La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

JJ Mois Année 22 mai 2008 Les enjeux de la Continuité dActivité et de la Résilience dans le secteur bancaire Club de lIRIS 22 mai 2008.

Présentations similaires


Présentation au sujet: "JJ Mois Année 22 mai 2008 Les enjeux de la Continuité dActivité et de la Résilience dans le secteur bancaire Club de lIRIS 22 mai 2008."— Transcription de la présentation:

1 JJ Mois Année 22 mai 2008 Les enjeux de la Continuité dActivité et de la Résilience dans le secteur bancaire Club de lIRIS 22 mai 2008

2 Club de lIRIS 22 mai 2008 RB – 03/03/ Sommaire Introduction : Pourquoi la continuité dactivité ? page 03 La gestion des risques dans la banque page 05 Gestion du Risque Opérationnel page 06 Organisation de la filière PCA du Groupe Société Générale page 07 Objectifs de la Continuité dActivité Assurer la continuité des activités critiques page 09 Obligations réglementaires page 10 La démarche Continuité dActivité Le cycle de vie de la Continuité dActivité page 11 Risk Assessement & scénarii page Comprendre son organisation : Business Impact Analysis page Déterminer la stratégie et ressources critiques page Elaborer et mettre en place des solutions page Documenter et maintenir à jour page Promouvoir la Culture Continuité dActivité page 26 Critères de qualités dun Plan de Continuité Activité page 27 Déclenchement du Plan de Continuité page 28 De la Continuité dActivité à la Résilience page 29

3 Club de lIRIS 22 mai 2008 RB – 03/03/ Pourquoi la Continuité dActivité ? Incidents techniques Fev inondation SdM Paris Oct coupure Tower Hill Dec évacuation Sydney Juil incendie Johannesburg Attaques terroristes 11 sept New York 11 mars Madrid 07 juillet Londres Sinistre majeur sur infrastructures Août Blackout USA Catastrophes naturelles tsunami Océan Indien ouragan Katrina séisme à Jakarta Crises sanitaires grippe aviaire Hong Kong épidemie de S.R.A.S intox. alimentaire Valmy Mouvements sociaux / sociétaux grève des transports New York grève des transports en France Malveillance alerte à la bombe attaque virale IT Parce que les menaces sont réelles… objectifs

4 Club de lIRIS 22 mai 2008 RB – 03/03/ Gestion des Risques dans la Banque Connaissance des contreparties Notations des contreparties et des transactions Contreparties en défaut ou fragilisées Suivi du risque de crédit - Axe produits Suivi du risque de crédit- Axe contreparties Règles de gestion du risque de crédit dans les Systèmes d'Informations RISQUES DE MARCHÉRISQUES DE CONTREPARTIERISQUES OPÉRATIONNELS Risques Opérationnels : risques de perte résultant de linadaptation ou de la défaillance de procédures, personnes, systèmes internes ou résultant dévénements externes (catastrophe, incendie, agression, changement de réglementation, etc.). Les risques opérationnels sont inhérents à tous les produits, activités, procédures et systèmes de la banque. Sa gestion fait partie intégrante des fonctions de management à tous les niveaux Référentiels réglementaireset spécifiques à la banque Collecte des pertes internes Référentiel de Pertes externes Auto-évaluation des Risques et Contrôles (RSCA) & Surveillance Permanente Indicateurs Clefs Risques (KRI) Analyses de scénario Reporting réglementaire Gestion de Crises Programmes de la Continuité dActivité Suivi quotidien des positions et risques sur activités de marché Définition des limites - comparaison par rapport aux positions et risques Définition des mesures de risques, procédures de contrôles, validation des modèles de valorisation, définition des provisions pour les risques de marché Instruction des demandes de limites et suivi de leur utilisation Contrôle indépendant de niveau 1 et reporting Groupe Risques de Marché : risques de perte ou dimmobilisation résultant dune évolution défavorable des conditions de couverture des positions sur les marchés. Risques de Contrepartie : risques de perte ou dimmobilisation engendrés par le défaut dune contrepartie (= Risques de Crédit ) introduction

5 Club de lIRIS 22 mai 2008 RB – 03/03/ Gestion du Risque Opérationnel ENVIRONNEMENT BUSINESS PREVENTION DES RISQUES GESTION DES RISQUES TRANSFERT DES RISQUES MESURE DES RISQUES Collecte pertes RSCA / KRI Scénarii Objectifs et Actions correctives Assurance Surveillance Perm., PCA, Sécurité info., Conformité Cadre politique, économique, législatif et réglementaire REPORTINGRISQUESOPERATIONNELSREPORTINGRISQUESOPERATIONNELS Les Programmes de Continuité dActivité sont intégrés dans la filière Risques Opérationnels Les PCA permettent datténuer par la mise en place de mesures spécifiques les risques liés à la perte des environnements de production ou linterruption des systèmes Les PCA participent à la diminution du Capital Réglementaire au titre du Risque Opérationnel La Continuité dActivité évite les pertes opérationnelles « matérielles » en cas de sinistres Certaines analyses de scénario prennent en considération les capacités de Continuité dActivité Filière Risques Opérationnels La Continuité dActivité dans la Filière Risques Op. Gestion de Crise Pilotage des Risques Opérationnels Programmes de la Continuité dActivité Direction des Risques de Marché Direction des Risques de Contrepartie Direction des Risques Opérationnels introduction

6 Club de lIRIS 22 mai 2008 RB – 03/03/ Les missions de la cellule centrale PCA Organisation de la Continuité dActivité à la SG La Filière Continuité dActivitéRôles et responsabilités PCA des Pôles et DF COHÉRENCESUBSIDIARITÉ La coordination centrale PCA du Pôle / de la DF définit/déroule les directives PCA au sein de son périmètre sassure que les dispositifs PCA sont proprement implémentés, mis à jour et testés (contrôle de niveau 1) développe les méthodologies et déploie les outils PCA garantit un reporting régulier au senior management et aux autorités réglementaires sur son périmètre Responsables PCA Lignes Métiers / Fonctions Supports / Filiales sont responsables dimplémenter les stratégies PCA validées par le management sur leur périmètre dactivité sassurent de lalignement et de la cohérence des stratégies et solutions PCA entre lignes métier, fonctions supports et implantations élaborent les solutions PCA qui satisfont aux besoins des métiers, en conformité avec les directives internes et les exigences réglementaires assurent lanimation et le contrôle de limplémentation des solutions PCA validées par le management organisent la mise à jour et le test des solutions déployées Le senior management nomme le Directeur PCA, approuve les stratégies proposées, alloue les ressources et les budgets adéquats valide la gouvernance PCA et évalue périodiquement les réalisations du Programme de Continuité dActivité Laudit interne procède à une revue périodique des stratégies et solutions déployées et de leur adéquation avec la stratégie du Groupe, du Pôle/ de la DF et des exigences réglementaires La filière repose sur deux principes structurants de la banque : La filière Continuité dActivité repose sur : Une équipe centrale Programmes de la Continuité dActivité du Groupe (RISQ/OPE/PCA) Une organisation par Pôles et par DF avec : une coordination centrale des équipes opérationnelles dans les lignes métiers, les fonctions supports et dans les filiales un management « métier » propriétaire et responsable de ses Plans de Continuité dActivité introduction

