Continuité d Activité : Tests. (Organisation et Pertinence) Gestion de crise. Avec la contribution de

Transcription

1 Continuité d Activité : Tests (Organisation et Pertinence) et Gestion de crise Avec la contribution de

2 Remerciements Le Forum des Compétences remercie les représentants des Établissements Membres qui, au sein d un groupe de travail *, ont conduit la réflexion et la rédaction de cet ouvrage : Continuité d Activité : Tests (Organisation et Pertinence) et Gestion de crise * Voir annexe

3 Tests (Organisation et Pertinence) Continuité d activité : Tests (Organisation et Pertinence) 1

4 Sommaire SOMMAIRE...2 PREAMBULE...3 FICHE N 1 : LES SCENARIOS DE SINISTRES...4 FICHE N 2 : TYPOLOGIE DES PLANS...5 FICHE N 3 : LES TESTS...6 FICHE N 4 : PRINCIPES D ORGANISATION DE TESTS...8 FICHE N 5 : CRITERES D EVALUATION DU TEST...12 ANNEXE DE LA FICHE N ANNEXES DE LA FICHE N ANNEXES DE LA FICHE N Continuité d activité : Tests (Organisation et Pertinence) 2

5 Préambule L efficacité des dispositifs de continuité d activité est évaluée au moyen de tests dont la fréquence, la profondeur et le détail sont fonction de l importance des risques liés aux éléments testés. L'organisation de tests permet de : - Familiariser les personnels avec le PCA - Les entraîner à réagir rapidement - Evaluer la clarté du plan et son efficacité - Evaluer le bien fondé des structures de crise mises en place - Vérifier que le matériel nécessaire à la continuité est disponible et en état de fonctionnement. - Mettre à jour le plan en cas de lacunes Les tests, quelles que soient leurs modalités, doivent respecter les principes suivants: - Ne pas mettre en danger le fonctionnement de l'entreprise - Evoluer progressivement vers plus de complexité, vers plus d'implication humaine, logistique et technique - Être assez souple pour s'adapter aux impondérables liés à leur mise en œuvre. Différentes modalités de tests peuvent être retenues. Elles permettent de faire varier l'implication des équipes ainsi que les conséquences potentielles de la non adéquation du plan. Ces différents tests doivent être menés de manière progressive pour s assurer que l'ensemble du processus peut résister à un sinistre. Pour que ces tests puissent être réellement pertinents, afin de donner une assurance raisonnable voire de «valeur de preuve», des objectifs clairs doivent leur être assignés. A titre d'exemple: - Validation du caractère opérationnel des procédures manuelles - Enchaînement des phases - Réactivité du personnel - Réactivité des partenaires stratégiques - Validation de l efficacité des cellules de crise et des modes de coordination - Validation de la bonne coordination de plusieurs PCA Le cycle de vie du PCA se décompose en deux phases : Une phase de développement en mode projet. Les solutions de secours mises en œuvre doivent être testées selon une procédure de recette propre à chaque établissement (ex : test unitaire, test d intégration en environnement de simulation, test en conditions réelles ) Une phase de maintien en condition opérationnelle dans laquelle les solutions de secours doivent être testées périodiquement, en conditions réelles de préférence. Continuité d activité : Tests (Organisation et Pertinence) 3

6 Fiche n 1 : Les scénarios de sinistres Les établissements doivent définir les scénarios contre lesquels ils entendent se prémunir. Ces scénarios de sinistres sont généralement classés suivants 4 types : - Indisponibilité de locaux - Indisponibilité de ressources informatiques - Indisponibilité prolongée d une proportion importante de collaborateurs - Indisponibilité de prestataires essentiels Le PCA, pour chaque scénario, identifie et formalise les solutions de contournement : - Les tâches à réaliser pendant la période de latence précédant la mise à disposition des ressources de secours (backup informatique ou mise à disposition de locaux) - Les tâches à réaliser pendant la phase de continuité des activités critiques dans la mesure où les solutions de secours ne permettraient pas aux métiers de travailler dans leurs conditions habituelles (mode dégradé) Selon les scénarios de sinistres, les types de tests pourront être : - Test planifié (information des participants sur les détails du test avant sa réalisation) ou impromptu (aucune information donnée aux participants avant le test), - Test technique (validation de la disponibilité et du caractère opérationnel des solutions de secours par les équipes techniques) ou utilisateur (validation par les utilisateurs de la disponibilité et du caractère opérationnel des solutions de secours selon les besoins métier exprimés) - Test total (déclenchement du PCA dans son ensemble) ou partiel (déclenchement d une partie du PCA) - Test avec impact sur la production (opérations menées directement sur l environnement de production) ou sans impact sur la production (opérations menées sur une copie de l environnement de production) - Test avec validation de retour à la normale (vérification du caractère opérationnel des procédures de retour à la normale et des moyens de production suite au test) ou sans validation de retour à la normale Conseil : Il est inutile de multiplier les scénarios. En se dotant des moyens de traiter les scénarios élémentaires cités ci-dessus et en ayant un dispositif de gestion de crise efficace, il est possible de traiter les variantes selon des modalités définies par la cellule de crise préalablement entraînée à cet exercice d analyse de situation et décision. Un plan est un dispositif de secours conçu en réponse à un scénario de sinistre donné et répondant aux exigences de continuité définies pour les activités impactées. La gestion de crise recourt à des solutions spécifiques adaptées au traitement de tous les scénarios retenus (cf. Thème Gestion de Crise). Continuité d activité : Tests (Organisation et Pertinence) 4

