Vous êtes sur la page 1sur 26

Groupe de travail Plan de Continuit dActivit

Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers


























































Conseils pour la mise en uvre

des Plans de Continuit d'Activit

dans les Etablissements financiers
R Ra ap pp po or rt t d du u g gr ro ou up pe e d de e t tr ra av va ai il l







Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers







































Bibliographie
Le Forum Tripartite - The Joint Forum
(Basel Committee on Banking Supervision - Comit de Ble sur le Contrle bancaire) :
Principes directeurs en matire de continuit dactivit - High-level principles for
business continuity

Business Continuity Institute
Guide de bonnes pratiques Good practices guideline
PAS 56 / Guide du management de la continuit dactivit - PAS 56 / Guide to Business Continuity
Management (BCM)





-51-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers





































SOMMAI RE

INTRODUCTION5
FICHE N 1 : LA GESTION DE LA CONTINUITE DACTIVITE (GCA)/DEFINITIONS 6
Contexte ...................................................................................................................................................................6
Dfinitions et dcideurs ........................................................................................................................................78
Dcisions attendues des Directions Gnrales ......................................................................................................7
FICHE N 2 : ENJEUX DE LA GESTION DE LA CONTINUITE DACTIVITE (GCA) ..... 8
La GCA : un enjeu de business aux nombreuses ramifications. .........................................................................8
La GCA : un enjeu rglementaire .........................................................................................................................9
La GCA : un enjeu systmique pour la place en cas de situation extrme.......................................................10
FICHE N 3 : STRATEGIE DE LA CONTINUITE DACTIVITE ................................. 11
La politique............................................................................................................................................................11
Lorganisation .......................................................................................................................................................11
Un processus budgtaire.......................................................................................................................................11
FICHE N4 : MISE EN PLACE DE CELLULES DE CRISE......................................... 12
Gestion de crise .....................................................................................................................................................12
Documentation de crise ........................................................................................................................................12
Principes.................................................................................................................................................................12
Rle dune cellule de crise ....................................................................................................................................11
Typologie des cellules de crise..............................................................................................................................13
Communication de crise .......................................................................................................................................14
Alerte / Activation de la cellule ............................................................................................................................15
FICHE N5 : POLITIQUE GENERALE DE GCA....................................................... 18
Les fondamentaux.................................................................................................................................................18
Objectif de la Politique Gnrale de Continuit dActivit ...............................................................................18
Les scnarios de crise............................................................................................................................................19
La classification des activits caractre critique et/ou caractre essentiel .................................................19
FICHE N 6 : LORGANISATION DE LA GCA........................................................ 21
Principes dorganisation de la Gestion de la Continuit dActivit..................................................................22
Suivi et coordination du PCA...............................................................................................................................22
Le Responsable du Plan de Continuit des Activits (RPCA)...........................................................................23
Les pilotes de processus (managers mtiers) ......................................................................................................24
Les Correspondants PCA (CPCA) ......................................................................................................................24

-3-





Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
La matrise duvre informatique...................................................................................................................... 25
Limmobilier et la logistique ............................................................................................................................... 25
Le contrle permanent et le risque oprationnel............................................................................................... 25
Le contrle priodique (ou Inspection Gnrale) .............................................................................................. 26
Les fonctions juridique et de conformit............................................................................................................ 26
La fonction organisation...................................................................................................................................... 26
FICHE N 7 : LES QUESTIONS ESSENTIELLES A ABORDER .................................27
Les acteurs ............................................................................................................................................................ 27
Leur primtre ..................................................................................................................................................... 27
Activation des responsabilits ............................................................................................................................. 28
FICHE N8 : METHODOLOGIE.............................................................................30
L analyse de lexistant et Business Impact Analysis (BIA).............................................................................. 30
Les solutions.......................................................................................................................................................... 35
La mise en uvre du PCA................................................................................................................................... 37
FICHE N 9 : MAINTIEN EN CONDITION OPERATIONNELLE...............................37
Tests....................................................................................................................................................................... 37
Ractualiser : un impratif.................................................................................................................................. 38
FICHE N 10 : SUIVI DE LAVANCEMENT............................................................40
Tableaux de bord de niveau oprationnel .......................................................................................................... 40
Tableaux de bord de niveau dcisionnel............................................................................................................. 41
FICHE N 11 : DEVELOPPEMENT DE LA CULTURE DE LA GCA DANS
L'TABLISSEMENT .............................................................................................43
Formation/sensibilisation de tous les collaborateurs de l'tablissement ......................................................... 43
Formation de la Communaut PCA de l'tablissement ............................................................................. 43
FICHE N12 : RETOUR A LA NORMALE OU RECONSTRUCTION APRES SINISTRE 46
FICHE N 13 : PRESTATIONS EXTERNALISEES...................................................48
ANNEXE .............................................................................................................51
Bibliographie ........................................................................................................................................................ 53