7 Club de lIRIS 22 mai 2008 RB – 03/03/ Assurer la continuité des activités critiques Activité Vitale : une activité dont lexécution est fondamentale / obligatoire pour la banque Impacts jugés inacceptables par le management en cas darrêt dactivité : impact financier extrêmement lourd pour lentreprise très forte dégradation de son image de marque auprès des institutions financières et des partenaires impact Réglementaire majeur sans possibilité de négociation avec les institutions gouvernementales (la banque ne peut se soustraire à ses obligations) Activité Critique : une activité dont lexécution est souhaitée pour la banque, mais ne revêt pas de caractère obligatoire Impacts, en cas darrêt des activités, jugés très préoccupants voire inacceptables pour la stratégie de la banque mais ne compromettant pas sa survie en cas de crise : impact financier lourd pour lentreprise impact stratégique majeur très forte dégradation de son image de marque auprès des salariés et des médias impact réglementaire majeur avec possibilité de négociation avec les institutions gouvernementales Activité Sensible : une activité dont lexécution est préférable pour le bon déroulement des opérations. Impacts, en cas darrêt des activité, jugés préoccupants, mais potentiellement acceptables dans un contexte de crise : impact financier moyen pour lentreprise impact stratégique nul dégradation significative de son image de marque auprès des salariés et des médias impact réglementaire mineur avec possibilité de négociation avec les institutions gouvernementales Activités 100% vitales critiques sensibles autres Maintient des activités les plus critiques suite à un sinistre. Temps niveau de criticité La gestion de la continuité dactivité est une approche globale de management. Son objectif est didentifier les impacts potentiels qui menacent la banque et de la doter des capacités de répondre efficacement à des sinistres en sauvegardant ses activités vitales et critiques, sa réputation et les intérêts de ses clients et partenaires objectifs

8 Club de lIRIS 22 mai 2008 RB – 03/03/ Obligations réglementaires En réaction aux évènements et menaces de ces dernières années, les autorités et les régulateurs ont accentué, ou du moins précisé, leurs attentes vis-à-vis des banques en matière de continuité dactivité afin de prévenir les crises systémiques sur les principales places financières Réglementations générales Règlementations CRBF AMF (FR) DNS Finance (FR) Réglementations détaillées Réglementation SIPS (EU) Règles NASD & NYSE (US) Recommandations Interagency White Paper, FED (US) Recommandations et saines pratiques BRI Plan National « Pandémie Grippale », Robustesse (FR) Benchmarking BCM Business Guide (UK : FSA + HMT + BoE) Exigences réglementaires et bonnes pratiques de Continuité dActivité : Scénarii de sinistres à analyser Plusieurs scénarii Chocs extrêmes / sinistres régionaux Sinistres simultanés / plusieurs acteurs Impact fort pour le personnel Pandémie Niveau de reprise (activités prioritaires) Paiements, clearing & settlements Paiements dimportance systémique Accès clients aux fonds titres Monnaie fiduciaire & minimas sociaux Salle de marché et chaîne Titres Délais de reprise Journée de règlement respectée Intra-day pour les opérations critiques 4H pour le clearing & le settlement (<2H) Reprise IT critique sous 2H Reprise de 60 à 80% du volume normal sous 4H à bonne valeur Éloignement du site de secours Eviter les zones de concentration Décorréler les risques avec la production (infrastructures différentes) Site répondant à un sinistre régional Secours IT >10 km (best practice) Dispersion des équipes de production Non exhaustif Les régulateurs sont les autorités financières chargées de mettre en place les règles visant à garantir la stabilité des places financières et le contrôle des marchés financiers Protection des épargnants Surveillance de lintroduction dinstruments financiers sur les marchés financiers Régularité de linformation donnée aux acteurs des marchés financiers Encadrement des offres publiques (OPA, OPE, etc…) Bon fonctionnement des marchés financiers Conseil au législateur pour lélaboration de la réglementation des marchés financiers Quelques régulateurs majeurs : MINEFE Ministère Economie & Finances CB Commission Bancaire AMF Autorité des Marchés Financiers FED Governors of Federal Reserve Syst. NYSE New York Stock Exchange SEC Securities & Exchange Commission FSA Financial Services Authority BaFin Bundesbank & Fin. Supervision FSAJ Financial Services Auth. of Japan HKMA Honk Kong Monetary Authority BRI Banque des Règlements Internat. Les Régulateurs financiers BCE Banque Centrale Européenne CFB Commission Fédérale des Banques MAS Monetary Authority of Singapore objectifs

9 Club de lIRIS 22 mai 2008 RB – 03/03/ Le cycle de vie de la Continuité dActivité 1 comprendre lorganisation déterminer la stratégie développement et implémentation des réponses PCA révision, mise à jour et exercices 3 24 formation sensibilisation culture PCA Programme Continuité dActivité 5 La démarche Continuité dActivité est un processus cyclique à travers lequel la banque évalue la solidité de son organisation et la vulnérabilité de ses activités à des sinistres de scénarii multiples définit la stratégie de continuité de ses activités critiques après sinistre met en place les solutions de continuité pertinentes et les documente teste ses dispositifs, les maintient opérationnels et les révise à fréquence régulière informe ses personnels et les exerce à utiliser les solutions de continuité en cas de sinistre Deux prérequis sont indispensables pour engager la démarche Continuité dActivité : une stratégie dentreprise clairement définie un Risks Assessment solide et exhaustif Les principaux résultats attendus (livrables) : Une cartographie des risques un Business Impact Analysis, une collecte des expressions de besoins des métiers, mettant en évidence les activités critiques une stratégie de Continuité dActivité déclinée en fonction de différents scénarii de sinistres, et adressant les objectifs métiers, les priorités et les niveaux dactivité à recouvrir après un sinistre un inventaire des ressources critiques et le séquencement de leur montée en charge des plans de Continuité dActivité décrivant les dispositifs mis en place et les procédures pour mettre en œuvre la stratégie des programmes de tests et des plans dactions correctrices des supports dinformation / de sensibilisation / de formation la démarche

