Ministère de l’Économie, des finances et de l’industrie

Slides:



Advertisements
Présentations similaires
Université d’automne du ME-F
Advertisements

L’ORGANISATION DE L’AVIATION CIVILE
Information Préventive et gestion de crise
Séminaire certification STC 23 mars Zaragoza Conseil Régional Aquitaine Autorité nationale France programme POCTEFA POCTEFA
Séminaire sur les Politiques pharmaceutiques à lattention des Experts francophones, Genève, juin 2011 | Séminaire sur les Politiques pharmaceutiques.
Initiatives de Cybersécurité Cas de la Côte d’Ivoire
1 Lapproche fondée sur les droits de la personne dans lurgence et le développement Formation Tronc Commun Formation Tronc Commun mars 2007 Catherine Dixon.
Présentation générale
LE CONTRAT CADRE DE SERVICE
La politique de Sécurité
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Programme de travail du Comité Régional de lIRU pour lAfrique & Priorités de la Délégation Permanente (c) Union Internationale des Transports Routiers.
Modernisation de l’Administration Publique - MODAP Comité Local d’Examen de Projet Tunis, le 21 Mai 2009.
Gestion des risques Contrôle Interne
F.I.A. S.P.P.2 CAD 1 19 et 20 novembre 2001.
Le diagnostic de vulnérabilité : un outil mobilisable
La République du Soudan Ministère des finances et de l’économie nationale Direction Générale des marchés publics, contrats et disposition du surplus.
Parlement wallon. CONTEXTE Dans sa Déclaration de Politique Régionale le Gouvernement sest engagé à établir « un projet de décret visant à assurer un.
Guide de gestion environnementale dans l’entreprise industrielle
Association des Paralysés de France – Janvier 2007 Agenda 22 De la théorie à la pratique.
LA DEMARCHE D ’EVALUATION DE LA QUALITE DANS LE SECTEUR MEDICO SOCIAL
MISSION «SANTÉ» Martin Simard Claude Martel Direction des
Elections professionnelles 2014 Réunion avec les organisations syndicales 13 novembre 2013 Bureau du statut général et du dialogue social SE1.
Département de la sécurité, des affaires sociales et de lintégration Service de laction sociale Departement für Sicherheit, Sozialwesen und Integration.
Quelques indications sur la sinistralité liée aux risques d'origine électrique le nombre des AT d'origine électrique a été divisé par 4 depuis les années.
LE GUIDE DE REDACTION DU PLAN BLEU
ORGANISATION DES ADMINISTRATIONS ET DE L’ÉTAT FRANÇAIS
Direction générale de la santé Des objectifs explicites : priorités, programmes, plans Mo VI-2-1 Veille, alerte et gestion des situations durgences sanitaires.
Martinique , Le 18 mai 2010 Marie-Françoise EMONIDE CHRONE
GESTION DE PROJET Ce que dit la norme ….
LA VÉRIFICATION DES ANTÉCÉDENTS JUDICIAIRES
Introduction à la norme de service Attractions et événements Session de formation 2 P
Présentation de M e Christiane Larouche Service juridique, FMOQ 28 mai 2014.
Délégation de pouvoir 1.
Décentralisation, appropriation nationale et réduction de pauvreté au Sénégal Étude de cas sur l’économie politique de la mise en oeuvre du DSRP.
Certification OHSAS Version 2007
L’approvisionnement favorisant l’accessibilité aux personnes handicapées Carl Bergeron Office des personnes handicapées du Québec 27 octobre 2010.
Le Plan Communal de Sauvegarde
LE PLAN BLANC HOSPITALIER Site Ministère de la Santé :
Les services de santé en français et l’intégration du système de santé en Ontario Forum Santé Centre-Sud-Ouest 2009 Le 23 mars 2009.
POUR LE SECTEUR DES INSTITUTIONS
Commission locale de l'eau Réunion du 18 mars 2013 Révision du SAGE Propositions de modifications au PAGD Projet de Déclaration environnementale Adoption.
L’impact du « Paquet Almunia » pour les acteurs de l’économie sociale Denis Stokkink, Bruxelles, le 8 décembre 2011.
Jeopardy : Qui est responsable de quoi?. FédéralProvincialMunicipal
Matinale du 22 mars Club de la Continuité d’Activité MATINALE DU 22 MARS 2011.
PRINCIPES ET PROCESSUS OPERATIONNEL POUR LE DEVELOPPEMENT D’UNE POLITIQUE CULTURELLE* Patricio Jeretic, David Rosello Projet UNESCO : Utilisation des nouveaux.
COMITE REGIONAL DES BLANCHISSEURS HOSPITALIERS DU NORD/PICARDIE
Revue des stratégies de Réduction de la Pauvreté selon une approche axée sur les OMDs RD CONGO.
Vue d’ensemble des outils du PRISM Dakar, 3 au 21 Mai 2010
Ligne directrice sur l’élaboration d’un plan de sécurité ministériel (PSM) GÉNÉRAL juin 2010.
DISPOSITIONS LEGISLATIVES Loi du 31/12/1991
L’ordonnance du 8 décembre 2005
Le rôle du Courtier en Assurances. Dans un Environnement économique et juridique toujours plus complexe, l’entreprise soucieuse d’optimiser la gestion.
ROYAUME DU MAROC INSPECTION GENERALE DES FINANCES
COORDINATION Groupe IV MESURES TRANSITOIRES Kinshasa,Mars 2008.
Céline BARELLE C2iEi Module 3 : Aspects juridiques et les enjeux
Le travail à distance Accord - 4 mars 2014.
Comité d’Hygiène, de Sécurité et des Conditions de Travail (CHSCT)
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
REUNION DE TRAVAIL des facilitateurs chargés de la mise en œuvre du projet UNESCO/Espagne Renforcement des capacités pour la prise en compte de la culture.
CONCEPTS APA Olivier Rukundo.
De la RSE au SMI Les référentiels du SMI Le processus de Certification
La Qualité dans les Systèmes d’Information
Des dispositifs mobilisables pour réduire la vulnérabilité aux inondations (séquence 2) Rôle des collectivités.
La norme ISO ISO TOULOUSE Maj: 22 octobre 2012
Etude du référentiel (version 2005)
Principes et définitions
Problématique des réformes budgétaires Unité 3. Module 3.2. Préparer et gérer un programme de réforme.
La sécurité des activités d’importance vitale
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
Transcription de la présentation:

