Normalisation de la sécurité globale H.C.F.D - UTCpicardje/xpubli/2012 10 HCFDC Session.pdfand...

Copyright ©Jean-Marc Picard Compiègne France 2012

Normalisationde la sécurité globale

H.C.F.D.CEspace Edouard VIIJean-Marc Picard17 octobre 2012


18 années industrie et services

13 années recherche et expertise pour l’industrie et

les pouvoirs publics

Auditeur IHESIAuditeur international QSE /SQS

Ancien Pdt Commission normalisation sécurité sociétale Afnor Ancien VP Institut Management Des Risques

Ancien représentant de l’Etat à la Cai/Cofrac6 ans CD auprès du MIOMCT

Checheur UTC et expert à la sécurité civile


Les normes ?

• Ce sont des règles techniques

• Elles peuvent êtes rendues d’application obligatoire

• Elles peuvent être exigées par le client

• Elles peuvent être proposées par le fournisseur

pour séduire le client

• Elles sont souvent assimilées aux règles de l’art


Objectif

1. La sécurité des produits, personnes, environnement etc …

2. Interopérabilité / compatibilité / interchangeabilité

3. Qualité

4. Métrologie et grandeurs physiques

5. Vocabulaire

6. Les normes d’organisation ou de management


Etre conforme à la norme

• Certification

– Avec le support optionnel de marques collectives de certification ou labels

• Homologation

– (agréments ...): concerne en général la réglementation

• Accréditation

– Contrôle les organismes de contrôles

• Certificateurs, laboratoires, organismes d’inspection etc


Le statut juridique des normes

• Sur la portée légale d’une norme (produit # management)– Il existe donc quatre cas de figure :

1. la norme est imposée par une réglementation– Elle est obligatoire. – Attention à l ’évolution des normes sans évolution de la réglementation qui y fait

référence.2. La norme est quasi imposée

– Cas du marquage CE attention pour la directive sur les produits de la construction elle s’impose juridiquement.

3. la norme est imposée par un contrat– Elle est obligation des parties et contractuelle.

4. La norme n’est pas obligatoire– PB des règles de l’art par les tribunaux, et le pire est souvent à craindre: induction du

principe de précaution– PB responsabilité du fait du produit: la Norme précède de plus en plus l’expérience. La

norme exonère de sa responsabilité le producteur en cas d’application art 1386-11 du C.Civil nouveau.

– PB de frontière Norme Réglementation.

• ! Cas du code des marchés publics attention!


Normalisation technique

• De nombreux sujets

– Equipements de la sécurité civile

– Systèmes d’information et de commandement

– Vidéo surveillance

– Plans de continuité d’activité

– Gestion de crise

– Périmètres de sécurité

– Biométrie

• Résumons ces mécanismes de manière simplifiée C

!


Les organismes de normalisation (O.N.): reconnus par l’OMC

Les O.N sont listés

précisément par

l’OMC et l’UE

La majorité des O.N

sont des ONG …

AFNOR

ISO

CEN

ETSI Fce

IEC(CEI)

CENELEC

UIT

ETSI

UTE

Monde

Europe

France

GénéralElectricitéElectrotechnique

Télécoms

JTC1

Accord de Vienne1991

Accord deLugano1990 révisé à Dresde en 1996

Organisations Indépendantes voire privéesECSSIEEE, etc. …


Création d’une réglementation technique ou norme: règles OMC et UE

RéglementationTechniqueou normeNationale

OMC(via accord OTC)

ISO

UECommission/CEN(blocage possible

via Dir 98/34)

Consultation autres pays

Monde ou ISO/CEI


La norme peut bloquer et contraindre la

création de règlementation

Normalisation Technique

etRéglementation

Techniquerégies par les accords

OTC/OMC

•La norme consacre les marchés•La norme peut bloquer un marché•La norme fait le marché•Le marché fait la norme


Societal security: le point

• Deux principaux groupes de travail:

– TC 223 ISO et TC 391 CEN

• Des lobbies puissants

– Asis, NFPA, ISACA …

• Principaux sujets:

PCA / BC C3i

Vidéo surveillance PPP: partenariat public privé

Exercices Périmètres de sécurité

Evacuation de masse Alarmes

NRBCE Resilience


UE CEN TC 391: en cours

• Le CWA 16106. Equipements de Protection Individuels (EPI) relatifs aux risques NRBCE

• Le CWA 16107. Gestion de la capacité des services d’urgence.

