails trop onéreux par rapport aux résultats obtenus. De même, si une entreprise de luxe admettait utiliser des caméras de surveillance très sophistiquées, elle rappelait également que les protections mécaniques, comme les portes blindées, les vitres spéciales, les serrureries, restaient déterminantes. Ce constat est peut-être entrain de changer, les technologies évoluant. Ainsi, le «piégeage» à la source (par étiquette RFID – Radio Frequency Identification) se développe. De même, les drones, qui disposent d’un encadrement réglementaire précis depuis le 11 avril 2012, semblent être promis à des développements dans le champ de la sécurité. A cet égard, la SNCF expérimente les drones pour l’inspection de voies ferrées. De même, Securitas propose en France une securisation par drone. Comme le note Securitas sur son site internet: «Le drone est un outil complémentaire au travail de l’agent de sécurité, capable de dépasser sa perception visuelle, et d’aller dans des zones à risques et non accessibles par l’homme. Cela en fait un outil ergonomique, facile d’utilisation et rapide pour des délais d’intervention réduits dans le cadre d’une levée de doute (7)».

Enfin, la consommation de sécurité devrait progresser car les directions sécurité également évoluent. Les directions de la sécurité dans les entreprises seraient comparables à celles des ressources humaines, il y a 20 ans (Hassid, Juillet et Pellerin 2012). Une plus grande professionnalisation et une meilleure reconnaissance du rôle des directeurs de la sécurité est attendue. A cet égard, dans le cadre de deux études réalisées par le CDSE en 2009 et en 2014, il ressort que la place du directeur de la sécurité évolue rapidement. Ainsi, si aucun directeur de la sécurité n’appartenait au conseil d’administration de son entreprise en 2009, date de la première enquête, il ressort que six ans plus tard, six (sur un échantillon de 73 entreprises) en font partie. Outre sa place dans l’organigramme de l’entreprise, son périmètre change également. En effet, les compétences des directeurs de sécurité et leur périmètre d’action ne cesse de s’accroître: protection de l’image, biovigilance, lutte contre la contrefaçon, lutte contre la fraude interne. Pour résumer, tout porte à croire que la consommation de sécurité en France devrait progresser beaucoup plus vite que cela ne fut le cas au cours de la précédente décennie. La normalisation en cours dans le domaine de la sécurité, le développement de contrats d’assurance spécifique ou encore l’évolution du métier de directeur de la sécurité font partie de ces paramètres qui devraient influer sur la demande de sécurité. La consommation de sécurité devrait aussi progresser en raison du développement de nouveaux besoins en la matière.

III. Une nouvelle demande de sécurité émerge au sein des entreprises

La demande de sécurité de la part des entreprises est directement liée à leur développement. Plus elle recherche à se développer à l’international, plus a priori, elles ont besoin de protéger leurs actifs, à savoir leurs collaborateurs, leurs biens et leurs actifs immatériels (marques, informations stratégiques, etc.). Or de nombreuses entreprises françaises sont en quête de nouveaux marchés afin de pallier le manque de dynamisme du marché européen. Cette recherche de nouveaux marchés nécessite aussi bien de protéger les ressortissants à l’étranger, les flux de marchandises et enfin leurs informations.

1. La sécurité de leurs ressortissants à l’étranger dans un contexte international troublé

Les entreprises qui ont des activités à l’international font face à la question croissante de la sécurité des expatriés et des salariés en mobilité, des risques liés à la corruption et du risque d’être déstabilisé par l’image. L’attentat contre des ingénieurs de DCN en mai 2002 et la condamnation judiciaire de cette dernière pour «faute inexcusable» en 2004 prescrit une obligation générale de sécurité pour les entreprises. Cette jurisprudence a été renforcée en 2006 par un jugement similaire concernant les organisateurs de voyages touristiques suite aux enlèvements de français à Jolo.
Une enquête recense les attaques commises contre 82 grandes entreprises internationales en 2008 et 2009: 34 % d’entre elles ont souffert d’attaques contre leurs sites; 6 % étaient confrontées au meurtre d’employés, 17 % à des enlèvements et 2 % à de la piraterie maritime. 31 % ont été visées par le terrorisme ou la guérilla (Monnet, Very et Hassid 2010). Ces données dessinent un environnement difficile où la protection des personnes est une nécessité et une obligation à laquelle aucune entreprise ne peut déroger. Or les entreprises françaises sont de plus en plus à la recherche de relais de croissance dans des zones considérées comme instable par le ministère des affaires étrangères français. Elles n’ont pas d’autres solutions que de protéger leurs salariés qui travaillent dans ces zones. Comme le souligne Zygmunt Bauman, «menace et sécurité sont à présent devenues, essentiellement des questions extraterritoriales (et diffuses) qui échappent aux solutions territoriales (et centrées)» (Bauman 2005, p.127). Dans ce contexte, les entreprises peuvent moins compter sur les Etats pour les protéger et doivent donc recourir à des moyens de sécurité privée.

