La continuité d activité des Prestations de Service Essentielles Externalisées

Transcription

1 La continuité d activité des Prestations de Service Essentielles Externalisées Avec la contribution de

2 Liste des membres du groupe de travail Claude BESNIER Bertrand DUQUENNOY Corinne DUPART Blaise GENTHON Jean-Jacques GENTRIC Wilfrid GHIDALIA Philippe JUNIER Yves LEVAVASSEUR Emmanuel PATHE Florence ROBINET-NEMEC Marc ROUSSEAU Crédit Agricole SA Crédit Mutuel Arkéa Aviva France Groupama Banque IEDOM - IEOM Forum des Compétences BIA Banque de France BNP Paribas BNP Paribas Bred - Banque Populaire Forum des Compétences 2011 Propriété intellectuelle du Forum des Compétences Tous droits de reproduction, d adaptation et de traduction réservés. Dépôt légal chez LOGITAS janvier 2012 Groupe de travail Plan de Continuité d Activité Page 2/36

3 1. Notion de PSEE et PSE Revue des PSE Recensement des prestations de services externalisées Analyse de risques Classification des prestations Expression de besoins en matière de continuité Intégration des PCA des contractants Gestion de crise et communication externe Intégration des dispositifs de continuité des contractants Conduite des tests PCA des contractants Dispositions contractuelles des PSE Établissement d un contrat Clauses juridiques bénéficiant à l a continuité d activité Conformité réglementaire Intégration de la continuité d activité au contrat Cas de la sous-traitance Continuité d activité opérée par déport de l activité Continuité d activité à travers une prestation de secours Limites du cadre contractuel Contrôle des dispositifs de continuité d activité des PSE Politique de contrôle de la continuité des PSE Points de contrôle Outils de contrôle et de suivi Annexes - Fiches pratiques Extraits du Code Monétaire et Financier Extraits du CRBF Liste indicative de PSEE de la Fédération Bancaire Française Secteurs d activités d'importance vitale Exemple de grille d impact Exemple de classification des PSE Exemple de questionnaire de classification des PSE Règles typographiques Conseil Point d attention Référence à une fiche annexe Groupe de travail Plan de Continuité d Activité Page 3/36

4 1. Notion de PSEE et PSE Le sigle «PSEE» désigne une Prestation de Service Essentielle Externalisée. Cette désignation dérive de la formulation «prestations de services ou autres tâches opérationnelles essentielles ou importantes» introduite par le Comité de la Réglementation Bancaire et Financière (CRBF) dans son Règlement n du 21 février Définition d une PSEE au sens du CRBF n Le CRBF n (version révisée du 5/05/ TITRE I. Principes et Définitions) définit, dans son article 4-r, les prestations de service essentielles externalisées comme suit : 1 er tiret : Les activités elles-mêmes soumises au CRBF ; opérations de banques, les services de paiement et les services d investissement (tels que définis au code monétaire et financier ) 2 ème tiret : Les activités connexes aux opérations de banques, services de paiement et services d investissement, qui ne sont pour autant pas soumises au CRBF ème tiret : Les prestations de service participant directement à l'exécution des opérations ou des services mentionnés ci-dessus 4 ème tiret : Les autres activités qui pourraient avoir un impact significatif sur les activités mentionnées ci-dessus Cette définition invite les entreprises assujetties à construire, selon leur modèle d appréciation des impacts, la liste des prestations de service qu elles estiment relevant de PSEE. Une liste indicative des PSEE a été formalisée par la Fédération Bancaire Française. Le CRBF exclu des services essentiels : Les prestations de service portant sur des activités non couvertes par l agrément ou l habilitation de l entreprise L achat de prestations standard, y compris des services fournissant des informations de marché ou des flux de données sur les prix Règlement Général de l Autorité des Marchés Financiers (AMF) L Autorité des Marchés Financiers (AMF) introduit, dans l article de son Règlement (LIVRE III. PRESTATAIRES, Chapitre III. Règles d Organisation), l obligation de mise en œuvre d un plan de continuité d activité pour les prestataires de services d investissement. Le Règlement AMF pose également dans ses articles à (sous-section 5. Externalisation) la définition de «tâches ou fonctions opérationnelles essentielles ou importantes pour la fourniture d'un service ou l'exercice d'activités» et l obligation d assurer leur continuité. Groupe de travail Plan de Continuité d Activité Page 4/36

