SÉCURITÉ SOCIÉTALE : LES PREMIÈRES NORMES DE CONTINUITÉ D ACTIVITÉ ET L ISO CONCEPTS, CONVERGENCES ET DIVERGENCES

Dimension: px
Commencer à balayer dès la page:

Download "SÉCURITÉ SOCIÉTALE : LES PREMIÈRES NORMES DE CONTINUITÉ D ACTIVITÉ ET L ISO 31000. CONCEPTS, CONVERGENCES ET DIVERGENCES"

Transcription

1 SÉCURITÉ SOCIÉTALE : LES PREMIÈRES NORMES DE CONTINUITÉ D ACTIVITÉ ET L ISO CONCEPTS, CONVERGENCES ET DIVERGENCES SOCIETAL SECURITY: FIRST STANDARDS FOR BUSINESS CONTINUITY AND ISO CONCEPTS, SIMILARITIES AND DIFFERENCES. Congrès LMU LA Rochelle Octobre 2010 Jean-Marc PICARD Université de Technologie de Compiègne Equipe Conception Qualité Produits Processus Innovation Brigitte JUANALS. Université de Paris Ouest Nanterre La Défense Laboratoire Modyco (UMR 7114) Résumé Le projet de NOTSEG de l ANR CSOSG 2009, soutenu par le pôle de compétitivité a pour but d étudier la normalisation technique de la sécurité sociétale. Il répond à une demande des industriels et des pouvoirs publics de disposer d une visibilité sur les travaux internationaux dans le domaine. Le projet NOTSEG comporte un volet relatif à l analyse comparative de normes de management de la sécurité, dont nous présentons ici un court extrait. Le projet NOTSEG aborde aussi le lien entre ces normes et la réglementation d une part et avec la sûreté de fonctionnement d autre part. L objectif de cette communication est de présenter un début d analyse comparative et critique des principaux référentiels de management de la continuité d activité (business continuity) et de la résilience issus notamment des derniers travaux ISO au regard des concepts de l ISO et des ISO Etablir enfin un lien entre ces normes et la Sûreté de fonctionnement, d une part, et la règlementation, d autre part. Cette présentation augure d un travail plus approfondi qui devrait pouvoir aider les organisations à choisir une conception de la résilience ou de la business continuity qui leur convienne ou à adapter un modèle existant à leurs besoins. Summary The NOTSEG project, financed by the National Research Agency (CSOSG 2009) and supported by the business cluster aims at studying the technical standardization of societal security. It s an answer to a request coming from industry and government bodies for visibility on the international work in this field. The NOTSEG project includes a section on benchmarking standards of safety management, of which we present here a short excerpt. The project also addresses the connection between these standards and regulations, on the one hand, and the dependability, on the other hand. The purpose of this paper is to introduce a preliminary comparative and critical analysis of major repositories in management, business continuity and resilience, including the latest work from ISO regarding the concepts of ISO and ISO Finally, we ll establish a link between these norms and Dependability, on the one hand, and regulation, on the other hand. This paper will be followed by a detailed study aiming at helping organizations to choose a conception of resilience or business continuity or to adapt an existing model to their needs. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 1/20

2 1 Introduction 1.1 Contexte Le projet NOTSEG 1 de l ANR CSOSG , labellisé par le pôle de compétitivité a pour vocation d étudier la sécurité sociétale ou globale (Societal Security) sous son aspect normalisation. Il répond à une demande conjointe des industriels, plus généralement des entreprises et surtout des pouvoirs publics, de disposer d une visibilité sur les travaux internationaux dans ce domaine. NOTSEG est soutenu scientifiquement notamment par le Forum Sécurité et par la commission française de normalisation de sécurité sociétale («Societal security») à l AFNOR. Il comporte un volet relatif à l analyse comparative de normes de management de la sécurité, dont nous présentons un extrait dans la présente publication. Il traite également du lien entre la réglementation et la normalisation qui n est pas abordé ici mais qui a déjà fait l objet de publications 3. En effet, sur des sujets tels que la gestion de crise ou la continuité d activité, le domaine règlementaire (national et international) est prééminent. Les dispositions traitant de manière inégale de sécurité, de continuité d activité et de gestion de crise sont nombreuses : les lois relatives à l organisation de la sécurité civile, la directive 2008/114/CE du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l évaluation de la nécessité d améliorer leur protection, la circulaire interministérielle du «plan orsec» de 2005, le Comité Bâle II sur le contrôle bancaire international, la loi française N sur la sécurité financière, le règlement français CRBF , la loi américaine Sarbannes-Oxley (exigences sur les contrôles et procédures appliqués aux systèmes d information produisant de l info financière) La sécurité alimentaire, la sécurité des produits, la gestion des crises environnementales, les pandémies, le terrorisme sont encore autant de sujets soumis à ce contexte. Dans ce qui suit, nous occulterons délibérément l aspect règlementaire pour nous consacrer à la normalisation dite technique. Nous rappelons à cet égard que les normes de portée mondiale sont souvent reprises par la règlementation. Comme nous l avons déjà souligné dans divers articles, la mise en œuvre des directives européennes renvoie de plus en plus aux normes dites techniques. 1.2 Objectifs L objectif de cette communication est de présenter une première analyse comparative et critique des principaux référentiels de management de la continuité d activité (business continuity) et de la résilience issus notamment des derniers travaux de l ISO au regard des concepts de l ISO et des ISO Nous établirons ensuite un lien entre ces normes et la Sûreté de fonctionnement, d une part, et la règlementation, d autre part. Cette présentation augure d un travail plus approfondi visant à aider les organisations dans le choix d une conception de la résilience ou de la continuité d activité qui leur convienne, ou dans l adaptation d un modèle existant à leurs besoins. 1.3 Méthode Nous avons sélectionné un corpus de nouvelles normes sur le management du risque, la résilience et la continuité d activité. La sélection a été basée sur les bibliographies de travail des commissions internationales 4 et de l ancien groupe d impulsion stratégique (GIS) Afnor. Les normes traitant de la continuité d activité (business continuity) sont issues en général de groupes de travail œuvrant dans le domaine de la sécurité/sûreté. 1 Normalisation Technique de la Sécurité Globale 2 Agence Nationale pour la Recherche, Appel 2009 «Concepts, Systèmes et Outils pour la Sécurité Globale». 3 Voir notamment JM Picard, La normalisation face au droit, Cahiers de la sécurité n 3, INHES, La docu mentation française, Paris 2008 et JM Picard Intelligence économique et normalisation dans Intelligence économique et gouvernance compétitive, INHES, La documentation française, Paris ISO TC 223 Societal security et le groupe CEN équivalent : TC 391 Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 2/20

3 Elles sont influencées par les normes de la série ISO 9000 et par l ISO sur le management du risque. Le référent servant à nos travaux n est pas encore fixé définitivement. Précisons que notre étude porte sur les documents à caractère normatif. Ainsi les documents projets de l ISO ou les référentiels «privés» comme celui de l association mondiale ASIS pouvant être repris par des organismes de normalisation sont pris en compte. Notons pour ce dernier cas que l association ASIS (présentée ci-après) participe aux travaux des TC 223 et TC 391. Nous présenterons les principaux acteurs, puis nous mènerons une première description et analyse des référentiels normatifs, afin d en faire ressortir leurs caractéristiques, leurs convergences et leurs divergences. Nous aborderons en particulier le traitement des concepts (prévention, correction, risque, criticité, résilience, cycle PDCA etc.) en nous appuyant sur l identification des acteurs et de la terminologie de ce domaine particulier. La démarche que nous sommes en train de construire consistera à combiner à terme une analyse sociopolitique des acteurs et du contexte normatif à une analyse linguistique des corpus normatifs. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 3/20