7 Fiche n 2 : Typologie des plans Pour rappel un Plan de Continuité d Activité est composé de : 1. Un Plan de Repli Utilisateurs qui concerne toutes les procédures destinées à redémarrer les activités sur le site de repli utilisateurs (moyens généraux, informatique, téléphonie, logistique, ). Ces procédures couvrent la période allant du déclenchement du PCA jusqu à la mise à disposition du site de secours, puis jusqu au retour sur le site primaire. 2. Un Plan de Secours Informatique (y compris réseaux et téléphonie) qui est conçu pour répondre à des sinistres informatiques physiques (panne des matériels) ou logique (attaque virale massive) pour lesquels la prévention en matière de sécurité informatique joue un rôle majeur. Il fixe les modes opératoires à respecter pour assurer la continuité ou la reprise des activités informatiques de support, en fonction des objectifs de continuité qui auront été fixés par les métiers pour chacune de leurs activités. Le périmètre de ce Plan couvre l informatique centrale, l informatique distribuée, l informatique locale, les réseaux de télécommunication (voix et données) ainsi que les infrastructures nécessaires à leur fonctionnement. Il intègre : o La description des solutions de secours et les procédures techniques d activation de ces solutions ; o Les procédures techniques de montée en charge. Ces procédures couvrent la période allant du déclenchement du PCA jusqu au redémarrage du système informatique de secours, puis jusqu au retour au fonctionnement normal du système d origine. 3. Un Dispositif de Gestion de Crise Chaque plan comprend trois composantes : - Des moyens techniques et logistiques ; - Des procédures organisationnelles ; - Des procédures métier. Chacune de ces composantes doit être validée et testée soit par : - Un test «physique» avec déplacement et activation réelle des dispositifs de secours; - Un test «sur table» associant les décideurs et responsables des principaux processus pour tester un scénario papier. Piège à éviter : Ne jamais oublier que l'on peut après un sinistre "racheter" et reconstituer les ressources informatiques (matériels et infrastructures techniques) ; par contre on ne pourra pas "racheter" les données de l'institution qui auront été perdues. La priorité est donc à accorder à la rédaction des procédures, la mise en œuvre des moyens techniques et la vérification régulière de la sauvegarde des données. Continuité d activité : Tests (Organisation et Pertinence) 5

8 Fiche n 3 : Les tests Un test s inscrit toujours dans une campagne planifiée. Il est référencé par : - Le positionnement dans le cycle de tests du PCA (année/mois) - La fréquence des tests - Le scénario (indisponibilité du site X) ; - La typologie des plans sollicités (plan informatique, repli utilisateurs ) ; - Le périmètre détaillé (exprimés en ressources, procédures ou activités selon le type) du test précisant les limites. - Le contexte (environnement de production ou spécifique au test) Un test est qualifié par ce qu il entend valider. Tout test est donc assorti d une définition précise de son périmètre et de ses limites, de manière que soit clairement identifié ce qu il démontre et ce qu il ne démontre pas. Exemple de qualification d un test PCA : Dans le cadre du projet PCA et de son Maintien en Conditions Opérationnelles (MCO), les tests PCA valident les solutions de secours mises en place. Même si la réalité ne sera jamais telle qu on a pu l imaginer dans les différents scénarios de crise, il faut au maximum se préparer à froid pour être prêt à chaud le jour J. Un PCA non testé ne peut être considéré comme un PCA opérationnel L objectif principal est de s assurer que les dispositifs de secours mis en place sont en permanence opérationnels. Continuité d activité : Tests (Organisation et Pertinence) 6

9 Fiche n 3 (Suite) : Les tests Dans ce cadre, il s agit notamment de vérifier que : - L organisation est clairement définie - La communication (interne et externe) est efficace - Les responsabilités de l ensemble des acteurs sont établies - Les interactions entre les PCA «lignes métiers» et entités sont adaptées - La mise en œuvre des secours utilisateurs et informatiques est maîtrisée Pour ce faire, chaque entité devra prendre en compte les paramètres suivants : - Le choix du scénario - Le type de test - La fréquence des tests - Le périmètre du test - L organisation et les acteurs du test - Les moyens mis en œuvre - L analyse de risques En fonction de la qualification et du référencement du test, son périmètre peut se traduire par : - Un test portant sur l ensemble des activités ou uniquement sur les processus sensibles, y compris les solutions de contournement métier - Un test en parallèle des questions de sécurité (alerte, évacuation et rassemblement du personnel) - Un test uniquement organisationnel (secours, communication ) ou simulant la défaillance de contreparties ou partenaires externes - Un test d une durée en adéquation avec les processus testés Conseil : - Rappeler les objectifs du PCA - Présenter les conditions du test aux métiers; en particulier, préciser si la production informatique sera arrêtée ou non. - En concertation avec les Métiers et les Maîtrises d'œuvres concernées se poser la question d'un couplage avec un test de gestion de crise - Formaliser les processus retenus et non retenus dans un tableau de synthèse communiqué à tous les acteurs concernés - Identifier les procédures de contournement métiers à tester - Identifier les risques et le coût du test (contexte du test, impacts possibles) - Déterminer la date du test, en fonction des contraintes extérieures, en tenant compte de l'avis des Métiers - Identifier les limites (ex: test en heures non ouvrées alors que certaines applications sont fermées pendant cette période) - Identifier toutes les entités et prestataires essentiels devant participer au test (prise en compte des processus transverses) - Définir les conditions du retour à la normale (exemple: avec ou sans conservation des données mises à jour) Continuité d activité : Tests (Organisation et Pertinence) 7