5 Notions retenues par le Forum des Compétences Dans son étude, le a retenu les notions suivantes : Prestation de service essentielle externalisée (PSEE) clairement identifiable au sens de la réglementation (en référence notamment aux codes monétaires et financiers) Prestation de service externalisée (PSE) désignant toute prestation que l entreprise souhaite gérer dans le cadre de sa continuité d activité. Par cette définition, toutes les PSEE sont de fait des PSE. Dans la suite du document, sauf mention contraire, toutes les prestations évoquées sont des «PSE». Cas particulier des prestations délivrées par les institutions, les opérateurs publics, communautaires ou privés La continuité des prestations délivrées par des acteurs majeurs ou exclusifs de leur secteur fait l objet le plus souvent d une réflexion globale : Institutions publiques ou privées contributives au système financier (Banque Centrale Européenne, Banque de France, Bourse de Paris, ), opérateur «communautaire» d échanges financiers (SWIFT) Le groupe Robustesse piloté par la Banque de France travaille, en collaboration avec les principaux acteurs concernés, sur la continuité de la place financière parisienne, notamment en cas de chocs extrêmes. La continuité des prestations de ces institutions s inscrit dans une réflexion commune, qui tient compte des plans de continuité d activité de chacun des contributeurs. Opérateurs de service public ou de concessions (production et distribution d énergie, services de télécommunication, services postaux et de courrier, distribution d eau potable, transports, administration civile, services d ordre public et de sécurité, etc. Le souscripteur pourra tenir compte, dans la priorisation de traitement de la continuité de ses PSE, à la fois des enjeux liés à leur défaillance éventuelle mais également de la typologie des prestataires les délivrant. Ce point sera davantage précisé au chapitre «5. Contrôle des dispositifs de continuité d activité des PSE». On notera que la plupart de ces institutions ou opérateurs sont concernés, en France, par le décret n (du 23/02/2006) relatif à la Sécurité des Activités d'importance Vitale ou SAIV. Sur la douzaine de secteurs identifiés, plus de 200 Opérateurs d Importance Vitale ou OIV ont été recensés. Leur liste est classifiée «Confidentiel Défense». Ces OIV sont assujettis à la Directive Nationale de Sécurité ou DNS de leur secteur, décrivant notamment les scénarios de risques propres à chacun de leur secteur et les objectifs de sécurité et de continuité à atteindre. Ces directives sont également classifiées «Confidentiel Défense». Groupe de travail Plan de Continuité d Activité Page 5/36

6 2. Revue des PSE Le présent chapitre pose les principes méthodologiques pour établir la cartographie des PSE d une entreprise et dresser les exigences de continuité relatives à ces prestations. Ces principes s articulent autour de quatre étapes : Recensement des prestations de services externalisées (PSE) Analyse de risques Classification Expression de besoins de continuité sur les PSE 2.1. Recensement des prestations de services externalisées L identification d une PSE et du niveau de continuité associé doit constituer, à terme, une action systématique de toute souscription de service. Elle pourra judicieusement s opérer aux étapes d expression de besoins (cahier des charges), de consultation, de négociation puis de contractualisation d une prestation. La prise en compte de la dimension PSE s inscrira idéalement au sein du processus achat : Mise en place d un questionnement à l attention du métier, en phase d expression de besoins Mise en place d un questionnement du prestataire, en phase de consultation Élaboration de clauses particulières à intégrer en phase de contractualisation Ces éléments portés par la Fonction Achat nécessitent, pour autant, l implication des métiers. Pour les prestations déjà souscrites, plusieurs approches sont envisageables, éventuellement de manière complémentaire : Une action de recensement global. Cette action est potentiellement lourde, puisqu elle réclame la revue de l intégralité des contrats et conventions établies. Une revue à l occasion du renouvellement d un contrat ou d une convention. En fonction de la durée et de la date de signature de chaque contrat, cette revue risque d être longue. Du reste, les contrats tacitement reconduits risquent d échapper à cette revue. Une action de recensement des prestations essentielles dans le cadre de la démarche de collecte des besoins de continuité (Business Impact Analysis, BIA) animée par le Responsable de la Continuité d Activité (RPCA). Cette approche est recommandée La cartographie des PSE doit faire l objet d un suivi régulier en particulier s il s agit de PSEE. Ce suivi est généralement opéré par la fonction de management des risques opérationnels ou par la fonction conformité. Groupe de travail Plan de Continuité d Activité Page 6/36

7 2.2. Analyse de risques Le recours à toute prestation de service mérite qu une analyse de risques préalable soit établie de manière à ce que la souscription de la prestation soit effectuée en «pleine connaissance de cause». Le Forum des Compétences attire l attention sur deux typologies de risques, dans le contexte des PSE : Les risques liés à l acte d externalisation Les risques relatifs à la continuité de la prestation Risques liés à l acte d externalisation Il s agit des risques traditionnels qui découlent de tout acte d externalisation, généralement analysés dans les phases amont du processus de souscription : Risques inhérents à la maîtrise de l expertise du prestataire (et de sa potentielle «dilution» pour le donneur d ordre) Risques relatifs au prestataire (de part sa surface, sa notoriété, sa pérennité, ) Risques inhérents à la situation géographique voire géopolitique de la prestation Le Forum des Compétences suggère un regroupement en quatre familles : Risques d ordre stratégique, notamment lorsque le prestataire opère depuis des pays présentant potentiellement des risques réglementaires ou souverains. Risques d ordre métiers : la perte d'expertise technique ou de compétences internes entrainant deux corollaires : difficulté à ré-internaliser la prestation, difficulté pour juger des compétences du prestataire et/ou des solutions de continuité du prestataire la mauvaise qualification du prestataire et des exigences de sécurité la perte de contrôle ou d'indicateurs de suivi défaillants ou inadaptés les risques techniques, liés à la délivrance opérationnelle du service par le prestataire, à la création d une dépendance technique, ou les risques d adjacences des systèmes Risques d ordre juridique, englobant l ensemble des risques attachés au contrat liant le client à son prestataire Risques d ordre commercial, lorsque l externalisation créée une dépendance commerciale au prestataire. À titre d exemple, peut être cité le risque induit par la position dominante de certains fournisseurs (monopole, oligopole, effets dominos), et le risque de solvabilité Comme mentionné à l article 37-2 du CRBF n (idem à l article du règlement de l AMF), l'acte d'externalisation n affranchit pas le donneur d ordre au respect des obligations qui lui incombent sur les activités sous-traitées. Le donneur d ordre doit, de fait, conserver l expertise nécessaire pour contrôler les prestations, contrôler effectivement ces prestations et gérer les risques associés à l externalisation. Groupe de travail Plan de Continuité d Activité Page 7/36

