Logistique et chaîne d approvisionnement Les premières normes internationales sur le management de la sûreté



Documents pareils
Les travaux de normalisation dans les domaines de la gestion de crise et de la continuité des activités

AEO: CONFIANCE ET EFFICIENCE

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

ISO/CEI Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

L'opérateur Économique Agréé

Opportunités s de mutualisation ITIL et ISO 27001

Healthcare * sdv.com. Logistique. Imagination. *Santé

Introduction à l ISO/IEC 17025:2005

GUIDE OEA. Guide OEA. opérateur

Table des matières. Intro SQF BRC. Conclusion. - Introduction et historique du référentiel - Différence version 6 et 7

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

L Assurance Qualité DOSSIER L ASSURANCE QUALITE

SÉCURITÉ SOCIÉTALE : LES PREMIÈRES NORMES DE CONTINUITÉ D ACTIVITÉ ET L ISO CONCEPTS, CONVERGENCES ET DIVERGENCES

Plan d action de l ISO pour les pays en développement

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

FLEGT Note d Information

THEORIE ET CAS PRATIQUES

Groupe AFNOR au service de votre performance

MANAGEMENT PAR LA QUALITE ET TIC

ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC

MANAGEMENT PAR LA QUALITE ET TIC

Organisme luxembourgeois de normalisation (OLN)

Les normes de certification des archives numériques En préparation. C. Huc. La Pérennisation des Informations numériques

CHARTE R.S.E. Responsabilité Sociétale d'entreprise

Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement.

Food Safety System Certification fssc 22000

D ITIL à D ISO 20000, une démarche complémentaire

C.E.S.I.T Comités des EXPLOITANTS DE SALLES INFORMATIQUES et TELECOM I T I L PRESENTATION DU REFERENTIEL

Les outils classiques de diagnostic stratégique

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

ITIL : Premiers Contacts

Contrat d application pour l amélioration de la compétitivité logistique IMPORT-EXPORT

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

SMSI et normes ISO 27001

TABLE DE MATIERES. Pourquoi les Organisations doivent-elles être accréditées?...

SBM Offshore OIL & GAS* sdv.com. Logistique. Imagination. *Pétrole et Gaz

DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L'ANALYSE D'IMPACT. Accompagnant le document

isrs 7 Améliorer la performance Sécurité, Environnement et Opérationnelle

Transport, logistique, Supply Chain * sdv.com. *Chaîne logistique

ISO Comment procéder. pour les PME. Recommandations de l ISO/TC 176

Démarches de réduction des risques technologiques lors de la conception des terminaux GNL

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

PORTNET Guichet Unique Marocain du Commerce Extérieur

Document complémentaire au PPN du DUT Gestion logistique et transport

I-Checkit est l outil dont les services chargés de l application de la loi ont besoin au 21 ème siècle pour mettre au jour et neutraliser les réseaux

UNE LOGISTIQUE FIABLE POUR LE SECTEUR DE L ENERGIE ÉOLIENNE. Continuer

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

INTERNATIONAL TRIBUNAL FOR THE LAW OF THE SEA TRIBUNAL INTERNATIONAL DU DROIT DE LA MER Communiqué de Presse (Publié par le Greffe)

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Vérification des contrats et processus propres au Service du parc automobile. Déposé devant le Comité de la vérification le 12 mars 2015

L AUDIT DE L ETHIQUE DES AFFAIRES,

Management de la sécurité: le problème de la prise en compte du risque dans les normes de management

OPERATEUR ECONOMIQUE AGREE (OEA)

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

la voie bilatérale reste la meilleure option

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

ISO/CEI 27001:2005 ISMS -Information Security Management System

ÉLECTION PRÉSIDENTIELLE 25 AVRIL Pour l unité, pour le progrès, pour le Togo, je vote

Optimisez le potentiel de votre entreprise grâce à des certifications internationalement reconnues. Les Experts en Certification des Professionnels

