Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder 25.05.2008



Documents pareils
Plan de continuité des activités Nécessité ou utopie?

L analyse de risques avec MEHARI

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Le Plan de Continuité d Activité (PCA / BCP)

ITIL Gestion de la continuité des services informatiques

Plan de secours. Annie Butel. CLUSIF Septembre PCA ppt

La continuité des activités informatiques. Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008

la conformité LES PRINCIPES D ACTION

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

ITIL V2. La gestion de la continuité des services des TI

Site de repli et mitigation des risques opérationnels lors d'un déménagement

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Outils et moyens pour implanter la continuité des opérations dans votre organisation

La gestion des risques en entreprise de nouvelles dimensions

LA CONTINUITÉ DES AFFAIRES

le management de la continuité d activité

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Août 2013 Recommandations en matière de Business Continuity Management (BCM)

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

PGSSI-S : Politique générale de sécurité des systèmes d information de santé Guide Pratique Plan de Continuité Informatique Principes de base V 0.

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

Pourquoi OneSolutions a choisi SyselCloud

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

Plan de Continuité des Activités Disneyland Resort Paris. Préparé par Karine Poirot/Paul Chatelot 26 mars 2009

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Ceano. Un Partenariat plus simple. 1 plateforme unique pour une IT facile. 1 collaboration d équipe facilitée

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Audit 360. Votre Data Center peut-il vraiment répondre à vos objectifs? À quelles conditions? Avec quelles priorités? Pour quels budgets?

Mettre en œuvre son Plan de Gestion de Crise

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

Récapitulatif: Du 30 Mars au 10 Avril Rapports de l OICV sur les plans de continuité d activité.

DOSSIER SOLUTION : CA RECOVERY MANAGEMENT

Novembre 2007 Recommandations en matière de Business Continuity Management (BCM)

MESURE DE L ÉNERGIE ET DES FLUIDES

KIT PCA à l usage du chef d entreprise en cas de crise majeure

2. Technique d analyse de la demande

Clud des DSI. Nouvelle Calédonie ITIL. 14 Mars Xavier SEVIN

Guide en gestion de la continuité des opérations Mission «Activités économiques»

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

Prestations d audit et de conseil 2015

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service

FAIRE FACE A UN SINISTRE INFORMATIQUE

ASSUREZ VOTRE CONTINUITÉ DE SERVICE EN CAS DE SINISTRE. Sauvegarde Restauration Migration Virtualisation P.R.A

ASSUREZ VOTRE CONTINUITÉ DE SERVICE EN CAS DE SINISTRE. Sauvegarde Restauration Migration Virtualisation P.R.A

Politique de gestion des risques

La COMMUNICATION. Tirer parti des solutions. et gérer les imprévus

Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC

ITIL : Premiers Contacts

JOURNÉE THÉMATIQUE SUR LES RISQUES

GRAS SAVOYE CONSEIL ET COURTAGE EN ASSURANCES. Risques Supply Chain : le point sur le marché de l'assurance

Sinistres majeurs : comment assurer la continuité d activité?

1. GOUVERNANCE IT (INFORMATIQUE ET TÉLÉCOMS)

DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

UNIFIED D TA. architecture nouvelle génération pour une restauration garantie (assured recovery ) que les données soient sur site ou dans le cloud

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Identification, évaluation et gestion des incidents

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

Notre offre PCA/PRA

Continuité de services et plan de reprise d activité

Qu est-ce qu un système d Information? 1

Le Data Risk Center. Plateforme de pilotage et de gestion des risques Pilier I de la directive Solvabilité II

RESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien

INF 1160 Les réseaux d entreprise

Hébergement de base de données MySQL. Description du service (D après OGC - ITIL v3 - Service Design- Appendix F : Sample SLA and OLA)

Guide à l intention des services d incendie. Création et maintien d un plan de continuité des opérations (PCO)

agility made possible

L Application Performance Management pourquoi et pour quoi faire?

Continuité des opérations

Marc Paulet-deodis pour APRIM 1

L'AUDIT DES SYSTEMES D'INFORMATION

ITIL V2 Processus : La Gestion des Configurations

Pilot4IT Monitoring : Mesurez la qualité et la performance perçue de vos applications.

Recours aux entreprises extérieures

Une réelle solution HA Continuité en toute situation!