10 Fiche n 4 : Principes d organisation de tests 4.1 La planification La planification des tests s inscrit dans un plan d action annuel voire pluriannuel. Ce plan doit être validé par une instance décisionnelle. Le périmètre et le cadencement des tests fait l objet d un cahier des charges consolidé par le RPCA. Il est important de mesurer le niveau de risque acceptable/accepté en regard du scénario de test. Il convient également de mettre en évidence d une part les limites du test (ce qui ne relève pas du test et pourquoi) et d autre part les risques liés à la réalisation ; Il s agit d identifier les défauts potentiels, d indiquer leurs conséquences et de proposer les actions de prévention, détection, réaction permettant de réduire et de surveiller les risques identifiés. Le cahier des charges constitué est adressé aux différentes fonctions supports ou producteurs de ressources qui répondent par un devis. Le plan de test annuel est établi au vu des coûts d emploi des ressources humaines et techniques et de celui de la mise en œuvre de l environnement de simulation éventuel. Le plan de tests consolidé est utilisé par le Responsable PCA de l établissement. Il est alimenté par des données provenant de toutes les entités concernées par le PCA. Ce plan doit pouvoir être associé aux indicateurs «Tests et Maintien en condition opérationnelle» du Tableau de bord d un PCA. Les objectifs liés à la réalisation d un plan de tests consolidé : - Avoir une vue d ensemble des tests programmés - Avoir une visibilité sur la couverture des processus essentiels - Vérifier que toutes les solutions de secours mises en place dans le cadre du plan de continuité d activité sont testées et quel niveau de test est envisagé. - Se fixer des objectifs de test à atteindre. - Organiser les calendriers des différents acteurs. - Consolider les plans de tests sur plusieurs années afin de voir quelle marge de progression a été réalisée depuis les tests antérieurs. La fréquence de mise à jour du plan de tests : Le plan de tests consolidé doit être actualisé régulièrement pour les tests de la période suivante afin d affiner les éléments du calendrier en fonction d évènements extérieurs (disponibilité des acteurs, modification du périmètre, ). Conseil : Pour planifier et organiser le test : - Identifier l instance de coordination du test - Impliquer les Directions Métier dans la rédaction du plan de test - Mobiliser le personnel clé des domaines critiques concernés - Prévoir la disponibilité des fonctions supports, y compris celles assurées par d autres entités (GIE, filiales ) Continuité d activité : Tests (Organisation et Pertinence) 8

11 Fiche n 4 (Suite) : Principes d organisation de tests - Communiquer suffisamment à l avance le périmètre des processus envisagés aux Métiers, aux MOA et MOE pour validation - Suivre la couverture des processus essentiels Piège à éviter : Ne jamais oublier qu au moment où la robustesse d un dispositif de continuité est testée elle n est parfois plus assurée! 4.2 Acteurs et responsabilités En regard de la diversité des établissements, il appartient à chacun de définir les acteurs et leurs responsabilités associées : Clients et fournisseurs Les tests sont effectués au profit des entités métier. Ils sont donc réalisés dans le cadre d une relation client / fournisseur entre les métiers et les prestataires fonctions supports ou producteurs de ressources (qu ils soient internes ou externes). Il convient donc que les directions métier, qui sont responsables de l expression des exigences de continuité de leurs activités, soient fortement impliquées dans la validation de leur PCA. Les fonctions supports ou producteurs de ressources internes peuvent être : - La DRH (en ce qui concerne les déclarations du travail le Week-end, astreintes,) - La DSI - Les intervenants en immobilier - Les services généraux - La bureautique - La téléphonie Les fonctions supports ou producteurs de ressources externes peuvent être : - Les hébergeurs - Les fournisseurs de réseaux - Les fournisseurs de flux - Les fournisseurs spécialisés de salle de repli - Les prestataires de services Il s agit donc d entités et de services nombreux et divers dont l action doit être soigneusement coordonnée et suivie Le Responsable du PCA (RPCA) Le RPCA intervient sur le périmètre du PCA de l établissement : - Il élabore la méthodologie de test Continuité d activité : Tests (Organisation et Pertinence) 9

12 Fiche n 4 (Suite) : Principes d organisation de tests - Il forme les acteurs à la méthodologie de test - Il participe à l organisation des tests - Il gère le plan de test consolidé - Il rapporte aux instances de décisions du PCA - Il communique sur les campagnes de tests auprès des directions métier mais également aux entités qui a priori ne sont pas directement concernées - Il gère le Tableau de bord - Il participe aux tests «Le correspondant Métier» Le correspondant métier intervient sur le périmètre de son PCA. - Il rédige les scénarios de test métier et les cahiers de recette - Il nomme et délègue les participants aux tests - Il rédige les PV de tests - Il forme les acteurs à la méthodologie de test - Il coordonne la préparation des tests sur son périmètre - Il rapporte au RPCA sur le plan et sur l avancement des tests - Il participe aux tests - Il rédige le bilan et définit un plan d action «Les observateurs» Dans le cadre du test, plusieurs types d observateurs peuvent en suivre le déroulement : - Le contrôle interne - L InspectIon Générale La préparation Chaque test, une fois qualifié et planifié, fait l objet d un protocole de test dont la trame est propre à chaque type de test. L opération de mise au point du protocole peut être complexe. Elle est supervisée par le RPCA qui en assure la bonne marche par un suivi en retro-planning de préparation. Les fonctions supports ou producteurs de ressources : - Décrivent les conditions techniques et logistiques du test et en particulier, l environnement de simulation éventuel - Décrivent la procédure de mise en place des conditions techniques et logistiques, exprimée dans un langage compréhensible par les métiers - Fournissent la liste détaillée des ressources mises à disposition (sur site ou d astreinte) - Fournissent le chronogramme du test Continuité d activité : Tests (Organisation et Pertinence) 10

13 Fiche n 4 (fin) : Principes d organisation de tests Les métiers, par l intermédiaire de leur correspondant : - Rédigent un cahier de test constitué de fiches de test où sont décrits les opérations qu ils souhaitent réaliser et les résultats attendus ; - Fournissent la liste des utilisateurs mobilisés. 4.4 L exécution Les fiches de test organisationnelles, techniques et métier intégrées au cahier de test permettent aux utilisateurs de valider une à une les différentes opérations à réaliser. Lorsqu un résultat est non conforme à ce qui est attendu, les utilisateurs consignent l incident dans une fiche d incident. Les fonctions supports ou producteurs de ressources produisent alors un diagnostic et tentent un dépannage à chaud. L ensemble des résultats ainsi obtenus (fiches de tests et fiches d incident) sont consolidés dans un Procès-verbal de test. Conseil : A la suite de l exécution d un test il est important de valider le retour à la normale sur les plans Métiers et Technique du périmètre de l établissement sollicité. Un protocole de tests pour valider le retour au fonctionnement nominal doit être prévu à cet effet (Liste des points importants à vérifier). Continuité d activité : Tests (Organisation et Pertinence) 11

