Skip to main content

Gestion des risques criminels par l’entreprise

Auteur: 
Hassid, Olivier

 

En janvier 2010, une société belge a décidé de fermer partiellement ses activités au Mexique après que l’un de ses chantiers ait été attaqué par des supposés narco-trafiquants. En février 2010, une grande société canadienne a vu trois de ses salariés tués à proximité d’un de ses chantiers au Brésil. En mars 2010, une autre société française a dû négocier contre la coquette somme de 150 000 € la libération d’un de ses salariés au Nigéria. En août 2010, un salarié de la société Apple a été arrêté par la police américaine après que cette dernière ait réussie à prouver avec la collaboration de l’entreprise que celui-ci monnayait des informations stratégiques auprès de fournisseurs potentiels. 3000 clients d’une banque anglaise se sont vu extorquer leurs fonds entre juillet et août 2010 par des hackers qui ont réussi à infecter les internautes clients de la banque en leur implantant une famille de virus qui permet de contrôler les ordinateurs à distance.


Voici quelques exemples qui démontrent à quel point les menaces peuvent être variées et violentes en entreprise. Ce constat est confirmé par l’enquête internationale réalisée par l’EDHEC, une grande école française de management, et le CDSE, une association fédérant les principales directions de sécurité en Europe, sur les crimes et délits commis contre les entreprises en 2008 et 2009 (enquête effectuée entre octobre et décembre 2009 par questionnaire en ligne administré auprès des directeurs de la sécurité/sûreté des entreprises. Le CDSE et l’ECSA ont recueilli les données pour l’Europe, l’ISMA et l’OSAC  pour l’Amérique du Nord et l’ambassade du Japon en France  et le Council for public policy au Japon se sont mobilisés pour obtenir les réponses d’entreprises japonaises). Sur la base de 82 réponses émanant de grands groupes internationaux, il ressort que l’éventail des crimes et délits recensés sont de 35 sortes. Toutes les constituantes de l’entreprise sont menacées : ses ressources techniques, humaines, financières, son organisation, son champ d’opération, sa compétitivité et même sa propriété. Les ressources peuvent être volées, détournées, dégradées, voire détruites. Son organisation est utilisée pour le développement de trafics illicites ou pour le blanchiment d’argent sale. Des acteurs externes s’octroient des marchés publics auxquels l’entreprise soumissionne ou s’emparent de sociétés dans le cadre de programmes de privatisation. Sept répondants reconnaissent même que leur entreprise doit faire face à des concurrents contrôlés par des groupes criminels.  

 

Il est important de noter que du fait même que ces sociétés sont des sociétés internationalisées, certaines pouvant travailler dans plus de 130 pays, la diversité de la menace criminelle s’exprime aussi au niveau géographique puisque les crimes et délits signalés sont localisés sur tous les continents, dans une multitude de pays, qu’ils soient développés ou émergents. Signalons pour autant que si la palette des menaces est riche, il n’en demeure pas moins vrai que les menaces les plus prégnantes restent le vol de produits ou équipements sur les sites de l’entreprise (dans 84% des cas) et la fraude interne (67% des cas). Ce qui explique d’ailleurs que la majorité des crimes et des délits soit le fait de personnes de l’entreprise (Monnet, Very et Hassid, 2010) (87% des entreprises ayant répondu considèrent que les propres employés de l’entreprise sont acteurs des agissements criminels).


Fig. 1. Les principaux crimes et délits perpétrés en 2008 et 2009 dans les grandes entreprises internationalesSécurité & Stratégie, n°3, p.9.
 

Et naturellement tout cela a un coût puisque l’activité criminelle semble avoir pour effet d’annihiler les avantages économiques pour plus d’une entreprise sur deux. Par ailleurs, cela a un fort impact sur la baisse des marges opérationnelles et la croissance du chiffre d’affaires. Ainsi par exemple, entre 5 et 10% des ressources pétrolières seraient détournées par des bandes organisées entraînant un manque à gager d’au moins trois milliards de dollars par an pour les entreprises sur place. La délinquance subie entraîne donc des contraintes aux organisations et des entraves à leur essor économique.