10 Club de lIRIS 22 mai 2008 RB – 03/03/ Risk Assessment La démarche Continuité dActivité doit sappuyer sur un Risks Assessment, cest-à-dire une analyse des menaces qui peuvent provoquer une interruption des activités de la banque. Il est impossible didentifier tous les risques, néanmoins on peut distinguer quelques grandes familles de menaces et évaluer leur probabilité Lanalyse des menaces permet didentifier les concentrations de risques inacceptables et les points névralgiques (SPOF). La hiérarchisation des menaces rend possible la mise en place de mesures pour réduire la probabilité doccurrence, cest-à-dire diminuer exposition à la menace pour minimiser les impacts, cest à dire renforcer la protection Risques naturels tempêtes, typhons, séismes, ect… Risques infrastructures incendie, destruction dun bâtiment… Risques informatiques bug an 2000, virus informatique… Risques techniques coupure délectricité, de climatisation, deau… Risques environnementaux incidents industriels type AZF ou Seveso… Risques sanitaires SRAS, grippe aviaire, etc… Risques sociétaux / sociaux grève des transports, mouvement social… Risques terroristes attentats… Risques pays émeutes, coup détat, couvre-feu, guerre civile… Risques de malveillance piratage informatique, sabotage… Gestion de RisqueContinuité dActivité Méthode danalyse Analyse de risquesBusiness Impact Analysis Paramètres Impacts & probabilitéImpacts & temps Type dincident Tous les incidentsSinistres significatifs (impacts) Etendue des événements Evènements de toute taille (en terme de coût) Sinistres significatif pour la survie et/ou la stratégie de la banque Périmètre de lanalyse Focus sur lintégration de la gestion de risques dans les objectifs business (amont) Focus sur la gestion du sinistre habituellement hors des compétences métiers (aval) Intensité des évènements analysés Tous, depuis les incidents progressifs aux incidents soudains sinistres rapides ou soudains ( + parfois pour évènements larvés qui deviendraient graves) VS. la démarche

11 Club de lIRIS 22 mai 2008 RB – 03/03/ Scénarii de sinistres Scénarii « informatiques » Scénarii « Ressources immobilières »Scénarii « Ressources Humaines » Pour assurer la sauvegarde de ses activités critiques, la banque doit être en mesure de faire face à une grande diversité de sinistres et dy apporter les réponses les plus pertinentes dans les meilleurs délais. Des sinistres de natures différentes (coupures électriques, catastrophes naturelles, grèves, etc. ) peuvent se traduire par les mêmes impacts sur les ressources de production et par conséquent par 3 grands scénarii : Perte ou inaccessibilité (totale ou partielle) des ressources informatiques et télécoms Perte ou inaccessibilité (totale ou partielle) des ressources immobilières Perte ou indisponibilité (totale ou partielle) des ressources humaines Les scénarii de perte ou inaccessibilité des ressources IT se traduisent par lincapacité totale ou partielle du personnel à accéder aux systèmes dinformation / aux applications, à accéder/recevoir des données à se servir des moyens de télécommunications (téléphonie générale ou spécialisée). Exemples de sinistres à lorigine de la perte des ressources IT perte de serveurs / applications destruction dun datacenter attaque virale des systèmes et réseaux informatiques Les scénarii de perte ou inaccessibilité des ressources immobilières se traduisent par lincapacité totale ou partielle du personnel à accéder à son lieu de travail habituel. Exemples de sinistres à lorigine de la perte des ressources immobilières incendie évacuation coupure électrique inondation panne de climatisation piquet de grève attentat terroriste tremblement de terre … Les scénarii de perte ou dindisponibilité du personnel se traduisent par lincapacité totale ou partielle de la banque à disposer des effectifs habituels pour conduire ses activités. stress fort sur le personnel Exemples de sinistres à lorigine des scénarii de stress important sur les ressources humaines incidents avec blessés ou décès pandémie (SRAS, H5N1, etc.) crue centennale paralysie des transports (grèves, attentats, etc…) troubles de lordre public la démarche

12 Club de lIRIS 22 mai 2008 RB – 03/03/ Comprendre lorganisation : Business Impact Analysis Le Business Impact Analysis est une démarche analytique dont lobjectif consiste à : identifier les activités vitales / critiques inventorier les ressources critiques nécessaires pour assurer la continuité de ces activités vitales / critiques définir les priorités de continuité et/ou de reprise après sinistre Le BIA permet dévaluer les impacts pour la banque dun sinistre touchant ses activités. La démarche doit être entreprise pour chacun des processus métiers conduits dans la banque, identifiés dans la phase de cartographie des processus. Les conséquences dun sinistre sur les activités de la banque sont évaluées dans le temps selon différents types dimpacts : Impacts financiers (évaluation quantitative) Impact non-financiers (évaluation qualitative) temps catégories dimpacts Bien que les sinistres auxquels la banque doit se préparer sont de nature différente et peuvent influencer la gravité et/ou la rapidité dapparition/de résorption des impacts, les bonnes pratiques recommandent de mener le BIA en prenant certains postulats : toutes les activités sont interrompues sans possibilité de reprise la banque seule est impactée par le sinistre tous les acteurs du marché continuent « Business As Usual » La démarche BIA est conduite par les coordinateurs PCA sur la base dinterviewes réalisées avec les managers des activités. Les informations collectées ainsi que les analyses dimpact sont systématiquement validées par le management qui est responsable de lexpressions des besoins, de la définition des stratégies, de lallocation des moyens humains et financiers nécessaires à la démarche et qui est propriétaire des plans de continuité. la démarche

13 Club de lIRIS 22 mai 2008 RB – 03/03/ Staff : nombre de personnes allouées au processus métier en production Systèmes informatiques applications métiers market data accès marchés électroniques disques partagés Poste de travail : type de configuration requise (nb et puissance des pc, nb décrans, téléphonie normale ou spécialisée, etc.) Télécoms : inventaire des moyens de communication nécessaires en plus de la téléphonie (fax, télex) Sauvegardes vitales : ensemble des documents sur tout support dont labsence après sinistre empêcherait de reprendre le processus métier Dépendances : ensemble des services, fournis par un acteur interne ou externe, nécessaires à laccomplissement du processus métier (qui ? quoi ?) Démarche BIA : cartographie des processus métiers La compréhension de lorganisation commence nécessairement par une cartographie décrivant les activités de chacune des entités de la banque : identifier les principaux processus métiers inventorier les ressources requises pour mener à bien chacun de ces processus Cette cartographie est le préalable indispensable au déploiement de la démarche BIA et plus généralement de la démarche de Continuité dActivité : lanalyse dimpact, la définition des objectifs de reprise et les expressions de besoin en terme de ressources sont construites au niveau de chaque processus métiers. A noter que sil existe déjà des descriptions de processus dans lorganisation, elles doivent être systématiquement réutilisées dans un soucis de cohérence et defficacité La cartographie doit aussi mettre en lumière les périodes critiques de chaque processus, cest-à-dire les périodes durant lesquelles un sinistre aurait les impacts les plus pénalisants pour la banque (« scénario du pire »). La définition des périodes critiques permet : de définir les stratégies de reprise en intégrant le scénario dans lequel un sinistre aurait lieu aux moments les plus critiques du processus dinformer le cas échéant les gestionnaires de crise des circonstances particulières liées à la période où se déclenche le sinistre Exemples de périodes critiques : arrêtés comptables, cut-offs, sommet de lOPEP (pour activité commodities), échéances à terme, etc. Ressources critiques Les ressources critiques à identifier sont les ressources indispensables à laccomplissement dun processus métier qui doivent nécessairement être restaurées pour garantir la continuité des activités critiques suite à un sinistre. la démarche