prciser si le prestataire a document lorganisation de la gestion de crise et quels sont les
moyens et dlais dinformation du client ;
prciser sil est prvu que le management du prestataire soit impliqu dans la gestion de
crise ;
prvoir des clauses de confidentialit signes avant tout change dinformation non
publique, y compris en phase prcontractuelle ;
demander un engagement du prestataire en terme de protection des biens (confidentialit,
intgrit et disponibilit), ainsi que sur la mise en uvre de moyens adapts pour assurer
cette protection ;
demander un engagement sur le niveau de service attendu ;
dfinir des responsabilits respectives des deux parties ;
dfinir de la proprit des lments utiliss ou produits ;
demander un engagement du tiers nutiliser les moyens mis sa disposition que pour la
seule excution de son contrat ;
inscrire la possibilit de raliser un audit afin de vrifier la bonne application des clauses
concernant la continuit des activits du contrat ;
dfinir les conditions de recette des lments produits au cours de la prestation ;
demander un engagement du prestataire matriser la partie de la prestation confie
dventuels sous-traitants ;
de faon gnrale, demander lengagement du prestataire dobtenir de son personnel
affect lexcution du contrat, le respect de celui-ci et notamment des engagements ci-
dessus ;
suivant le type de prestation, des clauses particulires de continuit des activits peuvent
tre ajoutes, notamment :
o conditions de gestion des volutions ;
o modalits de traitement des incidents de scurit ;
o modalits de transfert de proprit ainsi que les conditions daccs pour les
fournisseurs de logiciels et progiciels (rcupration du code sources et transmission
du savoir-faire ncessaire son utilisation) ;
o engagement du tiers en matire de mise en place de mesures de protection rseau
et systme ;
o engagement de maintien de la comptence offerte, dfinie contractuellement, en
cas de changement des collaborateurs ;
o engagement de rversibilit (mise disposition du client par le fournisseur de
lensemble des lments permettant la reprise du service en cas de changement ou
de rvocation du fournisseur) ;
o outre lensemble des clauses prcdentes, les contrats dinfogrance doivent
notamment prendre en compte les points suivants :
o systmes et procdures de continuit de services en cas dincident majeur ;
o engagements dassurer la protection physique des systmes.


-4-



-49-





Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers



Introduction



Conseils pour la mise en uvre
des Plans de Continuit d'Activit
dans les tablissements financiers

Document rdig par le Groupe de travail Continuit
d'Activit du Forum des Comptences


La dfinition que nous prendrons de la Continuit des Activits est celle du "Forum Tripartite" du
Comit de Ble sur le Contrle bancaire :
La gestion de la continuit d'activit est une approche globale qui inclut la politique, les standards
et les procdures pour sassurer que des oprations prcises peuvent tre poursuivies ou
rcupres dans un laps de temps raisonnable dans le cas d'une perturbation majeure. Son but est
de rduire au minimum les consquences oprationnelles, financires, lgales, de rputation et
autres consquences substantielles si un tel vnement survient .

Le prsent document rassemble conseils et retours d'exprience pour mettre en place une Gestion
de la Continuit des Activits efficace dans les tablissements financiers
1
.
Les principes, suggestion et mesures adopter en la matire dpendent largement de la taille, du
primtre des activits et des spcificits de chaque tablissement ; ce travail na donc pas
vocation engager les tablissements.
Il constitue un document original par rapport aux ouvrages existants, produit du travail dun
groupe de responsables de la continuit dactivit dinstitutions bancaires franaises, membres du
groupe de travail PCA du Forum des Comptences*.
Ce n'est pas un guide mthodologique dlaboration dun Plan de Continuit d'Activit bien quil en
rappelle les lments essentiels ; il nonce des points de repres, des conseils, et piges
viter rsultant de retours d'exprience. Cet ensemble est prsent sous forme de fiches
classes par thmes et concerne aussi bien la gestion de la continuit dactivit que le plan de
continuit dactivits qui en dcoule.