ITIL v3. La clé d une gestion réussie des services informatiques

Commentaire concernant l ordonnance sur les certifications en matière de protection des données

politique de la France en matière de cybersécurité

ISO/CEI Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

CONCLUSION. 31 mars 2015 Laurène Chochois Helpdesk REACH&CLP Luxembourg

Sécurité Sanitaire des Aliments. Saint-Pierre, le 19 novembre Olivier BOUTOU. Les outils de la qualité sanitaire dans les pays du sud

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

Ce document est la propriété de la MAP. Il ne peut être utilisé, reproduit ou communiqué sans son autorisation. MECANIQUE AERONAUTIQUE PYRENEENNE

I.T.I.L. I.T.I.L. et ISO ISO La maturité? La Mêlée Numérique 10. le 8 juin Luc Van Vlasselaer

Food. Notes de Doctrine IFS, Version 2

Démarche de traçabilité globale

TROISIEME REUNION DU FORUM SUR L ADMINISTRATION FISCALE DE L OCDE

Yphise optimise en Coût Valeur Risque l informatique d entreprise

LA QUALITE, L ASSURANCE DE LA QUALITE ET LA CERTIFICATION ISO 9001

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

CONDUIRE UNE VOITURE EN ALBERTA

LA VALEUR AJOUTEÉ DE LA TIERCE PARTIE EN INSPECTION ET CERTIFICATION

Gestion des Incidents SSI

La politique de sécurité

When Recognition Matters

JEAN-LUC VIRUÉGA. Traçabilité. Outils, méthodes et pratiques. Éditions d Organisation, 2005 ISBN :

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Achats de prestations logistiques : les bonnes pratiques

L Audit selon la norme ISO27001

Partenaires en protection Aller de l avant

Démarches de sécurité & certification : atouts, limitations et avenir

DEVENIR ANIMATEUR CERTIFIE DE LA DEMARCHE LEAN

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

TROIS ASPECTS DE LA COMPARAISON ALLEMAGNE-FRANCE SUR L ELECTRICITE

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

exemple d examen ITMP.FR

La sécurité & sûreté maritime en Tunisie. Ministère du transport Direction Générale de la Marine Marchande

Excellence. Technicité. Sagesse

ISO la norme de la sécurité de l'information

Club toulousain

Transcription:

Picard:Mise en page 1 26/03/08 10:32 Page 73 Logistique et chaîne d approvisionnement Les premières normes internationales sur le management de la sûreté CORBIS Les années 2006 et 2007 viennent de voir l apparition des premières normes de management de la sûreté. Il s agit en l occurrence de la série de normes ISO 28000 relatives à la logistique et à la chaîne d approvisionnement. Les ISO 28000 démontrent une fois de plus la volonté internationale, sous l impulsion des Japonais, Suédois et Américains notamment, de porter sur la scène mondiale des standards de management de la sûreté. De ce fait, les politiques de sécurité/sûreté risquent d être touchées à l instar de la réglementation financière sous influence des standards financiers internationaux. Ces normes sont les premières issues du vaste programme international Homeland Security Standard Program. Cet article se propose donc de les présenter ainsi que les enjeux associés. Logistics and Supply Chain: The First International Norms in the Management of Safety The years 2006 and 2007 saw the emergence of the first safety management norms: a series of ISO 28000 norms relative to logistics and the supply chain. The ISO 28000 norms demonstrate once again the international desire, most notably under the impetus of the Japanese, Swedes and Americans, to raise to the international level standards of safety management. However, the security/safety policies risk running into the financial regulation imposed by international financial standards. These standards come out of the vast international program of the Homeland Security Standards program. This article presents an analysis of what is at stake. Jean-Marc Picard Enseignant chercheur à l université de technologie de Compiègne (UTC), a été dix-huit ans dans l industrie dont dix comme directeur marketing, qualité et sécurité d un grand groupe d ingénierie. Il a été vice-président de l association nationale des auditeurs IHESI/INHES, conseiller de défense auprès du ministre de l Intérieur ; vice-président du groupe d impulsion stratégique sur la sécurité et la protection du citoyen à Afnor. Président du forum sur la sécurité à Afnor. Il est aujourd hui président de la Commission de normalisation sur la sécurité sociétale. Ancien vice-président de l Institut pour la maîtrise des risques et la sûreté de fonctionnement (IMDR SDF) il est expert auprès de nombreuses industries et institutions comme le CNES. 73

