Sécurité et Stratégie est une publication du CDSE

L’implémentation d’un système de management de la sûreté chez Total : un exercice rigoureux et innovant

Présente dans plus de 130 pays, et dans des zones comme l’Irak, le Yémen ou le Nigeria, Total est parmi les entreprises les plus exposées en matière de sûreté. Ce n’est donc pas anodin si Total a été parmi les pionniers dans l’hexagone à avoir mis en place un Système de Management de la Sûreté (SMS). Pierre Novaro, chef du département Gouvernance de la Sûreté, présente dans cet article le contexte ayant conduit à concevoir pareil outil de gestion intégrée et décrit les étapes ayant conduit à sa mise en place et à son fonctionnement. Si Pierre Novaro reconnaît sans détour que le risque zéro n’existe pas et que tout processus de sûreté n’est pas infaillible face à une menace par nature imprévisible, il précise que la vocation d’un SMS est avant toute chose de préparer l’entreprise à faire face à toute incident sécuritaire et à protéger par tous les moyens possibles son patrimoine humain et matériel. Au travers de cette présentation détaillée, il apparaît que le déploiement interne d’un SMS est ardu et loin de se résumer à la création d’outils techniques. Il nécessite une application concrète et intégrale, le respect scrupuleux de la gouvernance de l’entreprise, l’intégration des parties prenantes de l’entreprise, des efforts de communication et de sensibilisation, des mécanismes de contrôle et d’adaptation en continu.

L’implémentation d’un système de management de la sûreté chez Total : un exercice rigoureux et innovant.

Chaque entreprise organise sa sûreté en fonction de son domaine d’activité, de son périmètre géographique opérationnel et aussi de sa culture interne. Pour ce qui concerne le groupe Total, l’étendue des activités est aussi vaste que celle du périmètre d’intervention puisqu’il est présent dans plus de 130 pays et qu’il intervient dans des domaines aussi variés que la production, la logistique ou la distribution.

Mais au-delà des simples questions d’organisation ou d’organigramme, c’est la façon dont la fonction sûreté s’exerce dans une entreprise qui va garantir la capacité de celle-ci à faire face aux menaces diverses et à affronter les situations de crise. C’est ce qui a conduit le groupe Total à organiser la gouvernance et l’exercice de la fonction sûreté en un véritable système de management de la sûreté (SMS), à la manière d’un système de management de la qualité.

Cette contribution se propose de décrire le processus ayant abouti à la mise en place de ce SMS, de sa conception jusqu’à son fonctionnement. La conception s’est avant tout appuyée sur des données de contexte internes et externes qu’il convient de préciser. La phase d’élaboration s’est traduite par le suivi d’un certain nombre de principes directeurs. Ensuite, nous verrons que la phase de mise en œuvre a respecté deux axes cardinaux : la pertinence et l’appropriation. Enfin, cet article présentera les outils mis en place dans le SMS, avant de recenser les conditions de sa réussite.

Le SMS : un outil adapté à des données de contexte

Pour répondre à la première de ces questions, la démarche initiée par la direction de la sûreté du groupe Total a pris en compte des exigences internes, des exigences externes et une remarque générale.

Pour répondre à une forte exigence interne, nous avons précisé le cadre de la fonction sûreté afin de répondre à une attente non seulement des acteurs impliqués dans son exercice mais également des collaborateurs du groupe.
Il s’est agi, pour commencer, de définir clairement le périmètre couvert par la sûreté : c’est la protection, face à la malveillance, des personnels, des installations, des activités, ainsi que du patrimoine informationnel. C’est aussi la contribution à la protection de l’image sous l’angle de la détection des actions malveillantes.
Nous avons alors pu rappeler que les principes généraux de gouvernance du groupe s’appliquent également à la fonction sûreté. Ce cadre nous a enfin permis de fixer les objectifs visés par la fonction sûreté : être en mesure de fournir le meilleur effort pour garantir la protection requise. Et, au-delà, maintenir la confiance des collaborateurs du groupe comme de toutes les parties prenantes.
Tout ceci a naturellement impliqué le passage d’un mode purement réactif à une posture d’anticipation.
Tous ces éléments sont donc précisés dans la documentation liée au SMS.