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Vector Security Consulting S.A

Microsoft IT Operation Consulting

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Avec Sage HR Management, transformez votre gestion du capital humain en atout stratégique

Jusqu où aller dans la sécurité des systèmes d information?

s é c u r i t é Conférence animée par Christophe Blanchot

Quadra Entreprise On Demand

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

P s a sep e o p r o t S e S r e vi v ce c s Fabrice Dubost

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Gestion des incidents

KASPERSKY SECURITY FOR BUSINESS

Transcription:

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA James Linder 25.05.2008 1

Objectifs Pourquoi un plan de secours? Pour ne ne pas pas être être bloqué dans son son travail En quoi consiste un plan de secours? Identifier ce ce qu il qu il faut faut avoir à disposition pour pour continuer (machines et et programmes, fichiers vitaux, documents papier etc.) etc.) S organiser pour pour les les récupérer et et pour pour travailler dans un un contexte de de crise, de de moindre «confort» Solutions de secours < solutions normales // idéales Coûts des des solutions de de secours = primes d assurance <<< <<< sinistres! Grande sélectivité des des activités critiques, définition des des niveaux de de «dégradation» acceptables S approprier le le plan et et le le faire progresser avec réalisme 2

Situation BCV L état de lieux a démontré la la nécessité de disposer de plans de continuité pour l ensemble de la la banque. Le manque de couverture de ce risque pour la la salle des marché a été relevé et et la la résolution de ce point a été une priorité de la la banque. Les premiers plans de continuité se sont focalisés sur la la salle des marchés (SAMA), le le Back Office Payement (BOP), le le Back Office Négociation (BON) 3

Introduction Définition du PCA Plan Plan de de continuité des des activités. Gestion des risques business Un sinistre étant souvent non non prévisible, le le but but du du PCA PCA est est de de minimiser son son exposition aux aux risques en en réduisant la la probabilité d'occurrence d'un d'un sinistre et/ou son son impact sur sur la la bonne marche des des affaires. Projet global avec implantation Locale Basé sur sur des des scénarii Crise imprévue Indisponibilité d un d un bâtiment Durée 4

Approche Inventaire et et analyse des activités de chaque entité business de la la banque afin d en faire ressortir celles qui sont critiques. Pour les activités critiques, mise en place d un plan de continuité des activités de manière à permettre une reprise de celles-ci en mode dégradé dans un délai de 4 heures pour les plus critiques à 2 jours pour les autres. La mise en place du plan est prévue pour une durée maximum de 7 jours, ce qui laissera à la la banque le le temps de s organiser en cas de problème persistant. 5

Plan de continuité des Activités Gestion de crise Organisation de gestion de crise Plans d évacuation Plan de récupération des sites Plan de continuité Plan de reprise des systèmes informatiques Plan de communication en cas de crise 6

Analyse d impact business BIA Quelles sont les menaces? Incendie, Inondation, panne générale, indisponibilité géographique etc.. etc.. Quels sont les coûts et et revenus de chacune des B.U.? Définition des priorités Proposition Site principal Site regroupant l essentiel des des activités à couvrir Sites ayant des des Infrastructures importantes Le Le reste suivant par par ordre de de priorité. Validation des des priorités par par le le C.D. C.D. 7

