Ministère de l’Économie, des finances et de l’industrie Ministère du Budget, des Comptes publics, de la Fonction publique et de la réforme de l’État Haut Fonctionnaire de Défense et de Sécurité L’impact de la réglementation relative à la sécurité des SAIV sur les entreprises non OIV Alain ROCCA, Haut fonctionnaire de défense et de sécurité adjoint Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
LE LIVRE BLANC SUR LA DÉFENSE ET LA SÉCURITE NATIONALE Le ministre chargé de l’économie est responsable de la politique de sécurité économique. Il lui appartient de prendre les mesures de sa compétence garantissant la continuité de l’activité économique en cas de crise majeure, et plus largement, d’assurer la protection des intérêts économiques de la nation, en temps normal comme en temps de crise. Il le fait notamment en activant une cellule de continuité économique (CCE) ; Il veille en outre à la bonne application de la réglementation relative à la sécurité des secteurs d’activité d’importance vitale (SAIV), à la sécurité des télécommunications de défense et des systèmes d’information sans oublier son action en matière de planification, etc... Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
LA CELLULE DE CONTINUITÉ ÉCONOMIQUE (CCE) DU MEFI Cette cellule, qui est activée par la ministre de l ’économie dans les situations de crise, est composée : - d’un comité de pilotage (1er niveau) qui analyse la situation sur la base des informations transmises par les sous-cellules sectorielles, prend les décisions pour assurer la continuité économique ; - de plusieurs sous-cellules sectorielles (2ème niveau) qui couvrent les SAIV relevant du MEFI et qui assurent le lien avec les opérateurs OIV ou non OIV via leurs organisations professionnelles. Elle intervient pour : transmettre tout élément utile permettant le pilotage en temps réel de l’activité économique et sociale du pays ; faciliter la décision du gouvernement par des propositions. suivre les OIV et les non OIV pour leur permettre de mieux résister aux situation de crise Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
Pour garantir la continuité de l’activité économique Le MEFI prend un certain nombre de mesures, dans le cadre de la réglementation sur la sécurité des SAIV ou en marge de celle-ci , notamment : I/- réglementation SAIV : il impose aux opérateurs d’importance vitale (OIV) publics ou privés, désignés par le ministre, l’élaboration du plan de sécurité de l’opérateur (PSO) et des plans particulier de protection (PPP) pour chaque point d’importance vitale (PIV) ; II/- il incite les OIV des secteurs d’activités d’importance vitale (SAIV) à se doter de plan de continuité d’activité (PCA) ; III/- il incite les OIV à respecter les normes ISO en matière de continuité économique ; Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
I - RÉGLEMENTATION SAIV - Annexe à l'arrêté du 2 juin 2006 (JO du 4 juin 2006) révisé par l’arrêté du 3 juillet 2008 (JO du 5 juillet 2008) Ministre chargé des transports Transports Ministre chargé de la santé Santé Ministre chargé de l’industrie Industrie Ministre chargé de l’écologie Gestion de l’eau Ministre chargé de l’économie et des finances Finances Ministre chargé de la recherche Espace et recherche Ministre chargé de l’énergie Énergie Ministre chargé des communications électroniques Communications électroniques, Audiovisuel et information Ministre chargé de l’agriculture Alimentation Ministre de la défense Activités militaires de l’État Ministre de la justice Activités judiciaires Ministre de l’intérieur Activités civiles de l’État MINISTRES SECTEURS Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
I – Rappel des modalités de désignation des opérateurs d’importance vitale (OIV) - R 1332- 1 et 3 du Code de la défense - Les critères objectifs de désignation des opérateurs d’importance vitale sont définis dans la DNS du secteur concerné. Il s’agit d’établissements relevant des SAIV, dont la destruction risque d’obérer gravement la sécurité ou la capacité de survie de la Nation ou de mettre en cause la santé ou la vie de la population. Le ministre coordonnateur ou le préfet de département, selon le cas, notifie à l’opérateur son intention de le désigner comme OIV ; Deux mois plus tard, l’arrêté de désignation est notifié à l’OIV ainsi qu’à toutes les autorités administratives qui ont à en connaître. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
I - Les Phases de la réglementation SAIV I - Désignation des opérateurs d’importance vitale - OIV ( R 1332-3 du C. de la défense) II - Approbation du plan de sécurité de l’opérateur – PSO - + liste des points d’importance vitale - PIV- (R 1332-18-al.3) III - Approbation du plan particulier de protection (PPP) pour chaque PIV (R 1332-18-al.3) IV - Elaboration du plan de protection externe (PPE) pour chaque PIV (R 1332-18-al.3) Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