 

En conséquence, les entreprises n’ont d’autres choix que d’introduire une politique de gestion des risques criminels, au même titre qu’elles mettent en place une politique de gestion des ressources humaines ou une politique de gestion des ressources financières. Par gestion des risques criminels, nous entendons alors la mise en place de procédures humaines, techniques ou technologiques visant à lutter contre le crime. Il peut à la fois s’agir de mesures d’identification de la menace (mise en place de fiches risque pays, cartographie des risques), de prévention situationnelle (contrôle d’accès, protection de l’intégrité des données, escorte, etc.) ou de mesures visant à renforcer la culture de sécurité de l’entreprise et des salariés (formations, guide, etc.). A ces différentes mesures, il convient d’ajouter l’ensemble des mesures de gestion de crise, qu’il s’agisse des plans de continuité d’activité («business continuity plan», qui répond à un objectif d’anticipation et est partie intégrante de la politique de prévention des risques de l’entreprise afin de garantir la continuité de ses activités lors de la survenance d’un sinistre), de manuels  de gestion de crise, de simulations de crise ou de cellules de crises (ISMA). Cette gestion est coordonnée par un responsable, dont la dénomination peut évoluer en fonction des organisations (Hassid et Masraff, 2010). Il peut s’agir du directeur de la sécurité, de la sûreté ou de manière plus globale des risques (Les termes de «head of group resilience» ou «chief resilience officer» pourraient émerger du fait de l’élargissement des missions de ces directions : gestion de la réputation, éthique, sécurité environnementale, etc.).

 

Dans un ‘White Paper’ (ASIS International CSO Roundtable, 2010), sur la gestion des risques sécuritaires dans les entreprises, la CSO Roundtable confirme également cette analyse. Cette étude menée auprès de plus 80 ‘Chief Security Officers’ et 200 ‘Security Managers’ principalement américains démontre que, face aux lacunes des programmes classiques de gestion des risques des entreprises (qui prennent en compte les fluctuations du marché, les risques liés aux taux de changes, les interruptions de production etc), de nombreux directeurs de sécurité ont « élevé » leur fonction vers une approche stratégique leur conférant une vision plus holistique des risques. Ainsi ceux-ci, en intégrant leur fonction dans la gestion de l’entreprise, en devenant des gestionnaires disposant d’une vision sécuritaire plus que l’inverse, parviennent à mieux faire passer leur message et transforment leur centre non plus en source de coûts mais en véritable ‘business unit’, capable comme le souligne également Martin Gill (2007), de créer de nouveaux profits. Ce phénomène expliquerait d’ailleurs une relation plus étroite entre les dirigeants d’entreprises et les directeurs de la sécurité (Briggs et Edwards, 2006).

 

Dans ce contexte, deux tendances de fond verraient le jour. D’une part, une plus grande centralisation de l’ensemble des questions de sécurité permettant une convergence de ces questions vers les structures de direction. Mais d’autre part également, une délégation de responsabilités du niveau central vers les unités opérationnelles (usine, terminal, entrepôt…), la sécurité s’obtenant à travers des actions quotidiennes des employés au sein de l’ensemble de l’entreprise (Ministère de l’Intérieur, 2009).

 

Bien sûr, cette gestion n’est pas réalisée par un homme seul ou par une direction unique. Elle s’inscrit dans un réseau d’acteurs. Cette direction s’appuie effectivement à la fois sur d’autres directions de l’entreprise (business unit, direction juridique, direction de l’audit interne…) et sur des acteurs externes de l’entreprise. Qu’il s’agisse d’entreprises de sécurité, de forces de police, de consultants en intelligence économique ou encore d’associations de directeurs de sécurité (ASIS, CDSE, ISMA…), chacun recherchant, comme Ericson et Haggerty l’ont déjà à juste titre analysé, à rassembler et à partager des informations et de la connaissance disséminée en vue d’assurer une meilleure sécurité globale (Ericson et Haggerty, 1997). Le plus notable dans tout cela, en France comme dans l’essentiel des pays (Laïdi, 2010), c’est que l’État cherche à tirer une partie de sa légitimité de cette collaboration. Partant du syllogisme que le monde des affaires est rentable et que tous ceux qui participent aux affaires contribuent à la richesse des entreprises, alors l’État en tant que partie prenante aux affaires se voit donc comme un acteur efficace et rentable.

