Skip to main content

Gestion des risques criminels par l’entreprise

Auteur: 
Hassid, Olivier

 

En janvier 2010, une société belge a décidé de fermer partiellement ses activités au Mexique après que l’un de ses chantiers ait été attaqué par des supposés narco-trafiquants. En février 2010, une grande société canadienne a vu trois de ses salariés tués à proximité d’un de ses chantiers au Brésil. En mars 2010, une autre société française a dû négocier contre la coquette somme de 150 000 € la libération d’un de ses salariés au Nigéria. En août 2010, un salarié de la société Apple a été arrêté par la police américaine après que cette dernière ait réussie à prouver avec la collaboration de l’entreprise que celui-ci monnayait des informations stratégiques auprès de fournisseurs potentiels. 3000 clients d’une banque anglaise se sont vu extorquer leurs fonds entre juillet et août 2010 par des hackers qui ont réussi à infecter les internautes clients de la banque en leur implantant une famille de virus qui permet de contrôler les ordinateurs à distance.


Voici quelques exemples qui démontrent à quel point les menaces peuvent être variées et violentes en entreprise. Ce constat est confirmé par l’enquête internationale réalisée par l’EDHEC, une grande école française de management, et le CDSE, une association fédérant les principales directions de sécurité en Europe, sur les crimes et délits commis contre les entreprises en 2008 et 2009 (enquête effectuée entre octobre et décembre 2009 par questionnaire en ligne administré auprès des directeurs de la sécurité/sûreté des entreprises. Le CDSE et l’ECSA ont recueilli les données pour l’Europe, l’ISMA et l’OSAC  pour l’Amérique du Nord et l’ambassade du Japon en France  et le Council for public policy au Japon se sont mobilisés pour obtenir les réponses d’entreprises japonaises). Sur la base de 82 réponses émanant de grands groupes internationaux, il ressort que l’éventail des crimes et délits recensés sont de 35 sortes. Toutes les constituantes de l’entreprise sont menacées : ses ressources techniques, humaines, financières, son organisation, son champ d’opération, sa compétitivité et même sa propriété. Les ressources peuvent être volées, détournées, dégradées, voire détruites. Son organisation est utilisée pour le développement de trafics illicites ou pour le blanchiment d’argent sale. Des acteurs externes s’octroient des marchés publics auxquels l’entreprise soumissionne ou s’emparent de sociétés dans le cadre de programmes de privatisation. Sept répondants reconnaissent même que leur entreprise doit faire face à des concurrents contrôlés par des groupes criminels.  

 

Il est important de noter que du fait même que ces sociétés sont des sociétés internationalisées, certaines pouvant travailler dans plus de 130 pays, la diversité de la menace criminelle s’exprime aussi au niveau géographique puisque les crimes et délits signalés sont localisés sur tous les continents, dans une multitude de pays, qu’ils soient développés ou émergents. Signalons pour autant que si la palette des menaces est riche, il n’en demeure pas moins vrai que les menaces les plus prégnantes restent le vol de produits ou équipements sur les sites de l’entreprise (dans 84% des cas) et la fraude interne (67% des cas). Ce qui explique d’ailleurs que la majorité des crimes et des délits soit le fait de personnes de l’entreprise (Monnet, Very et Hassid, 2010) (87% des entreprises ayant répondu considèrent que les propres employés de l’entreprise sont acteurs des agissements criminels).


Fig. 1. Les principaux crimes et délits perpétrés en 2008 et 2009 dans les grandes entreprises internationalesSécurité & Stratégie, n°3, p.9.
 

Et naturellement tout cela a un coût puisque l’activité criminelle semble avoir pour effet d’annihiler les avantages économiques pour plus d’une entreprise sur deux. Par ailleurs, cela a un fort impact sur la baisse des marges opérationnelles et la croissance du chiffre d’affaires. Ainsi par exemple, entre 5 et 10% des ressources pétrolières seraient détournées par des bandes organisées entraînant un manque à gager d’au moins trois milliards de dollars par an pour les entreprises sur place. La délinquance subie entraîne donc des contraintes aux organisations et des entraves à leur essor économique.

 

En conséquence, les entreprises n’ont d’autres choix que d’introduire une politique de gestion des risques criminels, au même titre qu’elles mettent en place une politique de gestion des ressources humaines ou une politique de gestion des ressources financières. Par gestion des risques criminels, nous entendons alors la mise en place de procédures humaines, techniques ou technologiques visant à lutter contre le crime. Il peut à la fois s’agir de mesures d’identification de la menace (mise en place de fiches risque pays, cartographie des risques), de prévention situationnelle (contrôle d’accès, protection de l’intégrité des données, escorte, etc.) ou de mesures visant à renforcer la culture de sécurité de l’entreprise et des salariés (formations, guide, etc.). A ces différentes mesures, il convient d’ajouter l’ensemble des mesures de gestion de crise, qu’il s’agisse des plans de continuité d’activité («business continuity plan», qui répond à un objectif d’anticipation et est partie intégrante de la politique de prévention des risques de l’entreprise afin de garantir la continuité de ses activités lors de la survenance d’un sinistre), de manuels  de gestion de crise, de simulations de crise ou de cellules de crises (ISMA). Cette gestion est coordonnée par un responsable, dont la dénomination peut évoluer en fonction des organisations (Hassid et Masraff, 2010). Il peut s’agir du directeur de la sécurité, de la sûreté ou de manière plus globale des risques (Les termes de «head of group resilience» ou «chief resilience officer» pourraient émerger du fait de l’élargissement des missions de ces directions : gestion de la réputation, éthique, sécurité environnementale, etc.).