4 2 Les principaux acteurs Les référentiels normatifs sont issus des travaux de très nombreux comités ou organisations. Les travaux même des organismes comme l ISO sont le fruit de consensus complexes entre des acteurs très différents. Il en résulte une forte disparité dans les normes traitant du risque, de la continuité d activité et du management de la sécurité en général. Les cultures en matière de risque environnemental dans la chimie, en matière de risque financier ou en matière de continuité d activité pour les systèmes d information font appel à des concepts parfois différents mais surtout à une terminologie différente, ce qui ne facilite pas l émergence de référentiel universels. La distinction entre «safety» et «Security» crée autant de débats au Royaume Uni que celle entre «sécurité» et «sûreté» en France. Les acteurs peuvent être présentés en 3 catégories : 1. Les organismes de normalisation (ISO 5, CEN 6, CEI 7, CENELEC 8, ANSI, BSI, DIN, AFNOR etc.) 2. Les acteurs économiques, y compris les lobbies associés: associations professionnelles comme caritatives (Asis, DRI International et NFPA aux USA, CSA au Canada, Haut Comité Français à la Défense Civile et Club de la Continuité d Activité en France, mais encore la Croix rouge (membre du TC 223). 3. Les Etats et les services officiels (départements ministériels, agences officielles, organismes inter étatiques : OTAN). 2.1 Les organismes de normalisation Au niveau international, l ISO TC 223 et le CEN TC 391 représentent les principax normalisateurs impliqués. Ces deux comités en charge de la sécurité sociétale n en n ont pas le monopole. Ainsi, le Technical Management Board (TMB) a en charge l ISO sur le management des risques en lien avec la CEI/IEC. Notons que le TMB (qui joue le rôle d une direction technique de l ISO), a comme sous-groupe le «ISO/TMB/SAG_S Strategic Advisory Group on Security» chargé de coordonner les sujets relatifs à la sécurité. Mentionnons également le TC 8 et la série ISO sur la logistique, le JTC1/SC27 9 chargé de la sécurité de l information qui œuvre aussi en matière de continuité d activité (notamment avec le référentiel ISO 27031), le TC34 et la série ISO sur la sécurité des aliments, ou encore les normes ISO du TC 207 (Environnemental management Systems) sur le management et le risque environnemental. Au niveau international, les rapports entre l Europe et l ISO sont plutôt consensuels, compte de tenu notamment des accords de Dresde et de Vienne ; en revanche, les acteurs nationaux sont souvent concurrents et soumis aux pressions des lobbies. A l heure actuelle, en France, le forum sécurité peut se targuer d un bon consensus global. Ainsi, les cultures de police, de «risk manager» et de risque industriel cohabitent pacifiquement grâce à une culture de la sécurité globale de ses membres. Dans d autres pays, l investissement sur le sujet de la normalisation de la sécurité est tel qu il cache à peine des stratégies d envergure. Car outre le problème de la normalisation de la sécurité, la norme vient, dans ce domaine, empiéter sur un monde régi par le droit 10..La future révision de la directive UE 98/34 sur la normalisation au niveau des 5 International Organization for Standardization 6 Comité Européen pour la Normalisation 7 Commission Electrotechnique Internationale (CEI/IEC) 8 Comité Européen de Normalisation Electrotechnique 9 Le JTC1 est le comité technique qui produit globalement toutes les normes sur l informatique internet, réseaux, protocoles, sécurité, forme des documents etc. 10 Voir notamment JM Picard, La normalisation face au droit, Cahiers de la sécurité n 6, INHES, La docu mentation française, Paris 2007 et JM Picard Intelligence économique et normalisation dans Intelligence économique et gouvernance compétitive, INHES, La documentation française Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 4/20

5 services ne fera que renforcer cette concurrence ou cohabitation. Ainsi les Etats commencent à s investir parfois dans la normalisation sécurité à un niveau politique. 2.2 Quelques exemples d acteurs économiques et de lobbies Si les industriels interviennent dans le débat du fait des enjeux économiques, les lobbies sont aussi très présents. C est le cas, par exemple, de la National Fire Protection Association (NFPA) et de l association américaine Asis. Il existe encore bien d autres acteurs que ceux présentés ci-dessous, tels que le BCI (Business Continuity Institute), le CLUSIF et le CIGREF en France La NFPA (National Fire Protection Association) Créée en 1896, cette association à but non lucratif a pour objet la protection incendie et développe dorénavant des spécifications de haut niveau sur la sécurité en général. La NFPA a publié près de 300 standards. Elle compte membres professionnels. Elle a produit le référentiel NFPA 1600 : «Standard on Disaster/Emergency Management and Business Continuity Programs» dont la dernière version vient de sortir en ASIS ASIS International est une organisation de membres dans le monde qui regroupe des professionnels et des responsables de la sécurité. Asis a une organisation qui n est pas sans rappeler l IEEE bien connue des ingénieurs. Elle propose des référentiels en matière de sécurité et notamment en matière de résilience et de «business continuity», référentiels dédiés pour certains à la certification. Asis est aussi une entreprise de formation, éditrice d un magazine international «Security Management», consacré exclusivement aux problèmes de sécurité et de gestion de la sécurité privée. ASIS promeut des valeurs à travers un code d éthique L ISACA L Information Systems Audit and Control Association est à son origine (1967) une association d informaticiens qui se consacre dorénavant beaucoup au management du risque y compris la continuité d activité. Forte de membres, l ISACA est organisée autour de 175 chapitres établis dans plus de 70 pays. En France l AFAI (Association Française de l Audit et du Conseil Informatiques) est le chapitre de l ISACA. L AFAI s est associée dans ses travaux au Cigref (Club regroupant les grandes entreprises françaises) et à l AMRAE l association pour le management des risques et des assurances de l entreprise. L ISACA (avec sa structure IT Governance Institute) a développé le «e Certified Information Security Manager» (CISM) une certification en gestion de la sécurité revendiquant plus de certifiés ; cette association est très impliquée dans les travaux du JTC1/SC 27 de l ISO producteur de la série ISO Enfin les ONG comme la Croix Rouge sont présentes. Naturellement très impliquées dans les opérations de crise, ce type d ONG participe aux travaux du TC JOINT FORUM Le Forum tripartite (Joint Forum), a été créé en 1996 sous l'égide du Comité de Bâle, l'organisation internationale des commissions de valeurs (OICV) et l'association internationale des superviseurs en assurance (IAIS) pour traiter des questions communes à la banque, des valeurs mobilières et des assurances, y compris la réglementation des conglomérats financiers. Le forum a notamment publié en 2006 des principes directeurs en matière de continuité d activité. 11 Art.1 : «Tout membre doit réaliser ses obligations professionnelles dans le respect des lois et des plus hauts principes moraux.» Art.2 : «Tout membre doit préserver l information confidentielle et mettre en œuvre les meilleures pratiques pour prévenir toute divulgation non appropriée.» Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 5/20

6 2.2.5 Quelques acteurs en France Plusieurs associations dont le Club de la Continuité d Activité (CCA) travaillent sur les référentiels normatifs et les concepts. Le CCA fait partie des associations professionnelles qui interviennent au niveau du processus national. Ce club regroupe principalement des acteurs des systèmes d information. Fondé par les industriels du transport, de l énergie, de l aéronautique, de l espace et de la défense, l Institut pour la Maitrise Des Risques (IMDR) participe à l élaboration de normes et standards très techniques, notamment dans le domaine du risque et de la sûreté de fonctionnement. Le Haut Comité Français à la Défense Civile dont le Conseil National de la Continuité d activité ou CNCA fondé en avril 2008 anime un débat sur le concept intersectoriel de continuité d activité, lequel concerne à la fois les entreprises et le service public. Il s est fixé comme objectif de permettre une meilleure résilience de la nation face aux crises. 2.3 Les Etats et les services officiels Les pouvoirs publics ont un rôle majeur à jouer. Aux USA comme aux Pays-Bas, les Etats s investissent directement ou par le biais de leur organisme national dans les travaux. En France, les départements ministériels s y investissent de manière inégale. Notons que l aviation civile est assez présente aux côtés des ministères de l intérieur, du développement durable et de la défense. Les concepts de sécurité et sûreté, quand ils sont évoqués, ouvrent de longues discussions. Les pouvoirs publics financent peu les travaux de normalisation malgré d innombrables rapports invitants les invitant à s investir sur le sujet 12. Cela ne doit pas masquer l implication de la direction de la planification de sécurité nationale (DPSN) du ministère de l intérieur (et auparavant de la DDSC) et du Centre de Normalisation de Défense (DGA) ou de la DGAC. Tous les secteurs d activités s approprient le concept de la sécurité et plus précisément de la «Business Continuity». Cela conduit à des positions peu consensuelles, chacun imposant sa vérité. Les informaticiens, au nom de la sécurité des systèmes, se déclarent compétents sur beaucoup d aspects touchant la sécurité. Dans le cadre du JTC1/SC27, le projet ISO/IEC FCD Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour mise en état d'ict pour continuité des affaires: ICT readiness for business continuity, est une démonstration. Dans ce contexte, ce projet de norme inclut dans la continuité d activité la préparation et la gestion des incidents de sécurité. Le symposium de Singapour du SC27 en avril 2005 avait inscrit le projet sous l appellation Guidelines for information and communication technology disaster recovery services. 12 Livre blanc sur la défense et la sécurité nationale, Odile Jacob/La Documentation Française, juin 2008, troisième partie : «Une nouvelle stratégie pour l action», pages 280 «la France et l Europe devront renforcer leur influence en matière de normalisation» Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 6/20

7 3 Les principaux référentiels normatifs L ISO a produit plusieurs grandes normes de management. Certaines ont vocation à la certification, ce sont des normes d exigences (9001, 14001) d autres des normes systèmes non exigeantes (9004, 14004). Les deux premières familles (9000 et 14000) sont basées sur des concepts dont le PDCA (pour Plan Do Check Action), communément appelé roue de Deming. Ces normes vont à des degrés divers inspirer toutes les normes de management. Le projet NOTSEG effectuera à terme une cartographie des acteurs et des normes. Nous présentons ici un court extrait permettant de donner un panorama imparfait mais global sur le sujet. La version (année) est précisée si besoin. Par ailleurs, il existe un nombre considérable de normes sur la sécurité des produits ou installations qui induisent souvent un management des risques produits/installations/utilisation. Ce point est de plus en plus critique du fait de la prise en compte des menaces d origine volontaire dans la conception des produits. C est le cas, par exemple, des systèmes à prépondérance logicielle où la prise en compte des agressions de tous ordres (virus, piratage, attaques physiques etc ) s impose dès la conception. Normes de Management générales et qualité Norme Commentaire ISO 9001 (exigences) et ISO 9004 (recommandations). ISO Guide : Guidelines for the justification and development of management system standards ISO Guide 51 99: révision en 2009 Safety aspects -- Guidelines for their inclusion in standards Basées sur l ISO 9000 : (concepts et vocabulaire) ces normes sont reprises dans la plupart des normes de management. Le vocabulaire de l ISO 9000 est assez universel même s il n est pas complet. Explicitement basé sur les ISO 9000 et 14050: vocabulaires et concepts qualité et environnement. «Norme des normes», ce guide établit une distinction entre trois types différents de normes (A, B et C). A pour les normes d exigences dans les systèmes de management, B pour les guides et C pour les normes complémentaires. Difficilement classable, elle définit le risque de manière différente mais non contradictoire au guide 73. Elle offre de nombreuses définitions (dont celle de la sécurité). Elle prodigue essentiellement des conseils sur la rédaction de normes liées plus à la fourniture ou à l utilisation de produits/services que de management. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 7/20