2. La sécurisation de la chaîne de transport des marchandises

La «chaîne de transport» ou «chaîne d’approvisionnement», correspondant à l’ensemble de la logistique de transport de marchandises de leur point d’origine à leur destination finale, est plus ou moins complexe selon le nombre d’opérateurs et selon le nombre de maillons et de modes de transport utilisés. A côté des aéroports internationaux déjà mobilisés à travers le contrôle des flux, qui les intéressent, les ports sont un enjeu essentiel et croissant de sécurité: 90 % des biens de consommations et 67 % des biens énergétiques entrent sur le continent européen par ce biais (8).
Les biens stockés ou en transit sont devenus des cibles potentielles pour le terrorisme et la criminalité organisée. L’internationalisation de ce type de commerce induit que toute perturbation liée à un attentat ou à une catastrophe dans un port aurait un impact immédiat sur l’économie du pays et celle des pays riverains (9). Les pertes liées au vol de conteneurs ou de biens à l’intérieur des conteneurs s’élèveraient à 20 milliards de dollars par an au niveau mondial (Sitt, Hautecouverture 2007). Le développement de la criminalité environnementale, notamment le trafic de déchets toxiques, peut y trouver refuge.
Or si la France ne dispose pas à ce jour des plus grands ports européens, Haropa, le premier port français (10), disposant de 6,41 % des parts du marché européen, il n’en demeure pas moins vrai que l’espace à sécuriser, déjà important, va s’étendre dans les années à venir. Haropa estime, en effet, à
500.000 mètres carrés les surfaces aménagées pour la logistique qui pourraient voir le jour dans les trois à quatre prochaines années (11). Par ailleurs, La France est la 5ème puissance portuaire européenne, avec plus de 360 millions de tonnes de fret et 30 millions de passagers par an (12). Cela nécessite par conséquent à la fois d’assurer la surveillance et le contrôle des biens et des personnes et d’éviter tous les trafics illicites. A cet égard, les installations portuaires soumises au code ISPS (13) doivent obligatoirement être pourvues d’équipements spéciaux à l’instar de la vidéo surveillance, des détecteurs de mouvements et des Réseaux Radio Maillé (réseau sans fil basé sur la technologie Wi-Fi utile à la transmission numérique de données, de voies ou de vidéos). Sans toutefois oublier les mesures classiques telles que la construction de barrières de protection.

