Upload
antoine-vigneron
View
104
Download
3
Embed Size (px)
Citation preview
Titre de l’événement Date Page n°1
CONFERENCE ANTENNE NORD- PICARDIE
21 mai 2015
L’IFACI est affilié à
The Institute of Internal Auditors
Anticiper l’imprévisible ?
Retours d’expériences
En partenariat avec :
Titre de l’événement Date Page n°2
Clotilde MARCHETTI | Directeur Associé
Risk Management - Grant Thornton
Les meilleures pratiques de la place
L’IFACI est affilié à
The Institute of Internal Auditors
CONFERENCE ANTENNE NORD-
PICARDIE
Jeudi 21 mai 2015
Titre de l’événement Date Page n°3 6 3
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
La continuité d’activité se définit comme un :
« Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des
chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des
prestations de services essentielles de l’entreprise puis la reprise planifiée des activités. »
Au-delà du « plan », la continuité d’activité constitue également
un système de management qui garantit une amélioration
continue.
Titre de l’événement Date Page n°4 6 4
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
La continuité d’activité « parle » avec un ensemble d’autres
dispositifs de maîtrise des risques :
• Sécurité des systèmes d’information
• Gestion globale des risques
• Contrôle interne
• Qualité...
Titre de l’événement Date Page n°5 6 5
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
La continuité d’activité est un sujet stratégique : elle s’est
affranchie des logiques techniques / opérationnelles :
• Une obligation réglementaire : Bâle 2, Solvabilité 2, SAIV…
• Un enjeu opérationnel
• Une obligation de bon sens !
Titre de l’événement Date Page n°6 6 6
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Aujourd’hui, les entreprises qui bénéficient d’une culture PCA
sont :
• Celles qui sont soumises à une exigence réglementaire
(banques, assurances…)
• Celles qui sont vulnérables à la défaillance de leurs systèmes
d’information ou de leur supply chain
• A la marge, celles qui sont portées par une conviction
managériale
Titre de l’événement Date Page n°7 6 7
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Quel retour d’expérience ?
• Un PCA ne se fait pas sans l’engagement de la DG
• Un PCA n’est pas un projet en mode solo ou silo
• Un PCA nécessite des arbitrages forts et pas seulement en
termes de budget
• En situation de déclenchement, un PCA ne vous apporte
qu’une assurance raisonnable…
Titre de l’événement Date Page n°8 6 8
Bonnes pratiques
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Les banques ont développé de longue date des pratiques
exemplaires en matière de continuité d’activité.
Pour nous parler de l’environnement de contrôle associé à la
continuité d’activité :
• M. CATRICE, responsable Risques opérationnels et Contrôle
permanent de la banque ACCORD ONEY
Titre de l’événement Date Page n°9
L’IFACI est affilié à
The Institute of Internal Auditors
CONFERENCE ANTENNE NORD-
PICARDIE
Jeudi 21 mai 2015
En partenariat avec :
Pierre-Yves CATRICE,
Responsable Risques Opérationnels &
Contrôle Permanent
Portable: 06 23 65 42 57
Titre de l’événement Date Page n°10
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
• Points sur l’environnement réglementaire bancaire au titre du
PCA :
– Risques liquidité
– Risques Opérationnels
– Sous-traitance
• Gouvernance du PCA dans l’environnement Bancaire
• Quels contrôles ?
