le management de la continuité d’activité

le management de la continuité d’activité au service de la performance de votre organisation

Les entreprises évoluent dans un environnement de plus en plus complexe : instabilité des marchés, interdépendance des acteurs, mondialisation des échanges, diversification des risques (technologiques, géopolitiques, environ-nementaux..) et exigence de transparence.Elles doivent, aujourd’hui plus que jamais, réfléchir à leur(s) stratégie(s) de continuité pour rester performante et maintenir la qualité de service au meilleur niveau en toute circonstance.

Dans ce contexte, les établissements financiers ont l’obligation réglemen-taire de disposer d’un Plan de Continuité d’Activité, c’est à dire de mettre en place un « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise puis la reprise planifiée des activités » (cf. Règlement 97-02 du Comité de Réglementation Bancaire et Financière).

Un PCA doit donc prévoir l’ensemble des solutions de secours (organisation-nelles, logistiques, techniques, humaines et de communication) permettant de réagir efficacement à une crise non maîtrisable et assurer la reprise rapide des fonctions vitales de l’entreprise en cas d’inaccessibilité des sites de pro-duction ou d’indisponibilité des moyens matériels et/ou humains nécessaires à leur exercice.

2

Catastrophes naturelles

crues de la somme - france - 2001tsunami - océan indien - 2004ouragan Katrina - etats-unis - 2005

défaillanCes d’infrastruCtures

panne du système d’information lse - 2000panne du système d’information - euronext - 2004arrêt des réseaux électriques nationaux -etats-unis - 2008

risques sanitaires

épidémie de sras - Hong Kong - 2003grippe aviaire virus a(H5n1) - asie et afrique 2006

aCCidents / terrorisme

incendie du siège du crédit lyonnais - 1996attentats de new York - 2001explosion usine aZf - 2001

Depuis plusieurs années, de nombreux évènements exceptionnels ont rappelé la vulnérabilité des entreprises face à des catastrophes ou sinistres de grande ampleur dont les conséquences économiques sont désastreuses.

attentats de new-YorK (11 Septembre 2001)

60 milliards € de dommages directs•11 milliards € de pertes d’activités •sur 2001 et 2002108 000 emplois supprimés•(etat de new-York)

explosion usine aZf (21 Septembre 2001)

2,5 milliards € de dommages •directs1300 entreprises sinistrées•1200 emplois supprimés•(toulouse et agglomération)

3

La survenue d’incidents majeurs, même si leur probabilité d’occurrence est faible, est susceptible d’altérer de manière durable l’activité courante d’une entreprise et engendrer de multiples impacts :

Par conséquent, la mise en place d’un PCA répond à plusieurs types d’enjeux :

• Opérationnels : garantir la survie de l’entreprise en minimisant les impacts financiers, juri- diques et d’image d’un sinistre grave,

Selon de nombreuses études statistiques, 80% des entreprises qui subissent une interruption d’activité consécutive à un sinistre majeur disparaissent dans un délai de 18 mois.

• Commerciaux et concurrentiels : favoriser la conquête de marchés en rassurant les clients sur la sécurité de leurs intérêts en cas de sinistre,

La capacité à assurer la continuité de son activité constituant un argument commercial de poids, les entreprises sont fréquemment amenées à dévoiler les composantes de leur PCA dans les réponses à appel d’offres.

• Réglementaires : répondre à une obligation légale pour les acteurs du secteur financier (Règle- ment CRBF 97-02, Joint Forum de Bâle, Directives de l’AMF…).

La problématique de la continuité d’activité ne fait plus seulement partie des préoccupations majeures des établissements financiers. Elle s’étend aujourd’hui à d’autres secteurs, notamment les Assurances et Mutuelles (Solvency II, Recommandations de l’Autorité de Contrôle des Assurances et des Mutuelles …).

les enjeux du pca

CommerCiaux

perte de clients et de parts de marchés

finanCiers

perte de revenus, coûts de reprise d’activité

juridiques

sanctions disciplinaires ou financières, voire pénales, pour non respect d’obligations réglementaires

d’image

conséquences négatives sur l’image et la réputation de l’entreprise

4

les objectifs du pca et moYens associés

analYser et réduire les impacts potentiels d’une interruption d’activité

21anticiper et maîtriser les risques opérationnels de grande envergure

catégoriser les incidents potentiels •(le plus probable, le pire, l’extrême..),

sécuriser l’environnement •informatique et de production (back-up applicatifs, de flux et des ressources humaines….),

instaurer une gestion efficace des •« utilities » (eau, transport, électricité, télécommunications) et améliorer la relation avec les prestataires critiques,

mettre en place une structure de •gouvernance du pca (stratégie, veille, analyse et reporting),

participer au renforcement du •dispositif global de prévention des risques opérationnels.

recenser les activités et ressources •vitales,

cartographier les risques et analyser •les impacts d’une interruption des processus métier,

déployer les solutions de continuité •multi-dimensionnelles et/ou multi-territoires,

mettre en place une gestion de crise •perfomante,

assurer la réactivité des collaborateurs •et de l’entreprise.

moYens

objectifs

5

les opportunités pour l’entreprise

Pour justifier la mise en œuvre d’une démarche PCA, comme pour tout projet, il est indispensable de mettre en adéquation les enjeux de l’entreprise (risques encourus vs. bénéfices attendus) et le souci de maîtrise de l’investissement (chiffrage des pertes potentielles vs. coûts de mise en œuvre).