14 Fiche n 5 : Critères d évaluation du test En regard de la diversité des établissements, il appartient à chacun de définir ses propres critères d évaluation du test et de facto de déterminer si le test est probant. Pour autant, il est important de positionner des critères d évaluation pour chacune des phases du test avec a minima les attributs suivants : A titre d exemple, les critères d évaluation d un test de gestion de crise pourront se positionner de la façon suivante : Dispositif d alerte, d escalade et d activation de la cellule de crise : o Connaissance du processus d alerte et d escalade o Mobilisation et réactivité des acteurs concernés o Délai de remontée et d escalade entres les structures du dispositif o Evaluation et diagnostic du sinistre Localisation et moyens de la salle de crise : o Accessibilité et délai de mise à disposition de la salle o Adéquation des équipements disponibles dans la salle de crise o Maitrise du fonctionnement des équipements de la salle de crise par les acteurs Fonctionnement de la cellule de crise : o Organisation : répartition des rôles et des tâches associées o Planification des points de coordination o Diagnostic : point de situation, prise en compte des nouveaux événement/informations o Coordination : partage des informations, état des lieux sur ce qui est fait et le reste à faire o Décision : sur la base des informations recueillies, des choix stratégiques prise de décision, lancement des actions. o Suivi des décisions et des actions Continuité d activité : Tests (Organisation et Pertinence) 12

15 Fiche n 5 (Suite) : Critères d évaluation du test Communication : Le management : Le comportement o Connaissance du plan de communication o Rédaction du communiqué o Couverture des cibles (internes, externes) o Pilotage de la crise o Hiérarchisation des urgences et priorités o Visibilité et lisibilité du plan de gestion de cette crise o Teneur des échanges («stratégique» ou «technique») o Echanges et écoute entre les participants o Prise en compte des avis d experts o Cohésion de la cellule o Au delà des critères d évaluation ci-dessus, certains éléments permettent de déterminer si le test est probant ou non par rapport aux objectifs fixés : - Si le test est basé sur un scénario réaliste - Si le test est réalisé uniquement en interne de l entité ou en externe (i.e. transversalité des processus) - Si le test est réalisé en mode production - Si la mobilisation des effectifs est plus ou moins importante - Si le test inclut un dispositif de gestion de crise - Si le test porte sur l ensemble d un processus critique ou sensible - Le bilan Dans la foulée du test, le débriefing a pour but de reprendre le déroulement du scénario et de vérifier que tous les différents objectifs du test ont été atteints. Le débriefing est réalisé à partir de la main courante rédigée durant le test. Les dysfonctionnements détectés (ex : non respect des procédures d'urgence, mauvaise application des modes opératoires ) seront analysés et commentés lors de cette session. Ils seront consignés ensuite dans le rapport d exercice et synthétisés dans la grille de résultat. Une fois la session de test terminée, il s agit de réaliser une évaluation de la séance par chacun des membres impactés. Chaque participant répond à un questionnaire évaluant l atteinte des différents objectifs retenus. Chaque observateur et animateur répond également à ce questionnaire. Il est important de veiller à l homogénéité des cotations des tests au sein d un même établissement voire Groupe Continuité d activité : Tests (Organisation et Pertinence) 13

16 Fiche n 5 (fin) : Critères d évaluation du test Le rapport de test formalise les résultats constatés en terme d'objectifs, et de dysfonctionnements repérés. Il est rédigé après la session de débriefing et est soumis à validation dans un second temps aux acteurs du test. Ce rapport reprend et complète la grille d'évaluation des objectifs à atteindre (qui deviendra grille de résultats) définie lors de l'écriture des scénarios. Chaque dysfonctionnement est analysé. Pour les plus importants et suivant leur origine, une modification du mode de fonctionnement des dispositifs de crise est éventuellement proposée par l organe de coordination des tests du PCA de l établissement. Cette modification après validation, peut impliquer une mise à jour des principes de gestion de crise de l établissement. Le bilan des tests et les axes d amélioration associés permettent : - De capitaliser les tests selon leurs caractéristiques, - D inventorier les combinaisons de ce qui a été testé pour le vérifier et calibrer les tests futurs (matrice de test), - D avoir une démarche dans le temps afin d atteindre l objectif cible (plusieurs niveaux de test avant le test probant ; nécessité de définir des objectifs intermédiaires), - In fine de donner une assurance raisonnable sur la continuité d activité dans le cadre d un sinistre. Continuité d activité : Tests (Organisation et Pertinence) 14

17 Annexe de la Fiche n 3. EXEMPLE DE STRUCTURE DE RÉFÉRENCEMENT DU TEST : type de scénario IDENTIFICATION DU TEST Semestre Date Site sinistré type de test Objet du test - Périmètre Typologie de test indisp. Bureaux S1 Paris Logistique Secours Chèques CARACTERISTIQUES DU TEST Exercices en conditions réelles Solution de secours Prestataire externe Testeur MOA MOE Centre de traitement des chéques ACTEURS DU TEST Opérations Bancaires CONDITIONS DU TEST temps de préparation durée de l'exercice nb personnes mobilisées Prestataires 6 jours 1 journée 13 Continuité d activité : Tests (Organisation et Pertinence) 15

18 Annexes de la Fiche n 4. EXEMPLE DE STRUCTURE DE PROTOCOLE DE TEST BASE SUR UNE INDISPONIBILITE DU SI : Continuité d activité : Tests (Organisation et Pertinence) 16

19 Annexes de la Fiche n 4 (Suite). EXEMPLE DE FICHE DE TEST : Référence du test : Testeur : Processus de rattachement : Etapes 1 : Tâches : Tâches ultérieures : Objectif du cas de test : Pré-requis - Antécédent Opération(s) préalable(s) : Détail de la saisie du cas : Date de saisie du cas de test : Type de test : Règle de gestion/ Procédure rattachée : Jeu de données le jour du test : Application/ outils : Type et références des fichiers : Date de fraîcheur des données attendues Continuité d activité : Tests (Organisation et Pertinence) 17

