Titre de l’événement Date Page n°1

CONFERENCE ANTENNE NORD- PICARDIE

21 mai 2015

L’IFACI est affilié à

The Institute of Internal Auditors

Anticiper l’imprévisible ?

Retours d’expériences

En partenariat avec :

Titre de l’événement Date Page n°2

Clotilde MARCHETTI | Directeur Associé

Risk Management - Grant Thornton

Les meilleures pratiques de la place

L’IFACI est affilié à

The Institute of Internal Auditors

CONFERENCE ANTENNE NORD-

PICARDIE

Jeudi 21 mai 2015

Titre de l’événement Date Page n°3 6 3

Pourquoi la continuité d’activité ?

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

La continuité d’activité se définit comme un :

« Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des

chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des

prestations de services essentielles de l’entreprise puis la reprise planifiée des activités. »

Au-delà du « plan », la continuité d’activité constitue également

un système de management qui garantit une amélioration

continue.

Titre de l’événement Date Page n°4 6 4

Pourquoi la continuité d’activité ?

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

La continuité d’activité « parle » avec un ensemble d’autres

dispositifs de maîtrise des risques :

• Sécurité des systèmes d’information

• Gestion globale des risques

• Contrôle interne

• Qualité...

Titre de l’événement Date Page n°5 6 5

Pourquoi la continuité d’activité ?

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

La continuité d’activité est un sujet stratégique : elle s’est

affranchie des logiques techniques / opérationnelles :

• Une obligation réglementaire : Bâle 2, Solvabilité 2, SAIV…

• Un enjeu opérationnel

• Une obligation de bon sens !

Titre de l’événement Date Page n°6 6 6

Pourquoi la continuité d’activité ?

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Aujourd’hui, les entreprises qui bénéficient d’une culture PCA

sont :

• Celles qui sont soumises à une exigence réglementaire

(banques, assurances…)

• Celles qui sont vulnérables à la défaillance de leurs systèmes

d’information ou de leur supply chain

• A la marge, celles qui sont portées par une conviction

managériale

Titre de l’événement Date Page n°7 6 7

Pourquoi la continuité d’activité ?

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Quel retour d’expérience ?

• Un PCA ne se fait pas sans l’engagement de la DG

• Un PCA n’est pas un projet en mode solo ou silo

• Un PCA nécessite des arbitrages forts et pas seulement en

termes de budget

• En situation de déclenchement, un PCA ne vous apporte

qu’une assurance raisonnable…

Titre de l’événement Date Page n°8 6 8

Bonnes pratiques

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Les banques ont développé de longue date des pratiques

exemplaires en matière de continuité d’activité.

Pour nous parler de l’environnement de contrôle associé à la

continuité d’activité :

• M. CATRICE, responsable Risques opérationnels et Contrôle

permanent de la banque ACCORD ONEY

Titre de l’événement Date Page n°9

L’IFACI est affilié à

The Institute of Internal Auditors

CONFERENCE ANTENNE NORD-

PICARDIE

Jeudi 21 mai 2015

En partenariat avec :

Pierre-Yves CATRICE,

Responsable Risques Opérationnels &

Contrôle Permanent

pycatrice@banque-accord.com

Portable: 06 23 65 42 57

Titre de l’événement Date Page n°10

Banque Accord - ONEY

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

• Points sur l’environnement réglementaire bancaire au titre du

PCA :

– Risques liquidité

– Risques Opérationnels

– Sous-traitance

• Gouvernance du PCA dans l’environnement Bancaire

• Quels contrôles ?

