Recommandations en matière de Business Continuity Management (BCM) - Novembre 2007
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Novembre 2007 Recommandations en matière de Business Continuity Management (BCM)
Recommandations en matière de
Business Continuity Management (BCM)
Table des matières
1. Situation initiale et objectifs..................................................................................................... 2
2. Relations avec le groupe de travail «BCP pour la place financière suisse»................................ 2
2.1 Généralités ..................................................................................................................................................... 2
2.2 Conditions-cadre .......................................................................................................................................... 3
3. Fondements............................................................................................................................... 3
4. Champ d’application, scénarios ................................................................................................ 4
5. Recommandations..................................................................................................................... 5
5.1 Définition et étendue................................................................................................................................... 5
5.2 Eléments ......................................................................................................................................................... 5
5.3 Responsabilités ............................................................................................................................................. 6
5.4 Le Business Recovery Planning et son contrôle ...................................................................................... 7
5.4.1 Analyse d’impact / Business Impact Analysis (standard minimum obligatoire)........................ 7
5.4.2 Business Continuity Strategy (standard minimum obligatoire) ................................................... 7
5.4.3 Business Continuity Planning ............................................................................................................. 7
5.4.4 Business Continuity Reviews............................................................................................................... 7
5.4.5 Business Continuity Tests..................................................................................................................... 7
5.5 Gestion de crise............................................................................................................................................. 8
5.6 Reporting, communication et formation.................................................................................................. 8
5.6.1 Reporting................................................................................................................................................ 8
5.6.2 Communication..................................................................................................................................... 8
5.6.3 Formation et sensibilisation................................................................................................................ 8
6. Entrée en vigueur et dispositions transitoires .......................................................................... 9
Annexe A – Glossaire................................................................................................................... 10
Annexe B – Degrés de gravité des événements........................................................................... 12
Annexe C – Déroulement d’une crise .......................................................................................... 13
Annexe D – Références complémentaires ................................................................................... 14
Recommandations de l’ASB en matière de Business Continuity Management (BCM) 11. Situation initiale et objectifs Diverses évolutions constatées ces dernières années, par exemple en matière de terrorisme et de pandémies, ont souligné la vulnérabilité des acteurs des marchés financiers ainsi que celle des systèmes. La sensibilisation aux événements de ce type et à leurs incidences potentielles s’est fortement accrue. Aussi existe-t-il au niveau de certaines organisations internationales, mais aussi dans divers pays, des prescriptions et recommandations en matière de Business Continuity Management (BCM) qui s’imposent à la fois aux acteurs du marché et aux autorités de surveillance. La Commission fédérale des banques (CFB) considère qu’un Business Continuity Management adéquat constitue, pour une banque, une condition préalable à l’autorisation d’exercer son activité au sens de l’art. 3 de la Loi sur les banques. Elle est favorable à une autorégulation de l’Association suisse des banquiers en la matière. La présente autorégulation de l’Association suisse des banquiers s’adresse aux membres de cette dernière et propose des recommandations («best practice») pour la mise en place d’un BCM dans chaque Etablissement. A cet égard, il convient de tenir compte des situations spécifiques, en particulier