Outre la gestion quotidienne du risque, le projet d’implémentation d’un PCA présente de véritables opportunités pour une entreprise. Cela constitue incontestablement un facteur de bonne gouvernance et un levier d’amélioration continue.

le retour sur investissement d’un pca s’évalue au-delà de simples critères financiers

1 4sur le plan organisationnel

une opportunité •pour procéder à une mise à niveau ou à une révision des organisations et processus clés de l’entreprise

une mise en lumière •des processus transverses de l’entreprise et une amélioration de leur performance

sur le plan financier

un levier permettant •de limiter les pertes financières en cas de sinistre

un levier susceptible •de générer des allègements de charges auprès de certains fournisseurs (révision des primes d’assurance, diminution des franchises…)

2sur le plan concurrentiel

un levier •concurrentiel vis-à-vis de clients auprès desquels communiquer sur sa capacité à gérer l’imprévisible est un facteur différentiant

un levier •permettant de préserver son image de marque

3sur le plan rH

un moyen de •sensibilisation des collaborateurs aux risquesopérationnels

un projet •d’entreprise mobilisateur autour de l’entreprise et fédérateur pour les collaborateurs

6

les facteurs clés de succès d’une démarcHe pca

Le PCA est dorénavant un axe structurant de la politique de couverture des risques de l’entreprise.Il constitue à ce titre une composante de la stratégie de l’entreprise et n’est donc pas une simple solution de back-up informatique, mais un véritable outil de gestion du risque opérationnel et des situations de crise.

L’anticipation et l’adaptation sont au cœur de la démarche. D’une part, l’entreprise doit favoriser l’anticipation, ce qui évite la réflexion dans l’urgence et permet de limiter les effets de chaîne incontrôlés.D’autre part, l’entreprise doit concevoir un dispositif souple et adaptable, aussi bien vis-à-vis des contraintes internes (réorganisation, nouvel applicatif métier...) qu’externes (besoins clients, exigences des prestataires…).

le pca doit être un projet d’entreprise à part entière

1> implication de la direction générale

mobilisation et sensibilisation de tous les collaborateurs>

les solutions de secours ne doivent plus être abordées uniquement sous un angle technique

2>

>

priorisation des enjeux métiers de l’entreprise

mise en place d’une organisation relais et de moyens spécifiques

de nouveaux risques doivent être pris en compte

3>

>

prévention des chocs « extrêmes » (pandémie, terrorisme…)

mise en place de dispositifs spécifiques s’appuyantsur la polyvalence des ressources humaines, la communication et l’analyse préalable des processus.

la stratégie de continuité doit s’inscrire dans une politique globale de maîtrise des risques opérationnels

4>

>

Harmonisation des objectifs de reprise avec le risk management et respect des normes groupe

mutualisation des référentiels de contrôle interne et mise en cohérence des plans d’action

7

notre savoir-faire : une démarcHe éprouvée, séquencée et normée

Equinox Consulting s’appuie sur sa maîtrise du processus de création d’un PCA, sa connaissance de l’ensemble des solutions de secours envisageables et son expertise Métier pour vous aider à anticiper la survenance des risques opérationnels de grande envergure et réduire leurs impacts.

La réussite d’un projet PCA impliquant une construction méthodique et adaptée (en fonction du type d’entreprise, de sa taille, de son secteur..), la démarche d’Equinox se décompose en 4 étapes séquencées :

développement d’une culture pca : sensibilisation et implication des collaborateurs

1analyse des impacts métier et expression du besoin de continuité

évaluation

2définition et mise en place du dispositif organisationnel

documentation

3validation opérationnelle du pca

test

4maintien opérationnel du pca

mise à jour

cadrage du projet

diagnostic

copil copil copil

8

l’étape 1

l’étape 1 permet d’identifier les proCessus vitaux de l’entreprise et définir le besoin de Continuité.