Ministère de l’Économie, des finances et de l’industrie Ministère du Budget, des Comptes publics, de la Fonction publique et de la réforme de l’État Haut Fonctionnaire de Défense et de Sécurité L’impact de la réglementation relative à la sécurité des SAIV sur les entreprises non OIV Alain ROCCA, Haut fonctionnaire de défense et de sécurité adjoint Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

LE LIVRE BLANC SUR LA DÉFENSE ET LA SÉCURITE NATIONALE Le ministre chargé de l’économie est responsable de la politique de sécurité économique. Il lui appartient de prendre les mesures de sa compétence garantissant la continuité de l’activité économique en cas de crise majeure, et plus largement, d’assurer la protection des intérêts économiques de la nation, en temps normal comme en temps de crise. Il le fait notamment en activant une cellule de continuité économique (CCE) ; Il veille en outre à la bonne application de la réglementation relative à la sécurité des secteurs d’activité d’importance vitale (SAIV), à la sécurité des télécommunications de défense et des systèmes d’information sans oublier son action en matière de planification, etc... Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

LA CELLULE DE CONTINUITÉ ÉCONOMIQUE (CCE) DU MEFI Cette cellule, qui est activée par la ministre de l ’économie dans les situations de crise, est composée : - d’un comité de pilotage (1er niveau) qui analyse la situation sur la base des informations transmises par les sous-cellules sectorielles, prend les décisions pour assurer la continuité économique ; - de plusieurs sous-cellules sectorielles (2ème niveau) qui couvrent les SAIV relevant du MEFI et qui assurent le lien avec les opérateurs OIV ou non OIV via leurs organisations professionnelles. Elle intervient pour : transmettre tout élément utile permettant le pilotage en temps réel de l’activité économique et sociale du pays ; faciliter la décision du gouvernement par des propositions. suivre les OIV et les non OIV pour leur permettre de mieux résister aux situation de crise Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

