La protection d’une entreprise ne peut être assurée sans une réflexion stratégique sur la sécurisation globale. Pour cela, la définition d’une politique de sécurité, l’identification des secteurs et des acteurs concernés, son positionnement dans l’entreprise sont indispensables pour établir la politique de sécurité de l’entreprise.
1.Politique de Sécurité
L’existence d’une politique de sécurité ou des politiques de sécurité demeure encore floue ou secondaire en entreprise. Pour éliminer les oublis et/ou les erreurs, il est parfois préférable de lisser la frontière entre sécurité et sûreté en regroupant sous l’expression « sécurité globale ». Doit-on trouver une politique générale de sécurité ou plusieurs politiques spécifiques de sécurité ? Les textes légaux et les obligations réglementaires recommandent, voire obligent de fait, la présence de politique de sécurité en entreprise. La PSSI (Politique de le Sécurité des Systèmes d’Information) est quasiment imposée par la norme ISO 27001 et est la plus connue car les systèmes d’information sont très sensibles et surveillés. La politique du QHSE (Qualité, Hygiène, Sécurité, Environnement) est quasiment imposée par le code du travail car l’employeur est tenu de prendre toutes les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale de ses salariés. Dans ce cadre, l’employeur ne doit pas seulement diminuer le risque, mais doit l’empêcher.
2.Rôle du directeur de sécurité dans le cadre de la politique de sécurité
L’implication du directeur de sécurité est liée à sa responsabilité dans l’entreprise. Toutes les entreprises sont différentes et les scopes couverts demeurent spécifiques (de l’IE à la sécurité physique des sites, en passant par la cybersécurité et la sécurité au travail). Le niveau de responsabilité du signataire de la politique est significatif pour montrer l’engagement de la DG. A cet effet, la délégation de pouvoir peut être ou non, partielle, limitée dans le temps, définie selon les secteurs avec la responsabilité associée. Elle permet au délégataire d’agir au nom du délégant dans certaines situations spécifiques. La délégation de pouvoir n’est pas obligatoire mais peut être fortement conseillée car elle offre une gestion dynamique de la prise en compte des risques, que l’entreprise doit supporter, et permet une meilleure organisation. La loi n’impose pas de délégation de pouvoir écrite. Cette opération doit être sûre et exempte de toute incertitude. Cependant, la forme écrite est à privilégier afin de cadrer correctement cette opération, et de constituer une preuve en cas de litige. Néanmoins, l’écrit reste fortement recommandé afin de faciliter la preuve de la délégation et de son champ d’application. Il est préférable de rédiger un contrat de délégation spécifique qui permet de bien détailler les différents pouvoirs délégués et de veiller avec plus de rigueur à la rédaction de chacune des clauses.
3.Rédaction de la politique de sécurité
La politique générale de sécurité peut demeurer le document central/point d’ancrage de toutes les autres politiques de sécurité, permettant ainsi, à chacune, d’évoluer indépendamment des autres. Une politique de sécurité résulte d’un travail de définition des axes prioritaires alignés avec les ambitions et la stratégie du groupe. Les contours de cette politique peuvent différer selon la maturité, le périmètre et les enjeux de sécurité de l’entreprise concernée. Toute démarche rationnelle de sécurité s’appuie sur une analyse des risques et des menaces qui conduit à définir des priorités de traitement et un système de management associé à une démarche d’acculturation à tous les niveaux de l’entreprise. Tout dépend des entreprises (secteur économique, importance) et des priorités des dirigeants. La politique de sécurité d’une entreprise est unique et évolutive, doit être synthétique, datée, signée, claire, lisible et compréhensible. Une politique de sécurité est importante car elle montre aux clients, aux partenaires, aux salariés que l’entreprise a pris conscience de sa sécurité, et pourrait être utile en cas d’incident/accident grave vis-à-vis des assurances et des enquêtes juridiques. La difficulté rédactionnelle vient de la complexité du fonctionnement d’une entreprise dans tous les domaines : humain, production, « historique » et ADN de l’entreprise, architecture, répartition géographique, … Elle peut regrouper (rien n’est figé et/ou obligatoire !) : les domaines couverts (environnement, sites, santé, incendie, RSE/HSE, cyber, psychosocial, …) ; les menaces les plus importantes ; les principaux risques acceptés; les priorités stratégiques de l’entreprise vis-à-vis des actions sécuritaires majeures ; le management de la sécurité, les actions sécuritaires à respecter pour assurer la protection globale (solutions sécuritaires déployées, sensibilisation, intégration dans les travaux au quotidien des salariés, voyages, éthique, …) ; des références légales et/ou réglementaires.
Comentarios