8 Normes de Management risques, business continuity, gestion de crise ou urgence, sécurité/sûreté sociétale, résilience Norme Commentaire ISO Guide Risk Base de la norme 31000, elle définit la résilience, la sécurité et de management Vocabulary nombreux concepts. ISO Risk La norme de référence basée sur le guide 73. Cette norme est management Principles axée plus sur la prévision que sur le traitement. Elle distingue le and guidelines cadre organisationnel général du management du risque ( 4) du ISO Risk management Risk assessment techniques BS parties 1 et 2 de 2006 Business continuity management ISO Societal security Guideline for incident preparedness and operational continuity management ISO CD Continuity Management Systems- Requirements NFPA Standard on Disaster/Emergency Management and Business Continuity Programs ASIS SPC Organizational Resilience (OR) Management System Requirements processus de management du risque ( 5) Complément de près de 100 pages très denses de l ISO 31000, elle propose en annexe de nombreuses méthodes ou démarches d analyse et d évaluation des risques reprenant essentiellement les techniques issues du monde industriel et de la sûreté de fonctionnement. La norme de référence aujourd hui. Très complète, elle inclut le concept de résilience, d exercice, d évaluation du risque et surtout de la gestion des évènements y compris de crise dans son 5.4. Cette norme est plus orientée monde des affaires que sécurité civile. Sa récente partie 2 est dédiée aux exigences (certification) Norme PAS non définitive Issue de la précédente c est un projet de norme certifiante, concurrençant la célèbre BS Fournit les critères fondamentaux pour développer, mettre en œuvre un programme, -d évaluation, -de prévention, -de réduction, -de préparation, -d intervention, -de continuité d activité et -de retour à une situation normale (recovery). Elle est très concise, dense et courte et dispose d annexes complètes dont une grille d autoévaluation. Cette norme fait partie d une impressionnante collection de référentiels sectoriels dans le domaine du risque. C est une grande norme de référence, norme ANSI par ailleurs. Autre grand référentiel. Nous en donnons quelques éléments de comparaison avec la NFPA Fait explicitement référence au PDCA de l ISO Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 8/20

9 Normes spécifiques sur les technologies de l'information et les techniques de sécurité associées Norme Titre/description commentaire ISO/IEC 24762: Lignes directrices pour les services de secours en cas de catastrophe dans les technologies de l'information et des communications. Norme indépendante de grand intérêt ISO/IEC 27000: Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire ISO/IEC 27001: Systèmes de management de la sécurité de l'information Exigences Norme de référence d origine britannique ISO/IEC - Code de bonne pratique pour le management de la sécurité de l'information 27002:2005 ISO/IEC 27003: Lignes directrices pour la mise en œuvre du système de management de la sécurité de l'information ISO/IEC - Management de la sécurité de l'information Mesurage 27004:2009 ISO/IEC - Management du risque de la sécurité de l'information 27005:2008 ISO/IEC 27006: Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information ISO/IEC CD Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information ISO/IEC - Lignes directrices du management de la sécurité de l'information pour les 27011:2008 ISO/IEC FCD organismes de télécommunications sur la base de l'iso/cei Lignes directrices pour mise en état d'ict pour continuité des affaires Norme recoupant les référentiels ISO et ISO Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 9/20

10 Normes déclinées de l ISO 9001 mais plus orientées risque au sens sûreté de fonctionnement (extrait) : Norme Déclinaisons adaptation ou inclusion partielle des principes l ISO 9001 pour les secteurs: ISO TS Automobile EN 9100 Aéronautique Elle développe notamment la notion de «Caractéristique clé» ( Key characteristics) très orienté Sûreté de fonctionnement / fiabilité / robustesse et aussi quelques notions peu développées dans les ISO 9000 comme la Revue de premier article.. ISO Pétrole, pétrochimie, gaz ISO Dispositifs médicaux Orientée marquage CE, norme harmonisée pour l UE ISO Space systems - Programme management Reprend les principes de l ISO 9001 ISO Guidelines to define the management framework for a space project. (principes de l ISO 9001) ISO Primary packaging materials for medicinal products -- Particular requirements for the application of ISO 9001:2000, with reference to Good Manufacturing Practice (GMP) Reprise explicite de l ISO 9001 ISO Technologies de l'information -- Gestion des services. Cette norme traite de la (2005), parties 1 à 5 gestion des services aux technologies de l information. En plusieurs parties, elle comporte des dispositions certifiantes. Basée sur la BS héritant de travaux anglais des années 80, elle propose un modèle de type PDCA rappelant le schéma de l ISO relatif à son 4. Elle traite ainsi pour une partie des risques du «Resolution Incident Management» (plus explicitement dans ses premières versions). Autres normes Normes Titre/description Commentaire ISO et ISO Systèmes de management environnemental : lignes directrices et exigences Complétées par un corpus normatif important dont l ISO sur le vocabulaire. L ISO (2004) traite au de la préparation et réponse aux situations d urgence. Ce point est à rapprocher de la réglementation européenne sur les installations la directive 2003/105/CE dite Seveso II exigeant dès son considérant (15) un système de gestion de la sécurité. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 10/20

11 Normes spécifiques sur la sûreté de la logistique et de la chaîne d approvisionnement (en fait orientées transport maritime) 1314 : Norme Titre/description Commentaire ISO 28000:2007 Spécifications relatives aux systèmes de management de la sûreté de la chaîne ISO ISO/CD ISO 28003:2007 ISO 28004:2007/CD Amd 3 ISO parties 1(DIS) et 2 (PAS) ISO/PAS 22853:2005 d'approvisionnement Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance Systèmes de management de la sécurité pour la chaîne d'approvisionnement Systèmes de management de la sûreté pour la chaîne d'approvisionnement Exigences de sureté pour un Opérateur Economique Agréé Version certifiante des principes de la Développement de la résilience dans la chaîne d'approvisionnement Exigences pour les organismes effectuant l'audit et la certification des systèmes de management. Cette norme remet en cause certaines dispositions de la sur l accréditation et les autres normes de la série 17020/17021 et Systèmes de management de la sûreté Normes non définitives pour la chaîne d'approvisionnement -- Operations portuaires assistées par systèmes électroniques Navires et technologie maritime Applications informatiques Spécification du langage de la sécurité maritime 4 13 Cette série de norme est inspirée par le code ISPS dont elle se veut un complément applicatif (International Ship and Port Security, ISPS, ou Code international pour la sûreté des navires et des installations portuaires). Composé de deux parties, il a été adopté en 2002 et s applique depuis 2004 par la Conférence des gouvernements contractants à la Convention internationale pour la sauvegarde de la vie humaine en mer (Solas). La nécessité d'établir une procédure internationale sur la sûreté des installations portuaire ainsi que des navires est née avec le code ISPS à la suite des attentats du 11 septembre. 14 Note : Le terme security anglais a été traduit systématiquement par sûreté en français. Nous avons volontairement alterné les titres français et anglais. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 11/20

12 5 Les référentiels sélectionnés Afin de comparer les normes, principalement leur vocabulaire et concepts, nous avons fait une première sélection, effectuée simplement sur la notion de notoriété de l organisme producteur, de la norme elle-même et de son objet. Cette sélection correspond à celle réalisée au sein du TC 223 ISO. Nous en présentons ici un extrait concernant les ISO 9001, ISO 31000, NFPA 1600, ASIS SPC.1, ISO 22301, BS Présentation critique : convergences et divergences L élaboration d une grille de comparaison des référentiels n est pas aisée. Nous sommes actuellement en train d en déterminer les critères. Nous présentons ici des résultats d analyse sur deux critères : le vocabulaire et la structure organisationnelle de la norme. En matière de vocabulaire, de nombreux concepts comme Recovery Point Objective, Recovery Time Objective, Maximum Tolerable Period of Disruption, qui ne sont pas sans rappeler les Mean Time To Failure ou les Mean Time Between Failures de la fiabilité, ont attiré notre attention. Dans le cadre de cette communication, nous livrons à titre d exemple une simple comparaison de définitions et parfois de concepts (à travers les analogies de termes). Nous avons retenu le mot résilience que l on trouve en français comme en anglais. Nous utiliserons ultérieurement différents logiciels d analyse textuelle pour procéder à une étude plus fine du lexique en relation avec les contextes et les acteurs. Nous pouvons faire le constat préalable que le monde de la sécurité procède actuellement, par le biais de normes, à l élaboration d un nouveau vocabulaire qui recoupe celui de la Sûreté de Fonctionnement. Ainsi peut-on rapidement faire une analogie entre Résilience et Robustesse, voire avec les attributs de la sûreté de fonctionnement 15. Réciproquement, on remarquera que le concept de résilience, qui est repris dans la résilience informatique, est au cœur des travaux du réseau d excellence européen ReSIS 16, le monde de la sûreté de fonctionnement s appropriant ce concept. Indépendamment de la relation à établir entre ces deux domaines (ce que l IMDR a fait avec le monde des Cyndiniques), le vocabulaire est bien loin d être universel et stabilisé au sein des TC 223 et TC 391. Le tableau ci-dessous liste des définitions présentes dans les principaux référentiels étudiés. La référence au guide 73 et au domaine du risque, plus qu à celui de la sécurité, est flagrante. 15 Fiabilité, disponibilité, maintenabilité, sécurité, tolérance aux fautes 16 Resilience for Survivability in Information Society Technologies, initié et dirigé par Jean-Claude Laprie, l ancien directeur du Laboratoire d Analyse et d Architecture des Systèmes à Toulouse (LASS CNRS). Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 12/20