8 Risques relatifs à la continuité de la prestation Pour rendre sa prestation, le fournisseur s appuie sur des locaux, des ressources humaines, un système d information (SI), des moyens de production, et peut solliciter éventuellement une sous-traitance. Chacune de ces ressources est assujettie à des risques endogènes et exogènes. Toutefois, quels que soient ces risques, l attente du donneur d ordre portera en priorité et a minima sur la couverture des quatre scénarios traditionnels : Perte et/ou inaccessibilité des locaux Perte et/ou indisponibilité du SI Absence majeur de collaborateurs Indisponibilité de sous-traitants essentiels à la conduite de la prestation On notera que les scénarios dits de «choc extrêmes» proposés par le Groupe Robustesse peuvent également être retenus selon l importance de la PSE. Enfin, l analyse de risques visera à d identifier la pertinence, pour le donneur d ordre d adresser les situations de sinistres simultanés du prestataire et de lui-même. Un éclairage est apporté sur ce sujet au chapitre Classification des prestations La classification des PSE a pour finalité l optimisation des efforts à déployer par le donneur d ordre pour s assurer de la continuité des prestations qu il souscrit. Ils sont naturellement corrélés aux enjeux que le donneur d ordre leur prête. Cette classification vise notamment à adapter les dispositifs de contrôle à mettre en place sur la continuité des PSE. La classification des PSE pourra être établie au travers de plusieurs facteurs. Le Forum des Compétences estime que deux facteurs sont prépondérants : Facteur 1 : «caractère réglementé» ou non de la prestation Il s agit de distinguer parmi l ensemble des PSE celles qui relèvent de l obligation réglementaire du CRBF ou de l AMF : ce sont les PSEE. Pour celles-ci, le donneur d ordre à l obligation de s assurer voire, le cas échéant, d assurer lui-même la continuité de la prestation face à des événements majeurs. Parmi la liste PSEE du donneur d ordre peuvent figurer des prestations elles-mêmes assujetties à la réglementation (CRBF, AMF). Leur prestataire assujetti doit disposer d un PCA et l autorité de régulation dont il dépend est en mesure de le contrôler. Cette situation est facilitatrice pour la mise en place de contrôle par le donneur d ordre. Pour les PSE non réglementées, le Forum des Compétences recommande d exploiter le facteur «criticité» de la prestation détaillé ci-après. Facteur 2 : «criticité» de la prestation La «criticité» vise à apprécier l importance de la prestation pour le donneur d ordre. Cette criticité est directement corrélée au niveau d impact qu aurait (dans le temps) l interruption de la prestation sur le donneur d ordre. Plus cet impact est fort, plus la PSE devient critique. Le Forum des Compétences recommande d appliquer la démarche d analyse d impact généralement définie par la fonction management des risques opérationnels au sein de l entreprise. Groupe de travail Plan de Continuité d Activité Page 8/36

9 Cette démarche repose le plus souvent sur une grille d impact exprimée selon deux axes : Un axe critères d impact À titre d illustration, les critères généralement employés sont : impact financier, impact client (éventuellement subdivisé selon la nature des clients : personnes morales ou physiques), impact juridique et/ou réglementaire, impact d image, etc. Un axe échelle d appréciation de ces critères sur 3, 4, ou 5 niveaux À titre d illustration, l impact peut être valorisé sur une échelle à 5 niveaux : faible, notable, significatif, grave, vital. Pour «objectiver» l estimation de l impact de l interruption d une PSE, le Forum des Compétences recommande que les niveaux de l échelle d appréciation soient explicités quantitativement ou qualitativement pour chaque critère d impact. D autres facteurs complémentaires peuvent également être exploités pour la classification des PSE. Ces critères de second niveau caractérisent davantage le prestataire que la prestation. Ils permettent néanmoins d anticiper les freins ou, au contraire, les leviers qui faciliteront ou non l application d une politique de contrôle de la continuité de la prestation. Le Forum des Compétences propose les trois facteurs complémentaires suivants : Prestataire «de place», c.a.d. délivrant une prestation à la majorité ou la totalité des acteurs concernées de la place financière. Le donneur d ordre cherchera à mettre en place un plan de contrôle de la continuité de la prestation, tout en sachant qu il s expose possiblement à une possible réticence du prestataire. Dans l hypothèse où le prestataire garantit la continuité de sa prestation et délivre des éléments tangibles témoignant de sa continuité, il reste néanmoins pertinent de prévoir des modalités de contrôle. Dans un souci d efficacité du contrôle et, dans une certaine mesure, de rétablissement du rapport de force, le Forum des Compétences évoque la possibilité de mutualiser les efforts de contrôle entre les différents souscripteurs de la PSE. Cette mutualisation est également simplificatrice pour le fournisseur, puisqu elle réduit le nombre de sollicitations pour le contrôle de sa prestation. La Fédération Bancaire Française propose, dans le document «Externalisation : contrôle des activités externalisées des prestataires communs» (09/2009), des référentiels pour le contrôle commun de prestataires, pour différente activités. Les donneurs d ordre qui mutualisent leurs efforts de contrôle veilleront à ce que ces contrôles mutualisés s établissent de manière contradictoire et dans le respect du droit des affaires, notamment du principe de libre concurrence. On notera qu il est difficile d estimer a priori si notamment la situation l y contraignait quelle priorisation le prestataire dit «de place» établirait dans le traitement de ses clients affectés par l interruption de sa prestation. Chaque donneur d ordre pourra apprécier cette potentialité dans le cadre de sa stratégie de continuité. Dimension de la prestation Plusieurs modes d évaluation de la dimension de la prestation sont envisageables. Le Forum des Compétences recommande d apprécier cette dimension en regard du chiffre d affaires de la prestation sur le chiffre d affaire global du prestataire, (informations généralement communiquées dans le cadre d une consultation). Plus la PSE souscrite sera significative pour le prestataire (en termes de volume, de chiffre d affaire, de durée, etc.) et plus le donneur d ordre disposera de levier pour négocier l application d une politique de contrôle. Groupe de travail Plan de Continuité d Activité Page 9/36

