Introduction

L’importance de la continuité d’activité pour les entreprises revient sur le devant de la scène avec la crise sanitaire que nous traversons. Cependant, la transversalité de la matière en fait un sujet complexe. La continuité d’activité touche en effet à toutes les fonctions de l’entreprise puisqu’elle doit assurer le fonctionnement en mode dégradé de cette dernière. C’est dans cette complexité que les RPCA (Responsables du Plan de Continuité d’Activité), doivent faire la lumière dans l’obscurité.

Si tous les secteurs d'activités sont bien évidemment concernés par le PCA, le secteur bancaire est particulièrement touché par les obligations relevant de la sécurité des systèmes d'information (Solvabilité I, II ; Bâle I, II, III et bientôt IV ; PCI DSS, etc…) pour des raisons évidentes. Si l’accent, ces dix dernières années a été mis sur la cybersécurité et la démocratisation des bonnes pratiques de sécurité, la poursuite des activités de l’organisation a évolué également (car obligatoire) mais souvent de manière séparée.

Le concept de résilience des SI (Systèmes d’Information), bien qu’essentiel à la protection globale et complète des SI, n’a pris toute son importance que très récemment et permet de faire le lien entre sécurité des SI et continuité d’activité.

Le secteur bancaire et financier a un besoin de disponibilité de ses systèmes d'information extrêmement élevé. Autrement, l’activité économique du pays serait lourdement impactée. Comment la continuité d’activité est-elle alors abordée par ce secteur ?

Pour répondre à cette question, Bruno Chaussier, responsable de la continuité d’activité du groupe BPCE.

‌                                              

Quel est votre rôle en tant que responsable de la continuité d’activité chez Groupe BPCE ?

Comme toutes les banques, nous sommes tenus d’avoir un plan de continuité des activités. Mon rôle est d’être le garant de la mise en place et de l’efficience de ce dispositif.
Cela repose d’abord sur chaque établissement du Groupe pour lequel un Responsable du Plan de Continuité d’Activité (RPCA) doit être nommé par la Direction (dans le contexte bancaire, on dit aussi Plan d’Urgence et de Poursuite de l’Activité).‌‌ Nous avons rédigé une politique Groupe que chaque établissement doit appliquer. Le RPCA met en place son organisation, applique la méthodologie et un plan de contrôle qui inclut le résultat des tests techniques et exercices utilisateurs. De notre côté, nous collectons ces résultats et procédons aussi à des contrôles pour détecter les améliorations à apporter au niveau du groupe. Les tests et exercices sont capitaux, ils reflètent le véritable niveau d’efficience du dispositif en place et contribuent à la sensibilisation et à la culture du mode réflexe.
La formation et la sensibilisation jouent un rôle majeur (comme pour tous les enjeux de sécurité qui reposent sur les collaborateurs).
Nous avons aussi, mon équipe et moi, un rôle opérationnel de coordination pour la gestion des crises transverses dans le Groupe.
Enfin, pour que tout cela fonctionne correctement, nous avons un rôle d’animation de la filière des RPCA, pour accompagner, former, proposer des outils communs et une démarche cohérente et partagée.

Pouvez-vous expliquer en quoi consiste la continuité d’activité ?

