La mutation actuelle du secteur de la sécurité dans les entreprises

Le domaine de la sécurité dans les entreprises vit une profonde transformation à l’heure actuelle qui tend à faire émerger un nouveau paradigme. Ces changements radicaux sont liés à l’évolution sécuritaire globale avec l’apparition de nouveaux risques et vulnérabilités. Les menaces les plus répandues pour les importantes multinationales sont les menaces terroristes, les cyber-attaques, puis viennent les menaces géopolitiques et celles liés à l’environnement. Une étude menée par PWC fait état de l’évolution du service sécurité des entreprises soumises au risque le plus important en la matière. Elle a été conduite auprès 23 entreprises au chiffre d’affaires parmi les plus importants, dont 20 présentes à l’international.

La nouvelle organisation de la sécurité dans les entreprises

Le rapport du cabinet d’audit anglais, PWC, apporte un éclairage instructif concernant les bouleversements constatés dans l’organisation de la sécurité des entreprises.

Les 3 transformations du service sécurité dans les entreprises

La position du service sécurité dans les entreprises évolue complètement. Trois transformations majeures ont été identifiées par PWC :

• La centralisation : Les entreprises aujourd’hui qui se soucient davantage de la cyber-sécurité font collaborer bien plus les services de cyber-sécurité et de sécurité. Ces deux problématiques sont en réalité très liées. Auparavant, ces deux départements collaboraient peu. Or, la cyber-sécurité devenant un risque ultra prégnant dans les entreprises, avec notamment les attaques terroristes, il est nécessaire de faire fonctionner ensemble ces 2 services de façon bien plus systématique qu’avant.
• La structure : Les services de sécurité des entreprises sondées par PWC sont organisés autour de compétences des experts employés. Ces dernières sont relatives à la sécurité physique, la protection de l’information, le management de crise, la cyber-sécurité et les enquêtes.
• La professionnalisation : Le service a amplement recours à l’embauche d’experts en sécurité informatique pour assurer ces missions.

Dans un environnement complexe et en constante évolution, les moyens mis en œuvre pour l’analyse et la gestion des outils liés à la sécurité sont essentiels à une organisation saine. Cette dépense au sein des entreprises devient de plus en plus importante pour elles.

Qu’est-ce que l’intelligence d’entreprise ?

Les informations sont au cœur de la sécurité et de l’intelligence d’entreprise. Beaucoup d’entre elles ont des services exclusivement dédiés à l’intelligence d’entreprise. C’est un service qui travaille étroitement avec le département sécurité dans les entreprises et qui soutient notamment les décisions stratégiques.

Il développe des process liés à la collecte des informations. Il s’assure de la provenance des informations regroupées et de leur collecte. Pour y parvenir, il utilise des bases de données afin de vérifier tous les éléments liés aux informations réunies. Il implémente aussi des outils open source.

Toutes les entreprises sondées par le cabinet britannique ont déclaré avoir déjà fait appel à des prestataires de service afin d’effectuer des enquêtes par rapport à des failles de sécurité. Étant donné le besoin constant de veille et de sécurité pour ce type de multinationales, et particulièrement celles des secteurs financiers et industriels, ils ont mis en place des centres d’analyse pour la sécurité fonctionnant 24 heures sur 24 et 7 jours sur 7.

Que sont les cellules de fusion ?

Les cellules de fusion sont une nouvelle tendance au sein des services sécurité dans les entreprises. Elles ont pour but de tirer parti des nouvelles technologies : le big data, l’intelligence artificielle, … Elles se focalisent principalement sur la collecte des informations, leur conservation et l’aide à la prise de décision.

Ces cellules sont créées dans les organisations au sein desquelles le service sécurité compte au moins 100 employés. Si l’entreprise en dénombre moins, ces cellules n’ont pas forcément lieu d’être.

La formation sur le thème de la sécurité en entreprise

Les entreprises organisent de plus en plus des formations internes avec les membres du comité de direction sur la sécurité. Le but est que ces derniers soient aptes à réagir en cas de besoin. Parce que, même s’il y a un service sécurité dans les entreprises, il faut tout de même que les personnes qui ont des rôles assez importants sachent réagir.

Les services de sécurité et de cyber-sécurité envoient, par ailleurs, de faux emails et des messages erronés sur les réseaux sociaux aux personnes ayant des postes à haute responsabilité. Ils vont observer quelle va être leur réaction. Si cela ne convient pas, ils vont pouvoir ajuster la formation. Ainsi, les membres du comité de direction vont apprendre à réagir comme s’il s’agissait d’une réelle faille de sécurité.

Enfin, les serious games sont assez appréciés pour former les employés et les sensibiliser à ce sujet. Ils prennent en quelque sorte la forme d’un exercice pratique.

Les 3 axes de défense principales de sécurité dans les entreprises

La société d’audit anglaise PWC met en exergue 3 axes majeurs de défense dans les entreprises.

Le pôle regroupant la politique de sécurité dans les entreprises

Il comprend essentiellement les activités opérationnelles et agit au niveau local ou régional. Il n’intervient pas au niveau global, mais au niveau de chaque petite filiale du groupe qui va avoir en quelque sorte son propre système de sécurité.

Le pôle responsable de la gestion de la sécurité dans les entreprises

Il est au cœur de l’articulation et de la définition du système de sécurité. Davantage centralisé que le premier pôle, il peut tout de même tenir compte de différences régionales, notamment pour les plus importantes multinationales. En effet, si elles sont présentes dans beaucoup de pays différents, les lois ne sont pas forcément les mêmes, ni les coutumes. Ce pôle est notamment responsable de l’analyse des risques et du système de protection de l’entreprise. Il évalue aussi les entreprises tierces auxquelles la société fait appel. Il est responsable de la formation des employés aux dispositifs de sécurité.

Le pôle développant et implémentant un programme d’audits

Son but est de permettre au management de gérer en amont les risques éventuels et ainsi de contribuer à l’amélioration du service sécurité. Ce pôle est très souvent indépendant des 2 premiers et seulement accessibles aux personnes du top management (le comité de direction). L’audit peut également être mené par des entreprises tierces, mais, dans ce cas-là, il est nécessaire de mener une enquête sur ces prestataires afin de s’assurer qu’ils soient véritablement de confiance.

Parce qu’elles facilitent l’accès aux informations, les nouvelles technologies, comme le big data par exemple, permettent aux entreprises de renforcer leur sécurité. Conscientes des enjeux pour elles, les entreprises font collaborer, plus qu’hier, leurs services sécurité et cyber-sécurité. Les membres du comité de direction et les employés ont des formations à différentes échelles par rapport à la sécurité dans les entreprises. Elles portent sur la façon de gérer une cyber-attaque, une attaque terroriste, … pour que l’entreprise puisse toujours se défendre.