Partager :
À l’initiative de la France, le projet de norme managériale ISO 22342 sur le plan de sûreté avance à grands pas. Inscrite en conception en octobre 2018, celle-ci devrait faire l’objet d’un nouveau vote en juillet prochain.
Nicolas Scuto (Afnor) : « N’importe quelle organisation pourra déployer ces normes. »
© Afnor
Les 150 experts internationaux qui planchent sur l’élaboration de la norme ISO 22342 sont à pied d’œuvre. Articulée à ISO 22340 sur l’architecture du management de la sûreté, cette norme part d’un projet français ambitieux. « Dès 2015, la France voulait créer un système de management de la sûreté, explique Nicolas Scuto, chef de projet Normalisation chez Afnor. Ce qui revenait à faire en sorte que la direction de la sûreté d’un organisme puisse définir ses propres objectifs. Et disposer de toutes les ressources nécessaires pour planifier et organiser les activités de sûreté dans son organisme. »
ISO 22340 pour l’architecture de la sûreté
Cependant, disposer d’un système de management de la sûreté était un concept trop en avance. « Les directions de la sûreté bénéficient très rarement d’un siège au Codir, d’un budget propre et donc d’une activité autonome », reprend Nicolas Scuto. Conséquence : il fallait donc s’interroger d’abord sur ce qu’est la stratégie de sûreté appliquée à l’entreprise. Quels sont les objectifs de sûreté ? Avec quels moyens peut-on déployer des activités de sûreté pour protéger des actifs plus ou moins sensibles ? Ce sont ces idées-là qui ont été validées au plan international dans le projet ISO 22340. Lequel porte sur l’architecture de la sûreté. C’est-à-dire l’organigramme, le périmètre, les responsabilités et les objectifs à atteindre pour répondre à la stratégie de sûreté de l’organisme.
ISO 22342 pour planifier la sûreté
Tandis que, de son côté, ISO 22342 propose des éléments de planification pour mettre en œuvre les activités de sûreté. Protéger les personnels, les actifs sensibles, physiques les infrastructures (bâtiments, réseaux de communication…). Mettre en œuvre la vidéosurveillance, le contrôle d’accès, la détection d’intrusion, l’audio sur IP. Gérer les habilitations (visiteurs, salariés, partenaires externes) et les accès à certaines zones. Construire le lien avec les autorités locales… Telles sont, entre autres les actions à mettre en place que prévoit la future norme ISO 22342. À cela s’ajoute la gestion de la protection des données et de la réputation de l’organisme. « Ces deux normes fourniront de précieux référentiels de bonnes pratiques très concrètes. N’importe quel type d’organisme de n’importe quelle taille pourront les déployer », résume Nicolas Scuto.
Un agenda précis
Après sept mois d’élaboration sur 36 mois prévus, le domaine d’application et la structure du projet se précise. À court terme, fin mai prochain, s’achèvera la phase de commentaires de la version en cours. « Un panel international d’experts, dont un Français, examine le projet de texte. Ils proposent des améliorations que nous allons concaténer. Fin juin, en réunion internationale, nous discuterons sur les commentaires. Certains seront retenus dans le consensus. Cette phase donnera lieu à une version améliorée du texte », déroule Nicolas Scuto. La France espère que les experts internationaux approuveront la mise au vote du projet. Lequel passera par les pays membres du comité technique ISO TC 292.
De nombreuses questions en suspens
Jusqu’au premier semestre de 2021, les experts élaboreront l’ensemble du contenu technique du projet ISO 22342. Toujours en concordance avec le projet ISO 22340. « Nous nous pencherons sur les détails techniques des composants du plan de sûreté et de leur mise en œuvre. Nous irons plus loin dans le détail », indique Nicolas Scuto. Par exemple, comment gérer l’habilitation du personnel et des visiteurs ? Faudra-t-il en aviser les autorités locales ? Comment protéger les informations sensibles détenues par le personnel, notamment en déplacement à l’étranger ? De même, comment la direction sûreté doit-elle interagir avec les autres départements de l’organisme ? Faut-il nommer des référents sûreté dans chaque département ? Au final, les deux normes devraient sortir en 2022 avec environ six mois de décalage. Elles devraient contribuer à structurer de manière homogène les bonnes pratiques de sûreté dans les entreprises.
Erick Haehnsen
Commentez