La continuité d’Activité, c’est la survie du business, pour nos clients, la place financière, nos dirigeants et actionnaires, nos collaborateurs. En fait, c’est la sauvegarde de notre emploi en cas d’évènement inhabituel, pour ne pas dire imprévu...
(c) https://www.franceculture.fr/emissions/un-voyage-la-seine-et-nos-amours/lincendie-au-credit-lyonnais-paris
L’incendie du Crédit Lyonnais a marqué l’obligation pour les banques françaises à la fin des années 90 d’avoir un PCA (Plan de Continuité d’Activité), les événements tragiques qui ont frappés le World Trade Center en 2001 ont fait comprendre au monde entier la nécessité de penser résilience et d’avoir un PCA. Ce jour-là, plus de 400 entreprises ont péri.
L’idée du PCA, c’est d’avoir pensé au pire et de s’être prémuni de différents dispositifs pour sauvegarder l’activité et la reprendre le plus rapidement possible, du moins pour les activités les plus critiques. Cela repose sur un dispositif de gestion de crise avec des membres de cellules de crise entraînés, qui doivent rester calmes et faire face à toutes les situations, y compris les pires… et des procédures de contournement, de rétablissement ou reprise, encadrées dans un plan de reprise d’activité pour les systèmes, des procédures métiers éprouvées pour les collaborateurs. Il y a beaucoup d’acronymes pour lesquels, derrière les mêmes mots, on n’accorde pas toujours la même signification, alors je n’entrerai pas dans ce débat et je vous fais grâce en plus des acronymes anglophones.
Pour faire simple, il y a un système de management de la continuité d’activité (SMCA, décrit par le norme ISO 22301) et un PCA qui englobe :‌‌
- Le Plan de Gestion de Crise (PGC)‌‌
- Le Plan de Continuité Métier (PCM) qui comporte les procédures métiers de contournement, de priorisations des tâches,‌‌
- Le Plan de Reprise d'Activité (PRA) implique que quelque chose s'est arrêté, il concerne souvent les procédures de redémarrage du système d'information ou basculement manuel des systèmes...
Il faut aussi prendre en compte les fournisseurs critiques, les fonctions support et le management dans la continuité d’activité. Il faut penser que dans quasiment toutes les crises, nous avons besoin de fonctions support au service des métiers en crise : en général La Communication, La Logistique / Sécurité (au sens large), les Ressources humaines, les Systèmes d’information. Ces fonctions ont obligatoirement un plan de continuité pour les services qu’elles délivrent aux autres métiers, mais aussi pour les actions qui relèvent de leur compétence en cas de crise. Enfin, il peut être judicieux de prévoir la mobilisation, si besoin, d’autres compétences en situation de crise : Fonctions Achats, Assurances, Finance, Juridique,  …
Figure 2 : contenu du PCA
Figure 1 : Contenu de la PCA 
La continuité d’activité consiste à se focaliser sur l’essentiel, le plus critique, c’est la priorité, mais il ne faut pas faire n’importe quoi, à n’importe quel coût. Une identification des enjeux critiques et des risques auxquels ils sont exposés doit être réalisée en amont… les moyens mis en œuvre pour assurer la continuité doivent être proportionnés aux enjeux et au risque à ne rien faire… et les procédures doivent être éprouvées (il faut être certain que ce qui est prévu fonctionne).
Mais si la crise dure longtemps (très majoritairement les crises sont courtes, quelques heures à quelques jours), il faut aussi envisager ce qu’il convient de réaliser si cela dure plusieurs semaines voire plusieurs mois. L’employeur a une obligation, c’est de donner du travail à ses collaborateurs (de toutes façons, il ne pourra pas cesser trop longtemps les autres activités, moins critiques, sans compromettre une partie de son business). Il faut donc cartographier aussi les activités moins prioritaires et prévoir un train de mesures dont l’activation sera réalisée avec une moindre urgence.

Quels types de risques sont pris en compte (risques naturels, humains, autres) ?

Presque tout est dit ! On peut ajouter le risque technique (la panne informatique), environnemental (type Lubrizol), le terrorisme, le risque social, le risque sanitaire, etc. La palette est large. Il faut réaliser une cartographie d’exposition aux risques, évaluer la probabilité de survenance, et projeter le niveau d’impact sur le business. Il faut aussi combiner certains facteurs (par exemple, la période calendaire, la plage horaire, le contexte géographique, événementiel, politique et/ou social…).                      ‌
Figure 2 : Exemples de risques à prendre en compte 
Par exemple, une panne des serveurs de cartes bancaires n’aura pas le même impact le lundi 2 janvier au lendemain des fêtes qu’au samedi 20 décembre à la veille de Noël et en plein week-end… ou pire, une crue de Seine qui survient en pleine pandémie ou pendant les jeux olympiques. Le risque Pays doit aussi être pris en compte lors des missions professionnelles à l’étranger.

Quels sont les principes phares de la continuité d’activité ?

