SÉCURITÉ SOCIÉTALE : LES PREMIÈRES NORMES DE CONTINUITÉ D ACTIVITÉ ET L ISO 31000. CONCEPTS, CONVERGENCES ET DIVERGENCES

SÉCURITÉ SOCIÉTALE : LES PREMIÈRES NORMES DE CONTINUITÉ D ACTIVITÉ ET L ISO 31000. CONCEPTS, CONVERGENCES ET DIVERGENCES SOCIETAL SECURITY: FIRST STANDARDS FOR BUSINESS CONTINUITY AND ISO 31000. CONCEPTS, SIMILARITIES AND DIFFERENCES. Congrès LMU LA Rochelle Octobre 2010 Jean-Marc PICARD Université de Technologie de Compiègne Equipe Conception Qualité Produits Processus Innovation jean-marc.picard@utc.fr Brigitte JUANALS. Université de Paris Ouest Nanterre La Défense Laboratoire Modyco (UMR 7114) brigitte.juanals@orange.fr Résumé Le projet de NOTSEG de l ANR CSOSG 2009, soutenu par le pôle de compétitivité System@tic, a pour but d étudier la normalisation technique de la sécurité sociétale. Il répond à une demande des industriels et des pouvoirs publics de disposer d une visibilité sur les travaux internationaux dans le domaine. Le projet NOTSEG comporte un volet relatif à l analyse comparative de normes de management de la sécurité, dont nous présentons ici un court extrait. Le projet NOTSEG aborde aussi le lien entre ces normes et la réglementation d une part et avec la sûreté de fonctionnement d autre part. L objectif de cette communication est de présenter un début d analyse comparative et critique des principaux référentiels de management de la continuité d activité (business continuity) et de la résilience issus notamment des derniers travaux ISO au regard des concepts de l ISO 31000 et des ISO 9000. Etablir enfin un lien entre ces normes et la Sûreté de fonctionnement, d une part, et la règlementation, d autre part. Cette présentation augure d un travail plus approfondi qui devrait pouvoir aider les organisations à choisir une conception de la résilience ou de la business continuity qui leur convienne ou à adapter un modèle existant à leurs besoins. Summary The NOTSEG project, financed by the National Research Agency (CSOSG 2009) and supported by the business cluster System@tic, aims at studying the technical standardization of societal security. It s an answer to a request coming from industry and government bodies for visibility on the international work in this field. The NOTSEG project includes a section on benchmarking standards of safety management, of which we present here a short excerpt. The project also addresses the connection between these standards and regulations, on the one hand, and the dependability, on the other hand. The purpose of this paper is to introduce a preliminary comparative and critical analysis of major repositories in management, business continuity and resilience, including the latest work from ISO regarding the concepts of ISO 31000 and ISO 9000. Finally, we ll establish a link between these norms and Dependability, on the one hand, and regulation, on the other hand. This paper will be followed by a detailed study aiming at helping organizations to choose a conception of resilience or business continuity or to adapt an existing model to their needs. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 1/20

1 Introduction 1.1 Contexte Le projet NOTSEG 1 de l ANR CSOSG 2009 2, labellisé par le pôle de compétitivité System@tic, a pour vocation d étudier la sécurité sociétale ou globale (Societal Security) sous son aspect normalisation. Il répond à une demande conjointe des industriels, plus généralement des entreprises et surtout des pouvoirs publics, de disposer d une visibilité sur les travaux internationaux dans ce domaine. NOTSEG est soutenu scientifiquement notamment par le Forum Sécurité et par la commission française de normalisation de sécurité sociétale («Societal security») à l AFNOR. Il comporte un volet relatif à l analyse comparative de normes de management de la sécurité, dont nous présentons un extrait dans la présente publication. Il traite également du lien entre la réglementation et la normalisation qui n est pas abordé ici mais qui a déjà fait l objet de publications 3. En effet, sur des sujets tels que la gestion de crise ou la continuité d activité, le domaine règlementaire (national et international) est prééminent. Les dispositions traitant de manière inégale de sécurité, de continuité d activité et de gestion de crise sont nombreuses : les lois relatives à l organisation de la sécurité civile, la directive 2008/114/CE du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l évaluation de la nécessité d améliorer leur protection, la circulaire interministérielle du «plan orsec» de 2005, le Comité Bâle II sur le contrôle bancaire international, la loi française N 2003-706 sur la sécurité financière, le règlement français CRBF 2004-12, la loi américaine Sarbannes-Oxley (exigences sur les contrôles et procédures appliqués aux systèmes d information produisant de l info financière) La sécurité alimentaire, la sécurité des produits, la gestion des crises environnementales, les pandémies, le terrorisme sont encore autant de sujets soumis à ce contexte. Dans ce qui suit, nous occulterons délibérément l aspect règlementaire pour nous consacrer à la normalisation dite technique. Nous rappelons à cet égard que les normes de portée mondiale sont souvent reprises par la règlementation. Comme nous l avons déjà souligné dans divers articles, la mise en œuvre des directives européennes renvoie de plus en plus aux normes dites techniques. 1.2 Objectifs L objectif de cette communication est de présenter une première analyse comparative et critique des principaux référentiels de management de la continuité d activité (business continuity) et de la résilience issus notamment des derniers travaux de l ISO au regard des concepts de l ISO 31000 et des ISO 9000. Nous établirons ensuite un lien entre ces normes et la Sûreté de fonctionnement, d une part, et la règlementation, d autre part. Cette présentation augure d un travail plus approfondi visant à aider les organisations dans le choix d une conception de la résilience ou de la continuité d activité qui leur convienne, ou dans l adaptation d un modèle existant à leurs besoins. 1.3 Méthode Nous avons sélectionné un corpus de nouvelles normes sur le management du risque, la résilience et la continuité d activité. La sélection a été basée sur les bibliographies de travail des commissions internationales 4 et de l ancien groupe d impulsion stratégique (GIS) Afnor. Les normes traitant de la continuité d activité (business continuity) sont issues en général de groupes de travail œuvrant dans le domaine de la sécurité/sûreté. 1 Normalisation Technique de la Sécurité Globale 2 Agence Nationale pour la Recherche, Appel 2009 «Concepts, Systèmes et Outils pour la Sécurité Globale». 3 Voir notamment JM Picard, La normalisation face au droit, Cahiers de la sécurité n 3, INHES, La docu mentation française, Paris 2008 et JM Picard Intelligence économique et normalisation dans Intelligence économique et gouvernance compétitive, INHES, La documentation française, Paris 2006. 4 ISO TC 223 Societal security et le groupe CEN équivalent : TC 391 Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 2/20

