Partenariat

Comment créer une culture de la sécurité ?

Société Générale Securities Services
le 14/10/2016

Comment faire de vos employés des capteurs et des défenseurs contre les menaces de sécurité. Comment faire de la sécurité l'affaire de tous, y compris celle du business et du management.

Comment créer une culture de la sécurité ?

« L’activité des établissements financiers est liée à la confiance et, à ce titre, la sécurité doit faire partie de leur ADN. Bien sûr, des investissements sont nécessaires dans les technologies et dans l’expertise requise pour protéger l’organisation contre les violations de sécurité et détecter rapidement les nouvelles menaces et les incidents ; mais si un cadre de contrôle est nécessaire, l’existence d’une forte culture axée sur la sécurité est véritablement indispensable ».

Christophe Clément – Responsable de la gestion des risques opérationnels au sein de SGSS

Dans tous les environnements professionnels, la culture est le résultat de l'association des valeurs exprimées par l'organisation et de l'expérience de chaque collaborateur sur son lieu de travail, en particulier des interactions entre collègues et avec la hiérarchie. Les banques dotées d'une culture très orientée client - comme c'est le cas de Société Générale - ont aussi une culture fortement axée sur la sécurité, car les équipes savent que le moindre incident peut affecter le client et nuire à la relation commerciale. Cette culture doit s'infiltrer à travers toute l'organisation, y compris dans ses filiales et ses sites internationaux. Quand j'ai rejoint SGSS, j'ai été frappé par l'esprit d'équipe immuable dans toutes nos implantations et par l'engagement des équipes à protéger nos clients contre les désagréments qui peuvent survenir en cas de problème sérieux.

Dans les enquêtes de due diligence ou dans les documents d'appel d'offres, les clients posent de plus en plus de questions précises sur la sécurité opérationnelle, la continuité de l'activité, la sécurité des informations et la protection des données. Pour nos clients, ces aspects sont de toute évidence devenus essentiels.

Dans une culture de la sécurité, il faut absolument que les équipes soient à l'aise pour signaler les problèmes. Tous les employés doivent avoir la possibilité de signaler facilement des anomalies, des erreurs ou des inquiétudes quant à des pratiques peu communes, sans délai et sans censure. Le dialogue entre les équipes et les managers doit être simple et ouvert. Lorsqu'une culture de la sécurité est établie au sein d'une organisation, tous les collaborateurs savent qu'ils ont personnellement la responsabilité de la protéger contre les violations. L'impact des erreurs ou des violations de sécurité peut être réduit si l'on en encourage le signalement immédiat. Pour qu'une telle culture soit possible, il faut que les erreurs opérationnelles soient pardonnées lorsqu'elles sont signalées rapidement et clairement.

« Un cadre de contrôle est nécessaire ; l’existence d’une forte culture axée sur la sécurité est véritablement indispensable ».

Une culture de la sécurité se caractérise par une confiance mutuelle entre les collaborateurs, les managers et les équipes en charge du cadre opérationnel de contrôle de la sécurité. Cette confiance doit être renforcée par une coopération étroite entre les personnes chargées du cadre de contrôle et les équipes opérationnelles. Cette proximité implique que les rôles puissent être inversés. Société Générale Securities Services dispose par exemple d'une division dédiée de responsables de la sécurité des opérations, indépendante de la direction de SGSS et qui est en charge du cadre de contrôle des risques. Son rôle consiste à accompagner et challenger les équipes de SGSS sur les questions relatives aux opérations, à la sécurité des informations et à la continuité de l'activité. Cette division vérifie que les équipes opérationnelles appliquent bien les méthodes et les standards du groupe Société Générale (évaluation des risques, plan de contrôle à jour, consignation et analyse des incidents, etc.). 

L'instauration d'une culture de sécurité pérenne implique aussi une implication directe de la part des membres des équipes opérationnelles, qui doivent effectuer le contrôle de leurs propres opérations. Chez SGSS, les équipes opérationnelles et les managers doivent établir et mettre en œuvre leur propre plan de contrôle en plus de respecter les méthodes et les standards du Groupe dans toutes les activités et les implantations.

Pour favoriser une culture de la sécurité à travers toute l'organisation, les équipes doivent être systématiquement sensibilisées à toute l'étendue des menaces potentielles. SGSS emploie une approche que l'on pourrait qualifier de « ludique » pour développer des processus de gestion de crise : par exemple, pour la continuité de l'activité, nous organisons des tests et des jeux de rôle avec des simulations de crise, en impliquant des membres du senior management qui ne connaissent pas le scénario à l'avance. Nous envoyons aussi de faux emails de phishing pour voir si les collaborateurs sont sensibles aux questions d'ingénierie sociale : ceux qui cliquent sur un lien suspect, par exemple, sont redirigés vers une session web de sensibilisation à la sécurité des informations. Au-delà de l'environnement professionnel, les méthodes et les standards de sécurité doivent aussi être appliqués dans la sphère personnelle. Les employés sont régulièrement informés à propos des problèmes de sécurité qu'ils peuvent rencontrer en utilisant leurs ordinateurs ou d'autres appareils personnels. Nous pensons que sensibiliser les collaborateurs aux enjeux de la sécurité à domicile permettra de renforcer l'attention qu'ils portent à la sécurité au travail. Pour que les employés soient au fait des toutes dernières problématiques et solutions, nous fournissons aussi des formations et des conférences en ligne et nous envoyons régulièrement des emails internes qui contiennent des astuces permettant d'améliorer la sécurité.

Dans tout le secteur bancaire, les acteurs de la sécurité des informations se rapprochent de plus en plus les uns des autres pour partager leurs réflexions sur les menaces et sur les nouvelles technologies nécessaires pour améliorer le niveau de sécurité. En matière de sécurité, l'existence d'un esprit d'équipe cohésif entre les établissements financiers est une valeur ajoutée pour tous ; dans le monde d'aujourd'hui, les banques travaillent ensemble, à l'échelle mondiale, pour mieux lutter contre les menaces pour la sécurité.

Regard sur l’impact d’EMIR sur la valorisation des fonds UCITS et AIF

Film corporate SGSS

Visionnez l’ensemble des vidéos produites par SG

A lire aussi