Sécurité - L'invitée : Pour Daon, entreprise leader en biométrie : " Les normes sont décisives " Normes de câblage pour stades de football ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
t Volume 2, No. 2, Février 2011, ISSN 1729-8709 Sécurité • L’invitée : Pour Daon, entreprise leader en biométrie : « Les normes sont décisives » • Normes de câblage pour stades de football high-tech
t t Sommaire Regard Kevin W. Knight AM, Président du groupe de travail ISO qui a élaboré ISO 31000:2009 Alerte maximale – Des solutions pour la gestion des risques liés à la sécurité ....... 1 ISO Focus+ paraît 10 fois par an (un seul numéro pour juillet-août, novembre-décembre) Monde Publié en anglais et en français. Événements internationaux et normalisation internationale ..................................... 2 Abonnement annuel – 98 francs suisses Au numéro – 16 francs suisses L’ i n v i t é e Éditeur Catherine Tilton, Vice-présidente de Daon ............................................................... 3 Secrétariat central de l’ISO (Organisation internationale de normalisation) Dossier 1, chemin de la Voie-Creuse CH – 1211 Genève 20 Sécurité maximum – Risque minimum...................................................................... 8 Suisse Être prêt – Veiller à la sûreté et à la résilience sur toute la chaîne Tél. : +41 22 749 01 11 d’approvisionnement ................................................................................................... 10 Fax : +41 22 733 34 30 E-mail : isofocus+@iso.org Opération cybersécurité – Des solutions pour la continuité des affaires .................. 13 Web : www.iso.org/isofocus+ Sécuriser les paiements – Les normes ISO renforcent la protection dans un monde en réseau ........................................................................................... 16 Responsable de la publication : Roger Frost Qui est qui ? – La biométrique offre des réponses au secteur public Rédactrice : Elizabeth Gasiorowski-Denis et au secteur privé ....................................................................................................... 18 Rédactrice adjointe : Maria Lazarte Une question vitale – Le système métrique à la rescousse ........................................ 23 Chargée de communication : Sandrine Tranchard Les risques du voyage – Mesures contre la violation des conteneurs........................ 26 Graphisme : Xela Damond, Pierre Granier Protéger notre société – L’ISO et la gestion inclusive des crises .............................. 29 et Alexane Rosa Traduction : Service de traduction, Secrétariat central de l’ISO Pages centrales Prêt ?....................................................................................................................... 20-21 Abonnements : Sonia Rosas Friot Secrétariat central de l’ISO Tél. : +41 22 749 03 36 Planète ISO Fax : +41 22 749 09 47 E-mail : sales@iso.org Actualités du système ISO ......................................................................................... 32 © ISO, 2011. Tous droits réservés. Solutions de management Le contenu d’ISO Focus+ est protégé par le droit d’auteur. La présente publication, en ISO 14001 pour les PME – Un manuel accompagné d’un CD totalité ou en partie, ne peut être reproduite, sur le management environnemental ......................................................................... 33 stockée dans un système de recherche docu- mentaire ou transmise sous quelque forme Normes en action que ce soit ou par un quelconque procédé, électronique ou mécanique, y compris la Normes de câblage – Elles aident à transformer des stades de football photocopie, sans l’accord écrit de l’éditeur. en arènes high-tech...................................................................................................... 34 Les articles publiés dans ISO Focus+ expri- ment le point de vue de leurs auteurs et ne reflètent pas nécessairement le point de vue 360° de l’ISO ou de l’un de ses membres. Question de méthode – Faire entrer la normalisation dans les salles de cours ......... 37 ISSN 1729-8709 Imprimé en Suisse Normes et produits Photo de couverture : ISO, 2011 Les meilleures ventes de normes ISO – Désormais disponibles en format de livre électronique................................................................................... 40 ISO Update : www.iso.org/fr/isoupdate Prochain ISO Focus+ 41
t Regard Alerte maximale Des solutions pour la gestion des risques liés à la sécurité Des questions liées à la sécurité, ou plutôt au manque de sécurité, décision et la mise en œuvre des fonctions clés, des processus et des infrastructures qui découlent une variété d’effets qui induisent des incertitudes quant à savoir sont nécessaires pour atteindre les objectifs si les objectifs sociétaux et les objectifs d’entreprise pourront être atteints. organisationnels. Parler de sécurité suppose l’existence d’un risque ou d’une menace – terro- Le management du risque de sécurité risme, cybersécurité ou usurpation d’identité – et que des mesures rigou- exige de ceux qui en assument la responsa- reuses soient prises pour s’en protéger. bilité qu’ils aient avant tout une compréhen- sion approfondie des principes, du cadre et du processus de gestion du risque. À cela À la suite de la publication de la norme quences potentielles du risque de sécurité doit s’ajouter une bonne connaissance des ISO 31000:2009, Management du risque – doivent également être abordées dans les disciplines de sécurité spécifiques. Dans Principes et lignes directrices, le management plans organisationnels de management du le contexte actuel, la sécurité au sein de la du risque a évolué et l’approche, qui était risque liés aux perturbations, de