* Annexe : Liste des membres du groupe de travail PCA



1
Par commodit, le terme tablissement Financier (ou plus simplement tablissement ) sera employ
par la suite dans ce document ainsi que le terme Entit pour dsigner une de ses sub-divisions (filiale,
direction, dpartement, mtier ).
Fiche n 13 : Prestations externalises

Vis--vis du rgulateur, l'institution est responsable des processus critiques de bout en
bout, y compris pour les prestations externalises.

Est considr comme Prestataire de Services Essentiels , le fournisseur qui offre une
prestation de service prsentant un effet significatif sur la matrise des risques (art 4R du
CRBF 97-02).

Lexternalisation doit tre encadre par un contrat crit qui prvoit en particulier :
+ une clause type relative la continuit dactivit ;
+ lexercice de contrle rgulier (audit) ;
+ laccs linformation y compris sur place ;
+ un niveau de qualit de service en fonctionnement normal et en cas dincident ;
+ le cas chant des lments dtaills sur la mise en uvre de mcanismes de secours
par le prestataire ;
+ aucune modification substantielle sans accord de ltablissement ;
+ des comptes rendus rguliers de la prestation externalise et de sa situation financire.

Il est important de noter que dans le cas o le prestataire ne dispose pas de PCA ou refuse
dintgrer la clause contractuelle, les tablissements de crdit doivent mettre en place un
mcanisme de secours intgrant le risque de dfaillance du fournisseur.

Pige viter :
Oublier de petits fournisseurs dont lactivit constitue un nud essentiel dans un des
processus mtiers prioritaires de linstitution ou pour lactivit quotidienne du personnel.
Retour dexprience :

Toute prestation de service doit sinscrire dans un contrat couvrant les points suivants :

dfinir la possibilit de driver facilement tout ou partie de la prestation vers un autre
prestataire ;
dcrire si le prestataire dispose dun ou plusieurs sites ;
dfinir si le prestataire fait-il appel plusieurs sites pour traiter la prestation de
l'institution ;
dfinir si e prestataire a tudi et mis en place des plans de contournement ;
dcrire si lactivit fait lobjet dun PCA chez le prestataire ;
prciser si le PCA est test rgulirement chez le prestataire (date du dernier
exercice) ;
prciser si lanalyse de criticit des moyens mis en uvre pour assurer la prestation a
t ralise par le prestataire ? (lignes informatiques, serveurs, alimentations
lectriques, accs aux sites, personnel, sauvegardes) ;
dcrire quelles sont les solutions retenues par le prestataire pour assurer la continuit
des activits ;
dcrire si la solution retenue par le prestataire prvoit un site de back-up. A quelle
distance est-il du site primaire ?
dcrire si le prestataire a pass des accords de PCA croiss avec des socits uvrant
sur le mme domaine dactivits ?
prciser si la solution retenue par le prestataire est documente ;
vrifier que le prestataire a formalis les plans de restauration et de sauvegarde ;
-48-
-5-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
Fiche n 1 : La Gestion de la Continuit dActivit
(GCA)/Dfinitions

Contexte

La gestion de la continuit dactivit (en anglais : Business Continuity Management ou
BCM) est une approche globale des activits de ltablissement qui prend en compte les politiques,
standards et procdures mises en uvre pour assurer que des oprations pr-dtermines
puissent tre maintenues ou reprises de manire organise en cas de crise. Lobjectif de cette
approche est de minimiser les consquences oprationnelles, financires, lgales, matrielles et
dimage induites par un sinistre de grande ampleur.

Le Plan de Continuit dActivit est une des composantes de cette dmarche. Cest un plan
daction complet qui recense les processus, ressources ncessaires la continuit ou la
restauration des activits en cas de crise et fournit procdures et moyens immobiliers, techniques
(informatique, flux financiers et tlphonie), logistiques.
La dmarche de gestion de la continuit dactivit n'aboutit pas en quelques semaines. Selon
lorganisation et la taille de ltablissement, l'unit de temps relve plutt de l'anne.
Un sinistre majeur pouvant survenir tout moment et son traitement supposant une organisation
de crise efficace et un Plan de Continuit dActivit oprationnel, lexposition au risque dure au
moins un an partir de la dcision de dmarrer un projet PCA.

Le schma ci-dessous rsume les grandes phases de la dmarche.


















