Nous avons présenté dans notre précédent article l'importance pour toute entreprise de définir sa politique de sûreté. Pour rappel, au-delà de l'obligation légale de l'employeur d'assurer la sécurité de ses employés, elle permet de se poser les questions essentielles au sujet de l'exposition aux risques, à la volonté d'y faire face et sur le cadre général dans lequel la démarche de sécurisation doit s'inscrire. Nous allons aborder dans ce nouvel article les étapes pour construire la politique de sûreté.
La politique de sûreté définit les grandes orientations que souhaite prendre la Direction en matière de sûreté. Ses orientations répondent à des enjeux stratégiques liées aux objectifs de l'entreprise. Elle peut faire l'objet de freins ou d'opportunités à son déploiement. La politique de sûreté requiert de responsabiliser et d'accompagner des acteurs pour la construire, la déployer et la faire évoluer. Elle fait l'objet d'une communication au sein de l'entreprise pour engager les parties prenantes dans la démarche souhaitée par la Direction.
Définir les enjeux en matière de sûreté
La politique de sûreté définit les enjeux de sûreté à long terme de l'entreprise. Il ne s'agit pas ici de définir les moyens immédiats à mettre en oeuvre pour répondre à des besoins de sécurisation spécifiques, mais d'établir en fonction du positionnement de l'entreprise sur son marché, de ses objectifs d'évolution ou de transformation, les principaux risques de sûreté fortement impactants auxquelles elle sera confrontée.
Prenons le cas d'un fabricant français de fenêtres sur mesure en aluminium commercialisant uniquement sur internet, qui souhaite dans les cinq ans à venir se déployer en Amérique du Nord, et dont le principal avantage concurrentiel est le délai de livraison. Ses principaux risques de sûreté pourront être définis de la manière suivante :
Protéger les stocks de matière première et le transport de marchandises contre les vols et les détériorations dans un contexte de réorganisation du circuit de livraison sur l'ensemble des zones de présence,
Sécuriser le site marchand des cyber-attaques dans un contexte d'évolution du parcours client,
Respecter la règlementation en vigueur dans les différents pays concernant la protection des données personnelles.
Les impacts pour l'entreprise seraient au regard des risques respectifs :
La détérioration des coûts de production, l'impossibilité de livrer les commandes dans les délais sur lesquels l'entreprise s'engage, la détérioration de l'image de marque sur le principal avantage concurrentiel,
La détérioration de l'expérience client, l'impossibilité d'accès à l'outil de commercialisation, la dégradation du chiffre d'affaire et de la satisfaction client,
La dégradation de l'image de l'entreprise auprès des clients, la diminution du chiffre d'affaire.
Les enjeux de l'entreprises seraient en synthèse de protéger sa réputation, ses ventes et ses marges, sans entraver son déploiement international et la transformation de sa plateforme de vente. Cette démarche nécessite une vision transverse à long terme de l'entreprise. C'est pourquoi il est indispensable qu'elle soit menée par la direction, avec l'aide d'experts en sûreté (internes ou cabinet extérieur), d'experts métiers (via le CODIR) et d'experts des pays d'implantation (les chambres de commerce et d'industrie sont une bonne source d'information). Plusieurs actions peuvent soutenir cette démarche :
Sensibiliser le comité de direction (et les experts métiers sur lesquels ils peuvent s'appuyer) aux notions de sûreté. Au travers d'une demi-journée de présentation par un expert, les parties prenantes reçoivent une information sur :
Les enjeux fondamentaux de la sûreté,
L'importance de traitement transverse et dans la durée de la sûreté,
Leur rôle capital dans la construction et le déploiement de la politique.
Organiser des séances collectives de travail / d'échange pour définir les enjeux. Faire participer les parties prenantes permet :
D'engager les principaux acteurs,
De comprendre et discuter des réticences,
D'utiliser l'intelligence collective pour construire une vision globale du sujet.
Identifier le cadre de la politique de sûreté
Toute politique de sûreté doit être pensée aux travers des freins et des accélérateurs qu'elle rencontrera, au niveau de la règlementation, des normes et règles du secteur, des autres politiques de l'entreprise, de la culture de l'entreprise et de sa maturité face aux enjeux de sûreté. Voici quelques exemples :
En France, le code du travail impose aux dirigeants d'assurer la protection de leurs salariés ; un groupe scolaire doit assurer la mise en sûreté au sein de chacun de ses établissements. Ce sont des contraintes réglementaires qui imposent d'entreprendre des actions.