Elles sont influencées par les normes de la série ISO 9000 et par l ISO 31000 sur le management du risque. Le référent servant à nos travaux n est pas encore fixé définitivement. Précisons que notre étude porte sur les documents à caractère normatif. Ainsi les documents projets de l ISO ou les référentiels «privés» comme celui de l association mondiale ASIS pouvant être repris par des organismes de normalisation sont pris en compte. Notons pour ce dernier cas que l association ASIS (présentée ci-après) participe aux travaux des TC 223 et TC 391. Nous présenterons les principaux acteurs, puis nous mènerons une première description et analyse des référentiels normatifs, afin d en faire ressortir leurs caractéristiques, leurs convergences et leurs divergences. Nous aborderons en particulier le traitement des concepts (prévention, correction, risque, criticité, résilience, cycle PDCA etc.) en nous appuyant sur l identification des acteurs et de la terminologie de ce domaine particulier. La démarche que nous sommes en train de construire consistera à combiner à terme une analyse sociopolitique des acteurs et du contexte normatif à une analyse linguistique des corpus normatifs. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 3/20

2 Les principaux acteurs Les référentiels normatifs sont issus des travaux de très nombreux comités ou organisations. Les travaux même des organismes comme l ISO sont le fruit de consensus complexes entre des acteurs très différents. Il en résulte une forte disparité dans les normes traitant du risque, de la continuité d activité et du management de la sécurité en général. Les cultures en matière de risque environnemental dans la chimie, en matière de risque financier ou en matière de continuité d activité pour les systèmes d information font appel à des concepts parfois différents mais surtout à une terminologie différente, ce qui ne facilite pas l émergence de référentiel universels. La distinction entre «safety» et «Security» crée autant de débats au Royaume Uni que celle entre «sécurité» et «sûreté» en France. Les acteurs peuvent être présentés en 3 catégories : 1. Les organismes de normalisation (ISO 5, CEN 6, CEI 7, CENELEC 8, ANSI, BSI, DIN, AFNOR etc.) 2. Les acteurs économiques, y compris les lobbies associés: associations professionnelles comme caritatives (Asis, DRI International et NFPA aux USA, CSA au Canada, Haut Comité Français à la Défense Civile et Club de la Continuité d Activité en France, mais encore la Croix rouge (membre du TC 223). 3. Les Etats et les services officiels (départements ministériels, agences officielles, organismes inter étatiques : OTAN). 2.1 Les organismes de normalisation Au niveau international, l ISO TC 223 et le CEN TC 391 représentent les principax normalisateurs impliqués. Ces deux comités en charge de la sécurité sociétale n en n ont pas le monopole. Ainsi, le Technical Management Board (TMB) a en charge l ISO 31000 sur le management des risques en lien avec la CEI/IEC. Notons que le TMB (qui joue le rôle d une direction technique de l ISO), a comme sous-groupe le «ISO/TMB/SAG_S Strategic Advisory Group on Security» chargé de coordonner les sujets relatifs à la sécurité. Mentionnons également le TC 8 et la série ISO 28000 sur la logistique, le JTC1/SC27 9 chargé de la sécurité de l information qui œuvre aussi en matière de continuité d activité (notamment avec le référentiel ISO 27031), le TC34 et la série ISO 22000 sur la sécurité des aliments, ou encore les normes ISO 14000 du TC 207 (Environnemental management Systems) sur le management et le risque environnemental. Au niveau international, les rapports entre l Europe et l ISO sont plutôt consensuels, compte de tenu notamment des accords de Dresde et de Vienne ; en revanche, les acteurs nationaux sont souvent concurrents et soumis aux pressions des lobbies. A l heure actuelle, en France, le forum sécurité peut se targuer d un bon consensus global. Ainsi, les cultures de police, de «risk manager» et de risque industriel cohabitent pacifiquement grâce à une culture de la sécurité globale de ses membres. Dans d autres pays, l investissement sur le sujet de la normalisation de la sécurité est tel qu il cache à peine des stratégies d envergure. Car outre le problème de la normalisation de la sécurité, la norme vient, dans ce domaine, empiéter sur un monde régi par le droit 10..La future révision de la directive UE 98/34 sur la normalisation au niveau des 5 International Organization for Standardization 6 Comité Européen pour la Normalisation 7 Commission Electrotechnique Internationale (CEI/IEC) 8 Comité Européen de Normalisation Electrotechnique 9 Le JTC1 est le comité technique qui produit globalement toutes les normes sur l informatique internet, réseaux, protocoles, sécurité, forme des documents etc. 10 Voir notamment JM Picard, La normalisation face au droit, Cahiers de la sécurité n 6, INHES, La docu mentation française, Paris 2007 et JM Picard Intelligence économique et normalisation dans Intelligence économique et gouvernance compétitive, INHES, La documentation française Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 4/20