• Point particulier les données
Titre de l’événement Date Page n°11
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Périmètre : • Liquidité bancaire :
– Obligation quelques soient les circonstances de disposer de liquidité
• Risque Opérationnel :
– Obligation de reprendre l’activité bancaire
•Prestataires Externes essentiels :
– Nous sommes responsables des activités sous traitées. 3 cas :
• PCA du prestataire
– Disposer de la documentation du PCA du prestataire
– Vérifier la tenue des tests / le suivi des plans d’actions suite aux tests
• Plusieurs prestataires effectuant le même processus
– Des procédures pour « passer » d’un prestataire à un autre
• Internalisation du processus
– Présence de procédures
Titre de l’événement Date Page n°12
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Un contrôle à 4 niveaux :
• Le contrôle de niveau 1
– Effectué par les équipes opérationnels / Selon des procédures écrites et définies
•Le contrôle de niveau 2 – Effectué par les équipes dédies indépendantes des équipes opérationnels
(Spécifié bancaire)
•L’audit Interne – Effectué par les équipes d’audit
•Le régulateur (ACPR et ou le Régulateur Européen) – Peut procéder à des visites sur site dans les banques et effectuer une mission
de contrôle sur le PCA
Titre de l’événement Date Page n°13
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Un contrôle à 4 niveaux :
• Le contrôle de niveau 1
– Effectué par les équipes opérationnels / Selon des procédures écrites et définies
•Le contrôle de niveau 2 – Effectué par les équipes dédies indépendantes des équipes opérationnels
(Spécifié bancaire)
•L’audit Interne – Effectué par les équipes d’audit
•Le régulateur (ACPR et ou le Régulateur Européen) – Peut procéder à des visites sur site dans les banques et effectuer une mission
de contrôle sur le PCA
Titre de l’événement Date Page n°14
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Point d’attention :
• Le hacking de données
– Virus
– « Virus-Rancon »
• Le vol de données
– Numéro de carte
– Données clients
• La corruption de données
Titre de l’événement Date Page n°15 6 15
Bonnes pratiques
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Le contrôle interne s’assure de la maîtrise des risques
d’interruption durable des processus. Comment engager un
partenariat avec les opérationnels au cœur de la continuité
d’activité ?
Pour nous parler de la maturité des PCA dans le domaine des
flux financiers et de leur complétude :
• M. Alain BARLIAN, Risk & Continuity Plan Manager
WORLDLINE
Titre de l’événement Date Page n°16
Alain BARLIAN
Risk & Continuity Plan Manager
Worldline France [email protected]
+33(0)3.20.60.91.08 ou +33(0)6.15.37.27.50
Z I A - Rue de la Pointe - 59113 Seclin – France
worldline.com L’IFACI est affilié à
The Institute of Internal Auditors
CONFERENCE ANTENNE NORD-
PICARDIE
Jeudi 21 mai 2015
En partenariat avec :
Titre de l’événement Date Page n°17
Crisis Management Plan CMP
Business Resumption Plan
BRP
Disaster Recovery Plan
DRP
Business Continuity Plan BCP / PCA
Business Impact Analysis
BIA
3 volets :
Worldline
Titre de l’événement Date Page n°18 6 18 Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Worldline
3 volets :
Titre de l’événement Date Page n°19
• Acteurs : Management board et du BCM manager.
• Outil : Alerte (Fact24) assurée par téléphone fixe, mobile, SMS,
e-mail. Il met en conférence téléphonique les membres du
Comité de Crise (ensemble du CODIR + BCP Team) ou leurs
suppléants
• Actions : – Recueille les informations pour prise de décision : actions et/ou déclenchement
du Plan
– Mobilise les responsables des équipes de secours (Recovery Team Leaders) du
site touché
6 19 Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Worldline
Titre de l’événement Date Page n°20
Equipe d’évaluation des
dommages
Escalation Manager
Equipe BCP
Manager
CrisisCommittee
Chairman
Incident
Diagnostic
1 Arrêt
Décision de poursuivre
l’escalade
2
Déclencher
Arrêt
Réunion de
crise ?
Initialisation du BCP
(Mobilisation)
4
A
Escalade
Oui
Oui
Non
Non
Document
d’évaluation
Des dommages
Vers BRP ou DRP
Recueil d’information
3
Les 3 volets du BCP CMP : Déclenchement d’une crise
Titre de l’événement Date Page n°21 6 21
BRP
Business Resumption Plan
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
» 3 solutions en fonction du service concerné :
– Activité reprise par une autre équipe sur un autre site
– Les personnes se déplacent sur un autre centre pour poursuivre leur activité
– Mise en place du télétravail grâce à un bureau mobile (PC, GSM, accès VPN)
» Les collaborateurs nécessaires (équipe réduite) à la
continuité sont référencés et les personnes ont accepté ce rôle.