Analyse d impact business BIA Catégorie d'événement Naturel Accidentel Géopolitique Contractuel RISQUES Causes / Origines Impacts potentiels sur les Infrastructures ou sur la continuité (Critique/Moyen/Faible) d'occurrence protection Incendie Perte d'un site ou d'un bâtiment Peu probable Alarme, plan d'évacuation, système d'extinction etc.. 2 ème bâtiment OUI si gros sinistre Inondation Perte d'un site ou d'un bâtiment Peu probable Alarme, plan d'évacuation, 2 ème bâtiment OUI si gros sinistre Risques Géologiques Perte d'une zone complète Très peu probable Pas réellement de Alarme, plan d'évacuation, solution si très gros sinistre régional Difficilement applicable Risques météorologiques Destruction partielle d'un site ou d'un bâtiment Probable Alarme, plan d'évacuation, 2 ème bâtiment OUI si gros sinistre Panne sur les moyens énergétiques Rupture de fluide Accident grave dans la périphérie Perte à moyen terme des systèmes vitaux ayant Probable besoin d'énergie (S.I. etc..) Évacuation du personnel et blocage des accès Peu probable aux locaux durant une période indéterminée Évacuation du personnel et blocage des accès Peu probable aux locaux durant une période indéterminée Chute d'aéronef Perte d'un site ou d'un bâtiment Très peu probable Alarme, plan d'évacuation, Accident industriel Évacuation du personnel et blocage des accès aux locaux durant une période indéterminée Peu probable Malveillance grave Sabotage des installations, perte du S.I. Probable Manifestation Blocage des accès aux locaux durant une période indéterminée Grève Blocage des accès aux locaux durant une période indéterminée Alerte à la bombe Inaccessibilité des locaux durant une courte période Terrorisme Sabotage des installations, perte complète d'un bâtiment Plus de service d'un fournisseur, par Perte des connexions inter sites, vers l'extérieur exemple (Télécom, flux financier, trafic de ou vers des applications critiques. payements) Probabilité Peu probable Peu probable Probable Peu probable Très probable Mesures de Système de secours 2 ème bâtiment selon la zone touchée Oui si long sinistre Alarme, plan d'évacuation, 2 ème bâtiment OUI si gros sinistre Alarme, plan 2 ème bâtiment selon d'évacuation, la zone touchée OUI si gros sinistre Alarme, plan d'évacuation, Système de secours 2 ème bâtiment selon la zone touchée 2 ème bâtiment selon la zone touchée 2 ème bâtiment selon la zone touchée Pas de scénario prévu 2 ème bâtiment Solution s'il s'agit de Pas de scénario prévu blocage d'accès Alarme, plan d'évacuation, 2 ème bâtiment Alarme, plan d'évacuation, 2 ème bâtiment Système de secours via un autre fournisseur Infrastructure de secours Engagement du PCA OUI si gros sinistre OUI si gros sinistre OUI si gros sinistre OUI si long évènement OUI si long évènement OUI si long évènement OUI si long évènement OUI si long Redondance technique évènement 8

Hypothèses de travail Indisponibilité ou perte complète d un des trois bâtiments principaux. Le personnel est apte à reprendre le le travail. Le PCA ne couvre pas les sinistres touchant plus de un des trois sites principaux en même temps. Ces hypothèses ont été retenues pour l élaboration des plans ainsi que pour leurs tests. 9

Méthodologie générale Analyse des activités Inventaire des ressources nécessaires au maintien des activités critiques Établissement du PCA Tests et et maintenance 10

Inventaire et analyse des activités critiques Inventaire des activités Analyse des Activité Critiques (ACA) Quelles activités ne ne peuvent être interrompues sans mettre en en danger l entreprise? Différents niveaux Temps réel (T (T:: reprise dans la la demijournée) DRS Reprise (R (R:: reprise entre 4 heures et et 2 jours) Suspendue (S (S:: activité que l on peut suspendre >2j.) 11

Inventaire des ressources nécessaires (BIR) Quelles sont les ressources nécessaires pour maintenir les activités critiques? De quoi quoi aura-t on besoin pour pour travailler depuis d autres sites? Trois axes Bâtiments HR IT IT Procédures business 12

Localisations alternatives Site de secours, Disaster Recovery Site «DRS» Identification d autres locaux et et synergies possibles entre les différentes entités. Local Régional Besoins de de partenaires externes (salle blanche) Définition des infrastructures à rajouter. Validation du du DRS. 13

Documentation et test du plan Description du fonctionnement des entités en cas de crise. Procédures Informations utiles et et personnes de de contact. Organisation de de gestion de de crise --Crisis management Organisation (CMO) Tests Simulation de de crise et et tests en en conditions réelles des DRS Analyse de de la la situation Annonce de de l état de de crise Déplacement de de personnes Communication etc.. 14

Tests du plan Paper work Quoi :: Test Test de de cohérence théorique Qui :: Intervenants principaux du du PCA PCA (Comité de de crise, Business, Sécurité, RH, RH, IT, IT, Immobilier, IBM) Technique Quoi :: Identification en en amont des des problèmes techniques Qui :: Entité de de support (Comité de de crise, IT, IT, Immobilier) Complet, simulation de crise et et tests réel des PCA Quoi :: Validation en en production du du fonctionnement du du PCA PCA Qui :: Tous les les intervenant du du PCA PCA (Comité de de crise, Business, Sécurité, RH, RH, IT, IT, Immobilier, IBM) 15