services ne fera que renforcer cette concurrence ou cohabitation. Ainsi les Etats commencent à s investir parfois dans la normalisation sécurité à un niveau politique. 2.2 Quelques exemples d acteurs économiques et de lobbies Si les industriels interviennent dans le débat du fait des enjeux économiques, les lobbies sont aussi très présents. C est le cas, par exemple, de la National Fire Protection Association (NFPA) et de l association américaine Asis. Il existe encore bien d autres acteurs que ceux présentés ci-dessous, tels que le BCI (Business Continuity Institute), le CLUSIF et le CIGREF en France 2.2.1 La NFPA (National Fire Protection Association) Créée en 1896, cette association à but non lucratif a pour objet la protection incendie et développe dorénavant des spécifications de haut niveau sur la sécurité en général. La NFPA a publié près de 300 standards. Elle compte 81000 membres professionnels. Elle a produit le référentiel NFPA 1600 : «Standard on Disaster/Emergency Management and Business Continuity Programs» dont la dernière version vient de sortir en 2010. 2.2.2 ASIS ASIS International est une organisation de 33 000 membres dans le monde qui regroupe des professionnels et des responsables de la sécurité. Asis a une organisation qui n est pas sans rappeler l IEEE bien connue des ingénieurs. Elle propose des référentiels en matière de sécurité et notamment en matière de résilience et de «business continuity», référentiels dédiés pour certains à la certification. Asis est aussi une entreprise de formation, éditrice d un magazine international «Security Management», consacré exclusivement aux problèmes de sécurité et de gestion de la sécurité privée. ASIS promeut des valeurs à travers un code d éthique 11. 2.2.3 L ISACA L Information Systems Audit and Control Association est à son origine (1967) une association d informaticiens qui se consacre dorénavant beaucoup au management du risque y compris la continuité d activité. Forte de 86000 membres, l ISACA est organisée autour de 175 chapitres établis dans plus de 70 pays. En France l AFAI (Association Française de l Audit et du Conseil Informatiques) est le chapitre de l ISACA. L AFAI s est associée dans ses travaux au Cigref (Club regroupant les grandes entreprises françaises) et à l AMRAE l association pour le management des risques et des assurances de l entreprise. L ISACA (avec sa structure IT Governance Institute) a développé le «e Certified Information Security Manager» (CISM) une certification en gestion de la sécurité revendiquant plus de 10 000 certifiés ; cette association est très impliquée dans les travaux du JTC1/SC 27 de l ISO producteur de la série ISO 27000. Enfin les ONG comme la Croix Rouge sont présentes. Naturellement très impliquées dans les opérations de crise, ce type d ONG participe aux travaux du TC 223. 2.2.4 JOINT FORUM Le Forum tripartite (Joint Forum), a été créé en 1996 sous l'égide du Comité de Bâle, l'organisation internationale des commissions de valeurs (OICV) et l'association internationale des superviseurs en assurance (IAIS) pour traiter des questions communes à la banque, des valeurs mobilières et des assurances, y compris la réglementation des conglomérats financiers. Le forum a notamment publié en 2006 des principes directeurs en matière de continuité d activité. 11 Art.1 : «Tout membre doit réaliser ses obligations professionnelles dans le respect des lois et des plus hauts principes moraux.» Art.2 : «Tout membre doit préserver l information confidentielle et mettre en œuvre les meilleures pratiques pour prévenir toute divulgation non appropriée.» Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 5/20

2.2.5 Quelques acteurs en France Plusieurs associations dont le Club de la Continuité d Activité (CCA) travaillent sur les référentiels normatifs et les concepts. Le CCA fait partie des associations professionnelles qui interviennent au niveau du processus national. Ce club regroupe principalement des acteurs des systèmes d information. Fondé par les industriels du transport, de l énergie, de l aéronautique, de l espace et de la défense, l Institut pour la Maitrise Des Risques (IMDR) participe à l élaboration de normes et standards très techniques, notamment dans le domaine du risque et de la sûreté de fonctionnement. Le Haut Comité Français à la Défense Civile dont le Conseil National de la Continuité d activité ou CNCA fondé en avril 2008 anime un débat sur le concept intersectoriel de continuité d activité, lequel concerne à la fois les entreprises et le service public. Il s est fixé comme objectif de permettre une meilleure résilience de la nation face aux crises. 2.3 Les Etats et les services officiels Les pouvoirs publics ont un rôle majeur à jouer. Aux USA comme aux Pays-Bas, les Etats s investissent directement ou par le biais de leur organisme national dans les travaux. En France, les départements ministériels s y investissent de manière inégale. Notons que l aviation civile est assez présente aux côtés des ministères de l intérieur, du développement durable et de la défense. Les concepts de sécurité et sûreté, quand ils sont évoqués, ouvrent de longues discussions. Les pouvoirs publics financent peu les travaux de normalisation malgré d innombrables rapports invitants les invitant à s investir sur le sujet 12. Cela ne doit pas masquer l implication de la direction de la planification de sécurité nationale (DPSN) du ministère de l intérieur (et auparavant de la DDSC) et du Centre de Normalisation de Défense (DGA) ou de la DGAC. Tous les secteurs d activités s approprient le concept de la sécurité et plus précisément de la «Business Continuity». Cela conduit à des positions peu consensuelles, chacun imposant sa vérité. Les informaticiens, au nom de la sécurité des systèmes, se déclarent compétents sur beaucoup d aspects touchant la sécurité. Dans le cadre du JTC1/SC27, le projet ISO/IEC FCD 27031 Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour mise en état d'ict pour continuité des affaires: ICT readiness for business continuity, est une démonstration. Dans ce contexte, ce projet de norme inclut dans la continuité d activité la préparation et la gestion des incidents de sécurité. Le symposium de Singapour du SC27 en avril 2005 avait inscrit le projet sous l appellation Guidelines for information and communication technology disaster recovery services. 12 Livre blanc sur la défense et la sécurité nationale, Odile Jacob/La Documentation Française, juin 2008, troisième partie : «Une nouvelle stratégie pour l action», pages 280 «la France et l Europe devront renforcer leur influence en matière de normalisation» Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 6/20

