Sûreté, vous avez dit sûreté ? En 2011, la DCRI (Direction centrale du renseignement intérieur) a recensé plus de 1.000 attaques commises contre les entreprises... Des atteintes qui peuvent aussi bien prendre la forme de prise d'otages de salariés à l'étranger, que de vols de brevets, de données commerciales ou de matériel, de détérioration d'installations...

C'est le sujet du livre "Gérer les risques criminels en entreprise", co-écrit par Alain Juillet, Olivier Hassid et Mathieu Pellerin (Editions De Boeck, 39 ?), qui dresse un panorama des actes criminels commis envers les entreprises, et recense les moyens de s'en prémunir.
Les auteurs citent par exemple des cas de kidnapping de personnel à l'étranger, que ce soit de la main d'?uvre locale ou expatriée. "Il s'agit le plus souvent de flash kidnappings, méthode facile pour des populations pauvres et une jeunesse désoeuvrée de soutirer quelques centimes ou quelques milliers de dollars à des multinationales." Et de rappeler le cas des salariés d'Areva enlevés au Niger en septembre 2010 ou les nombreux enlèvements d'employés d'entreprises pétrolières occidentales au Nigeria.

Vols, sabotages, fuites d'informations

Les attaques criminelles prennent de multiples formes, à l'instar des vols : vols dans les magasins, de matériaux, de colis, de matériel ou de données dans les bureaux... "Les entreprises sont également exposées aux actes de sabotage et de vandalisme. L'actualité étant riche à ce sujet, citons pêle-mêle les sabotages contre les camions-citernes lors du blocage des dépôts pétroliers en octobre 2008, les sabotages de quatre lignes ferroviaires de la SNCF en novembre 2008 ou encore le cas du sabotage d'un Airbus A320 la veille d'une livraison dans l'usine Airbus de Montoir qui avait coûté plusieurs centaines de milliers d'euros à l'entreprise", écrivent les auteurs.

Les affaires d'espionnage et de fuites d'informations sont aussi légion. Pour ne citer que deux affaires, rappelons le cas de Li li, la stagiaire chinoise de Valeo, qui a transféré des données de l'entreprise sur son ordinateur personnel en 2005, ou celui de Marwan Arbache, ancien salarié de Michelin, qui a essayé de vendre des informations au concurrent Bridgestone en 2007.

Crime organisé, cybercriminalité, menaces

Les attaques du crime organisé existent également envers ou à l'insu des entreprises. "Ils peuvent aller du simple vol en passant par la prise d'otage, l'espionnage industriel, le racket, la contrefaçon ou l'utilisation d'un site comme lieu de contrebande. A titre d'exemple, une compagnie minière voyait ainsi ses cargos utilisés à son insu pour faire passer de la drogue depuis les Caraïbes jusqu'en Amérique du Nord", lit-on dans l'ouvrage. Le crime organisé est également de plus en plus actif en matière de détournement des filières de traitement de déchets à son profit.

Quant à la cybercriminalité, elle est désormais omniprésente. Les auteurs donnent l'exemple du programme Nitro, qui a fait des ravages fin 2011, en visant "quarante-huit entreprises britanniques, japonaises ou bien encore italiennes des secteurs de la défense et de la chimie. [Il] a été commandé à des fins d'espionnage industriel pour capter des informations sensibles (secrets de fabrication, documents stratégiques ou classifiés)".
L'intimidation de salariés fait aussi partie des risques à appréhender : l'ouvrage rappelle par exemple le cas des cadres de NyseEuronext, menacés de mort ou victimes de dégradations de leurs véhicules par le SHAC, association de défense des animaux, suite à l'introduction en Bourse d'un laboratoire pratiquant la vivisection.

Ne pas sous-estimer le coût de ces attaques

La sûreté ne fait certes pas partie des activités "productives" d'une entreprise, et les dirigeants peuvent rechigner à y mettre les moyens, n'y voyant pas de retour sur investissement immédiat. Mais ne pas anticiper ce type de risques peut coûter cher à l'entreprise, en terme d'image, de réputation, de procédures judiciaires, d'impact sur le cours de Bourse, ou encore de perte d'exploitation suite à une interruption d'activité.

Les seules attaques informatiques coûtent environ 2,4 millions d'euros par an à chaque grande entreprise française, selon McAfee. Et selon une étude réalisée par la Chambre de commerce britannique, 72% des entreprises estiment que la criminalité pèse sur leur activité. 26% d'entre elles identifient des coûts relatifs à la baisse de moral des salariés, 10% à la dégradation de l'image de l'entreprise, et 4% aux difficultés à obtenir une police d'assurance suite à une attaque.

"La responsabilité des entreprises et de ses dirigeants étant de plus en plus recherchée en cas de catastrophe [...], le management n'a pas d'autre choix, à moins de les mettre en danger, que de prendre les mesures de prévention et de protection qui s'imposent". Pour reconnaître une faute excusable de l'entreprise, la jurisprudence Karachi a d'ailleurs imposé la mise en ?uvre de mesures préventives de sécurité, et plus seulement la reconnaissance d'un danger.

Retard de la France

Les auteurs déplorent le retard de la France par rapport aux Etats-Unis, au Royaume-Uni ou à l'Allemagne en matière de mise en place d'une direction "sûreté" dans les grandes entreprises. 24% des entreprises françaises (et 16% des entreprises européennes) n'ont pas de stratégie de sécurité ou ne l'ont pas revue depuis au moins trois ans, selon une étude de Fortinet réalisée en 2011. "Lafarge, pourtant présente dans près de quatre-vingts pays, n'a créé un département interne qu'en 2007, et Peugeot, présente dans une soixantaine de pays, seulement en 2009. [...] Parallèlement, certaines entreprises sont imprégnées d'une culture sûreté pour des raisons historiques. C'est notamment le cas d'Air France, à la suite d'une prise d'otage marquante dans les années 1990, ou de groupes pétroliers comme Shell, BP ou Total, qui expérimentent les malveillances quotidiennement dans des pays à risques", précisent les auteurs de l'ouvrage.

Le directeur sûreté, indispensable homme de l'ombre

Les directeurs sûreté (ou sécurité) sont ainsi chargés de prévenir ces risques autant que faire se peut, en suggérant des règles de bonnes conduites pour le personnel en déplacement ou implanté à l'étranger, en analysant les menaces qui pèsent sur l'entreprise et les risques auxquels elle est exposée, mais aussi en réalisant des plans de continuité d'activité et de gestion de crise.

D'autres missions lui incombent : "recenser les incidents constatés dans l'ensemble des filiales du groupe, vérifier que les dispositifs physiques de protection (badges, contrôles à l'entrée des sites, systèmes de vidéosurveillance, etc) soient conformes au niveau de risque estimé, s'assurer que les normes du groupe en matière de sûreté soient respectées par les collaborateurs et effectuer des piqûres de rappel le cas échéant [...], conseiller le top management sur la pertinence ou non d'envoyer des collaborateurs en déplacement dans des pays à risques, etc...", lit-on dans l'ouvrage.

La recette miracle n'existe pas, mais prendre la mesure de certains risques et les anticiper peut permettre d'éviter bien des drames, qu'ils soient humains, financiers ou réputationnels. A titre d'exemple, Sanofi a lancé en juin 2011 une campagne interne de sensibilisation à la protection de l'information, qui a pour slogan "une petite fuite peut causer de grands dégâts". Selon les auteurs du livre, cette campagne a déjà facilité la remontée d'incidents à la direction de la sûreté et une baisse des vols d'ordinateurs.