14 Club de lIRIS 22 mai 2008 RB – 03/03/ Impacts réglementaires Risques de pénalités de la part des régulateurs et des autorités financières à lencontre de la banque dans lincapacité totale ou partielle de faire face à ses obligations réglementaires Démarche BIA : évaluation des impacts 1 Pertes financières directes Ensemble des pertes financières supportées par la banque résultant de son incapacité à gérer ses risques de marchés ou de crédits (contreparties) suite à un sinistre : incapacité de couvrir ou fermer une position de trading ouverte sur le marché ; incapacité dactualiser ou dannuler un prix sur le marché ; etc… Pertes de revenu Impacts financiers dus à lincapacité de la banque de réaliser de nouvelles transactions tant que ses processus métiers restent dégradés (= perte dopportunités) Impacts légaux / juridiques Impacts potentiels ou pertes encourues à cause dactions en justice ou de poursuites de la part de clients, contreparties ou infrastructures de marché suite à lincapacité de la banque à faire face à ses engagements contractuels Impacts sur limage / la réputation Préjudices portés à la crédibilité de la banque vis-à-vis des ses clients, des investisseurs, de ses actionnaires, des agences de rating ou des médias, conduisant à une perte substantielle dopportunités à venir Impacts sur dautres processus de la banque Risques dextension dimpacts sur dautres processus de la banque lorsque des impacts directs ne peuvent pas être mis directement en évidence. Ce type dimpacts est directement liés aux interdépendances entre les différentes activités de la banque. typologie dimpacts échelles Échelle de temps Le critère de temps est une dimension clef dans lévaluation des impacts car il permet de concentrer les efforts sur les activités dont les délais de reprise sont les plus critiques Léchelle de temps est construite selon : les impératifs de reprise définis par les régulateurs (en France et à linternational) les bonnes pratiques de lindustrie les délais contractuels de bascule IT et de mise à dispositions des solutions de replis Échelle de gravité Chaque activité doit définir une échelle pertinente lui permettant de quantifier de manière homogène et cohérente ses pertes financières potentielles Ces quantifications sont ensuite traduite en degrés dimpacts en fonction de leur importance Il appartient au management de chaque entité de définir et valider cette échelle : cest elle qui sera utilisée pour définir les objectifs et arbitrer les priorités de reprise. Les impacts qui ne peuvent pas être quantifiés en termes financiers sont qualifiés selon le même type déchelle impactsTrès élevéElevéMoyenFaible impacts H+2H+4H+8D+1D+2+1wk+2wk+1m la démarche

15 Club de lIRIS 22 mai 2008 RB – 03/03/ Démarche BIA : évaluation des impacts 2 Pertes financières directes Pertes de revenu Impacts réglementaires Incapacité à répondre aux obligations réglementaires. Pertes de licence ou de droit à opérer sur les marchés Incapacité à répondre à certaines obligations réglementaires majeures. Mises sous surveillance. Risques de suspension temporaires des activités. Incapacité à répondre à certaines obligations réglementaires dans les délais impartis, bien que les régulateurs puissent accepter quelques retards. La banque nest pas dans lincapacité de faire face à ses obligations et/ou tolérance probable des régulateurs Impacts légaux / juridiques Nombreuses plaintes et poursuites avec pénalités financières majeures. Les dirigeants de la banque sont exposés à des poursuites. Plaintes et poursuites avec des clients et des contreparties avec possibilité de pénalités financières conséquentes Quelques plaintes ou poursuites possibles de la part de clients ou de contreparties mais avec des pénalités financières limitées Possibilité limitée dactions en justice contre la banque. Impacts sur limage / la réputation La banque est mise en dehors du marché. La reconstruction de la réputation demandera plusieurs mois / années avec des coûts et des efforts très importants. Perte dun nombre significatif de clients majeurs. Altération sensible des relations avec les contreparties. La reconstruction de la réputation demandera des mois avec des coûts et des efforts supplémentaires Pertes de clients mineurs ou perte limitée de clients majeurs. La réputation de la banque pourra être reconstruite en quelques semaines avec des efforts supplémentaires. Probabilité faible de perdre des clients à court terme. Pas deffort supplémentaire requis pour gérer limage de la banque après le sinistre. Impacts sur les autres processus de la banque Perturbations importantes de la plupart des activités critiques de la banque. Perturbations majeures sur un nombre significatif dautres activités de la banque. Quelques perturbations mineures sur dautres activités à travers la banque Peu ou pas dimpact sur les autres activités de la banque. Valeur en Risque (VAR) : Perte potentielle maximale encourue par une banque dans un délai déterminé. Cette perte maximale est obtenue par application d'une méthode dévaluation des risques, après élimination des 1 % des occurrences les plus défavorables. Cette méthode, utilisée à partir de 1998 pour répondre aux exigences des régulateurs en matière de calcul des fonds propres réglementaires sur l'essentiel des risques de marché, est celle de la " simulation historique " et repose sur les principes suivants : - constitution d'un historique de paramètres de marché représentatifs du risque des positions, - détermination de deux cent cinquante scénarios correspondant aux variations sur un jour observées sur un historique d'un an glissant, - déformation des paramètres du jour selon ces deux cent cinquante scénarios, - revalorisation des positions du jour sur la base de ces deux cent cinquante déformations des conditions de marché. Produit Net Bancaire (PNB) : Résultat obtenu en déduisant du produit bancaire les charges dexploitation bancaire autres que les frais généraux, provisions et impôts. Le produit bancaire comprend les produits financiers des opérations : - avec la clientèle, - de trésorerie, - du portefeuille titres de la banque, - de change Les charges d'exploitation sont celles sur : - emprunts obligataires, - opérations de trésorerie avec la clientèle Valeur en Risque (VAR) : Perte potentielle maximale encourue par une banque dans un délai déterminé. Cette perte maximale est obtenue par application d'une méthode dévaluation des risques, après élimination des 1 % des occurrences les plus défavorables. Cette méthode, utilisée à partir de 1998 pour répondre aux exigences des régulateurs en matière de calcul des fonds propres réglementaires sur l'essentiel des risques de marché, est celle de la " simulation historique " et repose sur les principes suivants : - constitution d'un historique de paramètres de marché représentatifs du risque des positions, - détermination de deux cent cinquante scénarios correspondant aux variations sur un jour observées sur un historique d'un an glissant, - déformation des paramètres du jour selon ces deux cent cinquante scénarios, - revalorisation des positions du jour sur la base de ces deux cent cinquante déformations des conditions de marché. Produit Net Bancaire (PNB) : Résultat obtenu en déduisant du produit bancaire les charges dexploitation bancaire autres que les frais généraux, provisions et impôts. Le produit bancaire comprend les produits financiers des opérations : - avec la clientèle, - de trésorerie, - du portefeuille titres de la banque, - de change Les charges d'exploitation sont celles sur : - emprunts obligataires, - opérations de trésorerie avec la clientèle Indicateurs financiers Très élevéElevéMoyenFaible Impacts sur autres processus M M M M E E T T T T T T T T T T F F M M M M M M E E E E T T T T F F F F M M M M E E E E E E E E F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F Pertes financières Pertes de revenus Impacts réglementaires Impacts légaux Impacts image impactsH+2H+4H+8D+1D+2+1wk+2wk+1m Matrice dévaluation des impacts dans le temps exemple pour un processus donné Léchelle des pertes est définie par le management en sappuyant sur les données comptables de lactivité étudiée (PNB moyens journaliers / mensuels / annuels) et sur les indicateurs de risques (ex: VAR) PNB mensuel moyen temps J+30 J0 pertes de revenus total des pertes () exemple n x VaR VaR temps T+1 T0 pertes financières directes total des pertes () exemple la démarche