3 Les principaux référentiels normatifs L ISO a produit plusieurs grandes normes de management. Certaines ont vocation à la certification, ce sont des normes d exigences (9001, 14001) d autres des normes systèmes non exigeantes (9004, 14004). Les deux premières familles (9000 et 14000) sont basées sur des concepts dont le PDCA (pour Plan Do Check Action), communément appelé roue de Deming. Ces normes vont à des degrés divers inspirer toutes les normes de management. Le projet NOTSEG effectuera à terme une cartographie des acteurs et des normes. Nous présentons ici un court extrait permettant de donner un panorama imparfait mais global sur le sujet. La version (année) est précisée si besoin. Par ailleurs, il existe un nombre considérable de normes sur la sécurité des produits ou installations qui induisent souvent un management des risques produits/installations/utilisation. Ce point est de plus en plus critique du fait de la prise en compte des menaces d origine volontaire dans la conception des produits. C est le cas, par exemple, des systèmes à prépondérance logicielle où la prise en compte des agressions de tous ordres (virus, piratage, attaques physiques etc ) s impose dès la conception. Normes de Management générales et qualité Norme Commentaire ISO 9001 (exigences) et ISO 9004 (recommandations). ISO Guide 72 2001 : Guidelines for the justification and development of management system standards ISO Guide 51 99: révision en 2009 Safety aspects -- Guidelines for their inclusion in standards Basées sur l ISO 9000 : (concepts et vocabulaire) ces normes sont reprises dans la plupart des normes de management. Le vocabulaire de l ISO 9000 est assez universel même s il n est pas complet. Explicitement basé sur les ISO 9000 et 14050: vocabulaires et concepts qualité et environnement. «Norme des normes», ce guide établit une distinction entre trois types différents de normes (A, B et C). A pour les normes d exigences dans les systèmes de management, B pour les guides et C pour les normes complémentaires. Difficilement classable, elle définit le risque de manière différente mais non contradictoire au guide 73. Elle offre de nombreuses définitions (dont celle de la sécurité). Elle prodigue essentiellement des conseils sur la rédaction de normes liées plus à la fourniture ou à l utilisation de produits/services que de management. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 7/20

Normes de Management risques, business continuity, gestion de crise ou urgence, sécurité/sûreté sociétale, résilience Norme Commentaire ISO Guide 73 2009 Risk Base de la norme 31000, elle définit la résilience, la sécurité et de management Vocabulary nombreux concepts. ISO 31000 2009 Risk La norme de référence basée sur le guide 73. Cette norme est management Principles axée plus sur la prévision que sur le traitement. Elle distingue le and guidelines cadre organisationnel général du management du risque ( 4) du ISO 31010 2009 Risk management Risk assessment techniques BS 25999 parties 1 et 2 de 2006 Business continuity management ISO 22399 2007 Societal security Guideline for incident preparedness and operational continuity management ISO CD 22301 2010 Continuity Management Systems- Requirements NFPA 1600 2010 Standard on Disaster/Emergency Management and Business Continuity Programs ASIS SPC.1 2009 Organizational Resilience (OR) Management System Requirements processus de management du risque ( 5) Complément de près de 100 pages très denses de l ISO 31000, elle propose en annexe de nombreuses méthodes ou démarches d analyse et d évaluation des risques reprenant essentiellement les techniques issues du monde industriel et de la sûreté de fonctionnement. La norme de référence aujourd hui. Très complète, elle inclut le concept de résilience, d exercice, d évaluation du risque et surtout de la gestion des évènements y compris de crise dans son 5.4. Cette norme est plus orientée monde des affaires que sécurité civile. Sa récente partie 2 est dédiée aux exigences (certification) Norme PAS non définitive Issue de la précédente c est un projet de norme certifiante, concurrençant la célèbre BS 25999 Fournit les critères fondamentaux pour développer, mettre en œuvre un programme, -d évaluation, -de prévention, -de réduction, -de préparation, -d intervention, -de continuité d activité et -de retour à une situation normale (recovery). Elle est très concise, dense et courte et dispose d annexes complètes dont une grille d autoévaluation. Cette norme fait partie d une impressionnante collection de référentiels sectoriels dans le domaine du risque. C est une grande norme de référence, norme ANSI par ailleurs. Autre grand référentiel. Nous en donnons quelques éléments de comparaison avec la NFPA 1600. Fait explicitement référence au PDCA de l ISO 9000. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 8/20

Normes spécifiques sur les technologies de l'information et les techniques de sécurité associées Norme Titre/description commentaire ISO/IEC 24762:2008 - Lignes directrices pour les services de secours en cas de catastrophe dans les technologies de l'information et des communications. Norme indépendante de grand intérêt ISO/IEC 27000:2009 - Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire ISO/IEC 27001:2005 - Systèmes de management de la sécurité de l'information Exigences Norme de référence d origine britannique ISO/IEC - Code de bonne pratique pour le management de la sécurité de l'information 27002:2005 ISO/IEC 27003:2010 - Lignes directrices pour la mise en œuvre du système de management de la sécurité de l'information ISO/IEC - Management de la sécurité de l'information Mesurage 27004:2009 ISO/IEC - Management du risque de la sécurité de l'information 27005:2008 ISO/IEC 27006:2007 - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information ISO/IEC CD Lignes directrices pour l'audit des systèmes de management de la sécurité de 27007 l'information ISO/IEC - Lignes directrices du management de la sécurité de l'information pour les 27011:2008 ISO/IEC FCD 27031 organismes de télécommunications sur la base de l'iso/cei 27002 Lignes directrices pour mise en état d'ict pour continuité des affaires Norme recoupant les référentiels ISO 22301 et ISO 22399 Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 9/20