Nous avons également entendu répondre à des exigences externes. À ce titre, la direction de la sûreté de Total a pris en compte une intolérance croissante de l’opinion publique face aux risques : ce qui est devenu aujourd’hui une "tolérance zéro" n’implique pas la garantie qu’aucun acte de malveillance ne peut survenir, ce qui serait absurde. Mais elle implique que l’entreprise ait mis en œuvre les mesures les plus adaptées pour y faire face et en limiter les effets.
Parallèlement, le groupe, comme beaucoup d’entreprises, est conduit à exercer ses activités dans des zones où la situation sécuritaire est dégradée, voire évolue défavorablement.
Ces contraintes nous ont conduit à faire émerger une véritable professionnalisation du métier sûreté. Des formations spécifiques sont aujourd’hui proposées. Les bonnes pratiques sont échangées. Tel est le contexte auquel devait correspondre le SMS de Total.

Au-delà de ces exigences, il reste une remarque générale, de simple bon sens, face à cette notion de « tolérance zéro ». Elle concerne les limites de la prédictibilité quant aux actions de malveillance.
S’il est possible de prévoir qu’un attentat terroriste est susceptible de viser tel type de cible, il est impossible de prédire où et quand celui-ci surviendra. De même pour un acte de piraterie maritime, un enlèvement, une agression… C’est encore plus vrai lorsque la situation sécuritaire est dégradée à la suite d’une catastrophe naturelle. En effet, qui peut prévoir un séisme, un tsunami, une crue catastrophique ?
Ces limites ne justifient par pour autant de négliger l’activité de veille. Elle permet aux acteurs opérationnels d’exercer une vigilance accrue sur l’évolution des situations, notamment sociopolitiques, et les risques qui peuvent en découler. Les failles de la prédictibilité imposent surtout de structurer un corpus de règles qui s’imposent à l’ensemble du périmètre d’activité, et surtout de s’assurer de leur bonne mise en œuvre, en tout lieu et en tout temps. Car ce sont bien ces règles, ces dispositions, ces outils, préalablement mis en place, qui permettront de protéger au mieux les collaborateurs et les actifs matériels et immatériels.

Si le SMS prend en compte ces exigences, reste à savoir de quelle manière il y répond. Sur ce point, quelques objectifs généraux orientent notre démarche :
-  s’assurer que les meilleures dispositions sont prises pour protéger les personnes ainsi que le patrimoine matériel et immatériel (anticipation - par l’organisation -, davantage que réaction - face à l’événement, fut-il prévisible),
-  disposer d’une documentation de référence claire, accessible, lisible et finalement applicable et appliquée,
-  définir clairement la répartition des attributions, ce qui répond généralement à l’attente des différents acteurs et garantit en outre une meilleure efficacité,
-  concevoir et faire vivre une organisation : sélectionner les acteurs, définir les procédures et adopter les décisions en vue d’atteindre le meilleur niveau de pertinence,
-  donner une garantie aux collaborateurs et aux parties prenantes en démontrant que le groupe a réellement pris en compte l’exigence de sûreté,
-  permettre au groupe de travailler dans des environnements incertains,
-  protéger le groupe du risque (humain, financier, médiatique, juridique) pouvant résulter d’un incident de sûreté.

Les principes directeurs du SMS

Pour mettre en pratique les grandes orientations fixées préalablement, nous avons retenu trois principes fondateurs.
- Premier principe, le SMS du groupe doit correspondre à un véritable mode de fonctionnement et faire l’objet d’une mise en œuvre concrète et intégrale. Il n’était pas possible de se satisfaire de pétitions de principe ou de simples présentations conceptuelles. Il ne fallait pas non plus se limiter à aligner des classeurs sur des étagères parisiennes. Le but était bien d’organiser la sûreté au quotidien dans l’ensemble des pays concernés. Et le SMS ne peut produire ses effets que s’il fait l’objet d’une véritable appropriation par tous les acteurs impliqués, aussi éloignés soient-ils du siège, tant en termes géographiques que d’entités juridiques. Il implique donc un circuit d’échange et de contrôle : élaboration et diffusion d’un corpus documentaire de référence, préparation des acteurs, visites de contrôle, assistance, reporting, retex.

Pour répondre à cet objectif nous avons refondu la documentation pour la rendre plus lisible. La Charte sûreté, signée par le Président Directeur Général, et la Politique sûreté, signée par le Secrétaire Général, sont des textes brefs. Cette concision a également été recherchée dans la rédaction des directives. Sans entrer dans le détail des prescriptions énoncées, retenons que leur nombre est limité à dix : sept pour la protection des personnes, deux pour la protection des installations (y.c. la sûreté maritime) et une pour la protection du patrimoine informationnel. Chaque directive est autoporteuse, c’est-à-dire qu’elle est suffisamment explicite pour éviter d’avoir recours à un autre document afin de préciser les mesures à mettre en œuvre.