Picard:Mise en page 1 26/03/08 10:32 Page 74 Cahiers de la sécurité n 4 avril-juin 2008 Nous avions exposé, dans un précédent numéro des Cahiers de la sécurité, les enjeux de la normalisation de la sécurité 1. Dans ce contexte, l ISO, principale organisation internationale de normalisation, vient de produire un ensemble de normes relatives à la sûreté dans la logistique et la chaîne d approvisionnement internationale. La mise en œuvre de ces normes n est ni plus ni moins que le début d une certaine remise en cause potentielle du droit des nations et de leurs prérogatives régaliennes au profit de règles internationales, rendues indispensables pour traiter de problèmes à l échelle mondiale. Cette situation n est pas sans rappeler le monde de la finance où les normes internationales 2 ont guidé les réglementations nationales et non l inverse. Ces nouvelles normes techniques s inscrivent donc dans le cadre du vaste programme international de normalisation de la sécurité qui a vu aussi la production de normes sur la résilience et la continuité d activité. 3 L objet de ces normes La série ISO 28 000 propose d emblée un ensemble de définitions dont celle de la sécurité 4 que l on traduira, pour la circonstance, par le terme français de sûreté. 5 C est en tout cas la traduction adoptée par l ISO. Elle traite donc du management de la sûreté de la chaîne d approvisionnement, c est-à-dire de la sécurisation de l ensemble des activités logistiques, depuis la production à la source jusqu à l utilisateur. Sont concernés l ensemble des acteurs (transporteurs, intermédiaires, producteurs, distributeurs, pouvoirs publics, etc.) et toutes les modalités de transports (air, fer, mer, terre). L objectif est de permettre aux entreprises d exiger de leurs partenaires (transporteurs, distributeurs, etc.) qu ils se conforment tant aux exigences gouvernementales qu aux principes et exigences énoncés notamment dans l ISO 28 000. Ces normes sont essentiellement parues en 2006 et 2007. Les menaces visées Ces normes, selon l ISO, ont pour but de permettre «un meilleur suivi des flux de marchandises, lutter contre la contrebande et les menaces d actes de piraterie et d attentats terroristes et pour établir un régime sûr et sécurisé dans la chaîne d approvisionnement internationale» 6 Mais ces normes reflètent une nouvelle hiérarchie dans la prise en compte des menaces. Ainsi passe-t-on d une stratégie de protection des ressources ou des centres de production à une stratégie de protection des canaux de distribution. Le commerce prend ainsi, en quelque sorte, le pas sur la production. Dans la culture du droit des commerçants, comme est souvent qualifiée la Common Law, la sécurité du commerce est donc considérée comme une priorité. Premier type de menace, les actes de piraterie, y compris «en col blanc», présentés comme une atteinte stratégique à l économie mondiale. Second type de menace, l utilisation de l infrastructure de la Suplly Chain à des fins illicites. C est le cas du détournement de procédures aux frontières par les terroristes ou les trafiquants de drogues. L immi - gration incontrôlée ou le trafic de personnes en font notamment partie. Toutes ces agressions concourent au développement d économies parallèles 7, dont le développement de la fraude en matière de contrefaçon, troisième type de menace qui ne peut s exprimer que par une maîtrise illicite de la supply chain. Selon les protagonistes de ces nouvelles normes, les mesures engagées, tant par les gouvernements que par les industriels, sont davantage incomprises qu inefficaces. Ce constat constituerait, selon nous, une quatrième menace. Notre expérience nous a montré que l inflation de dispositions réglementaires, souvent obsolètes, conduit aussi à fragiliser les systèmes procurant une fausse sécurité et favorisant la fraude. 8 La solution normative proposée Elle s articule à ce jour autour de quatre groupes normatifs (cf. tableau 1). (1) «Homeland Security : la normalisation face au droit», 2008, Cahiers de la sécurité, n 3, janvier. (2) Précisons que l appellation familière «normes», appliquée aux standards internationaux en matière comptable, évoque des standards parfois repris sous forme de normes juridiques et non de normes techniques, telles qu elles sont définies par l OMC. (3) C est le cas de la norme ISO 22399 «Guidelines for incident preparedness ans operational continuity management». Nous reviendrons dans un prochain numéro sur ces nouveaux standards et normes techniques. (4) «resistance to intentional acts designed to cause harm or damage to or by the supply chain» selon ISO 28 001, 3.20. Dans le contexte de cet article, nous considérons la sécurité comme un état ou une aptitude à la résistance, procurée par la mise en œuvre de dispositions de sûreté. (5) Le lecteur nous épargnera l interminable débat sur le distinguo entre sûreté, sécurité et le terme anglais safety qui génère à chaque fois de fatigantes discussions de terminologie. Dans le monde ISO 28000 la «security» est la traduction du français «sûreté» dans le domaine policier (et non de l ingénieur, qui renvoie à la SDF : sûreté de fonctionnement) ; voir aussi la note précédente. (6) ISO Management Systems Janvier-février 2006. (7) Certaines sources avancent des chiffres de 20 à 40 % pour la part de PIB généré par une économie illicite dans un grand nombre de pays. (8) Les systèmes lourds, normatifs ou réglementaires, sans apporter réellement une efficacité sur le plan de la sécurité, conduisent bien souvent à une implosion des systèmes de contrôle. 74

