Titre de l’événementDate Page n°1
CONFERENCE ANTENNE NORD- PICARDIE
21 mai 2015
L’IFACI est affilié à
The Institute of Int...
Titre de l’événementDate Page n°2
Clotilde MARCHETTI | Directeur Associé
Risk Management - Grant Thornton
Les meilleures p...
Titre de l’événementDate Page n°3 63
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’a...
Titre de l’événementDate Page n°4 64
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’a...
Titre de l’événementDate Page n°5 65
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’a...
Titre de l’événementDate Page n°6 66
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’a...
Titre de l’événementDate Page n°7 67
Pourquoi la continuité d’activité ?
Le 21 mai 2015 Gestion de crise et continuité d’a...
Titre de l’événementDate Page n°8 68
Bonnes pratiques
Le 21 mai 2015 Gestion de crise et continuité d’activité En partenar...
Titre de l’événementDate Page n°9
L’IFACI est affilié à
The Institute of Internal Auditors
CONFERENCE ANTENNE NORD-
PICARD...
Titre de l’événementDate Page n°10
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En parten...
Titre de l’événementDate Page n°11
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En parten...
Titre de l’événementDate Page n°12
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En parten...
Titre de l’événementDate Page n°13
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En parten...
Titre de l’événementDate Page n°14
Banque Accord - ONEY
Le 21 mai 2015 Gestion de crise et continuité d’activité En parten...
Titre de l’événementDate Page n°15 615
Bonnes pratiques
Le 21 mai 2015 Gestion de crise et continuité d’activité En parten...
Titre de l’événementDate Page n°16
Alain BARLIAN
Risk & Continuity Plan Manager
Worldline France
alain.barlian@worldline.c...
Titre de l’événementDate Page n°17
Crisis Management Plan
CMP
Business
Resumption Plan
BRP
Disaster
Recovery Plan
DRP
Busi...
Titre de l’événementDate Page n°18 618Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
World...
Titre de l’événementDate Page n°19
• Acteurs : Management board et du BCM manager.
• Outil : Alerte (Fact24) assurée par t...
Titre de l’événementDate Page n°20
Equipe d’évaluation des
dommages
Escalation Manager
Equipe BCP
Manager
CrisisCommittee
...
Titre de l’événementDate Page n°21 621
BRP
Business Resumption Plan
Le 21 mai 2015 Gestion de crise et continuité d’activi...
Titre de l’événementDate Page n°22
BU – service
fonction
Seclin La Pointe
BC Unit Rep pour mises à jour : Untel 10
Critici...
Titre de l’événementDate Page n°23
Informations additionnelles sur le DRP de la fonction
Serveurs
Stockage
Dégradé
Front 7...
Titre de l’événementDate Page n°24
• Un plan pour chaque Data Center
• Mais aussi
» Construit selon les besoins exprimés p...
Titre de l’événementDate Page n°25
Niveau Types d'architecture Site 1 Site 2
Principes Perte du site 1 Perte du site 2
Rep...
Titre de l’événementDate Page n°26 626
Le PCA en mode projet
Le 21 mai 2015 Gestion de crise et continuité d’activité En p...
Prochain SlideShare
Chargement dans…5
×

IFACI, Gestion de crise et continuité d'activité - 21 mai 2015

686 vues

Publié le

Gestion de crise - Continuité d'activité

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
686
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
44
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