Les tous premiers piges viter dans le Management de la Continuit d'Activit sont :

+ de prtendre couvrir les risques 100% , avec l'espoir d'obtenir des moyens financiers
accrus pour le projet. Cette approche serait irraliste et dcrdibiliserait la dmarche du
Responsable du Plan de Continuit des Activits. Bien que le Plan de continuit ncessite
ltude exhaustive des activits, le primtre retenu et maintenir sera obligatoirement limit.
Cela permet d'tre efficace et d'obtenir les dcisions d'arbitrages ncessaires la mise en
uvre des prconisations rsultant de lanalyse dimpact.



























Dans le cadre du maintien en condition oprationnelle, une fois, la situation stabilise, il faudra
rapidement mettre jour lensemble de la documentation PCA pour prendre en compte les
changements dorganisation gnrs par le retour la normale.
Dcision du retour : elle est prise par la cellule de crise dcisionnelle, aprs consultation de la
cellule de crise oprationnelle. Les critres peuvent varier dune crise lautre et seront donc
dfinis pralablement par la cellule de crise dcisionnelle. Ces critres seront opposables la
pression des managers.
Structure de la reprise des activits : la structure de la reprise des activits devra tre
dfinie par la cellule de crise oprationnelle selon le niveau atteint dans la mise en uvre du
PCA, selon la remise niveau du site nominal et selon une chronologie logique dans les
procdures
Possibilit de retour arrire : il faut prvoir systmatiquement une possibilit de retour
arrire si la reprise des activits sur le site nominal (ou autre site) devait mal se passer
Alerte des tiers : il faut prvoir modalits pour prvenir les clients et/ou partenaires
principaux que les activits ont repris leur cours normal
Gestion du travail en retard : il faut sorganiser pour rattraper lactivit suspendue (priorits
de traitement, recours lintrim) et le prvoir ds le dbut de la mise en uvre du PCA







-6-
Plan de Continuit dActivit
Plan de Continuit dActivit
Prvoir
Prvoir
Elaborer et
Tester le
PCA
Ragir
Ragir
Sinistre
majeur
Sinistre
majeur
Diagnostiquer
et activer le
PCA
Priode de crise
Priode de crise
Grer en mode dgrad
Grer en mode dgrad
Communiquer : contrler la communication interne et externe
Organiser : activer les Plans de Continuit dActivit adapts au sinistre
Grer : grer avec les ressources disponibles et anticiper le retour la normale
Faire vivre
Faire vivre
Maintenir en
condition
oprationnelle
Retourner
la normale
Retourner
la normale
Fin de
crise
Fin de
crise
Plan de Continuit dActivit
Plan de Continuit dActivit
Prvoir
Prvoir
Elaborer et
Tester le
PCA
Prvoir
Prvoir
Elaborer et
Tester le
PCA
Ragir
Ragir
Sinistre
majeur
Sinistre
majeur
Diagnostiquer
et activer le
PCA
Ragir
Ragir
Sinistre
majeur
Sinistre
majeur
Diagnostiquer
et activer le
PCA
Priode de crise
Priode de crise
Grer en mode dgrad
Grer en mode dgrad
Communiquer : contrler la communication interne et externe
Organiser : activer les Plans de Continuit dActivit adapts au sinistre
Grer : grer avec les ressources disponibles et anticiper le retour la normale
Priode de crise
Priode de crise
Grer en mode dgrad
Grer en mode dgrad
Communiquer : contrler la communication interne et externe
Organiser : activer les Plans de Continuit dActivit adapts au sinistre
Grer : grer avec les ressources disponibles et anticiper le retour la normale
Faire vivre
Faire vivre
Maintenir en
condition
oprationnelle
Faire vivre
Faire vivre
Maintenir en
condition
oprationnelle
Retourner
la normale
Retourner
la normale
Fin de
crise
Fin de
crise
Retourner
la normale
Retourner
la normale
Fin de
crise
Fin de
crise

-47-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers





+ d'oublier que les enj eux conomiques sont le critre essentiel dans la dtermination des
activits protger.
Cette seule logique conomique ne doit pas aboutir une sous-estimation des budgets allous aux
solutions de secours : ils doivent tre suffisants pour que les solutions de Continuit d'activit
fonctionnent rellement en cas de sinistre.
Un quilibre est trouver entre le degr de couverture du risque et le risque rsiduel assum.
Un juste niveau dinvestissement en matire de continuit dactivit est trouver au sein de
chaque tablissement.
Dfinitions et dcideurs

Le processus GCA
Ce processus identifie les menaces pesant sur un tablissement et ses entits et doit lui
permettre de survivre en cas d'vnement grave ou de choc extrme.
La Gestion de la Continuit d'activit aboutit la constitution du Plan de Continuit d'Activit, son
entretien et, en cas de sinistre, son activation jusquau retour la normale.

