Economie du risque ou risques des économies ?
par Stéphane Schmoll, conseiller de Deveryware et Président de la Commission stratégique du CICS
Le COFIS a labellisé un projet du PIA consacré à la protection des sites sensibles. Lorsqu’il a été proposé à des utilisateurs potentiels, les entreprises concernées se sont rendu compte de la différence de motivation entre les opérateurs qui ont déjà été victime d’attentats et les autres. Le budget sûreté est en effet souvent considéré comme secondaire jusqu’à l’accident. Depuis, le Conseil des industries de la confiance et de la sécurité (CICS) cherche à évaluer la rentabilité des investissements de sécurité, notamment pour les opérateurs de sites sensibles. Combien coûtent ces investissements et leur fonctionnement ? Que rapportent-ils ? Quels sont les coûts visibles ou cachés de la non-sécurité ? Quel équilibre entre les coûts humains et la technologie ?
Les actes de malveillance, criminels ou terroristes, que soit dans le monde physique ou dans le cyberespace, ont de multiples conséquences : sur la continuité d’exploitation bien sûr, mais aussi sur la sécurité des personnels et du voisinage, sur l’environnement, sur l’image de l’entreprise concernée, et sur les politiques des collectivités locales. Peut-être la responsabilité sociétale et de l’entreprise (RSE) devra-t-elle être explicitement étendue à la sécurité ?
Une question primordiale est celle de la responsabilité. La réponse est simple lorsque le DGDSN impose à l’opérateur une directive nationale de sécurité (DNS), mais face à la multiplicité des menaces et des solutions possibles de prévention, le SGDSN préfère que les industriels déterminent eux-mêmes leurs bonnes pratiques qui, une fois éprouvées, pourraient inspirer la réglementation. Pour ce faire, il faut encourager le développement du secteur des essais techniques et des certifications avec des laboratoires reconnus, comme cela été fait par exemple dans le domaine de l’incendie.
On pourra alors mieux définir les justes équilibres d’efficience et de responsabilité entre les acteurs concernés, administrateurs des entreprises compris, avec une implication plus claire des assureurs et des organismes d’Etat incontournables tels que la Caisse centrale de réassurance (CCR) ou le GAREAT pour les attentats et le terrorisme. Et re-définir qui doit payer quoi, combien et quand, avant et après les conséquences des menaces et des risques.