en matière de risques, ainsi que de l’importance de l’Etablissement concerné dans le système. S’agissant du présent document, il comporte en principe des recommandations dont l’observation n’a pas un caractère obligatoire au sens de la circulaire CFB 04/2 «Normes d'autorégulation (standards minimaux)», sauf pour ce qui concerne l’établissement d’une analyse d’impact (chapitre 5.4.1) et la définition d’une stratégie de Business Continuity (chapitre 5.4.2). Ces deux éléments essentiels sont considérés par la CFB comme standards minimaux obligatoires d’un point de vue de la surveillance. Entrent dans le champ d’application des présentes recommandations les banques et les négociants en valeurs mobilières (ci-après les «Etablissements»). Ces recommandations sont réputées sans incidence sur la relation de droit civil entre les Etablissements et leurs clients. 2. Relations avec le groupe de travail «BCP pour la place financière suisse» 2.1 Généralités Afin de maîtriser les défaillances imprévues susceptibles de survenir dans un système financier fonctionnant en réseau, il est essentiel que tous les acteurs importants interviennent de manière coordonnée et qu’ils aient préalablement identifié, entériné et appliqué les mesures requises. En Suisse a été institué en décembre 2003 le groupe de travail «BCP pour la place financière suisse», qui réunit des personnalités représentatives du marché financier sous l’égide de la Banque nationale suisse (BNS). Son objectif est de vérifier et d’évaluer les Business Continuity Plans mis en place dans les Etablissements et chez les fournisseurs d’infrastructure de la place financière suisse. Il a toutefois focalisé son examen sur les processus critiques pour la stabilité de notre place financière. Sur la base d’une analyse préalable du risque et dans la perspective susmentionnée, le groupe de travail a identifié comme «critiques» deux processus: «Paiements de montants importants via SIC» et «Approvisionnement en liquidités par des opérations de mise en pension». D’autres domaines, comme le trafic des paiements de détail, l’approvisionnement de la population en espèces ou le négoce boursier ont été jugés non prioritaires au regard de la stabilité de la place Recommandations de l’ASB en matière de Business Continuity Management (BCM) 2
financière suisse. A la suite de cet examen, la BNS a demandé aux infrastructures centrales
Telekurs / SIC et SIS d’intégrer, dans leurs contrats avec les participants, des exigences en matière
de BCM.
2.2 Conditions-cadre
Sur le modèle des prescriptions du Federal Reserve System (Fed, cf. Annexe D), le groupe de
travail a défini les exigences suivantes pour les deux processus clés «Paiements de montants
importants via SIC» et «Approvisionnement en liquidités par des opérations de mise en pension»
(cf. définitions en Annexe A):
Objectifs de recovery
Participants au système financier RTO=Recovery Time Objective
RPO=Recovery Point Objective
Infrastructures centrales (BNS, SIC et SIS) RTO4. Les plans de Business Continuity des acteurs du marché financier comme des autorités de
surveillance doivent définir des mesures de communication interne et externe à mettre en
œuvre en cas d’interruption majeures de l’exploitation.
5. Les plans de communication doivent intégrer aussi la communication avec des autorités de
surveillance étrangères, pour le cas où des interruptions de l’exploitation auraient des
répercussions internationales.
6. Les acteurs du marché financier et les autorités de surveillance doivent tester leurs plans de
Business Continuity, évaluer leur efficacité et, le cas échéant, adapter leur Business Continuity
Management.
7. Il est recommandé aux autorités de surveillance d’évaluer, dans le cadre de la surveillance
courante, le Business Continuity Management des Etablissements soumis à leur surveillance.
4. Champ d’application, scénarios
Les Etablissements doivent envisager tous les scénarios plausibles susceptibles d’entraîner une
crise pour l’entreprise. On entend ici par «crise» une situation de risque nécessitant des décisions
critiques et qui ne peut être gérée dans le cadre des processus de gestion et des compétences
décisionnelles ordinaires. La gestion des «incidents» (Availability Management) est donc
expressément exclue du champ d’application des présentes recommandations (cf. définitions en
Annexe A et Annexe B). On peut citer comme exemples de «crises»:
• les événements «à caractère accidentel» (incendies, explosions, etc.),
• les attentats terroristes et actes de sabotage,
• les catastrophes naturelles (inondations, tremblements de terre, etc.),
• la défaillance du personnel, p. ex. en raison d’une pandémie,
• la défaillance d’installations techniques du bâtiment et/ou de l’alimentation énergétique (p. ex.
électricité),
• la défaillance de systèmes informatiques ou d’infrastructures (dysfonctionnements du matériel
ou des logiciels),
• la défaillance de systèmes de communication ou de prestataires de services de
télécommunications,
• la défaillance de prestataires externes (notamment en cas d’externalisation), p. ex. dans le
domaine informatique.
Dans le cadre du BCM, il appartient aux Etablissements d’identifier, définir et évaluer les types de
crise pertinents en fonction de leur impact (degré de gravité) et de la probabilité qu’ils surviennent.