- Ensuite, et comme nous l’avons indiqué, c’est le second principe, le SMS doit s’inscrire pleinement dans les principes généraux de gouvernance du groupe : respect des Droits de l’Homme et adhésion aux VPSHR , politique d’intégrité contre la fraude et la corruption, Charte d’utilisation des ressources informatiques et de communication, règles achats groupe, etc.

- Enfin, et pour répondre aux deux objectifs précédents, les éléments clés du management de la qualité ont été repris. Ainsi le SMS de Total repose sur une documentation structurée. La Charte sûreté et la Politique sûreté définissent les lignes directrices qui régissent cette fonction dans le groupe. Un Manuel de management de la sûreté signé par le directeur de la sûreté précise les modalités de fonctionnement du SMS. Des directives fixent les actions qui doivent être impérativement menées par l’ensemble des entités du groupe pour se préparer aux situations d’urgence et être en mesure d’y faire face. Elles sont complétées par des guides méthodologiques, de portée non obligatoire, mais comportant des recommandations de bonnes pratiques.

Le Manuel de management de la sûreté organise également les processus (pilotage, opération et support) selon le modèle de la qualité. Ceux-ci sont assortis d’indicateurs retenus en fonction de trois critères : pilotables, mesurables et pertinents. Et pour répondre au principe de l’amélioration continue , des revues de direction, annuelles dans une première phase puis semestrielles, permettent de faire le bilan des actions conduites, de dégager des axes d’orientation et de programmer le budget de l’année suivante. Des projets plus structurants peuvent aussi être dégagés, comme l’organisation d’un Retex sur les solutions technologiques de sûreté ou la numérisation des plans de sûreté des filiales. Ces projets font l’objet d’un schéma directeur à trois ans assorti d’un échéancier.

Ces principes posés, la troisième grande question concerne la démarche suivie pour élaborer le SMS.

La pertinence et l’appropriation comme axes de l’élaboration du SMS

Deux axes ont sous-tendu la démarche d’élaboration du SMS : d’une part, sa pertinence pour répondre aux objectifs retenus, d’autre part, son appropriation par les entités opérationnelles.

Un SMS pertinent requiert de s’entourer d’experts. Un membre de la direction juridique a accompagné le travail d’élaboration de la documentation pendant toute sa durée et a pu indiquer que les dispositions retenues étaient en harmonie avec les principes fondamentaux de gouvernance du groupe. Parallèlement, la direction de la sûreté a sollicité une mission d’auditeurs de la direction du contrôle interne et de l’audit. Celle-ci a pu valider l’économie générale du système et confirmer les axes de travail identifiés. Pour compléter cette double validation interne au groupe, deux prestataires externes ont également été sollicités, l’un sous l’angle juridique et l’autre sous l’angle de la sûreté.

Pour ce qui concerne l’appropriation par les entités opérationnelles, il était important de les associer à l’élaboration du SMS. Chaque branche du groupe dispose d’un coordinateur sûreté chargé de relayer la sûreté aux bornes de sa branche. C’est donc tout naturellement que ces coordinateurs sûreté de branche ont collaboré à la rédaction de l’ensemble du corpus documentaire, de même qu’ils sont membres de l’instance de gouvernance, le Comité de pilotage de la sûreté, qui se réunit mensuellement.

La méthodologie guidant l’élaboration du SMS doit donc être rigoureuse sous peine de souffrir d’un manque de réalisme, d’un manque d’appropriation et donc d’une mise en place et d’une application défaillante. Il convient désormais d’étudier les dispositions mises en place par ce SMS.

Les dispositions mises en place par le SMS

Pour aligner le déploiement de la sûreté sur les structures existantes, un rôle important en matière de sûreté a été confié aux représentants groupe. En d’autres termes, dans chaque pays où le groupe est implanté, un représentant groupe est chargé d’une mission de représentation sur les sujets d’intérêt commun vis-à-vis des pouvoirs publics et des organisations professionnelles ou commerciales locales. Il s’agit généralement du directeur général d’une des filiales implantées dans le pays. Sans qu’il ait autorité hiérarchique sur les autres filiales, il assure un rôle de coordination et de facilitation. Il était donc naturel que cette mission recouvre également les aspects sûreté. C’est ainsi que les représentants groupe sont chargés, chacun pour son pays, de consolider le POB (Personnel On Board). Le POB recense les personnes auxquelles le groupe peut être appelé à porter assistance. Il recouvre, outre les expatriés et leurs familles, les missionnaires, les salariés locaux et les collaborateurs en contrat local de prestation.