Exemple Suivi de projet 16

Exemple Suivi de projet 17

Exemple - ACA 18

Exemple BIR 19

Exemple - PCA 20

Exemple - Documentation Documentation papier Référentiel 21

Facteurs clé de succès La Méthode Utiliser une uneméthode! La La plus plus adaptée à l entreprise et et aux aux buts buts à atteindre Le sponsoring La La Direction Générale doit doit être être impliquée dans le le processus de de décision La gestion de projet Visibilité et et reporting Information aux aux employés Centraliser la la documentation dans un un référentiel Rigueur mais pas pas procédurier Le support Ne pas pas sous estimer l effort nécessaire 22

Méthodologie détaillée Analyse et Classification des Activités S R R S T T & R Inventaire des ressources nécessaires au maintien des activités identifiées. 100 %? Besoins pour un site de secours Besoins répertoriés par entité de support Bâtiment HR IT T = Temps réel ( 4 heures) Site de secours R = Récupérée ( 2 jours) PCA = Plan papier S = Suspend (>2 jours) Pas de préparation T & R = Activités à maintenir Conditions normales Conditions en cas de désastre 23

Méthodologie détaillée Livrables à transmettre Que doit-on faire? Préparation des plans d actions (*) Bâtiments : Espaces nécessaires pour accueillir x personnes, salle de conférence, meubles etc. Rechercher les possibles sites de secours internes ou externes et effectuer les choix en conséquence. Liste des actions à prendre pour équiper rapidement les endroits sélectionnés en fct. des besoins Personnel: liste des activités à maintenir avec noms des personnes et numéros de contact. Préparer les informations de contact -avec : noms, tél. privé, tél. portable, adresse, etc. Préparer les messages : aller à..., rester à la maison, votre mari est, prenez un taxi, besoins RH IT : inventaire des applications, internes et externes, nécessaires au maintien des activités critiques Contrôler la disponibilité des applications nécessaires dans les autres sites et amender. Que faire pour rendre disponibles rapidement les applications identifiées dans le site de secours Métier Définir qui fait quoi, former les personnes si besoin, les documents vitaux sont identifiés et disponibles Lister, si nécessaire, comment redémarrer ou continuer les activités dans le site de secours Gestion des métier avec l équipe PCA et Sécurité. Élaboration de l organisation de gestion de crise. Documentation de l organisation de gestion de crise pour tous ses membres (*) les plans d action sont destines et créer par et aux spécialistes, donc pas de détails dans ce document 24

Méthodologie détaillée Mesures préparatoires Plan d action Bât. Mesures préparatoires Plan d action HR Mesures préparatoires Plan d action IT PCA Exercice Maintien Procédure(s) Exceptionnelle(s). B.U. Structure & organisation de gestion de crise Liste d actions pour les membres du comité de crise. 25

1. Analyse d impact sur les affaires : 1. 1.Objectifs : Méthodologie détaillée, Analyse d impact 1. Classifier les différents départements selon les risques et pertes possibles ou probables 2. Elaborer un planning global en fonction du niveau de perte (on traite les métiers où les pertes possibles en cas de désastres seraient les plus importantes) 1. 2. Approche : Analyse d impact business Inventaire des risques Evaluation des risques Evaluation de l impact Classification des métiers Rapport d analyse d impact Business à soumettre à la direction Pour tous les métiers, bâtiment par bâtiment De quoi a t-on peur? Cela doit se résumer à une liste courte des risques relevants. Indiquer quels sont les risques qui ont la probabilité la plus élevée. Quels seraient les conséquences pour le métier où la banque si le business était interrompu pour une longue période (Revenus, Profit, Image, Rating banque, Pertes, Coûts supplémentaires,...)? Nous obtiendrons une matrice pour chaque Business Unit avec les facteurs de risques et coûts estimés en cas de sinistre. Cette matrice nous permettra de prioriser les actions à effectuer dans le cadre du plan de continuité des affaires, par exemple commencer par les bâtiments où sont concentrés les métiers ayant les plus gros impacts sur le cash flow de la banque. Obtenir un accord et une validation de la planification globale du PCA. Principes de planification : 1. Commencer avec les business unit ayant les plus gros impacts sur le cash flow de la banque (50-60 % de l effort ex. Salle de Marché) pour ensuite continuer avec des B.U. nous amenant des quick win (30 40 % de l effort ex. agences) 2. Finir par les B.U. ayant un impact important sur le cash flow de l entreprise (10 20 % de l efforts) 26