I - Le Plan de sécurité d’opérateur (PSO) - Objectifs - Le PSO a pour objet de définir pour l’OIV concerné : la politique générale de protection pour l’ensemble des établissements, ouvrages ou installations, notamment ceux organisés en réseau ; la stratégie globale de l’opérateur contre les menaces à caractère terroriste, sur l’ensemble des sites qui sont sous sa responsabilité ; des délais de réalisation des mesures de protection permanentes et des mesures temporaires et graduées qu’il prescrit. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
I - Le Plan de sécurité d’opérateur (PSO) - Contenu - A partir des éléments figurant dans la DNS, le PSO comporte notamment : une analyse de risque permettant d’apprécier les menaces, les vulnérabilités et les conséquences d’une attaque sur chacun des PIV figurant en annexe ; les mesures destinées à réduire ces risques ; un dispositif d’alerte et de gestion de crise ; des dispositions de sauvegarde des personnes et des biens ; des mesures de protection des PIV sur la base du référentiel des mesures de protection de l’opérateur d’importance vitale (OIV) ; l’organisation de la concertation avec les pouvoirs publics ; les interdépendances avec d’autres secteurs d’activités d’importance vitale ou d’autres pays. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
I - Elaboration du plan particulier de protection (PPP) d’un PIV - contenu - Ce PPP, établi à partir du PSO qui lui est annexé, prévoit des mesures permanentes de protection et des mesures temporaires et graduées. Il comporte un rapport de présentation qui ne contient aucune information classifiée. Ce plan décrit notamment : les caractéristiques du PIV : nature des activités ; localisation ; organisation hiérarchique et responsables de la protection du site ; vulnérabilité du site ; la mise en œuvre des exigences de sécurité définie par le PSO en matière de planification, de sensibilisation, d’organisation, de prévention, etc ; le dispositif de sûreté mis en place : clôtures et obstacles retardateurs, protection des bâtiments, contrôle des entrées et des sorties de personnes et de véhicules, protection des SSI, etc ; le système d’alerte et les plans d’intervention en cas d’alerte, les dispositions concernant le personnel et les consignes de sécurité. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
I - Le plan de protection externe (PPE) d’un PIV - Elaboration - Pour chaque point d’importance vitale (PIV) doté d’un PPP, le préfet de département établit un PPE qui prévoit : - les mesures planifiées de vigilance, de prévention, de protection, et de réaction, prévues par les pouvoirs publics pour le PIV ; - les caractéristiques du PIV : aspects liés à l’identification du PIV comme la zone de compétence (police ou gendarmerie) ; nature des activités ; localisation ; relations entre les pouvoirs publics et l’OIV ; surface du PIV ; effectifs employés par le PIV ; organisation hiérarchique et responsables de la protection du site ; - l’organisation générale des pouvoirs publics : dispositif de vigilance mis en place par les pouvoirs publics ; postes de commandement, itinéraires d’accès ; - les procédures en cas de déclenchement d’une intervention. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
II - Le Plan de continuité d’activité (PCA) Il est obligatoire pour certains opérateurs OIV notamment dans : le secteur bancaire en Europe (réglementation bancaire et financière – CRBF ; Bale 2), et dans celui des assurances ; l’administration. Des opérateurs appartenant à d’autres SAIV, relevant du MEFI, sont également soumis à des obligations de continuité de service public comme : les opérateurs de télécommunications qui doivent respecter des plans de rétablissement des lignes et connexions à leurs usagers prioritaires ; le groupe La Poste est soumis à un code spécifique concernant l'acheminement du courrier et des colis. Le PCA est désormais très recommandé aux opérateurs OIV qui n’en ont pas l’obligation mais aussi, et de plus en plus, aux opérateurs non OIV. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
II - LE PLAN DE CONTINUITÉ D ’ACTIVITÉ (PCA) L ’intérêt du PCA, c ’est qu’il couvre des domaines variés portant notamment sur : - le fonctionnement de l’activité et l’organisation de la reprise d’activité ; la gestion du risque juridique et assuranciel ; - les systèmes d’alerte et de secours ; la sécurisation des locaux, des réseaux informatiques, des télécommunications ; - la protection du personnel, y compris les aspects liés aux transports, à l’hébergement, aux soins ; Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
II - Le Plan de continuité d’activité (PCA) Il prévoit des mesures de mise en œuvre : organisation régulière d’exercices de crise ; collaboration du personnel à l’élaboration de l’organigramme de crise (fonctions et moyens prioritaires, remplaçants, ...) ; programme de formation continue des personnels, des sous-traitants et des fournisseurs ; plan de communication interne et externe ; enquêtes de perception ; Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