• Point particulier les données

Titre de l’événement Date Page n°11

Banque Accord - ONEY

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Périmètre : • Liquidité bancaire :

– Obligation quelques soient les circonstances de disposer de liquidité

• Risque Opérationnel :

– Obligation de reprendre l’activité bancaire

•Prestataires Externes essentiels :

– Nous sommes responsables des activités sous traitées. 3 cas :

• PCA du prestataire

– Disposer de la documentation du PCA du prestataire

– Vérifier la tenue des tests / le suivi des plans d’actions suite aux tests

• Plusieurs prestataires effectuant le même processus

– Des procédures pour « passer » d’un prestataire à un autre

• Internalisation du processus

– Présence de procédures

Titre de l’événement Date Page n°12

Banque Accord - ONEY

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Un contrôle à 4 niveaux :

• Le contrôle de niveau 1

– Effectué par les équipes opérationnels / Selon des procédures écrites et définies

•Le contrôle de niveau 2 – Effectué par les équipes dédies indépendantes des équipes opérationnels

(Spécifié bancaire)

•L’audit Interne – Effectué par les équipes d’audit

•Le régulateur (ACPR et ou le Régulateur Européen) – Peut procéder à des visites sur site dans les banques et effectuer une mission

de contrôle sur le PCA

Titre de l’événement Date Page n°13

Banque Accord - ONEY

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Un contrôle à 4 niveaux :

• Le contrôle de niveau 1

– Effectué par les équipes opérationnels / Selon des procédures écrites et définies

•Le contrôle de niveau 2 – Effectué par les équipes dédies indépendantes des équipes opérationnels

(Spécifié bancaire)

•L’audit Interne – Effectué par les équipes d’audit

•Le régulateur (ACPR et ou le Régulateur Européen) – Peut procéder à des visites sur site dans les banques et effectuer une mission

de contrôle sur le PCA

Titre de l’événement Date Page n°14

Banque Accord - ONEY

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Point d’attention :

• Le hacking de données

– Virus

– « Virus-Rancon »

• Le vol de données

– Numéro de carte

– Données clients

• La corruption de données

Titre de l’événement Date Page n°15 6 15

Bonnes pratiques

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Le contrôle interne s’assure de la maîtrise des risques

d’interruption durable des processus. Comment engager un

partenariat avec les opérationnels au cœur de la continuité

d’activité ?

Pour nous parler de la maturité des PCA dans le domaine des

flux financiers et de leur complétude :

• M. Alain BARLIAN, Risk & Continuity Plan Manager

WORLDLINE

Titre de l’événement Date Page n°16

Alain BARLIAN

Risk & Continuity Plan Manager

Worldline France alain.barlian@worldline.com

+33(0)3.20.60.91.08 ou +33(0)6.15.37.27.50

Z I A - Rue de la Pointe - 59113 Seclin – France

worldline.com L’IFACI est affilié à

The Institute of Internal Auditors

CONFERENCE ANTENNE NORD-

PICARDIE

Jeudi 21 mai 2015

En partenariat avec :

Titre de l’événement Date Page n°17

Crisis Management Plan CMP

Business Resumption Plan

BRP

Disaster Recovery Plan

DRP

Business Continuity Plan BCP / PCA

Business Impact Analysis

BIA

3 volets :

Worldline

Titre de l’événement Date Page n°18 6 18 Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Worldline

3 volets :

Titre de l’événement Date Page n°19

• Acteurs : Management board et du BCM manager.

• Outil : Alerte (Fact24) assurée par téléphone fixe, mobile, SMS,

e-mail. Il met en conférence téléphonique les membres du

Comité de Crise (ensemble du CODIR + BCP Team) ou leurs

suppléants

• Actions : – Recueille les informations pour prise de décision : actions et/ou déclenchement

du Plan

– Mobilise les responsables des équipes de secours (Recovery Team Leaders) du

site touché

6 19 Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Worldline

Titre de l’événement Date Page n°20

Equipe d’évaluation des

dommages

Escalation Manager

Equipe BCP

Manager

CrisisCommittee

Chairman

Incident

Diagnostic

1 Arrêt

Décision de poursuivre

l’escalade

2

Déclencher

Arrêt

Réunion de

crise ?