Normes déclinées de l ISO 9001 mais plus orientées risque au sens sûreté de fonctionnement (extrait) : Norme Déclinaisons adaptation ou inclusion partielle des principes l ISO 9001 pour les secteurs: ISO TS 16949 Automobile EN 9100 Aéronautique Elle développe notamment la notion de «Caractéristique clé» ( Key characteristics) très orienté Sûreté de fonctionnement / fiabilité / robustesse et aussi quelques notions peu développées dans les ISO 9000 comme la Revue de premier article.. ISO 29001 Pétrole, pétrochimie, gaz ISO 13485 Dispositifs médicaux Orientée marquage CE, norme harmonisée pour l UE ISO 14300 Space systems - Programme management Reprend les principes de l ISO 9001 ISO 23462 Guidelines to define the management framework for a space project. (principes de l ISO 9001) ISO 15378 Primary packaging materials for medicinal products -- Particular requirements for the application of ISO 9001:2000, with reference to Good Manufacturing Practice (GMP) Reprise explicite de l ISO 9001 ISO 20000 Technologies de l'information -- Gestion des services. Cette norme traite de la (2005), parties 1 à 5 gestion des services aux technologies de l information. En plusieurs parties, elle comporte des dispositions certifiantes. Basée sur la BS 15000 héritant de travaux anglais des années 80, elle propose un modèle de type PDCA rappelant le schéma de l ISO 31000 relatif à son 4. Elle traite ainsi pour une partie des risques du «Resolution Incident Management» (plus explicitement dans ses premières versions). Autres normes Normes Titre/description Commentaire ISO 14001 2004 et ISO 14004 2004 Systèmes de management environnemental : lignes directrices et exigences Complétées par un corpus normatif important dont l ISO 14050 sur le vocabulaire. L ISO 14001 (2004) traite au 4.4.7 de la préparation et réponse aux situations d urgence. Ce point est à rapprocher de la réglementation européenne sur les installations la directive 2003/105/CE dite Seveso II exigeant dès son considérant (15) un système de gestion de la sécurité. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 10/20

Normes spécifiques sur la sûreté de la logistique et de la chaîne d approvisionnement (en fait orientées transport maritime) 1314 : Norme Titre/description Commentaire ISO 28000:2007 Spécifications relatives aux systèmes de management de la sûreté de la chaîne ISO 28001 2007 ISO/CD 28002 2009 ISO 28003:2007 ISO 28004:2007/CD Amd 3 ISO 28005 parties 1(DIS) et 2 (PAS) ISO/PAS 22853:2005 d'approvisionnement Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance Systèmes de management de la sécurité pour la chaîne d'approvisionnement Systèmes de management de la sûreté pour la chaîne d'approvisionnement Exigences de sureté pour un Opérateur Economique Agréé Version certifiante des principes de la 28000 Développement de la résilience dans la chaîne d'approvisionnement Exigences pour les organismes effectuant l'audit et la certification des systèmes de management. Cette norme remet en cause certaines dispositions de la 17011 sur l accréditation et les autres normes de la série 17020/17021 et 17024. Systèmes de management de la sûreté Normes non définitives pour la chaîne d'approvisionnement -- Operations portuaires assistées par systèmes électroniques Navires et technologie maritime Applications informatiques Spécification du langage de la sécurité maritime 4 13 Cette série de norme est inspirée par le code ISPS dont elle se veut un complément applicatif (International Ship and Port Security, ISPS, ou Code international pour la sûreté des navires et des installations portuaires). Composé de deux parties, il a été adopté en 2002 et s applique depuis 2004 par la Conférence des gouvernements contractants à la Convention internationale pour la sauvegarde de la vie humaine en mer (Solas). La nécessité d'établir une procédure internationale sur la sûreté des installations portuaire ainsi que des navires est née avec le code ISPS à la suite des attentats du 11 septembre. 14 Note : Le terme security anglais a été traduit systématiquement par sûreté en français. Nous avons volontairement alterné les titres français et anglais. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 11/20

5 Les référentiels sélectionnés Afin de comparer les normes, principalement leur vocabulaire et concepts, nous avons fait une première sélection, effectuée simplement sur la notion de notoriété de l organisme producteur, de la norme elle-même et de son objet. Cette sélection correspond à celle réalisée au sein du TC 223 ISO. Nous en présentons ici un extrait concernant les ISO 9001, ISO 31000, NFPA 1600, ASIS SPC.1, ISO 22301, BS 25999. 6 Présentation critique : convergences et divergences L élaboration d une grille de comparaison des référentiels n est pas aisée. Nous sommes actuellement en train d en déterminer les critères. Nous présentons ici des résultats d analyse sur deux critères : le vocabulaire et la structure organisationnelle de la norme. En matière de vocabulaire, de nombreux concepts comme Recovery Point Objective, Recovery Time Objective, Maximum Tolerable Period of Disruption, qui ne sont pas sans rappeler les Mean Time To Failure ou les Mean Time Between Failures de la fiabilité, ont attiré notre attention. Dans le cadre de cette communication, nous livrons à titre d exemple une simple comparaison de définitions et parfois de concepts (à travers les analogies de termes). Nous avons retenu le mot résilience que l on trouve en français comme en anglais. Nous utiliserons ultérieurement différents logiciels d analyse textuelle pour procéder à une étude plus fine du lexique en relation avec les contextes et les acteurs. Nous pouvons faire le constat préalable que le monde de la sécurité procède actuellement, par le biais de normes, à l élaboration d un nouveau vocabulaire qui recoupe celui de la Sûreté de Fonctionnement. Ainsi peut-on rapidement faire une analogie entre Résilience et Robustesse, voire avec les attributs de la sûreté de fonctionnement 15. Réciproquement, on remarquera que le concept de résilience, qui est repris dans la résilience informatique, est au cœur des travaux du réseau d excellence européen ReSIS 16, le monde de la sûreté de fonctionnement s appropriant ce concept. Indépendamment de la relation à établir entre ces deux domaines (ce que l IMDR a fait avec le monde des Cyndiniques), le vocabulaire est bien loin d être universel et stabilisé au sein des TC 223 et TC 391. Le tableau ci-dessous liste des définitions présentes dans les principaux référentiels étudiés. La référence au guide 73 et au domaine du risque, plus qu à celui de la sécurité, est flagrante. 15 Fiabilité, disponibilité, maintenabilité, sécurité, tolérance aux fautes 16 Resilience for Survivability in Information Society Technologies, initié et dirigé par Jean-Claude Laprie, l ancien directeur du Laboratoire d Analyse et d Architecture des Systèmes à Toulouse (LASS CNRS). Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 12/20