Qui est responsable de la GCA ?
La responsabilit pleine et entire de la GCA se situe au niveau de la Direction Gnrale de
ltablissement car :
- il s'agit de la survie de l'entit en cas d'vnement grave
- il est frquent que le management intermdiaire de ltablissement peroive la GCA comme une
fonction consommatrice de ressources humaines et financires, sans retour sur investissement. Le
processus, par nature transverse, n'aboutira pas sans l'impulsion puis le soutien fort de sa
Direction Gnrale, consciente des intrts majeurs de lentreprise et mme de faire les
arbitrages qui simposent.

Dcisions attendues des Directions Gnrales
- Officialisation de la volont de ltablissement de grer la continuit dactivit et de lancer un projet
de Gestion de la Continuit dActivit puis d'actualiser trs rgulirement le dispositif PCA.
- Nomination, au minimum, d'un responsable PCA et de son supplant, et officialisation auprs de
toutes les directions de leur obligation de contribuer activement la GCA.
- Allouer un budget initial puis annuel ncessaire la construction puis lentretien dun PCA assurant
la survie des activits qui auront t dfinies comme critiques et/ou essentielles.
- Arbitrer les activits couvrir par le PCA et assumer les risques rsiduels identifis.

Retour dexprience :
En l'absence d'une impulsion forte donne au projet par la Direction Gnrale de lentit (lettre de
mission du RPCA diffuse l'ensemble des Directions et de consignes fortes manant de la Direction
Gnrale, prsentation de la mission et des enjeux en sance plnire, ...), faute de moyens allous au
RPCA et aux Directions oprationnelles, le RPCA d'une entit aura des difficults se faire reconnatre,
faire connatre les obligations de gestion de continuit d'activit et obtenir les travaux attendus des
diffrentes Directions oprationnelles et en particulier de la Direction Informatique.

Conseil :
Pour faire adhrer la Direction Gnrale de lentit, il lui faut dmontrer les avantages que lentit peut
tirer dun tel projet et valider les dcisions en terme de matrise du risque oprationnel. Cest ce que
Fiche n12 : Retour la normale ou reconstruction aprs sinistre
Beaucoup de situations peuvent se prsenter aprs un sinistre selon l'tendue de ce dernier :
+ changement dfinitif de site ;
+ arrt d'une ou plusieurs activits dont le redmarrage n'est pas pertinent ;
+ rorganisation en profondeur de structures pour profiter de l'opportunit de
changements.
Toutes les situations ne sont pas aussi extrmes . Cependant, des procdures doivent
permettre dorganiser la reprise des activits en mode normal dans les meilleures conditions.
Cest la cellule de crise ayant gr le sinistre qui pilotera et coordonnera, en liaison avec les
utilisateurs, le plan de retour la normale.
La plupart des documents utiliss pour alerter, dplacer et grer les personnels lors de la
survenance de la crise peuvent galement tre utiliss pour le retour la normale. Ainsi, les
listes de notification restent valables, en fonction de la priorisation effectue du retour des
activits.
Selon le sinistre, les modalits de retour la normale varient :
en fonction du sinistre, il sera fait appel des experts dans les domaines suivants :
travaux, logistique, tlcommunications, informatique. Le site sur lequel est effectu la
reprise pouvant tre diffrent du site initial, il sera peut tre ncessaire dajouter des
procdures demmnagement dun site dans le plan ;
lorsquune ou plusieurs activits sont dplaces, il convient de dvelopper des jalons
clairs permettant den structurer le droulement. Ainsi, si cinq activits vitales ont t
dplaces suite la rupture des systmes dinformation, il napparat pas prudent de les
rintgrer en mme temps : Le systme pourrait connatre une seconde avarie ou des
donnes pourraient tre perdues dans le processus.
Les mtiers seront sollicits pour :
ordonnancer les tches pour redmarrer les activits suspendues. Lordre de reprise des
activits doit tre dfini lorsque ncessaire. Une piste de rflexion pourrait tre de
reprendre sur le site nominal dans lordre inverse des priorits de traitement. Rintgrer
progressivement lactivit du plus simple au plus compliqu, du plus neutre au plus
sensible ;
effectuer des oprations de contrle avant et aprs la reprise de chaque activit
(traitement des doublons, forage de dates de valeurs, dtection doprations non
traites) ;
synchroniser, pour un mme domaine de processus, le redmarrage des activits
interrompues (gnralement non critiques), avec celles maintenues (oprations critiques).
Retours dexprience :
Cette ultime tape, en fin de sinistre, ne doit pas tre nglige ; elle ncessite une
planification et un suivi rigoureux. Il faudra tenir compte de ltat de fracheur des
troupes ; la population en charge du retour la normale tant gnralement la mme que
celle qui a t sollicite pendant la gestion du sinistre. Cela suppose savoir (et pouvoir) rsister
aux pressions des managers qui souhaitent toujours un retour la normale au plus tt.
Conseils :
Les choix faire avant tout retour la normale :
+ Il est plus sage de prolonger de quelques jours, le fonctionnement en mode PCA pour :
faire prendre du repos aux troupes ;
disposer dun planning valid par toutes les parties ;
communiquer les modalits de reprise lensemble des collaborateurs ;
entreprendre les oprations de retour la normale sans stress .
disposer dun planning valid par toutes les parties ;
communiquer les modalits de reprise lensemble des collaborateurs ;
entreprendre les oprations de retour la normale sans stress .
-46-
-7-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
Fiche n 2 : Enjeux de la gestion de la continuit dactivit (GCA)
Des dcisions au plus haut niveau permettent la mise en place dune GCA. Il sagit donc de
convaincre la direction de ltablissement. Les enjeux de la continuit dactivit sont un argument.
Les enjeux peuvent se dcliner en trois volets :