En conclusion, les crimes et délits en entreprise, qui émanent le plus souvent des collaborateurs, sont devenus multidimensionnels en raison de la mondialisation et des évolutions technologiques. Partant des vols et fraudes commises en interne qui représentent les exactions les plus fréquentes, on voit apparaître de nouvelles menaces telles que l’intrusion dans les systèmes d’information ou l’usurpation de l’identité. Face à cette diversité, les dirigeants commencent à prendre conscience de l’enjeu sécuritaire et placent à leurs côtés une direction en charge de gérer ces problèmes. L’un et l’autre n’ont en effet d’autres choix face aux nouveaux défis économiques que de travailler ensemble et de faire de la sécurité un enjeu stratégique. Il reste néanmoins encore beaucoup de travail avant que de réelles synergies s’installent entre les deux. Le manque de professionnalisation de ce métier (absence de filière de formation en matière de sécurité privée dans l’ensemble des pays francophones), le déficit de connaissance du monde des affaires d’un grand nombre de responsables de la sécurité qui sont souvent d’anciens agents des services, rendent l’intégration de cette fonction au sein de ces organisations encore complexe.

Septembre 2010

L’auteur remercie Antoine Minot, responsable de la sécurité  de GlaxoSmithKline Biologicals S.A. et Charlotte Lepri, chercheur à l’IRIS, pour leurs remarques et commentaires. Naturellement les propos tenus dans cet article n’expriment que l’opinion de l’auteur.

Références

  • Monnet, B., P. Very et O. Hassid (2010), « Panorama 2008-2009 des crimes commis contre les entreprises», Sécurité & Stratégie, n°3, pp. 6-13.
  • Hassid, O et A. Masraff (2010), La sécurité en entreprise, prévenir et gérer les risques, Paris Maxima.
  • ASIS International CSO Roundtable (2010), Enterprise Security Risk Management: how great risks led to great deeds, a benchmarking survey and white paper, The CSO Roundtable of ASIS International.
  • Gill, Martin (2007), Demonstrating the value of security, Perpetuity Research and consultancy international, (PRCI).
  • Briggs, Rachel et Charlie Edwards (2006), The Business of resilience. London, Demos.
  • Ministère de l’Intérieur (2009) Délégation à la prospective et à la sécurité, Dépenses de sécurité des entreprises : charges ou investissements? France.
  • Ericson, Richard et Kevin Haggerty (1997), Policing the Risk Society, Oxford, Clarendon Press.
  • Laïdi, Ali (2010), Les Etats en guerre économique, Paris, Seuil.
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 

Gouvernance de la sécurité

Auteur: 
Dupont, Benoît

 

Le concept de gouvernance de la sécurité reflète la prise de conscience par les criminologues, les politologues et les sociologues que la production de sécurité dans les sociétés modernes ne relève pas de la responsabilité exclusive de l’État, mais qu’elle résulte au contraire d’une prolifération d’acteurs publics, privés et hybrides qui y contribuent de manière significative. Les recherches menées à partir des années 1970 ont en effet démontré à quel point le rôle joué par la sécurité privée avait été jusque là négligé, et dans quelle mesure la notion classique d’un monopole étatique en matière de production de sécurité manifestait un fétichisme institutionnel qui ne reflétait plus une réalité complexe.

La gouvernance, qui est définie par le Dictionnaire des politiques publiques comme « un processus de coordination d’acteurs, de groupes sociaux et d’institutions, en vue d’atteindre des objectifs définis et discutés collectivement » (Boussaguet et al. 2004 : 243), ne concerne bien entendu pas seulement le domaine de la sécurité. D’autres secteurs traditionnels de l’intervention étatique comme l’éducation, la santé, le logement social, les transports ou l’accès à l’emploi ont aussi été soumis à de profondes reconfigurations de leurs modes de gouvernance au cours des dernières décennies (Gaudin 2002).

La gouvernance de la sécurité est généralement abordée à travers deux cadres d’analyse complémentaires. D’abord, le concept de gouvernance offre aux chercheurs une boîte à outils leur permettant de décrire avec plus de nuances la multiplication d’acteurs et d’interactions qui contribuent à la production de sécurité dans toute sa complexité. Cette approche empirique s’accompagne souvent d’une dimension normative qui se traduit par un jugement de valeur porté sur les bénéfices – ou au contraire les périls – inhérents à cette pluralisation des modes de production de la sécurité.