Ces événements peuvent notamment avoir pour conséquence que des collaborateurs et/ou des
infrastructures (en particulier infrastructures de conduite, télécommunications, locaux ou postes
de travail) ne sont plus aptes à remplir des fonctions critiques pour l’entreprise. De même, en
raison de problèmes au niveau des services informatiques ou des fournisseurs d’infrastructures, les
défaillances des services critiques peuvent s’avérer intolérables.
S’agissant des pandémies, on trouvera notamment des scénarios et recommandations dans le Plan
suisse de pandémie Influenza 2006 (chap. 8, «Entreprises») de l’Office fédéral de la santé
publique (OFSP) (www.bag.admin.ch/influenza).
Le BCM doit assurer autant que possible le respect des prescriptions légales, réglementaires,
contractuelles et internes, y compris en cas de crise.
Recommandations de l’ASB en matière de Business Continuity Management (BCM) 45. Recommandations
5.1 Définition et étendue
On entend par Business Continuity Management (BCM) une méthode de gestion mise en œuvre à
l’échelle de l’entreprise et visant à assurer qu’en cas d’événements (internes ou externes), les
fonctions critiques restent opérationnelles ou le redeviennent dans les plus brefs délais. Le BCM
vise ainsi à minimiser les conséquences de ces événements aux plans financier et juridique ainsi
qu’en termes de réputation.
Globalement, le BCM doit permettre la poursuite ou la reprise rapide de l’exploitation en
situations de crises. Il concerne donc tous les domaines d’activité et toutes les unités
organisationnelles d’une entreprise. Il convient de distinguer le Business Recovery Planning, en
amont, et la gestion de crise proprement dite.
Dans sa stratégie de continuité de l’activité (Business Continuity Strategy), l’Etablissement définit
son approche de principe en cas de défaillance de ressources critiques. A cet effet, dans le cadre
d’une analyse d’impact, il identifie ses ressources et processus critiques et détermine de manière
adéquate les délais de remise en route ainsi que les disponibilités. Cette stratégie constitue la base
des plans de Business Continuity. Il s’agit à ce sujet de définir (au moyen de catalogues de
mesures, de listes de contrôle et d’instruments de travail) la marche à suivre pour une reprise de
l’activité rapide et maîtrisée. La stratégie de continuité de l’activité peut faire partie intégrante de
la stratégie d’entreprise de l’Etablissement. Si certains risques résiduels sont acceptés sciemment,
la stratégie doit le signaler explicitement.
La mise en place et le fonctionnement d’un BCM comprennent notamment les aspects suivants:
• définition du périmètre du BCM,
• ancrage du BCM dans l’organisation de l’entreprise,
• création d’une structure de gouvernance adaptée à l’organisation de l’entreprise,
• définition des rôles et responsabilités dans le cadre du BCM,
• définition de scénarios de crise (cf. chap. 4) et identification de leurs incidences sur les
ressources de l’entreprise (base de la planification),
• identification des ressources et processus critiques, analyse des incidences d’éventuelles
défaillances dans le cadre de l’analyse d’impact (Business Impact Analysis, BIA),
• définition de la stratégie de continuité de l’activité (Business Continuity Strategy), c’est-à-dire
de l’approche de principe à adopter en cas de défaillance de ressources critiques,
• élaboration des plans de continuité de l’activité, qui visent à rétablir les processus et les
ressources critiques en cas de crise,
• mise en œuvre des Business Continuity Reviews et de Business Continuity Tests portant sur le
Business Continuity Planning et l’organisation de la gestion de crise,
• reporting, communication et formation.
5.2 Eléments
Une situation de crise se caractérise par la défaillance totale ou partielle de ressources ou par
l’interruption d’un ou plusieurs processus. Pour que les processus puissent s’effectuer, il faut
disposer des ressources suivantes:
• collaborateurs,
• locaux,
• systèmes / données informatiques,
• prestataires externes.
Recommandations de l’ASB en matière de Business Continuity Management (BCM) 5Il est donc recommandé d’envisager au premier chef, dans le cadre du Business Recovery Planning,
la défaillance de ces ressources.