3. Le renseignement en entreprise

A la recherche de nouveaux marchés et de nouveaux projets pour investir des capitaux accumulés, les entreprises ont des demandes croissantes en matière de renseignement qu’il s’agisse de réaliser une joint venture avec une entreprise étrangère, de racheter une autre entreprise ou encore de s’implanter dans une zone a priori instable. Franck Bournois et Pierre-Jacquelin Romani (2000) décrivent le renseignement en entreprise comme la collecte, le traitement et la diffusion de connaissances utiles à la maîtrise de son envi-ronnement, qui peut apporter des menaces et des opportunités. Il paraît donc naturel que les segments qui s’y rapportent, comme les entreprises de conseil, d’audit, d’intelligence économique, d’ingénierie de sécurité, connaissent une forte croissance. Le segment spécifique des enquêtes privées qui réalise de la veille opérationnelle, des investigations financières, des enquêtes commerciales, des analyses de gestion des risques, des investi-gations relatives à la contrefaçon et des analyses sur le risque pays connaît un essor important. On dénombre ainsi pas moins de 53 entreprises en 2012 qui obtiennent un chiffre d’affaires total de 80.3 millions d’euros (contre 40.4 en 2003) (En toute Sécurité 2013).
Plus particulièrement, les entreprises sont très consommatrices de «due diligence». Il s’agit de réaliser une investigation ou un audit dans le cadre d’un éventuel investissement. Une «due diligence» sert à confirmer ou infirmer la pertinence d’un investissement au regard non seulement des éléments financiers des actifs achetés, mais également de la moralité du vendeur. Elle correspond donc à un moyen de prévenir les mauvaises surprises qui peuvent survenir lors d’une transaction entre l’acheteur et le vendeur.
Dans cette perspective, lorsqu’une entreprise est susceptible de devenir partenaire, la première démarche consiste à rassembler les éléments d’identification de l’entreprise: date de création, historique de la société, raison sociale, forme juridique, adresse du siège et des établissements, comptes et bilans, principaux actionnaires et filiales, capital, dirigeants, partenaires bancaires, effectifs, notoriété de l’entreprise dont les affaires judiciaires en cours.
Dans un deuxième temps, il convient de vérifier le niveau de confiance que l’on peut avoir vis-à-vis du partenaire par l’intermédiaire de sources ouvertes: compétences techniques, réactions syndicales au mode de gestion des ressources humaines, santé financière, présence de concurrents dans l’actionnariat, référence client, notoriété des dirigeants, affaires judiciaires en cours, etc. Si certains éléments recueillis font apparaître des incohérences ou des flous (par exemple schéma difficile à établir de l’actionnariat, ou un bilan comptable douteux), l’entreprise, par l’intermédiaire de sa direction sûreté, pourra s’aider des services de renseignement ou se tourner vers des cabinets de conseil chargés de pousser l’investigation.

 

Conclusion

La consommation de sécurité privée en France par les donneurs d’ordre est finalement assez limitée même si la demande est croissante au cours des années récentes. Comparés aux donneurs d’ordre internationaux, notam¬ment américains, les prestations externalisées au secteur de la sécurité sont peu utilisées par les grands donneurs d’ordre français.
Néanmoins, cette situation est certainement amenée à évoluer dans les années à venir. En dehors d’aspects conjoncturels, les budgets de sécurité internes dans les entreprises et externes à ces dernières devraient augmen¬ter rapidement. Les grands donneurs d’ordre en tout cas vont certainement faire preuve, pour reprendre un concept développé par Di Maggio et Powell (1983), d’un isomorphisme institutionnel. Ils vont être de plus en plus conduits, dans un contexte d’incertitude, à imiter leurs concurrents interna¬tionaux. Par ailleurs, l’Etat français incite de plus en plus les entreprises à se protéger elles-mêmes face aux menaces externes. La pression exercée par l’Etat peut inciter nombre d’entre elles à prendre des mesures de protection, notamment lorsqu’elles interviennent à l’international. Enfin, la communauté des directeurs de sécurité favorise la prise de conscience de cette problématique au plus haut niveau de l’entreprise.
Or si Di Maggio et Powell distinguent trois formes d’isomorphisme (isomorphisme coercitif, isomorphisme normatif, isomorphisme mimétique (14)), on peut se demander pour conclure s’il est nécessaire de mettre en œuvre un isomorphisme coercitif.
Un isomorphisme imitatif ou normatif, a priori moins coûteux à mettre en œuvre, ne peut-il pas suffire à développer la consommation de sécurité? Débat qui devra faire certainement l’objet de discussions intenses à la fois au niveau gouvernemental et de la part des industriels de la sécurité privée…

 

 

