Vous êtes ici

Un système de management de la sûreté ? Incontournable !

Pierre NOVARO, Président de Salix – Security Governance

"Un système de management de la sûreté, qu'est-ce que c'est ? Qu'est-ce que ça peut ajouter à ce que je fais déjà ? Est-ce vraiment incontournable ou n'est-ce qu'un "nice to have" ? Pourquoi serait-ce impératif ? A quoi ça répond, en quoi ça consiste ? Et si je décide d'en déployer un dans mon entreprise, quelles seront les contraintes ? Et qui peut m'aider ?" Voici quelques réponses à toutes ces questions.

Un système de management de la sûreté, disons un SMS, n'est pas un cadre figé qui peut s'appliquer sur toute entreprise. Sa pertinence et son efficacité impliquent qu'il soit adapté à l'exposition spécifique aux risques, à la taille, au statut, au métier, au périmètre géographique d'activité et également à la culture de l'entreprise. On ne décrira pas le même SMS pour une grande entreprise publique exerçant essentiellement sur le territoire national, pour une grande multinationale, et pour une PME à vocation internationale. Et pourtant, les fondamentaux sont constants : ce sont les réponses à quelques questions.

Premièrement, à quel objectif répond un SMS ?

Situons-nous dans la pire des situations en évoquant le seul aspect de la protection des personnes. Souvenons-nous : La compagnie BP opère, avec Statoil et la compagnie nationale algérienne, le site gazier d'In Amenas, en Algérie. Plus de 600 personnes y sont employées. Le 16 janvier 2013 au matin, un groupe d’une trentaine de terroristes attaque successivement un convoi du site, l’usine et le camp, séparés de quelques kilomètres. Les agresseurs sont revêtus de treillis militaires et équipés d’armements lourds et d’explosifs. Le bilan final sera de 72 morts parmi lesquels 42 expatriés, un algérien et 29 terroristes. Fred Buttaccio, salarié de BP est une des victimes, comme deux de ses compatriotes. Sa famille poursuit BP au Texas et l'attorney explique que BP a laissé son salarié dans une situation de vulnérabilité. La famille de Fred Buttaccio a demandé 1 million de dollars de dommages et intérêts et exige aussi de BP qu'elle modifie son management de la sûreté. Pour sa part, Statoil n'a pas attendu d'être attaquée en justice pour organiser son SMS.

Bien évidemment, et fort heureusement, il n'y a pas d'attaques terroristes tous les jours. Encore qu'on constate une recrudescence de ce qu'il est convenu d'appeler les prises d'otages massives comme à Bombay, le 11 juillet 2006 (209 morts, 714 blessés), ou à Nairobi, le 21 septembre 2013 (68 morts, 200 blessés). Il y a aussi les attentats là où on ne les attend pas nécessairement, comme à Boston, le 15 avril 2013 (3 morts, 264 blessés), et à Tunis, le 18 mars 2015 (24 morts, 45 blessés). Le territoire national peut aussi être touché. Plusieurs attentats y sont régulièrement déjoués mais on ne peut oublier l'histoire des lâches assassins de janvier 2015 qui commence le 7 janvier au siège de Charlie Hebdo, et se poursuit dans une rue de Montrouge, puis dans une station service, pour se terminer dans un hypermarché de la porte de Vincennes et dans une imprimerie de Seine-et-Marne.

Malheureusement, mais plus fréquemment, il y a aussi des agressions moins médiatiques mais qui restent dramatiques pour la personne qui en est victime. Ainsi, une salariée expatriée en Côte d’Ivoire avait été agressée en 2004 en dehors de son temps de travail alors qu’elle attendait dans une voiture qu’elle conduisait, son conjoint parti retirer de l’argent dans une agence bancaire. A la suite d'une longue procédure, l'affaire arrive devant la Cour de Cassation qui confirme, fin 2011, la condamnation de l'employeur, même si l’agression est survenue hors du temps de travail et sans lien direct avec l’exécution du contrat de travail.

On voit que la tendance jurisprudentielle évolue vers une responsabilité de principe de l'employeur. C'est le principe de précaution qui prévaut, même si on peut parfois en déplorer les excès. Et une mise en cause de l'entreprise par un salarié, pour défaut de protection, peut être destructrice non seulement au plan judiciaire mais aussi au plan financier et au plan médiatique.

Aujourd'hui, l'opinion publique n'accepte plus l'excuse de fatalité. "Pourquoi et comment cela a pu arriver" ? Et surtout "Qui est responsable" ? Elle exige la professionnalisation du métier sûreté et, si ce n'est la normalisation de la fonction, du moins un cadre formalisé.

En outre, le champ de la sûreté ne se limite pas à la protection des personnes. Une destruction, même une dégradation, d'un outil de production peut aussi générer de graves impacts et peser sur la survie de l'entreprise.  Que dire d'un pillage ou d'une perte de données ? Sans oublier l'impact de la fraude …

L'exposition au risque est multiforme quel que soit le domaine ou le territoire d'activité. Et le développement international n'est plus une option mais il doit faire face à un contexte géopolitique qui n'est pas souvent favorable.