• Humann factors

• Lone worker device

• Healthcare security management

• Security management system

• Mandat UE pour les CEN/CNENELEC et ETSI

• Quelques lobbies ASIS International - European Bureau,

– CoESS Confederation of European Security Services

– EOS European Organization for Security

– ECSA European Corporate Security Association

– EUROALARM

– Coopération accords de Vienne avec ISO


Le TC 223: business plan

• TC223 develops international standards that aim to increase societal security, i.e. protection

of society from and response to incidents, emergencies, and disasters caused by intentional

and unintentional human acts, natural hazards, and technical failures. An all-hazards

perspective is used covering adaptive, proactive and reactive strategies in all phases before,

during and after a disruptive incident. The area of societal security is multi-disciplinary and

involves actors from both the public and private sectors, including non-profit organisations.


Des normes juxtaposant les SM QSE

PCA, BC, Risques résilience

• Plusieurs groupes

– ISO TC 223

– ISO TMB

– ISO TC 8

– ISO JTC1/SC27

– CEN TC 391

– Etc …


TC223: Etat des travaux en cours

Niveau Référence Objet Etat

ISO TC 223 22300 Vocabulaire Publié

ISO TC 223 22301 Systèmes de préparation et de gestion de la continu ité d'activité - Exigences Publié

ISO TC 223 22311 Formats d'interopérabilité de vidéosurveillance En cours

ISO TC 223 22313 Systèmes de gestion de la continuité d'activité - Li gnes directrices En cours

ISO TC 223 22315 Evacuation de masse En cours

ISO TC 223 22320 Gestion des situations d'urgence - Réponse aux incid ents Publié

ISO TC 223 22322 Gestion des situations d'urgence - Systèmes d'alerte du public En cours

ISO TC 223 22323 Systèmes de management de la résilience organisatio nnelle - Exigences En cours

ISO TC 223 22324 Gestion des situations d'urgence - Alerte par code couleur En cours

ISO TC 223 22325 Lignes directrices pour l'évaluation des capacité d 'urgence pour les organisations En cours

ISO TC 223 22351/2 Format d’interopérabilité de données partagées pour les opérations En cours

ISO TC 223 22352 Partage de données de situation - partie 2 En cours

ISO TC 223 22397 Partenariats publics-privés - Lignes directrices pou r les accords de partenariat En cours

ISO TC 223 22398 Lignes directrices pour les exercices d'entraînemen t et d'évaluation En cours

ISO TC 223 22399Lignes directrices pour la préparation aux incident s et la gestion de la continuité opérationnelle

Publié

CEN TC 391 391001 Système de management de la sécurité dans les établ issements de santé En cours

CEN TC 391 391002 NRBC-Evaluation des vulnérabilités et protection de s populations aux risques En cours

CEN TC 391 391003 NRBC-Entraînement, formation et exercices En cours


Résilience et continuité d’activité: les acteurs

• Déclarés:

– Les organismes de normalisation

• ISO TC223, TC 34, TC8, TMB SAG … et IEC/ISO JTC1

• , CEN TC 391, CENELEC,

• ANSI, BSI, DIN, AFNOR etc…

– Les acteurs économiques :

• Thales, EADS, Motorola, Sagem etc

– Les lobbies

• ASIS, DRI International et NFPA aux USA, CSA au Canada, NFPA, ISAVA, AFAI, Croix rouge …, !

– Les Etats et les services officiels y compris OTAN …

• Non déclarés

– Services et lobbies cachés ?