16 Club de lIRIS 22 mai 2008 RB – 03/03/ Recovery Point Objectives RTO des Ressources 2- Déterminer la stratégie : définition des objectifs de reprise Une fois lanalyse dimpacts réalisée, la banque est en mesure de définir pour chacun des processus métiers étudiés : la période de temps maximale après le sinistre sous laquelle chacune des ressources nécessaires à laccomplissement dun processus métier pour être opérationnel doivent être recouvertes Recovery Time Objectives (RTO) le niveau dactivité qui doit être repris pour chaque processus, ainsi que son évolution dans le temps sur une période dun mois à compter de la survenance du sinistre La définition des objectifs de reprise doit permettre de comprendre la stratégie que les métiers souhaitent mettre en place pour assurer la continuité de leur activité avec un niveau acceptable de dégradation suite à un sinistre La stratégie est ainsi formulée de manière simple : en cas de sinistre et pour chaque métier, quelles capacités la banque veut-elle conserver ou recouvrir et à quelle échéances ? Comme lors de lanalyse dimpact, la bonne pratique veut que la stratégie et les objectifs de reprise soient définis au regard du scénario le plus impactant pour le processus métier considéré (la banque est la seule impactée, les autres acteurs de la place opèrent normalement) La définition des RTO repose obligatoirement sur la cartographie et lanalyse dimpact réalisée avec le BIA : implicitement, le RTO indique le niveau dimpact que le métier accepte de supporter (= seuil de tolérance) les périodes critiques identifiées lors de la cartographie des processus sont prises en compte dans la définition de la stratégie de reprise (objectifs et priorités en cas de sinistre survenant à la pire période) RTO du Processus métier Impacts sur les autres processus M M M M E E T T T T T T T T T T F F M M M M M M E E E E T T T T F F F F M M M M E E E E E E E E F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F Pertes financières Pertes de revenus Impacts réglementaires Impacts légaux Impacts image 100% H+2H+4H+8D+1D+2+1wk+2wk+1m 0% capacité opérationnelle processus critique à nouveau opérationnel sinistre Recovery Time Objective restauration des données critiques 100% 0% capacité opérationnelle RTO RPORPO temps La définition du RPO consiste à identifier « la fraicheur » des données quil faut restaurer pour reprendre lactivité. Implicitement le RPO indique à quelle fréquence les sauvegardes doivent être effectuées. capacité opérationnelle On définit le RTO pour chaque ressource critique nécessaire à la reprise du processus restauration des ressources critiques 100% H+2H+4H+8D+1D+2+1wk+2wk+1m 0% processus critique à nouveau opérationnel sinistre RTO sinistre la démarche

17 Club de lIRIS 22 mai 2008 RB – 03/03/ Elaborer & mettre en place des solutions Les métiers ayant défini leur stratégie de Continuité dActivité et formulé leurs expressions de besoin en ressources critiques, sont maintenant en mesure de : consolider les besoins de secours applicatifs en spécifiant aux maitrises douvrages informatiques les besoins à couvrir en terme dobjectifs de reprise et de restauration de données : RTO & RPO identifier les alternatives et mesures conservatoires à déployer pour couvrir la période entre le sinistre et la reprise du processus métier impacté concevoir les solutions de continuité adéquates pour permettre aux personnels de redémarrer les processus métiers impactés par le sinistre et assurer la continuité des activités vitales et critiques de la banque organiser la cohérence des stratégies et des solutions déployées au sein de la banque La mise en place des solutions de continuité se déroule en 3 étapes Choix des solutions de continuité : solutions de continuité informatique solutions de continuité « utilisateurs » pour redonner un poste de travail aux personnels impactés Mise en cohérence des stratégies et des solutions déployées au sein de la banque alignement bout-en-bout (front-to-end) alignement transversal rationalisation des investissements mutualisation des moyens Mise en place des solutions et documentation des plans de continuité dactivité Le management de chaque entité est propriétaire de son plan de continuité dactivité et en valide chacune des étapes : Validation des expressions de besoin Validation des choix de solutions retenues Validation des alignements Validation des investissements à réaliser Validation des solutions implémentées (recettes) Validation de la documentation La validation étape par étape permet de garantir que les solutions élaborées, mises en place et documentées répondent aux besoins exprimés et sont conformes avec la stratégie formulée. En cas de désaccord, on redémarre la démarche à partir de la dernière étape validée démarche itérative la démarche

18 Club de lIRIS 22 mai 2008 RB – 03/03/ Accès à distance : Capacité de mener des activités depuis un site nappartenant pas à la banque avec un accès à distance aux applications informatiques si nécessaire (domicile, internet café, entreprise tierce, …) Choix des solutions « utilisateurs » Positions sur site de repli (site interne ou sous contrat avec un prestataire) positions dédiées : postes de travail entièrement pré-équipés sur un site de secours utilisateurs, à distance raisonnable du site primaire pour permettre un repli rapide après un sinistre. Ces positions sont exclusivement et en permanence réservées à lusage de la banque en cas dactivation et leur disponibilité est garantie positions mutualisées : postes de travail entièrement pré-équipés sur un site de secours utilisateurs, à distance raisonnable du site primaire pour permettre un repli rapide après un sinistre. Les positions mutualisées ne sont pas exclusives et sont contractées parallèlement par plusieurs entreprises. En cas dactivations simultanées, les positions sont réparties selon le ratio contractuel de mutualisation (1/5, 1/10, 1/15). Secours croisés Cross Back-Up : solution consistant à reloger un utilisateur ayant perdu laccessibilité à son poste de travail sur un autre poste dans un autre immeuble de production non impacté. Cross Border : solution consistant à reloger le personnel sur une autre implantation de la banque à linternational Coûts* Garantie de disponibilité* Rapidité dactivation* Position dédiée Position mutualisée Cross Back-Up Cross Border Accès à distance Split Operations Résilience Ces solutions croisées supposent que des positions et équipements de production et/ou de réserve puissent être libérés à la demande, où et quand nécessaire. En outre, la solution à linternational nest raisonnablement pas opérationnelle avant J+2 après sinistre*. Laccès à distance nest pas la solution à privilégier pour certaines activités critiques (trading, paiements, etc…) car elle suppose une qualité de contrôle et de sécurité dégradée (accès via Internet) Split Operations : Solution consistant à éclater temporairement les personnels critiques sur un plus grand nombre de sites (production, repli, accès à distance) en prévision dun risque accru de perturbation des activités (ex : manifestation type G8, Convention Républicaine à NY, etc.) ou pour répondre à une incapacité conjoncturelle de rejoindre le lieu de travail habituel (ex : grève des transports) Lorsque cet éclatement des compétences nest plus conjoncturel mais est intrinsèque par construction à la structure de la banque, on parle de Résilience * évaluation empirique la démarche

