L'écosystème de la sécurité globale à la française

“Il n’est plus envisageable d’imaginer l’écosystème de la sécurité comme des mondes parallèles où coexisteraient dispositif régalien, initiatives locales et acteurs privés. Devant le #CDSE, je réaffirme notre ambition de créer un véritable continuum de sécurité dans notre pays”.

Les propos du ministre de l’Intérieur Christophe Castaner, le 18 décembre 2018 devant les membres du Club des Directeurs de la Sécurité/Sûreté en Entreprise (CDSE), et les acteurs de la sûreté sont sans équivoque. Pour autant, parle-t-on d’une véritable doctrine française de sécurité globale ?

Le continuum de la sécurité représente l’ensemble des actions, missions, dispositifs  qui assurent une coproduction de la sécurité intérieure comme extérieure de la France par des acteurs privés et publics. Nombre de gouvernements, de personnages publics, politiques et d’organisations professionnelles se sont exprimés sur le sujet sans pour autant faire le choix d’une doctrine précise. Il faut remonter en 1995 pour voir apparaître la notion de coproduction dans le  rapport n° 564 du sénateur Paul Masson. Le rapport parlementaire Fauvergue-Thourot rendu en septembre 2018 relance le débat et entraine un sensible changement de point de vue. Ce que le rapport souligne, et qui reste primordial c’est la volonté de l’ensemble des parties prenantes du secteur, de se donner les moyens d’une nouvelle doctrine de sécurité globale. Les propositions sont nombreuses, mais pas anciennes : un transfert de missions non essentielles accompagné d’une structuration plus forte de la formation du secteur privé, un armement par défaut des polices municipales, mise en place de passerelles entre les secteurs. Va-t-on pouvoir enfin se débarrasser des verrous idéologiques qui brident le concept de sécurité à la française ?

En effet, telle une boîte de pandore, l’externalisation des secteurs de la sécurité intérieure et la défense est depuis longtemps culturellement controversée. Paradoxe, l’enquête de branche de la sécurité privée humaine de novembre 2018 met en évidence 6,3 milliards d’euros de chiffre d’affaires en 2016, portant la France au 3e rang européen, où un quart des achats d’heures sont réalisés par les collectivités territoriales et l’état. En France, la sécurité et la défense sont régaliennes, c’est pourquoi il est assez difficile aujourd’hui d’en fédérer les acteurs.

L’écosystème de sécurité est composé des agences nationales et forces régaliennes de sécurité et de la défense, des acteurs de la sécurité privée humaine, des sociétés et cabinets d’ingénierie-conseil, de services sûreté d’entreprise, ainsi que les sociétés de cybersécurité. Jusqu’alors, chaque branche privée a évolué, bon gré mal gré, en fonction des opportunités de marché et de standards imposés par une puissance dominante, financière ou politique. Ce sont des effets plutôt chaotiques dont les Entreprises de Sécurité et de Défense (ESSD) françaises ont fait les frais.

Le retour d’expériences des ESSD

L’absence d’une politique globale, associée au défaut de soutien stratégique de l’État français a contribué à l’écroulement de la branche. Cela se matérialise ces 10 dernières années : faillite de Galice Groupe (Affaire TOMI – corruption), l’annonce de la vente de Risk&Co par le fond Latour Capital l’année passée, des résultats financiers difficiles pour Amarante et Geos, leader français. L’évolution des menaces (dématérialisation des cibles, terrorisme low cost…) et le retour d’expériences mondiales ont compté dans l’a priori français du partenariat public privé. Il a permis une consolidation de la vision française de la sécurité régalienne au détriment d’une évolution de la coproduction. Le secteur de la sécurité militaire privée est dominé par les sociétés américaines. Il est vrai qu’outre-Atlantique les sociétés américaines de sécurité et de défense telles que Dyncorp ou encore Ronco et Armor Group dressent un bilan tout à fait différent. En 2005, cette alliance a par exemple remporté, auprès du DoD sans appel d’offres, un contrat de déminage en Irak de 5 millions de dollars.