20 Annexes de la Fiche n 4 (fin). Nom/Référence du fichier/nature de l opération et instrument financier Format/outil de traitement Date des données (J-1 ) Description du contenu Résultat attendu* *Résultat attendu (points de contrôle) : Performance, exactitude de données etc. Description des données qui doivent être vérifiées et critères de validation Nom/Référence du fichier/nature de l opération et instrument financier Format/outil de traitement Date des données Description du contenu Statut du test* Commentaires *Statut du test : OK En cours Non joué KO Copies d écrans : Si anomalie constatée Référence de la fiche anomalie : Synthèse de l anomalie constatée : Continuité d activité : Tests (Organisation et Pertinence) 18

21 Annexes de la Fiche n 5. EXEMPLES DE CRITERES D EVALUATION D UN TEST BASE SUR LE SCENARIO D UNE INDISPONIBILITE DES LOCAUX : Préparation du test : PHASE Actions Acteurs Document associé Elaboration du planning de test Responsable des tests Planning des Tests Elaboration du périmètre à tester Responsable des tests Demande d'intervention de la logistique Responsable des tests Demande d'intervention de la DSI Responsable des tests Demande d'intervention de la téléphonie Responsable des tests Rédaction du document organisation générale des tests décrivant : Responsable Le périmètre des tests Les objectifs Organisation des tests Les acteurs Préparation des tests Préparation des protocoles de tests pour chaque métiers (En fonction de la solution de secours retenue et du périmètre établie) Préparation des protocoles de tests Informatique (En fonction de la solution de secours retenue et du périmètre établie) Responsables Métiers DSI Protocole de test Métier Protocole de test Informatique Préparation des protocoles de tests Logistique (En fonction de la solution de secours retenue et du périmètre établie) Logistique Protocole de test Logistique Préparation des protocoles de tests Téléphonie (En fonction de la solution de secours retenue et du périmètre établie) Organisation de réunion de suivi d'avancement et de coordination Téléphonie Responsable des tests Protocole de test Téléphonie CR de réunion Continuité d activité : Tests (Organisation et Pertinence) 19

22 Annexes de la Fiche n 5 (Suite). Début du test : PHASE Actions Acteurs Document associé Résultats attendus Testeur Survenance du sinistre et prise de décision de la cellule de crise Se rendre sur le point de ralliement Métiers Procédure métier Le point de raliement est connu Métiers Passage des consignes Métiers Procédure métier 1. Les moyens de communication fonctionnent 2. Les coordonnées sont à jour Métiers document support de test Protocole de test Métiers Protocole de test Métiers Activation du secours Exécution Sur site de secours Déploiement des socles sur les postes DSI Procédure DSI Poste de travail configuré DSI Protocole de test DSI Connexion aux imprimantes DSI Procédure DSI Imprimantes configurées et fonctionnelles DSI Protocole de test DSI Installation des applications atypiques DSI Procédure DSI Applications atypiques installées DSI Protocole de test DSI Connexion au site informatique central DSI Procédure DSI Connexion aux applications centrales DSI Protocole de test DSI Connexion aux données bureautiques et applications locales (restauration de serveur ) DSI Procédure DSI Accès aux données bureautiques et aux applications locales DSI Protocole de test DSI Bascule des numéros de téléphone Téléphonie Procédure Téléphonie Appel transmis sur le site de secours Protocole de test Téléphonie Téléphonie Bascule des numéros de fax Téléphonie Procédure Téléphonie Fax transmis sur le site de secours Protocole de test Téléphonie Téléphonie Mise à disposition du matériel requis Logistique Procédure Logistique Matériel disponible Logistique Protocole de test DSI Mise à disposition des fournitures requises Logistique Procédure Logistique Fourniture disponible Logistique Protocole de test Logistique Sur site Interne Déplacement des collaborateurs si Mise à disposition des places pour les Protocole de test Logistique Procédure Logistique Logistique nécessaires arrivants Logistique Installation des postes de travail ou paramétrage des postes existants DSI Procédure DSI Mise à disposition de postes de travail DSI Protocole de test DSI Connexion aux imprimantes DSI Procédure DSI Imprimantes configurées et fonctionnelles DSI Protocole de test DSI Installation des applications atypiques DSI Procédure DSI Applications atypiques installées DSI Protocole de test DSI Connexion au site informatique central DSI Procédure DSI Connexion aux applications centrales DSI Protocole de test DSI Connexion aux données bureautiques et applications locales (restauration de serveur ) DSI Procédure DSI Accès aux données bureautiques et aux applications locales DSI Protocole de test DSI Bascule des numéros de téléphone Téléphonie Procédure Téléphonie Appel transmis sur le site de secours Protocole de test Téléphonie Téléphonie Bascule des numéros de fax Téléphonie Procédure Téléphonie Fax transmis sur le site de secours Protocole de test Téléphonie Téléphonie Mise à disposition du matériel requis Logistique Procédure Logistique Matériel disponible Logistique Protocole de test Logistique Mise à disposition des fournitures requises Logistique Procédure Logistique Fourniture disponible Logistique Protocole de test Logistique Se rendre sur le site de secours (Interne ou Protocole de test Métiers Procédure métier Le lieu de repli est connu Métiers prestataire) Métiers Accueil sur le site : par la logisitique ou par le Les collaborateurs sont correctement Protocole de test Logistique Procédure Logistique Logistique prestataire aiguillés sur le site de repli Logistique Placement sur le site Logistique Procédure Logistique Les collaborateurs savent où se placer sur le Protocole de test Logistique site Logistique Validation du fonctionnement des applications Métiers Procédure métier Le métier a accès aux applications Protocole de test necessaires à son activité Métiers Métiers Le métier retrouve ses données Validation du fonctionnement du téléphone Métiers Procédure métier Le métier peut appeler et être appelé Protocole de test Métiers Les appels sont bien routés Métiers Validation du fonctionnement du fax Métiers Procédure métier Le métier peut recevoir des fax et en Protocole de test émettre Métiers Métiers Les fax sont correctement routés Validation du fonctionnement de la Protocole de test Métiers Procédure métier Le métier peut recevoir et envoyé des e mail Métiers messagerie Métiers Validation de la présence du matériel Métiers Procédure métier Le métier retrouve le matériel demandé lors Protocole de test Métiers de son expression de besoin Métiers Validation de la présence des fournitures Métiers Procédure métier Le métier retrouve les fournitures demandées lors de son expression de besoin Métiers Protocole de test Métiers Prévénir les fournisseurs de la survenance du sinistre Métiers Procédure métier Vérifier les coordonnées des fournisseurs pour les mettre à jour Métiers Protocole de test Métiers Reprise des activités Reprise de l'activité Métiers Procédure métier Effectuer sur le site de repli des tests fonctionnels métier pour : 1. Valider que les activités peuvent etre effectuer d'un bout à l'autre sur le site 2. Valider la méthode de travail dégradée si elle a été envisagée 3. Vérifier que le placement de l'équipe Métiers répond aux besoins de proximité nécessaire au bon déroulement des processus 4. Vérifier que les DIMA mises en place sont cohérentes 5. Vérifier que tout le matériel et toutes les fournitures nécessaires sont présents sur le site Protocole de test Métiers Faire l'inventaire des pertes Métiers Procédure métier Mettre en place les actions pour récupération Métiers Procédure métier Vérifier que la méthode d'inventaire imaginée est la bonne et est exhaustive Vérifier que les actions pour récupération des pertes est correcte Métiers Métiers Protocole de test Métiers Protocole de test Métiers Continuité d activité : Tests (Organisation et Pertinence) 20