• Des sommes investies considérables

– Une France très loin des états comme la Suède … voire l’Afrique du Sud …

– Une France reposant sur les efforts d’Afnor qui porte à bout de bras le sujet


Etat des travaux en cours

• Bataille entre les Anglais (Business continuity BS 25999) et les Américains (résilience NFPA 1600

2010 et ASIS SPC 1.0 2009)

• Difficulté de s’accorder sur les concepts

• Comment intégrer et marier les approches de l’ISO 31000 et 14001/9001/PDCA

– La 31000 est vue comme une norme de management de la prévision du risque plus que de management du

risque

– La 31000 va devenir pour vous tous une norme de référence

– Complétée par la 31010: 100 pages de « presque » SDF


Résilience et continuité d’activité: les référentiels

• Risk Management

– ISO 31000 (analyse et contexte, faible sur le traitement) et 31010, Guide 73, AS/NZS 4360:2004, BS31100 , ISO 27005

• Résilience et/ou Continuité d’activité

– ISO 22399 orientée plan d’action et études d’impact

– BS 25999 Best Practice BCM : la plus ancienne des normes mise en œuvre

– ASIS SPC.1-2009 Organizational Resilience: courte et bien légère mais bien écrite, annexe lourde

– Le guide anglais BSI PAS 56 Guide to Business Continuity Management , la norme australienne HB 221 – 2004 : Business

Continuity Management ; l’instruction générale 170/98 : Business Continuity du Defence Council britannique ;

– ISO/IEC 24762 Guidelines for information and communications technology disaster recovery services

• Gestion de crise (peu de référentiels spécifiques)

– NFPA 1600 – 2004 : Standard on Disaster/Emergency


Différents concepts: le management des risques

De nombreux concepts

Référence au cycle PDCA et principes de management qualité

La vision temporelle et séquentielle

Résilience - Gestion de crise - Business continuity

La vision holistique (ISO 31000)

La vision agile (cf ISO 22320/C3i)

MenacesVulnérabilités

DangersRisques

ImpactsConséquences

Etat

RESPONSABILITES

Etablir le contexte

Appréciation

Analyse

Identification

Estimation

Evaluation

Acceptation

Sui

vi d

u ris

que

et s

urve

illan

ce

Com

mun

icat

ion

du r

isqu

eTraitement

Acceptation

Appréciation

Choix des options de traitement

Refus Réduction PriseTransfert


Logiques ISO 31000 et 27031


Différents concepts: encore des lacunes

• Le PPP: pas celui des SAIV ….

• Confidentialité à gérer

• Audits

– source de vulnérabilité

• Vulnérabilité

– Par la mise en œuvre même d’un PCA

• Lien avec la règlementation peu développé

• Assurances et prise en compte

• Partenariat public privé + contexte international à parfaire

• Traitement et action

– crise, agilité à développer

• Approche fonctionnelle absente

– reconstruit-on à l’identique ou à fonctions identiques ?


Différents concepts: encore des lacunes

• Vocabulaire

– exemple des Actions Correctives,

• Risques et menaces

– cf ISO 28000 logistique et code ISPS

• Peu de méthodologies empruntées à la sûreté de fonctionnement et aux risques

industriels

– arbre de défaillance, arbre des causes, statistiques etc

• La référence au PDCA (management qualité) parfois contestable et parfois mal

appropriée


Le lien avec la règlementation

• Nous œuvrons pour que le TC391 CEN prenne bien en compte la directive 2008/114/CE DU CONSEIL du

8 décembre 2008

– Sur le recensement et la désignation des infrastructures critiques européennes et amélioration de leur

protection

• Décret 2006-212 du 23 février 2006 sur la Sécurité des Activités d’Importance Vitale (SAIV)

• Instruction générale interministérielle n°6600 du 26 septembre 2008

• Le partenariat sécurité publique privé avait déjà été fixé par la loi de 1995 sur la sécurité et les

dispositions de secret défense traitant des relations entreprises Etat dans le domaine de la défense

• Le lien avec la règlementation n’est pas fait suffisamment mais commence à être pris en compte par

les européens


Séquencement et structure de quelques normes

• 9001 14001 18001

• Politique et objectifs (y compris les objectifs à ne pas

atteindre ou risques)

• Responsabilités

• Autorités

• Système, missions et fonctions

• Réalisation (conception, production) 9001 seulement

• Planification études de risques 14001 18001

• Contrôle (check level/surveillance)