Picard:Mise en page 1 26/03/08 10:32 Page 75 Logistique et chaîne d approvisionnement : les premières normes internationales sur le management de la sûreté Tableau 1 Les normes ISO 28000 L ISO 28000 L ISO 28000 9, spécifie les exigences d un système de management et d assurance de la sûreté et de la sécurité de la chaîne d approvisionnement. Cette norme reprend la structure de la norme ISO 14001, relative aux systèmes de management environnementaux. On y retrouve une extension du concept de la roue de Deming ou «PDCA» pour Plan, Do, Check, Action qu on appelle communément la boucle de la qualité, fondée sur le principe de l amélioration continue. À l instar des ISO 9000 et 14000, le système de management part d une politique fixant Tableau 2 Les principales dispositions de l ISO 28000. des objectifs mesurables issus d une analyse et d une évaluation permanente des risques en matière de sûreté, conduisant à la mise en place d actions opérationnelles, planifiées et systématiques. Ces actions font l objet d un contrôle de premier niveau, puis de second niveau (évaluations) à travers revues et audits. Sur le plan technique, reprenant les concepts du management environnemental à travers les notions d objectifs de sûreté et de cible de sûreté, cette norme évoque peu la notion d impact de sûreté à l inverse des normes environne - mentales, qui insistent sur la notion d impact environ - nemental. 10 11 (9) ISO 28000 : Specification for security management systems for the supply chain (Spécifications pour les systèmes de management de la sûreté pour la chaîne d'approvisionnement). (10) Rappelons que les normes environnementales de la série ISO 14000 sont mise en œuvre dans la quasi-totalité des sites industriels, y compris les installations classées type «Seveso», qui doivent être dotées d un système de gestion de la sécurité. (11) Dans le monde normatif, le terme enregistrement signifie preuve de conformité. 75