10 Le caractère cœur de métier de la PSE pour le prestataire, peut être utilisé comme un facteur de qualification de la dimension de la prestation. L éloignement de la PSE du cœur du métier du prestataire fait peser un risque sur la qualité de la continuité de la prestation en cas d événement majeur, voire même en fonctionnement nominal. Taille du prestataire en regard de celle du donneur d ordre La dimension relative du prestataire vis-à-vis de celle du donneur d ordre est de nature à constituer un rapport de force dans le cadre de la négociation, à l avantage d une des parties. Le prestataire de la PSE peut avoir un portefeuille clients particulièrement déséquilibré, en faveur d un donneur d ordre en particulier. Cette situation de dépendance vis-à-vis d un donneur d ordre met en évidence la potentialité d un risque sur la continuité de la PSE en cas de défaillance, même temporaire, du donneur d ordre. Ces critères pourront être intégrés dans le cadre d une grille de classification. et d un questionnaire 2.4. Expression de besoins en matière de continuité L expression de besoins de continuité des PSE est l élément par lequel le donneur d ordre formalise son exigence de continuité sur les prestations souscrites, face à des événements majeurs. Cette expression doit s inscrire dans le cadre des exigences de qualité de service que devra honorer le prestataire pour sa prestation et constitue le point de référence à partir duquel la politique de contrôle pourra être définie, conjointement entre les parties. L expression de besoins de continuité des PSE constitue traditionnellement un des volets de la démarche «Bilan d Impact sur Activité» ou BIA (Business Impact Analysis). Le Forum des Compétences recommande que cette expression comporte, a minima, les quatre types de besoins suivants : Scénarios à couvrir Ces scénarios découlent, a minima, des autre scénarios traditionnels : Perte et/ou inaccessibilité des locaux Perte et/ou indisponibilité du SI Absence majeure de collaborateurs Indisponibilité de sous-traitants essentiels à la conduite de la prestation Ces scénarios pourront être enrichis de : L analyse de risques réalisée par le donneur d ordre et évoquée plus haut. L analyse de risques détaillée, réalisée éventuellement par le prestataire, supposé maîtriser le processus, la localisation et les ressources nécessaires à la conduite de sa prestation. Ces scénarios doivent être qualifiés par leur ampleur géographique et temporelle. À noter que le donneur d ordre pourra interroger son prestataire sur la couverture des chocs extrêmes, qualifiés par les Autorités de Place. Attention cependant à garder lucidité et pragmatisme face à ces situations particulières qui relèvent généralement de la «force majeure» (dans l usage contractuel habituel). Groupe de travail Plan de Continuité d Activité Page 10/36

11 Délai de reprise de la prestation Ce délai précise la durée au bout de laquelle la prestation interrompue doit avoir été restaurée par le prestataire. Ce délai est une métrique temporelle, décomptée entre deux instants : L instant de l interruption de la prestation, à partir duquel la prestation n est effectivement plus rendue L instant de sa reprise fonctionnelle, éventuellement en mode dégradé, à partir duquel le donneur d ordre dispose d une prestation satisfaisante La définition de ce délai de reprise peut varier selon les prestataires. Pour certains types de prestations, le délai de reprise pourra être décompté à partir de la prise de décision effective d activation du dispositif de continuité. Dans ce cas, il conviendra de fixer préalablement les délais de diagnostic de la situation et de prise de décision pour piloter le délai global de reprise de la prestation. Plusieurs appellations désignent cette métrique Perte de données DIMA (Délai d Interruption Maximal Admissible) DMIA (Délai Maximal d Interruption Acceptable) DMIT (Délais Maximal d Indisponibilité Tolérable) RTO (Recovery Time Objective) GTR (Garanti de Temps de Rétablissement) Cette notion, exprime la perte maximale d informations que tolère le donneur d ordre, décomptée à partir d un instant de référence, généralement l instant de l interruption. Cette notion est particulièrement employée dans le cadre de traitement informatique, dès lors que de l information est conservée ou traitée par le prestataire. Cette notion pose la problématique de cohérence des données restaurées et plus généralement du traitement informatique du prestataire, par rapport au contexte du système d information du donneur d ordre. En effet restaurer un état précédent du traitement chez le prestataire peut réclamer au donneur d ordre de revenir au même état précédent sur son système d information. Plusieurs appellations désignent cette notion : PDMA (Perte de Données Maximale Admissible) PDMT (Perte de données Maximale Tolérable) RPO (Recovery Point Objective) Niveau de dégradation acceptable ou de performance à maintenir Cette notion traduit le niveau de dégradation ou de performance de la prestation (acceptable pour le donneur d ordre) durant une période déterminée et consécutive au délai de reprise. Les critères d appréciation de la performance nominale et de sa dégradation doivent être convenus avec le prestataire. Ils peuvent s exprimer de manière variée selon la nature de la prestation souscrite : volumétrie de traitement, périmètre à maintenir, cible de populations à prioriser, processus alternatifs dégradés garantis, Groupe de travail Plan de Continuité d Activité Page 11/36