manière à société ou d’une organisation ne peut pas centrée sur les risques associés à différents as- s’assurer que la capacité, les ressources et être traitée isolément par rapport à tous les pects – finances, opérations, marché, emploi, les connaissances requises sont disponibles autres processus et systèmes de gestion. assurance et réputation – s’est élargie pour se et accessibles pour appuyer la réalisation La sécurité devrait englober des ques- focaliser sur l’effet de l’incertitude sur la réali- des objectifs clés. tions telles que la stratégie, la gouvernance, sation des objectifs organisationnels. l’éthique, la sécurité et la performance orga- En mettant l’accent sur l’effet de l’incer- nisationnelle. Pour que la gestion du risque de titude sur les objectifs, le management du ISO 31000 sécurité soit bien intégrée dans le tissu de la risque a perdu son opacité pour s’inscrire est une solution société et des entreprises, elle doit faire partie au cœur du système de management glo- intégrante de leur mode de fonctionnement, bal. Toute approche de la sécurité fondée incontournable. en devenant aussi fondamentale que la gestion sur le risque attire l’attention des dirigeants des relations humaines, la gestion financière, et des cadres de l’entreprise. Elle amène la communication et la prise de décision. Un système efficace de management du également la transparence dans la prise de ISO 31000 est une solution incontour- risque veillera à ce que des risques de sécurité décisions quant aux risques qui menacent nable pour toutes les organisations et pour soient pris en compte dans toutes les autres la viabilité et la résilience de l’entreprise. l’ensemble de la société. Elle fournit des activités de management du risque mises en Une telle approche exige également l’attri- recommandations concernant les meil- œuvre (par exemple, en matière de sûreté, en- bution des responsabilités appropriées à leures pratiques pour gérer efficacement les vironnement, marketing, réputation, et autres chaque étape du processus de management risques liés à la sécurité et, ce faisant, elle aspects d’ordre réglementaire, financier, etc.). et l’identification des pilotes du risque. maximise les opportunités et réduit au mini- Il faut bien comprendre que les seules diffé- La prise en charge et la gestion du risque mum les menaces dans l’intérêt de tous. rences dans l’approche ont trait à l’applica- de sécurité par l’encadrement garantissent tion des connaissances et des compétences la bonne mise en œuvre des moyens de maî- spécifiques à la discipline, qui se rapportent trise des événements, dont l’entreprise n’a à chaque secteur de risque – les principes, le souvent pas l’expérience, et leur traitement. cadre et le processus restent les mêmes. L’objectif final est de fournir les meilleurs S’il est possible que de nombreuses acti- résultats pour la réalisation des objectifs vités liées au risque de sécurité soient me- de l’entreprise. Les risques de sécurité sont nées par des secteurs spécialisés, beaucoup identifiés, évalués et traités dans le cadre de seront également réalisées dans le cadre des la gestion globale du risque organisation- méthodes selon lesquelles d’autres unités nel, ce qui permet de mieux comprendre la de l’organisation traitent systématiquement nécessité, pour l’entreprise, d’investir dans les risques auxquels elles sont exposées (par le traitement de la sécurité. exemple, la gestion du risque de sécurité La prise en compte du risque de sécurité de l’emploi devrait être une responsabilité est un élément d’importance capitale pour fondamentale assumée par les ressources une approche efficace du management du humaines, alors que celle des risques en ma- risque dans l’entreprise. Cette approche, qui tière de technologies de l’information (TI) devrait faire partie intégrante du système de devrait relever du service TI). management général, introduit un élément Le management du risque est essentiel à Kevin W. Knight AM* nouveau : la notion d’exposition à d’éven- l’efficacité de la prise de décision de façon à Président du groupe de travail ISO tuels dangers délibérément provoqués par assurer que la stratégie et les contrôles sont qui a élaboré la norme ISO 31000:2009. une personne cherchant à contourner les appliqués de la manière la plus appropriée. * Membre de la division générale contrôles de sécurité existants. Les consé- Il fournit une interface entre la prise de de l’Ordre d’Australie. ISO Focus + Février 2011 © ISO Focus+, www.iso.org/isofocus+ 1
t Monde Les décisions prises au cours de cet événement vont de la création d’un « Fonds vert pour le cli- mat » destiné à porter assistance aux pays pauvres, à l’inscription des engagements pris à l’occasion de l’accord de la COP 15 de 2009, à Copenhague, dans un document officiel de l’ONU. Les Parties à la CCNUCC se sont également accordées sur le programme REDD+ pour créditer les réductions d’émissions issues de la protection des forêts. Les entreprises ont été invitées à participer plus activement au processus d’élaboration des politiques et devraient se voir prochainement pro- poser un engagement officiel dans le processus. La COP 16 a ainsi permis aux entreprises Le Directeur du DIN, M. Torsten Bahke (au centre), entouré des intervenants lors de la de participer davantage aux négociations et conférence sur l’enseignement de la normalisation, Allemagne. d’être reconnues pour leur rôle dans la lutte contre le changement climatique. De toute évi- L’enseignement de la normalisation nom l’indique, vingt années séparent cette édi- dence, toutes les parties prenantes doivent être tion du premier Sommet de 1992, qui s’était lui encouragé en Allemagne aussi tenu à Rio. Cette