Le BCM doit comprendre notamment les éléments suivants:
Analyse d’impact (Business Identification des processus critiques pour l’entreprise ainsi
Impact Analysis) que des ressources critiques y afférentes, identification et
description des incidences en cas de défaillance d’une ou
plusieurs ressources critiques.
Business Continuity Strategy Définition de l’approche de principe en cas de défaillance
de ressources critiques, décisions de principe quant à la
mise à disposition de ressources de remplacement.
Business Continuity Ensemble complet de mesures visant à assurer une activité
Planning continue ou une reprise rapide des processus critiques.
Planification détaillée de la marche à suivre et des
ressources en cas de défaillance de ressources critiques.
Business Continuity Testing Contrôle systématique et à intervalles réguliers du Business
Continuity Planning, notamment en termes d’application,
d’efficacité et de mise à jour.
Organisation de la gestion Vise à préparer un système de gestion de crise qui permette
de crise à l’entreprise de faire face efficacement aux situations de
crise.
BCM Reporting Reporting (y compris à l’intention du Conseil
d’administration et de la Direction) sur les actions menées
en matière de BCM et sur l’état des mesures préparatoires
de gestion de crise.
BCM Training Formation spécifique des collaborateurs exerçant des
fonctions en matière de BCM.
BCM Communication Mesures relatives à la communication interne et externe en
cas de crise.
5.3 Responsabilités
Le BCM relève de la responsabilité du Conseil d’administration et de la Direction de chaque
Etablissement (cf. aussi à cet égard la circulaire de la CFB «Surveillance et contrôle interne»,
Circ.-CFB 06/6).
Il incombe au Conseil d’administration de veiller au respect d’une stratégie BCM formalisée par
écrit. La Direction la met en œuvre et, dans des règlements et instructions internes, elle régit les
autres compétences et flux d’informations. La Direction régit notamment (avec l’approbation du
Conseil d’administration) les relations entre elle-même et la structure compétente en cas de crise
(état-major de crise).
Recommandations de l’ASB en matière de Business Continuity Management (BCM) 65.4 Le Business Recovery Planning et son contrôle
5.4.1 Analyse d’impact / Business Impact Analysis (standard minimum obligatoire)
Il appartient à chaque unité organisationnelle des Etablissements de déterminer ses ressources et
processus critiques. Dans le cadre d’une analyse d’impact sont évaluées, pour les processus
critiques, les incidences d’une défaillance totale ou partielle des ressources y afférentes.
Cette évaluation intègre aussi les interdépendances entre unités organisationnelles (processus en
amont / en aval) ainsi que les relations de dépendance par rapport à des prestataires externes
(externalisation).
L’analyse d’impact doit permettre de déterminer les éléments suivants:
• niveau de rétablissement souhaité pour les processus critiques,
• délai maximum de rétablissement des processus critiques,
• ressources (de remplacement) minimales (locaux, collaborateurs, systèmes / données
informatiques, prestataires externes) qui doivent être disponibles en cas de crise pour atteindre
le niveau de rétablissement souhaité.
La fréquence de mise à jour de l’analyse d’impact dépend notamment de la situation de risque de
l’Etablissement concerné.
5.4.2 Business Continuity Strategy (standard minimum obligatoire)
La Business Continuity Strategy fixe la méthode par laquelle l’entreprise entend atteindre les
objectifs de recovery fixés dans l’analyse d’impact au regard des scénarios envisagés et de leurs
incidences sur les ressources. Cette stratégie doit être formalisée par écrit.
5.4.3 Business Continuity Planning
Les plans de continuité de l’activité définissent les marches à suivre, les solutions de
remplacement et les ressources minimales nécessaires pour rétablir ou maintenir les processus
critiques (en assurant le respect des prescriptions légales, réglementaires, contractuelles et
internes). Cette planification doit comprendre au minimum les éléments suivants: descriptif du cas
générateur (scénario déclencheur), marche à suivre ou catalogue de mesures précisant les priorités,
ressources de remplacement nécessaires, structure compétente en cas de crise.
Il convient de prescrire une périodicité de mise à jour des plans de continuité de l’activité. Des
changements importants dans le fonctionnement de l’entreprise peuvent par ailleurs rendre
nécessaire leur révision.