IFACI, Gestion de crise et continuité d'activité - 21 mai 2015

  1. 1. Titre de l’événementDate Page n°1 CONFERENCE ANTENNE NORD- PICARDIE 21 mai 2015 L’IFACI est affilié à The Institute of Internal Auditors Anticiper l’imprévisible ? Retours d’expériences En partenariat avec :
  2. 2. Titre de l’événementDate Page n°2 Clotilde MARCHETTI | Directeur Associé Risk Management - Grant Thornton Les meilleures pratiques de la place L’IFACI est affilié à The Institute of Internal Auditors CONFERENCE ANTENNE NORD- PICARDIE Jeudi 21 mai 2015
  3. 3. Titre de l’événementDate Page n°3 63 Pourquoi la continuité d’activité ? Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : La continuité d’activité se définit comme un : « Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités. » Au-delà du « plan », la continuité d’activité constitue également un système de management qui garantit une amélioration continue.
  4. 4. Titre de l’événementDate Page n°4 64 Pourquoi la continuité d’activité ? Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : La continuité d’activité « parle » avec un ensemble d’autres dispositifs de maîtrise des risques : • Sécurité des systèmes d’information • Gestion globale des risques • Contrôle interne • Qualité...
  5. 5. Titre de l’événementDate Page n°5 65 Pourquoi la continuité d’activité ? Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : La continuité d’activité est un sujet stratégique : elle s’est affranchie des logiques techniques / opérationnelles : • Une obligation réglementaire : Bâle 2, Solvabilité 2, SAIV… • Un enjeu opérationnel • Une obligation de bon sens !
  6. 6. Titre de l’événementDate Page n°6 66 Pourquoi la continuité d’activité ? Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Aujourd’hui, les entreprises qui bénéficient d’une culture PCA sont : • Celles qui sont soumises à une exigence réglementaire (banques, assurances…) • Celles qui sont vulnérables à la défaillance de leurs systèmes d’information ou de leur supply chain • A la marge, celles qui sont portées par une conviction managériale
  7. 7. Titre de l’événementDate Page n°7 67 Pourquoi la continuité d’activité ? Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Quel retour d’expérience ? • Un PCA ne se fait pas sans l’engagement de la DG • Un PCA n’est pas un projet en mode solo ou silo • Un PCA nécessite des arbitrages forts et pas seulement en termes de budget • En situation de déclenchement, un PCA ne vous apporte qu’une assurance raisonnable…
  8. 8. Titre de l’événementDate Page n°8 68 Bonnes pratiques Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Les banques ont développé de longue date des pratiques exemplaires en matière de continuité d’activité. Pour nous parler de l’environnement de contrôle associé à la continuité d’activité : • M. CATRICE, responsable Risques opérationnels et Contrôle permanent de la banque ACCORD ONEY
  9. 9. Titre de l’événementDate Page n°9 L’IFACI est affilié à The Institute of Internal Auditors CONFERENCE ANTENNE NORD- PICARDIE Jeudi 21 mai 2015 En partenariat avec : Pierre-Yves CATRICE, Responsable Risques Opérationnels & Contrôle Permanent pycatrice@banque-accord.com Portable: 06 23 65 42 57
  10. 10. Titre de l’événementDate Page n°10 Banque Accord - ONEY Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : • Points sur l’environnement réglementaire bancaire au titre du PCA : – Risques liquidité – Risques Opérationnels – Sous-traitance • Gouvernance du PCA dans l’environnement Bancaire • Quels contrôles ? • Point particulier les données
  11. 11. Titre de l’événementDate Page n°11 Banque Accord - ONEY Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Périmètre : • Liquidité bancaire : – Obligation quelques soient les circonstances de disposer de liquidité • Risque Opérationnel : – Obligation de reprendre l’activité bancaire •Prestataires Externes essentiels : – Nous sommes responsables des activités sous traitées. 3 cas : • PCA du prestataire – Disposer de la documentation du PCA du prestataire – Vérifier la tenue des tests / le suivi des plans d’actions suite aux tests • Plusieurs prestataires effectuant le même processus – Des procédures pour « passer » d’un prestataire à un autre • Internalisation du processus – Présence de procédures
  12. 12. Titre de l’événementDate Page n°12 Banque Accord - ONEY Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Un contrôle à 4 niveaux : • Le contrôle de niveau 1 – Effectué par les équipes opérationnels / Selon des procédures écrites et définies •Le contrôle de niveau 2 – Effectué par les équipes dédies indépendantes des équipes opérationnels (Spécifié bancaire) •L’audit Interne – Effectué par les équipes d’audit •Le régulateur (ACPR et ou le Régulateur Européen) – Peut procéder à des visites sur site dans les banques et effectuer une mission de contrôle sur le PCA