Bibliographie

Bauman, Z. (2005), La société assiégée, Le Rouergue. Berlière, J-M. et Lévy, R. (2013), Histoire des polices en France, De l’ancien régime à nos jours,, Nouveau monde éditions. Bournois, F. Romani, P.-J. (2000), L’intelligence économique et stratégique dans les entreprises françaises, IHEDN/Economica. De Maillard, J. (2013), «Les dynamiques récentes de la police et de la sécurité privée en Grande-Bretagne», Sécurité&Stratégie, n°13, pp. 19-26. DiMaggio, Paul J. Powell, W. W. (1983). The Iron Cage Revisited: Institutional Isomorphism and Collective Rationality in Organizational Fields. American Sociological Review, 48(2), pp. 147–160. En toute sécurité (2013), Atlas 2013, Panorama économique de la sécurité en France, 23e édition, Technopresse, En toute sécurité, 2013. Gill, M. (2014), The Handbook of security, 2e edition, Palgrave Macmillan, edited by Martin Gill. Griot, L. (2015), «Second portrait des directions de sécurité et de sûreté», Sécurité&Stratégie,
n°19, à paraître. Kalifa, D. (2000), Naissance de la police privée, détectives et agences de recherches en France 1832-1942, Plon.
Hassid, O., Juillet, A. et Pellerin, M. (2012), Gérer les risques criminels en entreprises, De Boeck.
Lesaux N. (2014), La privatisation des activités de sécurité et de défense: la fin des Etats?, Thèse de doctorat de droit, Université de Nice.
Lippert, R.K, Walby, K. et Steckle, R. (2013), Multiplicities of corporate security: identifying emerging types, trends and issues”, Security Journal, 26, pp. 206-221.
Malthus, T. R. (1836), Principles of Political Economy, deuxième édition, A. M. Kelley, 1951.
Mattelart, A. (2007), La globalisation de la surveillance, aux origines de l’ordre sécuritaire, La découverte, p.153.
Monnet, B., Very, O. et Hassid, O. (2010), «Panorama 2008-2009 des crimes commis contre les entreprises», Sécurité & Stratégie, n°3, mars 2010, pp. 9-15.
Mulone M. (2013), «Directeurs de sécurité en entreprise et consommation de la sécurité. Etude exploratoire canadienne», Criminologie, Vol. 46, n°2, pp. 149-170.
Nalla, M. et Morash, M. (2002), «Assessing the scope of corporate security: common practices and relationships with other business functions», Security Journal, 15, pp. 7-19.
Ocqueteau, F. (2011), «Chefs d’orchestre de la sûreté des entreprises à l’ère de la sécurité globale», Champ pénal, Vol. VIII, mis en ligne le 09 septembre 2011, http://champpenal.revues.org/8142; DOI:10.4000/champpenal.8142.
Robin M., Mordier, B. (2013), «La sécurité, un secteur en pleine expansion», Insee première, n°1432, janvier.
Sitt, B. et Hautecouverture B. (2007), «Sécurité des conteneurs. Pour un Code de conduite mul¬tilatéral», AFRI, Vol. VIII.
Spich, R. et Grosse R. (2005), «How does homeland security affect U.S. firms’international competitiveness», Journal of international management, Vol. 11, Issue 4, Dec. 2005, pp. 457-478.
Vuillerme, J-P. (2013), «Enquête au cœur des directions de sécurité et sûreté», Sécurité & Stratégie, pp. 5-20, Octobre 2013/décembre2013, n°14.

Notes

1 Malthus, T. R. (1836), Principles of Political Economy, deuxième édition, A. M. Kelley, New York, 1951.
2 Les cyber attaques représenteraient un coût annuel de 400 milliards d’euros selon le rap¬port 2015 du Forum économique de Davos. Source: http://www3.weforum.org/docs/WEF_Global_Risks_2015_Report.pdf.
3 Les services en charge de la malveillance en France s’appellent dans certains cas: direction de la sécurité, direction de la sûreté, direction de la sécurité et de la sûreté, etc. 4 ISMA Benchmarking Survey, Security department organization, juillet 2009: https://isma.com (consulté le 1er février 2015). 5 Cette croissance est grandement due aux mesures prises par le gouvernement américain (Spich et Grosse 2005). 6 D’après les syndicats de la sécurité privée (USP, SNES) en France, le coût horaire moyen d’un agent de sécurité est de 17€.
7 Source: http://www.securitas.com/fr/fr/Media/Notre-actualite/Innovation-Securitas—la-securitepar-drone (consulté le 1er février 2015).
8 MINISTERE DE L’INTERIEUR, DELEGATION A LA PROSPECTIVE ET A LA STRATEGIE – Dépense de sécurité des entreprises: charges ou investissements?, Décembre 2009.
9 Lorsque le MSC Napoli a fait naufrage au large du Royaume-Uni, une usine automobile en Afrique du Sud a connu plusieurs jours de chômage technique car un des conteneurs conte¬nait un stock de boites de vitesse.
10 Alliance des ports du Havre, de Rouen et de Paris.
11 Source: http://www.lesechos.fr/journal20150129/lec2_industrie_et_services/0204115545312-bilanen-demi-teinte-pour-le-premier-port-francais-1088088.php (consulté le 5 février 2015).
12 Source: http://www.developpement-durable.gouv.fr/Une-nouvelle-strategie-pour-les.html (consulté le 5 février 2015).
13 L’ISPS, International Ship and Port Security, qui en français signifie Code international pour la sûreté des navires et des installations portuaires est entré en vigueur depuis juillet 2004.
14 L’isomorphisme coercitif est le résultat de pressions tout autant formelles qu’informelles exercées par les organisations appartenant à un champ. Dans cette perspective, de nouvelles règles politiques et législatives sont susceptibles d’encourager le changement orga¬nisationnel. L’isomorphisme normatif se distingue du précédent, par l’importance accordée au phénomène de professionnalisation. La professionnalisation est ici appréhendée comme l’ensemble des efforts collectifs des membres d’une profession pour définir leurs conditions et méthodes de travail et établir une base légitime à leurs activités, leur garantissant un degré d’autonomie suffisant.