23 Annexes de Fiche n 5 (Suite). Fin du test : PHASE Actions Acteurs Document associé PV des tests Métiers Métiers Trame de PV PV des tests Informatique DSI Trame de PV PV des tests Logistique Logistique Trame de PV PV des tests Téléphonie Téléphonie Trame de PV CR des tests Responsable Compte rendu Après les tests Tableaux de bord des tests Tableaux d'actions pour amélioration Réunion de débriefing avec les différents acteurs Mise à jour des procédures et documents associés des tests Responsable des tests Responsable des tests Responsable des tests Métiers Tableau de bord des tests Suivi d'actions Procédures Continuité d activité : Tests (Organisation et Pertinence) 21

24 Annexes de Fiche n 5 (fin). EXEMPLE DE STRUCTURE DE CONSOLIDATION ET DE VALORISATION FONCTIONNELLE DES RESULTATS : Continuité d activité : Tests (Organisation et Pertinence) 22

25 Gestion de crise Continuité d Activité : Gestion de crise 1

26 Sommaire SOMMAIRE...2 PREAMBULE...3 FICHE N 1 : LES PRINCIPES DE POLITIQUE DE GESTION DE CRISE...4 FICHE N 2 : LES DIFFERENTES ETAPES DU PROCESSUS DE GESTION DE CRISE FICHE N 3 : LES OUTILS DE LA GESTION DE CRISE FICHE N 4 : LE PLAN DE COMMUNICATION DE CRISE FICHE N 5 : LE PLAN DE SENSIBILISATION FICHE N 6 : LES OBJECTIFS D UN TEST DE GESTION DE CRISE FICHE N 7 : MISE EN ŒUVRE D UN TEST ET EVALUATION ANNEXE DE LA FICHE N 1 : ANNEXES DE LA FICHE N 2 : ANNEXE DE LA FICHE N 5 : ANNEXES DE LA FICHE N 7 : ANNEXE : LISTE DES MEMBRES DU GROUPE DE TRAVAIL Continuité d Activité : Gestion de crise 2

27 Préambule Gestion de crise Les établissements de crédit et entreprises d investissements sont nombreux à avoir perçu l importance d un Plan de Continuité d Activité d une part, pour se prémunir du risque opérationnel (qui progresse avec la complexité croissante des organisations et des infrastructures), et d autre part, pour répondre aux obligations réglementaires édictées par les Autorités de Tutelle. Les établissements sont aujourd'hui confrontés à une période de ruptures en matière de risques, à tous les niveaux, qu il s agisse d environnement (Erika - fin 1999), de climat (Katrina ), de santé publique (SRAS , canicule 2003), de technologie (AZF 21/09/2001), de politique et de violence (11/09/2001, Madrid 03/2004 et Londres 7/07/2005). Ces événements ont mis en exergue la multiplicité des scénarios catastrophes que l établissement est susceptible d'endurer. L impossibilité de scénariser toutes les situations et décisions à prendre pendant une crise nécessite de mettre en place un véritable processus de gestion de crise qui passe par : - La constitution et la formalisation des organes de crise ainsi que la mise en place de leurs moyens de fonctionnement ; - La formation des membres des organes de crise ; - L entraînement régulier des acteurs impactés (simulation et test) ; - L organisation des relations avec la Place et les pouvoirs publics et de manière générale, les relations entre cellules de crise ; - L organisation de retours d expérience. Continuité d Activité : Gestion de crise 3

28 Fiche n 1 : les principes de politique de gestion de crise La gestion de crise est l'ensemble des modes d'organisation, des techniques et des moyens qui permettent à l établissement de se préparer et de faire face à la survenance d'un sinistre. A l issue de la crise, un bilan est réalisé afin de proposer, si nécessaire, un plan d amélioration des dispositifs de continuité d activité. Ce dispositif est indispensable au PCA. L ensemble du dispositif de gestion de crise doit être formalisé, normalisé et connu par les acteurs concernés. 1.1 Les principes de la cellule de crise Suivant la taille et l organisation des différents métiers au sein d un établissement, des procédures d escalade sont mises en œuvre par différents niveaux de cellules de crise dont il convient de fixer les missions, la composition, les conditions d intervention et les champs d action respectifs. L organisation retenue doit être à même de : - S intégrer à l organisation de l établissement [NDL : la crise reste un mode exceptionnel, pas un fonctionnement normal] ; - se mobiliser dans des délais très rapides ; - posséder les pouvoirs nécessaires pour piloter la crise ; - se mettre en position d anticiper la crise. Chaque cellule doit être composée de collaborateurs à même de structurer la gestion de crise et de décider des actions à entreprendre. Le but étant de gérer la crise au mieux, il s agit de mettre en place une organisation adaptée aux circonstances exceptionnelles de la crise. 1.2 Typologie des cellules de crise et rôles associés Dans la structure de gestion de la crise, cinq types de cellules peuvent être distinguées (chacune de ces cellules sont plus ou moins développées en fonction des activités et de l organisation de l établissement) : - La cellule de crise décisionnelle - Les cellules de crise Métiers et Opérations notamment - La cellule de communication de crise - Les cellules supports "Informatique, logistique, immobilier" - La cellule de crise des Ressources Humaines La Direction Générale n'a pas vocation à gérer la crise mais à arbitrer les décisions nécessaires à la résolution de la crise, en fonction des éléments qui lui sont fournis. C'est elle qui définit la stratégie générale adaptée à la situation tant en matière d'organisation (gérer le risque organisationnel) que de communication (gérer l'image), à savoir : - Délègue la gestion de la crise à la cellule de crise décisionnelle ; - Suivant l'ampleur et la nature du sinistre, mandate un de ses représentants au sein de la Cellule de Crise Décisionnelle ; - Arbitre les décisions, le cas échéant ; - Gère la communication institutionnelle ; Continuité d Activité : Gestion de crise 4