• Maitrise (quality control) et bonnes pratiques et concept des

5M

• Assurance (traitement des non conformités, actions

correctives et préventives, audit)

• Management (planification, amélioration, communication,

revues)

• L’ISO 31000

• Contexte

• Politique et objectifs

• Responsabilités et Autorités

• Communication interne/externe

• Système de management du risque, mission et fonction

(cadre organisationnel)

• Réalisation (processus de management du risque :

identification, traitement, surveillance, enregistrement)

• Surveillance, revue et contrôle



• La BS 25999

• Responsabilités et gouvernance

• Système et documentation

• Contexte

– analyse des impacts potentiels,

– identification des activités critiques,

– détermination des exigences de continuité

– Evaluation des risques et menaces

– Traitement du risque

• Politique et stratégie (choix et priorités stratégiques et

tactiques)

• Management du programme BCM complété et augmenté

dans la partie 2 par la notion de BCM system

• Réalisation Développement et mise en œuvre du « BCM

response » : communication et gestion de crise

• Exercice, surveillance (test et contrôle), revue

• Le référentiel Asis SPC.1

• Politique et engagement

• Exigences légales, évaluation du risque et objectifs (les objectifs découlent en premier des

exigences légales et du risque)

• Responsabilités autorités

• Ressources humaines et implication

• Documentation et enregistrements

• Management planification et revue

• Maitrise (et monitoring, que l’on retrouve dans la série 28000)

• Surveillance

• Assurance (prévention, corrections, traitement des non conformités et réponse, évaluation et

audits)


• NFPA 1600.

• Politique et engagement

• Responsabilités autorités


• Exigences légales et objectifs

• Contexte et planification évaluation du risque, analyse d’impact, prévention, réduction

• Communication et gestion de crise (la gestion de la crise est très développée dans la NFPA)

• Exercice et entraînement (très développé)



• ISO 22301

• Engagement, responsabilités et politique

• Contexte et planification exigences légales évaluation du

risque (les menaces ne font pas l’objet d’un chapitre comme

dans le 6.4 de la 22399)

• Ressources humaines et implication

• Communication


• Planification opérationnelle

– Surveillance et contrôle

– Traitement du risque

– Préparation, réponse et continuité

• Evaluation, audit, revues

• Amélioration

• Le PAS 22399 de 2007,

• Politique et programme

• Engagement responsabilités

• Exigences légales, évaluation du risque, « hazard », risk et

identification des menaces

• Management du programme de continuité

• Responsabilités et ressources

• Communication et alertes

• Maitrise opérationnelle (reprise d’un concept ISO 14000)

• Assurance : actions correctives, préventives, évaluation audit



Mandat UE

MANDAT UE DE PROGRAMMATION ADRESSÉ AUX CEN, CENELEC ET ETSI POUR ÉTABLIR DES NORMES DE SÉCURITÉ

(comprend cartographie et état des lieux)

• Normes techniques d'interopérabilité– Interopérabilité entre les systèmes de sécurité, le s équipements ou les

applications• Normes d'organisation de l’interopérabilité

– Protocoles, procédures et directives pour harmonise r le fonctionnement

des organisations et leur travail opérationnel de l a sécurité publique et

privée

• Normes de rendement ou impératifs techniques

• Normes relatives aux systèmes ou un équipements de sécurité.


Recherche

• Projet ANR NOTSEG

– étude des normes de management (Business continuity)

– Labellisé System@tic il regroupe:

• UTC, Paris X, Afnor, Sector SA

• Analyse sémantique linguistique poussée de normes

• Comparaison normes SDF / Sécurité (application)

• Etudes des aspects juridiques et IE

– Vienne, Dresde etc

– Reprises automatiques

– Dir 98/34, 98/48, OTC

– Objections

– Notification de la règlementation (ex: cf loi spatiale)


Merci !

www.utc.fr/~picardje

Normalisation de la sécurité globale H.C.F.D - UTCpicardje/xpubli/2012 10 HCFDC Session.pdfand...

Documents

Transcript of Normalisation de la sécurité globale H.C.F.D - UTCpicardje/xpubli/2012 10 HCFDC Session.pdfand...