5.4.4 Business Continuity Reviews
Les Business Continuity Reviews recensent la documentation BCM élaborée par les différentes
unités organisationnelles et évaluent sa conformité par rapport aux critères définis. Il est
recommandé de fixer des critères cohérents et de mettre en place un processus clair de
surveillance et de suppression des carences.
5.4.5 Business Continuity Tests
Les Business Continuity Tests permettent de vérifier la mise en œuvre du Business Continuity
Planning ainsi que la capacité de réaction de l’organisation de gestion de crise. Le contenu et la
périodicité des différents tests doivent être définis en fonction de l’évaluation du risque (cf.
analyse d’impact). L’agrégation des résultats des tests des différentes unités organisationnelles
permet d’évaluer la capacité d’un Etablissement à maîtriser les situations de crise.
Recommandations de l’ASB en matière de Business Continuity Management (BCM) 7Il est recommandé de coordonner les différents tests en établissant une planification systématique, de prévoir un mode de présentation des résultats uniforme, et de définir un processus de surveillance et de suppression des carences. 5.5 Gestion de crise L’objectif est de mettre en place un système de gestion de crise qui permette à l’entreprise de maîtriser efficacement et rapidement les situations de crise. Dans les situations de crise qui exigent des décisions critiques et ne peuvent être maîtrisées à l’aide des mesures et compétences décisionnelles ordinaires, l’état-major de crise est convoqué (ou, le cas échéant, les états-majors de crise). Celui-ci prend en charge la gestion de crise jusqu’au rétablissement d’une situation normale. Il est recommandé de régler clairement et par avance les modalités de convocation de l’état-major de crise ainsi que ses responsabilités et compétences, et de définir l’organisation de crise en tenant compte de l’activité et de la structure géographique de l’Etablissement concerné. Il convient de veiller tout particulièrement et autant que possible à ce que les personnes responsables soient joignables également lors de situations de crise. 5.6 Reporting, communication et formation 5.6.1 Reporting Les actions menées en matière de BCM ainsi que, plus généralement, l’état des mesures préparatoires de gestion de crise, doivent faire l’objet de comptes-rendus réguliers, par échelon, à l’intention du Conseil d’administration et de la Direction. Ces comptes-rendus doivent notamment indiquer les résultats des Business Continuity Reviews et des Business Continuity Tests. 5.6.2 Communication La communication joue un rôle important dans la gestion des crises. Il convient donc de veiller à préparer systématiquement et scrupuleusement des concepts et plans de communication de crise (interne et externe). L’enjeu est notamment de maintenir un niveau élevé de professionnalisme, mais aussi de préserver la crédibilité des Etablissements et la confiance des partenaires au dialogue. Les plans de communication doivent indiquer les personnes à informer en cas de crise (liste des noms et numéros de téléphone des autorités de surveillance, collaborateurs, médias, clients, contreparties, prestataires de services, etc.). Une communication spécifique doit être prévue en cas de crise d’envergure potentiellement internationale. En cas de crise et de convocation de l’état-major de crise, l’autorité de surveillance doit être dûment informée. 5.6.3 Formation et sensibilisation Il convient de veiller à ce que les collaborateurs bénéficient d’une formation suffisante quant à leurs tâches, responsabilités et compétences au titre du BCM. A cet égard, doit être prise en compte non seulement la formation des nouveaux collaborateurs, mais aussi la mise à jour régulière des connaissances dont disposent les anciens collaborateurs. La formation des membres de l’état-major de crise doit faire l’objet d’une attention particulière. En outre, à l’aide d’un programme d’information continue, il convient de faire en sorte que les anciens et nouveaux collaborateurs soient sensibilisés en permanence à l’importance du BCM. Recommandations de l’ASB en matière de Business Continuity Management (BCM) 8
6. Entrée en vigueur et dispositions transitoires Les présentes recommandations ont été adoptées par le Conseil d’administration de l’ASB en date du 18 juin 2007 et approuvées par la CFB le 19 octobre 2007. Elles entrent en vigueur le 1er janvier 2008. Il est recommandé aux Etablissements de transposer les présentes recommandations jusqu’au 31 décembre 2009 au plus tard. Recommandations de l’ASB en matière de Business Continuity Management (BCM) 9