29 Fiche n 1 (Suite) : les principes de politique de gestion de crise - Oriente et délègue la gestion de la communication non-institutionnelle aux autres Cellules de Crise ; - Définit et valide les choix stratégiques pouvant avoir un impact sur l'image ou les activités de l'entreprise La cellule de crise Décisionnelle - La Cellule de Crise Décisionnelle constitue la «tour de contrôle» de tout ce qui va se passer pendant la crise, depuis le déclenchement de la crise jusqu'à sa résolution complète. Cette cellule est une instance permanente qui peut être actionnée en cas de sinistre et/ou de crise pour planifier et participer aux tests nécessaires. Selon le niveau, la Direction Générale peut y participer, notamment CCD GROUPE. Cette cellule doit pouvoir agir rapidement avec une très large autonomie, ce qui sous-entend que la cellule a un pouvoir de décision et la possibilité d'engagement financier. Composition : cette cellule peut comprendre - Un noyau dur (membres permanents) dont le président sera à désigner, composé par exemple des membres permanents du Comité des Risques Opérationnels : o Directeur de la logistique ou son représentant ; o Directeur de la sécurité ou son représentant ; o Les responsables de Sécurité des Systèmes d'informations de Sûreté et de Continuité d'activité, et / de leur représentants ; o Eventuellement, l'inspecteur Général sur demande, o La Direction des Ressources Humaines, o Les responsables des grandes lignes métiers - De membres ayant un rôle d'experts permettant d'élargir le comité, en cas de besoin. Ces personnes peuvent être appelées à siéger temporairement afin de traiter les questions relevant de leurs compétences. Attributions : - Analyse les informations reçues pour évaluer l'ampleur de la crise et ses conséquences possibles ; - Actionne et coordonne les différentes Cellules de crise ; - Déclenche le repli et la mise en œuvre du Plan de Secours des activités ; - Définit les priorités de reprise entre les métiers ; - Décide d'actionner le Plan de continuité des activités dont PSI, PRV, PRU, PST ; - Organise, le cas échéant, les points réguliers avec la Direction Générale ; - Propose les éléments nécessaires à la mise en œuvre de la stratégie de communication et y participe ; - Relaye les décisions et les informations en provenance et à destination des autres cellules de crise (y compris externes à l'entreprise) ; Continuité d Activité : Gestion de crise 5

30 Fiche n 1(Suite) : les principes de politique de gestion de crise - Prend les décisions permettant de lever les points de blocage dans la mise en œuvre du plan de secours ; - Prépare le plan de retour à la situation normale ; - Réalise le bilan de crise, en tire les axes de progrès et propose l'amélioration du plan dans le cadre de son maintien en condition opérationnelle ; - Réalise le reporting. Cette cellule peut être aussi à l initiative de tests des différents dispositifs de continuité dans le cadre du maintien en conditions opérationnelles du PCA. Piège à éviter : Décrire un dispositif spécifique. Il faut que le dispositif «crise PCA» s intègre dans le dispositif général de gestion de crise de l institution. Celui-ci résulte d une réflexion globale sur l organisation de crise à tous les niveaux de l institution. Conseil : Etablir au préalable un recensement des cas d activation de la cellule de crise, et pour chaque cas décrire la composition de la cellule de crise (en terme de fonctions). C est une aide précieuse pour le cadre de permanence (nuit, week-end, ) Les cellules de crise "Métiers" Les Cellules de Crise «Métiers» assurent la mise en œuvre du plan de continuité «métier» en liaison avec la Cellule de Crise Décisionnelle. Le positionnement de ces cellules sont les mêmes quels que soient les métiers. Ces cellules ont pour objectifs de : - Gérer leurs propres sinistres ; - Assurer un support efficace aux métiers sinistrés. Composition : elle varie selon la structure de la filière (une filière multi-métiers pourra disposer de plusieurs Cellules de Crise «Métier» alors qu'une structure mono-métier ne disposera que d'une Cellule de Crise «Métier») et comprenant : - Des personnes assurant le management des activités sensibles sinistrées ; - Des personnes nécessaires au fonctionnement de l'activité dans les meilleures conditions possibles pour le client et l'entité ; - Le Correspondant des Risques Opérationnels de l'activité concernée ou son délégué. Attributions : - Recueille les éléments permettant de mesurer les dommages subis ; - Analyse les informations fournies par les différents acteurs techniques et logistiques ; - Réalise le diagnostic rapide de la situation ; Continuité d Activité : Gestion de crise 6