13 6.1 Vocabulaire Référentiel Définition Autre définition ASIS SPC NFPA BSI Part 1 et 2 ISO (2009) et ISO Guide 73 (2009) ISO (2007) ISO CD 2010 Annexe D 50 : The adaptive capacity of an organization in a complex and changing environment. [ISO Guide 73:2009] NOTE 1 Resilience is the ability of an organization to resist being affected by an event or the ability to return to an acceptable level of performance in an acceptable period of time after being affected by an event. NOTE 2 Resilience is the capability of a system to maintain its functions and structure in the face of internal and external change and to degrade gracefully when it must Resilience : ability of an organization to resist being affected by an incident Resilience : capacité d'adaptation d'un organisme dans un environnement complexe et changeant / adaptive capacity of an organization in a complex and changing environment 3.31 Resilience ability of an organization to resist being affected by an event Pas de définition ni de mention de la Resilience Organizational Resilience is the ability of an entity to respond to the impact of an incident, continue to provide a minimum acceptable level of service in the immediate aftermath of the incident, and thereafter return conditions to a level that is acceptable to the entity A et annexe: Continuity. An evolving concept that is linked to continuity is Resilience. Organizational Resilience is the ability of an entity to respond to the impact of an incident, continue to provide a minimum acceptable level of service in the immediate aftermath of the incident, and thereafter return conditions to a level that is acceptable to the entity. [Continuity] A term that includes business continuity, continuity of operations [COOP], operational continuity, succession planning, continuity of government [COG], which support the Resilience of the entity 2.3 business continuity management (BCM) holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational Resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities NOTE Business continuity management involves managing the recovery or continuation of business activities in the event of a business disruption, and management of the overall programme through training, exercises and reviews, to ensure the business continuity plan(s) stays current and up-todate. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 13/20

14 PG4 V2009 SGDN France Plan national de prévention et de lutte «Pandémie grippale» Joint Forum The ability of a financial industry participant, financial authority or financial system to absorb the impact of a major operational disruption and continue to maintain critical operations or services. La capacité d'un acteur de l industrie financière, d une autorité financière ou d un système financier à absorber l'impact d'une perturbation opérationnelle majeure et à poursuivre les opérations ou les services critiques. L objectif à atteindre est celui de la «Resilience», définie comme la capacité d un pays, de la société et des pouvoirs publics à résister aux conséquences d une catastrophe majeure, puis à rétablir rapidement leur capacité de fonctionner normalement. Pour atteindre cet objectif en assurant la sécurité économique, il importe de prendre les mesures garantissant la continuité de l activité économique lors de la pandémie et, plus largement, de continuer à assurer la protection des intérêts économiques de la nation. Commentaire CCA : Club de la Continuité d Activité (CCA/France) Livre Blanc V Une nuance peut être apportée en français entre : Resilience : Qualité de celui qui se rétablit vite Robustesse : Qualité de ce qui reçoit des coups sans trop en souffrir En anglais Robustness n est pas employé. Un bon PCA concourt à la robustesse ; un bon PRA à la Resilience Les Américains sont cohérents : la NFPA et ASIS utilisent les mêmes concepts. La résilience est la capacité d'adaptation d'une organisation dans un environnement complexe et changeant. L Organizationnal Resilience est la capacité d'une entité à répondre à l'impact d'un incident, à continuer à fournir un niveau minimum acceptable de service au lendemain de l'incident, et par la suite à permettre le retour des conditions à un niveau qui soit acceptable pour l'entité. Les Britanniques, qui s appuient sur le célèbre référentiel BS 25999, définissent la résilience comme la capacité d'une organisation à résister, à être affectés/touché par un incident. La définition est moins large que celle de la NFPA qui, en évoquant la capacité d adaptation, induit en fait une capacité d apprentissage et donc de réaction et de survie. Pour le BSI, la gestion de la continuité des activités consiste à gérer la reprise ou la poursuite des activités [] dans le cas d'une interruption des activités, et la gestion de l'ensemble du programme à travers la formation, des exercices et des examens, pour s'assurer que le plan de continuité des activités reste [opérationnel]. Nous découvrons la rivalité conceptuelle entre : l Organizationnal Resilience américaine et le Business Continuity Management britannique.. Nous sommes constamment confrontés dans les symposiums internationaux à ce type d opposition. Derrière cette lutte de définitions existe aussi une lutte d influence, voire une rivalité commerciale, entre les deux principaux standards que sont le BS et le référentiel ASIS. Notons que l ISO s est calée sur le référentiel américain pour la définition de la résilience dans le cas de la norme D autres divergences de vocabulaires existent, telles que la distinction entre parties prenantes et parties intéressées, ou entre actions préventives, correctives et de protection, ou encore dans la définition même du risque via la distinction risque/menace. Nous allons voir comment les concepts influent sur la structure des normes. 17 Principes directeurs en matière de continuité d activité, Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 14/20

15 6.2 Organisation et concepts L ISO 9001 révèle plusieurs modèles. Le plus classique est le PDCA, ou roue de Deming, à 4 temps. Une lecture approfondie permet de découvrir une autre logique à 9 temps que l on retrouve dans les OHSAS et ISO : 1. Politique et objectifs (y compris les objectifs à ne pas atteindre ou risques) 2. Responsabilités 3. Autorités 4. Système, missions et fonctions 5. Réalisation (conception, production) 6. Contrôle (check level/surveillance) 7. Maitrise (quality control) et bonnes pratiques et concept des 5M 8. Assurance (traitement des non conformités, actions correctives et préventives, audit) 9. Management (planification, amélioration, communication, revues) C est ainsi que nous parlons de séquencement 18 de la norme, ce qui nous amènera à explorer la possibilité d attribuer un séquencement aux autres référentiels. Cette notion nous permettra à terme de proposer un classement des normes en fonctions de leurs caractéristiques et des concepts développés. Outre la résilience, nous portons une attention particulière à la prise en compte des menaces d origine volontaire. En effet, leur évaluation fait appel à des démarches ou des méthode totalement différentes de celles prises en compte pour les risques industriels ou technologiques. L ISO ne fait pas explicitement référence au PDCA mais on y retrouve les 9 concepts évoqués précédemment pour l ISO La norme distingue en son 4 le cadre organisationnel du risque et en son 5 le processus itératif d appréciation et de réduction du risque. Mandat et engagement (4.2) Conception du cadre organisationnel de management du risque (4.3) Compréhension de l organisme et de son contexte (4.3.1) Etablissement de la politique de management du risque (4.3.2) Responsabilité (4.3.3) Intégration aux processus organisationnels (4.3.4) Ressources (4.3.5) Etablissement de mécanismes de communication et de rapport internes (4.3.6) Etablissement de mécanismes de communication et de rapport externes (4.3.7) Amélioration continue du cadre organisationnel (4.6) Mise en œuvre du management du risque (4.4) Cadre organisationnel de management du risque (4.4.1) Processus de management du risque (4.4.2) Surveillance et revue du cadre organisationnel (4.5) Fig1 : Le cadre organisationnel 4 de l ISO Terme proche de processus (activités) mais incluant aussi des exigences de fait. La notion de séquencement (que nous appréhendons pour le moment de manière empirique) renvoie à un ensemble de concepts de la sécurité sociétale. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 15/20

16 L ISO traite du cadre organisationnel et du management du risque. Elle traite abondamment de l appréciation du risque, complétée en cela par l ISO dont les 100 pages et plus précisément les annexes regorgent de méthodologies scientifiques issues du risque industriel et de la sûreté de fonctionnement. 19. Elle ne traite pas des menaces. C est une norme de prévision issue des mondes de l industrie et de l assurance. Le traitement du risque en est le parent pauvre et la continuité d activité quasi absente. Par ailleurs elle n est pas adaptée à la gestion des menaces volontaires, peu prédictibles avec les méthodes industrielles. Calculer la probabilité d un acte terroriste relève tout de même plus de l art que de la science. Fig 2 : Le processus de réduction du risque selon l ISO guide 73 et l ISO L ISO 31000, qui insiste lourdement sur l approche holistique du contexte de l entreprise, peut être résumée par le séquence ment suivant : 1. Contexte 2. Politique et objectifs 3. Responsabilités et Autorités 4. Communication interne/externe 5. Système de management du risque, mission et fonction (cadre organisationnel) 6. Réalisation (processus de management du risque : identification, traitement, surveillance, enregistrement) 7. Surveillance, revue et contrôle 19 Réseau de Pétri, graphes de Markov, grilles de criticités, arbres de causes, Amdec, diagrammes d Ishikawa, etc. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 16/20