Annexe A – Glossaire Analyse d’impact (Business Impact Analysis, BIA): processus d’identification et de mesure (quantitative et qualitative) des incidences que peuvent avoir les interruptions de l’activité ou les défaillances de certains processus et ressources. La BIA comprend notamment l’identification des ressources et des processus critiques, effectuée sur la base d’une analyse des dépendances et incidences, ainsi qu’une évaluation et une classification des dommages potentiels. Availability Management: processus intégrant la définition, l’analyse, la planification, la mesure et l’optimisation de tous les aspects influant sur la disponibilité des services informatiques. L’Availability Management fait en sorte que l’ensemble de l’infrastructure informatique (processus, outils, tâches informatiques et autres) soient conformes aux exigences définies dans les Service Level Agreements en termes de disponibilité. Les événements compromettant la disponibilité peuvent être maîtrisés au moyen des processus de gestion et compétences décisionnelles ordinaires. Backlog Processing: traitement a posteriori de tâches non effectuées ou accumulées en raison d’une interruption des processus d’affaires ou de la mise en œuvre de processus alternatifs. Business Continuity Management (BCM): méthode de gestion à l’échelle de l’entreprise (politiques et normes) visant à assurer qu’en cas d’événements (internes ou externes), les fonctions critiques restent opérationnelles ou le redeviennent dans les plus brefs délais. Le BCM intègre donc les phases de planification, de mise en œuvre et de contrôles ainsi que l’ensemble du périmètre (services, processus, techniques) requis pour assurer une disponibilité ininterrompue des processus (d’entreprise) critiques ou pour pouvoir la rétablir dans un laps de temps prédéfini, après un événement. Business Continuity Planning (Plans de continuité de l’activité): ensemble complet de mesures (y compris listes de contrôle et instruments de travail) préparé par avance et visant à assurer une activité continue ou, en cas de crise, une reprise maîtrisée et rapide des processus (d’entreprise) critiques. Business Continuity Reporting: fait de rendre compte (y compris au Conseil d’administration et à la Direction) des actions menées en matière de Business Continuity Management, notamment de l’état des mesures préparatoires de gestion de crise. Le Business Continuity Reporting doit rendre compte en particulier des Business Continuity Reviews et des Business Continuity Tests. Business Continuity Strategy: définition de l’approche de principe visant à préserver la continuité de l’activité, y compris en cas de défaillance de ressources critiques (p. ex. détermination du niveau de risque acceptable, analyse des actions possibles et des décisions de principe quant à la mise à disposition de ressources de remplacement). La Business Continuity Strategy repose sur l’analyse d’impact et constitue elle-même la base du Business Continuity Planning. Business Continuity Testing: contrôle systématique et à intervalles réguliers du Business Continuity Planning, notamment en termes d’application, d’efficacité et de mise à jour. Business Recovery: rétablissement de processus ou d’activités spécifiques à la suite d’une interruption ou, le cas échéant, mesures à prendre à la suite d’un événement dommageable (cf. Business Continuity Planning). Business Resumption: solutions transitoires mises en place au niveau des processus d’affaires et permettant la reprise d’activité. Plusieurs étapes peuvent s’avérer nécessaires avant que l’activité ordinaire ou la pleine capacité soit rétablie. Crise: situation de risque nécessitant des décisions critiques et qui ne peut être gérée dans le cadre des processus de gestion et des compétences décisionnelles ordinaires. Recommandations de l’ASB en matière de Business Continuity Management (BCM) 10
Etat-major de crise: équipe chargée de gérer les situations de crise jusqu’au rétablissement d’une situation normale (minimisation des dommages économiques et des risques de réputation). Incident: événement qui entraîne une interruption d’activité et, au niveau du service, une perte de qualité et/ou une moindre qualité, mais qui peut être géré dans le cadre de l’Availability Management (contrairement aux crises). Processus critiques: processus d’une entreprise dont l’interruption est susceptible d’empêcher ou de compromettre notablement le service à la clientèle, le respect des obligations légales de l’entreprise et/ou la gestion de positions-risques, et qui peuvent dès lors entraîner un dommage (direct ou indirect) critique. Recovery Point Objective (RPO): perte de données définie comme étant le maximum acceptable en cas de crise. Recovery Time Objective (RTO): délai prédéfini dans lequel les processus critiques doivent être rétablis. Ressources critiques: ressources d’une entreprise (personnel, locaux, systèmes / données informatiques, prestataires externes, etc.) qui, en cas de défaillance, entraînent des interruptions ou des défaillances de processus d’affaires (critiques). Les ressources critiques sont identifiées dans le cadre de l’analyse d’impact. Recommandations de l’ASB en matière de Business Continuity Management (BCM) 11
Annexe B – Degrés de gravité des événements
Selon la gravité des conséquences résultant d’un ou de plusieurs événements, on parle d’incident,
d’incident majeur, de crise ou de catastrophe. Le Business Continuity Management ne concerne
que la prévention des crises et catastrophes ainsi que la gestion des crises.