Je dis toujours que la Continuité d’Activité, c’est simple et compliqué à la fois.‌‌ Simple, car c’est essentiellement du bon sens, et compliqué parce que l’on a du mal à savoir par où commencer car tout est lié, c’est extrêmement transverse…on agit sur toutes les strates de l’entreprise, du plus bas jusqu’au plus haut, car il faut assurer sur le plan opérationnel et il nous faut une stratégie, un budget, il faut donc convaincre au plus haut !
On est en contact avec les opérationnels, les managers, le top management, mais aussi les fournisseurs car l’entreprise a besoin d’eux pour fonctionner. Il est nécessaire aussi de partager notre expérience avec nos homologues, pour capitaliser sur les bonnes pratiques et ne pas tout réinventer !
En fait, il faut être pragmatique, soucieux du détail sans faire de la sur-qualité, accepter que l’on n’a pas forcément la réponse à tout et donner les moyens à son entreprise de rester agile face aux situations qui sortent de l’ordinaire.

Quelles sont les spécificités de la continuité d’activité dans le domaine bancaire ?

Tout d’abord, c’est du réglementaire, donc obligatoire pour toutes les banques qui ne manquent pas d’être contrôlées sur ces aspects par l’ACPR et/ou la BCE.
La Défense de notre pays repose sur 3 piliers, pour faire simple : la défense militaire, la défense civile et la défense économique. Vous l’aurez compris, quiconque participe de manière profonde à l’équilibre économique du pays est essentiel à sa survie et se doit de mettre en œuvre des mesures de protection préventive et curative en cas d’incident inhabituel. Les principales banques ne dérogent pas à la règle.

Quelles sont les spécificités de la continuité d’activité pour les banques en ligne ?

Dans le domaine bancaire, la continuité est obligatoire pour toutes les banques !
Je dirai que c’est un peu plus simple pour les banques en ligne puisque par définition, elles n’ont pas de réseau implanté physiquement sur le territoire. Elles ont les mêmes aspects de continuité à traiter mais en moindre quantité concernant les sites et les collaborateurs. En revanche, comme pour les banques de réseau, elles sont soumises au risque cyber… et n’allez pas croire que leur jeunesse, qui par définition les dote de systèmes d’information plutôt récents, les protège mieux.

Comment adaptez-vous un plan de continuité d’activité au cours du temps ?

La seule chose qui ne change pas, c’est le changement ! Il est perpétuel.
Autant il est assez facile de mettre en place une démarche PCA (parce que c’est une décision d’en haut, avec le budget et les moyens associés), autant il est difficile de conserver des moyens pour mettre à jour le PCA au fil des ans. Pourtant, il est évident que tout change, le contexte, l’organisation, les personnes, la localisation de l’entreprise, ses clients, ses contraintes juridiques et réglementaires, ses outils et systèmes d’information…et même les alentours. Si une usine de type Seveso s’installe à côté de votre entreprise, il est clair que c’est un risque exogène qu’il va falloir prendre en compte !
Il est donc nécessaire de procéder à une revue annuelle des éléments documentaires du PCA pour vérifier leur cohérence et réévaluer l’exposition au risque et l’efficience des procédures et dispositifs de secours. Le RPCA procède par campagne de mise à jour et demande aux managers de valider les informations relatives à leur activité. Lorsqu’il a recueilli tous les éléments, le RPCA fait valider par les parties prenantes les différentes solutions de continuité, puis il fait valider par sa direction générale la stratégie globale de continuité (criticité des activités et priorisation, solutions de continuité, plan de tests et exercices…). Et oui, la Direction générale doit s’impliquer dans le PCA, elle en est le sponsor.

Comment s’imbrique la sûreté au sein de la continuité d’activité ?

La sûreté est un terme un peu ambigu qui revêt plusieurs sens. Nous considérerons que la sûreté correspond à ce qui touche la fraude, les intrusions physiques et la malveillance alors que la sécurité correspond à la prévention et aux effets accidentels. C’est ce qui est communément adopté, à l’inverse du nucléaire ou c’est exactement le contraire.
Dans le PCA, nous devons éviter le pire et donc circonscrire et limiter les effets le plus rapidement possible d’une situation qui pourrait dégénérer. Je vais donc raisonner en termes de sécurité, et nous allons devoir mener une veille sur ces événements potentiels : météo, géopolitique, suivi de nos personnels en déplacement, à l’étranger notamment… veille sur les incidents informatiques, ou veille sanitaire… Vous voyez, le spectre est large et nous amène à œuvrer de concert avec de nombreux acteurs de l’entreprise ou du monde public ou privé.