17 La BS de 2006 est la plus ancienne de nos normes avec la NFPA Elle est davantage orienté «business» que sécurité civile. Elle ne traite pas des menaces. Sa seconde partie récente est orientée vers la certification (exigences). Son séquencement peut être le suivant : 1. Responsabilités et gouvernance 2. Système et documentation 3. Contexte a. analyse des impacts potentiels, b. identification des activités critiques, c. détermination des exigences de continuité d. Evaluation des risques et menaces e. Traitement du risque 4. Politique et stratégie (choix et priorités stratégiques et tactiques) 5. Management du programme BCM complété et augmenté dans la partie 2 par la notion de BCM system 6. Réalisation Développement et mise en œuvre du «BCM response» : communication et gestion de crise 7. Exercice, surveillance (test et contrôle), revue Le référentiel Asis SPC.1 est orienté vers la Résilience, comme nous l avons déjà souligné. Cela étant, le concept anglais de «business continuity» inclut de fait le concept de résilience. Asis est très proche du management ISO 9000 et de ce fait il se marie très bien avec un système QSE existant. Il traite largement des menaces et notamment des menaces volontaires. Son séquencement peut être le suivant : 1. Politique et engagement 2. Exigences légales, évaluation du risque et objectifs (les objectifs découlent en premier des exigences légales et du risque) 3. Responsabilités autorités 4. Ressources humaines et implication 5. Documentation et enregistrements 6. Management planification et revue 7. Maitrise (et monitoring, que l on retrouve dans la série 28000) 8. Surveillance 9. Assurance (prévention, corrections, traitement des non conformités et réponse, évaluation et audits) 10. Exercice, surveillance (test et contrôle), revue La norme NFPA 1600, cousine ou concurrente du référentiel Asis SPC 1. Très orientée vers la gestion de crise de la prévention à l action, elle traite peu de «recovery». Elle aborde les menaces. Elle complète bien la BS Politique et engagement 2. Responsabilités autorités 3. Documentation et enregistrements 4. Exigences légales et objectifs 5. Contexte et planification évaluation du risque, analyse d impact, prévention, réduction 6. Communication et gestion de crise (la gestion de la crise est très développée dans la NFPA) 7. Exercice et entraînement (très développé) Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 17/20

18 Le projet ISO n aborde pas une seule fois la résilience et fort peu les menaces prévues dans un paragraphe non développé pour l instant Mais le TC 223 souhaite promouvoir une autre norme sur la résilience dans laquelle la notion de continuity management system ne traiterait pas de la résilience. Ce point de vue fait l objet d une forte controverse. 1. Engagement, responsabilités et politique 2. Contexte et planification exigences légales évaluation du risque (les menaces ne font pas l objet d un chapitre comme dans le 6.4 de la 22399) 3. Ressources humaines et implication 4. Communication 5. Documentation et enregistrements 6. Planification opérationnelle a. Surveillance et contrôle b. Traitement du risque c. Préparation, réponse et continuité 7. Evaluation, audit, revues 8. Amélioration Le PAS de 2007, standard plus complet que le projet 22310, aborde clairement les menaces. Ce PAS doit être revu prochainement et peut être présenté comme suit : 1. Politique et programme 2. Engagement responsabilités 3. Exigences légales, évaluation du risque, «hazard», risk et identification des menaces 4. Management du programme de continuité 8. Responsabilités et ressources 9. Communication et alertes 10. Maitrise opérationnelle (reprise d un concept ISO 14000) 11. Assurance : actions correctives, préventives, évaluation audit 12. Exercice, surveillance (test et contrôle), revue Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 18/20

19 7 Conclusion Dans cette communication, nous avons souhaité donner un aperçu des acteurs de la normalisation et, au travers de la présentation abrégée des référentiels, de quelques convergences et divergences sur le vocabulaire notamment sur la résilience. Au regard de la structure des normes et de leur séquencement, nous pouvons noter les points suivants : la relative convergence des vocabulaires de la NFPA 1600 et du référentiel ASIS SPC.1 la concurrence entre les référentiels ASIS et BS dans lesquels le chevauchement des concepts de résilience et de continuité d activité n est pas fixé au niveau international, ce qui devrait être discuté au congrès de Stockholm en juin Le complémentarité entre la NFPA 1600, très orientée vers la gestion de crise, et de l ISO orientée vers la prévision. Enfin, l étendue du référentiel ASIS qui couvre de façon assez complète l ensemble de la continuité d activité et de la résilience. C est aussi le cas, dans une moindre mesure, de l ISO relative aux systèmes d information que nous n avons pu présenter davantage. L objectif du projet NOTSEG est de fournir une analyse comparative de ces référentiels. Pour l avenir, il importe que la communauté de la sécurité sociétale se rapproche de celle du risque industriel et de la sûreté de fonctionnement. En effet, faute de convergence, la juxtaposition des travaux normatifs relatifs aux domaines du risque et de la sécurité sociétale pourrait être facteur de confusion. Nous soulignons en conclusion la difficulté d évaluer le risque en matière de sécurité sociétale. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 19/20

20 8 Références JUANALS B. PICARD J.-M, 2010, «Normalisation industrielle internationale et gestion des identités numériques», Dossier «Présence numérique» (coord. M. Arnaud et L. Merzeau) revue Documentaliste Sciences de l information vol, 47 n 1 Association française des documentalistes et des bibliothécaires spécialisés Identifiant ISSN : PICARD JM, 2009, Les travaux de normalisation dans les domaines de la gestion de crise et de la continuité des activités, Les Cahiers de la Sécurité Intérieure n 10 La documentation française PICARD JM, 2008, Normes et cybercriminalité, Les Cahiers de la Sécurité Intérieure n 6 La documentation française PICARD JM, 2008, Les normes techniques, statut juridique, Préventique Sécurité n 100 PICARD JM, 2008, Homeland Security Logistique et chaîne d approvisionnement: les premières normes sur le management de la sûreté, Les Cahiers de la Sécurité Intérieure n 3 La documentation française PICARD J.-M JUANALS B., janv-10, Normalisation et sécurité globale La formulation en normalisation du concept de sécurité globale, Workshop Interdisciplinaire sur la Sécurité Globale, Université de Technologie de Troyes France PICARD J.-M JUANALS B., mars-10, Le rôle des normes techniques dans l élaboration d une politique de sécurité globale. Luxembourg mars 2010, Symposium international de L AISP (Association internationale de science politique) et Luxpol (Association de science politique du Luxembourg) Commission européenne PICARD JM, 03-févr-10, Risques et normalisation, journée Normalisation et management des risques des programmes, Journée Risque et normalisation IMDR et Bureau Normalisation de l Aéronautique et de l Espace Cachan 03/02/2010 PICARD JM, 03-déc-09, La normalisation en matière de sécurité et l'approche normative de la sécurité sociétale, Conseil National de la Continuité d'activité, Haut Comité Français à la Défense Civile, Sénat PICARD JM, juin-09, La réponse normative et les normes de sécurité en matière de réseau, Colloque sur la sécurité numérique, Sénat Paris Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 20/20

Normalisation de la sécurité globale H.C.F.D.C

Normalisation de la sécurité globale H.C.F.D.C Normalisation de la sécurité globale H.C.F.D.C Espace Edouard VII Jean-Marc Picard 17 octobre 2012 18 années industrie et services 13 années recherche et expertise pour l industrie et les pouvoirs publics

Plus en détail

Les travaux de normalisation dans les domaines de la gestion de crise et de la continuité des activités

Les travaux de normalisation dans les domaines de la gestion de crise et de la continuité des activités Picard:Mise en page 1 16/10/09 16:05 Page 9 Les travaux de normalisation dans les domaines de la gestion de crise et de la continuité des activités Gestion de crise et continuité d activité font l objet

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

Management de la sécurité: le problème de la prise en compte du risque dans les normes de management

Management de la sécurité: le problème de la prise en compte du risque dans les normes de management Management de la sécurité: le problème de la prise en compte du risque dans les normes de management Jean-Marc PICARD 1, Jean-François BARBET 2 1 CQP2i, Université de Technologie de Compiègne, rue du Dr

Plus en détail

Une approche dirigée par les modèles pour le Management de la Continuité d Activité pour la Prise en Charge à Domicile

Une approche dirigée par les modèles pour le Management de la Continuité d Activité pour la Prise en Charge à Domicile 29-30 Mars 2012 16 es Journées STP -Session EASYDIM Ecole des mines d Albi Une approche dirigée par les modèles pour le Management de la Continuité d Activité pour la Prise en Charge à Domicile Olfa Rejeb

Plus en détail

Business continuity management (BCM) pour les compagnies d assurances en Suisse standards minimaux et recommandations

Business continuity management (BCM) pour les compagnies d assurances en Suisse standards minimaux et recommandations Business continuity management (BCM) pour les compagnies d assurances en Suisse standards minimaux et recommandations Juin 2015 2 Impressum Destinataires : Les compagnies d assurances assujetties à la

Plus en détail

Août 2013 Recommandations en matière de Business Continuity Management (BCM)

Août 2013 Recommandations en matière de Business Continuity Management (BCM) Août 2013 Recommandations en matière de Business Continuity Management (BCM) 1 Situation initiale et objectifs... 2 2 Fondements... 3 3 Champ d application et menaces... 4 4 Recommandations... 7 4.1 Définition

Plus en détail

ISO/IEC 19796-1: Comment mettre en oeuvre la nouvelle norme. qualité pour l apprentissage, l éducation et la formation

ISO/IEC 19796-1: Comment mettre en oeuvre la nouvelle norme. qualité pour l apprentissage, l éducation et la formation ISO / IEC JTC1 SC36 WG5: Assurance qualité et structures descriptives QA + DF ISO/IEC 19796-1: Comment mettre en oeuvre la nouvelle norme qualité pour l apprentissage, l éducation et la formation Nom du

