[Cet article est initialement paru en mars 2009] Les scandales à répétition auxquels nous assistons actuellement démontrent clairement l’intérêt, pour toute entreprise, de disposer de services efficaces de sûreté/sécurité et de prévention des risques informatiques. Dans la pratique, ces deux postes sont de plus en plus liés. Se défendre contre les agressions externes, prévenir les abus ou dérives internes au nom du profit ; qui peut encore se dispenser de faire un minimum de police au sein de son organisation sans courir de risques importants ? Aussi surprenant que cela puisse paraître, nombre d’entreprises affichant des chiffres d’affaires souvent supérieurs à ceux de petits pays représentés à l’ONU se passent de telles structures. Imagine-t-on une nation, aussi modeste fut-elle, faire une telle impasse ? A l’évidence, non. Tout se passe comme si les entreprises n’arrivaient pas, contrairement aux états, à trouver naturellement en leur sein les raisons de sacrifier une part de leur budget à cette mission pourtant fondamentale. Elles n’y parviennent, le plus souvent, que sous l’effet d’une contrainte extérieure : tantôt précisé- ment celle de l’état, tantôt celle des règlements ou quasi-règlements internationaux. La norme SOX en est, malgré ses défauts, l’exemple le plus frappant. Ce paradoxe mérite d’être ana- lysé à la lumière de trois grands phénomènes, que nous nous proposons d’aborder librement.