Stratégie

Illustration de la mutation des problématiques de sécurité

Le 19 juin 2014 Imprimer

La sécurité, au sens de la sûreté malveillance, connait depuis plusieurs années une mutation profonde, résultat d’une évolution générale de la production au sein des organisations depuis une trentaine d’années. Ce phénomène se traduit par une évolution complexe de la notion de valeur pour les entreprises en termes de matérialité et d’immatérialité, impliquant dans le même temps une évolution du paradigme de risque vers une virtualisation de la sécurité caractérisée, notamment, par l’omniprésence des réseaux.

Par Sébastien Mauqué, directeur Stratégie et Développement, Groupe Partenaire Sécurité, adhérent du SCS, syndicat du conseil en sûreté

A l’heure où, au sein de l’hexagone, les associations professionnelles, au premier titre duquel celles représentant les fonctions de direction de sécurité, se démènent pour faire reconnaître l’importance stratégique de la notion de sécurité pour les entreprises, notamment en termes financiers, la bataille glisse sur un autre théâtre d’opérations. Le risque est réel pour les directions de sécurité de voir dans un futur proche leurs prérogatives radicalement restreintes ou d’être phagocytées par les DSI, au lieu de pouvoir œuvrer de manière transversale. La convergence et l’intégration de plus en plus poussées des systèmes électroniques de sûreté au travers de l’hypervision, l’arrivée du cloud computing et plus généralement du SAAS (Software as a service) pour des applications sécuritaires ainsi que le gardiennage virtuel constituent les prémisses de ce bouleversement. Le secteur bancaire, particulièrement celui de la banque de détail, constitue un cas intéressant au cœur de ce maelström car il s’avère emblématique de cette notion de mutation de la notion de valeur et cristallise un certain nombre de problématiques liées à l’essor de la dématérialisation.

Les réseaux d’agences : partie émergée de l’iceberg En l’espace de deux mois, de fin décembre 2012 au mois de février 2013, une équipe de pirates informatiques, criminels en col blanc, disposant d’un réseau international de complices ont dérobé trente-cinq millions d’euros à plusieurs banques en exploitant les failles liées aux cartes prépayées. En comparaison, pour toute l’année 2012, selon la FBF, le préjudice financier cumulé des cinq réseaux majeurs français lié aux attaques à main armée, aux cambriolages et aux arrachements de Dabs était, peu ou prou, dix fois inférieur à ce braquage virtuel. Cet exemple est caractéristique du fait que la sécurité physique des agences bancaires représente une part bien moindre en termes de risques par rapport à la sécurité des systèmes d’information et, de surcroît, à la sécurité des moyens de paiement, se traduisant par des enjeux sans commune mesure.
Qu’en est-il alors du futur des réseaux d’agences, image commerciale des banques de détail ? D’aucuns pourraient penser qu’il suffirait simplement de fermer toutes les agences mais bien que les banques de détail traditionnelles soient confrontées à une concurrence agressive des banques en ligne et n’ont pas totalement achevé leur mutation vers la banque numérique, le métier de banquier reste lié, dans l’imaginaire collectif, à la manipulation d’espèces. Plusieurs banques en lignes ou assureurs développant ou consolidant une activité bancaire ont lancé un programme de déploiement d’automates bancaires ou projettent de le faire et pas uniquement sous la pression réglementaire liée à la question des cartes bancaires. Il s’agit souvent d’une véritable stratégie commerciale visant à drainer des clients supplémentaires, profils effrayés par le caractère virtuel de ces enseignes. Si les agences bancaires sont donc vouées à voir leur nombre global se restreindre ou leur activité se transformer vers d’autres services sous la contrainte croisée de la rentabilité, entrainant automatisation et diversification, et les évolutions réglementaires multiples liées tant à leur métier (sécurité des transports de fonds) qu’à leur nature d’établissement recevant du public (accessibilité des personnes à mobilité réduite aux salles fortes , hauteur des guichets ou des dabs par exemple), il est cependant évident que la problématique fiduciaire matérielle ne disparaitra pas de sitôt. Le «  cash » demeure encore incontournable pour le grand public. Néanmoins, l’arrivée lente de la monnaie électronique n’est pourtant pas un gage d’extension du périmètre des Directions de sécurité car la monétique est souvent plus une affaire d’informatique que de sécurité physique.
La place délicate de la sécurité au sein des banques Les Directions de sécurité au sein des banques ont effectivement une place particulière et doivent composer dans l’espace situé entre les DSI et les directions immobilières. En outre, leurs stratégies de sécurité doivent intégrer non seulement la question centrale des réseaux d’agences mais également celles liées à la sûreté de leurs Sièges sociaux et centres d’affaires qui sont radicalement différentes tant en termes techniques, plutôt dans une réponse par une approche système que stand alone, qu’en termes de risques. L’évolution technique générale des agences bancaires illustre également ce phénomène d’étau. La vidéoprotection IP est en retard dans la majorité des réseaux bancaires et ce pour plusieurs raisons. La première reste bien évidemment une question de coût car un déploiement sur cinquante, mille ou deux mille agences a bien évidemment un impact financier important. Toutefois, le prix n’est pas le seul élément de frein que l’on perçoit sur la problématique des agences bancaires puisqu’en réalité l’IP est perçu dans la sécurité physique un peu comme un cheval de Troie, que cela concerne la détection d’intrusion, le contrôle d’accès ou la vidéo ainsi que les systèmes intégrés. Le risque de dépendance, voire d’allégeance, vis-à-vis des DSI est perceptible à cause de cette omnipotence du réseau informatique et de son caractère fédérateur de systèmes a priori sans lien autre qu’un vecteur de transmission d’information. La vidéo constitue pourtant un enjeu majeur, notamment dans le cadre de l’évolution de la surveillance à distance des agences et de la virtualisation des interventions pour levée de doute que d’aucuns nomment « cybergardiennage », déjà répandu chez nos cousins anglo-saxons. Or, être hébergé sur le réseau peut impliquer d’être soumis aux contraintes multiples du SI en termes de gestion de passante et, particulièrement dans le domaine bancaire et parabancaire, ces contraintes ne sont pas des moindres. La notion de sécurité dans le secteur bancaire suit un mouvement général des organisations mais se situe à un moment crucial de son histoire, du fait de la mutation du secteur et des multiples contraintes qui pèsent sur les réseaux d’agences. Le tournant technologique ne pourra pas ailleurs se faire pleinement que lorsque les questions de risques seront abordées de manière panoramique globale plutôt que sous divers angles de vue parfois rivaux, c’est-à-dire en intégrant une véritable réflexion transversale entre les Directions de sécurité, les DSI, les experts immobiliers, les Risks managers, sous le mangement direct des Directions Générales.