Comment appréhendez-vous cette transversalité entre cybersécurité, sûreté et continuité d’activité ?

Le PCA nous oblige à avoir une vision analytique pour décortiquer les processus et comprendre parfaitement les enjeux, et une vision synthétique pour avoir une bonne capacité de restitution.
Le cyber, avec son jargon, n’apporte pas de facilité et pourrait troubler n’importe quel acteur de continuité aguerri, mais les peurs de l’échec dissipées, il n’en est rien si on prend garde d’acculturer un minimum les acteurs, les faire se connaître pour fluidifier la relation, les mettre en situation pour les entrainer, et les pousser à s’améliorer en les rendant acteurs du plan d’amélioration.
Ne perdons jamais de vue que le cyber n’est pas QUE technique, la cible est avant toute chose une atteinte au business de l’entreprise. Il est donc capital d’associer les représentants des métiers impactés !
Enfin, dans le monde du PCA, nous avons été habitués à subir des événements accidentels ou naturels. Avec les aspects cyber, nous nous heurtons à des malfaiteurs qui ont la volonté de tirer profit, voire de nuire. Il nous faut donc renforcer la défense et ne pas croire que l’attaquant ne contournera pas les obstacles.
Pour terminer sur la transversalité, le vecteur cyber est sournois : il n’y a pas de frontière (étatique bien sûr, mais aussi professionnelle ou privée). Il est tout à fait possible d’attaquer une entreprise en utilisant la compromission aisée d’un PC privé d’un de ses collaborateurs bien choisi, ou une entreprise vertueuse peut voir tout son dispositif tomber par terre car l’un de ses fournisseurs connectés à son SI, peut-être insignifiant au niveau du business, est fragilisé par une politique de sécurité affichée mais mal appliquée.
Il faut donc mettre tous les acteurs sur la même ligne de défense, et inculquer une logique de résilience… cela passe par des groupes de travail qui associent CERT, SOC, autres acteurs IT sur le recovery, la SSI, les métiers, la direction des risques, la conformité, … et bien sûr les acteurs du PCA et de la gestion de crise. Il faut penser à associer la Communication qui joue un rôle essentiel en cas d’incident, comme dans toute gestion de crise.

Si le plan de continuité d’activité n’a pas permis de faire face à une crise, quelles sont les conséquences pour l’organisation ?

Tout d’abord, il faut comprendre que le plan de continuité intervient lorsque les dispositifs de protection en amont n’ont pas fonctionné. C’est déjà une assurance en soi.
Effectivement, si le plan de continuité ne fonctionne pas bien ou pas du tout, il peut y avoir des effets sur le business : les impacts peuvent être réglementaires (amendes ou perte de licence pour non-respect des procédures ou délais), juridiques avec les clients, des tiers ou le personnel (non-respect des échéances , volumes, délais… préjudice ou mise en danger… ), organisationnels (par l’impact sur les collaborateurs, leur présence, les sites de travail, l’informatique ou le climat social…) ou le risque d’image, plus larvé, qui peut faire l’effet d’une bombe à retardement avec la perte de confiance….(imaginez l’effet que peuvent avoir les clients d’une banque qui n’ont plus confiance et veulent retirer toutes leurs économies …) Tout cela s’ajoutant au risque financier direct !                
Figure 3 : Exemples d'impacts business
Alors oui, selon la gravité, le choc ultime est la chute de l’entreprise.
In fine, nous sommes tous acteurs de la Continuité d’Activité par nos gestes de prudence et de sauvegarde, et nous contribuons à sauvegarder nos clients, nos actionnaires, nos collaborateurs, nos dirigeants, et finalement notre emploi par cette attitude vertueuse. En fait, nous sommes condamnés à réussir !

En somme, la Continuité d'Activité n'est pas qu'une obligation réglementaire de plus. Elle est la clef de la survie de l'économie dans un contexte pavé d'aléas.

Merci Bruno pour ton retour d'expérience ! ‌‌

Si vous souhaitez découvrir un métier, faites-nous part de vos suggestions dans les commentaires !

Retrouvez  ici le témoignage de Marc Alonso, consultant freelance !