  13. 13. Titre de l’événementDate Page n°13 Banque Accord - ONEY Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Un contrôle à 4 niveaux : • Le contrôle de niveau 1 – Effectué par les équipes opérationnels / Selon des procédures écrites et définies •Le contrôle de niveau 2 – Effectué par les équipes dédies indépendantes des équipes opérationnels (Spécifié bancaire) •L’audit Interne – Effectué par les équipes d’audit •Le régulateur (ACPR et ou le Régulateur Européen) – Peut procéder à des visites sur site dans les banques et effectuer une mission de contrôle sur le PCA
  14. 14. Titre de l’événementDate Page n°14 Banque Accord - ONEY Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Point d’attention : • Le hacking de données – Virus – « Virus-Rancon » • Le vol de données – Numéro de carte – Données clients • La corruption de données
  15. 15. Titre de l’événementDate Page n°15 615 Bonnes pratiques Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Le contrôle interne s’assure de la maîtrise des risques d’interruption durable des processus. Comment engager un partenariat avec les opérationnels au cœur de la continuité d’activité ? Pour nous parler de la maturité des PCA dans le domaine des flux financiers et de leur complétude : • M. Alain BARLIAN, Risk & Continuity Plan Manager WORLDLINE
  16. 16. Titre de l’événementDate Page n°16 Alain BARLIAN Risk & Continuity Plan Manager Worldline France alain.barlian@worldline.com +33(0)3.20.60.91.08 ou +33(0)6.15.37.27.50 Z I A - Rue de la Pointe - 59113 Seclin – France worldline.com L’IFACI est affilié à The Institute of Internal Auditors CONFERENCE ANTENNE NORD- PICARDIE Jeudi 21 mai 2015 En partenariat avec :
  17. 17. Titre de l’événementDate Page n°17 Crisis Management Plan CMP Business Resumption Plan BRP Disaster Recovery Plan DRP Business Continuity Plan BCP / PCA Business Impact Analysis BIA  3 volets : Worldline
  18. 18. Titre de l’événementDate Page n°18 618Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Worldline  3 volets :
  19. 19. Titre de l’événementDate Page n°19 • Acteurs : Management board et du BCM manager. • Outil : Alerte (Fact24) assurée par téléphone fixe, mobile, SMS, e-mail. Il met en conférence téléphonique les membres du Comité de Crise (ensemble du CODIR + BCP Team) ou leurs suppléants • Actions : – Recueille les informations pour prise de décision : actions et/ou déclenchement du Plan – Mobilise les responsables des équipes de secours (Recovery Team Leaders) du site touché 619Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Worldline
  20. 20. Titre de l’événementDate Page n°20 Equipe d’évaluation des dommages Escalation Manager Equipe BCP Manager CrisisCommittee Chairman Incident Diagnostic 1 Arrêt Décision de poursuivre l’escalade 2 Déclencher Arrêt Réunion de crise ? Initialisation du BCP (Mobilisation) 4 A Escalade Oui Oui Non Non Document d’évaluation Des dommages Vers BRP ou DRP Recueil d’information 3 Les 3 volets du BCP CMP : Déclenchement d’une crise
  21. 21. Titre de l’événementDate Page n°21 621 BRP Business Resumption Plan Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : » 3 solutions en fonction du service concerné : – Activité reprise par une autre équipe sur un autre site – Les personnes se déplacent sur un autre centre pour poursuivre leur activité – Mise en place du télétravail grâce à un bureau mobile (PC, GSM, accès VPN) » Les collaborateurs nécessaires (équipe réduite) à la continuité sont référencés et les personnes ont accepté ce rôle. » Notre personnel est localisé dans 11 sites de bureaux en France
  22. 22. Titre de l’événementDate Page n°22 BU – service fonction Seclin La Pointe BC Unit Rep pour mises à jour : Untel 10 Criticité RTO 4 < 2 heures Consignes d’évacuation : Point de rassemblement Contacts en cas d’urgence Recovery team Nom Bureau GSM P Untel 06 06 06 06 06 Untel 2 06 06 09 09 09 Untel 3 06 07 07 07 07 Contacts clés Nom Organisation Téléphone Point fixe Standard 03 20 60 79 79 Untel 4 06 07 07 07 10 Hiérarchie AWL Nom Business Unit Téléphone Christophe Duquenne AWL France 06 99 99 99 99 Untel 5 06 06 09 09 05 Untel 6 06 07 07 07 06 Denis Daullé TO 06 99 99 99 99 Dominique Michiels TO TS 06 99 99 99 99 Daniel Bouet TO DS 06 99 99 99 99 R&C (Risk & Continuity) Team: Nom Bureau GSM Alain Barlian 03 20 60 91 08 06 15 37 27 50 Carole Fermé 01 34 34 94 30 06 23 66 75 25 Olivia Marlière 03 20 60 91 42 06 14 32 45 22 Escalation Manager (selon la nature du sinistre) : Nom Bureau GSM Christian Berdzinski 00 00 00 00 00 06 99 99 99 10 Dominique Michiels 00 00 00 00 00 06 99 99 99 11 Isabelle Vervaecke 00 00 00 00 00 06 99 99 99 12 Actions de recovery En cas d’incident grave affectant le site, les actions à suivre dès le déclenchement de l’alerte sont les suivantes : 1. Suivre les consignes d’évacuation, en cas de sinistre aux heures ouvrées Les personnes ne faisant pas partie de la recovery team doivent suivre les consignes générales et non pas celles du BRP. 2. Joindre tous les membres de la recovery team non présents sur le site par téléphone ou par SMS sauf s’ils sont en congés ou en arrêt maladie. Faire le décompte de votre recovery team avec le résultat de ces contacts, en cochant la colonne P du tableau ci contre. Conduite à tenir : (1) ne pas faire de déclarations aux médias (2) ne pas spéculer ou faire des hypothèses sur l’incident (3) ne pas quitter la zone de rassemblement avant d’y être autorisé, en cas de sinistre aux heures ouvrées 3. Joindre l’équipe BCP et la tenir informée de la situation et de tout problème qui empêcherait votre unité/fonction de fournir le service requis. 4. Conduire les actions de recovery spécifiées au verso de ce document Modifié le 09/09/2011 par GGS 1 – Points de rassemblement 2 – Contacts en cas d’urgence 3 – Actions de recovery