Plus récemment, Dyncorp, signe un contrat de 50 millions de dollars pour la formation de la police irakienne pour le compte du gouvernement américain. La société a su tirer profit d’une conjoncture difficile en diversifiant ses activités. Ce qui lui permet d’assurer au même moment, les contrats de gestion financière de plus de 30 agences gouvernementales dont DEA, FBI, DoD, DoJ. La gouvernance est assurée autour d’actionnaires (James Woolsey, ancien directeur de la CIA) et dirigeants (Herbert S. Winokur Jr., CA Enron) influents. Le soutien de l’administration américaine a renforcé considérablement les Private Military Society (PMS) en leur confiant parfois un rôle plus que stratégique dans la politique extérieure comme intérieure. Elle assure également l’hégémonie des USA au travers des développements cumulés des secteurs technologiques, financiers et informatiques, supportés en back-office par l’extraterritorialité des lois américaines. Dyncorp est un exemple de domination subversive américaine qui, par la maîtrise d’un marché de niche, impose le contrôle des ressources stratégiques d’autres pays.

La France ne peut rivaliser sur ce terrain, mais elle doit consentir à réagir pour ne pas se fermer des opportunités sur des marchés extraterritoriaux. Cependant, les détracteurs sont nombreux ce qui explique que l’ensemble des ESSD françaises peine à franchir les 3 millions d’euros annuels de chiffres d’affaires sous un marché a domination américaine. Dernièrement,  elles s’appuient sur des leviers de croissance tels que l’innovation, et la digitalisation. Certaines des entités s’entourent du soutien de sociétés de conseils en stratégie. Anticip, société qui s’est détachée de la maison mère SOFEMA en 2008, en est l’exemple. Basée sur le modèle des PMS anglo-saxonnes il y a encore peu, elle a réalisé un virage stratégique. La société effectue une levée de fonds de 1 million d’euros auprès de la BPI en 2018 pour des projets d’innovation en travel risk management. Ce montant est bien loin des montants de financement anglo-saxons. Mais il reflète un appui structurel de la Banque d’Investissement Publique (BPI) et contribue timidement à matérialiser l’essor d’une doctrine de l’état français. Le rachat par l’ADIT de la société GEOS est un autre exemple. Cet accord va mettre en œuvre une société aux capitaux privés, une offre de service globale (de la sécurité économique à la protection physique des entreprises), réel renouveau du monde de l’ingénierie sûreté et de l’intelligence économique qui, de l’avis des financiers comme des experts, promet d’être un fleuron européen. Un vecteur d’influence au moins à la hauteur des superstructures américaines. L’intérêt de telles structures repose sur le fait qu’elles offrent des prestations qui balayent le spectre des besoins des entreprises : de l’anticipation des menaces, en passant par la stratégie d’évolution jusqu’à la protection opérationnelle. Car si nous sommes sûrs que les menaces futures cristallisent autour de l’information, de ses infrastructures et des réseaux, finalement leur expression matérielle sera encore territoriale. C’est en cela que le smart power et l’éthique de l’écosystème français sont un atout concurrentiel dans ce marché mondial.

Une transformation organisationnelle des services sûreté des entreprises

Des menaces plus complexes, des contextes exigeants ont transformé la fonction sûreté en entreprise. Les attentats de 2015 et 2016 ont amorcé un changement dans la stratégie de détection et d’anticipation de la menace.  Elle redonne au renseignement sa place stratégique et modifie la doctrine d’intervention des forces interventions. L’évolution concerne également la fonction sûreté en entreprise. Elle se structure et s’adapte au regard de la coproduction et du continuum de la sécurité en s’intéressant à des profils spécialisés en investigation, intelligence économique, gestion de crise, sûreté à l’internationale.

