HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Confiance, labels, et certification FNTC 3 février 2011, Paris Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>
Sommaire Introduction Labellisation Certification Confiance Conclusion 2/12
Introduction HSC Sécurité des systèmes d'information depuis 1989 Conseil, audit, expertise, formation Audits ARJEL, certification PCI-DSS, conseil juridique (OPQCM) Formations permettant l'accès à des certifications de compétances Dont celles de LSTI accrédités FNTC a développé des labels Autre possibilité : certification 3/12
Labellisation Organisme de labellisation Labellise Organisation souhaitant être labellisée Organisme de labellisation Unique pour un label donné Association regroupant les acteurs de la profession Formalise le processus Produit les référentiels 4/12
Certification Autorité d'accréditation Accrédite Organisme de certification Certifie Organisation souhaitant être certifiée Autorité d'accréditation Une par pays Instance d'accréditation = COFRAC Tutelle du Ministère de l'industrie Organisme d'état Rôle régalien Organisme de certification Nombreux Généralement des sociétés privées Processus formalisés dans le détail Normes : ISO 17021, ISO 19011, etc Référentiels : normes 5/12
Certification Article L115-28 du code du commerce Peuvent seuls procéder à la certification de produits ou de services les organismes qui bénéficient d'une accréditation délivrée par l'instance nationale d'accréditation, ou l'instance nationale d'accréditation d'un autre Etat membre de l'union européenne, membre de la coopération européenne pour l'accréditation (...). Un organisme non encore accrédité pour la certification considérée peut, dans des conditions définies par décret, effectuer des certifications, sous réserve d'avoir déposé une demande d'accréditation. Toute référence à la certification dans la publicité, l'étiquetage ou la présentation de tout produit ou service, ainsi que sur les documents commerciaux qui s'y rapportent doit être accompagnée d'informations claires permettant au consommateur ou à l'utilisateur d'avoir facilement accès aux caractéristiques certifiées. (...) Le signe distinctif qui, le cas échéant, accompagne ou matérialise la certification est déposé comme marque collective de certification, conformément à la législation sur les marques de fabrique, de commerce et de service. 6/12
Labellisation Organisme de labellisation : FNTC COREF COnfiance et RÉférencement Représentants des associations du secteur Délivrance du label Demande de labellisation Organisation Nomination Audit de labellisation Rapport d'expertise Expert 7/12
Certification Comité de certification Organisme de certification Comité de certification Représentants des instances étatique concernées Représentants des associations du secteurs Personnalités qualifiées Délivrance du certificat Organisation Demande de certification Nomination Rapport d'audit Audit de certification Equipe d'audit 8/12
Confiance Indépendance : expert/auditeur, labelliseur/certificateur, comité Approche fondée sur la preuve Impartialité, conscience professionelle Contrôle externe Labellisation Pas d'autorité d'état Association de la profession Certification Autorité d'état Sociétés de certification Pas de panacée Rien ne permet d'éviter les dérives Toujours faire preuve de discernement 9/12
Confiance Confiance sans autorité d'état? Exemple : commissaires aux comptes CNCC : Compagnie Nationale des Commissaires aux Comptes H3C : Haut Conseil du Commissariat aux Comptes Autorité d'état Rôle régalien Tutelle du Ministère de la Justice Article L 821-1 du Code de Commerce créé par la loi de sécurité financière 10/12
Confiance Référentiels FNTC Consensus au sein de la FNTC Exemple : label Tiers-Archiveur Normes Consensus au sein du pays ou de la planète Exemples : certification NF Z42-013, certification ISO 27001 COREF Processus propriétaire spécifique à un secteur d'activité dans un pays Certification ISO Processus ouvert identique à tous les secteurs d'activité dans le monde entier 11/12
Conclusion 2 e édition Revue et augmentée Certification devrait être privilégiée quand elle est possible Processus le plus abouti Système identique dans tous les domaines, tous les métiers, toute la société Plus limpide pour les clients Meilleure compréhension par les autres métiers en interne Reconnaissance internationale Questions? Herve.Schauer@hsc.fr www.hsc.fr 12/12