  23. 23. Titre de l’événementDate Page n°23 Informations additionnelles sur le DRP de la fonction Serveurs Stockage Dégradé Front 7 Plateformes actives/actives (en continu) avec basculement automatique de la charge sans dégradation de performances auto non Middle 7 Plateformes actives/actives (en continu) avec basculement automatique de la charge sans dégradation de performances auto non Stockage Data Back 4 Stockage avec réplication sur site 2 en temps réel Oui Oui auto Traitement Seclin La Pointe VendômeTypes d'architecture Niveau Réparti Réparti Reprise / Bascule Principes Type de DRP : Load balancing. Démarrage en continu (bi-site distant actif/actif). Chacun des deux sites peut traiter le volume total. En temps normal, les flux sont adressés sur l’IPS via le DNS. Basculement de la totalité des flux de l’IPS sur l’IRS par modification du DNS Documentation disponible auprès de la cellule de Supervision Ressources requises Servi- ce nor- mal Nombre requis pour le rétablissement Ressources / Délai J1 2 à 3 4 à 5 6 à 10 Au delà Personnel 5 3 3 3 3 3 GSMs 3 3 3 3 3 3 PC portables 2 3 3 3 3 3 Moyens requis PC AWL standard équipé du bundle développeur (J2E, MySQL, Eclipse, Framework de dév AWL) avec en supplément : Matériel / Logiciel Certificat XXXXXXX de l’ancien poste de travail Actions de recovery (suite) 5. Mobilisation pour le lancement du BRP Responsable Recovery team leader Entrée Notification de la crise par le BCP Manager. Sortie  Mobilisation des membres de la Recovery team  Préparation des PC portables (équipés de VPN et clés Kobil) et des GSM pour travail à distance. Emplacement BPS (Seclin La Pointe) Commentaire : Attention aux fonctions nécessitant certificat (accès serveur). Solution à trouver par la BU pour sauvegarder les certificats ailleurs que sur les postes de travail. 6. Déclenchement du BRP Les équipes concernées par le BRP déménagent du BPS (Business Production Site) au BRS (Business Recovery Site) BPS : Seclin La Pointe BRS : Homeworking 7. Check-list d’invocation et envoi au BCP Manager Exécution Lieu Date Heure Exécuté par OK/NOK 8. Check-list de retour à la situation initiale et envoi au BCP Manager Exécution Lieu Date Heure Exécuté par OK/NOK 4 – Informations additionnelles sur le DRP de la fonction 5 – Ressources requises pour le rétablissement 6 – Suite des actions de rétablissement
  24. 24. Titre de l’événementDate Page n°24 • Un plan pour chaque Data Center • Mais aussi » Construit selon les besoins exprimés par nos clients qui ont accepté les propositions de Worldline » Nous disposons de 10 Data Centres pour l’hébergement des services ou la sauvegarde des logiciels et des données. » Concerne les traitements et les sauvegardes. 624 DRP Disaster Recovery Plan Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
  25. 25. Titre de l’événementDate Page n°25 Niveau Types d'architecture Site 1 Site 2 Principes Perte du site 1 Perte du site 2 Reprise / Bascule Reprise / Bascule Reprise / Bascule Serveurs Stockage Dégradé Serveurs Stockage Dégradé Serveurs Stockage Dégradé Traitement 1 Fonctions non secourues hors site (même si redondance sur le même site) Actif Rien na Interruption majeure na Interruption majeure na na 2 Site de DR dormant avec basculement manuel Actif Passif manuel non manuel non ras non 3 Site de DR dormant avec basculement automatique Actif Passif auto non auto non ras non 4 Plateformes actives/actives (en continu) avec basculement manuel de la charge avec dégradation de performances Réparti manuel oui manuel oui manuel oui 5 Plateformes actives/actives (en continu) avec basculement automatique de la charge avec dégradation de performances Réparti auto oui auto oui auto oui 6 Plateformes actives/actives (en continu) avec basculement manuel de la charge sans dégradation de performances Réparti manuel non manuel non manuel non 7 Plateformes actives/actives (en continu) avec basculement automatique de la charge sans dégradation de performances Réparti auto non auto non auto non DRP : Criticité des traitements Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec :
  26. 26. Titre de l’événementDate Page n°26 626 Le PCA en mode projet Le 21 mai 2015 Gestion de crise et continuité d’activité En partenariat avec : Comprendre l’activité Elaborer la stratégie Mettre en œuvre la stratégie Gouvernance PCA « Pilotage et Maintien en conditions opérationnelles » Fonctionnement des processus Criticité des processus / BIA Identifier les solutions de continuité par scénario Implémenter les procédures Alimenter le plan d’action Conduite du changement Suivi du plan d’action Test / Exercice 1 2 Qu’est ce qui est vital ? Quel niveau de risque j’accepte de couvrir ?

×