Pour garantir la continuité de l’activité économique Le MEFI prend un certain nombre de mesures, dans le cadre de la réglementation sur la sécurité des SAIV ou en marge de celle-ci , notamment : I/- réglementation SAIV : il impose aux opérateurs d’importance vitale (OIV) publics ou privés, désignés par le ministre, l’élaboration du plan de sécurité de l’opérateur (PSO) et des plans particulier de protection (PPP) pour chaque point d’importance vitale (PIV) ; II/- il incite les OIV des secteurs d’activités d’importance vitale (SAIV) à se doter de plan de continuité d’activité (PCA) ; III/- il incite les OIV à respecter les normes ISO en matière de continuité économique ; Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

I - RÉGLEMENTATION SAIV - Annexe à l'arrêté du 2 juin 2006 (JO du 4 juin 2006) révisé par l’arrêté du 3 juillet 2008 (JO du 5 juillet 2008) Ministre chargé des transports Transports Ministre chargé de la santé Santé Ministre chargé de l’industrie Industrie Ministre chargé de l’écologie Gestion de l’eau Ministre chargé de l’économie et des finances Finances Ministre chargé de la recherche Espace et recherche Ministre chargé de l’énergie Énergie Ministre chargé des communications électroniques Communications électroniques, Audiovisuel et information Ministre chargé de l’agriculture Alimentation Ministre de la défense Activités militaires de l’État Ministre de la justice Activités judiciaires Ministre de l’intérieur Activités civiles de l’État MINISTRES SECTEURS Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

I – Rappel des modalités de désignation des opérateurs d’importance vitale (OIV) - R 1332- 1 et 3 du Code de la défense - Les critères objectifs de désignation des opérateurs d’importance vitale sont définis dans la DNS du secteur concerné. Il s’agit d’établissements relevant des SAIV, dont la destruction risque d’obérer gravement la sécurité ou la capacité de survie de la Nation ou de mettre en cause la santé ou la vie de la population. Le ministre coordonnateur ou le préfet de département, selon le cas, notifie à l’opérateur son intention de le désigner comme OIV ; Deux mois plus tard, l’arrêté de désignation est notifié à l’OIV ainsi qu’à toutes les autorités administratives qui ont à en connaître. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

I - Les Phases de la réglementation SAIV I - Désignation des opérateurs d’importance vitale - OIV ( R 1332-3 du C. de la défense) II - Approbation du plan de sécurité de l’opérateur – PSO - + liste des points d’importance vitale - PIV- (R 1332-18-al.3) III - Approbation du plan particulier de protection (PPP) pour chaque PIV (R 1332-18-al.3) IV - Elaboration du plan de protection externe (PPE) pour chaque PIV (R 1332-18-al.3) Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

I - Le Plan de sécurité d’opérateur (PSO) - Objectifs - Le PSO a pour objet de définir pour l’OIV concerné : la politique générale de protection pour l’ensemble des établissements, ouvrages ou installations, notamment ceux organisés en réseau ; la stratégie globale de l’opérateur contre les menaces à caractère terroriste, sur l’ensemble des sites qui sont sous sa responsabilité ; des délais de réalisation des mesures de protection permanentes et des mesures temporaires et graduées qu’il prescrit. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

I - Le Plan de sécurité d’opérateur (PSO) - Contenu - A partir des éléments figurant dans la DNS, le PSO comporte notamment : une analyse de risque permettant d’apprécier les menaces, les vulnérabilités et les conséquences d’une attaque sur chacun des PIV figurant en annexe ; les mesures destinées à réduire ces risques ; un dispositif d’alerte et de gestion de crise ; des dispositions de sauvegarde des personnes et des biens ; des mesures de protection des PIV sur la base du référentiel des mesures de protection de l’opérateur d’importance vitale (OIV) ; l’organisation de la concertation avec les pouvoirs publics ; les interdépendances avec d’autres secteurs d’activités d’importance vitale ou d’autres pays. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