Picard:Mise en page 1 26/03/08 10:32 Page 76 Cahiers de la sécurité n 4 avril-juin 2008 Tableau 3 Des aspects délicats à mettre en œuvre. Si le concept de contrôle, et spécifiquement de monitoring du process de sûreté, est largement développé, les concepts de maîtrise et surtout d assurance «sûreté» y sont peu développés. De même, les notions de non-conformité, d actions préventives et correctives sont bien moins développées que dans les normes de management du risque. 12 De nouveaux concepts S il est facile de dire ce que l on attend d un produit 13, il est bien difficile de dire ce que l on attend d un système de management de la sûreté car en plus de nous préserver (Safety), il doit parer aux menaces. Or c est une gageure que de pouvoir toutes les identifier et les quantifier. La norme développe donc d une part le concept de menace, threats, tous les chapitres y font référence, et d autre part le concept de failure ou échecs/erreurs notamment dans son 4.5.3. Alors que les normes de management insistent sur le trio «non-conformité, action corrective et action préventive», l ISO 28 000 élabore un trio complémentaire : «traitement des menaces, actions réactives et actions proactives». Une grande sensibilité au contexte social et politique Les normes anglo-saxonnes privilégient souvent, en matière de risque, l élimination des causes de risques (actions correctives et préventives) sur la suppression des effets (traitement des non-conformités). Mais en matière de sûreté, le traitement des causes potentielles (agressions en tout genre : piraterie, délinquance, terrorisme) est inaccessible le plus souvent à l organisme concerné. Il est sujet de plus à un contexte très variable d un pays à l autre, d une situation à l autre. En d autres termes, une chaîne de transport routier en Colombie n est pas sécurisée de la même manière en Suisse. La difficulté que nous venons d évoquer sur l identification des menaces posera un problème aux auditeurs dès lors que l entreprise voudra se faire certifier sur la base de cette norme. Comment obtenir un niveau de sécurité égal dans une même activité économique exercée dans des contextes juridiques, politiques et sociaux radicalement différents? La sécurité d une chaîne suppose que l ensemble des maillons soit sécurisé. C est un point fort d une autre norme : l ISO 28 001. Dès lors, on peut imaginer la production de systèmes d information de gestion globale de la sécurité intermodale. 14 Si les auteurs de ces normes ont cette arrière-pensée, la sécurité peut devenir un bon prétexte à une forme de contrôle de la supply chain qui dans des marchés dérégularisés et mondiaux devient «op-ables» en quelque sorte. L ISO 28001 La seconde norme, l ISO 28001 15 (cf. tableau 4) est également certifiable et fournit un certain nombre de pratiques concrètes complémentairement à la mise en Tableau 4 Les principales exigences de l ISO 28001 (12) Ou management qualité de type ISO 9000 et 9001 ou de management environnemental de type ISO 14000 et 14001. (13) Ce qui permettra de le déclarer conforme ou non : non conformité (14) L armement aux USA a connu des projets qui peuvent y faire penser pour l acquisition et la fourniture d armement, ce fut le cas du projet CALS : Computer-aided Acquisition and Logistics Support (15) ISO 28001: Security management systems for the supply chain Best practices for implementing supply chain security, assessments and plans Requirements and guidance Systèmes de management de la sûreté pour la chaîne d'approvisionnement Meilleures pratiques pour la mise en application de la sûreté de la chaîne d'approvisionnement, évaluations et plans Exigences et guidage. 76

