normalisation de la sécurité globale h.c.f.d - utcpicardje/xpubli/2012 10 hcfdc session.pdfand...
TRANSCRIPT
Copyright ©Jean-Marc Picard Compiègne France 2012
Normalisationde la sécurité globale
H.C.F.D.CEspace Edouard VIIJean-Marc Picard17 octobre 2012
Copyright ©Jean-Marc Picard Compiègne France 2012
18 années industrie et services
13 années recherche et expertise pour l’industrie et
les pouvoirs publics
Auditeur IHESIAuditeur international QSE /SQS
Ancien Pdt Commission normalisation sécurité sociétale Afnor Ancien VP Institut Management Des Risques
Ancien représentant de l’Etat à la Cai/Cofrac6 ans CD auprès du MIOMCT
Checheur UTC et expert à la sécurité civile
Copyright ©Jean-Marc Picard Compiègne France 2012
Les normes ?
• Ce sont des règles techniques
• Elles peuvent êtes rendues d’application obligatoire
• Elles peuvent être exigées par le client
• Elles peuvent être proposées par le fournisseur
pour séduire le client
• Elles sont souvent assimilées aux règles de l’art
Copyright ©Jean-Marc Picard Compiègne France 2012
Objectif
1. La sécurité des produits, personnes, environnement etc …
2. Interopérabilité / compatibilité / interchangeabilité
3. Qualité
4. Métrologie et grandeurs physiques
5. Vocabulaire
6. Les normes d’organisation ou de management
Copyright ©Jean-Marc Picard Compiègne France 2012
Etre conforme à la norme
• Certification
– Avec le support optionnel de marques collectives de certification ou labels
• Homologation
– (agréments ...): concerne en général la réglementation
• Accréditation
– Contrôle les organismes de contrôles
• Certificateurs, laboratoires, organismes d’inspection etc
Copyright ©Jean-Marc Picard Compiègne France 2012
Le statut juridique des normes
• Sur la portée légale d’une norme (produit # management)– Il existe donc quatre cas de figure :
1. la norme est imposée par une réglementation– Elle est obligatoire. – Attention à l ’évolution des normes sans évolution de la réglementation qui y fait
référence.2. La norme est quasi imposée
– Cas du marquage CE attention pour la directive sur les produits de la construction elle s’impose juridiquement.
3. la norme est imposée par un contrat– Elle est obligation des parties et contractuelle.
4. La norme n’est pas obligatoire– PB des règles de l’art par les tribunaux, et le pire est souvent à craindre: induction du
principe de précaution– PB responsabilité du fait du produit: la Norme précède de plus en plus l’expérience. La
norme exonère de sa responsabilité le producteur en cas d’application art 1386-11 du C.Civil nouveau.
– PB de frontière Norme Réglementation.
• ! Cas du code des marchés publics attention!
Copyright ©Jean-Marc Picard Compiègne France 2012
Normalisation technique
• De nombreux sujets
– Equipements de la sécurité civile
– Systèmes d’information et de commandement
– Vidéo surveillance
– Plans de continuité d’activité
– Gestion de crise
– Périmètres de sécurité
– Biométrie
• Résumons ces mécanismes de manière simplifiée C
!
Copyright ©Jean-Marc Picard Compiègne France 2012
Les organismes de normalisation (O.N.): reconnus par l’OMC
Les O.N sont listés
précisément par
l’OMC et l’UE
La majorité des O.N
sont des ONG …
AFNOR
ISO
CEN
ETSI Fce
IEC(CEI)
CENELEC
UIT
ETSI
UTE
Monde
Europe
France
GénéralElectricitéElectrotechnique
Télécoms
JTC1
Accord de Vienne1991
Accord deLugano1990 révisé à Dresde en 1996
Organisations Indépendantes voire privéesECSSIEEE, etc. …
Copyright ©Jean-Marc Picard Compiègne France 2012
Création d’une réglementation technique ou norme: règles OMC et UE
RéglementationTechniqueou normeNationale
OMC(via accord OTC)
ISO
UECommission/CEN(blocage possible
via Dir 98/34)
Consultation autres pays
Monde ou ISO/CEI
Copyright ©Jean-Marc Picard Compiègne France 2012
La norme peut bloquer et contraindre la
création de règlementation
Normalisation Technique
etRéglementation
Techniquerégies par les accords
OTC/OMC
•La norme consacre les marchés•La norme peut bloquer un marché•La norme fait le marché•Le marché fait la norme
Copyright ©Jean-Marc Picard Compiègne France 2012
Societal security: le point
• Deux principaux groupes de travail:
– TC 223 ISO et TC 391 CEN
• Des lobbies puissants
– Asis, NFPA, ISACA …
• Principaux sujets:
PCA / BC C3i
Vidéo surveillance PPP: partenariat public privé
Exercices Périmètres de sécurité
Evacuation de masse Alarmes
NRBCE Resilience
Copyright ©Jean-Marc Picard Compiègne France 2012
UE CEN TC 391: en cours
• Le CWA 16106. Equipements de Protection Individuels (EPI) relatifs aux risques NRBCE
• Le CWA 16107. Gestion de la capacité des services d’urgence.
