Plan de secours CLUSIF Septembre 2008 Annie Butel PCA 2008 09 24.ppt
BNP Paribas Group Story Year 1999 2000 2007 Number of Employees International presence (Number of countries) 50 000 France, North African countries, India, Hong Kong 30 000 Main Financial Markets: London, New York, Frankfurt, Paris, 80 000 (Including 55 000 in France) 83 countries 163 000 127 000 in Europe (Including 64 000 in France) 85 countries Activities Retail Corporate Banking Investment Banking Specialized Financial Services Retail Corporate & Investment Banking Specialized Financial Services Asset Management & Services Retail Corporate & Investment Banking Specialized Financial Services Asset Management & Services 2
BNP Paribas : Five Core Businesses French Retail Banking Banca Nationale del Lavoro International Retail Services Asset Management & Services Corporate & Investment Banking FRB BNL IRS AMS CIB 3
Growth of an International Group: Staff By Geographical Areas & Business Lines 163 000 employees in 85 countries 127 000 employees in Europe More than 60% employees outside France Functions 3% AMS 15% FRB 20% CIB 10% BNL 9% 38.5% IRS 43% 9% 39.5% 1% 5.5% 4% 2% 0.5% 4 As of December 31th, 2007
Quelques définitions Un plan de secours est construit pour permettre à une entreprise de survivre à un sinistre en minimisant ses pertes financières et d'image PCA = Plan de Continuité de l Activité BCP = Plan de secours (!) ou Business Contingency Plan côté utilisateurs DRP = Plan de Continuité Informatique ou Disaster Recovery Plan PSI = Plan de Secours Informatique côté informatique 5
Entreprises ayant un PCA CLUSIF juin 2008 Entreprises de plus de 200 salariés Conference Board été 2007 : 65% des entreprises US disent avoir un BCP formalisé 6
Les points clés de la réussite Avoir préparé le projet à temps! Five minutes before the party is a bad moment to learn how to dance 7
Pourquoi un plan de secours? Activité Entreprise Préparation plan de secours Activation plan de secours Sinistre Avec plan de secours Sans plan de secours Temps de reprise Temps de retour à la normal Temps 8
Les points clés de la réussite Avoir préparé le projet à temps Avoir un responsable PCA bien positionné dans la structure 9
Organisation interne Direction Générale Gestion des Risques Opérationnels PCA PCA Contrôle Interne PCA Logistique PCA RSSI PCA Informatique Relais informatique PCA Direction Opérationnelle Direction Opérationnelle Direction Opérationnelle Relais PCA Relais PCA Relais PCA 10
Gouvernance Impulsion et soutien actif de la DG Chef de projet Equipe projet Forte implication des utilisateurs Comité de suivi et de validation Aide de la Production Un planning et... un budget 11
Les points clés de la réussite Avoir préparé le projet à temps Avoir un responsable BCP bien positionné dans la structure Avoir bien évalué les risques et les impacts 12
BIA & profil de risque Evaluer les risques, la probabilité d occurrence et l impact Forte Probabilité Haut Haut Faible Impact Fort 13
Profil de risque UK Pandemic Influenza Relative Impact Low Major Transport Accidents Major Industrial Accidents Animal Disease Coastal Flooding Attacks on Critical Infrastructure Power interruptions Inland l Flooding Non conventional attacks Severe Weather Attacks on Crowded Places Attacks on Transport Electronic Attacks Low Relative Likelihood High Source: UK Government 2008 14
Les points clés de la réussite Avoir préparé le projet à temps Avoir un responsable BCP bien positionné dans la structure Avoir bien évalué les risques et les impacts Avoir une stratégie claire et documentée de couverture 15
Stratégie de reprise Process critique Très Peu RISQUE ELEVE Couvrir 50 à 100% Couvrir 25 à 50% Couvrir 10 à 25% Couvrir 0 à 10% RISQUE FAIBLE Stratégie BCP Couverture complète, immédiate, tests fréquents Couverture partielle, avec montée en charge, tests bi-annuels Couverture très partielle, avec montée en charge, procédures de substitution Peu ou pas de couverture, reprise en différé dès que possible 16
Les points clés de la réussite Avoir préparé le projet à temps Avoir un responsable BCP bien positionné dans la structure Avoir bien évalué les risques et les impacts Avoir une stratégie claire et documentée de couverture Avoir une cohérence impact / couverture / coûts 17
Aspects financiers Software Hardware/ Stockage/ Telecom Site PCA Jours*hommes Coût Total PCA Risques business et coûts arrêt activité Choix de stratégie 18
Les points clés de la réussite Avoir préparé le projet à temps Avoir un responsable BCP bien positionné dans la structure Avoir bien évalué les risques et les impacts Avoir une stratégie claire et documentée de couverture Avoir une cohérence impact/couverture/coûts Maintenir un site de secours en cohérence avec les besoins 19