12 L expression de ces besoins doit rejoindre le cadre contractuel de la prestation. Ce cadre doit par ailleurs autoriser la révision de l expression de besoins par le donneur d ordre et assurer au prestataire la possibilité d adapter son dispositif en fonction des évolutions réclamées. Groupe de travail Plan de Continuité d Activité Page 12/36

13 3. Intégration des PCA des contractants Toute souscription d une prestation de service réclame une coopération des cocontractants pour sa mise en œuvre. Dans le même esprit, la mise en place de Plans de Continuité d Activité autour de la PSE souscrite nécessite une coopération active des contractants. Ainsi, le donneur d ordre et le(s) prestataire(s) sont collectivement intéressés par : Une relation régulière et de qualité, autour de la prestation rendue et de son secours Cette relation est notamment établie au travers de comités de pilotage de la prestation, dans lesquels sont suivis les indicateurs contractuels de qualité de service. Le donneur d ordre veillera à ce que des acteurs en charge de la continuité d activité soient nommément désignés par chacune des parties. Le donneur d ordre pourra convier ces acteurs de la continuité d activité aux comités de pilotage de la prestation ou organiser des réunions spécifiques en tant que de besoin. Pour les PSE considérées critiques, une fréquence au moins annuelle est fortement recommandée. La mise en place de modalités pratiques de gestion de crise, dans l hypothèse de l interruption de la prestation L imbrication de leurs PCA pour garantir le maintien de la prestation, selon que le sinistre affecte le donneur d ordre, son prestataire ou simultanément l ensemble des contractants La définition, la planification des tests des PCA et la mesure de leurs incidences sur la délivrance de la prestation Le Forum des Compétences invite le donneur d ordre à formuler une expression de besoins explicite sur le niveau de service (volume, qualité et durée de ce niveau) à maintenir sur la PSE en situation de sinistre, qui constitue un critère dimensionnant pour le secours. Dans les paragraphes qui suivent sont proposés les points d attention à observer pour une meilleure intégration des PCA, des dispositifs de gestion de crise et de tests. Ces points d attention s articulent autour de trois situations particulières : CAS N 1) Le sinistre affecte la prestation côté donneur d ordre Dans ce cas, le donneur d ordre pourra examiner en quoi son passage en PCA pourrait affecter la délivrance de la prestation par son prestataire. CAS N 2) Le sinistre affecte la prestation côté prestataire La continuité de la prestation pourra être assurée selon l un des modes suivants : CAS N 2A) Le secours de la prestation est opéré par le prestataire directement affecté par le sinistre (à travers un PCA contractuellement mis en œuvre par le prestataire) Groupe de travail Plan de Continuité d Activité Page 13/36

14 CAS N 2B) Le secours de la prestation est assuré par déport de l activité sur un ou plusieurs autres prestataires contribuant, en temps normal, à la délivrance de la prestation. Ce mode suppose que le donneur d ordre répartisse habituellement l activité entre au moins deux prestataires. De manière à faciliter le déport de l activité entre prestataires, le donneur d ordre veillera à standardiser au maximum les interfaces et le formalisme des échanges autour de la prestation. Le fait de s appuyer pour la prestation sur plusieurs acteurs, en temps normal, délivre, par construction, une assurance sur la capacité à réaliser de chacun. Pour autant, cette approche ne garantit pas que le(s) prestataire(s) secondaire(s) est/seront en mesure d absorber la charge du prestataire sinistré, le jour du sinistre. Le donneur d ordre cherchera à atténuer ce risque au travers de : Tests spécifiques «de volumétrie», idéalement à des périodes différentes La délivrance par le ou les prestataires d un suivi régulier de leur capacité disponible et/ou capacité maximale CAS N 2C) Le secours de la prestation est opéré par un prestataire tiers n intervenant qu en situation de sinistre (le basculement sur le prestataire prévoit de manière contractuelle au moins un délai d activation et une montée en charge) La sollicitation exclusive du prestataire en situation de sinistre laisse néanmoins peser un doute sur sa «réelle» capacité à faire le jour du sinistre. Le donneur d ordre cherchera à atténuer ce risque au travers de : Tests réguliers (idéalement menés en impromptu, si le prestataire l y autorise) Intégration systématique du prestataire de secours dans les évolutions survenant sur la prestation nominale et son secours (interfaces, modalités d échanges, interlocuteurs, volumes, etc.) Obligation du prestataire à signaler auprès du donneur d ordre toute évolution survenant sur son périmètre afin que celui-ci puisse juger de leurs impacts sur son secours. CAS N 2D) Le secours de la prestation est assuré par le donneur d ordre par réinternalisation. La prestation faisant l objet d une externalisation, ce cas de figure réclame que le donneur d ordre maintienne le savoir-faire requis et garantisse sa capacité à mobiliser les ressources nécessaires à une telle reprise, éventuellement en mode dégradé. CAS N 3) Le sinistre affecte simultanément l ensemble des parties Dans une telle situation où les acteurs sont potentiellement tous en PCA, le donneur d ordre doit examiner que l ensemble des interactions perdurent pour tenir ses obligations. La revue de ces interactions constitue une étape de l intégration des PCA des contractants. Le Forum des Compétences recommande que le donneur d ordre et le prestataire établissent ensemble la liste des sinistres les impactant de façon simultanée au travers d une analyse de risques (cf. 2.2). À titre d illustration, les situations ci-après peuvent contribuer à l émergence d un risque : Proximité «géographique» des contractants pouvant induire les mêmes dépendances (bassins d emploi, fournisseurs d énergie ou de fluides, opérateurs télécoms, prestataires, ) Dépendances techniques ou informatiques des contractants (SI imbriqués) Groupe de travail Plan de Continuité d Activité Page 14/36