Plus en détail

Forum «Sécurité des citoyens»

Forum «Sécurité des citoyens» Forum «Sécurité des citoyens» Réunion d information 5 juillet 2007 Programme Ouverture Eléments de contexte : Travaux du GIS Mise en place du Forum «Sécurité des citoyens» Point d information sur les principales

Plus en détail

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 Les pratiques professionnelles de la Continuité Métier sont définies comme les aptitudes, connaissances et procédures

Plus en détail

ISO 9001 : Cap 2015. Réunion du Club IRIS du 05 décembre 20013. M. Marc BAZINET

ISO 9001 : Cap 2015. Réunion du Club IRIS du 05 décembre 20013. M. Marc BAZINET Réunion du Club IRIS du 05 décembre 20013 ISO 9001 : Cap 2015 M. Marc BAZINET Président de la Commission de Normalisation AFNOR «Qualité et Management» - Données d entrées - Planning de la révision - Exigences

Plus en détail

SC 27/WG 5 Normes Privacy

SC 27/WG 5 Normes Privacy SC 27/WG 5 Normes Privacy Club 27001 Toulousain 12/12/2014 Lionel VODZISLAWSKY Chief Information Officer l.vodzislawsky@celtipharm.com PRE-CTPM 141212-Club27001 Toulouse normes WG5_LV L organisation de

Plus en détail

Colloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Colloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires Colloque 2005 de la Sécurité des Systèmes d Information Du contrôle permanent à la maîtrise globale des SI Jean-Louis Bleicher Banque Fédérale des Banques Populaires Mercredi 7 décembre 2005 Du contrôle

Plus en détail

Systèmes de Management Intégré (SMI) Instrumentation, Contrôle et Management des Systèmes

Systèmes de Management Intégré (SMI) Instrumentation, Contrôle et Management des Systèmes Systèmes de Management Intégré (SMI) Instrumentation, Contrôle et Management des Systèmes QUALITE SECURITE ENVIRONNEMENT OUTIL DE PILOTAGE MIS A LA DISPOSITION DES ORGANISMES Système : ensemble d éléments

Plus en détail

Opportunités s de mutualisation ITIL et ISO 27001

Opportunités s de mutualisation ITIL et ISO 27001 Opportunités s de mutualisation ITIL et ISO 27001 Club ISO 27001 Paris,19 avril 2007 Alexandre Fernandez-Toro Rappels sur l ISO l 27001 Norme précisant les exigences pour La

Plus en détail

Conférence Perspectives pour une nouvelle Agence Méditerranéenne de la Logistique?

Conférence Perspectives pour une nouvelle Agence Méditerranéenne de la Logistique? Conférence Perspectives pour une nouvelle Agence Méditerranéenne de la Logistique? Mardi 3 juin 2014 Younes TAZI Directeur Général Agence Marocaine de Développement de la Logistique younes.tazi@amdl.gov.ma

Plus en détail

Parmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale :

Parmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale : Norme ISO ISO signifie International Standards Organization. Il s agit de l organisation internationale de normalisation, qui chapeaute tous les organismes de normalisation nationaux et internationaux.

Plus en détail

ISO 16363 Audit and Certification of Trustworthy Digital Repositories Olivier Rouchon (CINES) olivier.rouchon@cines.fr

ISO 16363 Audit and Certification of Trustworthy Digital Repositories Olivier Rouchon (CINES) olivier.rouchon@cines.fr ISO 16363 Audit and Certification of Trustworthy Digital Repositories Olivier Rouchon (CINES) olivier.rouchon@cines.fr Réunion plénière PIN 27 Septembre 2012 Objectifs et Plan I. Le CCSDS et les initiatives

Plus en détail

N o r m a F i - I T Principaux résultats et opportunités

N o r m a F i - I T Principaux résultats et opportunités N o r m a F i - I T et opportunités Alain Renault Digital Trust - Towards excellence in ICT 11 juin 2012 Objectifs Les objectifs du projet sont les suivants : 1. Investiguer et développer les domaines

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

Logistique et chaîne d approvisionnement Les premières normes internationales sur le management de la sûreté

Logistique et chaîne d approvisionnement Les premières normes internationales sur le management de la sûreté Picard:Mise en page 1 26/03/08 10:32 Page 73 Logistique et chaîne d approvisionnement Les premières normes internationales sur le management de la sûreté CORBIS Les années 2006 et 2007 viennent de voir

Plus en détail

Les normes de certification des archives numériques En préparation. C. Huc. La Pérennisation des Informations numériques

Les normes de certification des archives numériques En préparation. C. Huc. La Pérennisation des Informations numériques La Pérennisation des Informations numériques Les normes de certification des archives numériques En préparation C. Huc Réunion PIN 21 janvier 2010 Paris Deux normes ISO en préparation «Audit and certification

Plus en détail

ISO/IEC TR 90006. Première édition 2013-11-01. Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

ISO/IEC TR 90006. Première édition 2013-11-01. Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013 RAPPORT TECHNIQUE ISO/IEC TR 90006 Première édition 2013-11-01 Technologies de l information Lignes directrices pour l application de l ISO 9001:2008 pour la gestion des services IT et son intégration

Plus en détail

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification Les référentiels SMI, normes, processus de certification 1 Définitions selon le Guide ISO/IEC 2:2004 Norme Document, établi par consensus et approuve par un organisme reconnu, qui fournit, pour des usages

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

National Director, Engineering and Maintenance East (Montreal, QC)

National Director, Engineering and Maintenance East (Montreal, QC) National Director, Engineering and Maintenance East (Montreal, QC) Reporting to the General Manager, Engineering and Maintenance, you will provide strategic direction on the support and maintenance of

Plus en détail

ISO 22000 : Une norme internationale dédiée à l agroalimentaire

ISO 22000 : Une norme internationale dédiée à l agroalimentaire ISO 22000 : Une norme internationale dédiée à l agroalimentaire Par : EL ATYQY Mohamed, Ingénieur I.A.A www.azaquar.com Sommaire : 1. INTRODUCTION...2 2. Genèse de la norme ISO 22000...2 3. PRINCIPES DE

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

ICH Q8, Q9 and Q10. Krishnan R. Tirunellai, Ph. D. Bureau of Pharmaceutical Sciences Therapeutic Products Directorate Health Canada December 4, 2008

ICH Q8, Q9 and Q10. Krishnan R. Tirunellai, Ph. D. Bureau of Pharmaceutical Sciences Therapeutic Products Directorate Health Canada December 4, 2008 ICH Q8, Q9 and Q10 An Opportunity to Build Quality into Product Krishnan R. Tirunellai, Ph. D. Bureau of Pharmaceutical Sciences Therapeutic Products Directorate Health Canada December 4, 2008 Sequence

Plus en détail

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité :

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité : Fiche Pratique PRA - PCA Club des Responsables d Infrastructures et de Production L audit de la continuité d activité d un organisme La continuité d activité correspond à la capacité d un organisme (entreprise

Plus en détail

Panorama des référentiels en sécurité sanitaire des aliments

Panorama des référentiels en sécurité sanitaire des aliments Panorama des référentiels en sécurité sanitaire des aliments Olivier Boutou Ingénieur Développement Missions au sein d AFNOR Réalisation d évaluation AFAQ 26000 et 3D selon l 26000 (RSE). Formateur en

Plus en détail

AGROALIMENTAIRE. Système de management de la sécurité des denrées alimentaires ISO 22 000. Présentation de la norme

AGROALIMENTAIRE. Système de management de la sécurité des denrées alimentaires ISO 22 000. Présentation de la norme AGROALIMENTAIRE Système de management de la sécurité des denrées alimentaires ISO 22 000 Présentation de la norme 25 mars 2006-1 - Table des matières CHAPITRE 1 La normalisation : une démarche au service

Plus en détail

L évolution des systèmes de management

L évolution des systèmes de management 1 L évolution des systèmes de management 1.1 L évolution du marché De nouvelles donnes du marché sont apparues depuis la publication de la version 1994 des normes de la série ISO 9000. Les versions 2008

Plus en détail

Club 27001 toulousain

Club 27001 toulousain Club 27001 toulousain Couverture organisme national Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Qualite@lal.in2p3.fr. Qualité & projet(s) Sandrine Pavy, Responsable Qualité. Ecole IN2P3 «Conduite de projets» Paris, 8-10 octobre 2012

Qualite@lal.in2p3.fr. Qualité & projet(s) Sandrine Pavy, Responsable Qualité. Ecole IN2P3 «Conduite de projets» Paris, 8-10 octobre 2012 Qualité & projet(s) Sandrine Pavy, Responsable Qualité Ecole IN2P3 «Conduite de projets» Paris, 8-10 octobre 2012 SOMMAIRE 1. (Pré)Histoire de la Qualité 2. ISO 1. International Organization for Standardization

Plus en détail

Experiences TCM QUALITY MARK. Project management Management systems ISO 9001 ISO 14001 ISO 22000

Experiences TCM QUALITY MARK. Project management Management systems ISO 9001 ISO 14001 ISO 22000 TCM QUALITY MARK Jean-Marc Bachelet Tocema Europe workshop 4 Project management Management systems ISO 9001 ISO 14001 ISO 22000 + lead auditors for certification bodies Experiences Private and state companies,

Plus en détail

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité NORME INTERNATIONALE ISO/CEI 19770-1 Deuxième édition 2012-06-15 Technologies de l information Gestion des actifs logiciels Partie 1: Procédés et évaluation progressive de la conformité Information technology