• Humann factors
• Lone worker device
• Healthcare security management
• Security management system
• Mandat UE pour les CEN/CNENELEC et ETSI
• Quelques lobbies ASIS International - European Bureau,
– CoESS Confederation of European Security Services
– EOS European Organization for Security
– ECSA European Corporate Security Association
– EUROALARM
– Coopération accords de Vienne avec ISO
Copyright ©Jean-Marc Picard Compiègne France 2012
Le TC 223: business plan
• TC223 develops international standards that aim to increase societal security, i.e. protection
of society from and response to incidents, emergencies, and disasters caused by intentional
and unintentional human acts, natural hazards, and technical failures. An all-hazards
perspective is used covering adaptive, proactive and reactive strategies in all phases before,
during and after a disruptive incident. The area of societal security is multi-disciplinary and
involves actors from both the public and private sectors, including non-profit organisations.
Copyright ©Jean-Marc Picard Compiègne France 2012
Des normes juxtaposant les SM QSE
PCA, BC, Risques résilience
• Plusieurs groupes
– ISO TC 223
– ISO TMB
– ISO TC 8
– ISO JTC1/SC27
– CEN TC 391
– Etc …
Copyright ©Jean-Marc Picard Compiègne France 2012
TC223: Etat des travaux en cours
Niveau Référence Objet Etat
ISO TC 223 22300 Vocabulaire Publié
ISO TC 223 22301 Systèmes de préparation et de gestion de la continu ité d'activité - Exigences Publié
ISO TC 223 22311 Formats d'interopérabilité de vidéosurveillance En cours
ISO TC 223 22313 Systèmes de gestion de la continuité d'activité - Li gnes directrices En cours
ISO TC 223 22315 Evacuation de masse En cours
ISO TC 223 22320 Gestion des situations d'urgence - Réponse aux incid ents Publié
ISO TC 223 22322 Gestion des situations d'urgence - Systèmes d'alerte du public En cours
ISO TC 223 22323 Systèmes de management de la résilience organisatio nnelle - Exigences En cours
ISO TC 223 22324 Gestion des situations d'urgence - Alerte par code couleur En cours
ISO TC 223 22325 Lignes directrices pour l'évaluation des capacité d 'urgence pour les organisations En cours
ISO TC 223 22351/2 Format d’interopérabilité de données partagées pour les opérations En cours
ISO TC 223 22352 Partage de données de situation - partie 2 En cours
ISO TC 223 22397 Partenariats publics-privés - Lignes directrices pou r les accords de partenariat En cours
ISO TC 223 22398 Lignes directrices pour les exercices d'entraînemen t et d'évaluation En cours
ISO TC 223 22399Lignes directrices pour la préparation aux incident s et la gestion de la continuité opérationnelle
Publié
CEN TC 391 391001 Système de management de la sécurité dans les établ issements de santé En cours
CEN TC 391 391002 NRBC-Evaluation des vulnérabilités et protection de s populations aux risques En cours
CEN TC 391 391003 NRBC-Entraînement, formation et exercices En cours
Copyright ©Jean-Marc Picard Compiègne France 2012
Résilience et continuité d’activité: les acteurs
• Déclarés:
– Les organismes de normalisation
• ISO TC223, TC 34, TC8, TMB SAG … et IEC/ISO JTC1
• , CEN TC 391, CENELEC,
• ANSI, BSI, DIN, AFNOR etc…
– Les acteurs économiques :
• Thales, EADS, Motorola, Sagem etc
– Les lobbies
• ASIS, DRI International et NFPA aux USA, CSA au Canada, NFPA, ISAVA, AFAI, Croix rouge …, !
– Les Etats et les services officiels y compris OTAN …
• Non déclarés
– Services et lobbies cachés ?