15 3.1. Gestion de crise et communication externe La gestion de crise PCA a déjà fait l objet d une publication par le Forum des Compétences (cf. «Gestion de crise», juin 2009). Le présent chapitre se focalise ici sur l incidence de l externalisation d une activité sur le dispositif de gestion de crise et de communication externe, lors d une défaillance d une PSE. Toute situation de crise en lien avec la PSE doit faire l objet d un dialogue entre le donneur d ordre et son prestataire, afin que la partie sinistrée informe régulièrement et factuellement les autres contractants. Ce dialogue, qui sort du cadre habituel des échanges entre le donneur d ordre et son prestataire, doit être prévu contractuellement afin de : Fixer l obligation d information réciproque des parties en cas d un incident affectant la prestation, idéalement selon une procédure d escalade convenue entre les parties Identifier les interfaces entre les parties concernées (n de téléphone, adresse , fax, noms des interlocuteurs, etc.) qui assureront, le cas échéant, de manière permanente (éventuellement au travers d astreintes) : La réception des alertes et des remontées d information de la partie sinistrée Les échanges réguliers afin de coordonner le secours de la prestation Fixer les rôles et responsabilités de chaque partie, notamment celle de la prise de décision de déclenchement du PCA (qui revient habituellement au donneur d ordre). Dans le CAS N 2A) cette décision pourra être déléguée au prestataire nominal. Convenir, en amont, des conditions d activation et des délais de mise en œuvre des étapes clefs (activation d une cellule de crise, activation du PCA, reprise de la prestation en mode dégradé, reprise de la prestation en régime nominal, etc.). Le déclenchement d un PCA lié à une PSE peut perturber significativement les activités des parties (baisse ou augmentation subite d activité selon l acteur observé) et avoir une incidence sur leurs clients respectifs. Or, les intérêts des parties concernées peuvent diverger le jour du sinistre. Il convient donc de clarifier en amont, tant que faire se peut, les conditions d activation du PCA. Le donneur d ordre pourra également chercher à cerner les effets «collatéraux» du passage en PCA avec ses prestataires. Confirmer que la communication externe vis-à-vis des médias, est menée de manière coordonnée entre le donneur d ordre et le prestataire, sinon placée sous le pilotage du donneur d ordre, responsable de l activité sous-traitée. La communication externe fonction régalienne des Directions Générales est délicate à encadrer contractuellement car elle constitue un outil essentiel de maîtrise de leur image de marque. Le Forum des Compétences recommande de fixer au moins le principe d une coordination des organes de communication des contractants. En outre, le Forum recommande que le donneur d ordre intègre sa Direction de la Communication au sein du dispositif de gestion de crise et dans le cadre des tests PCA et des tests de gestion de crise (cf. publication «Tests et gestion de crise»). Pour les cas de chocs extrêmes, traités au niveau de la Place par le groupe Robustesse, la communication est traitée comme une «communication globale» coordonnée entre les acteurs de la Place, sous l impulsion de La Banque de France. Le Forum recommande que le dialogue entre le donneur d ordre et son prestataire s établisse à deux niveaux : au niveau décisionnel pour partager et assurer la cohérence des décisions, au niveau opérationnel pour piloter et synchroniser les opérations. Groupe de travail Plan de Continuité d Activité Page 15/36

16 Afin de traiter les CAS N 3) de sinistres simultanés d un ou plusieurs prestataires et du donneur d ordre, les dispositifs de gestion de crise mis en place par les prestataires et le donneur d ordre, ainsi que leurs interfaces, doivent faire l objet de tests conjoints Intégration des dispositifs de continuité des contractants Le passage en PCA d une des parties réclame que l autre partie non affectée adapte son fonctionnement aux modalités du secours prévues. Ces adaptations sont à examiner lors de la définition et la mise en œuvre du PCA puis à vérifier dans le cadre de tests. Elles varient en fonction des cas de figure et de la stratégie de secours de la PSE. CAS N 1) Le sinistre affecte la prestation côté donneur d ordre Le donneur d ordre doit examiner en quoi l activation de son PCA et son passage en secours pourraient affecter la délivrance de la prestation par son prestataire et perturber son propre usage de la prestation. Ces éléments seront étudiés avec le prestataire afin qu il examine sa capacité opérationnelle à adapter sa PSE. Le donneur d ordre pourra s interroger sur les principales questions suivantes : Suis-je en mesure de continuer à «alimenter» le prestataire? Au même rythme? Est-ce que je dispose toujours des mêmes modes d échanges? Faut-il prévoir des modes d échanges spécifiques en cas de sinistre? Suis-je en mesure de «consommer» sa prestation? Au même rythme? Faut-il lui demander d adapter son rythme ou de «stocker» sa production? Dois-je rediriger les flux ailleurs (nouveaux sites de production)? CAS N 2A) Le secours de la prestation est opéré par le prestataire directement affecté par le sinistre Dans le cas le plus favorable, le prestataire assure le maintien de la PSE de manière transparente pour le donneur d ordre. Ce dernier est informé du passage en secours, mais cela est sans impact sur sa «consommation» de la PSE. Dans les autres cas, le prestataire et le donneur d ordre devront mener une gestion de crise et un passage en fonctionnement sur le secours coordonnés : Donneur d ordre Informer les métiers utilisateurs de la prestation du passage en mode secours de la PSE Activer les modalités de fonctionnement en mode secours (mode dégradé) Mettre en relation les acteurs techniques en charge des «interfaces» de la PSE afin de conduire les adaptations nécessaires Communiquer sur la situation auprès les clients finaux de la prestation Prestataire Conduire le PCA de la prestation Se coordonner avec le donneur d ordre pour exploiter les modes de fonctionnement de secours Mettre en relation les acteurs techniques en charge des «interfaces» de la PSE afin de conduire les adaptations nécessaires Informer le donneur d ordre de l avancement des travaux et des délais prévisionnels (activation, fonctionnement en secours, retour à la normale) Groupe de travail Plan de Continuité d Activité Page 16/36