Plus en détail

Testing : A Roadmap. Mary Jean Harrold. Présentation de Olivier Tissot

Testing : A Roadmap. Mary Jean Harrold. Présentation de Olivier Tissot Testing : A Roadmap Mary Jean Harrold Présentation de Olivier Tissot Testing : A Roadmap I. L auteur II. Introduction sur les test : les enjeux, la problématique III. Les tests : roadmap IV. Conclusion

Plus en détail

Objectif : Programme: Projet coordonné par l Office International de l Eau. Evènement labellisé World Water Forum 6

Objectif : Programme: Projet coordonné par l Office International de l Eau. Evènement labellisé World Water Forum 6 Atelier WaterDiss2.0: Valoriser les résultats de la recherche sur l'eau comme catalyseur de l'innovation. Paris, Pollutec, 1 er Décembre 2011 De 14h à 17h Salle 617 Objectif : L'objectif du projet WaterDiss2.0

Plus en détail

Révisions ISO 9001 et ISO 14001 : abordez le virage en 2015! Atelier découverte Rodez mardi 17 novembre 2015

Révisions ISO 9001 et ISO 14001 : abordez le virage en 2015! Atelier découverte Rodez mardi 17 novembre 2015 Révisions ISO 9001 et ISO 14001 : abordez le virage en 2015! Atelier découverte Rodez mardi 17 novembre 2015 1 Objectifs de l atelier Appréhender «l esprit et le sens» des principales évolutions de l ISO

Plus en détail

Ecole IN2P3 «Conduite de projets» Paris, 25-27 novembre 2013. Qualité & projet(s) Sandrine Pavy, Responsable Qualité LLR

Ecole IN2P3 «Conduite de projets» Paris, 25-27 novembre 2013. Qualité & projet(s) Sandrine Pavy, Responsable Qualité LLR Ecole IN2P3 «Conduite de projets» Paris, 25-27 novembre 2013 Qualité & projet(s) Sandrine Pavy, Responsable Qualité LLR Page 2 SOMMAIRE 1. (Pré)Histoire de la Qualité 2. ISO 1. International Organization

Plus en détail

Les processus d une DSI pour garantir la robustesse en production. Yphise Xavier Flez 01 44 59 93 00 - yphise@yphise.com - yphise.

Les processus d une DSI pour garantir la robustesse en production. Yphise Xavier Flez 01 44 59 93 00 - yphise@yphise.com - yphise. Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 1 Club Utilisateur WITO Les processus d une DSI pour garantir la robustesse en production Jeudi 24 Juin 2004 Yphise Xavier Flez 01 44 59

Plus en détail

ES ET DE LA VIE PRIVÉE E 29 th INTERNATIONAL DATA PROTECTION AND PRIVACY COMMISSIONERS CONFERENCE

ES ET DE LA VIE PRIVÉE E 29 th INTERNATIONAL DATA PROTECTION AND PRIVACY COMMISSIONERS CONFERENCE 29e CONFÉRE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIV ES ET DE LA VIE PRIVÉE E 29 th INTERNATIONAL DATA PROTECTION AND PRIVACY COMMISSIONERS CONFERE Saying what you

Plus en détail

1 Pourquoi modifier l ISO 9001?

1 Pourquoi modifier l ISO 9001? 1 Pourquoi modifier l ISO 9001? 1.1 L examen systématique de la norme ISO 9001:2000 Chaque norme internationale fait l objet d un examen systématique en vue de déterminer s il convient de la confirmer,

Plus en détail

Passer de l ISO 9001:2008 à l ISO 9001:2015

Passer de l ISO 9001:2008 à l ISO 9001:2015 ISO 9001 Guide de transition Révisions ISO Passer de l ISO 9001:2008 à l ISO 9001:2015 La nouvelle norme internationale pour les systèmes de management de la qualité ISO 9001 - Système de Management de

Plus en détail

Référentiel d'évaluation du système de contrôle interne auprès des établissements de crédit

Référentiel d'évaluation du système de contrôle interne auprès des établissements de crédit Annexe Circulaire _2009_19-1 du 8 mai 2009 Référentiel d'évaluation du système de contrôle interne auprès des établissements de crédit Champ d'application: Commissaires agréés. Réglementation de base Table

Plus en détail

Les normes de management. Présentation GEP-AFTP du 22 mai 2014

Les normes de management. Présentation GEP-AFTP du 22 mai 2014 Les normes de management Présentation GEP-AFTP du 22 mai 2014 GEP-APTP-22052014 Présentation de Didier Delécolle Expert en management par la qualité depuis 25 ans Ancien coordinateur Qualité de Total Exploration

Plus en détail

Cyber Security An Insurer Perspective. Québec, April 29, 2015

Cyber Security An Insurer Perspective. Québec, April 29, 2015 Cyber Security An Insurer Perspective Québec, April 29, 2015 About me Kevvie Fowler, GCFA Gold, CISSP Partner, Advisory Services KPMG Canada Bay Adelaide Centre 333 Bay Street Suite 4600 Toronto, ON SANS

Plus en détail

REG: Exigences réglementaires pour le développement de dispositifs médicaux. MA: REG Didier Maillefer, Déc.2009 (1)

REG: Exigences réglementaires pour le développement de dispositifs médicaux. MA: REG Didier Maillefer, Déc.2009 (1) REG: Exigences réglementaires pour le développement de dispositifs médicaux MA: REG Didier Maillefer, Déc.2009 (1) Objectifs Sensibiliser l ingénieur chef de projet aux exigences qualité liées au développement

Plus en détail

OFFRE DE SERVICES 2012

OFFRE DE SERVICES 2012 Commission de normalisation CN 39 Eco-responsabilité et développement durable par et pour le numérique OFFRE DE SERVICES 2012 Chef de projet : Olivier TEITGEN Téléphone : 01 41 62 85 64 Mail : olivier.teitgen@afnor.org

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

Passer d ISO 14001:2004 à ISO 14001:2015

Passer d ISO 14001:2004 à ISO 14001:2015 ISO 14001 Guide de transition Révisions ISO Passer d ISO 14001:2004 à ISO 14001:2015 La nouvelle norme internationale pour les systèmes de management environnemental ISO 14001 - Système de Management Environnemental

Plus en détail

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.

Plus en détail

Audit du PCA de la Supply Chain en conformité avec la norme ISO 22318 GUIDE ADENIUM BUSINESS CONTINUITY

Audit du PCA de la Supply Chain en conformité avec la norme ISO 22318 GUIDE ADENIUM BUSINESS CONTINUITY GUIDE ADENIUM BUSINESS CONTINUITY 2015 Audit du PCA de la Supply Chain en conformité avec la norme ISO 22318 Adenium SAS www.adenium.fr +33 (0)1 [Texte] 40 33 76 88 adenium@adenium.fr [Texte] Sommaire

Plus en détail

ADQ IR Implementation

ADQ IR Implementation ADQ IR Implementation DSNA experience Direction Générale de l Aviation Civile CONTENTS DSNA considerations ADQ objectives The context : a coordinated approach DSNA approach to ADQ implementation The pillars

Plus en détail

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Yphise optimise en Coût Valeur Risque l informatique d entreprise Réussir le Service Management avec ISO 20000-1 Novembre 2007 Xavier Flez yphise@yphise.com Propriété Yphise 1 Introduction (1/2) Il existe une norme internationale sur le Service Management en plus d ITIL

Plus en détail

Urbanisation des Systèmes d'information

Urbanisation des Systèmes d'information Urbanisation des Systèmes d'information Les Audits de Systèmes d Information et leurs méthodes 1 Gouvernance de Système d Information Trois standards de référence pour trois processus du Système d Information

Plus en détail

1.1. Qu est ce qu un audit?... 17

1.1. Qu est ce qu un audit?... 17 Table des matières chapitre 1 Le concept d audit 17 1.1. Qu est ce qu un audit?... 17 1.1.1. Principe général... 17 1.1.2. Historique... 19 1.1.3. Définitions des termes particuliers utilisés en audit...

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Contrôle Interne et Gouvernance IT avec Lotus Business Control and Reporting. Olivier Elluin

Contrôle Interne et Gouvernance IT avec Lotus Business Control and Reporting. Olivier Elluin Contrôle Interne et Gouvernance IT avec Lotus Business Control and Reporting Olivier Elluin Agenda Contrôle Interne et Gouvernance IT Lotus Business Control and Reporting Besoins Fonctions Générales Présentation

Plus en détail

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire NORME INTERNATIONALE ISO/CEI 27000 Troisième édition 2014-01-15 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Plus en détail

I.T.I.L. I.T.I.L. et ISO 20000 ISO 20000. La maturité? La Mêlée Numérique 10. le 8 juin 2006. Luc Van Vlasselaer http://itil.lv2.