Picard:Mise en page 1 26/03/08 10:32 Page 77 Logistique et chaîne d approvisionnement : les premières normes internationales sur le management de la sûreté Tableau 5 Les points remarquables des annexes de l ISO 28001 16 17 œuvre de l ISO 28000. Si l ISO 28000 traite du management en général, l ISO 28001 aborde des aspects très précis de la supply chain qui suscitent des réponses ciblées et concrètes, notamment pour les petites entreprises, alors que l ISO 28000 appelle la mise en œuvre d un système global de management, plus propice aux entreprises de taille conséquente. Outre les concepts de flux amont et aval, de sécurité des actifs, déjà évoqués dans l ISO 28000, les annexes de l ISO 28001 présentent principalement le développement du concept très offensif de contre-mesures et de fait constituent la vraie valeur ajoutée de cette norme pour l entreprise, (annexes qui ne sont pas en principe certifiables ), (cf. tableau 5). Autres référentiels Une troisième norme, en réalité la première chronologiquement, traite de la sécurité des installations portuaires. Il s agit de l ISO 20858 de 2004, 18 qui est plus ou moins rattachée à l ISO 28000. L ISO 28004 19 est la quatrième norme, dédiée à l aide à la mise en œuvre de l ISO 28 000. La présentation de cette norme, quoique passionnante, n apporte cependant pas d enjeux nouveaux. L ISO 28003 et la certification en matière de sûreté Enfin, bien qu il existât une norme d audit pour l évaluation des systèmes ISO 9000 et ISO 14000, le domaine sensible de la sécurité exigeant un fort niveau de confidentialité et d indépendance des auditeurs, il convenait de disposer d une norme spécifique pour l audit de sûreté. C est l objet de l ISO 28003. 20 Cette norme traite non seulement des audits mais aussi des exigences incombant aux organismes certificateurs. Ces derniers sont soumis à l obligation d être conformes à diverses normes dont l ISO 17021, relative à la certification de système de management (qualité, environnement, hygiène et sécurité au travail, 21 etc.). L ISO 28003 reprend en fait la norme ISO 17021 en y rajoutant des exigences. 22 Cette norme traite donc de demandes générales classiques, relatives aux organismes certificateurs (impartialité, indépendance des auditeurs, sélection des auditeurs, traitement des réclamations, etc.) et d exigences particulières en matière de sûreté. Concernant celles relatives à l évaluation et à la certification de système de management de la sûreté, la norme aborde des points sensibles dont : La confidentialité de l information, 4.6 ; le management de l impartialité, 5.2 ; la fiabilité des auditeurs et experts, 7.4 ; la confidentialité des informations, 8.5, et surtout 8.5.2. Des sujets très sensibles Deux sujets sont particulièrement très sensibles : la sélection et le management des auditeurs y compris les enquêtes à caractère personnel ; la détention d informations extrêmement sensibles. (16) «Performance review list» (17) «Methodology for security risk assessment and development of countermeasures». (18) ISO 20858, Navires et technologie maritime Évaluation de la sécurité des installations portuaires maritimes et réalisation de plans de sécurité, publiée en juin 2004, destinée à aider à la mise en œuvre du Code international pour la sécurité des navires et des installations portuaires (Code ISPS). (19) Systèmes de management de la sûreté pour la chaîne d'approvisionnement - Lignes directrices pour la mise en application de l'iso 28000. (20) ISO 28003: Security management systems for the supply chain Requirements for bodies providing audit and certification of supply chain security management systems. (21) Ce cas est un peu particulier. Compte tenu d un encadrement réglementaire important, la certification de système de management en hygiène et sécurité au travail fait l objet de dispositions différentes d un pays à l autre. (22) Il eut été préférable de compléter, le cas échant, la 17021 ou de ne rajouter que ce qui est nécessaire, la multiplication des normes complique le système normatif comme la superposition des textes réglementaires. 77