L’étude menée par PricewaterhouseCoopers (PwC) sur la fonction démontre que les services modifient leur organisation par l’intégration de compétences en analyse de données, en intelligence économique, en cybersécurité, et gestion de crise. Elle s’organise également par la constitution de diverses lignes de défense, adaptant son organisation à celle d’une stratégie militaire. L’étude met en avant aussi le rapprochement de l’intelligence économique avec les services qui traite du risque sécuritaire et place au centre de ses préoccupations le monde informationnel. Finalement plus agile aux regards des enjeux, la transformation des services de sûreté internes reflète l’idée de sécurité globale. Et force est de constater que cette structuration fait, des organisations professionnelles telles le CDSE, des vecteurs d’influence qui participe à faire bouger les lignes. Un renouveau profitable, car elle donne un essor économique et élévation de la notoriété des entreprises françaises.

La cybersécurité, vecteur dynamique et soutien essentiel

En 2018, le risque cyber était classé parmi les plus grandes inquiétudes des dirigeants comme des états. L’organisation de la filière malveillante a accéléré le rapprochement de la cybersécurité et du RSSI dans les directions sûreté à défaut de la DSI (17% d’entre elles, source PwC)). La cybersécurité a très vite été identifiée comme faisant partie du cercle de la sécurité globale. Elle a bénéficié du retour d’expérience de la branche sécurité privée humaine. L’État a en effet adopté une position plus stratégique que celle du Conseil National des Activités Privées de Sécurité (CNAPS). Point de taxe aux entreprises à l’horizon pour l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), la mise en place d’une gouvernance claire et assumée participe à rejoindre ce continuum de sécurité. Doté d’un rôle d’accompagnement et d’audit en rapport à la prise de conscience du risque cyber, l’ANSSI jouit d’une notoriété et d’une acceptation nettement supérieure au CNAPS. Son positionnement repose sur l’accompagnement avant le contrôle et la répression. Indéniablement, cela contribue à un partenariat public privé acceptable et accepté. Néanmoins, la cybersécurité a dû évoluer elle aussi. La nouvelle méthode EBIOS RM en est un exemple. Une association est à l’origine de cette méthode. Elle assure l’influence du secteur et représente les acteurs publics et privés de la branche cyber risk(CGI,Orange, CNIL…). Elle permet au secteur d’asseoir sa position au sein de la table ronde du risk management par une adoption des normes.

Le business du risque digital est une activité très lucrative si on s’attache à la rapidité de son développement. Les États-Unis comprennent rapidement à l’aube de la révolution numérique des années 2000 les enjeux de souveraineté et structurent le marché. L’exemple le plus probant fut l’acquisition, en 2003, de Dyncorp par Computer Sciences Corporation. Précurseur à l’époque, ils sont rejoints en Europe par Risk&Co avec l’achat de Secway. Autre modèle, le Cabinet Magellan Partners spécialisé dans la stratégie et la gouvernance digitale a récemment augmenté l’effectif de son activité « Security4Business » en recrutant des profils « sécurité physique ». La prise en compte d’une souveraineté numérique française (cf ISN), est un atout essentiel dans le développement de l’écosystème de sécurité. Afin de maintenir son évolution, la doctrine de sécurité globale doit s’appuyer sur le secteur du numérique, et celui de la cyber sécurité, afin de bénéficier de sa dynamique.

Cet état de transition amorcé par des événements complexes a permis de renforcer la prise de conscience et de confirmer la transformation organisationnelle, financière, économique et structurelle de l’ensemble des acteurs de la coproduction de la sécurité. L’essor de notre écosystème pourrait permettre l’avènement d’un “soft power”. L’État français doit saisir cette occasion favorable pour assumer sa gouvernance et définir sa doctrine de sécurité globale comme vecteur d’influence. Cette doctrine permettrait également au secteur de la défense et de la sécurité de reconsidérer sa place stratégique dans l’échiquier mondial, et de se doter de mesures de pilotage stratégique capable de détecter de manière proactive les risques et les opportunités.

Article écrit par Damien Ridelaire, pour l'Ecole de Guerre Economique. Janvier 2019