I.T.I.L. I.T.I.L. et ISO 20000 ISO 20000. La maturité? La Mêlée Numérique 10. le 8 juin 2006. Luc Van Vlasselaer http://itil.lv2. et La maturité? La Mêlée Numérique 10 le 8 juin 2006 Plan de la p Introduction /IEC Conclusions Questions et réponses La Norme /IEC ntroduction Technologie de l'information - Gestion des services Partie

Plus en détail

Efficacité énergétique cadre normatif et évolutions à venir

Efficacité énergétique cadre normatif et évolutions à venir Efficacité énergétique cadre normatif et évolutions à venir Audits énergétiques et management de l énergie AFNOR Energies catherine.moutet@afnor.org Tél : 01 41 62 86 55 SOMMAIRE Panorama de la normalisation

Plus en détail

Conseil Économique et Social

Conseil Économique et Social NATIONS UNIES E Conseil Économique et Social Distr. GÉNÉRALE TRADE/WP.6/2000/15 2 octobre 2000 FRANÇAIS Original : ANGLAIS COMMISSION ÉCONOMIQUE POUR L'EUROPE COMITÉ POUR LE DÉVELOPPEMENT DU COMMERCE,

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris

Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris Le 17 avril 2013 Pavillon Dauphine, Paris Le présent document est l analyse d ORSYP Consulting à la demande du CESIT. Nathan SROUR Principal +33 (0) 6 09 06 76 91 Nathan.Srour@orsyp.com Damien CONVERT

Plus en détail

Discours du Ministre Tassarajen Pillay Chedumbrum. Ministre des Technologies de l'information et de la Communication (TIC) Worshop on Dot.

Discours du Ministre Tassarajen Pillay Chedumbrum. Ministre des Technologies de l'information et de la Communication (TIC) Worshop on Dot. Discours du Ministre Tassarajen Pillay Chedumbrum Ministre des Technologies de l'information et de la Communication (TIC) Worshop on Dot.Mu Date: Jeudi 12 Avril 2012 L heure: 9h15 Venue: Conference Room,

Plus en détail

Polices de Sécurité Grille

Polices de Sécurité Grille Polices de Sécurité Grille Vue d ensemble Rolf Rumler, CC-IN2P3 ACP, Paris, 2009-04-02 www.eu-egee.org EGEE and glite are registered trademarks Contenu Introduction Liste commentée des documents Grid Security

Plus en détail

ITIL V2. Historique et présentation générale

ITIL V2. Historique et présentation générale ITIL V2 Historique et présentation générale Création : novembre 2004 Mise à jour : août 2009 A propos du document Ce document de référence sur le référentiel ITIL a été réalisé en 2004 et la traduction

Plus en détail

Quels nouveaux outils pour accompagner le développement de nos professions?

Quels nouveaux outils pour accompagner le développement de nos professions? CONFÉRENCE annuelle Paris -14 novembre 2013 Quels nouveaux outils pour accompagner le développement de nos professions? Atelier F Isabelle Dreysse (ADP) Guy Maillant (EDF) Noah Gottesman (Thomson Reuters)

Plus en détail

Actualités de la normalisation au Luxembourg

Actualités de la normalisation au Luxembourg Mardi 15 avril 2014 Actualités de la normalisation au Luxembourg Retour sur l'atelier de travail "Smart ICT & Standardization" L'atelier de travail "Smart ICT & Standardization", organisé par l'ilnas et

Plus en détail

SYSTEME DE MANAGEMENT DE LA QUALITE

SYSTEME DE MANAGEMENT DE LA QUALITE FORMATION SYSTEME DE MANAGEMENT DE LA QUALITE Répertoire des modules de formations Date de mise à jour 18/04/2014 REPERTOIRE DES MODULES DE FORMATION CODINORM Agréé FDFP FORMATION SYSTEME DE MANAGEMENT

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Pour un management innovant et performant : le rôle des normes ISO et AFNOR Stéphane MATHIEU, Directeur du Réseau Régional Groupe AFNOR

Pour un management innovant et performant : le rôle des normes ISO et AFNOR Stéphane MATHIEU, Directeur du Réseau Régional Groupe AFNOR Bordeaux, le 10 février 2015 Pour un management innovant et performant : le rôle des normes ISO et AFNOR Stéphane MATHIEU, Directeur du Réseau Régional Groupe AFNOR afnor GROUPe QUI ESTAFNOR? Pour un management

Plus en détail

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations

Plus en détail

SYSTEME DE MANAGEMENT DE LA QUALITE

SYSTEME DE MANAGEMENT DE LA QUALITE FORMATION SYSTEME DE MANAGEMENT DE LA QUALITE Répertoire des modules de formations Date de mise à jour Janvier 2015 REPERTOIRE DES MODULES DE FORMATION CODINORM Agréé FDFP Page 1 sur 9 FORMATION SYSTEME

Plus en détail

Enquête publique ISO 9001 et commentaires français sur le DIS

Enquête publique ISO 9001 et commentaires français sur le DIS Enquête publique ISO 9001 et commentaires français sur le DIS par Dori Nissan Chef de projet en charge de la Commission de Normalisation AFNOR "Qualité et Management" Qu est-ce que l enquête publique et

Plus en détail

DOCUMENT DE SYNTHESE

DOCUMENT DE SYNTHESE A M E L I O R A T I O N DU S Y S T E M E DE M A N A G E M E N T Q U A L I T E E X I S T A N T ET P R E P A R A T I O N A LA C E R T I F I C A T I O N I S O 9 0 0 1 Société d accueil : Maison Parisot PFE

Plus en détail

ISO/CEI 20000-1 NORME INTERNATIONALE. Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services

ISO/CEI 20000-1 NORME INTERNATIONALE. Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services NORME INTERNATIONALE ISO/CEI 20000-1 Deuxième édition 2011-04-15 Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services Information technology Service

Plus en détail

Pourquoi les règles et comment

Pourquoi les règles et comment Pourquoi les règles et comment Conséquences sur le développement humain > http://www.sistemaambiente.net/form/fr/iso/2_consequences_sur_le_developpement_humain.pdf Les normes ISO Le système de gestion

Plus en détail

ISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

ISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences NORME INTERNATIONALE ISO/CEI 27001 Deuxième édition 2013-10-01 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences Information technology

Plus en détail

SEMINAIRE DE L IFE. Un système de management environnemental basé sur ISO 14001. Presenté par Manoj Vaghjee

SEMINAIRE DE L IFE. Un système de management environnemental basé sur ISO 14001. Presenté par Manoj Vaghjee SEMINAIRE DE L IFE Un système de management environnemental basé sur ISO 14001 Presenté par Manoj Vaghjee Qu est-ce que l Environnement? INTRODUCTION - ISO 14001 Pourquoi le management environnemental?

Plus en détail

Modèle Cobit www.ofppt.info

Modèle Cobit www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

à l évaluation de la conformité sont donc au centre d une évolution constante et considérable,

à l évaluation de la conformité sont donc au centre d une évolution constante et considérable, Normes de référence pour l évaluation de la conformité Les questions relatives à l évaluation et à l attestation de la conformité à des exigences techniques sont au centre d une évolution constante et

Plus en détail

FORMATION & CONSEIL SPÉCIALISÉ EN SANTÉ ET SÉCURITÉ AU TRAVAIL MANAGEMENT SYSTÈMES

FORMATION & CONSEIL SPÉCIALISÉ EN SANTÉ ET SÉCURITÉ AU TRAVAIL MANAGEMENT SYSTÈMES FORMATION & CONSEIL SPÉCIALISÉ EN SANTÉ ET SÉCURITÉ AU TRAVAIL MANAGEMENT SYSTÈMES FORVALYS - RCS TOULOUSE 510 274 137 - APE 7490 B - N organisme de formation : 73 31 05415 31-20 impasse Camille Langlade

Plus en détail

Le rôle de la DSI avec l audit Interne pour la maîtrise des risques

Le rôle de la DSI avec l audit Interne pour la maîtrise des risques Le rôle de la DSI avec l audit Interne pour la maîtrise des risques IT Governance Symposium du 16 Juin 2009 Henri Guiheux Responsable Governance & Securité des SI CISA, CISM, CGEIT Sommaire Enjeux ERM

Plus en détail

White Paper. «Digital Trust - Towards excellence in ICT» Jean-Philippe HUMBERT ILNAS

White Paper. «Digital Trust - Towards excellence in ICT» Jean-Philippe HUMBERT ILNAS White Paper «Digital Trust - Towards excellence in ICT» Jean-Philippe HUMBERT ILNAS 11 juin 2012 Sommaire L ILNAS et le service de la confiance numérique NormaFi-IT : projet de recherche sur le thème de

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

La notation en matière de sécurité

La notation en matière de sécurité La notation en matière de sécurité Août 2008 Le CDSE Le Club des Directeurs Sécurité d Entreprise est l association des directeurs de sécurité d entreprise et de leurs collaborateurs. Il fédère des entreprises

Plus en détail

La politique de sécurité

La politique de sécurité La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,

Plus en détail

Animation de la démarche Santé et Sécurité au Travail pour Les Crudettes SAS

Animation de la démarche Santé et Sécurité au Travail pour Les Crudettes SAS MINISTERE DE L AGRICULTURE LES CRUDETTES SAS www.lescrudettes.com MÉMOIRE DE FIN D ÉTUDES présenté pour l obtention du diplôme d ingénieur agronome spécialisation : Agro-alimentaire option : QUALI-RISQUES

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Gagner le défi de l énergie avec ISO 50001 ISO 50001. management de l énergie

Gagner le défi de l énergie avec ISO 50001 ISO 50001. management de l énergie Gagner le défi de l énergie avec ISO 50001 ISO 50001 management de l énergie L ISO en bref * En juin 2011 L ISO, Organisation internationale de normalisation, est composée de 160* membres qui sont les

Plus en détail

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques» Information Technology Services - Learning & Certification «Développement et Certification des Compétences Technologiques» www.pluralisconsulting.com 1 IT Training and Consulting Services Pluralis Consulting

Plus en détail