17 CAS N 2B) Le secours de la prestation est assuré par déport de l activité sur un autre prestataire contribuant, en temps normal, à la délivrance de la prestation ou CAS N 2C) n intervenant qu en cas de sinistre Pour ces deux cas de figure, le donneur d ordre est le coordinateur de la mise en œuvre du PCA. Prestataire défaillant Donneur d ordre Prestataire de secours Alerter son client de l incident conformément au processus d escalade Informer régulièrement son client de de la situation Faire le point de la situation du traitement des flux d avant l incident avec le donneur d ordre Informer le client de la capacité à reprendre effectivement le traitement de la prestation initiale Informer les métiers utilisateurs de la prestation de la situation Coordonner le déport de la prestation sur le ou les prestataires secondaires Activer les modalités de fonctionnement en mode secours Faire un point de situation d avant l incident : énumérer les flux précédemment transmis au prestataire défaillant qui n ont pas pu être traités avant l incident Mettre en relation les acteurs techniques en charge des «interfaces» de la PSE Rediriger les flux à destination du prestataire défaillant vers le ou les autres prestataires Transmettre (sur consignes des métiers utilisateurs internes) les flux précédemment transmis au prestataire défaillant qui n ont pas pu être traités avant l incident Communiquer sur la situation auprès les clients finaux de la prestation Coordonner le basculement inverse de la prestation Informer le client de la capacité à reprendre tout ou partie de la charge du prestataire défaillant Activer le dispositif de secours dans le CASN 2/C) Mettre en relation les acteurs techniques en charge des «interfaces» de la PSE Conduire si nécessaire les adaptations nécessaires pour intégrer les nouveaux flux Traiter les flux que le prestataire défaillant n a pas pu traiter Informer le donneur d ordre de la capacité à maintenir ou accroître la charge d activité Le CAS N 2C) présente un risque que doit apprécier le donneur d ordre avant sa souscription et pour lequel il doit envisager, le cas échéant, de renforcer les tests selon la complexité et le volume de la prestation. En effet, le jour du sinistre, le prestataire tiers pourrait se trouver dans l incapacité à délivrer totalement la prestation soit du fait de son plan de charge (volume trop important) soit de la technicité de la prestation (savoir-faire et moyens à réunir trop lourds). Le test régulier du secours de la prestation est de nature à réduire ce risque. CAS N 2D) Le secours de la prestation est assuré par le donneur d ordre par réinternalisation Le donneur d ordre opère intégralement le secours de la prestation. Dans ce cas, l imbrication du PCA porte sur la gestion de crise coordonnée puis sur la reprise de l activité nominale par le prestataire, s il en a la capacité. CAS N 3) Le sinistre affecte simultanément l ensemble des parties L intégration des PCA en cas d activation du PCA du donneur d ordre et du PCA d un ou plusieurs des prestataires est à traiter de façon spécifique. Dans les situations de chocs extrêmes, le niveau de service à atteindre pourra être réexaminé à la lumière de l incidence du sinistre sur les clients finaux de la prestation. Groupe de travail Plan de Continuité d Activité Page 17/36

18 La mise en place de solutions pour répondre à cette typologie de sinistre présente un degré de complexité supplémentaire. Les PCA des contractants doivent être testés de façon simultanée Conduite des tests PCA des contractants La conduite de tests PCA a pour objet de vérifier le caractère opérationnel du secours mis en œuvre ou, à défaut, à disposer d éléments à caractère probant de son fonctionnement. Ce sujet a fait l objet d une publication du Forum des Compétences «Test et gestion de crise». La conduite de tests PCA vise un objectif complémentaire : vérifier la bonne intégration du PCA d un des contractants dans le cadre du fonctionnement spécifique prévu par les contractant en situation de sinistre. Dans le cadre de leur mobilisation conjointe, les contractants conviendront ensemble des modalités de test (protocole) et de restitution du test (bilan et enseignements), du calendrier, des acteurs à solliciter et des ressources à réserver. Le Forum des Compétences recommande au donneur d ordre d adopter contractuellement le principe d une participation aux tests PCA de ses sous-traitants, même si le dispositif prévoit un maintien de la PSE de manière transparente pour le donneur d ordre d exercer dans un premier temps ce principe pour les prestataires les plus sensibles À défaut d une participation active, le donneur d ordre pourra réclamer : le plan de tests incluant la typologie et le calendrier des tests les comptes-rendus de tests les plans d amélioration afférents Un prestataire rendant la même PSE à plusieurs donneurs d ordre (cas des prestataires de place) pourra souhaiter impliquer plusieurs de ses donneurs d ordre afin d optimiser son plan de tests et mutualiser les résultats du test. Le donneur d ordre cherchera, de son côté, à apprécier : la reproductibilité et la représentativité de ces résultats la capacité du prestataire à délivrer la prestation à l ensemble de ces clients. Dans le CAS N 3), sinistre affectant simultanément l ensemble des parties, des tests simultanés du PCA du donneur d ordre et du PCA du ou des prestataires de la PSE sont à considérer. Groupe de travail Plan de Continuité d Activité Page 18/36

