Directeur sécurité-sûreté : un poste stratégique que beaucoup d'organisations ont du mal à faire exister
- 4 févr.
- 6 min de lecture
Le rôle du Directeur Sécurité-Sûreté ne peut se comprendre sans maîtriser la distinction entre ces deux disciplines. Si ce n'est pas encore clair pour vous, nous vous recommandons de lire "Quelle est la différence entre sécurité et sûreté" avant de poursuivre.
Introduction : un rôle pivot, souvent mal défini
Dans la grande majorité des organisations que nous rencontrons, le poste de directeur sécurité-sûreté existe soit sous une forme appauvrie — réduit à la gestion opérationnelle des agents et des équipements — soit sous une forme inexistante — ses attributions éparpillées entre le DRH, le DAF, le responsable technique et parfois le RSSI, sans que personne n'en assume réellement la vision globale.
Ce n'est pas un problème de volonté. C'est un problème de représentation : beaucoup de directions générales n'ont pas une image claire de ce que devrait être ce poste, de ce qu'il apporte concrètement, et de comment le faire vivre dans leur organisation.
Pourtant, le contexte actuel rend ce flou de plus en plus coûteux. La multiplication des crises — incidents de sûreté, tensions sociales, menaces hybrides, pression réglementaire liée à NIS2 et à la directive REC — crée une demande de pilotage structuré que les approches fragmentées ne peuvent plus satisfaire. Le directeur sécurité-sûreté n'est plus un chef d'orchestre de la surveillance — c'est un acteur stratégique de la résilience organisationnelle.
Ce que fait vraiment un directeur sécurité-sûreté
Le titre recouvre des réalités très différentes selon les organisations, les secteurs et les tailles. Mais au fond, la mission est constante : protéger les personnes, les biens et les activités de l'organisation face à l'ensemble des risques physiques, qu'ils soient accidentels (sécurité) ou intentionnels (sûreté).
Cette mission se déploie sur plusieurs niveaux.
La politique de protection. Le DSS définit la doctrine de sécurité et de sûreté de l'organisation : quelles menaces prendre en compte, avec quel niveau de protection, selon quelles priorités. Cette politique n'est pas un document figé — elle doit évoluer avec le contexte, les projets de l'organisation et les retours d'expérience du terrain. Elle nécessite une compréhension fine des enjeux stratégiques de l'organisation, pas seulement de ses équipements de sécurité.
L'évaluation des risques et des vulnérabilités. Avant de définir des mesures, il faut comprendre l'exposition réelle de l'organisation. Quelles sont les zones critiques ? Quels sont les actifs à protéger en priorité ? Quelles menaces sont plausibles dans ce contexte, avec ce profil d'activité, dans cet environnement géographique ? Cette analyse ne peut pas être faite une fois pour toutes — elle doit être régulièrement réactualisée.
La mise en œuvre et le suivi des dispositifs. Contrôle des accès, vidéosurveillance, rondes, procédures d'urgence, plans d'évacuation, gestion des prestataires de sécurité privée : le DSS supervise l'ensemble du dispositif opérationnel, en s'assurant de sa cohérence, de sa maintenance et de son adéquation aux risques identifiés.
La culture de sécurité. C'est souvent la dimension la plus négligée — et pourtant la plus déterminante. Un dispositif technique ne vaut que si les personnes qui l'utilisent comprennent pourquoi il existe et comment s'en servir. Sensibiliser les collaborateurs, former les équipes exposées, faire vivre les procédures au quotidien : c'est le travail de fond qui fait la différence entre un dispositif de sécurité sur le papier et une organisation réellement protégée.
La gestion de crise. Quand l'incident survient malgré tout, le DSS est en première ligne. Il coordonne la réponse, active les procédures, communique avec les autorités, assure la continuité des activités critiques. Cette capacité ne s'improvise pas — elle se construit par des exercices réguliers, des plans testés et une chaîne de commandement clarifiée.
Ce qui rend ce poste difficile à tenir
Le DSS opère à l'intersection de plusieurs mondes qui ne se parlent pas naturellement. Il doit interagir avec la direction générale pour la stratégie, avec les RH pour les aspects humains des incidents, avec la DSI pour les interfaces cyber-physiques, avec les prestataires de sécurité privée pour le quotidien opérationnel, et avec les autorités publiques en cas d'incident grave.
Cette transversalité est une richesse — c'est elle qui donne au poste sa valeur différenciante. Mais c'est aussi sa principale difficulté. Sans légitimité clairement établie, sans rattachement hiérarchique adapté et sans budget dédié, le DSS se retrouve souvent à gérer des urgences sans pouvoir construire une vision de long terme. Il répond aux crises au lieu de les prévenir.