6.1 Vocabulaire Référentiel Définition Autre définition ASIS SPC.1 2009 NFPA 1600 2010 BSI 25999 Part 1 et 2 ISO 31000 (2009) et ISO Guide 73 (2009) ISO 22399 (2007) ISO 22301 CD 2010 Annexe D 50 : The adaptive capacity of an organization in a complex and changing environment. [ISO Guide 73:2009] NOTE 1 Resilience is the ability of an organization to resist being affected by an event or the ability to return to an acceptable level of performance in an acceptable period of time after being affected by an event. NOTE 2 Resilience is the capability of a system to maintain its functions and structure in the face of internal and external change and to degrade gracefully when it must. 2.27 Resilience : ability of an organization to resist being affected by an incident 3.8.1.7 Resilience : capacité d'adaptation d'un organisme dans un environnement complexe et changeant / adaptive capacity of an organization in a complex and changing environment 3.31 Resilience ability of an organization to resist being affected by an event Pas de définition ni de mention de la Resilience Organizational Resilience is the ability of an entity to respond to the impact of an incident, continue to provide a minimum acceptable level of service in the immediate aftermath of the incident, and thereafter return conditions to a level that is acceptable to the entity A.3.3.4 et 3.3.4 annexe: Continuity. An evolving concept that is linked to continuity is Resilience. Organizational Resilience is the ability of an entity to respond to the impact of an incident, continue to provide a minimum acceptable level of service in the immediate aftermath of the incident, and thereafter return conditions to a level that is acceptable to the entity. [Continuity] A term that includes business continuity, continuity of operations [COOP], operational continuity, succession planning, continuity of government [COG], which support the Resilience of the entity 2.3 business continuity management (BCM) holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational Resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities NOTE Business continuity management involves managing the recovery or continuation of business activities in the event of a business disruption, and management of the overall programme through training, exercises and reviews, to ensure the business continuity plan(s) stays current and up-todate. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 13/20

PG4 V2009 SGDN France Plan national de prévention et de lutte «Pandémie grippale» Joint Forum The ability of a financial industry 2006 17 participant, financial authority or financial system to absorb the impact of a major operational disruption and continue to maintain critical operations or services. La capacité d'un acteur de l industrie financière, d une autorité financière ou d un système financier à absorber l'impact d'une perturbation opérationnelle majeure et à poursuivre les opérations ou les services critiques. L objectif à atteindre est celui de la «Resilience», définie comme la capacité d un pays, de la société et des pouvoirs publics à résister aux conséquences d une catastrophe majeure, puis à rétablir rapidement leur capacité de fonctionner normalement. Pour atteindre cet objectif en assurant la sécurité économique, il importe de prendre les mesures garantissant la continuité de l activité économique lors de la pandémie et, plus largement, de continuer à assurer la protection des intérêts économiques de la nation. Commentaire CCA : Club de la Continuité d Activité (CCA/France) Livre Blanc V1 2009 Une nuance peut être apportée en français entre : Resilience : Qualité de celui qui se rétablit vite Robustesse : Qualité de ce qui reçoit des coups sans trop en souffrir En anglais Robustness n est pas employé. Un bon PCA concourt à la robustesse ; un bon PRA à la Resilience Les Américains sont cohérents : la NFPA et ASIS utilisent les mêmes concepts. La résilience est la capacité d'adaptation d'une organisation dans un environnement complexe et changeant. L Organizationnal Resilience est la capacité d'une entité à répondre à l'impact d'un incident, à continuer à fournir un niveau minimum acceptable de service au lendemain de l'incident, et par la suite à permettre le retour des conditions à un niveau qui soit acceptable pour l'entité. Les Britanniques, qui s appuient sur le célèbre référentiel BS 25999, définissent la résilience comme la capacité d'une organisation à résister, à être affectés/touché par un incident. La définition est moins large que celle de la NFPA qui, en évoquant la capacité d adaptation, induit en fait une capacité d apprentissage et donc de réaction et de survie. Pour le BSI, la gestion de la continuité des activités consiste à gérer la reprise ou la poursuite des activités [] dans le cas d'une interruption des activités, et la gestion de l'ensemble du programme à travers la formation, des exercices et des examens, pour s'assurer que le plan de continuité des activités reste [opérationnel]. Nous découvrons la rivalité conceptuelle entre : l Organizationnal Resilience américaine et le Business Continuity Management britannique.. Nous sommes constamment confrontés dans les symposiums internationaux à ce type d opposition. Derrière cette lutte de définitions existe aussi une lutte d influence, voire une rivalité commerciale, entre les deux principaux standards que sont le BS 25999 et le référentiel ASIS. Notons que l ISO s est calée sur le référentiel américain pour la définition de la résilience dans le cas de la norme 31000. D autres divergences de vocabulaires existent, telles que la distinction entre parties prenantes et parties intéressées, ou entre actions préventives, correctives et de protection, ou encore dans la définition même du risque via la distinction risque/menace. Nous allons voir comment les concepts influent sur la structure des normes. 17 Principes directeurs en matière de continuité d activité, 2006. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 14/20