I - Elaboration du plan particulier de protection (PPP) d’un PIV - contenu - Ce PPP, établi à partir du PSO qui lui est annexé, prévoit des mesures permanentes de protection et des mesures temporaires et graduées. Il comporte un rapport de présentation qui ne contient aucune information classifiée. Ce plan décrit notamment : les caractéristiques du PIV : nature des activités ; localisation ; organisation hiérarchique et responsables de la protection du site ; vulnérabilité du site ; la mise en œuvre des exigences de sécurité définie par le PSO en matière de planification, de sensibilisation, d’organisation, de prévention, etc ; le dispositif de sûreté mis en place : clôtures et obstacles retardateurs, protection des bâtiments, contrôle des entrées et des sorties de personnes et de véhicules, protection des SSI, etc ; le système d’alerte et les plans d’intervention en cas d’alerte, les dispositions concernant le personnel et les consignes de sécurité. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

I - Le plan de protection externe (PPE) d’un PIV - Elaboration - Pour chaque point d’importance vitale (PIV) doté d’un PPP, le préfet de département établit un PPE qui prévoit : - les mesures planifiées de vigilance, de prévention, de protection, et de réaction, prévues par les pouvoirs publics pour le PIV ; - les caractéristiques du PIV : aspects liés à l’identification du PIV comme la zone de compétence (police ou gendarmerie) ; nature des activités ; localisation ; relations entre les pouvoirs publics et l’OIV ; surface du PIV ; effectifs employés par le PIV ; organisation hiérarchique et responsables de la protection du site ; - l’organisation générale des pouvoirs publics : dispositif de vigilance mis en place par les pouvoirs publics ; postes de commandement, itinéraires d’accès ; - les procédures en cas de déclenchement d’une intervention. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

II - Le Plan de continuité d’activité (PCA) Il est obligatoire pour certains opérateurs OIV notamment dans : le secteur bancaire en Europe (réglementation bancaire et financière – CRBF ; Bale 2), et dans celui des assurances ; l’administration. Des opérateurs appartenant à d’autres SAIV, relevant du MEFI, sont également soumis à des obligations de continuité de service public comme : les opérateurs de télécommunications qui doivent respecter des plans de rétablissement des lignes et connexions à leurs usagers prioritaires ; le groupe La Poste est soumis à un code spécifique concernant l'acheminement du courrier et des colis. Le PCA est désormais très recommandé aux opérateurs OIV qui n’en ont pas l’obligation mais aussi, et de plus en plus, aux opérateurs non OIV. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

II - LE PLAN DE CONTINUITÉ D ’ACTIVITÉ (PCA) L ’intérêt du PCA, c ’est qu’il couvre des domaines variés portant notamment sur : - le fonctionnement de l’activité et l’organisation de la reprise d’activité ; la gestion du risque juridique et assuranciel ; - les systèmes d’alerte et de secours ; la sécurisation des locaux, des réseaux informatiques, des télécommunications ; - la protection du personnel, y compris les aspects liés aux transports, à l’hébergement, aux soins ; Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

II - Le Plan de continuité d’activité (PCA) Il prévoit des mesures de mise en œuvre : organisation régulière d’exercices de crise ; collaboration du personnel à l’élaboration de l’organigramme de crise (fonctions et moyens prioritaires, remplaçants, ...) ; programme de formation continue des personnels, des sous-traitants et des fournisseurs ; plan de communication interne et externe ; enquêtes de perception ; Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

II - Le PSO par rapport au PCA 1/ Elaboré dans le cadre de la réglementation sur les SAIV, le PSO de l’opérateur d’importance vitale, désigné par le ministre, comprend le contenu d’un PCA mais y ajoute notamment : les scénarios de menaces retenus dans la DNS concernée pour lutter contre le terrorisme et la malveillance ; les exigences de sécurité pesant sur l’opérateur pour faire face à ces scénarios de menaces ; 2/ Il en est de même en ce qui concerne le plan de protection permanent (PPP) qui décline le PSO au niveau de chaque point d’importance vitale (PIV) ; Ainsi, lorsqu’un PCA existe, il peut être repris en tant que PSO à condition d’y ajouter les éléments décrits au point 1 ci-dessus. A l’inverse le PCA peut s’inspirer de l’architecture et du contenu des PSO. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