 

Dans un ‘White Paper’ (ASIS International CSO Roundtable, 2010), sur la gestion des risques sécuritaires dans les entreprises, la CSO Roundtable confirme également cette analyse. Cette étude menée auprès de plus 80 ‘Chief Security Officers’ et 200 ‘Security Managers’ principalement américains démontre que, face aux lacunes des programmes classiques de gestion des risques des entreprises (qui prennent en compte les fluctuations du marché, les risques liés aux taux de changes, les interruptions de production etc), de nombreux directeurs de sécurité ont « élevé » leur fonction vers une approche stratégique leur conférant une vision plus holistique des risques. Ainsi ceux-ci, en intégrant leur fonction dans la gestion de l’entreprise, en devenant des gestionnaires disposant d’une vision sécuritaire plus que l’inverse, parviennent à mieux faire passer leur message et transforment leur centre non plus en source de coûts mais en véritable ‘business unit’, capable comme le souligne également Martin Gill (2007), de créer de nouveaux profits. Ce phénomène expliquerait d’ailleurs une relation plus étroite entre les dirigeants d’entreprises et les directeurs de la sécurité (Briggs et Edwards, 2006).

 

Dans ce contexte, deux tendances de fond verraient le jour. D’une part, une plus grande centralisation de l’ensemble des questions de sécurité permettant une convergence de ces questions vers les structures de direction. Mais d’autre part également, une délégation de responsabilités du niveau central vers les unités opérationnelles (usine, terminal, entrepôt…), la sécurité s’obtenant à travers des actions quotidiennes des employés au sein de l’ensemble de l’entreprise (Ministère de l’Intérieur, 2009).

 

Bien sûr, cette gestion n’est pas réalisée par un homme seul ou par une direction unique. Elle s’inscrit dans un réseau d’acteurs. Cette direction s’appuie effectivement à la fois sur d’autres directions de l’entreprise (business unit, direction juridique, direction de l’audit interne…) et sur des acteurs externes de l’entreprise. Qu’il s’agisse d’entreprises de sécurité, de forces de police, de consultants en intelligence économique ou encore d’associations de directeurs de sécurité (ASIS, CDSE, ISMA…), chacun recherchant, comme Ericson et Haggerty l’ont déjà à juste titre analysé, à rassembler et à partager des informations et de la connaissance disséminée en vue d’assurer une meilleure sécurité globale (Ericson et Haggerty, 1997). Le plus notable dans tout cela, en France comme dans l’essentiel des pays (Laïdi, 2010), c’est que l’État cherche à tirer une partie de sa légitimité de cette collaboration. Partant du syllogisme que le monde des affaires est rentable et que tous ceux qui participent aux affaires contribuent à la richesse des entreprises, alors l’État en tant que partie prenante aux affaires se voit donc comme un acteur efficace et rentable.

En conclusion, les crimes et délits en entreprise, qui émanent le plus souvent des collaborateurs, sont devenus multidimensionnels en raison de la mondialisation et des évolutions technologiques. Partant des vols et fraudes commises en interne qui représentent les exactions les plus fréquentes, on voit apparaître de nouvelles menaces telles que l’intrusion dans les systèmes d’information ou l’usurpation de l’identité. Face à cette diversité, les dirigeants commencent à prendre conscience de l’enjeu sécuritaire et placent à leurs côtés une direction en charge de gérer ces problèmes. L’un et l’autre n’ont en effet d’autres choix face aux nouveaux défis économiques que de travailler ensemble et de faire de la sécurité un enjeu stratégique. Il reste néanmoins encore beaucoup de travail avant que de réelles synergies s’installent entre les deux. Le manque de professionnalisation de ce métier (absence de filière de formation en matière de sécurité privée dans l’ensemble des pays francophones), le déficit de connaissance du monde des affaires d’un grand nombre de responsables de la sécurité qui sont souvent d’anciens agents des services, rendent l’intégration de cette fonction au sein de ces organisations encore complexe.

Septembre 2010

L’auteur remercie Antoine Minot, responsable de la sécurité  de GlaxoSmithKline Biologicals S.A. et Charlotte Lepri, chercheur à l’IRIS, pour leurs remarques et commentaires. Naturellement les propos tenus dans cet article n’expriment que l’opinion de l’auteur.

Références

  • Monnet, B., P. Very et O. Hassid (2010), « Panorama 2008-2009 des crimes commis contre les entreprises», Sécurité & Stratégie, n°3, pp. 6-13.
  • Hassid, O et A. Masraff (2010), La sécurité en entreprise, prévenir et gérer les risques, Paris Maxima.
  • ASIS International CSO Roundtable (2010), Enterprise Security Risk Management: how great risks led to great deeds, a benchmarking survey and white paper, The CSO Roundtable of ASIS International.
  • Gill, Martin (2007), Demonstrating the value of security, Perpetuity Research and consultancy international, (PRCI).
  • Briggs, Rachel et Charlie Edwards (2006), The Business of resilience. London, Demos.
  • Ministère de l’Intérieur (2009) Délégation à la prospective et à la sécurité, Dépenses de sécurité des entreprises : charges ou investissements? France.
  • Ericson, Richard et Kevin Haggerty (1997), Policing the Risk Society, Oxford, Clarendon Press.
  • Laïdi, Ali (2010), Les Etats en guerre économique, Paris, Seuil.
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 

Sous la direction de Benoît Dupont et Stéphane Leman-Langlois

Chaire de recherche du Canada en sécurité, identité et technologie: http://www.benoitdupont.net

Chaire de recherche du Canada en surveillance et construction sociale du risque: http://www.social-surveillance.com

CICC: http://www.cicc.umontreal.ca

ISBN: 978-2-922137-30-9