Le site de secours Salle utilisateurs : situation géographique ad hoc dimensionnement adapté aux besoins équipement à niveau (PC, fax, imprimantes, téls ) Salle technique connexions suffisantes matériel à niveau Si site externe : relecture du contrat : taux de mutualisation clause de protection si sinistre important 20
Les points clés de la réussite Avoir préparé le projet à temps Avoir un responsable BCP bien positionné dans la structure Avoir bien évalué les risques et les impacts Avoir une stratégie claire et documentée de couverture Avoir une cohérence impact/couverture/coûts Maintenir un site de secours en cohérence avec les besoins Avoir écrit les procédures nécessaires avec le bon niveau de détail 21
Evénement déclencheur : alerte Déroulement du plan : alerte Procédure d'escalade : qui prévient qui? Qui décide l'activation du groupe de crise? Et en amont : Remontée centralisée des alarmes Tests d'évacuation des personnes Connaissance des consignes générales de sécurité et des points de ralliement Evacuation salariés vers point de ralliement Équipes utilisateurs Point de ralliement ATTENTE 22
Déroulement du plan : groupe de crise Evénement déclencheur : alerte, appel groupe de crise Chacun des membres doit rester joignable: nommer des suppléants. Réunion du groupe de Crise Salle de réunion PRISE DE DECISION Doit prendre une décision : déclencher ou non le Plan de Secours Information Décision Diffuse l information Aux responsables des équipes de secours, à la Direction, aux Clients, aux médias Evacuation salariés vers point de ralliement Équipes utilisateurs Point de ralliement ATTENTE 23
Déroulement du plan : activation Evénement déclencheur : appel groupe de crise Réunion du groupe de Crise Salle de réunion PRISE DE DECISION Information Décision Procédure de déclenchement Evacuation salariés vers point de ralliement Équipes utilisateurs Point de ralliement ATTENTE Procédures organisationnelles Procédures techniques 24
FAX Fox Pro I4235 24987 FAX 65779 FAX 24777 Déroulement du plan : démarrage site de secours Procédure d accès au site Zoning Evénement déclencheur : appel groupe de crise Procédures fonctionnelles Réunion du groupe de Crise Salle de réunion PRISE DE DECISION J I Bandothèque Baie de brassage serveur HUB Salle technique de secours Bureau 1 Bureau 2 Information Décision H G F Minitel E Z D C B 10 1 9 2 8 3 7 4 6 5 A Telex Y X W V U T S R Q P N M L K I4841 RMT271 I4107 I4238 Photoco I4634 RMT117 pieur I4247 RMT225 RMT51 I5219 I4231 I4234 I4233 Evacuation salariés vers point de ralliement Équipes utilisateurs Point de ralliement ATTENTE Si activation : départ vers le site de secours 25
Les outils de gestion et pilotage Ils sont utiles sinon indispensables à la vie du projet Référentiel unique de toutes les procédures PCA avec les dates de dernière mise à jour et le nom de la personne en charge de sa maintenance. Référentiel unique des acteurs PCA incluant leurs coordonnées avec validation régulière de chacun des acteurs. 26
Les points clés de la réussite Avoir préparé le projet à temps Avoir un responsable PCA bien positionné dans la structure Avoir bien évalué les risques et les impacts Avoir une stratégie claire et documentée de couverture Avoir une cohérence impact/couverture/coûts Maintenir un site de secours en cohérence avec les besoins Avoir écrit les procédures nécessaires avec le bon niveau de détail Vérifier régulièrement le bon fonctionnement du plan de secours avec LES TESTS, LA FORMATION, LA MAINTENANCE 27
Les tests Implémentation technique Tests techniques Tests globaux Implémentation fonctionnelle Tests fonctionnels 28
Les tests Rien ne vaut un test utilisateur surtout s il échoue! CLUSIF juin 2008 Entreprises de plus de 200 salariés Un plan de secours testé moins d une fois par an ne pourra jamais répondre aux besoins critiques exprimés. Un test est le seul garant qu un plan de secours est toujours d actualité 29
La formation Former ne veut pas dire tester! Souvent oubliée A faire de manière interactive Permet d'éviter les conduites irrationnelles en cas d'alarme Permet de distinguer un incident d'un désastre Permet de canaliser les réactions Permet d'orienter les décisions 30
La maintenance Pourquoi est-ce si important? C'est un process à part entière et cela ne finit jamais... L'organisation bouge Les activités évoluent Les gens changent Le périmètre varie (fusions, ventes, etc.) Le support informatique est loin d'être statique Le plan de secours est un document vivant!! 31
La maintenance Organisation Réévaluation des risques Réévaluation des besoins Vérification adéquation entre site de secours et site de production Mise à jour des procédures Tests 32
Questions? 33