Publié dans Revue Internationale de CRIMINOLOGIE et de POLICE Technique et Scientifique 03/2015

SaaS, SDS, Big Data, ML ou DL … : évolution permanente des menaces, comment rester protégé avec les dernières technologies Sécurité sans dépasser son budget ?

Posté on 08 sept 2016 at 4:31

27 septembre 2016, RV à l’Intercontinental Paris Avenue Marceau

 

Software as a Service, Software Defined Security, Big Data, Machine Learning, Deep Learning … :

Indispensables pour rester infaillible aujourd’hui ? Complément obligatoire des méthodes traditionnelles ? Comment les intégrer ? Quelle économie ? 

Risques & Menaces, Conseils et Solutions

 

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

 

Numérisation de l’entreprise, évolution du Système d’Information, rôle des Dirigeants, DSI, RSSI, départements métier, DRH … c’est toute l’entreprise qui est en pleine mutation. Un SI en perpétuelle évolution et sans frontière physique, qui avec le Cloud voit apparaître de nouveaux services internes et externes, à un rythme soutenu. De nouvelles manières de travailler, l’apparition d’Objets Connectés dans le quotidien professionnel … autant de raisons de faire régulièrement le point sur les vulnérabilités et menaces qui pèsent sur l’entreprise car il est difficile d’imaginer et mettre sur pied une stratégie de protection et de défense sans connaître les risques encourus. Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ? Notamment en intégrant rapidement les dernières technologies conçues pour se protéger au mieux des menaces en perpétuelle évolution.

Autant de questions et sujets auxquels répondront le 27 septembre matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

 

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

 

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

 

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

 

Agenda

  • 8H30 – Accueil des participants : petit-déjeuner et Networking
  • 9H00 – Panorama des Menaces & Risques relatifs au thème, par Helmi Rais, Directeur AlliaCERT chez Alliacom
  • 9H20 – Conseils et guides pratiques, sujet : « Hadoop : peut-on lui confier la sécurité ? Retour terrain de tests d’intrusion » par Thomas DEBIZE, consultant et auditeur sécurité chez Wavestone
  • 9H40 – Retour d’expérience & Solution, point de vue de Darktrace avec Jérôme Chapolard
  • 10H00 – Conseils et guides pratiques, par Thomas Tranier, Directeur Cert-Lexsi
  • 10H20 – PAUSE Networking
  • 10H40 – Panel sur «SaaS, SDS, Big Data, ML ou DL … : comment rester protégé avec les dernières technologies Sécurité sans dépasser son budget ? » avec Maître François Coupez, avocat qui abordera la partie juridique, Expérience en entreprise et conseils avec Martine Guignard, RSSI Imprimerie Nationale et 
membre du Clusif, réalité au sein des entreprises avec un DSI, également retour terrain et conseils avec Ely de Travieso, Elu en charge de la Cybersécurité CGPME et Dirigeant PhoneSec, également expert en sécurité et participation d’un consultant en sécurité, Cabinet HSC, associé Deloitte, Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag 
  • 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
  • 11H45 – PAUSE Networking avec Tirage au sort de Tablettes et Casques universels de Réalité Virtuelle autour d’une coupe de champagne
  • 12H15 – Clôture de la conférence

 

En bref ...