 

Les configurations empiriques de la gouvernance de la sécurité

Loin de représenter un concept «mythologique» qui n’existerait que dans les textes abstraits des chercheurs qui l’étudient (une sorte de licorne ou de sirène théorique), la gouvernance de la sécurité se manifeste au quotidien par le biais de configurations institutionnelles caractérisées par leur diversité et leur capacité d’adaptation «adhocatrique» (Hassid, 2005. Qu’il s’agisse de la présence d’agents de sécurité dans les espaces publics ou privés recevant du public (les propriétés privées de masse), de la commercialisation de services policiers à des autorités parapubliques ou à des intérêts privés, ou encore des échanges constants de données et de renseignements criminels entre acteurs publics et privés qui rythment notre vie quotidienne dans la «société du risque» (Ericson et Haggerty 2001), la gouvernance de la sécurité nous est plus familière qu’on ne l’imagine de prime abord.

Trois grandes structures institutionnelles (l’État, le marché et les réseaux) sont généralement associées à des formes distinctes de gouvernance. Ces idéaux-types qui sont étroitement imbriqués dans la réalité reflètent des modalités de pilotage spécifiques. Dans le modèle étatique, la gouvernance de la sécurité prend ainsi la forme d’un mode d’organisation vertical où l’autorité législative et administrative de l’acteur public dominant (la police) s’exerce sur les autres acteurs de la sécurité, qu’ils soient parapublics, communautaires ou privés. Dans le modèle de marché, qui a connu une forte expansion depuis le début des années 1970 dans le monde occidental, la gouvernance de la sécurité est structurée par la loi de l’offre et de la demande. Si le marché se caractérise par une logique de compétition qui permet d’offrir des services variés à moindre coût, il introduit également de profondes inégalités dans l’accès au bien public qu’est la sécurité en excluant les plus démunis. Les réseaux constituent enfin la troisième structure institutionnelle de gouvernance. Reposant sur des relations horizontales de réciprocité entre leurs membres et plus flexibles que les structures bureaucratiques traditionnelles, les réseaux permettent la mise en place de mécanismes de gouvernance qui incluent aussi bien des acteurs publics que privés, au niveau local, national et international.

Concrètement, la gouvernance de la sécurité s’exprime à travers les interdépendances de ces trois grandes structures institutionnelles. Par exemple, dans les États fortement centralisés où les acteurs publics occupent une position dominante, le rôle du marché dans la gouvernance de la sécurité sera souvent moins prononcé que dans les systèmes décentralisés, où il constituera une alternative attractive à des acteurs publics fragmentés et par conséquent plus faibles. De la même manière, la capacité des réseaux à gouverner la sécurité, ainsi que leur composition et leurs modes de fonctionnement seront influencés par la place respective qu’occupent l’État et le marché. Des États forts favoriseront l’émergence de réseaux publics tissant des liens entre les acteurs locaux et nationaux (Ocqueteau 2004), alors que des États faibles se prêteront mieux à la constitution de réseaux mixtes ou majoritairement privés qui auront vocation à renforcer ou même à se substituer à une offre publique insuffisante (Dupont, Grabosky, Shearing et Tanner 2007).

Comme nous l’avons déjà mentionné, ces trois structures institutionnelles abritent une pluralité d’acteurs organisationnels qui vont remplir les fonctions de mandants ou de prestataires de sécurité. Alors que les mandants identifient les besoins en sécurité et les ressources disponibles pour y répondre, les prestataires fournissent à ces derniers le large éventail des services requis. On retrouve parmi les mandants des autorités politiques locales (municipalités) ou nationales (ministères), des entreprises, des communautés résidentielles, des communautés d’intérêts (politiques, religieux, ethniques, culturels), ou encore des individus. La catégorie des prestataires comprend quant à elle les services de police, les services publics d’application de la loi (douanes, services de renseignement, administrations fiscales, sécurité routière, etc. – par exemple l’énumération de 79 catégories d’agents administratifs dotés de pouvoirs de police faite par Lascoumes et Barberger (1986, p. 288) pour la France), les organismes gouvernementaux ou communautaires de prévention, les services de sécurité internes des entreprises, les agences de sécurité privée (gardiennage, consultants, intelligence économique), ainsi que les groupes d’autodéfense et même dans certains cas des groupes criminels. Si les fonctions de mandant et de prestataire sont généralement assumées par les mêmes acteurs dans le modèle étatique, les structures du marché et des réseaux se caractérisent par une plus grande dispersion des responsabilités.