Initialisation du BCP

(Mobilisation)

4

A

Escalade

Oui

Oui

Non

Non

Document

d’évaluation

Des dommages

Vers BRP ou DRP

Recueil d’information

3

Les 3 volets du BCP CMP : Déclenchement d’une crise

Titre de l’événement Date Page n°21 6 21

BRP

Business Resumption Plan

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

» 3 solutions en fonction du service concerné :

– Activité reprise par une autre équipe sur un autre site

– Les personnes se déplacent sur un autre centre pour poursuivre leur activité

– Mise en place du télétravail grâce à un bureau mobile (PC, GSM, accès VPN)

» Les collaborateurs nécessaires (équipe réduite) à la

continuité sont référencés et les personnes ont accepté ce rôle.

» Notre personnel est localisé dans 11 sites de bureaux en France

Titre de l’événement Date Page n°22

BU – service fonction

Seclin La Pointe

BC Unit Rep pour mises à jour : Untel 10

Criticité RTO

4

< 2 heures

Consignes d’évacuation : Point de rassemblement

Contacts en cas d’urgence Recovery team

Nom Bureau GSM P

Untel 06 06 06 06 06

Untel 2 06 06 09 09 09

Untel 3 06 07 07 07 07

Contacts clés

Nom Organisation Téléphone

Point fixe Standard 03 20 60 79 79

Untel 4 06 07 07 07 10

Hiérarchie AWL

Nom Business Unit Téléphone

Christophe Duquenne AWL France 06 99 99 99 99

Untel 5 06 06 09 09 05

Untel 6 06 07 07 07 06

Denis Daullé TO 06 99 99 99 99 Dominique Michiels TO TS 06 99 99 99 99 Daniel Bouet TO DS 06 99 99 99 99

R&C (Risk & Continuity) Team:

Nom Bureau GSM

Alain Barlian 03 20 60 91 08 06 15 37 27 50

Carole Fermé 01 34 34 94 30 06 23 66 75 25

Olivia Marlière 03 20 60 91 42 06 14 32 45 22

Escalation Manager (selon la nature du sinistre) :

Nom Bureau GSM

Christian Berdzinski 00 00 00 00 00 06 99 99 99 10 Dominique Michiels 00 00 00 00 00 06 99 99 99 11 Isabelle Vervaecke 00 00 00 00 00 06 99 99 99 12

Actions de recovery

En cas d’incident grave affectant le site, les actions à suivre dès le déclenchement de l’alerte sont les

suivantes : 1. Suivre les consignes d’évacuation, en cas de sinistre aux heures ouvrées Les personnes ne faisant pas partie de la recovery

team doivent suivre les consignes générales et non pas celles du BRP. 2. Joindre tous les membres de la recovery team non

présents sur le site par téléphone ou par SMS sauf s’ils

sont en congés ou en arrêt maladie. Faire le décompte de votre recovery team avec le résultat de ces

contacts, en cochant la colonne P du tableau ci contre. Conduite à tenir : (1) ne pas faire de déclarations aux

médias (2) ne pas spéculer ou faire des hypothèses

sur l’incident (3) ne pas quitter la zone de rassemblement avant d’y être autorisé, en cas de

sinistre aux heures ouvrées 3. Joindre l’équipe BCP et la tenir informée de la situation et de tout problème qui empêcherait votre

unité/fonction de fournir le service requis. 4. Conduire les actions de recovery spécifiées au verso

de ce document

Modifié le 09/09/2011 par GGS

1 – Points de rassemblement

2 – Contacts en cas d’urgence

3 – Actions de recovery

Titre de l’événement Date Page n°23

Informations additionnelles sur le DRP de la fonction

Serveurs

StockageDégradé

Front 7

Plateformes actives/actives

(en continu) avec

basculement automatique de

la charge sans dégradation de

performances

auto non

Middle 7

Plateformes actives/actives

(en continu) avec

basculement automatique de

la charge sans dégradation de

performances

auto non

Stockage

Data Back 4Stockage avec réplication sur

site 2 en temps réelOui Oui auto

Traitement

Seclin La

PointeVendômeTypes d'architecture

Niv

ea

u

Réparti

Réparti

Reprise / Bascule

Principes

Type de DRP : Load balancing.

Démarrage en continu (bi-site distant actif/actif). Chacun des deux sites peut traiter le volume total. En temps normal, les flux sont adressés sur l’IPS via le DNS. Basculement de la totalité des flux de l’IPS sur l’IRS par modification du DNS Documentation disponible auprès de la cellule de Supervision

Ressources requises

Servi-ce

nor-mal

Nombre requis pour le rétablissement

Ressources / Délai J1 2 à 3 4 à 5 6 à 10

Au delà

Personnel 5 3 3 3 3 3

GSMs 3 3 3 3 3 3

PC portables 2 3 3 3 3 3

Moyens requis PC AWL standard équipé du bundle développeur (J2E, MySQL, Eclipse, Framework de dév AWL) avec en supplément :

Matériel / Logiciel

Certificat XXXXXXX de l’ancien poste de travail

Actions de recovery (suite) 5. Mobilisation pour le lancement du BRP

Responsable Recovery team leader

Entrée Notification de la crise par le BCP Manager.

Sortie Mobilisation des membres de la Recovery team

Préparation des PC portables (équipés de VPN et clés Kobil) et des GSM pour travail à distance.

Emplacement BPS (Seclin La Pointe)

Commentaire : Attention aux fonctions nécessitant certificat (accès serveur). Solution à trouver par la BU pour sauvegarder les certificats ailleurs que sur les postes de travail.

6. Déclenchement du BRP Les équipes concernées par le BRP déménagent du BPS (Business Production Site) au BRS (Business Recovery Site) BPS : Seclin La Pointe BRS : Homeworking 7. Check-list d’invocation et envoi au BCP Manager

Exécution

Lieu Date Heure Exécuté par OK/NOK

8. Check-list de retour à la situation initiale et envoi au BCP Manager

Exécution

Lieu Date Heure Exécuté par OK/NOK

4 – Informations additionnelles sur le DRP de la fonction

5 – Ressources requises pour le rétablissement

6 – Suite des actions de rétablissement

Titre de l’événement Date Page n°24

• Un plan pour chaque Data Center

• Mais aussi

» Construit selon les besoins exprimés par nos

clients qui ont accepté les propositions de Worldline

» Nous disposons de 10 Data Centres pour l’hébergement des services ou la sauvegarde des logiciels et des données.

» Concerne les traitements et les sauvegardes.

6 24

DRP

Disaster Recovery Plan

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Titre de l’événement Date Page n°25

Niveau Types d'architecture Site 1 Site 2

Principes Perte du site 1 Perte du site 2

Reprise / Bascule Reprise / Bascule Reprise / Bascule

Serveurs Stockage

Dégradé

Serveurs Stockage

Dégradé

Serveurs Stockage

Dégradé

Traitement

1

Fonctions non secourues hors site (même si

redondance sur le même site)

Actif Rien na

Interruption majeure

na

Interruption majeure

na na

2 Site de DR dormant avec

basculement manuel Actif Passif manuel non manuel non ras non

3 Site de DR dormant avec basculement automatique

Actif Passif auto non auto non ras non

4

Plateformes actives/actives (en continu) avec

basculement manuel de la charge avec dégradation de

performances

Réparti manuel oui manuel oui manuel oui

5

Plateformes actives/actives (en continu) avec

basculement automatique de la charge avec

dégradation de performances

Réparti auto oui auto oui auto oui

6

Plateformes actives/actives (en continu) avec

basculement manuel de la charge sans dégradation de

performances

Réparti manuel non manuel non manuel non

7

Plateformes actives/actives (en continu) avec

basculement automatique de la charge sans

dégradation de performances

Réparti auto non auto non auto non

DRP : Criticité des traitements

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Titre de l’événement Date Page n°26 6 26

Le PCA en mode projet

Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :

Comprendre l’activité

Elaborer la stratégie

Mettre en œuvre la stratégie

Gouvernance PCA « Pilotage et Maintien en

conditions opérationnelles »

Fonctionnement des processus

Criticité des processus / BIA

Identifier les solutions de

continuité par scénario

Implémenter les procédures

Alimenter le plan d’action

Conduite du changement

Suivi du plan d’action

Test / Exercice 1 2

Qu’est ce qui est vital ?

Quel niveau de risque j’accepte de couvrir ?