Picard:Mise en page 1 26/03/08 10:32 Page 78 Cahiers de la sécurité n 4 avril-juin 2008 La sélection des auditeurs et la constitution de dossiers personnels, appuyées par des enquêtes, entretiens, constitutions de dossiers personnels très approfondis, copies et vérifications d identité peuvent conduire à des pratiques contraires au droit français, notamment sur l exercice d activités d enquêtes, voire relevant de prérogatives de police. Le niveau d enquête à caractère personnel, demandé par la norme sur les auditeurs, produira des résultats extrêmement variables d un pays à l autre. Les notions de casier judiciaire par exemple ne sont pas les mêmes partout, l accès à ces informations est de plus très dif férent d un pays à l autre. Vers la création de nouveaux réseaux privés de renseignement Toute certification repose sur des audits et inspections. L activité de certification conduit les organismes certificateurs à être dépositaires d informations extrêmement sensibles. Ils connaîtront tout ou presque des scénarios de sécurité adoptés par une grande compagnie, des mesures de sûreté, des menaces prises en compte, des contremesures, etc. La certification, en matière de sûreté, peut conduire ainsi à la création d agences de sécurité privées qui devraient être elles-mêmes «super ISO 28000». C est ce que préconise d une certaine manière l ISO 28003. Cette norme pose donc une nouvelle fois le problème de la fiabilité de ces «tiers de confiance» et il est loin d être résolu. Les acteurs Avant de passer à une revue des principaux enjeux de ces normes, il semble important de rappeler qui sont les principaux instigateurs. L ensemble de ces normes est produit à l ISO dans le cadre direct du comité technique TC8 : navires et technologie maritime, à l exception de l ISO 28001, qui dépend d un sous-comité relatif au transport intermodal à courte distance. Cette série de normes, en cours de développement, est le fruit d un travail commun à quatorze pays et à plusieurs organisations internationales, dont l Organisation maritime internationale, l Association internationale des ports, la Chambre internationale de la marine marchande, l Organisation mondiale des douanes, le Conseil maritime baltique et international (BIMCO), l Association internationale des sociétés de classification, l International Innovative Trade Network, le World shipping Council et le Strategic Council on security technology, qui a conclu un Protocole d accord avec l ISO/TC 8, ainsi que la US-Israël Science and Technology Foundation. L américain Charles Piersall, capitaine de la marine marchande, préside le TC8 jusqu en 2009. Il a reçu de nombreux prix pour son implication dans la normalisation. Nancy Williams a été le chef de projet du groupe de travail qui a produit l ISO/PAS 28000. Représentante du réseau ITN (International Innovative Trade Network), elle est viceprésidente de Cotecna, entreprise active dans un large éventail d activités dans la chaîne d approvisionnement, notamment en matière de sécurité. Cotecna est membre actif de l initiative américaine Operation Safe Commerce. Enfin, le secrétariat du TC8 tenu à la sortie des normes ISO 28000 par le Comité japonais des normes industrielles (JISC), est détenu aujourd hui par la Chine et l Allemagne. Les enjeux Le développement de système de management de la sûreté répond à une demande sociétale. Beaucoup d entreprises ont déjà développé leur propre système et l arrivée de normes sur le sujet est évidemment bienvenue. Cependant la certification de ces systèmes, outre les innombrables problèmes de droit évoqués, relance le débat sur le partage public-privé des responsabilités en matière de sécurité, surtout quand il s agit d organismes internationaux. La venue des normes de la série ISO 28000 conforte un postulat porté par les ISO 14001 et 14004, à savoir, la sécurité comme le risque environ - nemental pourraient et devraient être gérés dans le cadre d un système de management global, reprenant les principes du management de la qualité. Le modèle induit par l ISO 28000 consacre la notion de système de management de la sécurité. Mais ce modèle pose un problème déjà rencontré par la normalisation en matière d hygiène et de sécurité au travail, à savoir l incidence du contexte réglementaire sur le système de management, qui façonnera de manière très différente chaque système. En d autres termes, comment comparer un système de management et de sécurité au travail en Chine et en Suisse? La question se pose également, comme nous l avons souligné au début, pour la sécurité en logistique. Le problème de la confidentialité nationale des informations reste posé, de la même façon, celui de l audit n est pas résolu, ni à ce sujet ni en matière de responsabilité. Ainsi en droit français, un auditeur découvrant un fait pénalement répréhensible doit en avertir au moins les autorités légitimes et compétentes. Que se passera-t-il lorsqu une situation dans une entreprise est licite dans un pays et illicite dans un autre? Comment réagira l auditeur? La prise en compte des 78