19 4. Dispositions contractuelles des PSE Le présent chapitre a pour objet d éclairer le lecteur sur les principaux points d attention à porter lors de l élaboration du cadre contractuel d une prestation de service essentielle (PSE). Il n a pas vocation à délivrer de clauses formelles «prêtes à l emploi», dont l élaboration réclame nécessairement la compétence des services juridiques du donneur d ordre. La Fédération Bancaire Française mettant en commun les ressources et analyses des principaux Établissements de crédit, a permis la rédaction de clauses minimales dont il est possible de s inspirer, mais un contrat est au même titre que la prestation qu il encadre un acte résultant d une négociation entre les parties. De fait, il est délicat d émettre des clauses types applicables en toutes circonstances. L exigence de continuité d activité d une prestation est de nature à modifier le modèle de coût et la tarification proposée par le prestataire. Cependant, ce surcoût ne fait pas nécessairement l objet d une ligne spécifique dans les conditions financières du contrat, notamment lorsque le prestataire associe «naturellement» sa prestation et son secours Établissement d un contrat La première des recommandations porte sur la nécessité de l établissement d un contrat écrit entre les parties prenantes, ce que le CRBF impose pour les PSEE (art a). Ce contrat comprend, a minima, une description détaillée de la prestation délivrée, le périmètre d applicabilité de la prestation et les engagements de niveau et de qualité de services de la prestation. #Déplacé dans les paragraphes 4.2 et 4.3 «Il est essentiel d y associer une clause d auditabilité et une clause de réversibilité.» Pour des raisons économiques, il est possible que le prestataire cherche lui-même à soustraiter tout ou partie de la prestation à un prestataire tiers. Dans cette hypothèse, le donneur d ordre demeure toujours directement responsable des obligations issues du CRBF (contrat, politique formalisée, etc.), quelle que soit la longueur de la chaine de sous-traitance. Dans le cas d une PSEE, il est de la responsabilité du donneur d ordre de demander à son prestataire de déclarer l ensemble de la chaine de sous-traitance. En tout état de cause, il est essentiel que le donneur d ordre connaisse l ensemble des acteurs impliqués, ainsi que notamment le niveau d intervention et la compétence de chacun. Cette exigence doit être spécifiée dans le cadre d une clause de sous-traitance spécifique (cf. 4.5). Selon les cas de figure, le contrat pourra comporter des éléments complémentaires ou spécifiques à la situation rencontrée. Dans la suite du chapitre les focus particuliers aux cas suivants (évoqués au chapitre 3) : CAS N 2A) Le secours de la prestation est opéré par le prestataire directement affecté par le sinistre. Groupe de travail Plan de Continuité d Activité Page 19/36

20 Le secours est une partie essentielle du contrat au même titre que la prestation nominale. Le prestataire doit être tenu sur le secours par le même niveau d engagement défini pour la prestation nominale. Le contrat devra mentionner : La nécessité d assurer la continuité de la prestation face à des scénarios d impacts identifiés et convenus La description détaillée du secours de la prestation et les engagements associés (interlocuteurs en temps normal, en temps de crise, le niveau de qualité de service rendu, la documentation, les tests, etc.). CAS N 2B) Le secours de la prestation est assuré par déport de l activité sur un ou plusieurs autres prestataires contribuant, en temps normal, à la délivrance de la prestation. Ce cas peut se décliner contractuellement selon deux approches : 2B.I) Le donneur d ordre établit un contrat indépendamment avec chacun des prestataires. Dans ce cas, les possibilités d intégration de la dimension continuité d activité au contrat sont relativement limitées ; le donneur d ordre étant l artisan principal du secours de la prestation avec ses autres prestataires. 2B.II) Le ou les autres prestataires sont sous-traitants du prestataire nominal. Ce dernier peut alors être engagé contractuellement à l obligation du maintien de la prestation, en gérant la relation avec ses autres sous-traitants. CAS N 2C) Le secours de la prestation est opéré par un prestataire tiers n intervenant qu en cas de sinistre. Le secours (vu du donneur d ordre) constitue la prestation nominale du contrat passé entre le donneur d ordre et le prestataire. Dans le cadre d une prestation PSE, et quelle que soit la nature du cas pris en considération, le prestataire devra s engager a minima à tout mettre en œuvre pour reprendre son activité et éviter, ainsi, une interruption qui pourrait causer un préjudice à son client quelle que soit son obligation de moyens ou de résultats Clauses juridiques bénéficiant à l a continuité d activité En premier lieu, plusieurs clauses «traditionnelles» des contrats de service contribuent à la continuité de la prestation et/ou bénéficient à l encadrement contractuel du maintien de la continuité. Il s agit principalement des clauses ci-après : Clause d Évolution La clause d évolution prévoit les modalités d évolution du contrat, portant sur la description de la prestation et/ou sur les engagements de niveau de service qui lui sont associés. Dans les cas où le prestataire porte la prestation et son secours (CAS N 2A, CAS N 2B.II) ou seulement le secours (CAS N 2C), cette clause facilite la prise en compte des évolutions des besoins de continuité. Clause d Auditabilité La clause d auditabilité permet au donneur d ordre, après en avoir avisé le prestataire, de procéder à un audit par ses auditeurs internes ou par un cabinet externe (cf. 4.3 ci-après pour l audit par les régulateurs tels que l ACP). Groupe de travail Plan de Continuité d Activité Page 20/36