Une dernière dimension empirique de la gouvernance de la sécurité concerne la nature des liens qui unissent les divers acteurs mentionnés plus haut. On distingue cinq modes relationnels qui vont permettre la coordination et la régulation des mandants et des prestataires de sécurité : l’obligation (ou « tierce police »), la délégation, la vente, l’échange et le don. L’obligation se traduit par la contrainte qu’une organisation fait peser sur des tierces parties afin d’obtenir de leur part le comportement désiré, comme la transmission d’informations concernant des transactions financières suspectes, la mise en œuvre de dispositifs spécifiques de prévention du crime, ou encore le respect de certaines normes de sécurité lors de l’organisation d’événements culturels ou sportifs. La délégation reflète le transfert de fonctions traditionnellement assumées par des acteurs étatiques à des acteurs hybrides ou privés, moyennant le versement de redevances par l’État ou l’octroi d’un privilège de prélèvement direct auprès des usagers du service délégué. Ainsi, dans les pays où la gestion et l’entretien des radars automatisés de vitesse sont confiés à des entreprises, ces dernières perçoivent un pourcentage des amendes perçues auprès des automobilistes en infraction. Nous avons vu plus haut que la vente est le mode de relation privilégié dans la structure de marché entre acteurs privés. Cependant, les acteurs publics y ont également recours de plus en plus fréquemment, aussi bien à titre d’acquéreur (sous-traitance de certaines tâches comme la détention ou le transfert de prisonniers à des entreprises) que de vendeur (commercialisation de services de formation, de patrouille ou d’enquête à des intérêts parapublics ou privés). Ce recours croissant des acteurs publics à la vente vise en partie à compenser les coupures budgétaires auxquelles ces derniers sont parfois confrontés. Le don obéit à la même logique lorsqu’il prend la forme d’un parrainage d’acteurs publics par des intérêts privés, qu’il s’agisse de la mise à disposition de locaux, d’équipements ou de compétences professionnelles à titre gracieux. Le don est également répandu dans le secteur communautaire, où de nombreux programmes de prévention sont par exemple subventionnés par des compagnies d’assurance ou des entreprises locales. L’échange se manifeste enfin par le partage bilatéral ou la mutualisation de ressources matérielles, humaines et d’informations. L’échange repose sur la réciprocité dont font preuve les participants et comporte un faible degré de contrainte entre ces derniers. Il implique donc un niveau préalable de confiance suffisamment élevé entre les acteurs.

Ces cinq formes relationnelles sont fortement influencées par les structures institutionnelles au sein desquelles la gouvernance se déploie. Ainsi, on rencontrera l’obligation plus fréquemment dans les États forts disposant de polices centralisées, alors que la vente sera privilégiée dans les sociétés où l’État providence est moins affirmé. On retrouve enfin plus fréquemment le don, l’échange et la délégation dans des contextes où les réseaux de sécurité fonctionnement de manière routinière (Dupont 2007).

 

Les enjeux normatifs de la gouvernance de la sécurité : marginalisation ou centralité de l’État

Nous nous sommes jusqu’ici limités à présenter les différents outils analytiques permettant de décrire les diverses configurations que peut prendre la gouvernance de la sécurité – ou les dysfonctionnements qui les accompagnent (Gautron 2010). Toutefois, ce concept n’a pas seulement une vocation descriptive, et les enjeux normatifs qui y sont associés donnent lieu à des interprétations divergentes qu’on peut regrouper en trois grands courants.

La première lecture de la gouvernance de la sécurité, inspirée par les travaux du criminologue Clifford Shearing, y voit une opportunité pour divers acteurs privés et communautaires de participer de manière plus active à la définition et à l’implantation de solutions de sécurité qui répondent mieux à leurs besoins que celles imposées de manière unilatérale par l’État. Cette gouvernance par le bas permettrait de mobiliser et de coordonner de manière plus efficace et démocratique les savoirs locaux, les technologies et les ressources de nœuds (ou nodes) institutionnels parmi lesquels l’État ne serait qu’un site de gouvernance parmi d’autres.