19 Club de lIRIS 22 mai 2008 RB – 03/03/ Alignement avec les scénarii Mise en cohérence : alignements Alignement bout-en-boutAlignement transversal étendue du sinistre pression à recouvrir probabilité doccurrence Remarque : Au niveau de la place, la pression de la banque à recouvrir ses activités est généralement inversement proportionnelle à létendue du sinistre : dans le cadre dun sinistre dampleur régionale, plus il y a dacteurs de la place directement impactés par le sinistre (exemple : attentats du 11/09), plus les actions de reprise jouieront de la « tolérance » des autorités et contreparties en terme de délais. Consolidation Business Case Implémentation des solutions Documentation du dispositif de Continuité dActivité Pour garantir la cohérence du dispositif de continuité il est essentiel daligner les stratégies et solutions des Fonctions Supports (FS) et de linformatique (IT) sur les objectifs de reprise des Front métiers (FO) Les FS intègrent les expressions de besoin et la stratégie des FO dans la définition de leurs objectifs PCA (itérations si besoin) LIT aligne sa stratégie de reprise pour répondre aux exigences métiers consolidées Le Business Case est consolidé de bout-en- bout et est validé par le management Limplantation (ou la révision) des solutions retenues fait lobjet dun plan daction. Le dispositif mis en place est documenté et validé par le management FO FS IT De façon similaire à lalignement de bout-en-bout (en silo), une mise en cohérence transversale est nécessaire pour les activités ayant identifié des interdépendances critiques entre elles ou bien lorsquelles partagent les mêmes ressources critiques. Activité A Consolidation Business Case Implémentation des solutions Activité B Consolidation Business Case Implémentation des solutions consolidation transversale consolidation transversale Si deux activités ont besoin de la même ressource critique, mais selon un RTO différent, par défaut le RTO le plus court sera le RTO appliqué à la ressource. exemple Les Activités A & B ont identifié lapplication informatique TOTO comme une ressource critique : Activité A : RTO = H+4 Activité B : RTO = J+1 alors RTO TOTO = H+4 Le choix des solutions à déployer peut changer en fonction du scénario de sinistre auquel la banque est confrontée. Il convient donc de procéder à une mise en cohérence pour mettre en face de chaque scénarii les impacts à considérer et les solutions permettant la couverture des activités (scénarii impactant directement les métiers + problématiques hub régionaux). Scénarii génériques staff immeubles IT local IT global perte des immeubles de prod Perte des système IT (locaux) Perte des systèmes IT (globaux) Perte simultanée des locaux et IT Sinistre régional / sinistre de place Stress fort sur le personnel disponible indisponible disponible indisponible disponible indisponible disponible indisponible disponible indisponible disponible la démarche

20 Club de lIRIS 22 mai 2008 RB – 03/03/ Optimiser les investissements efficacité du PCA faible important investissements nécessaires optimiséetotale mal cibléeinsuffisante couverture pouvez-vous justifier les investissements ? probabilité occurrence impact très critiquecritiquemajeurmodérémineur très forte forte très faible moyenne faible le positionnement dépend du seuil de risque acceptable défini par la banque Quel est le périmètre à couvrir ? Optimiser les investissements Coûts vs. efficacité ensemble des scénarii que la banque choisit de couvrir La seule mise en conformité du dispositif de continuité avec les objectifs réglementaires ne présente pas dapport significatif en terme de continuité, et ce malgré un investissement lourd, notamment au niveau informatique A linverse, les solutions informatiques requises pour répondre aux exigences réglementaires donnent à la banque une capacité à assurer la continuité des systèmes dinformation bien au-delà du strict minimum réglementaire Un investissement supplémentaire sur des solutions métiers pour assurer la continuité des activités vitales et critiques présente un retour sur investissement plus favorable et permet doptimiser linvestissement minimal requis pour répondre aux exigences réglementaires la démarche

21 Club de lIRIS 22 mai 2008 RB – 03/03/ Documenter & maintenir à jour La dernière étape consiste à documenter la façon dont les métiers projettent de répondre aux différents scénarii de sinistres en activant tout ou partie des solutions élaborées. Cest létape clef de la démarche : elle est incontournable et a pour objectif : dexpliquer la manière dont les solutions déployées correspondent aux besoins exprimés par les métiers face aux différents scénarii de sinistre de consigner les restrictions possibles auxquelles les métiers ont souscrit, et donc leurs conséquences, en acceptant une dégradation plus ou moins importante de leurs conditions et performances de travail suite à un sinistre dobtenir la validation par le management des solutions retenues avant leur implémentation de démontrer la gestion véritable et efficace du Programme de Continuité dActivité lors des audits internes ou externes Les différents éléments du corpus documentaire de la Continuité dActivité sont : la directive PCA, qui décrit la déclinaison des grands principes de la Continuité dActivité et la gouvernance dans la banque (directives à différentes échelles possibles, au niveau Groupe, au niveau dun Pôle / dune direction etc.) La cartoghraphie et lanalyse des risques qui permettent le suivi dexposition aux risques en sappuyant sur un système de veille (veille réglementaire, veille sécuritaire, veille sanitaire, etc…). le Business Impact Analysis qui identifie les activités et les ressources critiques et évalue les impacts dun sinistre la stratégie PCA qui définit les objectifs, les priorités et les profils de reprise suite à un sinistre les Plans de Continuité dActivité qui décrivent pour chaque activité les solutions mises en place, leur modalité dactivation et leur montée en charge les programmes de tests, qui définissent les objectifs de tests, les protocoles de tests, les critères de succès auxquels sajoutent les compte-rendus de tests (résultats mesurés + plan dactions correctives) les supports pour la sensibilisation et la formation pour le management, les personnels et les auditeurs internes les Services Level Agreement (SLA) qui fixent les besoins et niveaux de réponse attendus entre les différents acteurs les contrats avec les fournisseurs et prestataires de services de secours Le cycle de révision est clairement identifié et figure sur chaque document. Le suivi des mises à jour sinscrit idéalement dans le processus de surveillance permanente interne et les documents sont tenus à la disposition des auditeurs internes et externes la démarche