A côté des exigences externes, la formalisation de la fonction sûreté répond aussi à des exigences internes : Il est indispensable d'attribuer clairement les rôles et responsabilités, de les faire connaître et de fournir les moyens d'action. Les salariés, l'ensemble des collaborateurs, attendent que le meilleur effort soit fourni pour assurer la protection requise tant pour eux que pour leur entreprise.

On voit donc qu'on ne peut plus se contenter de gérer des crises mais qu'il faut anticiper, organiser. Mais alors, survient l’affirmation suivante : "Je le fais déjà puisque j'ai un directeur de la sûreté, je fais de la veille et je dispose d'une assistance rapatriement.

Qu'est-ce qu'un SMS peut « m'apporter de plus ? "

La fonction de veille et d'analyse de la menace est indispensable mais elle ne saurait suffire à anticiper les événements. Qui avait prédit le printemps arabe et ses conséquences ? Et si l'occurrence d'un enlèvement, d'un attentat, ou généralement d'une atteinte aux personnes ou aux installations est toujours à redouter, on ne sait jamais à l'avance ni où, ni quand ces événements surviendront. Leur imprévisibilité (par définition) n'autorise pas de mesures de protection au coup par coup. Tout repose donc sur une organisation destinée à éviter l'exposition au risque.

Cette organisation consiste à

  • s'assurer que les meilleures dispositions sont prises pour protéger les personnes ainsi que le patrimoine matériel et immatériel (anticipation plus que réaction),
  • disposer d’une documentation de référence claire, accessible, lisible et finalement applicable et appliquée,
  • définir la répartition des attributions, ce qui répond généralement à l’attente des différents acteurs et garantit en outre une meilleure efficacité,
  • concevoir et faire vivre une organisation qui permet de sélectionner les acteurs et de prévoir  les procédures et les décisions en vue d’atteindre le meilleur niveau de pertinence,
  • donner une garantie aux collaborateurs et aux parties prenantes en démontrant que l'entreprise a réellement pris en compte l’exigence de sûreté,
  • permettre à l'entreprise de travailler dans des environnements incertains,
  • protéger l'entreprise du risque (humain, financier, médiatique, juridique) pouvant résulter d’un incident de sûreté.

Et c'est le SMS qui va permettre de structurer, de déployer, et de faire vivre ces mesures

Qu'est-ce alors qu'un SMS, comment fonctionne-t-il ?

C'est avant tout un système de management. Il doit donc en reprendre les composantes classiques :

  • un engagement clairement affiché de la part du plus haut niveau de l'entreprise, connu et compris par tous,
  • un document de référence qui décrit les rôles et les responsabilités, l'organisation et le fonctionnement de la fonction,
  • des règles (généralement dénommées directives ou company rules)
  • des outils tels que les plans de sûreté, la géolocalisation des collaborateurs, la cartographie,
  • la formation des acteurs de la fonction, leur accompagnement, la sensibilisation des personnels,
  • le contrôle et le suivi des recommandations,
  • les revues de direction.

Ce schéma permet d'assurer le principe d'amélioration continue propre à tout système de management.

Son déploiement démontre que le risque sûreté a été réellement pris en compte selon l'état de l'art et de préférence avec l'aide d'un spécialiste.

Enfin, vers qui me tourner ? « Qui peut m'aider ? »

Les ressources internes doivent avant tout être mobilisées pour garantir l'adéquation du système au fonctionnement de l'entreprise : juristes, auditeurs, RH, informaticiens, R&D, …

Mais l'accompagnement d'un spécialiste externe est de nature à garantir le respect des bonnes pratiques, à éviter les tâtonnements ou erreurs, et à construire le SMS le plus pertinent possible. Il permet aussi de pallier les éventuels manques de ressources internes. La société de conseil en gouvernance de la sûreté, Salix, propose cette expertise.

La démarche consiste à :

  • Réaliser un diagnostic en identifiant l'exposition spécifique aux menaces. Il est adapté à l'activité, au périmètre géographique et à la culture de l'entreprise.
  • Décrire l'organisation et le mode de fonctionnement souhaitables. C'est la conception de la structure du SMS.
  • Rédiger la documentation du SMS (document de référence, directives, éléments contractuels, …).
  • Déployer le SMS : communiquer et expliquer, former et accompagner les acteurs, sensibiliser les collaborateurs.
  • Contrôler, assister et émettre des recommandations.
  • Auditer les prestataires de sûreté en référence à la normalisation internationale.
  • Assurer l'exercice de l'amélioration continue.

Chacune de ces étapes peut faire ou non l'objet du conseil de l'expert et être externalisée. Au-delà, pour les entreprises qui souhaitent optimiser leur coût/efficacité, Salix propose la mise à disposition d'un responsable sûreté à plein temps ou à temps partiel.

En conclusion, on retiendra que, face à une exigence de plus en plus pressante, les réponses existent avec autant de souplesse que d'efficacité.

Pierre NOVARO, Président de Salix – Security Governance

Catégorie: