Journée découverte Midi-Pyrénées Innovation Toulouse, le 23 octobre 2008 «Sécurité économique» Normalisation, certification : facteurs de réussite pour la gestion des risques Groupe AFNOR Délégation Midi-Pyrénées Nathalie MARAVAL Patrice GARCIA
2
Les métiers du Groupe AFNOR Élaboration de normes Vente de normes & d ouvrages Formation Évaluation & Certification Européennes (CEN) Internationales (ISO) Adhésion AFNOR Relations Internationales Information & veille Sectoriels Métiers Boutique AFNOR QHSE Services Produits Métrologie Audit Management QHSE Services Produits Compétences Labels 27 500 experts 124 000 références 10 000 stagiaires/an 65 000 sites certifiés 3
Le Groupe AFNOR en région Accueillir Orienter Échanger Anticiper Nathalie MARAVAL Assistante de la Délégation Tél : 05 61 39 76 71 Mail : nathalie.maraval@afnor.org Patrice GARCIA Délégué régional Tél : 05 61 39 76 70 Mail : patrice.garcia@afnor.org Participer 4 Mobiliser Construire Délégation Délégation régionale régionale Groupe Groupe AFNOR AFNOR Midi-Pyrénées Midi-Pyrénées Tél Tél : : 05 05 61 61 39 39 76 76 76 76 delegation.toulouse@afnor.org delegation.toulouse@afnor.org Portail Groupe AFNOR www.afnor.org
20 novembre 2008 à Toulouse Seront remis à chaque participant : l'ouvrage "Gestion du risque dans un système de management - Retours d'expériences et bonnes pratiques" en avant-première (à paraître aux Editions AFNOR en mars 2009) les supports des intervenants les projets des normes ISO 9001 v 2008, ISO 9004, v 2009, ISO 31000 et ISO 26000 5
6
Normalisation, certification : facteurs de réussite pour la gestion des risques 7
Sécurité économique : Quels outils? Systèmes de Management : «comment exploiter les systèmes de management pour gérer les risques?» Normalisation : «comment utiliser ce dispositif d'implication et d'anticipation?» 8
Normalisation : c est quoi? Document, établi par consensus et approuvé par un organisme reconnu, qui fournit, pour des usages communs et répétés, des lignes directrices ou des caractéristiques, pour des activités ou leurs résultats, garantissant un niveau d ordre optimal, dans un contexte donné (Guide ISO/CEI 2) Outil de référence d application volontaire «Concentré de solutions» Harmonisation (et non uniformisation) de bonnes pratiques innovantes et exemplaires issu d un processus collectif et participatif animé avec des parties intéressées Consensus national européen international 9
Normalisation : quels enjeux pour les acteurs économiques? Benchmarking Information en amont Veille S impliquer dans les travaux normatifs c est : Avantage concurrentiel Lobbying Protection de l innovation En bref : c est être compétitif, avoir de meilleures armes pour conquérir des marchés, mieux connaître les marchés et leurs tendances 10
Normalisation : quels enjeux pour les acteurs économiques? Information en amont : Capacité à réagir Anticiper face à aux changements préconisés dans la norme Meilleure compréhension du référentiel 11
Normalisation : quels enjeux pour les acteurs économiques? Veille : Surveiller l évolution du référentiel en temps réel Partager les informations avec les autres participants Amener des pistes de réflexions 12
Normalisation : quels enjeux pour les acteurs économiques? Benchmarking : Connaissance de ses concurrents Connaissance des acteurs-experts du domaine Elargissement de son réseau Partage des bonnes pratiques 13
Normalisation : quels enjeux pour les acteurs économiques? Protection de l innovation : Complément d une protection par brevet Augmenter le nombre d utilisateurs Augmenter ses revenus avec le montant des licences accordées Acquérir de la notoriété Durée illimitée (brevet = 20ans) Internationaliser son innovation 14
Normalisation : quels enjeux pour les acteurs économiques? Lobbying : Influencer pour imposer sa technologie 15
Normalisation : quels enjeux pour les acteurs économiques? Avantage concurrentiel : Orienter le marché vers sa technologie Augmenter ses ventes Validation consensuelle du référentiel 16
Témoignage : Société LANCER Spécialisée dans la fabrication de laveurs - désinfecteurs à usage industriel créée en 1970 Motivation pour participer à la commission de normalisation : - absence de référentiel Bénéfices : - avancée technologique vis-à-vis de ses concurrents - lobbying : Promotion de sa technologie - veille technologique - cadre clair et reconnu pour promouvoir ses produits 17
Témoignage : Société LANCER Important de participer : Conseils :! information du contenu de la norme et de son élaboration! meilleure compréhension du document! Défense de son point de vue 18
Conclusion Qui fait la norme détient le marché! 19
Système de management & Sécurité économique 20
Une définition La sécurité économique peut se définir comme l ensemble des moyens passifs et actifs pour assurer la sauvegarde du patrimoine informationnel de l entreprise ainsi que ses activités. 21
Quelles approches? Approche active - adopter une démarche structurée de la sécurité de l information afin d assurer le bon niveau de sécurité, au bon moment, sur les bonnes informations et au bon coût Système de management Passer d une approche réactive à une approche proactive Approche passive - ne rien faire (ou se contenter de mettre un anti-virus par ci et un par feu par là) - croiser les doigts et espérer qu il n y aura pas d impacts sur les activités et les affaires 22
Comment développer un système de management pour la sécurité de l information? en utilisant des principes reconnues au plan international qui ont fait leurs preuves! Le principe d amélioration continue : le PDCA (roue de deming) : ISO 27001 23
Etablir un système de management pour la sécurité de l information Etablissement du SM SSI définir le domaine d application, définir la politique de sécurité de l information, définir l approche à utiliser pour l analyse de risque (critères d acceptation/niveaux de risque acceptable), identifier les risques actifs menaces vulnérabilités impacts 24
Etablir un système de management pour la sécurité de l information Etablissement du SM SSI analyser et évaluer les risques, impact probabilité évaluation acceptabilité? identifier les actions à mettre en oeuvre, sélectionner les objectifs associés aux actions 25
Etablir un système de management pour la sécurité de l information Mise en oeuvre du SM SSI formuler un programme d action (sans oublier les ressources) affecter les rôles et responsabilités mettre en œuvre le programme et procédures associées définir la méthode d évaluation de l efficacité des actions former et sensibiliser le personnel 26
Etablir un système de management pour la sécurité de l information Surveillance & réexamen du SM SSI mettre en œuvre des actions de surveillance, évaluer régulièrement l efficacité du système de management et des mesures de sécurité mis en œuvre, réexaminer l appréciation des risques selon l évolution du contexte de l entreprise, revue du système de management et identifier les améliorations à apporter 27
Etablir un système de management pour la sécurité de l information Mise à jour & amélioration du SM SSI résultante des actions de surveillance : audits, mesures de surveillance, revue de direction, Mettre en place des actions correctives et préventives, Communiquer les actions aux parties prenantes. 28
Les facteurs de réussite Engagement de la Direction Ressources et personnels dédiés Bonne compréhension des processus de gestion des risques Communications fréquentes Evaluation du coût de l insécurité Sensibilisation des gestionnaires et des employés Catégorisation des actifs (connaître ce que l on possède) 29 Utilisation des infrastructures de gestion déjà en place (ISO 9001, ISO 14001, )
Vers une approche globale La sécurité économique peut se définir comme l ensemble des moyens passifs et actifs pour assurer la sauvegarde du patrimoine informationnel de l entreprise ainsi que ses activités. «sauvegarde des activités» : Par une maîtrise des process pour assurer la conformité des produits/attentes clients (ISO 9001), Par une maîtrise des risques vis à vis des parties prenantes : Collectivités (ISO 14001) Employés (S&ST : OHSAS 18001/ILO-OSH 2001) 30
En conclusion La sécurité économique doit être mise en œuvre de façon cohérente et intégrée avec les autres politiques au sein d un organisme. Elles partagent les mêmes objectifs : la performance des organisation, l évaluation des risques, l implication des parties prenantes, l amélioration continue. Mettre en œuvre une approche systémique contribue à une développer : une approche durable de la sécurité économique, 31 une véritable culture d entreprise sur le sujet.
Les prochains événements en Midi-Pyrénées A vos agendas! Plate forme d échanges Management de la Qualité et de la performance Réunion de lancement 27 janvier 32