III - Incitation à appliquer les normes en matière de continuité économique Les OIV sont de plus en plus incités à suivre les normes internationales pour l’anticipation des risques, élaborés par l’ISO, notamment : - la norme NF ISO 31000 pour le management du risque figure parmi les normes qu’il est conseillé d’appliquer. Cette norme qui est entrée en application au 30 janvier 2010, fournit des principes et des lignes directrices qui permettent notamment : d’apprécier, identifier et évaluer le risque ; d’élaborer et mettre en œuvre des plans de traitement du risque ; d’enregistrer le processus de management du risque (traçabilité). - la norme ISO/CEI 27001 relative aux techniques de sécurité et aux systèmes de management de la sécurité de l’information. Cette norme aborde les aspects liés aux modalités d’utilisation des systèmes d’information, les principes et règles d’exploitation, les règles de contrôle des accès à Internet et des accès distants, les principes et règles de gestion et d’exploitation des projets, les plans de secours, la conformité aux textes, etc,... Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

III - Incitation à appliquer les normes en matière de continuité économique Ces normes d’anticipation sont complétées par d’autres normes sur des points précis, notamment : - l’ISO/CEI 31010 qui donne les lignes directrices sur les techniques d’appréciation du risque ; la NF ISO 9004-2009 relative à l’approche de management par la qualité pour une gestion des performances durables d’un organisme ; le FD ISO guide 73 sur le vocabulaire “ management des risques ”. le FD X 50-252 sur l’estimation des risques. . Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

III - Incitation à appliquer les normes en matière de continuité économique Ces normes d’anticipation sont complétées par des normes qui visent la gestion de la situation de crise pendant et après en vue du rétablissement de l’activité, notamment : - l’ISO/PAS 22399 -2007 sur la sécurité sociétale - gestion de la continuité opérationnelle, peut servir de guide pour l’élaboration d’un plan de continuité d’activité (PCA) dans la mesure où il n ’existe pas à ce stade un plan type ; - l’ISO 22301 relative aux systèmes de management de la continuité d’activité ; A noter que d’autres normes, actuellement en cours d’élaboration, méritent une attention : ISO/CD 22313 Sécurité sociétale - Gestion de la continuité des affaires / ISO/ DIS 22320 Sécurité sociétale - Gestion des urgences et exigences pour la commande et le contrôle. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

Objectif : éviter le Risque d’une normalisation « sans la France » Les opérateurs non OIV sont de plus en plus souvent invités à suivre aussi ces normes ISO, comme les OIV. Cela permet aussi d’éviter que : - les spécificités nationales ne soient pas prises en compte, - des polices d’assurances lourdes soient imposées aux opérateurs français. NB/ A noter que la norme est d’initiative libre, et ne relève pas de l’État, mais les opérateurs avec l’appui de l’État peuvent influencer son contenu. Ensemble, il faut être présent dans les organismes de normalisation (ISO) et suivre de près les travaux. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -

IV - Continuité d’activité économique/ Résilience A la notion de continuité d’activité se mêle désormais, celle de la résilience qui est la capacité d’un système à récupérer un fonctionnement normal après un crise. Pour cela , il s’agit de constituer notamment des plans de continuité d’activités couvrant tant l’aspect préventif que le maintien et surtout la reprise des fonctions essentielles, sans omettre le traitement des interdépendances. - Cette démarche vise à éviter la spécialisation par type de crise ou par secteur d’activités et à rechercher une approche globale de préparation et de réponse aux crises résultant tant d’actes malveillants que de risques naturels (éruption volcanique, inondations, épisode neigeux,..) ou technologiques (interruption durable des réseaux Internet et Intranet, panne téléphonique,...). - Cette approche « tous risques » doit s’accompagner de l’étude de la question des priorité des allocations des ressources indispensables ou de rétablissement de service, (eau potable. électricité, téléphonie,…) Cette démarche nouvelle concerne aussi bien les OIV que les non OIV. Assemblée Générale du Club de Continuité d’Activité - Mardi 24 mai 2011 -