rencontre sera l’occasion consultées pour lutter efficacement contre le réchauffement. C’est pour cette raison que le « L’enseignement de la normalisation – inter- pour les leaders mondiaux de se réunir pour : portefeuille de normes de l’ISO recèle d’autant national et pluridisciplinaire », tel était le titre de • Obtenir le renouvellement des engagements de normes pour affronter ce problème. L’ISO la conférence organisée par l’Université tech- politiques sur le développement durable rassemble l’expertise de l’ensemble des parties nique de Berlin (TU-B) en collaboration avec le • Évaluer les progrès accomplis dans la mise prenantes, bâtit un consensus autour des meil- DIN, Membre de l’ISO pour l’Allemagne. en œuvre des engagements déjà conclus en leures pratiques et propose des outils pratiques L’événement était l’occasion de souligner matière de développement durable que l’industrie, les entreprises et les gouverne- l’importance que revêt la normalisation pour • Affronter les nouveaux défis et ceux qui se ments peuvent efficacement mettre en œuvre. l’économie et la société dans son ensemble et de profilent. À titre d’information, 194 États ont signé la mettre en lumière la nécessité de faire figurer la CCNUCC et 184 ont ratifié le Protocole de Kyoto. normalisation parmi les enseignements, à tous les Pour la conférence, les États membres de niveaux et le plus tôt possible, pour renforcer et la CNUDD ont adopté, d’un commun accord, promouvoir son rôle dans la société. les thèmes suivants : l’économie verte dans La responsabilité sociétale Cette conférence, qui s’est tenue à la fin de le cadre du développement durable et dans au Viet Nam l’année 2010 et a réuni plus de 70 participants, a le contexte de l’éradication de la pauvreté, et examiné les besoins et les activités actuels à tra- La responsabi- l’élaboration d’un cadre institutionnel pour le lité sociétale était vers plusieurs présentations de représentants de développement durable. l’industrie et des milieux académiques, notamment le thème central de L’ISO prévoit de participer activement à l’événement orga- M. Knut Blind, M. Egon Behr et M. Jens N. Al- l’événement et à sa préparation, car de nom- bers. Des représentants du DIN et du Beuth tels que nisé par la Chambre breuses normes ISO fournissent des outils M. Heinz Gaub et Mme Claudia Michalski, ainsi de commerce et de efficaces pour agir, notamment ISO 14001, que des représentants européens – Mme Christine l’industrie du Viet pour les systèmes de management environne- Kertesz et M. John Ketchell – ont également pré- Nam (VCCI) en mental. En décembre 2009, au moins 223 149 senté des exposés. coordination avec certificats ISO 14001:2004 avaient été délivrés Daniele Gerundino, Conseiller stratégique l’Organisation des dans 159 pays et économies. D’autres normes auprès du Secrétaire général de l’ISO, s’est Nations Unies pour le développement industriel de la famille ISO 14000 (publiées ou en cours exprimé sur les efforts déployés par l’ISO pour (ONUDI). La conférence, consacrée à la norme d’élaboration) traitent des émissions de gaz à promouvoir l’enseignement de la normalisa- ISO 26000 relative à la responsabilité sociétale, effet de serre, de l’évaluation du cycle de vie, tion. Il a signalé l’existence du Trophée ISO s’est tenue à Hanoï, Viet Nam, en novembre 2010. de l’étiquetage, de l’empreinte carbone et de pour l’enseignement supérieur en normalisa- Nguyên Quang Vinh, Chef du Bureau des l’éco-conception, ainsi que d’autres enjeux tion, qui vise à mieux faire comprendre l’im- entreprises pour le développement durable dé- environnementaux. portance de la normalisation, et a également pendant de la VCCI, a déclaré dans son discours Parmi les autres questions ciblées par les parlé des deux autres prix que décerne l’ISO d’ouverture : « La responsabilité sociétale des en- normes ISO, figurent le management de l’éner- pour promouvoir la normalisation, à savoir : le treprises et des organisations est devenue impor- gie (la future ISO 50001), l’impact des bâti- prix Helmut Reihlen de l’ISO, qui récompense tante pour le Viet Nam dans le contexte actuel.» ments sur l’environnement et leur durabilité, de jeunes normalisateurs pour leurs travaux, et Des représentants d’entreprises de divers sec- les énergies renouvelables, etc. le Prix de leadership Lawrence D. Eicher, qui teurs, notamment des secteurs de la confection, salue l’excellence des travaux de comités tech- des chaussures et du ciment, ont participé à une niques de l’ISO. Ensemble table ronde, à l’occasion de laquelle les confé- Au cours de cette conférence, il a également contre le changement climatique renciers ont discuté de sujets tels que la discrimi- été question de la pertinence de la normalisa- nation vis-à-vis des femmes, le déplacement des La toute dernière édition de la Conférence des travailleurs après la fête traditionnelle du Têt, le tion pour le personnel des entreprises, y com- Parties à la Convention-cadre des Nations Unies salaire minimum, l’hygiène au travail, la forma- pris les attentes vis-à-vis de celui-ci et les pos- sur les changements climatiques (CCNUCC) tion dans la communauté et la réduction des frais sibilités d’une qualification. – COP 16 – s’est tenue à Cancun, Mexique, en de traitement des déchets. Les présentations, rédigées pour la plupart décembre 2010. Face aux opportunités et défis du secteur en allemand, sont disponibles à l’adresse : www.ebn.din.de/sb/medienraum. des ciments, un programme sur le dévelop- pement durable en faveur des cimenteries a été lancé, dans lequel il est prévu de réduire Rio+20, un sommet porteur d’espoir le taux de clinker dans la fabrication, d’ex- De grands espoirs sont placés dans la Confé- ploiter plus efficacement les ressources natu- rence des Nations Unies sur le développement relles, de mener une réforme de la gestion durable (CNUDD), également appelée le Som- dans les usines à bas rendement, d’accorder met de la Terre « Rio+20 », qui se tiendra à Rio une plus grande attention à la santé et à l’en- de Janeiro, au Brésil, en mai 2012. Comme son vironnement de travail des cimentiers. 2 © ISO Focus+, www.iso.org/isofocus+ ISO Focus + Février 2011
t L’ i n v i t é e Catherine Tilton Daon – Des solutions biométriques de pointe ISO Focus+ : Quels avantages la biomé- trie présente-t-elle en général, et pour la sécurité en particulier ? Comment les normes contribuent-elles au développe- ment de cette industrie ? Catherine Tilton : Chacun sait que le monde est aujourd’hui toujours plus interconnecté et mobile. Dans ce nouvel environnement, la vérification de l’identité des personnes devient centrale car nous communiquons constamment en nous déplaçant et sommes en relation les uns avec les autres à très grande distance. Il est indispensable de confirmer nos identités pour accéder à certains services du secteur privé et du secteur public et, dans certaines situations, nous devons prouver que nous ne représentons pas une menace. Daon, une entreprise créée en Irlande et sise aujourd’hui aux USA, s’appuie sur les normes ISO/CEI de biométrie pour créer des plateformes pour l’ensemble du cycle de vie de l’identité, avec des applications qui couvrent la gestion des frontières, les trans- ports et la qualification des personnels et des citoyens. La biométrie doit être interopérable et fiable. La biométrie est définie comme la « recon- naissance automatisée des personnes fondée sur leurs caractéristiques comportementales et biologiques ». Ces caractéristiques sont notamment les empreintes digitales, l’iris ou les traits du visage qui distinguent une Photo : © Daon personne d’une autre. La technologie biomé- trique est devenue une arme essentielle dans la lutte mondiale contre les menaces terro- ristes et le vol d’identité. Catherine Tilton est Vice-présidente, Normes et nouvelles technologies, Les données biométriques sont directe- ment liées à la personne, ce qui fait d’elles un outil essentiel pour vérifier une identité dé- à Daon. Elle a plus de 25 ans d’expérience dans l’ingénierie et le mana- clarée. Leur utilisation apporte beaucoup à la gement, dont 16 dans le secteur de la biométrie. Mme Tilton a dirigé la sécurité, mais également à la commodité, car conception, le développement et le déploiement de nombreux systèmes les personnes en déplacement n’emportent biométriques dans des entreprises commerciales et des organismes publics. rien avec elles ou n’ont pas à se soucier de Elle est également très active dans l’élaboration de normes nationales et fournir des informations supplémentaires. Un usage efficace de la biométrie suppose internationales de biométrie. Elle est actuellement Chef de la délégation un échange de données. Cet échange peut américaine auprès de l’ISO/CEI JTC 1/SC 37, Biométrie, et préside le simplement s’opérer entre un dispositif de comité technique sur l’Intégration des services d’assurance biométrique de capture et une ressource locale, entre un sys- tème de recueil des données et un système l’identité (BIAS) d’OASIS (Organization for the Advancement of Structu- central de mise en correspondance, ou encore red Information Standards). Elle est diplômée en génie nucléaire et ingé- entre systèmes, agences ou gouvernements. nierie des systèmes. Les normes sont indispensables pour un ISO Focus + Février 2011 © ISO Focus+, www.iso.org/isofocus+ 3
t L’ i n v i t é e Daon a fourni des systèmes d’assurance biométrique de l’identité dans le monde entier, y compris pour le système de gestion des frontières du Japon, les services de la citoyenneté et de l’immigration en Austra- lie, l’identité nationale au Moyen-Orient et au Mexique et les achats par carte ban- caire dans l’Union européenne. Deux pro- grammes fortement tributaires des normes sont le programme de passeport électro- nique de l’Organisation de l’aviation civile internationale (OACI) et le programme « Identité unique » de l’Inde. ISO Focus+ : Compte tenu des problèmes de sécurité dans les voyages, les passeports électroniques sont de plus en plus deman- Photo : © Daon dés. Comment les normes ISO/CEI pour les documents lisibles par machine aident- elles l’industrie à progresser ? Lecture d’un passeport biométrique britannique. Catherine Tilton : Depuis 1996, l’Orga- nisation de l’aviation civile internationale échange de données interopérables dans un publié au total 31 normes et six rapports (OACI), une institution spécialisée des environnement hétérogène. techniques, dont les plus utilisés sont Nations Unies, travaille sur un document de Daon a fondé l’architecture de sa gamme ceux qui ont trait aux formats de données voyage lisible par machine (MRTD). L’OA- de produits sur des normes ouvertes, car biométriques. CI, consciente que, pour relier le détenteur ses plateformes sont presque toujours inté- La famille des normes biométriques du de passeport ou de visa et le document, une grées à des systèmes plus vastes. Les pla- SC 37 est conçue pour être un ensemble connexion plus forte qu’un simple texte teformes Daon sont aussi caractérisées par compatible de normes qui peuvent être uti- imprimé et une photo était nécessaire, a tra- leur neutralité par rapport à la modalité bio- lisées conjointement dans une approche par vaillé avec l’ISO/CEI/JTC 1/SC 17, Iden- métrique, à la technologie et au fournisseur. couches, les formats de données formant le tification des cartes et des personnes, pour Autrement dit, une plateforme Daon peut fondement sur lequel les différentes couches développer un système fondé sur une carte supporter toute une diversité de dispositifs sont construites. Des formats d’échange de à puce sans contact, la cryptographie asy- et algorithmes biométriques, ainsi que des données ont été définis pour l’image et le métrique et la biométrie. Les photographies interfaces systèmes externes à travers son modèle de référence des empreintes digitales numériques de la face ont été sélectionnées architecture ouverte. Les normes sont déci- (les caractéristiques extraites sur lesquelles à titre de photographies « biométriques glo- sives pour créer cette capacité. la mise en correspondance biométrique est balement interopérables » (obligatoires pour appliquée) et pour les enregistrements des tous les passeports électroniques), la bio- données faciales, vasculaires, de l’iris, de la métrie des empreintes digitales et de l’iris Les normes signature et de la géométrie de la main. étant spécifiées comme des options. Mais sont décisives. ISO Focus+ : Comment les normes biomé- triques ont-elles évolué au cours des dix dernières années ? Quel rôle les normes ISO/CEI jouent-elles dans les systèmes d’assurance de l’identité de Daon ? Catherine Tilton : Avant 2001, les normes biométriques se résumaient à celles qui étaient utilisées dans le cadre de l’applica- tion de la loi et à quelques rares normes commerciales. Mais les évènements tra- giques du 11 septembre 2001 ont stimulé l’application de la biométrie pour amélio- rer la sécurité, accélérant ainsi le déve- loppement des normes. Le sous-comité SC 37, Biométrie, du comité technique mixte ISO/CEI JTC 1 a été créé en 2002. Le SC 37 a publié des normes biométriques dans le domaine des interfaces techniques, Photo : © Daon des formats d’échange de données, des essais de performance biométrique et des profils d’application biométriques. Il a 4 © ISO Focus+, www.iso.org/isofocus+ ISO Focus + Février 2011
t Photo : © Daon À propos de Daon Daon est un fournisseur de pointe de logiciels d’assurance de l’identité axés sur la réponse aux besoins des gouvernements et des organisations commerciales dans le monde. Daon vient à l’appui des clients et des intégrateurs de systèmes en construisant des solutions d’entreprise qui exigent le plus haut niveau de sécurité, de performance, d’adaptabilité, de fiabilité et de confidentialité. Les produits commerciaux de Daon sont adaptables, souples et ont fait leurs preuves dans les environnements les plus exigeants. Ils ont été choisis pour sécuriser plus de 700 millions d’identités dans le monde. La gamme de produits Daon couvre tous les aspects de la gestion d’identité, du pré-enregistrement et de Initiative « Identité unique » : saisie des empreintes digitales d’une écolière indienne. la preuve d’identité à l’enregistrement, à la capture multimodale, aux décisions comment allait-on assurer l’interopérabilité ISO/CEI 19794-5. Elles garantissent ainsi d’acceptation, à la qualification et des données biométriques ? que les photographies numériques prises à la fourniture d’accès. Elle fournit Fort heureusement, lorsqu’il a fallu spé- pour les clients satisfont aux exigences de cifier les données biométriques, le SC 37 l’OACI et permettent à la fois l’inspection une approche technologiquement avait été constitué et avait déjà préparé visuelle et la reconnaissance faciale. « agnostique » qui offre de nombreuses des projets de normes pour les modalités possibilités de développement aux sélectionnées. La norme en plusieurs par- ISO Focus+ : Un des plus grands pro- clients. Les bureaux de Daon sont sis ties ISO/CEI 19794 sur l’échange de don- grammes de biométrie du monde pour les à Washington DC, New York, Canberra, nées biométriques définissait le format pour systèmes d’assurance de l’identité est mis Singapour, Londres, New Delhi et les données d’image de la face (ISO/CEI en œuvre en Inde. Pouvez-vous décrire les 19794-5), du doigt (ISO/CEI 19794-4) et de plus importants défis rencontrés dans cette Dublin. l’iris (ISO/CEI 19794-6). L’OACI et le JTC entreprise et en quoi les normes ISO/CEI Pour plus d’informations : 1/SC 17, Identification des cartes et des per- de biométrie constituent une aide ? www.daon.com sonnes, ont, ainsi, pu citer ces normes à titre Catherine Tilton : L’Inde compte 1,2 mil- d’exigences pour la structure logique des liard d’habitants. De nombreux habitants données de leurs documents de voyage li- Photo : © Daon ont des moyens très limités et n’ont pas de sibles par machine, définie dans les normes documents d’identification personnels. Le OACI 9303 et ISO/CEI 7501. Ces normes gouvernement indien s’efforce depuis long- permettent, par exemple, de lire un passe- temps d’apporter un soutien de base aux port allemand et d’en vérifier les données pauvres, mais on ne dispose pas toujours de biométriques en Espagne. l’infrastructure permettant de s’assurer que Les systèmes de gestion des frontières l’aide parvient aux destinataires. Les auto- constituent un champ d’application primor- rités parlent de « fuites dans le système » dial pour Daon. L’entreprise a rapidement pour décrire cette situation dans laquelle les inclus des encodeurs et décodeurs de don- avantages disparaissent par les détourne- nées biométriques ISO/CEI 19794 dans sa ments et les intermédiaires au lieu de profi- plateforme DaonEngine, ainsi que dans son ter aux personnes dans le besoin. produit de recueil de données biométriques En 2009, une nouvelle agence, l’Autorité DaonEnroll. Il est ainsi possible d’utiliser de l’identité de l’Inde (UIDAI), a été char- les logiciels pour les systèmes de gestion gée par le gouvernement d’établir une iden- des frontières, y compris en Australie, au tification pour tous les habitants du pays qui Japon et dans l’Union européenne. Nos pla- le souhaitent et en ont besoin afin qu’ils ne teformes s’appuient en outre sur les lignes soient plus exclus du système financier et directrices relatives à la qualité de la cap- du système médical. L’agence développe le ture des données faciales énoncées dans système Aadhaar (Fondation) qui permettra ISO Focus + Février 2011 © ISO Focus+, www.iso.org/isofocus+ 5
t L’ i n v i t é e Photo : © Daon Capture d’images de l’iris au format ISO/CEI 19794-6 pour une écolière indienne. aux organismes d’enregistrement (agences pour garantir une large couverture de la formats d’échange de données biométriques de services, banques, administration fiscale, population et une exactitude de correspon- d’ISO/CEI 19794 jouent à nouveau un rôle etc.) de recueillir des informations biogra- dance qui soit suffisante pour une popula- central. En plus des normes pour l’image de phiques de base ainsi que des images des tion aussi importante. l’iris, du doigt et de la face utilisées pour les empreintes digitales, de l’iris et du visage passeports électroniques, Aadhaar a aussi auprès des résidents. recours à la norme ISO/CEI 19794-2 sur les La biométrie est utilisée d’abord pour Daon fournit données du point caractéristique du doigt des vérifications d’unicité en établissant des systèmes à des fins d’authentification et à la norme une correspondance biométrique multimo- ISO/CEI 19785 CBEFF (Cadre de formats dale « un-à-plusieurs », puis pour effectuer d’identification à quatre d’échange biométriques communs) pour une vérification d’identité « un-à-un ». Les des sept plus grandes structurer les données biométriques en four- vérifications d’unicité (ou dé-duplication) économies du monde. nissant une structure, des métadonnées et un garantissent que chaque personne n’existe bloc de sécurité communs. qu’une fois dans le système et n’a qu’un Un des fournisseurs de solutions biomé- seul numéro d’identité. La vérification per- Comme le système implique plusieurs triques d’Aadhaar se base sur la technologie met d’authentifier une identité au moment organismes d’enregistrement qui enregis- Daon pour l’intégration des dispositifs de même où des services sont fournis pour treront et authentifieront les clients dans mise en correspondance biométrique multi- s’assurer qu’ils vont aux destinataires auto- tout le pays, la biométrie doit être intero- modale ainsi que pour le stockage, la ges- risés. Une biométrie multiple est nécessaire pérable et fiable. C’est sur ce plan que les tion et la sécurité des données biométriques. Daon, qui participe aux travaux du SC 37 depuis sa création, connaît bien les normes biométriques utilisées par Aadhaar, pour les avoir déjà incorporées dans la gamme de produits Daon. ISO Focus+ : Quelles sont les raisons qui poussent Daon à investir dans l’élabora- tion des normes ISO ? Catherine Tilton : Pour reprendre les mots du PDG de Daon, Tom Grissen, « notre activité dépend fortement du partage et de l’interopérabilité des données... Pour res- ter à la pointe de la technique et être prêts lorsque nos clients le sont, nous devons pouvoir anticiper la direction dans laquelle s’orienteront les normes et avoir une pers- pective stratégique pour les incorporer dans nos plateformes.» Cette approche nous a Photo : © Daon bien servi : Daon fournit maintenant des systèmes d’identification à quatre des sept plus grandes économies du monde. 6 © ISO Focus+, www.iso.org/isofocus+ ISO Focus + Février 2011
t IS O 9001 p o u r l e s P M E ent pr océder Comm andations de l’ISO/TC 176 Recomm 10:16:25 30.04.2010 1 Avril F.indd ISO9001
t Dossier Sécurité maximum Risque minimum par Sandrine Tranchard Du terrorisme à la fraude, en passant par le piratage et le vol d’identité, la sécurité est devenue l’une des priorités majeures des pouvoirs publics, des entreprises et du grand public. Qu’il s’agisse de la sécurité des aéroports relatives à la sécurité sociétale. Les normes ou de la fuite d’informations, comme la aideront les organismes à se préparer aux récente publication de notes diplomatiques incidents pour être en mesure d’assurer la par WikiLeaks, les risques de sécurité ne continuité de leurs activités en cas de crises, connaissent pas de frontières et peuvent en renforçant la confiance dans les interac- avoir un impact sur l’économie et la société tions entre différents acteurs économiques, à plusieurs niveaux, en touchant indifférem- sociaux, commerciaux ou encore avec les ment personnes, processus et organisations. secouristes et autres organisations. Les conséquences peuvent être catastro- Nous sommes, pour la plupart d’entre phiques : décès, préjudices graves, violation nous, conscients des risques graves que le de données voire, de la sécurité nationale vol d’identité et la fraude constituent pour d’un pays, ou encore faillites, etc. la sécurité. L’ISO, au travers de son comité L’ISO propose des solutions pour faire technique ISO/TC 68, élabore des normes face aux lacunes en matière de sécurité ou relatives à la sécurité financière qui sont prévoir et gérer les menaces éventuelles. Un décisives pour rendre possible l’exécution éventail d’articles dans le dossier de ce nu- quasi instantanée de transactions qui se méro d’ISO Focus+ met en relief quelques- chiffrent en milliards chaque année et repré- unes des normes les plus importantes en la sentent un volume de paiements de plusieurs matière. billions de dollars. Ces avancées contribue- Du fait de la croissance exponentielle ront à combler les brèches de sécurité. du commerce international, il devient de La biométrie est de plus en plus utili- plus en plus difficile pour un pays de gérer sée pour garantir la sécurité personnelle. à lui seul la sécurité de la chaîne d’appro- Les Normes internationales aident à ac- croître la progression et l’efficacité de cette visionnement. Les Normes internationales technologie. de la série ISO 28000 relatives aux sys- La télébiométrique a pris de l’importance tèmes de management de la sûreté pour la il y a dix ans lorsque l’identification et l’au- chaîne d’approvisionnement harmonisent thentification sont devenues des éléments les initiatives mondiales visant à aider les essentiels de la lutte anti-terroriste. L’ISO, organismes dans des secteurs tels que la la Commission électrotechnique internatio- fabrication, la maintenance, le stockage et nale (CEI) et l’Union internationale des té- le transport afin de réduire les risques aux- lécommunications (UIT) élaborent conjoin- quels sont exposées les personnes et les tement des documents pour la transmission marchandises. simple et sécurisée d’identificateurs uniques Les conteneurs pour le transport des mar- d’objets pour les grandeurs utilisées dans chandises sont particulièrement vulnérables les mesures. dans la mesure où ils sont constamment Enfin, la cybersécurité est peut-être l’un déplacés et amenés à franchir régulièrement des plus grands enjeux de l’ère numérique. les frontières. Les Normes internationales Les normes ISO dans ce domaine aideront relatives aux scellés des conteneurs aident à prévenir les attaques telles que virus, vers les autorités à lutter contre les crimes asso- informatiques et hameçonnage. ciés et facilitent la tâche aux professionnels Les articles suivants jettent un éclairage du transport aérien, maritime, routier ou sur les domaines les plus critiques dans ferroviaire. lesquels la sécurité peut être en cause et Les tremblements de terre, les inon- montrent comment les normes ISO aident à dations, les éruptions volcaniques et les relever les défis. attaques en tous genres sont quelques exemples de risques traités par le comité Sandrine Tranchard est chargée technique de l’ISO qui élabore des normes de Communication au Secrétariat central de l’ISO. ISO Focus + Février 2011 © ISO Focus+, www.iso.org/isofocus+ 9
t Dossier Être prêt La solution La famille ISO 28000 renferme une série de normes destinées à aider des organismes à prévoir et à se remettre de tout incident Veiller à la sûreté venant perturber la chaîne. La norme qui domine cette série – ISO 28000:2007, Spé- et à la résilience sur toute cifications relatives aux systèmes de mana- gement de la sûreté de la chaîne d’appro- la chaîne d’approvisionnement visionnement – sert à fournir un système de management global de performance de sûreté tout en en réduisant le coût financier. Le cadre de système de management éta- bli par ISO 28000 peut être utilisé pour cou- vrir tous les aspects de la sûreté – évalua- tion des risques, préparation aux urgences, continuité opérationnelle, développement durable, rétablissement, résilience et/ou gestion des catastrophes – qu’il s’agisse de terrorisme, de piraterie, de vol de cargaison, de fraude ou de bien d’autres atteintes à la sûreté. Il est possible d’adopter une approche qui soit compatible avec les systèmes de management existants. Pour les organismes qui ont déjà mis en œuvre des systèmes de management avec une approche processus, leur système en vigueur peut servir de base pour la mise en œuvre de systèmes de mana- par Charles H. Piersall gement de la sûreté du type prescrit dans la norme ISO 28000. Différentes menaces, criminelles ou environnementales, pèsent sur En outre, ISO 28000 est la seule Norme internationale, publiée et pouvant faire l’objet d’une certification, à adopter une la sûreté de la chaîne d’approvisionnement, de la source des matières approche holistique fondée sur le risque premières au transport des marchandises, d’un pays à un autre, en passant pour gérer les risques associés à tout inci- par la fabrication, la maintenance ou le stockage, donc à quelque stade dent venant perturber la chaîne d’approvi- que ce soit de la production ou du processus d’approvisionnement sionnement – avant, pendant et après. La jusqu’à l’utilisateur final. norme propose des solutions pour améliorer la préparation et la résilience de façon éco- nomique en se fondant sur le modèle PDCA Pour y faire face, l’ISO propose la famille cis. Je commencerai donc par citer la défi- (planifier-faire-vérifier-agir) propre aux de normes ISO 28000 relative à la sûreté de nition que donne la norme de la « chaîne systèmes de management. la chaîne d’approvisionnement, qui connaît d’approvisionnement » : il ne s’agit pas déjà un succès retentissant : de nombreuses d’une simple succession d’éléments for- entreprises et organismes œuvrant dans mant une chaîne, mais d’un « ensemble des secteurs différents (logistique, trans- lié de ressources et de processus qui com- ISO 28000 aide ports, logiciels, industrie pharmaceutique, mence avec l’identification de l’origine les organismes à électronique, TI, etc.) ont été certifiés des matières premières et qui va jusqu’à la ISO 28000 par des auditeurs indépendants livraison des produits ou services à l’utili- gérer les événements ou sont en passe d’obtenir la certification. sateur final en passant par les divers modes perturbateurs. Nous présenterons ci-après ISO 28000, des de transport ». Il faut donc concevoir cette exemples de mise en œuvre et un récapitu- chaîne comme étant un réseau complexe, latif des développements récents de la série avec ses maillages et de multiples points Comme il est dit dans ISO 28000, « l’éva- (voir Encadré page 12). nodaux, conçu sur mesure pour répondre luation doit prendre en compte la proba- aux besoins d’un organisme ou d’un sec- bilité d’un tel événement et de toutes les teur et satisfaire aux exigences réglemen- conséquences qu’il implique, à savoir les Fini les raccourcis taires d’un gouvernement. aspects suivants : les menaces et risques de Lorsqu’il est question de sécurité, de Les raccourcis s’accompagnent souvent défaillance physique ; les menaces et risques management de la sécurité et de la sûreté de tentatives de rajouter une couche supplé- pesant sur le fonctionnement ; les incidents de la chaîne d’approvisionnement, les per- mentaire de normes de systèmes de manage- de l’environnement naturel ; les facteurs sonnes qui n’ont pas d’expérience concrète ment redéfinissant le régime de sûreté et im- échappant au contrôle de l’organisme ; les dans le domaine, ou qui n’en saisissent pas posant d’autres exigences de certification. menaces et risques du fait de parties pre- les enjeux et ne comprennent pas ce qui est Non seulement une telle approche ajoute à nantes, du type non-respect des exigences attendu des décideurs, utilisent souvent des la confusion, mais elle génère également un réglementaires ; et toute menace à la conti- mots à la mode qui sont autant de raccour- surcoût injustifié pour l’industrie. nuité des opérations.» 10 © ISO Focus+, www.iso.org/isofocus+ ISO Focus + Février 2011
t Les utilisateurs d’ISO 28000 Rien d’étonnant donc à ce que de plus en plus d’industries se tournent vers ISO 28000. Vous trouverez ci-dessous quelques exemples de l’éventail toujours plus large d’industries qui implémentent Organisation Opérateur Partenariat Partenariat pour Association pour ISO 28000 et se font certifier : mondiale économique douane-commerce la sécurisation la protection DP World a été le premier à faire cer- des douanes agréé de contre des échanges des marchandises tifier un terminal portuaire ; son réseau de la Commission le terrorisme transportées 48 terminaux, qui s’étend sur 31 pays, aura (OMD) européenne (STP) obtenu la certification ISO 28000 d’ici 2012. (C-TPAT) (TAPA) DP World est le seul opérateur de terminal Cadre SAFE portuaire à avoir été certifié ISO 28000 tout en devenant membre du C-TPAT 1) (Partena- riat douane-commerce contre le terrorisme). Organisation Ses terminaux européens ont été certifiés Opérateurs économiques agréés (AEO) par internationale ISO 28000 de normalisation l’Union européenne. Autorité portuaire de Houston, un des plus grands ports du monde, a été la pre- Comment ISO 28000 est utilisée dans le monde. mière autorité portuaire au monde à obtenir la certification ISO 28000. en matière de chaîne d’approvisionnement lippines. Il est le premier terminal portuaire YCH Group, Singapour, est la pre- pour les industries indiennes œuvrant dans de ce pays à avoir obtenu la certification mière entreprise spécialisée dans la ges- le domaine de l’électronique, des produits ISO 28000. tion de la chaîne d’approvisionnement à de consommation courante, de la chimie/ CTS Logistics-China, une entreprise obtenir la certification ISO 28000. Leader soins de santé et l’automobile. Parmi ses axée sur la logistique et la fabrication qui de la gestion intégrée et de bout en bout clients, figurent notamment DELL, ACER, fournit un ensemble de systèmes de mana- de la chaîne d’approvisionnement, YCH TPV, General Mills, HCL. gement clé en main pour les produits de Group est également le partenaire des plus DB Schenker, le deuxième plus grand consommation électroniques, informatiques grands fabricants de produits de consom- transitaire au monde, a reçu la certification et de télécommunication, a réussi sa mise en mation courante, de produits électroniques, ISO 28000 pour son siège régional pour le œuvre d’ISO 28000. chimiques et de soins, parmi lesquels Ca- secteur Asie-Pacifique, à Singapour, ainsi Banner Plasticard (Philippines), qui four- non, Dell, Moët-Hennessy, ExxonMobil, que pour ses bureaux locaux et ses activi- nit la conception et l’impression de cartes, la B. Braun, LVMH, Royal Friesland Cam- tés à l’aéroport Changi de Singapour. Klaus pina et Motorola. Eberlin, Chef de l’exploitation pour l’Asie- 1) C-TPAT est une initiative volontaire entre le Le siège régional asiatique de TNT Pacifique, considère la norme ISO comme gouvernement américain et les entreprises afin de Express, à Singapour, a été le premier in- « une sorte de norme cadre qui couvre des renforcer et d’améliorer la sécurité de la chaîne tégrateur express à obtenir la certification éléments comme les programmes TAPA. logistique et des frontières. ISO 28000. ISO 28000 ne s’arrête pas aux aspects 2) TAPA fournit un forum qui réunit des fabri- YCH India est certifiée « classe A » par concrets de la sûreté, mais traite également cants, des fournisseurs de logistique, des transpor- teurs de marchandises, des organismes chargés l’Association pour la protection des mar- d’éléments comme le flux d’information et de l’application de la loi et d’autres parties chandises transportées (TAPA)2) et ses sys- les données financières.» prenantes qui partagent un même objectif : réduire tèmes de sécurité sont certifiés ISO 28000. Asian Terminals est un opérateur por- les pertes liées aux chaînes d’approvisionnement YCH India fournit des solutions sur mesure tuaire, qui conçoit et investit dans les Phi- internationales. Même la menace la moins probable peut être lourde de conséquences pour la chaîne d’approvisionnement. Quand bien même des millions de personnes peuvent ne jamais être amenées à faire face à une telle catastrophe, 18 tremblements de terre d’une magnitude égale ou supérieure à 7 secouent la planète en moyenne chaque année – et leur impact peut être considérable. ISO Focus + Février 2011 © ISO Focus+, www.iso.org/isofocus+ 11
Vous pouvez aussi lire