Catastrophe: incident majeur ayant un impact critique sur
l’exploitation et affectant le système de valeurs de l’entreprise. L’état
Gestion de la crise
Cata-
de catastrophe est déclaré par l’équipe responsable de la gestion de
strophe la situation de crise (état-major de crise). Une catastrophe est
principalement gérée à l’aide des plans de rétablissement des activités
(Business Recovery Plans).
Crise Crise: événement survenant dans l’exploitation et nécessitant des
décisions critiques qui ne peuvent pas être prises sur la base de
techniques de management et de pouvoirs décisionnels ordinaires.
Incident majeur: conséquence d’un ou de plusieurs incidents dont la
Incident majeur cause peut être inconnue, mais dont l’impact est important sur les
Activités normales
(p. ex. Availability
Management)
opérations de la banque.
Incident: événement qui entraîne (ou peut entraîner) une interruption des
activités, une panne, une perte ou une limitation de la qualité des
Incident services. Le type et la gravité de l’incident ne peuvent pas être
déterminés avec précision au moment où l’on a connaissance du
dommage.
Recommandations de l’ASB en matière de Business Continuity Management (BCM) 12Annexe C – Déroulement d’une crise
Déroulement d’une crise en cas d’impact type «Perte de données informatiques»
Désastre
100%
Etap e n
Business
Resumption Etape 2
Dernière Etape 1
sauvegarde
complète
Temps
Période de perte de Période d'indisponibilité des applications
données
RPO RTO
Recovery Point Recovery Time
Objective O bjective
(en heures) (en heures)
Recommandations de l’ASB en matière de Business Continuity Management (BCM) 13Annexe D – Références complémentaires Dans le cadre de la mise en œuvre de la Business Continuity Strategy et du Business Continuity Planning, on peut se référer notamment aux normes suivantes (sélection non exhaustive): Basel Committee on Banking Supervision: High-Level Principles for Business Continuity, Banque des Règlements Internationaux, août 2006, www.bis.org Financial Services Authority (FSA): Business Continuity Management - Practice Guide, 2006, www.fsa.gov.uk Australian Prudential Regulatory Authority (APRA): Prudential Standard APS 232 «Business Continuity Management» et Guidance Note 232.1, avril 2005, www.apra.gov.au British Standards Organisation: The Guide to Business Continuity Management, Publicly Available Specification PAS 56:2003, 2003, www.automataservices.com Federal Reserve System (Fed): Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System, 2003, www.federalreserve.gov Information Security Forum: Aligning Business Continuity and Information Security, mars 2006, www.securityforum.org Secrétariat d’Etat à l’économie (seco): Pandemie-Handbuch (Manuel sur les pandémies), www.seco.admin.ch (à paraître) Office fédéral de la santé publique (OFSP): Plan suisse de pandémie Influenza 2006, www.bag.admin.ch/influenza (est mis à jour régulièrement) Recommandations de l’ASB en matière de Business Continuity Management (BCM) 14
Association suisse des banquiers Aeschenplatz 7 Case postale 4182 CH-4002 Bâle T +41 61 295 93 93 F +41 61 272 53 82 office @ sba.ch www.swissbanking.org
Vous pouvez aussi lire