En bref …

Posté on 10 juin 2016 at 5:12

De multiples vulnérabilités affectent la bibliothèque de traitement d’image ImageMagick qu’utilisent nombre de serveurs Web. Découvertes par Nikolay Ermishkin et un chercheur anonyme “Stewie”, ces failles sont, pour certaines, facilement exploitables, notamment CVE-2016-3714 baptisée ImageTragick

En Bref ...

En Bref …

Posté on 10 juin 2016 at 6:06

Les pirates responsables des deux attaques contre le réseau interbancaire Swift ont bénéficié de complicités internes, estime Christiaan Beek de l’Avert Lab . La trop « intime » connaissance des outils et utilitaires employés par les banques et la manière de les compromettre laisse peu de doutes à ce sujet

En Bref ...

En Bref …

Posté on 01 juin 2016 at 7:47

Une série de failles exploitables à distance découvertes par Tavis Ormandy (Google) dans les antivirus Symantec et Norton . Au mieux, un heap overflow sous Unix/Linux, au pire une corruption mémoire sous Windows au niveau du noyau en Ring zéro

En Bref ...

En Bref …

Posté on 01 juin 2016 at 7:42

Dans les vieilles attaques, les meilleures soupes de mots de passe. Brian Krebs revient sur l’attaque LinkedIn de 2012 dont la fuite de données ferait l’objet d’une vente au compte-goutte. La dernière en date, qui porte sur 117 millions d’identités, était dévoilée par Motherboard Vice .

En Bref ...

En Bref …

Posté on 01 juin 2016 at 7:35

Depuis fin avril, Dancho Danchev a publié près d’une dizaine d’articles signalant une nette recrudescence des « apps » Android camouflant un malware . Il dresse une liste de serveur C&C qui donne une idée assez précise de l’agilité et la furtivité des attaquants.

SaaS, SDS, Big Data, ML ou DL ... : évolution permanente des menaces, comment rester protégé avec les dernières technologies Sécurité sans dépasser son budget ?

SaaS, SDS, Big Data, ML ou DL … : évolution permanente des menaces, comment rester protégé avec les dernières technologies Sécurité sans dépasser son budget ?

Posté on 27 mai 2016 at 9:39

27 septembre 2016, RV à l’Intercontinental Paris Avenue Marceau

 

Software as a Service, Software Defined Security, Big Data, Machine Learning, Deep Learning … :

Indispensables pour rester infaillible aujourd’hui ? Complément obligatoire des méthodes traditionnelles ? Comment les intégrer ? Quelle économie ? 

Risques & Menaces, Conseils et Solutions

 

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

 

Numérisation de l’entreprise, évolution du Système d’Information, rôle des Dirigeants, DSI, RSSI, départements métier, DRH … c’est toute l’entreprise qui est en pleine mutation. Un SI en perpétuelle évolution et sans frontière physique, qui avec le Cloud voit apparaître de nouveaux services internes et externes, à un rythme soutenu. De nouvelles manières de travailler, l’apparition d’Objets Connectés dans le quotidien professionnel … autant de raisons de faire régulièrement le point sur les vulnérabilités et menaces qui pèsent sur l’entreprise car il est difficile d’imaginer et mettre sur pied une stratégie de protection et de défense sans connaître les risques encourus. Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ? Notamment en intégrant rapidement les dernières technologies conçues pour se protéger au mieux des menaces en perpétuelle évolution.

Autant de questions et sujets auxquels répondront le 27 septembre matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

 

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

 

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

 

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

 

Agenda

  • 8H30 – Accueil des participants : petit-déjeuner et Networking
  • 9H00 – Panorama des Menaces & Risques relatifs au thème, par Helmi Rais, Directeur AlliaCERT chez Alliacom
  • 9H20 – Conseils et guides pratiques, sujet : « Hadoop : peut-on lui confier la sécurité ? Retour terrain de tests d’intrusion » par Thomas DEBIZE, consultant et auditeur sécurité chez Wavestone
  • 9H40 – Retour d’expérience & Solution, point de vue de Darktrace avec Jérôme Chapolard
  • 10H00 – Conseils et guides pratiques, par Thomas Tranier, Directeur Cert-Lexsi
  • 10H20 – PAUSE Networking
  • 10H40 – Panel sur «SaaS, SDS, Big Data, ML ou DL … : comment rester protégé avec les dernières technologies Sécurité sans dépasser son budget ? » avec Maître François Coupez, avocat qui abordera la partie juridique, Expérience en entreprise et conseils avec Martine Guignard, RSSI Imprimerie Nationale et 
membre du Clusif, réalité au sein des entreprises avec un DSI, également retour terrain et conseils avec Ely de Travieso, Elu en charge de la Cybersécurité CGPME et Dirigeant PhoneSec, également expert en sécurité et participation d’un consultant en sécurité, Cabinet HSC, associé Deloitte, Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag 
  • 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
  • 11H45 – PAUSE Networking avec Tirage au sort de Tablettes et Casques universels de Réalité Virtuelle autour d’une coupe de champagne
  • 12H15 – Clôture de la conférence