Ce document est transmis au siège selon une fréquence liée au niveau de criticité de pays. Ce niveau est formalisé par une "couleur pays" (blanc, jaune, orange ou rouge) qui va emporter certaines conséquences. C’est ainsi, par exemple, que les missions en pays "orange" ou "rouge" sont interdites sauf dérogation accordée par une liste prédéfinie de personnes (selon les pays et les branches) relevant d’un niveau hiérarchique élevé.

Par ailleurs, chaque filiale doit disposer d’un plan de sûreté prévoyant plusieurs postures et les mesures associées depuis la protection des sites jusqu’à l’éventuelle délocalisation des personnels. Une redondance des moyens de communication est également exigée, tout comme le contrôle d’accès ou le reporting.

Les conditions de la réussite

Les prescriptions mises en place dont certaines viennent d’être esquissées ne suffisent pas à elles-seules. Leur réussite repose sur certaines conditions qu’il reste à préciser : la qualité des acteurs, un travail permanent de communication, de sensibilisation et de formation, le contrôle, un suivi continu du SMS et les leçons tirées de l’expérience.

La priorité allant à l’humain, les acteurs de la sûreté sont certainement l’élément clé de l’efficacité d’un SMS. La crédibilité nécessaire aux membres de la direction de la sûreté et aux coordinateurs sûreté des branches implique que ceux-ci justifient préalablement d’un parcours professionnel légitimant. Ce n’est naturellement pas sans conséquences sur leur séniorité et leur niveau hiérarchique.
Il a en outre semblé important d’assurer une mixité culturelle. Ceux qui sont issus du cœur de métier apportent une bonne connaissance des modes de fonctionnement du groupe et ceux qui y entrent plus tardivement, issus en l’occurrence des ministères de la Défense ou de l’Intérieur, apportent un savoir-faire indispensable en matière de sûreté. Cette mixité culturelle permet d’éviter le piège de la pensée unique et, a contrario, d’adopter des postures mieux pondérées.
De plus, la gestion des statutaires et des prestataires relevant de la fonction sûreté, que ce soit au sein des sièges parisiens ou dans les pays dotés de personnels sûreté dédiés, est pilotée par le directeur de la sûreté groupe. Cette gestion centralisée de leur sélection et de leurs affectations permet une approche cohérente et une bonne valorisation de leurs parcours.

Un second élément incontournable pour la réussite réside dans la diffusion du message de sûreté : communication, sensibilisation, formation.
La communication sûreté repose sur un portail dédié au sein de l’Intranet du groupe. Ce portail recense l’ensemble des informations utiles non seulement aux acteurs de la sûreté mais aussi et surtout à l’ensemble des collaborateurs du groupe. Ce vecteur de communication est complété par une newsletter bimensuelle. S’y ajoutent deux séminaires distincts organisés chacun tous les 18 mois. Le séminaire sûreté groupe réunit environ 200 managers de niveau supérieur des sièges et des différents pays et évoque les grandes thématiques liées aux menaces et aux actions conduites pour y faire face. Des intervenants extérieurs de renom sont invités. Le séminaire métier sûreté, quant à lui, réunit environ 90 acteurs dédiés, provenant également des sièges mais surtout des différents pays, pour échanger les expériences, les bonnes pratiques et faire le point sur les dernières orientations émises en matière de sûreté. La direction de la sûreté réunit en outre les directeurs de filiales et responsables sûreté lors de séminaires continentaux ou sous-continentaux sur un rythme annuel et enfin, elle est invitée à intervenir dans divers séminaires thématiques organisés par des directions fonctionnelles ou géographiques.

Pour compléter ces messages, une palette de divers séminaires de sensibilisation et de mise en situation est offerte à l’ensemble des collaborateurs afin de leur indiquer les bons comportements, que ce soit face à des situations à risque ou pour protéger le patrimoine informationnel de l’entreprise.
Enfin, au-delà des actions de communication et de sensibilisation, il est indispensable de qualifier professionnellement les acteurs de la sûreté en leur fournissant une formation spécifique. Le référentiel sûreté édicte un certain nombre d’exigences déjà évoquées (POB, plan de sûreté, télécommunications de crise, contrôle d’accès, etc.). Afin d’assurer une réponse conforme à celles-ci, une journée de formation est donc prévue pour être portée auprès des responsables sûreté et éventuellement des directeurs de filiales au périmètre d’un continent ou sous-continent.