22 Club de lIRIS 22 mai 2008 RB – 03/03/ Tests des Plans de Continuité dActivité Bien que la maintenance de la documentation PCA est importante, elle ne constitue pas en soi la preuve de la capacité de la banque à répondre à un sinistre : pour pouvoir considérer les dispositifs mis en place comme opérationnels, il faut les tester régulièrement ! Les tests ont un caractère obligatoire (cest une obligation réglementaire). Ils ont pour objectif dévaluer lefficacité du dispositif de continuité dactivité et permettent de : valider les solutions mises en place : elles sont opérationnelles et permettent de reprendre les activités qui doivent être secourues (fonctionnalité des positions de secours, disponibilités des ressources critiques, restauration des données) valider les procédures qui décrivent les actions à déployer pour assurer la continuité valider leffectivité des délais de reprise identifier les points daméliorations à apporter former les personnels critiques qui devront assurer la continuité des activités critiques sensibiliser les personnels et le management aux problématiques de Continuité dActivité donner la preuve à la Direction Générale et aux Autorités que la banque est préparée à répondre à un sinistre On distingue deux types de tests : Tests techniques Tests utilisateurs Les tests techniques servent à sassurer de la capacité à : basculer les systèmes informatiques & télécoms en secours restaurer dans les délais impartis les applications (RTO) et les données critiques (RPO) rediriger les liens de la production vers le secours Les tests utilisateurs servent à : vérifier la disponibilité des ressources critiques en secours valider la configuration des solutions et les procédures sassurer de la capacité à reprendre les activités critiques et mener à bien les processus métiers familiariser les personnels avec lenvironnement de secours Les tests techniques comportent des risques importants pour la production et sont généralement réalisés hors des heures dexploitation Les tests utilisateurs seuls (sans test technique) peuvent être exécutés sur la production, c-à-d en déroulant de vraies opérations de prodution la démarche

23 Club de lIRIS 22 mai 2008 RB – 03/03/ Tests des Plans de Continuité dActivité Différentes catégories de tests, en fonction du périmètre couvert : Le test unitaire Test conduit sur un périmètre limité à une activité. Il permet de vérifier le caractère opérationnel dune solution, sans prise en compte des interdépendances. Il ne permet pas de vérifier la capacité de la banque à continuer un processus métier critique dans son intégralité Le test bout-en-bout Test conduit pour vérifier linter-opérationnalité des solutions mises en place pour une même activité (chaine verticale dopérations) : le Front peut-il travailler avec ses fonctions supports et ses contreparties ? ses résultats peuvent-ils être enregistrés sur le plan comptable ? Le test transversal Test conduit entre différentes entités (pôles/DF) pour vérifier la capacité de la banque à assurer la continuité dun processus bancaire transversal tel que les processus de paiements ou de trésorerie Le test global Test intégrant les problématiques de bout-en-bout, de transversalité et de réseaux (hubs opérationnels et/ou informatiques) auquel prennent part plusieurs pôles et/ou implantations Le test de split operations Test conduit pour vérifier la capacité de répondre à un scénario de stress RH important (type pandémie) en dispersant les personnels sur un nombre plus important de sites de production et de repli. Le test de place Test de Continuité dActivité organisé par les Autorités de place auquel participent les banques et établissements financiers. Lorganisation dun test doit inclure les étapes suivantes : définir le périmètre et les objectifs du test établir un budget si besoin se mettre daccord sur lorganisation du test avec le management et les fournisseurs de logistique ou de services nécessaires concevoir un scénario réaliste et suffisamment détaillé sassurer de la disponibilité des participants faire une analyse de risques sur le déroulement du test afin de circonscrire le risque dimpacts sur les opérations de production (vérifier quà la date prévue pour le test ne sont pas programmées dautres opérations prioritaires ou incompatibles : arrêté comptable, mise en production, ect.) briefer les observateurs et les participants; préparer des questionnaires pour enregistrer les enseignements du test et confirmer les protocoles de tests exécuter le test et enregistrer les résultats faire un débriefing à chaud avec les participants organiser un débriefing à froid à une date ultérieure évaluer les résultats du test et préparer un compte-rendu : outre une présentation générale (rappel du périmètre, des objectifs, de la participation, etc.), le compte-rendu doit rendre compte des succès et des ratés du test, idéalement les traduire en impacts business (cf. BIA) et adresser des recommandations dactions correctrices diffuser le compte-rendu au senior management et aux participants dresser un plan daction pour implémenter les recommandations transcrites dans le compte-rendu, cest-à-dire mettre à jour la stratégie, les solutions et les plans, et reprogrammer un exercice ultérieur pour valider les changements apportés Organisation dun testCatégories de test la démarche

24 Club de lIRIS 22 mai 2008 RB – 03/03/ Promouvoir la Culture Continuité dActivité La place de la Continuité dActivité dans la culture de lentreprise dépend de son degré dintégration dans la stratégie de la banque au quotidien dans les opérations et projets de la banque dans la définition les priorités business La culture Continuité dActivité doit permettre : de déployer avec plus de facilité et defficacité les Programmes de Continuité dActivité de soutenir la confiance du senior management, des personnels, des clients et des autorités sur les capacités de la banque à faire face à un sinistre daccroître le niveau de résilience de la banque au fil du temps en sassurant que les problématiques de Continuité dActivité sont adressées à tous les niveaux de lorganisation et font lobjet des décisions nécessaires au final de minimiser les impacts et les probabilités de perturbations sévères des activités La Culture Continuité se décline à travers 3 grands domaines : Le succès de limplémentation de la Culture Continuité dActivité dans la banque repose sur 2 facteurs Un support visible et continu du senior management allocation des ressources humaines et financières nécessaires au déploiement des Programmes de CA implication forte des managers et des opérationnels dans les différentes phases du cycle de vie PCA décisions et arbitrages rendus en temps et en heure au bon niveau hiérarchique La promotion des Programmes Continuité dActivité par tous les acteurs de la démarche avec des campagnes dinformation, de sensibilisation et de formation sur mesure. INFORMATIONINFORMATIONSENSIBILISATIONSENSIBILISATIONFORMATIONFORMATION Whats In It For Me ? la démarche