 

Retour sur Ruag : les 480 jours d’un cyber-espion

Retour sur Ruag : les 480 jours d’un cyber-espion

Posté on 25 mai 2016 at 8:16

Le bref rapport publié dans le quotidien du Sans et le compte rendu détaillé du Cert Suisse sont d’accord : l’APT qui a frappé Ruag, entreprise Helvétique travaillant dans le domaine de l’aéronautique et de la défense, était difficilement détectable. Pas de journaux d’évènements pour témoigner de l’intrusion originelle, des mouvements de fichiers excessivement restreints, une diffusion lente et progressive au sein du réseau interne, diffusion elle-même limitée à des cibles très précises, toute cette activité barbouze s’est déroulée en dessous de la ligne de détection des radars. De septembre 2014 à janvier 2016, les cyber-espions ont tenu salon sur le réseau Ruag sans déclencher la moindre alarme. Les moyens d’attaque, explique l’analyse du Cert, sont connus : rootkit de la famille Turla, keyloggers, escalade de privilèges, infections cloisonnées système par système, échanges avec l’extérieur très contrôlés et limités dans le temps. Rien de franchement révolutionnaire d’un point de vue technique, mais un mode opératoire très discret, allant même jusqu’à utiliser les antiques « canaux de communication nommés », alias « named pipes », lors des dialogues entre machines infectées.

Le récent rapport Dbir 2016de Verizon débutait par un sinistre « 89% des brèches de sécurité exploitées sont liées à des activités d’espionnage ou de détournement financier » et continuait avec une métrique à contre-courant : l’accroissement du « temps d’exploitation avant découverte » (time to discover). Située en moyenne aux environs de 300 jours il y a deux ans, elle semblerait augmenter au fur et à mesure que les cyber-espions industriels ou aux ordres des Etats-Nation affinent leurs techniques. Ruag n’est ni un cas exceptionnel, ni un cas isolé.

Chez Google, même le chiffrement est cryptique.

Chez Google, même le chiffrement est cryptique.

Posté on 24 mai 2016 at 8:32

Présenté comme une riposte à Whatsapp, Google Allo, outil de messagerie instantané sécurisé, est frappé soit d’un « bug », soit d’une « feature » selon que l’on travaille ou non pour la Dontbeevil Company. Suite à un billet de blog signé Thai Duong, expert sécurité chez Google, l’on apprend que le mode de chiffrement de bout en bout intégré dans Allo n’est pas activé par défaut.

Sans cette limitation, expliquent les porte-paroles du Premier Surveillant de l’Internet Mondial, Google Assistant ne pourrait plus fonctionner correctement. Assistant, la version N+1 de Google Now, l’adversaire du Siri d’Apple, a besoin de textes en clair pour analyser les moindres désirs de la population Androïdisée. Mais c’est compter sans Allo qui, à sa manière, rejoue une pièce connue du théâtre de boulevard pour RSSI et CSO intitulée « si je chiffre mes flux, je suis incapable de voir passer virus et fuite d’information ».

Sans surprise, un Twitt assassin émis par Edward Snowden déconseille l’usage de cet outil de communication, en raison du sentiment de fausse sécurité qu’il pourrait procurer. Chris Soghoian (Aclu), émet une hypothèse tout à fait plausible. Selon lui, il s’agit là d’une position purement politique, destinée à éviter tout futur affrontement avec les services de police tant des USA que du reste du monde. Le différend qui a opposé Apple et le FBI au cours de l’affaire de la tuerie de San Bernardino a tempéré les ardeurs des fournisseurs de services et opérateurs.

Publicité

MORE_POSTS

Archives

septembre 2016
lun mar mer jeu ven sam dim
« juin    
 1234
567891011
12131415161718
19202122232425
2627282930