Méthodologie détaillée, Inventaire des activités 2. Approche pour l élaboration d un plan global de continuité des affaires pour une business unit : 2.1 Objectif : Elaborer pour chaque Business Unit (ex. département, succursale) un plan de continuité pour reprendre dans un autre site les activités ne devant pas être interrompues pour une longue période de temps. 2.2 Approche : 1. L équipe de projet PCA met à disposition la méthodologie, les conseils, le suivi des objectifs, la connaissance des plans préparés dans les autres B.U. 1. Le personnel de chaque département amènera son expérience du métier, sa connaissance des procédures en vigueur où à créer, les impact et relations client, les volumes de transaction, les alternatives possibles pour certains outils, etc. dans les discussions. Phase Approche globale d un PCA Commentaires Planning et initiation du projet Présentation de la méthodologie du PCA au management Nomination d un responsable pour la mise en œuvre du PCA Validation du plan et dates Une présentation «High level» doit être faite au management pour présenter les phases essentielles du plan. Cette personne doit s occuper de coordonner les efforts entre les différents services au sein de la banque dans l élaboration du PCA. Elle doit avoir la légitimité nécessaire et l appui du top management pour son projet. Un délégué doit être aussi nommé. Définition et validation du plan de projet et des milestones relatifs. Analyse des Activités Inventaire de toutes les activités Evaluation de l impact Evaluation du temps maximum d interruption de l activité Quelles sont les activités de cette B.U.? Dans cette phase nous devons être exhaustif tout en ne gardant que les activités d une certaine importance. Idéalement et dans un souci de cohérence, les activités des différentes B.U. devraient être décrites avec le même niveau de détail. Quelles seraient nos pertes si cette activité était interrompue? La perte financière, l impact sur l image où sur le rating sont des facteurs relevants dans cette analyse. L interdépendance des différentes activités ou métiers doit être aussi vue dans cette phase (ex. salle des marché et B.O.). Combien de temps cette activité peut-elle être interrompue avant que la B.U. ne perde de l argent? 27

Méthodologie détaillée, Inventaire des ressources Phase Approche globale d un PCA Commentaires Sélection des activités Sélection des activités à maintenir Validation des activités sélectionnées La sélection des activités doit être entreprise sur la base de celles dont l interruption impacteraient le plus la B.U. Le choix se basera sur l importance de l activité pour la B.U. et si celle-ci peut être ou non interrompue en tenant compte aussi de son impact sur les autres départements en cas d interruption (interdépendance). Les sites de secours «à chaud» doivent être considérés pour les B.U. ayant beaucoup d activités devant être maintenues sans interruption. Les choix offerts sont : maintenir les activités à travers le PCA, maintenir les activités dans deux sites distincts en parallèle, suspendre les activités ou ne rien faire et assurer le risque (coûts prohibitifs). Le responsable de la B.U. doit confirmer et valider les activités à maintenir à travers le PCA. La solution du site de secours doit être considérée dans une étape ultérieure du projet (ces phases étant indépendantes). Définir les Ressources Liste des besoins en ressources Définition du niveau de service Définition des besoins en ressources pour le site de secours Cette liste contient toutes les ressources nécessaires pour exécuter l activité à maintenir dans les circonstances normales de travail: N collaborateurs, fournitures et espace de bureau, software, flux de données ext, équipement spécial, document, etc. Si un site de back-up existe, voir si les services peuvent y être fournis. Il faut définir dans cette phase le niveau de service minimum devant être maintenu en cas de crise (SLA). Quelles sont les ressources nécessaires au maintien de l activité en cas de crise au niveau de service et contrainte de temps défini (ex. N collaborateurs, fournitures et espace de bureau, software, flux de données)? Bâtiments HR Recherche de locaux pour le site de secours Collecte des informations de contact Rechercher dans quels autres sites (ex. Autres bâtiments) les ressources nécessaires au maintien des activités identifiées pourraient être disponible rapidement? Une B.U. pourrait dès lors être hébergée à la place d autres activités non critiques qui lui laisserait la place selon le PCA. Les éléments dont on doit tenir compte sont essentiellement : télécommunications, distance de voyage pour les collaborateurs, la distribution du courrier, les infrastructure existantes (câblage), les interdépendance avec d autres B.U. etc. Collecter les information de contact des collaborateurs : tél. privé, tél. portable, adresse etc. Le contact des collaborateurs en cas de crise peut être fait par le dpt HR ou par les responsables de B.U. concernés. IT Contrôle de la disponibilité des services IT nécessaires Contrôler que les services IT nécessaires au maintien des activités peuvent être fournies dans les sites de secours choisis, les délais impartis et au niveau de service requis. 28