» Notre personnel est localisé dans 11 sites de bureaux en France
Titre de l’événement Date Page n°22
BU – service fonction
Seclin La Pointe
BC Unit Rep pour mises à jour : Untel 10
Criticité RTO
4
< 2 heures
Consignes d’évacuation : Point de rassemblement
Contacts en cas d’urgence Recovery team
Nom Bureau GSM P
Untel 06 06 06 06 06
Untel 2 06 06 09 09 09
Untel 3 06 07 07 07 07
Contacts clés
Nom Organisation Téléphone
Point fixe Standard 03 20 60 79 79
Untel 4 06 07 07 07 10
Hiérarchie AWL
Nom Business Unit Téléphone
Christophe Duquenne AWL France 06 99 99 99 99
Untel 5 06 06 09 09 05
Untel 6 06 07 07 07 06
Denis Daullé TO 06 99 99 99 99 Dominique Michiels TO TS 06 99 99 99 99 Daniel Bouet TO DS 06 99 99 99 99
R&C (Risk & Continuity) Team:
Nom Bureau GSM
Alain Barlian 03 20 60 91 08 06 15 37 27 50
Carole Fermé 01 34 34 94 30 06 23 66 75 25
Olivia Marlière 03 20 60 91 42 06 14 32 45 22
Escalation Manager (selon la nature du sinistre) :
Nom Bureau GSM
Christian Berdzinski 00 00 00 00 00 06 99 99 99 10 Dominique Michiels 00 00 00 00 00 06 99 99 99 11 Isabelle Vervaecke 00 00 00 00 00 06 99 99 99 12
Actions de recovery
En cas d’incident grave affectant le site, les actions à suivre dès le déclenchement de l’alerte sont les
suivantes : 1. Suivre les consignes d’évacuation, en cas de sinistre aux heures ouvrées Les personnes ne faisant pas partie de la recovery
team doivent suivre les consignes générales et non pas celles du BRP. 2. Joindre tous les membres de la recovery team non
présents sur le site par téléphone ou par SMS sauf s’ils
sont en congés ou en arrêt maladie. Faire le décompte de votre recovery team avec le résultat de ces
contacts, en cochant la colonne P du tableau ci contre. Conduite à tenir : (1) ne pas faire de déclarations aux
médias (2) ne pas spéculer ou faire des hypothèses
sur l’incident (3) ne pas quitter la zone de rassemblement avant d’y être autorisé, en cas de
sinistre aux heures ouvrées 3. Joindre l’équipe BCP et la tenir informée de la situation et de tout problème qui empêcherait votre
unité/fonction de fournir le service requis. 4. Conduire les actions de recovery spécifiées au verso
de ce document
Modifié le 09/09/2011 par GGS
1 – Points de rassemblement
2 – Contacts en cas d’urgence
3 – Actions de recovery
Titre de l’événement Date Page n°23
Informations additionnelles sur le DRP de la fonction
Serveurs
StockageDégradé
Front 7
Plateformes actives/actives
(en continu) avec
basculement automatique de
la charge sans dégradation de
performances
auto non
Middle 7
Plateformes actives/actives
(en continu) avec
basculement automatique de
la charge sans dégradation de
performances
auto non
Stockage
Data Back 4Stockage avec réplication sur
site 2 en temps réelOui Oui auto
Traitement
Seclin La
PointeVendômeTypes d'architecture
Niv
ea
u
Réparti
Réparti
Reprise / Bascule
Principes
Type de DRP : Load balancing.