- de business, avec des consquences financires, dimage, juridiques ;
- rglementaire ;
- la rglementation visant limiter le risque de propagation de la crise tout le systme de place.
La GCA : un enjeu de business aux nombreuses ramifications.
Le Plan de Continuit dActivit, composante de la GCA, consiste
recenser les activits dfinies comme essentielles par les lignes mtiers
dfinir les actions entreprendre en cas de sinistre pour permettre aux utilisateurs de
retrouver, sous un dlai satisfaisant, un environnement de travail pour la reprise de leurs
activits
Les objectifs des PCA, qui dcoulent de la GCA, sont, en cas doccurrence dun risque (dfaillance
des processus, des moyens humains, techniques et dvnements externes), dassurer la continuit
des activits essentielles pour rpondre, notamment, aux engagements pris auprs des clients, et
des partenaires et limiter les pertes financires, assurer la survie de lentreprise.

Mais linfluence de la GCA revt de multiples aspects dont voici quelques exemples :

- au niveau des relations avec les fournisseurs [cf fiche n 13] :
Lexternalisation de manire durable et titre habituel des prestations essentielles par les
entreprises assujetties au CRBF 97-02 (arrt du 31 mars 2005)
2
doit contractuellement prvoir
des mcanismes de secours chez le fournisseur. Il y a deux consquences :
ltablissement de crdit doit imposer la mise en place de mcanismes de secours
chez ses fournisseurs ou bien mettre en place un mcanisme de secours visant
pallier la dfaillance ventuelle du fournisseur ;
ltablissement de crdit, lui-mme fournisseur de prestations essentielles auprs
dautres tablissements assujettis au CRBF 97-02, doit satisfaire aux exigences de
ses mandants donc disposer de mcanismes de secours des processus contribuant
rendre le service.

- dans les relations avec les assureurs : en limitant les risques de pertes dexploitation, la GCA peut
contribuer positivement la dfinition des montants de couvertures et labsence dexclusions.

- dans les relations avec les clients : la logique de continuit des services apports la clientle
relve aussi dun devoir dordre citoyen. Lexistence dun PCA est dores et dj un critre de
slection des banques dans les appels doffre mis par les entreprises (conservation de titres, etc).

- dans les relations avec les actionnaires : le rapport prvu par la Loi de Scurit Financire (LSF)
instaure une communication transparente lintention des actionnaires ; lavenir, lexistence ou
non dune GCA convaincante influencera peut tre les analystes.

- en interne, le PCA est une opportunit de rationaliser les processus, les documenter, etc

- enfin, noublions pas la dimension sociale de la GCA. Il sagit dassurer la survie dune entreprise
et donc de sauvegarde des emplois.