25 Club de lIRIS 22 mai 2008 RB – 03/03/ Les critères de qualité dun Plan de Continuité dActivité OPTIMISÉ bonnes pratiques systématiques OPTIMISÉ bonnes pratiques systématiques MAITRISÉ plan contrôlé évalué et testé MAITRISÉ plan contrôlé évalué et testé COMPLET plan documenté et communiqué COMPLET plan documenté et communiqué INDUSTRIALISÉ procédures sous un format standard INDUSTRIALISÉ procédures sous un format standard INITIALISÉ procédures ad hoc pas de coordination INITIALISÉ procédures ad hoc pas de coordination INEXISTANT pas de plan de Continuité dActivité INEXISTANT pas de plan de Continuité dActivité Opérationne l Il couvre un large éventail de scénarii Il comprend un plan de retour à la normal Il ne repose pas exclusivement sur des solutions de back-up mais vise une résilience optimale Opérationne l Il couvre un large éventail de scénarii Il comprend un plan de retour à la normal Il ne repose pas exclusivement sur des solutions de back-up mais vise une résilience optimale Documenté Toutes les procédures sont documentées (invocation, opérations en secours et retour à la normale) et régulièrement révisées Elles sont opérationnelles, cohérentes avec la gouvernance et la stratégie définie et disponible à la demande en production, en secours, à distance Documenté Toutes les procédures sont documentées (invocation, opérations en secours et retour à la normale) et régulièrement révisées Elles sont opérationnelles, cohérentes avec la gouvernance et la stratégie définie et disponible à la demande en production, en secours, à distance Flexible Permet de dimensionner les réponses en fonction de la gravité du sinistre et de passer dun scénario à un autre sans rupture Un sinistre dans une implantation naffecte pas le reste du réseau de la banque Flexible Permet de dimensionner les réponses en fonction de la gravité du sinistre et de passer dun scénario à un autre sans rupture Un sinistre dans une implantation naffecte pas le reste du réseau de la banque À jour Les composants (staff, business, IT) sont mis à jour dans le cadre de la Surveillance Permanente Le personnel est régulièrement entrainé tout changement en production est appliqué immédiatement en secours À jour Les composants (staff, business, IT) sont mis à jour dans le cadre de la Surveillance Permanente Le personnel est régulièrement entrainé tout changement en production est appliqué immédiatement en secours Cohérent La gouvernance globale assure la cohérence transversale entre les branches et implantations Le niveau de protection et dinvestissement sont cohérents, homogènes et optimal vis-à-vis de la stratégie de la banque Les bonnes pratiques sont respectées Cohérent La gouvernance globale assure la cohérence transversale entre les branches et implantations Le niveau de protection et dinvestissement sont cohérents, homogènes et optimal vis-à-vis de la stratégie de la banque Les bonnes pratiques sont respectées Opposable Les stratégies de continuité / de résilience sont clairement définies pour le Groupe & les branches Les preuves de décisions et de leur mise en place sont à la disposition du senior management, auditeurs, régulateurs, agences de rating… Opposable Les stratégies de continuité / de résilience sont clairement définies pour le Groupe & les branches Les preuves de décisions et de leur mise en place sont à la disposition du senior management, auditeurs, régulateurs, agences de rating… Complet Toutes les fonctions activités de la banque sont couvertes en totalité y-c les interdépendances Les objectifs spécifiques de continuité sont définis pour toutes les fonctions de la banque en commençant par les plus critiques Complet Toutes les fonctions activités de la banque sont couvertes en totalité y-c les interdépendances Les objectifs spécifiques de continuité sont définis pour toutes les fonctions de la banque en commençant par les plus critiques Testé régulièrement déclenché (24/7 x 365) les processus métiers sont testés de bout-en-bout et de manière transversale avec données et transactions réelles sans impact Testé régulièrement déclenché (24/7 x 365) les processus métiers sont testés de bout-en-bout et de manière transversale avec données et transactions réelles sans impact Un Plan de Continuité dActivité doit être : 1 la démarche

26 Club de lIRIS 22 mai 2008 RB – 03/03/ Déclenchement du Plan de Continuité dActivité La continuité des activités ne se suffit pas à elle même : elle doit nécessairement sappuyer sur la continuité de la chaine de décision et donc sur un dispositif de gestion de crise qui a pour objectif : de confirmer le sinistre à gérer de sassurer de la mise en sécurité des personnels dévaluer les premiers impacts sur les ressources et sur les activités dorganiser la communication de crise en interne / en externe de décider si nécessaire dactiver tout ou partie des solutions de continuité dactivité pour faire face à la situation de définir les priorités (en adressant la problématique des périodes critiques) Le déclenchement dun plan de Continuité dActivité est décidé par le Directeur de Crise sur lavis des responsables dactivités et les conseils des coordinateurs Continuité dActivité. Le temps nécessaire pour que le dispositif de crise soit opérationnel et que la décision de déclencher le Plan de Continuité dActivité est à prendre en compte dans la définition objectifs de reprise. Ce temps est plus ou moins long en fonction de la nature et lheure de survenance du sinistre. en pleine exploitation, surtout en période critique (clôture de journée par exemple), la décision sera prise très rapidement en dehors des heures dexploitation (la nuit, le week-end, etc.), la décision pourra être dautant plus longue que la pression à recouvrir les activités impactées est de moindre intensité Cependant la période séparant la survenue du sinistre et la reprise effective des activités peut être couverte par lactivation immédiate de solutions de contournement ou workarounds. Rapides à mettre en place et requérant peu ou pas de ressources, elles permettent dengager des mesures conservatoires qui ont pour objectif dassurer un niveau minimum de continuité sur les activités les plus critiques en attendant la décision ou non de déclencher le PCA. appel des contreparties reprise des positions par une autre implantation (hedge ou clôture des position si lIT est intacte) annulation des prix sur les marchés par un opérateur non impacté renvoi des appels entrants sur un autre centre de traitement la démarche

27 Club de lIRIS 22 mai 2008 RB – 03/03/ De la reprise à la résilience Continuité dActivitéRésilienceReprise après sinistre HierAujourdhuiDemain Activités Temps 100% vitales critiques sensibles autres Activités Temps Activités Temps Site de production Région A Secours Région ASecours Région B Secours du site ASecours du site B Site de production ASite de production B Secours du site A Site de production ASite de production B Site de production Région B 100% vitales critiques sensibles autres 100% vitales critiques sensibles autres Maintient des activités les plus critiques Dégradation limitée: seules quelques activités non significatives sont perturbées En déclenchant son dispositif de continuité dactivité, la banque mobilise ses ressources pour conserver sa capacité à faire face à ses obligations et protéger ses intérêts Les activités vitales et les plus critiques sont peu ou pas interrompues et les impacts restent limités à un niveau acceptable En étant résiliente par construction, la banque acquiert une capacité de résistance très importante face aux sinistres, y compris dampleur régionale. La répartition des compétences et des ressources en de multiples sites permet de circonscrire les impacts sur un nombre limité dactivités non significatives. La survenance dun sinistre arrête toutes les opérations. La banque nest plus en mesure de tenir ses engagements et les impacts sont inacceptables : la survie de la banque est menacée Après un certain temps, certaines activités sont redémarrées mais dans des délais supérieurs aux obligations réglementaires. Arrêt de toutes les activités avant une reprise progressive conclusion


Télécharger ppt "JJ Mois Année 22 mai 2008 Les enjeux de la Continuité dActivité et de la Résilience dans le secteur bancaire Club de lIRIS 22 mai 2008."

Présentations similaires


Annonces Google