II - Le PSO par rapport au PCA 1/ Elaboré dans le cadre de la réglementation sur les SAIV, le PSO de l’opérateur d’importance vitale, désigné par le ministre, comprend le contenu d’un PCA mais y ajoute notamment : les scénarios de menaces retenus dans la DNS concernée pour lutter contre le terrorisme et la malveillance ; les exigences de sécurité pesant sur l’opérateur pour faire face à ces scénarios de menaces ; 2/ Il en est de même en ce qui concerne le plan de protection permanent (PPP) qui décline le PSO au niveau de chaque point d’importance vitale (PIV) ; Ainsi, lorsqu’un PCA existe, il peut être repris en tant que PSO à condition d’y ajouter les éléments décrits au point 1 ci-dessus. A l’inverse le PCA peut s’inspirer de l’architecture et du contenu des PSO. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
III - Incitation à appliquer les normes en matière de continuité économique Les OIV sont de plus en plus incités à suivre les normes internationales pour l’anticipation des risques, élaborés par l’ISO, notamment : - la norme NF ISO 31000 pour le management du risque figure parmi les normes qu’il est conseillé d’appliquer. Cette norme qui est entrée en application au 30 janvier 2010, fournit des principes et des lignes directrices qui permettent notamment : d’apprécier, identifier et évaluer le risque ; d’élaborer et mettre en œuvre des plans de traitement du risque ; d’enregistrer le processus de management du risque (traçabilité). - la norme ISO/CEI 27001 relative aux techniques de sécurité et aux systèmes de management de la sécurité de l’information. Cette norme aborde les aspects liés aux modalités d’utilisation des systèmes d’information, les principes et règles d’exploitation, les règles de contrôle des accès à Internet et des accès distants, les principes et règles de gestion et d’exploitation des projets, les plans de secours, la conformité aux textes, etc,... Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
III - Incitation à appliquer les normes en matière de continuité économique Ces normes d’anticipation sont complétées par d’autres normes sur des points précis, notamment : - l’ISO/CEI 31010 qui donne les lignes directrices sur les techniques d’appréciation du risque ; la NF ISO 9004-2009 relative à l’approche de management par la qualité pour une gestion des performances durables d’un organisme ; le FD ISO guide 73 sur le vocabulaire “ management des risques ”. le FD X 50-252 sur l’estimation des risques. . Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
III - Incitation à appliquer les normes en matière de continuité économique Ces normes d’anticipation sont complétées par des normes qui visent la gestion de la situation de crise pendant et après en vue du rétablissement de l’activité, notamment : - l’ISO/PAS 22399 -2007 sur la sécurité sociétale - gestion de la continuité opérationnelle, peut servir de guide pour l’élaboration d’un plan de continuité d’activité (PCA) dans la mesure où il n ’existe pas à ce stade un plan type ; - l’ISO 22301 relative aux systèmes de management de la continuité d’activité ; A noter que d’autres normes, actuellement en cours d’élaboration, méritent une attention : ISO/CD 22313 Sécurité sociétale - Gestion de la continuité des affaires / ISO/ DIS 22320 Sécurité sociétale - Gestion des urgences et exigences pour la commande et le contrôle. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
Objectif : éviter le Risque d’une normalisation « sans la France » Les opérateurs non OIV sont de plus en plus souvent invités à suivre aussi ces normes ISO, comme les OIV. Cela permet aussi d’éviter que : - les spécificités nationales ne soient pas prises en compte, - des polices d’assurances lourdes soient imposées aux opérateurs français. NB/ A noter que la norme est d’initiative libre, et ne relève pas de l’État, mais les opérateurs avec l’appui de l’État peuvent influencer son contenu. Ensemble, il faut être présent dans les organismes de normalisation (ISO) et suivre de près les travaux. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -
IV - Continuité d’activité économique/ Résilience A la notion de continuité d’activité se mêle désormais, celle de la résilience qui est la capacité d’un système à récupérer un fonctionnement normal après un crise. Pour cela , il s’agit de constituer notamment des plans de continuité d’activités couvrant tant l’aspect préventif que le maintien et surtout la reprise des fonctions essentielles, sans omettre le traitement des interdépendances. - Cette démarche vise à éviter la spécialisation par type de crise ou par secteur d’activités et à rechercher une approche globale de préparation et de réponse aux crises résultant tant d’actes malveillants que de risques naturels (éruption volcanique, inondations, épisode neigeux,..) ou technologiques (interruption durable des réseaux Internet et Intranet, panne téléphonique,...). - Cette approche « tous risques » doit s’accompagner de l’étude de la question des priorité des allocations des ressources indispensables ou de rétablissement de service, (eau potable. électricité, téléphonie,…) Cette démarche nouvelle concerne aussi bien les OIV que les non OIV. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -