IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
1. Titre de l’événementDate Page n°1
CONFERENCE ANTENNE NORD- PICARDIE
21 mai 2015
L’IFACI est affilié à
The Institute of Internal Auditors
Anticiper l’imprévisible ?
Retours d’expériences
En partenariat avec :
2. Titre de l’événementDate Page n°2
Clotilde MARCHETTI | Directeur Associé
Risk Management - Grant Thornton
Les meilleures pratiques de la place
L’IFACI est affilié à
The Institute of Internal Auditors
CONFERENCE ANTENNE NORD-
PICARDIE
Jeudi 21 mai 2015
3. Titre de l’événementDate Page n°3 63
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
La continuité d’activité se définit comme un :
« Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des
chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des
prestations de services essentielles de l’entreprise puis la reprise planifiée des activités. »
Au-delà du « plan », la continuité d’activité constitue également
un système de management qui garantit une amélioration
continue.
4. Titre de l’événementDate Page n°4 64
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
La continuité d’activité « parle » avec un ensemble d’autres
dispositifs de maîtrise des risques :
• Sécurité des systèmes d’information
• Gestion globale des risques
• Contrôle interne
• Qualité...
5. Titre de l’événementDate Page n°5 65
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
La continuité d’activité est un sujet stratégique : elle s’est
affranchie des logiques techniques / opérationnelles :
• Une obligation réglementaire : Bâle 2, Solvabilité 2, SAIV…
• Un enjeu opérationnel
• Une obligation de bon sens !
6. Titre de l’événementDate Page n°6 66
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Aujourd’hui, les entreprises qui bénéficient d’une culture PCA
sont :
• Celles qui sont soumises à une exigence réglementaire
(banques, assurances…)
• Celles qui sont vulnérables à la défaillance de leurs systèmes
d’information ou de leur supply chain
• A la marge, celles qui sont portées par une conviction
managériale
7. Titre de l’événementDate Page n°7 67
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Quel retour d’expérience ?
• Un PCA ne se fait pas sans l’engagement de la DG
• Un PCA n’est pas un projet en mode solo ou silo
• Un PCA nécessite des arbitrages forts et pas seulement en
termes de budget
• En situation de déclenchement, un PCA ne vous apporte
qu’une assurance raisonnable…
8. Titre de l’événementDate Page n°8 68
Bonnes pratiques
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Les banques ont développé de longue date des pratiques
exemplaires en matière de continuité d’activité.
Pour nous parler de l’environnement de contrôle associé à la
continuité d’activité :
• M. CATRICE, responsable Risques opérationnels et Contrôle
permanent de la banque ACCORD ONEY
9. Titre de l’événementDate Page n°9
L’IFACI est affilié à
The Institute of Internal Auditors
CONFERENCE ANTENNE NORD-
PICARDIE
Jeudi 21 mai 2015
En partenariat avec :
Pierre-Yves CATRICE,
Responsable Risques Opérationnels &
Contrôle Permanent
pycatrice@banque-accord.com
Portable: 06 23 65 42 57
10. Titre de l’événementDate Page n°10
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
• Points sur l’environnement réglementaire bancaire au titre du
PCA :
– Risques liquidité
– Risques Opérationnels
– Sous-traitance
• Gouvernance du PCA dans l’environnement Bancaire
• Quels contrôles ?
• Point particulier les données
11. Titre de l’événementDate Page n°11
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Périmètre :
• Liquidité bancaire :
– Obligation quelques soient les circonstances de disposer de liquidité
• Risque Opérationnel :
– Obligation de reprendre l’activité bancaire
•Prestataires Externes essentiels :
– Nous sommes responsables des activités sous traitées. 3 cas :
• PCA du prestataire
– Disposer de la documentation du PCA du prestataire
– Vérifier la tenue des tests / le suivi des plans d’actions suite aux tests
• Plusieurs prestataires effectuant le même processus
– Des procédures pour « passer » d’un prestataire à un autre
• Internalisation du processus
– Présence de procédures
12. Titre de l’événementDate Page n°12
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Un contrôle à 4 niveaux :
• Le contrôle de niveau 1
– Effectué par les équipes opérationnels / Selon des procédures écrites et définies
•Le contrôle de niveau 2
– Effectué par les équipes dédies indépendantes des équipes opérationnels
(Spécifié bancaire)
•L’audit Interne
– Effectué par les équipes d’audit
•Le régulateur (ACPR et ou le Régulateur Européen)
– Peut procéder à des visites sur site dans les banques et effectuer une mission
de contrôle sur le PCA
13. Titre de l’événementDate Page n°13
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Un contrôle à 4 niveaux :
• Le contrôle de niveau 1
– Effectué par les équipes opérationnels / Selon des procédures écrites et définies
•Le contrôle de niveau 2
– Effectué par les équipes dédies indépendantes des équipes opérationnels
(Spécifié bancaire)
•L’audit Interne
– Effectué par les équipes d’audit
•Le régulateur (ACPR et ou le Régulateur Européen)
– Peut procéder à des visites sur site dans les banques et effectuer une mission
de contrôle sur le PCA
14. Titre de l’événementDate Page n°14
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Point d’attention :
• Le hacking de données
– Virus
– « Virus-Rancon »
• Le vol de données
– Numéro de carte
– Données clients
• La corruption de données
15. Titre de l’événementDate Page n°15 615
Bonnes pratiques
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Le contrôle interne s’assure de la maîtrise des risques
d’interruption durable des processus. Comment engager un
partenariat avec les opérationnels au cœur de la continuité
d’activité ?
Pour nous parler de la maturité des PCA dans le domaine des
flux financiers et de leur complétude :
• M. Alain BARLIAN, Risk & Continuity Plan Manager
WORLDLINE
16. Titre de l’événementDate Page n°16
Alain BARLIAN
Risk & Continuity Plan Manager
Worldline France
alain.barlian@worldline.com
+33(0)3.20.60.91.08 ou +33(0)6.15.37.27.50
Z I A - Rue de la Pointe - 59113 Seclin – France
worldline.com L’IFACI est affilié à
The Institute of Internal Auditors
CONFERENCE ANTENNE NORD-
PICARDIE
Jeudi 21 mai 2015
En partenariat avec :
17. Titre de l’événementDate Page n°17
Crisis Management Plan
CMP
Business
Resumption Plan
BRP
Disaster
Recovery Plan
DRP
Business Continuity Plan
BCP / PCA
Business
Impact
Analysis
BIA
3 volets :
Worldline
18. Titre de l’événementDate Page n°18 618Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Worldline
3 volets :
19. Titre de l’événementDate Page n°19
• Acteurs : Management board et du BCM manager.
• Outil : Alerte (Fact24) assurée par téléphone fixe, mobile, SMS,
e-mail. Il met en conférence téléphonique les membres du
Comité de Crise (ensemble du CODIR + BCP Team) ou leurs
suppléants
• Actions :
– Recueille les informations pour prise de décision : actions et/ou déclenchement
du Plan
– Mobilise les responsables des équipes de secours (Recovery Team Leaders) du
site touché
619Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Worldline
20. Titre de l’événementDate Page n°20
Equipe d’évaluation des
dommages
Escalation Manager
Equipe BCP
Manager
CrisisCommittee
Chairman
Incident
Diagnostic
1 Arrêt
Décision de poursuivre
l’escalade
2
Déclencher
Arrêt
Réunion de
crise ?
Initialisation du BCP
(Mobilisation)
4
A
Escalade
Oui
Oui
Non
Non
Document
d’évaluation
Des dommages
Vers BRP ou DRP
Recueil d’information
3
Les 3 volets du BCP
CMP : Déclenchement d’une crise
21. Titre de l’événementDate Page n°21 621
BRP
Business Resumption Plan
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
» 3 solutions en fonction du service concerné :
– Activité reprise par une autre équipe sur un
autre site
– Les personnes se déplacent sur un autre
centre pour poursuivre leur activité
– Mise en place du télétravail grâce à un
bureau mobile (PC, GSM, accès VPN)
» Les collaborateurs nécessaires (équipe réduite) à la
continuité sont référencés et les personnes ont accepté ce
rôle.
» Notre personnel est localisé dans 11 sites de bureaux en
France
22. Titre de l’événementDate Page n°22
BU – service
fonction
Seclin La Pointe
BC Unit Rep pour mises à jour : Untel 10
Criticité RTO
4 < 2 heures
Consignes d’évacuation : Point de rassemblement
Contacts en cas d’urgence
Recovery team
Nom Bureau GSM P
Untel 06 06 06 06 06
Untel 2 06 06 09 09 09
Untel 3 06 07 07 07 07
Contacts clés
Nom Organisation Téléphone
Point fixe Standard 03 20 60 79 79
Untel 4 06 07 07 07 10
Hiérarchie AWL
Nom Business Unit Téléphone
Christophe Duquenne AWL France 06 99 99 99 99
Untel 5 06 06 09 09 05
Untel 6 06 07 07 07 06
Denis Daullé TO 06 99 99 99 99
Dominique Michiels TO TS 06 99 99 99 99
Daniel Bouet TO DS 06 99 99 99 99
R&C (Risk & Continuity) Team:
Nom Bureau GSM
Alain Barlian 03 20 60 91 08 06 15 37 27 50
Carole Fermé 01 34 34 94 30 06 23 66 75 25
Olivia Marlière 03 20 60 91 42 06 14 32 45 22
Escalation Manager (selon la nature du sinistre) :
Nom Bureau GSM
Christian Berdzinski 00 00 00 00 00 06 99 99 99 10
Dominique Michiels 00 00 00 00 00 06 99 99 99 11
Isabelle Vervaecke 00 00 00 00 00 06 99 99 99 12
Actions de recovery
En cas d’incident grave affectant le site, les actions à
suivre dès le déclenchement de l’alerte sont les
suivantes :
1. Suivre les consignes d’évacuation, en cas de sinistre
aux heures ouvrées
Les personnes ne faisant pas partie de la recovery
team doivent suivre les consignes générales et non pas
celles du BRP.
2. Joindre tous les membres de la recovery team non
présents sur le site par téléphone ou par SMS sauf s’ils
sont en congés ou en arrêt maladie. Faire le décompte
de votre recovery team avec le résultat de ces
contacts, en cochant la colonne P du tableau ci contre.
Conduite à tenir : (1) ne pas faire de déclarations aux
médias (2) ne pas spéculer ou faire des hypothèses
sur l’incident (3) ne pas quitter la zone de
rassemblement avant d’y être autorisé, en cas de
sinistre aux heures ouvrées
3. Joindre l’équipe BCP et la tenir informée de la
situation et de tout problème qui empêcherait votre
unité/fonction de fournir le service requis.
4. Conduire les actions de recovery spécifiées au verso
de ce document
Modifié le 09/09/2011 par GGS
1 – Points de
rassemblement
2 – Contacts en
cas d’urgence
3 – Actions de
recovery
23. Titre de l’événementDate Page n°23
Informations additionnelles sur le DRP de la fonction
Serveurs
Stockage
Dégradé
Front 7
Plateformes actives/actives
(en continu) avec
basculement automatique de
la charge sans dégradation de
performances
auto non
Middle 7
Plateformes actives/actives
(en continu) avec
basculement automatique de
la charge sans dégradation de
performances
auto non
Stockage
Data Back 4
Stockage avec réplication sur
site 2 en temps réel
Oui Oui auto
Traitement
Seclin La
Pointe
VendômeTypes d'architecture
Niveau
Réparti
Réparti
Reprise / Bascule
Principes
Type de DRP : Load balancing.
Démarrage en continu (bi-site distant actif/actif).
Chacun des deux sites peut traiter le volume total.
En temps normal, les flux sont adressés sur l’IPS via le DNS.
Basculement de la totalité des flux de l’IPS sur l’IRS par modification
du DNS
Documentation disponible auprès de la cellule de Supervision
Ressources requises
Servi-
ce
nor-
mal
Nombre requis pour le
rétablissement
Ressources / Délai
J1 2 à 3 4 à 5 6 à 10
Au
delà
Personnel 5 3 3 3 3 3
GSMs 3 3 3 3 3 3
PC portables 2 3 3 3 3 3
Moyens requis
PC AWL standard équipé du bundle développeur (J2E, MySQL,
Eclipse, Framework de dév AWL) avec en supplément :
Matériel / Logiciel
Certificat XXXXXXX de l’ancien poste de travail
Actions de recovery (suite)
5. Mobilisation pour le lancement du BRP
Responsable Recovery team leader
Entrée Notification de la crise par le BCP Manager.
Sortie Mobilisation des membres de la Recovery team
Préparation des PC portables (équipés de VPN
et clés Kobil) et des GSM pour travail à
distance.
Emplacement BPS (Seclin La Pointe)
Commentaire : Attention aux fonctions nécessitant
certificat (accès serveur). Solution à trouver
par la BU pour sauvegarder les certificats
ailleurs que sur les postes de travail.
6. Déclenchement du BRP
Les équipes concernées par le BRP déménagent du BPS (Business
Production Site) au BRS (Business Recovery Site)
BPS : Seclin La Pointe
BRS : Homeworking
7. Check-list d’invocation et envoi au BCP Manager
Exécution
Lieu Date Heure Exécuté par OK/NOK
8. Check-list de retour à la situation initiale et envoi au BCP
Manager
Exécution
Lieu Date Heure Exécuté par OK/NOK
4 – Informations
additionnelles sur le
DRP de la fonction
5 – Ressources
requises pour le
rétablissement
6 – Suite des actions
de rétablissement
24. Titre de l’événementDate Page n°24
• Un plan pour chaque Data Center
• Mais aussi
» Construit selon les besoins exprimés par nos
clients qui ont accepté les propositions de
Worldline
» Nous disposons de 10 Data Centres pour
l’hébergement des services ou la sauvegarde des
logiciels et des données.
» Concerne les traitements et les sauvegardes.
624
DRP
Disaster Recovery Plan
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
25. Titre de l’événementDate Page n°25
Niveau Types d'architecture Site 1 Site 2
Principes Perte du site 1 Perte du site 2
Reprise / Bascule Reprise / Bascule Reprise / Bascule
Serveurs
Stockage
Dégradé
Serveurs
Stockage
Dégradé
Serveurs
Stockage
Dégradé
Traitement
1
Fonctions non secourues
hors site (même si
redondance sur le même
site)
Actif Rien
na
Interruption
majeure
na
Interruption
majeure
na na
2
Site de DR dormant avec
basculement manuel
Actif Passif manuel non manuel non ras non
3
Site de DR dormant avec
basculement automatique
Actif Passif auto non auto non ras non
4
Plateformes actives/actives
(en continu) avec
basculement manuel de la
charge avec dégradation de
performances
Réparti manuel oui manuel oui manuel oui
5
Plateformes actives/actives
(en continu) avec
basculement automatique
de la charge avec
dégradation de
performances
Réparti auto oui auto oui auto oui
6
Plateformes actives/actives
(en continu) avec
basculement manuel de la
charge sans dégradation de
performances
Réparti manuel non manuel non manuel non
7
Plateformes actives/actives
(en continu) avec
basculement automatique
de la charge sans
dégradation de
performances
Réparti auto non auto non auto non
DRP : Criticité des traitements
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
26. Titre de l’événementDate Page n°26 626
Le PCA en mode projet
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Comprendre
l’activité
Elaborer la
stratégie
Mettre en œuvre
la stratégie
Gouvernance PCA
« Pilotage et Maintien en
conditions
opérationnelles »
Fonctionnement des
processus
Criticité des
processus / BIA
Identifier les
solutions de
continuité par
scénario
Implémenter les
procédures
Alimenter le plan
d’action
Conduite du changement
Suivi du plan d’action
Test / Exercice
1 2
Qu’est ce qui est vital ?
Quel niveau de risque j’accepte de couvrir ?