Méthodologie détaillée, Documentation et Tests Phase Approche globale d un PCA Commentaires Préparer le site Implémentation des mesures préparatoires Quelques soit la solution choisie, une série de mesures préparatoires doivent être prise (ex. flux financiers, équipement de télécommunication pour connecter les sites, procédures de basculement ) en ligne avec les différents besoins opérationnels exprimés dans les phases précédentes. Documenter le plan Gérer la crise Conserver le plan à jour Elaboration des documents PCA pour les départements de support Elaboration des documents PCA pour différentes Business Unit- Elaboration des documents de gestion de crise pour le comité de crise et de coordination du plan de continuité des affaires Tester le plan Maintenir le plan Documentation exhaustive des différentes étapes du plan de continuité des affaires exprimant les actions devant être exécutées, les ressources nécessaires, les délais nécessaires, qui fera quoi, etc. dans les domaines du Bâtiment, de l IT et des HR? Documentation de quels seront les collaborateurs devant venir travailler dans le site de secours, des procédures métier extraordinaires et des activités à maintenir. Il faut tenir compte des possibilités d erreurs dues aux circonstances spécifiques d une situation de crise et prévoir des contrôles supplémentaires en fonctions des risques. Revue de la structure d organisation et des procédures en réponse à un incident majeur. Revue et analyse des incidents pouvant ou ayant pu amener l entreprise dans une situation de crise. Définition de qui va communiquer avec l extérieur en cas de crise. Définition de qui prend part dans les différents comités et quels sont les back-up. Définition de qui informera les membres de ces comités en cas d urgence. Documentation de comment seront dirigées et coordonnées les différentes équipes de support. Collecter, mettre à jour et distribuer les informations de contact des collaborateurs impliqués dans le PCA. Prévoir un test du PCA sous forme d un exercice avec les personnes impliquées de manière à les familiariser. Revue et contrôle de toute la documentation. Préparer un exercice de coordination avec les fournisseurs externes pour vérifier le fonctionnement du PCA. Revue régulière du contenu du plan pour vérifier si il est toujours en ligne avec les besoins opérationnels de chaque B.U. En d autres termes, si la sélection des activités à maintenir et les ressources nécessaires restent correctes et d actualité par rapport à l évolution de la banque? 29

Lexique ACA (Analysis of of Critical Activities) Analyse des des activités critiques. BCP/PCA BIA (Business Continuity Plan Plan ou ouplan de de Continuité des des Affaires) Plan Plan regroupant les les mesures techniques, organisationnelles et et fonctionnelles nécessaires au au maintien des des activités critiques de de l'entreprise en en cas casde de crise (Business Impact Analysis) Analyse d'impact business, cette analyse permet de de définir l'impact potentiel d'événement sur surle le business, que quecela celasoit soiten en terme d'éléments tangibles (perte directe de de valeur, responsabilité engagée etc.) etc.) ou ouintangibles (réputation, image savoir faire) 30

Lexique BIR (Business Inventory Resources) Inventaire des des ressources nécessaires à la la reprise d'activité en en cas casde de crise. CISO/ RSSI DRP DRS (Chief Information Security Officer) Responsable de de la la Sécurité des des Systèmes d'information) (Disaster Recovery Plan) Plan Plan prévoyant les les mesures technique d'infrastructure à mettre en en œuvre en en cas casde de catastrophe. (Disaster Recovery Site) Site) Site Site de de secours, utilisé en en cas casde de problème majeur ou oude de crise. 31

Lexique IRM (Information Risk Risk Manager) Responsable de de la la gestion du du risque sur surles informations, souvent cette fonction est estreprise par par le le RSSI. ISO 17799 Standard de de sécurité unanimement reconnu, cette norme fournit à une uneorganisation des des directives lui luipermettant de de protéger adéquatement son son information et et ses sesressources IT. IT. ORM (Operational Risk Risk Manager) Responsable de de la la gestion du du risque opérationnel. 32