L’exigence du contrôle est enfin la troisième condition essentielle de la réussite. Les cinq délégués sûreté du groupe conseillent les directeurs de filiale et les représentants groupe pour les aider à faire face à des situations de crise mais, surtout et préalablement, ils visitent régulièrement les différentes filiales de leurs zones respectives pour s’assurer de leur bonne préparation, c’est-à-dire de leur bonne application des règles du groupe.
Les recommandations émises dans leurs rapports sont compilées et font l’objet d’un programme de vérifications élaboré lors de revues de direction.
Les écarts constatés peuvent aussi être significatifs, soit quant à un risque mal pris en compte soit quant à une difficulté d’application. Dans le premier cas, une attention particulière sera portée sur ce risque, dans le second, c’est l’exigence qu’il faudra préciser.

Ceci nous conduit à évoquer une quatrième condition de la réussite : le suivi continu du SMS. Le principe d’amélioration continue se nourrit des recommandations émises lors de revues de sûreté, du reporting, du suivi des indicateurs, des étapes d’avancement des projets du schéma directeur. Autant d’éléments examinés lors des revues de direction.
Mais cette logique d’amélioration continue implique aussi que le SMS lui-même puisse être remis en question. Par exemple, comme cela a été dit, si une exigence ne produit pas ou mal ses effets, il faut la reconsidérer. La gouvernance du SMS prévoit donc un comité de suivi pour assurer cette fonction. C’est dans ce contexte qu’il est rapidement apparu que le nombre de processus et d’indicateurs initialement décrits était trop important, certains n’étant pas pertinents. Le comité de suivi a donc piloté un groupe de travail qui a permis d’en revoir la liste.

Cette forme de souplesse est la dernière condition de la réussite. Elle permet de s’enrichir de l’expérience. Celle-ci a confirmé la pertinence de la démarche adoptée puisqu’elle a conduit à une véritable professionnalisation de la fonction sûreté, reconnue dans l’ensemble du groupe et à tous les niveaux de la hiérarchie.
Les représentants groupe, pour leur part, ont eux-mêmes souhaité que l’accent soit davantage mis sur leur rôle en matière de sûreté. Il en va notamment de la cohérence entre les diverses filiales pouvant être présentes dans un même pays.
Les outils mis en place, tels que le plan de sûreté imposé pour chaque filiale et chaque pays, ont montré à l’usage que leur format était adapté pour gérer des situations de crise. De leur côté, les alertes et le reporting ont confirmé leur rôle clé.
Enfin, à l’occasion de catastrophes naturelles, les outils de gestion de la sûreté se sont révélés pertinents. Ils ont permis le recensement des collaborateurs expatriés et locaux, des prises de contacts pour faire le point sur leur situation, des propositions de délocalisations, un suivi continu de la situation, un contrôle des déplacements des missionnaires sur les zones touchées, etc. Autant d’éléments qui ont conduit la direction de la sûreté à couvrir des situations qui ne relèvent pas de la malveillance : catastrophes naturelles déjà, peut-être crises sanitaires demain.

Aussi formalisé soit-il, le SMS demeurerait un carcan s’il ne laissait pas de place au pragmatisme. Comme son nom l’indique, le SMS est un outil de pilotage entre les mains du directeur de la sûreté. Il permet un véritable professionnalisme de la fonction mais, pour assurer sa pleine efficacité, il demande à la fois une application rigoureuse de ses dispositions en même temps qu’une adaptabilité de celles-ci pour répondre au mieux aux réalités.

Pour conclure, on peut dire que le SMS et sa logique globale permettent de regarder l’avenir avec confiance même s’il restera impossible d’empêcher la survenance d’un acte malveillant, comme de toute catastrophe naturelle. L’important est d’être préparé au mieux pour faire face à des situations par nature imprévues en étant en mesure de réagir le plus rapidement possible pour en limiter les effets.

Voir le sommaire

Pour s'abonner à la revue Sécurité & StratégiePour s'abonner à la revue Sécurité & Stratégie

Accueil | Contact | Mentions légales | Comité d’orientation | Note aux auteurs | Organisation
Acheter | S’abonner | Les derniers numéros | A propos de l’éditeur

Copyright© CDSE - Sécurité & Stratégie - 2017
Sécurité et Stratégie est une publication du CDSE