Une entreprise de e-commerce a défini une politique visant à simplifier le parcours client. Cet enjeu stratégique pourrait aller à l' encontre d'une démarche de sécurisation des accès au site.
Dans le cas d'une entreprise familiale au sein de laquelle la plupart des employés ont fait l'ensemble de leur carrière, il pourrait être difficile de proposer la mise en oeuvre de portiques ou de caméras de vidéosurveillance.
La modification du règlement intérieur, des contrats de travail, de certaines procédures... pourraient faire l' objet de vives discussions avec les syndicats, retarder les projet de sécurisation ou diminuer leur efficacité.
Le plan de restructuration global à cinq ans de l'accueil client au sein d'une enseigne pourrait donner l'occasion d'identifier les moyens de mise en sûreté du personnel en cas d'attaque et de sécurisation des accès aux stocks de marchandises.
Il est ici aussi nécessaire d'analyser de manière transverse aux métiers et dans le temps (par rapport aux transformations de l'entreprise) tout ce qui devra être prise en compte pour que la politique de sûreté soit efficace. Dans ce cadre, les interviews des personnes clés par des intervenants extérieurs neutres peuvent être particulièrement efficaces.
Établir une gouvernance de la politique de sûreté
Une politique de sûreté ne peut être menée de manière efficiente que si des responsabilités et un cadre de travail sont établis. La sûreté peut être gérée directement par la Direction générale ou déléguée à une personne ayant une autorité transverse. Le responsable sûreté devra être en mesure d'accéder facilement aux expertises et aux directions métiers. La délégation d'autorité devra lui permettre de faire respecter la politique de sûreté validée par la direction. Il devra être informé des politiques métiers de l'entreprise, des programmes de transformation, et devra être intégré au processus de gestion des changements (si existant). En fonction de leurs moyens, toutes les PME ne peuvent avoir un directeur de la sûreté à temps plein. La responsabilité peut être déléguée au responsable sécurité, au responsable des moyens généraux, ou encore au DAF. Le porteur de la délégation devra alors pouvoir s'appuyer sur un expert sûreté interne ou externe. En cas d'absence de compétence au sein de l'entreprise, une formation aux principes de sûreté devra être proposée au(x) porteur(s) de la fonction. La politique de sûreté va donc établir explicitement :
Un porteur responsable de la démarche,
Les rôles et responsabilités des parties prenantes,
Les processus de décision,
Les instances de suivi.
Communiquer sur sa politique de sûreté
La politique de sûreté doit porter le message auprès de l'ensemble des employés, et éventuellement auprès des clients et partenaires, que la direction porte une attention particulière à cette problématique et souhaite mettre en oeuvre les moyens de prévention et de protection nécessaires. Tout ne doit en revanche par contre pas être diffusé. On veillera à classer les éléments par niveaux de confidentialité afin d'adapter la communication aux différentes cibles :
On peut exposer au grand public la volonté de l'entreprise de protéger la confidentialité des données clients,
Des règles de sûreté attendues de la part des employés seront adressées à l'ensemble du personnel,
Le Comité de Direction aura connaissance des impacts de la politique sur les projets stratégiques.
Faire connaître l'existence de sa politique de sûreté est une première étape de communication interne importante pour fédérer l'ensemble des salariés autour de la volonté de la direction. Cette communication doit s'accompagner de la présentation du porteur du projet si la démarche n'est pas directement gérée par la direction générale. Le responsable de la sûreté doit être connu par tous. Son autorité doit être acceptée par tous, en particulier par le comité de direction. La communication autour de la politique de sûreté est une première pierre à l'édifice d'une culture de sûreté au sein de l'entreprise. Elle est le marqueur de changements à venir qui devront être soutenus par un accompagnement régulier.
Dans notre prochaine article, nous vous présenterons comment définir votre stratégie de déploiement de votre politique de sûreté au travers de votre schéma directeur de sûreté.
Carinel
Cabinet de conseil en sûreté, Carinel accompagne les entreprises dans la définition de leur stratégie, la rédaction de leur politique, l'analyse des risques, la mise en oeuvre de leurs projets, la formation du personnel et l'amélioration continue de leur programme de sûreté.
Comments