Elle comporte 3 éléments :

l’analYse des impacts métier Evaluer les conséquences que peut avoir une interruption d’activité sur la société et à partir de quand ces impacts (financiers, légaux..) deviennent intolérables et mettent en danger sa pérennité.

l’expression des besoins de continuité Recenser les moyens nécessaires au redémarrage des activités « critiques » en cas d’indisponibilité du site nominal, des installations informatiques et/ou du personnel.

l’analYse de risque Identifier les menaces sur l’informatique, les locaux et les hommes (internes, externes, humaines...) et déduire le risque (périmètre, nature...) découlant des menaces identifiées (gravité, potentialité et durée prévisible) pour mettre en œuvre des mesures d’atténuation.

le lancement d’un projet pca permet de décomposer les fonctions de l’entreprise (stratégie, environnement, processus et collaborateurs clés) et définir des priorités en matière de reprise d’activité.

le risque global est calculé à partir d’une mesure des niveaux de criticité :du risque d’image•du risque financier•du risque juridique et réglementaire•

analyse des impacts métier

9

l’étape 2

l’étape 2 permet d’élaborer la stratégie de Continuité adéquate.

• Choix de la solution de secours interne ou externe

• Préparation du site de repli hébergeant les collaborateurs clés composant les services prioritaires

• Création de la documentation du plan de secours (communication, mise en œuvre, gestion, contrôle)

• Sensibilisation des collaborateurs aux enjeux et procédures du PCALe volet « accompagnement du changement » est essentiel pour assurer la pérennité du projet et l’instauration d’une culture PCA.

• Développement d’une communication de crise efficace et rapide

le plan doit s’adapter aux contraintes de l’entreprise et prévoir une ou plusieurs solutions de continuité complètes et réalisables.

Zoning

structure de gouvernance du pca

10

l’étape 3

l’étape 3 permet de tester le dispositif de Continuité d’aCtivité mis en plaCe.

• Contrôle de la fiabilité des travaux effectués par l’équipe projet et/ou le prestataire du secours externe

• Mise en place d’un PCA opérationnel répondant à l’expression des besoins de continuité par activité et favorisant la « résilience organisationnelle » de l’entreprise

• Maintien d’un niveau de compétence suffisant des équipes de pilotage et évaluation de leur résistance au stress

• Entrainement des équipes opérationnelles pour une réactivité optimale en cas de crise

le plan doit être testé régulièrement (revue des procédures, jeu de rôles, test grandeur nature réel ou « à blanc »…), et ce à chaque introduction d’une application / infrastructure informatique nouvelle ou réorganisation.

fiche de test

11

l’étape 4

l’étape 4 vise à assurer le maintien opérationnel du pCa.

• Définition des principes organisationnels de maintien opérationnel du PCA

• Création des procédures de mise à jour du plan et outils de reporting

• Maintenance effective du PCA et de ses composantes fondamentales (Plan de Sauvegarde Informatique, Plan de gestion de crise, Plan de reprise des moyens techniques de l’entreprise et des activités Métier et Plan de Retour à la Normale)

• Mise en place d’un processus d’amélioration continue de « gestion de crise » - Industrialisation et pérennisation des process

le plan doit être revu et mis à jour régulièrement (au moins une fois par an) pour tenir compte de l’évolution de la technologie et des objectifs de l’entreprise.

extrait d’une procédure type de mise à jour du pca

12

Êtes-vous aujourd’Hui en mesure de prévenir et gérer les risques opérationnels de grande envergure ?

si vous ne disposez pas de plan de Continuité d’aCtivité :

• Avez-vous évalué la criticité des activités de votre société (critique, vitale, stratégique, non sensible) ?

• Avez-vous identifié les différents types d’incidents susceptibles d’interrompre vos activités, leur niveau de gravité et leur probabilité de survenance ?

• Vos fonctions critiques sont-elles les plus à risque ?

• Avez-vous analysé les impacts d’une interruption d’activité, sur les plans économique et financier, opérationnel, juridique, ainsi qu’en terme d’image ?

si vous disposez d’un plan de Continuité d’aCtivité ou d’une solution intermédiaire (plan de reprise..), avez-vous mis en œuvre les solutions adéquates pour Couvrir Ces risques ?

• Quelles solutions de prévention / secours avez-vous déployées pour protéger vos ressources clés (humaines, informatiques,…) ?

• plan de secours informatique et redondance des données• site de secours pour les utilisateurs• mesures de gestion du risque sanitaire• accès à distance

• Avez-vous formalisé un plan d’actions en cas de sinistre déclaré (scénarios de crise, procédure d’évacuation, de crise…) ?

• Disposez-vous d’un PCA mis à jour et testé régulièrement ?

et vous ?