6.2 Organisation et concepts L ISO 9001 révèle plusieurs modèles. Le plus classique est le PDCA, ou roue de Deming, à 4 temps. Une lecture approfondie permet de découvrir une autre logique à 9 temps que l on retrouve dans les OHSAS 18001 et ISO 14001 : 1. Politique et objectifs (y compris les objectifs à ne pas atteindre ou risques) 2. Responsabilités 3. Autorités 4. Système, missions et fonctions 5. Réalisation (conception, production) 6. Contrôle (check level/surveillance) 7. Maitrise (quality control) et bonnes pratiques et concept des 5M 8. Assurance (traitement des non conformités, actions correctives et préventives, audit) 9. Management (planification, amélioration, communication, revues) C est ainsi que nous parlons de séquencement 18 de la norme, ce qui nous amènera à explorer la possibilité d attribuer un séquencement aux autres référentiels. Cette notion nous permettra à terme de proposer un classement des normes en fonctions de leurs caractéristiques et des concepts développés. Outre la résilience, nous portons une attention particulière à la prise en compte des menaces d origine volontaire. En effet, leur évaluation fait appel à des démarches ou des méthode totalement différentes de celles prises en compte pour les risques industriels ou technologiques. L ISO 31000 ne fait pas explicitement référence au PDCA mais on y retrouve les 9 concepts évoqués précédemment pour l ISO 9001. La norme distingue en son 4 le cadre organisationnel du risque et en son 5 le processus itératif d appréciation et de réduction du risque. Mandat et engagement (4.2) Conception du cadre organisationnel de management du risque (4.3) Compréhension de l organisme et de son contexte (4.3.1) Etablissement de la politique de management du risque (4.3.2) Responsabilité (4.3.3) Intégration aux processus organisationnels (4.3.4) Ressources (4.3.5) Etablissement de mécanismes de communication et de rapport internes (4.3.6) Etablissement de mécanismes de communication et de rapport externes (4.3.7) Amélioration continue du cadre organisationnel (4.6) Mise en œuvre du management du risque (4.4) Cadre organisationnel de management du risque (4.4.1) Processus de management du risque (4.4.2) Surveillance et revue du cadre organisationnel (4.5) Fig1 : Le cadre organisationnel 4 de l ISO 31000 18 Terme proche de processus (activités) mais incluant aussi des exigences de fait. La notion de séquencement (que nous appréhendons pour le moment de manière empirique) renvoie à un ensemble de concepts de la sécurité sociétale. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 15/20

L ISO 31000 traite du cadre organisationnel et du management du risque. Elle traite abondamment de l appréciation du risque, complétée en cela par l ISO 31010 dont les 100 pages et plus précisément les annexes regorgent de méthodologies scientifiques issues du risque industriel et de la sûreté de fonctionnement. 19. Elle ne traite pas des menaces. C est une norme de prévision issue des mondes de l industrie et de l assurance. Le traitement du risque en est le parent pauvre et la continuité d activité quasi absente. Par ailleurs elle n est pas adaptée à la gestion des menaces volontaires, peu prédictibles avec les méthodes industrielles. Calculer la probabilité d un acte terroriste relève tout de même plus de l art que de la science. Fig 2 : Le processus de réduction du risque selon l ISO guide 73 et l ISO 31000 5 L ISO 31000, qui insiste lourdement sur l approche holistique du contexte de l entreprise, peut être résumée par le séquence ment suivant : 1. Contexte 2. Politique et objectifs 3. Responsabilités et Autorités 4. Communication interne/externe 5. Système de management du risque, mission et fonction (cadre organisationnel) 6. Réalisation (processus de management du risque : identification, traitement, surveillance, enregistrement) 7. Surveillance, revue et contrôle 19 Réseau de Pétri, graphes de Markov, grilles de criticités, arbres de causes, Amdec, diagrammes d Ishikawa, etc. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 16/20

La BS 25999 de 2006 est la plus ancienne de nos normes avec la NFPA 1600. Elle est davantage orienté «business» que sécurité civile. Elle ne traite pas des menaces. Sa seconde partie récente est orientée vers la certification (exigences). Son séquencement peut être le suivant : 1. Responsabilités et gouvernance 2. Système et documentation 3. Contexte a. analyse des impacts potentiels, b. identification des activités critiques, c. détermination des exigences de continuité d. Evaluation des risques et menaces e. Traitement du risque 4. Politique et stratégie (choix et priorités stratégiques et tactiques) 5. Management du programme BCM complété et augmenté dans la partie 2 par la notion de BCM system 6. Réalisation Développement et mise en œuvre du «BCM response» : communication et gestion de crise 7. Exercice, surveillance (test et contrôle), revue Le référentiel Asis SPC.1 est orienté vers la Résilience, comme nous l avons déjà souligné. Cela étant, le concept anglais de «business continuity» inclut de fait le concept de résilience. Asis est très proche du management ISO 9000 et de ce fait il se marie très bien avec un système QSE existant. Il traite largement des menaces et notamment des menaces volontaires. Son séquencement peut être le suivant : 1. Politique et engagement 2. Exigences légales, évaluation du risque et objectifs (les objectifs découlent en premier des exigences légales et du risque) 3. Responsabilités autorités 4. Ressources humaines et implication 5. Documentation et enregistrements 6. Management planification et revue 7. Maitrise (et monitoring, que l on retrouve dans la série 28000) 8. Surveillance 9. Assurance (prévention, corrections, traitement des non conformités et réponse, évaluation et audits) 10. Exercice, surveillance (test et contrôle), revue La norme NFPA 1600, cousine ou concurrente du référentiel Asis SPC 1. Très orientée vers la gestion de crise de la prévention à l action, elle traite peu de «recovery». Elle aborde les menaces. Elle complète bien la BS 25999. 1. Politique et engagement 2. Responsabilités autorités 3. Documentation et enregistrements 4. Exigences légales et objectifs 5. Contexte et planification évaluation du risque, analyse d impact, prévention, réduction 6. Communication et gestion de crise (la gestion de la crise est très développée dans la NFPA) 7. Exercice et entraînement (très développé) Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 17/20