31 Fiche n 1 (Suite) : les principes de politique de gestion de crise - Définit et déclenche les premières mesures opérationnelles d'urgence ; - Anime le bon déroulement de son Plan de Continuité Métier ; - Assiste les acteurs du métier ; - Relaye les décisions et les informations de et vers la cellule de crise décisionnelle ; - Propose des scenarii de reprise de l'activité en gérant les contraintes sur le site et hors site ; - Réalise les reporting vis à vis de des autres cellules de crise Les cellules «supports» : Informatique Logistique - Immobilier Cette cellule est chargée de mettre en œuvre tous les moyens logistiques et/ou informatiques nécessaires au bon déroulement du PCA. Comme tout centre de moyens, cette structure peut être engagée dans la crise à la demande de la Cellule de Crise Décisionnelle. Composition : - Un responsable désigné de l'informatique ; - Un responsable désigné de la Logistique ; - Un responsable désigné de l Immobilier ; - Assistés des personnes dont l'implication est vitale suivant la nature du sinistre (travaux neufs, maintenance et entretien, téléphonie, sécurité des biens et des personnes, courrier, énergie, exploitation informatique, études, etc.). Attributions : - Recueille les éléments permettant de mesurer les dommages subis : analyse les informations fournies par les différents corps de métiers (exploitation, études, électricité, courrier, téléphone, bâtiment, pompiers, sécurité,...) ; - Met en œuvre les premières mesures d'urgence et d'accompagnement des métiers ; - Réalise un diagnostic de la situation technique ; - Assiste la Cellule de Crise Décisionnelle ; - Anime le bon déroulement du Plan de Secours Informatique et Logistique ; - Relaye les décisions et les informations de et vers la cellule de crise décisionnelle ; - Réalise les reporting ; - Propose des améliorations du plan dans le cadre de son maintien en condition opérationnelle - Fournit des éléments à la CCD et aux cellules "Métiers" La cellule de communication de crise Cette Cellule est chargée de préparer le Plan de Communication de Crise. Le fonctionnement de cette cellule doit s'inscrire dans les règles de communication de l établissement (par exemple charte des relations avec la presse). Elle gère transversalement la communication en cas de crise majeure. Continuité d Activité : Gestion de crise 7

32 Fiche n 1 (Suite) : les principes de politique de gestion de crise Cette cellule est généralement issue des services de communication et de marketing de l établissement. Composition : Les fonctions en titre qui la composent sont par exemple les suivantes : - Le responsable de la Communication Externe ou son représentant ; - Le responsable de la Communication Interne ou son représentant ; - Le responsable de la Communication Financière ou son représentant ; - Le responsable des relations avec la presse ou son représentant. Attributions : - Elabore le plan de communication et le référentiel par thèmes avant la survenance d'un sinistre ; - Prépare les messages (modèles) d'information et d'instructions générales, sur tout type de supports (papier, téléphone, Internet, Intranet,...) destinés : o aux médias ; o aux autorités de tutelle ; o aux organismes de place ; o au personnel de l établissement en liaison avec la Direction des RH ; o aux fournisseurs ; o aux clients (externes ou internes) et correspondants ; o aux syndicats et au C.E. - Valide le plan de communication auprès de la Cellule de Crise Décisionnelle et la Direction Générale ; - Diffuse des messages contrôlés, le cas échéant ; - Réalise des reporting à destination de l'organisation de crise, des clients et des métiers ; - Propose des améliorations du plan dans le cadre de son maintien en condition opérationnelle La cellule de crise des Ressources Humaines Cette cellule est chargée de préparer un plan de support humain et social en cas de crise et travaille en étroite collaboration avec les cellules de crise décisionnelle et métier. Composition : Transversale aux RH, cette cellule peut comprendre : - Un représentant de la Direction de la filière ; - Un représentant de la gestion administrative des RH ; - Un représentant de la communication interne, membre également de la cellule de crise communication. Attributions : - Elabore le plan de support administratif humain et social des collaborateurs (coordination, information, communication interne et sociale, facilitation, accompagnement des déplacements du personnel et sécurisation de leur environnement social) ; Continuité d Activité : Gestion de crise 8

33 Fiche n 1(fin) : les principes de politique de gestion de crise - Prépare les moyens et les natures de dispositions à adopter suivant les conséquences du sinistre ; - Prépare le plan de communication interne et sociale en liaison avec les autres cellules concernées ; - Diffuse des messages contrôlés, de son ressort, le cas échéant, par tout moyen : courrier et notes, call center RH, Internet et Intranet... ; Propose des améliorations du plan dans le cadre de son maintien en condition opérationnelle. En annexe : Exemple de répartition des rôles entre Cellules de Crise (cf. annexe.page 25) Continuité d Activité : Gestion de crise 9

34 Fiche n 2 : les différentes étapes du processus de gestion de crise Le processus de gestion de crise peut être décomposé suivants les 5 phases suivantes : - La réception d une alerte ; - L analyse de l incident ; - L activation de la cellule de crise ; - La coordination et le suivi de la crise ; - La clôture et le bilan de la crise. Exemples d événements susceptibles de générer une crise : - Fraude (avérée ou présumée) importante ; - Risque d atteinte à l image ou à la réputation de l établissement ; - Insatisfaction de clients influents ; - Problème humain ou social ; - Dysfonctionnement important du système d information ; - Événement extérieur (attentat, catastrophe naturelle, Incendie, dégâts des eaux ) ; - Alerte Banque de France, FBF, au Directeur des Risques ; - Conseil : Il est recommandé de définir un point d entrée unique en cas d incident majeur (cadre de permanence, astreinte ) pour permettre la centralisation et le traitement des alertes. Cette organisation et les traitements associés doivent être formalisés au travers de procédures dûment diffusées et connues des acteurs concernés. Pour chacune des phases du processus de gestion de crise, les actions suivantes sont a minima à effectuer et le "leader de la cellule de crise" (le pilote de crise) doit faire en sorte que ces tâches soient prises en charge : Phase 1 : réception d une alerte - Compléter la fiche de suivi des événements (cf. annexe..page 26) - Passer à la phase suivante ou clôturer l incident. Phase 2 : analyse de l incident - Appeler les responsables des services ou métiers concernés et leur exposer l alerte. - Compléter la fiche d analyse de l incident (cf. annexe.page 27) avec l aide des responsables des services ou métiers concernés - Conclure : passer à la phase suivante ou clôturer l incident Continuité d Activité : Gestion de crise 10