Démarrage en continu (bi-site distant actif/actif). Chacun des deux sites peut traiter le volume total. En temps normal, les flux sont adressés sur l’IPS via le DNS. Basculement de la totalité des flux de l’IPS sur l’IRS par modification du DNS Documentation disponible auprès de la cellule de Supervision
Ressources requises
Servi-ce
nor-mal
Nombre requis pour le rétablissement
Ressources / Délai J1 2 à 3 4 à 5 6 à 10
Au delà
Personnel 5 3 3 3 3 3
GSMs 3 3 3 3 3 3
PC portables 2 3 3 3 3 3
Moyens requis PC AWL standard équipé du bundle développeur (J2E, MySQL, Eclipse, Framework de dév AWL) avec en supplément :
Matériel / Logiciel
Certificat XXXXXXX de l’ancien poste de travail
Actions de recovery (suite) 5. Mobilisation pour le lancement du BRP
Responsable Recovery team leader
Entrée Notification de la crise par le BCP Manager.
Sortie Mobilisation des membres de la Recovery team
Préparation des PC portables (équipés de VPN et clés Kobil) et des GSM pour travail à distance.
Emplacement BPS (Seclin La Pointe)
Commentaire : Attention aux fonctions nécessitant certificat (accès serveur). Solution à trouver par la BU pour sauvegarder les certificats ailleurs que sur les postes de travail.
6. Déclenchement du BRP Les équipes concernées par le BRP déménagent du BPS (Business Production Site) au BRS (Business Recovery Site) BPS : Seclin La Pointe BRS : Homeworking 7. Check-list d’invocation et envoi au BCP Manager
Exécution
Lieu Date Heure Exécuté par OK/NOK
8. Check-list de retour à la situation initiale et envoi au BCP Manager
Exécution
Lieu Date Heure Exécuté par OK/NOK
4 – Informations additionnelles sur le DRP de la fonction
5 – Ressources requises pour le rétablissement
6 – Suite des actions de rétablissement
Titre de l’événement Date Page n°24
• Un plan pour chaque Data Center
• Mais aussi
» Construit selon les besoins exprimés par nos
clients qui ont accepté les propositions de Worldline
» Nous disposons de 10 Data Centres pour l’hébergement des services ou la sauvegarde des logiciels et des données.
» Concerne les traitements et les sauvegardes.
6 24
DRP
Disaster Recovery Plan
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Titre de l’événement Date Page n°25
Niveau Types d'architecture Site 1 Site 2
Principes Perte du site 1 Perte du site 2
Reprise / Bascule Reprise / Bascule Reprise / Bascule
Serveurs Stockage
Dégradé
Serveurs Stockage
Dégradé
Serveurs Stockage
Dégradé
Traitement
1
Fonctions non secourues hors site (même si
redondance sur le même site)
Actif Rien na
Interruption majeure
na
Interruption majeure
na na
2 Site de DR dormant avec
basculement manuel Actif Passif manuel non manuel non ras non
3 Site de DR dormant avec basculement automatique
Actif Passif auto non auto non ras non
4
Plateformes actives/actives (en continu) avec
basculement manuel de la charge avec dégradation de
performances
Réparti manuel oui manuel oui manuel oui
5
Plateformes actives/actives (en continu) avec
basculement automatique de la charge avec
dégradation de performances
Réparti auto oui auto oui auto oui
6
Plateformes actives/actives (en continu) avec
basculement manuel de la charge sans dégradation de
performances
Réparti manuel non manuel non manuel non
7
Plateformes actives/actives (en continu) avec
basculement automatique de la charge sans
dégradation de performances
Réparti auto non auto non auto non
DRP : Criticité des traitements
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Titre de l’événement Date Page n°26 6 26
Le PCA en mode projet
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
Comprendre l’activité
Elaborer la stratégie
Mettre en œuvre la stratégie
Gouvernance PCA « Pilotage et Maintien en
conditions opérationnelles »
Fonctionnement des processus
Criticité des processus / BIA
Identifier les solutions de
continuité par scénario
Implémenter les procédures
Alimenter le plan d’action
Conduite du changement
Suivi du plan d’action
Test / Exercice 1 2
Qu’est ce qui est vital ?
Quel niveau de risque j’accepte de couvrir ?