• Des sommes investies considérables
– Une France très loin des états comme la Suède … voire l’Afrique du Sud …
– Une France reposant sur les efforts d’Afnor qui porte à bout de bras le sujet
Copyright ©Jean-Marc Picard Compiègne France 2012
Etat des travaux en cours
• Bataille entre les Anglais (Business continuity BS 25999) et les Américains (résilience NFPA 1600
2010 et ASIS SPC 1.0 2009)
• Difficulté de s’accorder sur les concepts
• Comment intégrer et marier les approches de l’ISO 31000 et 14001/9001/PDCA
– La 31000 est vue comme une norme de management de la prévision du risque plus que de management du
risque
– La 31000 va devenir pour vous tous une norme de référence
– Complétée par la 31010: 100 pages de « presque » SDF
Copyright ©Jean-Marc Picard Compiègne France 2012
Résilience et continuité d’activité: les référentiels
• Risk Management
– ISO 31000 (analyse et contexte, faible sur le traitement) et 31010, Guide 73, AS/NZS 4360:2004, BS31100 , ISO 27005
• Résilience et/ou Continuité d’activité
– ISO 22399 orientée plan d’action et études d’impact
– BS 25999 Best Practice BCM : la plus ancienne des normes mise en œuvre
– ASIS SPC.1-2009 Organizational Resilience: courte et bien légère mais bien écrite, annexe lourde
– Le guide anglais BSI PAS 56 Guide to Business Continuity Management , la norme australienne HB 221 – 2004 : Business
Continuity Management ; l’instruction générale 170/98 : Business Continuity du Defence Council britannique ;
– ISO/IEC 24762 Guidelines for information and communications technology disaster recovery services
• Gestion de crise (peu de référentiels spécifiques)
– NFPA 1600 – 2004 : Standard on Disaster/Emergency
Copyright ©Jean-Marc Picard Compiègne France 2012
Différents concepts: le management des risques
De nombreux concepts
Référence au cycle PDCA et principes de management qualité
La vision temporelle et séquentielle
Résilience - Gestion de crise - Business continuity
La vision holistique (ISO 31000)
La vision agile (cf ISO 22320/C3i)
MenacesVulnérabilités
DangersRisques
ImpactsConséquences
Etat
RESPONSABILITES
Etablir le contexte
Appréciation
Analyse
Identification
Estimation
Evaluation
Acceptation
Sui
vi d
u ris
que
et s
urve
illan
ce
Com
mun
icat
ion
du r
isqu
eTraitement
Acceptation
Appréciation
Choix des options de traitement
Refus Réduction PriseTransfert
Copyright ©Jean-Marc Picard Compiègne France 2012
Différents concepts: encore des lacunes
• Le PPP: pas celui des SAIV ….
• Confidentialité à gérer
• Audits
– source de vulnérabilité
• Vulnérabilité
– Par la mise en œuvre même d’un PCA
• Lien avec la règlementation peu développé
• Assurances et prise en compte
• Partenariat public privé + contexte international à parfaire
• Traitement et action
– crise, agilité à développer
• Approche fonctionnelle absente
– reconstruit-on à l’identique ou à fonctions identiques ?
Copyright ©Jean-Marc Picard Compiègne France 2012
Différents concepts: encore des lacunes
• Vocabulaire
– exemple des Actions Correctives,
• Risques et menaces
– cf ISO 28000 logistique et code ISPS
• Peu de méthodologies empruntées à la sûreté de fonctionnement et aux risques
industriels
– arbre de défaillance, arbre des causes, statistiques etc
• La référence au PDCA (management qualité) parfois contestable et parfois mal
appropriée
Copyright ©Jean-Marc Picard Compiègne France 2012
Le lien avec la règlementation
• Nous œuvrons pour que le TC391 CEN prenne bien en compte la directive 2008/114/CE DU CONSEIL du
8 décembre 2008
– Sur le recensement et la désignation des infrastructures critiques européennes et amélioration de leur
protection
• Décret 2006-212 du 23 février 2006 sur la Sécurité des Activités d’Importance Vitale (SAIV)
• Instruction générale interministérielle n°6600 du 26 septembre 2008
• Le partenariat sécurité publique privé avait déjà été fixé par la loi de 1995 sur la sécurité et les
dispositions de secret défense traitant des relations entreprises Etat dans le domaine de la défense
• Le lien avec la règlementation n’est pas fait suffisamment mais commence à être pris en compte par
les européens
Copyright ©Jean-Marc Picard Compiègne France 2012
Séquencement et structure de quelques normes
• 9001 14001 18001
• Politique et objectifs (y compris les objectifs à ne pas
atteindre ou risques)
• Responsabilités
• Autorités
• Système, missions et fonctions