La nouvelle réglementation européenne change partiellement ce constat. La directive NIS2, en imposant aux entités essentielles et importantes une gouvernance formalisée des risques physiques et cyber, crée une obligation institutionnelle qui renforce la légitimité du poste. La directive REC fait de même pour les opérateurs d'infrastructures critiques. Ces textes ne créent pas le DSS, mais ils créent les conditions organisationnelles dans lesquelles il peut enfin pleinement exister.
Le DSS face aux risques hybrides : un périmètre qui s'élargit
La distinction traditionnelle entre sécurité physique et cybersécurité s'efface progressivement. Les menaces contemporaines ne respectent pas les frontières organisationnelles : une cyberattaque peut préparer ou faciliter une intrusion physique, un acte de sabotage interne peut combiner accès physique et exploitation d'une faille numérique, une campagne de désinformation peut précéder ou accompagner une action malveillante concrète.
Le DSS n'a pas vocation à devenir un expert en cybersécurité — ce n'est ni son rôle ni son périmètre de compétence. Mais il doit comprendre les interactions entre les deux domaines, être capable de travailler avec le RSSI sur les zones d'interface, et s'assurer que la protection physique et la protection numérique constituent un dispositif cohérent plutôt que deux bulles étanches.
C'est précisément dans cette coordination que réside l'une des valeurs ajoutées les plus importantes du DSS en 2026 : non pas remplacer les experts, mais créer les conditions d'une gouvernance convergente où les risques physiques et numériques sont gérés de façon articulée.
DSS interne ou externalisé : quelle réponse pour quelle organisation ?
La question du modèle organisationnel est souvent tranchée par défaut — l'organisation recrute si elle en a les moyens, fait sans si elle ne les a pas. C'est rarement la bonne approche.
Un DSS interne à temps plein est pertinent pour les grandes organisations, les sites multiples, les secteurs fortement réglementés ou exposés (santé, industrie, infrastructures critiques). Il apporte la connaissance intime de l'organisation, la disponibilité permanente et la capacité à construire une relation de confiance durable avec les équipes.
Mais pour une PME, une ETI, un établissement médico-social, une collectivité de taille intermédiaire ou une structure culturelle, un DSS interne à temps plein n'est souvent ni justifié ni abordable. C'est là que l'externalisation prend son sens — non pas comme un pis-aller, mais comme une réponse adaptée à une réalité organisationnelle.
Un directeur de sûreté externalisé apporte l'expertise sans les contraintes du recrutement, la flexibilité sans la perte de continuité, le regard externe sans la déconnexion du terrain. Il peut intervenir de façon régulière ou ponctuelle, sur des missions définies ou en mode direction partagée. Dans notre pratique chez CARINEL, cette formule permet à des organisations qui n'auraient jamais pu accéder à ce niveau de compétence d'en bénéficier de façon structurée et proportionnée à leurs besoins.
Un point essentiel : quel que soit le modèle choisi, nous défendons le principe de l'audit préalable. Avant de définir un périmètre d'intervention, de recruter ou de choisir un prestataire, il faut comprendre la réalité des risques et des vulnérabilités de l'organisation. C'est ce diagnostic initial — réalisé avec nos méthodologies RTA et SCM — qui donne au DSS, interne ou externalisé, un point de départ solide plutôt qu'une feuille blanche.
Conclusion : donner au DSS les conditions de son efficacité
Le directeur sécurité-sûreté n'est efficace que si l'organisation lui donne les conditions de l'être : un rattachement hiérarchique adapté, un mandat clair, des ressources proportionnées aux risques, et une légitimité transversale reconnue par les autres directions.
Ces conditions ne sont pas automatiques. Elles se construisent, souvent avec un accompagnement extérieur qui aide la direction générale à comprendre ce que ce poste doit être — et ce qu'il peut apporter concrètement à la résilience et à la performance de l'organisation.
C'est l'une des missions que nous poursuivons chez CARINEL : pas seulement fournir une expertise en sécurité et en sûreté, mais aider les organisations à structurer leur gouvernance de la protection physique de façon durable et adaptée à leur réalité.
Vous souhaitez évaluer comment structurer la fonction sécurité-sûreté dans votre organisation ?
Nos experts CARINEL vous proposent un premier échange gratuit pour identifier le modèle le plus adapté à votre contexte — DSS interne, externalisé ou en mode partagé.
📞 01 89 71 59 06
Commentaires