Le projet ISO 22301 n aborde pas une seule fois la résilience et fort peu les menaces prévues dans un paragraphe non développé pour l instant Mais le TC 223 souhaite promouvoir une autre norme sur la résilience dans laquelle la notion de continuity management system ne traiterait pas de la résilience. Ce point de vue fait l objet d une forte controverse. 1. Engagement, responsabilités et politique 2. Contexte et planification exigences légales évaluation du risque (les menaces ne font pas l objet d un chapitre comme dans le 6.4 de la 22399) 3. Ressources humaines et implication 4. Communication 5. Documentation et enregistrements 6. Planification opérationnelle a. Surveillance et contrôle b. Traitement du risque c. Préparation, réponse et continuité 7. Evaluation, audit, revues 8. Amélioration Le PAS 22399 de 2007, standard plus complet que le projet 22310, aborde clairement les menaces. Ce PAS doit être revu prochainement et peut être présenté comme suit : 1. Politique et programme 2. Engagement responsabilités 3. Exigences légales, évaluation du risque, «hazard», risk et identification des menaces 4. Management du programme de continuité 8. Responsabilités et ressources 9. Communication et alertes 10. Maitrise opérationnelle (reprise d un concept ISO 14000) 11. Assurance : actions correctives, préventives, évaluation audit 12. Exercice, surveillance (test et contrôle), revue Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 18/20

7 Conclusion Dans cette communication, nous avons souhaité donner un aperçu des acteurs de la normalisation et, au travers de la présentation abrégée des référentiels, de quelques convergences et divergences sur le vocabulaire notamment sur la résilience. Au regard de la structure des normes et de leur séquencement, nous pouvons noter les points suivants : la relative convergence des vocabulaires de la NFPA 1600 et du référentiel ASIS SPC.1 la concurrence entre les référentiels ASIS et BS 25999 dans lesquels le chevauchement des concepts de résilience et de continuité d activité n est pas fixé au niveau international, ce qui devrait être discuté au congrès de Stockholm en juin 2010. Le complémentarité entre la NFPA 1600, très orientée vers la gestion de crise, et de l ISO 31000 orientée vers la prévision. Enfin, l étendue du référentiel ASIS qui couvre de façon assez complète l ensemble de la continuité d activité et de la résilience. C est aussi le cas, dans une moindre mesure, de l ISO 27031 relative aux systèmes d information que nous n avons pu présenter davantage. L objectif du projet NOTSEG est de fournir une analyse comparative de ces référentiels. Pour l avenir, il importe que la communauté de la sécurité sociétale se rapproche de celle du risque industriel et de la sûreté de fonctionnement. En effet, faute de convergence, la juxtaposition des travaux normatifs relatifs aux domaines du risque et de la sécurité sociétale pourrait être facteur de confusion. Nous soulignons en conclusion la difficulté d évaluer le risque en matière de sécurité sociétale. Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 19/20

8 Références JUANALS B. PICARD J.-M, 2010, «Normalisation industrielle internationale et gestion des identités numériques», Dossier «Présence numérique» (coord. M. Arnaud et L. Merzeau) revue Documentaliste Sciences de l information vol, 47 n 1 Association française des documentalistes et des bibliothécaires spécialisés Identifiant ISSN : 0012-4508 PICARD JM, 2009, Les travaux de normalisation dans les domaines de la gestion de crise et de la continuité des activités, Les Cahiers de la Sécurité Intérieure n 10 La documentation française PICARD JM, 2008, Normes et cybercriminalité, Les Cahiers de la Sécurité Intérieure n 6 La documentation française PICARD JM, 2008, Les normes techniques, statut juridique, Préventique Sécurité n 100 PICARD JM, 2008, Homeland Security Logistique et chaîne d approvisionnement: les premières normes sur le management de la sûreté, Les Cahiers de la Sécurité Intérieure n 3 La documentation française PICARD J.-M JUANALS B., janv-10, Normalisation et sécurité globale La formulation en normalisation du concept de sécurité globale, Workshop Interdisciplinaire sur la Sécurité Globale, Université de Technologie de Troyes France PICARD J.-M JUANALS B., mars-10, Le rôle des normes techniques dans l élaboration d une politique de sécurité globale. Luxembourg 18-20 mars 2010, Symposium international de L AISP (Association internationale de science politique) et Luxpol (Association de science politique du Luxembourg) Commission européenne PICARD JM, 03-févr-10, Risques et normalisation, journée Normalisation et management des risques des programmes, Journée Risque et normalisation IMDR et Bureau Normalisation de l Aéronautique et de l Espace Cachan 03/02/2010 PICARD JM, 03-déc-09, La normalisation en matière de sécurité et l'approche normative de la sécurité sociétale, Conseil National de la Continuité d'activité, Haut Comité Français à la Défense Civile, Sénat PICARD JM, juin-09, La réponse normative et les normes de sécurité en matière de réseau, Colloque sur la sécurité numérique, Sénat Paris Copyright Jean-Marc Picard & Brigitte Juanals Compiègne 2010 France pour LMU 17. Tous droits réservés. 20/20