- en interne, le PCA est une opportunit de rationaliser les processus, les documenter, etc

- enfin, noublions pas la dimension sociale de la GCA. Il sagit dassurer la survie dune
entreprise et donc de sauvegarde des emplois.

2
Nota : le Comit Consultatif de la Lgislation et de la Rglementation Financires (CCLRF) a remplac le
Comit de la Rglementation Bancaire et Financire (CRBF) et la commission de la rglementation du Conseil
National des Assurances (CNA). Par commodit, nous garderons dans ce document lacronyme CRBF, plus
connu (Cf : La GCA :un enjeu rglementaire).


























Le module (ou les modules) de formation aux PCA devra comporter un volet de sensibilisation
particulier la gestion de crise et lensemble des dispositifs de scurit. Un savoir faire
communiquant danimation et organisationnel fort doit tre galement une composante
importante des modules de formation des correspondants PCA.
Conseil :
Btir une formation adapte au contexte de ltablissement (les formations trop thoriques
ne passent pas). Une formation modulaire est hautement recommande : module thorique de
quelques heures selon le niveau de collaborateurs de PCA vis, puis formation par case
studies adapt aux mtiers, ples et fonctions.

+
Piges viter :
Il ne suffit pas de croire quune formation suffise diffuser la culture PCA : cela doit devenir une
habitude, un rflexe de tous les collaborateurs (chacun leur niveau) au travers des actes de
prvention, des consignes de scurit, etc
Conseil :
Afin de faciliter la reconnaissance de la fonction GCA, il serait intressant dobjectiver tous les
collaborateurs y compris les managers et responsables dquipes, sur la continuit dactivit en
prvoyant une rubrique sur ce sujet au sein des valuations professionnelles (ralisation des
PCA, nombre de tests/an, etc).

-45-
-8-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
Conseil :
Vrifier les contrats dembauche qui spcifieraient une adresse de travail prcise. Lhypothse
dun lieu de travail diffrent du lieu de travail habituel peut tre mentionne dans le contrat
de travail, le rglement intrieur, ... En tout tat de cause un avis d'expert RH (ou juriste
spcialis en droit du travail) est indispensable.
La GCA : un enjeu rglementaire
La mise en uvre de la Gestion de la Continuit dActivit est soumise un ensemble de
rglements, notamment ceux :
+ du comit de Ble (principe n7 des saines pratiques de gestion de risques
oprationnels) pour assurer la continuit de lexploitation et limiter les pertes en cas
dinterruption majeure dactivit ;
+ du CRBF 97-02 modifi le 31 mars 2005, avec lobligation de disposer de PCA
oprationnel ; il dfinit le PCA comme lensemble de mesures visant assurer selon
divers scnarios de crise, y compris des chocs extrmes, le maintien, le cas chant de
faon temporaire selon un mode dgrad, des prestations de services essentielles puis la
reprise planifie des activits .

Les obligations relvent de :
Art. 14 Les entreprises assujetties dterminent le niveau de scurit informatique jug
souhai-table par rapport aux exigences de leurs mtiers. Elles veillent au niveau de scurit
retenu et ce que leurs systmes dinformation soient adapts.
Le contrle des systmes dinformation doit notamment permettre de sassurer que :
- le niveau de scurit des systmes informatiques est priodiquement apprci et que, le cas
chant, les actions correctrices sont entreprises ;
- des procdures de secours informatique sont disponibles afin dassurer la continuit de
lexploitation en cas de difficults graves dans le fonctionnement des systmes informatiques.
Le contrle des systmes dinformation stend la conservation des informations et la
documentation relative aux analyses, la programmation et lexcution des traitements.
Art.14-1 Outre les dispositions prvues larticle 14, les entreprises assujetties doivent :
- disposer de plans de continuit de lactivit ;

- sassurer que leur organisation et la disponibilit de leurs ressources humaines,
immobilires, techniques et financires font lobjet dune apprciation rgulire au regard des
risques lis la continuit de lactivit ;

- sassurer de la cohrence et de lefficacit des plans de continuit de lactivit dans le cadre
dun plan global qui intgre les objectifs dfinis par lorgane excutif et, le cas chant, par
lorgane dlibrant .

Art.39 Lorgane excutif informe rgulirement, au moins une fois par an, lorgane
dlibrant et, le cas chant, le comit daudit des mesures prises pour assurer la continuit
de lactivit et lapprciation porte sur lefficacit des dispositifs en place .