• Réalisation (conception, production) 9001 seulement
• Planification études de risques 14001 18001
• Contrôle (check level/surveillance)
• Maitrise (quality control) et bonnes pratiques et concept des
5M
• Assurance (traitement des non conformités, actions
correctives et préventives, audit)
• Management (planification, amélioration, communication,
revues)
• L’ISO 31000
• Contexte
• Politique et objectifs
• Responsabilités et Autorités
• Communication interne/externe
• Système de management du risque, mission et fonction
(cadre organisationnel)
• Réalisation (processus de management du risque :
identification, traitement, surveillance, enregistrement)
• Surveillance, revue et contrôle
Copyright ©Jean-Marc Picard Compiègne France 2012
Séquencement et structure de quelques normes
• La BS 25999
• Responsabilités et gouvernance
• Système et documentation
• Contexte
– analyse des impacts potentiels,
– identification des activités critiques,
– détermination des exigences de continuité
– Evaluation des risques et menaces
– Traitement du risque
• Politique et stratégie (choix et priorités stratégiques et
tactiques)
• Management du programme BCM complété et augmenté
dans la partie 2 par la notion de BCM system
• Réalisation Développement et mise en œuvre du « BCM
response » : communication et gestion de crise
• Exercice, surveillance (test et contrôle), revue
• Le référentiel Asis SPC.1
• Politique et engagement
• Exigences légales, évaluation du risque et objectifs (les objectifs découlent en premier des
exigences légales et du risque)
• Responsabilités autorités
• Ressources humaines et implication
• Documentation et enregistrements
• Management planification et revue
• Maitrise (et monitoring, que l’on retrouve dans la série 28000)
• Surveillance
• Assurance (prévention, corrections, traitement des non conformités et réponse, évaluation et
audits)
• Exercice, surveillance (test et contrôle), revue
• NFPA 1600.
• Politique et engagement
• Responsabilités autorités
• Documentation et enregistrements
• Exigences légales et objectifs
• Contexte et planification évaluation du risque, analyse d’impact, prévention, réduction
• Communication et gestion de crise (la gestion de la crise est très développée dans la NFPA)
• Exercice et entraînement (très développé)
Copyright ©Jean-Marc Picard Compiègne France 2012
Séquencement et structure de quelques normes
• ISO 22301
• Engagement, responsabilités et politique
• Contexte et planification exigences légales évaluation du
risque (les menaces ne font pas l’objet d’un chapitre comme
dans le 6.4 de la 22399)
• Ressources humaines et implication
• Communication
• Documentation et enregistrements
• Planification opérationnelle
– Surveillance et contrôle
– Traitement du risque
– Préparation, réponse et continuité
• Evaluation, audit, revues
• Amélioration
• Le PAS 22399 de 2007,
• Politique et programme
• Engagement responsabilités
• Exigences légales, évaluation du risque, « hazard », risk et
identification des menaces
• Management du programme de continuité
• Responsabilités et ressources
• Communication et alertes
• Maitrise opérationnelle (reprise d’un concept ISO 14000)
• Assurance : actions correctives, préventives, évaluation audit
• Exercice, surveillance (test et contrôle), revue
Copyright ©Jean-Marc Picard Compiègne France 2012
Mandat UE
MANDAT UE DE PROGRAMMATION ADRESSÉ AUX CEN, CENELEC ET ETSI POUR ÉTABLIR DES NORMES DE SÉCURITÉ
(comprend cartographie et état des lieux)
• Normes techniques d'interopérabilité– Interopérabilité entre les systèmes de sécurité, le s équipements ou les
applications• Normes d'organisation de l’interopérabilité
– Protocoles, procédures et directives pour harmonise r le fonctionnement
des organisations et leur travail opérationnel de l a sécurité publique et
privée
• Normes de rendement ou impératifs techniques
• Normes relatives aux systèmes ou un équipements de sécurité.
Copyright ©Jean-Marc Picard Compiègne France 2012
Recherche
• Projet ANR NOTSEG
– étude des normes de management (Business continuity)
– Labellisé System@tic il regroupe:
• UTC, Paris X, Afnor, Sector SA
• Analyse sémantique linguistique poussée de normes
• Comparaison normes SDF / Sécurité (application)
• Etudes des aspects juridiques et IE
– Vienne, Dresde etc
– Reprises automatiques
– Dir 98/34, 98/48, OTC
– Objections
– Notification de la règlementation (ex: cf loi spatiale)