Picard:Mise en page 1 26/03/08 10:32 Page 79 Logistique et chaîne d approvisionnement : les premières normes internationales sur le management de la sûreté exigences réglementaires induit de facto un audit juridique. Certains s y opposent, arguant qu un système de management doit prouver qu il traite les exigences juridiques en termes de moyens et non en termes de résultats. En matière de sécurité, cet argument n est pas acceptable. Il reviendrait à éliminer la base juridique de la sécurité. Le contrôle de ces organismes devra passer explicitement par les États et faire l objet de conventions internationales existant 23 déjà dans des domaines précis. En effet, aujourd hui il existe des principes de reconnaissance mutuelle des organismes de certification par le biais d accords internationaux relevant de l accréditation. Mais ces accords mettant en œuvre principalement des ONG ne sont pas des traités au sens juridique du terme. De ce fait une entreprise colombienne certifiée ISO 9001 par un certificateur suisse peut être reconnue aux États-Unis pour son système qualité. Un tel schéma est-il imaginable pour un système de management de la sécurité? La situation du certificateur lui conférera, dans certains cas, un droit de regard plus poussé qu un douanier à l exemple d un OPJ. Le statut de l information collectée, la valeur juridique des certificats sont autant de sujets forts complexes qui n ont pas été traités parfaitement à l instar de la relation entre les exigences réglementaires et normatives. Nous retrouvons ici toute la problématique des exigences opérationnelles de sécurité qui s évertuaient à conjuguer exigences réglementaires de sécurité et autres exigences normatives. 24 L autre aspect de fond est le développement de normes en matière de sécurité, qui doit être assuré par un ensemble parfaitement représentatif des autorités nationales, régionales et internationales. Or la mobilisation des autorités est longue, y compris dans notre pays. La relation réglementation/normalisation n étant pas identique dans tous les pays ; les réglementations ellesmêmes étant différentes ; le sens de la normalisation s en trouve considérablement affaiblit. Comment parler de standards quand les effets produits diffèrent d un pays à l autre? Si les normes ne peuvent pas tout résoudre, la réglementation seule ne le peut pas non plus. D une part, elle est généralement nationale, voire régionale (dans l UE, c est problématique), d autre part, les États ne sont plus libres de leur réglementation technique. En effet, suivant les accords de l OMC et autres dispositions européennes, toute réglementation technique doit s appuyer sur les normes internationales. De ce fait, l outil normatif doit être intégré par les politiques et les institutions, ce qui n est pas encore le cas. Si comme nous l avons souligné le point fort de ces normes est de consacrer le management de la sécurité suivant des principes «qualité» ou «ISO 9001», il convient de développer aussi comme les Hollandais l ont demandé récemment, des standards ou des normes adaptées aux innombrables micro-entreprises évoluant dans ce secteur. La série des normes ISO 28000 augure une prise en main de la sécurité de manière partagée comme jadis la loi 95-73 du 21 janvier 1995 25 avait posé un certain nombre de principes sur la gestion du partage des responsabilités public privé en matière de sécurité. La venue des normes de management de sûreté est une évolution sociétale inévitable, espérons aussi que les assureurs sauront aussi s impliquer sur ce sujet et en tirer parti dans leur évaluation du risque, faute de quoi les résultats de ce travail ne seront pas à juste titre valorisés. Gageons aussi que l État s impliquera constructivement de plus en plus dans la normalisation qui doit aussi être un outil de l expression du partage maîtrisé de ses prérogatives régaliennes. (23) En matière de douane notamment. (24) Nous reviendrons sur ce concept d exigences opérationnelles de sécurité que nous avons développé dans le cadre d un groupe de travail Afnor, à l occasion de l examen de la relation réglementation/normalisation au regard du marché unique dans l Union européenne. (25) Cette loi a fait l objet de nombreux commentaires, elle a été revue plusieurs fois, notamment en 2001, 2003, 2005, 2006 et par une ordonnance de 2007. Elle reprécise le rôle et la mission de l État et des forces de police en matière de sécurité. Traitant des prérogatives régaliennes de l État, la sécurité des personnes et des biens, cette loi cadre les fonctions de police, tente de définir ce que pourrait être un «partage» de la sécurité entre État, collectivité locales et sociétés privées. Elle est à la base des contrats locaux de sécurité. Elle postule clairement que la sécurité est l affaire de tous. 79

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back