13

business case

création du pca des filiales de la branche gestion d‘actifs d’un groupe bancaire de dimension internationale – plus de 2000 collaborateurs répartis dans 70 pays et près de 400 milliards d’euros d’actifs gérés

des activités vitales reprises en moins d’une heure sur •le site de secours une équipe de coordination opérationnelle et disponible•un centre décisionnel formé et capable de gérer •tout type de criseun dispositif de secours qui se décline par site •géographique, scenarii de crise à couvrir et problématiques métier à traiter plus d’une centaine de procédures opérationnelles, •organisationnelles, et techniques rédigées et tenues à jour

une surveillance it permanente•un environnement de travail répliqué et immédiatement •disponible plus de 300 postes de travail opérationnels dont une •centaine de positions dédiées

une sensibilisation de tous les collaborateurs aux enjeux •et procédures du pcaplus de 500 collaborateurs mobilisés lors du test grandeur •nature

un site de secours aménagé et prêt à accueillir les •collaborateurs impliqués dans le pca plus de 1000 lignes téléphoniques transférées en moins •d’une heure

des moyens de communication de crise diversifiés •et performants

dossier d’analyse des •impacts et d’évaluation des risques expression du besoin •de continuité procédures •opérationnelles procédures de crise •et plan de retour à la normaleprocédures de mise à jour •

procédures techniques •

supports de formation•

Zoning •procédures d’accueil •et de gestion de la téléphonie

cartes mémento •site web•serveur vocal interactif•

organisation

tecHnique

Humaine

logistique

communication

DimenSion réSultatS obtenuS livrableS

mettre en place un dispositif global de gestion de crise documenté, opérationnel, validé et testé pour permettre à •l’entreprise de réagir efficacement à une crise majeure et se mettre en conformité avec les normes réglementaires internationalesorganiser un test grandeur nature pour valider les solutions de continuité prévues par le pca, en contrôler la cohérence •et favoriser la préparation des collaborateurs amenés à intervenir en cas de crise

objectifs de la mission :

14

création du pca des filiales de la branche gestion d‘actifs d’un groupe bancaire de dimension internationale – plus de 2000 collaborateurs répartis dans 70 pays et près de 400 milliards d’euros d’actifs gérés

réunion de la cellule de crise

supports pca

déploiement de la coordination pca

activation des moYens de communication

mobilisation des responsables pcapar la cellule de crise

mobilisation des équipes opérationnelles par les responsables pca

communication interne et externe (clients, autorités, partenaires)

préparation du site de secours

coordination des ressources Humaines

accès au site de secours et reprise immédiate des activités

activation du pca

procédure cellule de crise

moyens de communication internes et externes

procédures organisationnelles et techniques : support pca

procédures opérationnelles

criseactivation du site de secours ou toute autre solution de secours

retour à la normalereprise des activités sur le site nominal

support pca et prestatairesinternes/externes

comex

supports pca

responsables métier

collaborateurs métier

dispositif de déclenchement du pca et outils associés

15

Dédié aux établissements bancaires et financiers, Equinox Consulting a connu une croissance continue depuis sa création en janvier 2004.Equinox Consulting se positionne aujourd’hui comme l’un des cabi-nets de référence auprès des établissements bancaires et institutions financières.Dans la déclinaison de nos prestations de conseil, nous conservons une priorité absolue : comprendre le métier du client et la culture de l’entreprise. Cette exigence nous conduit à rechercher et apporter les réponses les plus adaptées et les plus opérationnelles aux problématiques de nos clients.

63 boulevard haussmann, 75008 parisstandard : 01 53 43 06 43télécopie : 01 53 43 06 40www.equinox-consulting.com

bnp paribas investment partners (bnpp am, fundquest, oam, cnam, private equity...), axa, ribank, carlson wagonlit travel, mondial assistance, santander…

principales références

un cabinet de conseil en organisation et management

une force de plus de 150 consultants au service de vos projets

des équipes métier dédiées à l’ensemble des problématiques de la banque

anticiper, identifier, analYser les évolutions du marcHé afin de contribuer à la performance et à l’excellence de nos clients

ww

w.m

ybea

utifu

l.fr

contacts

olivier baumard - associétél. : 01 53 43 06 43 obaumard@equinox-consulting.com

virginie morel - consultante seniortél. : 06 09 66 00 86vmorel@equinox-consulting.com

stratégie opérationnelle

plan stratégique / projet d’entreprise / mode de gouvernance / gestion des situations de crise / étude d’opportunité / approche client / plan de continuité d’activité

organisation et processus

refonte du processus, filières / externalisation, centralisation, partage / étude des performances / allocation des ressources / cadrage et mise en œuvre (fusion, rapprochements)

gestion des projets

pilotage des fusions et rapprochements / formalisation et suivi budgétaire / évaluation des besoins / lotissement des chantiers / reporting et gestion des alertes / formation métier

sYstèmes d’information

aide au choix des solutions / assistance à maîtrise d’ouvrage / mise en œuvre : cahier des charges, recettes utilisateur / reporting et gestion des alertes / formation aux outils