En réaction à cette approche « émancipatrice » de la gouvernance, à laquelle ils reprochent une marginalisation de l’État auquel se substitueraient des formes émergente de « gouvernement privé », d’autres chercheurs anglo-saxons influencés par Ian Loader (et son collègue Neil Walker) orientent leur réflexion vers un modèle plus traditionnel de gouvernance. La pluralité des acteurs impliqués n’y est pas remise en question, mais l’État y conserverait un rôle de premier plan afin de garantir l’équité dans l’accès à la sécurité et la protection des libertés individuelles (Loader 2005).

Enfin, les principaux chercheurs francophones en sociologie de la police et de la sécurité privée (Jean-Paul Brodeur, Frédéric Ocqueteau, et Dominique Monjardet notamment) ont toujours manifesté une certaine réticence face à ce concept qui aurait selon eux bien du mal à s’extraire du cadre institutionnel anglo-saxon duquel il a émergé et qui peine à intégrer un modèle d’État jacobin pourtant encore bien enraciné dans de nombreuses sociétés postmodernes.

On voit donc que si les reconfigurations des structures, des acteurs et des liens qui sous-tendent la gouvernance de la sécurité font l’objet d’une cartographie de plus en plus précise, il n’existe pas à l’heure actuelle de consensus concernant le rôle que l’État doit jouer dans ces nouveaux arrangements (Roché 2004). Si l’hypothèse de son dépérissement ne peut plus sérieusement être évoquée, son omnipotence passée en matière de sécurité est sérieusement écornée. Loin de constituer un problème, cette incertitude apparaît au contraire bénéfique dans la mesure où elle alimente l’indispensable débat démocratique sur les interactions complexes entre liberté, sécurité et justice.

 

Mars 2010

Références

  • Boussaguet, L; Jacquot, S et P Ravinet (dirs.) (2004), Dictionnaire des politiques publiques, Les Presses de Sciences Po, Paris.
  • Dupont, B (2007), « La gouvernance et la sécurité », in Cusson, M; Dupont B et F Lemieux (eds.), Traité de sécurité intérieure, HMH Hurtubise, Montréal, pp. 67-80.
  • Dupont, B; Grabosky, P; Shearing, C et S Tanner (2007), «La gouvernance de la sécurité dans les États faibles et défaillants», Champ Pénal : Nouvelle Revue Internationale de Criminologie, vol. IV.
  • Ericson, R et K Haggerty (2001), « La communication sur les risques, la police et le droit », Droit et Société, no. 47, pp. 185-204.
  • Gaudin, J-P (2002), Pourquoi la gouvernance?, Les Presses de Sciences Po, Paris.
  • Gautron, V (2010), «La coproduction locale de la sécurité en France : un partenariat interinstitutionnel déficient», Champ Pénal : Nouvelle Revue Internationale de Criminologie, vol. IV.
  • Hassid, O (2005), « La gouvernance de sécurité : un concept pour un nouveau paradigme en criminologie ?», Revue Internationale de Criminologie et de Police Technique, vol. LVIII, no. 2, pp. 151-161.
  • Lascoumes, P et C Barberger (1986), Le droit pénal administratif, instrument d’action étatique, Commissariat Général du Plan, Paris.
  • Loader, I (2005), « Police inc., une entreprise à responsabilité non limitée?: Sécurité, gouvernance civile et bien public », Criminologie, vol. 38, no. 2, pp. 157-171.
  • Ocqueteau, F (2004), Polices entre État et marché, Les Presses de Sciences Po, Paris.
  • Roché, S (2004) (ed.), Réformer la police et la sécurité : Les nouvelles tendances en Europe et aux États-Unis, Odile Jacob, Paris.
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 

Sous la direction de Benoît Dupont et Stéphane Leman-Langlois

Chaire de recherche du Canada en sécurité, identité et technologie: http://www.benoitdupont.net

Chaire de recherche du Canada en surveillance et construction sociale du risque: http://www.social-surveillance.com

CICC: http://www.cicc.umontreal.ca

ISBN: 978-2-922137-30-9