Art.40 Les entreprises assujetties tablissent une documentation qui prcise les moyens
destins assurer le bon fonctionnement du contrle interne, notamment les procdures
relatives la scurit des systmes dinformation et de communication et aux plans de
continuit de lactivit .

Dans ce cadre, il appartient au Secrtariat gnral de la Commission bancaire (SGCB) de
s'assurer que les tablissements de crdit mettent en uvre un dispositif satisfaisant en
matire de plans de continuit. Le SGCB porte une apprciation sur ce dispositif lors de
l'examen du rapport remis annuellement par les tablissements de crdit, sur la base des
articles 42 et 43 du rglement prcit, mais galement l'occasion, le cas chant, de
missions d'enqute sur place.




Il pourra sagir de coordinateurs de lignes de mtiers ou fonctions, puis de correspondants
oprationnels de PCA ou de simple interface PCA.

Piges viter :
Laisser les correspondants PCA seuls : sachant que cette fonction est nouvelle, il serait bon
dorganiser des sminaires avec des moments dchanges entre eux, des retours dexprience,
mais aussi dorganiser des interventions et de consacrer un temps de parole sur le sujet des
PCA lors de runions ou sminaire mtiers.

Conseil :
Jouer latout communication : par exemple, en donnant un maximum de publicit en terme
de communication interne aux tests et leur bon droulement afin de donner du sens et
une concrtisation maximale de la GCA au sein des mtiers de ltablissement bancaire.
Par exemple, raliser un test territoire ou un test processus mtier multi-territoires qui
incitent les entits se benchmarker entre elles en terme de GCA.
Formation de la Communaut PCA de l'tablissement

La communaut PCA, de par sa nouveaut, mais aussi de par son haut niveau dexpertise,
mlange de connaissances techniques, organisationnelles et mtiers, a un fort besoin
dapprofondissement de sa culture. Lobjectif est de construire une filire dexpertise part
entire aux confluents de la gestion des risques, de la conformit et de la prservation concrte
de lactivit. La GCA ne doit plus tre cantonne dans les dpartements de scurit
informatique.

Aprs un premier round dinventaire ou dtat des lieux permettant dvaluer le degr de
maturit des collaborateurs et entits, qui pourra tre ralis par questionnaire et/ou enqutes
par interviews ou audits, les outils participants la construction de la fonction PCA, pourraient
tre :

+ linstallation de rubriques sur la GCA et les PCA au sein de lintranet de
ltablissement en accs public afin dduquer lensemble des collaborateurs de
l'tablissement financier, dune part, au fait quils peuvent tout moment tre acteurs des
PCA, mais aussi lexistence dune filire mtier, ce qui sera bnfique en terme
de recrutement, les PCA ayant besoin de personnel sensibilis aux activits elles mmes,
afin dtre plus oprationnels en terme de continuit ;
la cration dans ltablissement dun intranet ddi : accessible de faon
privative (selon le cas, en mode administrateur ou simple lecteur) pour les
collaborateurs de la filire PCA, le site pourra avoir une fonction informative et mettra
disposition des informations lgales [avec si possible un mode push en cas dinformations
lgales de premire importance], les documents mthodologiques de PCA de
ltablissement (par exemple des trames dclinables par entits), les documents et
prsentations raliss par lentit GCA Groupe, ples et/ou fonctions aux fins de best
practices.
mais aussi donner accs aux logiciels de gestion des PCA et aux outils de reporting aux
fins de consolidation ;

+ la mise en place dun dispositif complet de formation, qui devra autant que possible
reposer sur une action classique de formation de type sminaire pour les correspondants
PCA, voire de stages, mais aussi sur des outils de type e learning pour de
premiers contacts avec le mtier ou lactualisation des connaissances.

-44-
-9-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers

Si l'examen du dispositif de PCA d'un tablissement rvle des insuffisances, le SGCB demande
l'tablissement de mettre en place les mesures correctrices qui s'imposent.

La Commission Bancaire peut prononcer une mise en garde ou une injonction demandant de
corriger ses mthodes de gestion, ou dcider de l'ouverture d'une procdure disciplinaire pour
infraction au rglement (sanctions possibles : avertissement, blme, sanction pcuniaire).

La GCA : un enjeu systmique pour la place en cas de situation extrme
Nous avons vu que la Gestion de la Continuit dActivit vise en premier lieu la survie de
ltablissement. La somme des PCA lmentaires de chaque tablissement apporte un certain
niveau de rsilience la place mais il est de plus en plus considr que cela ne suffit pas.

A cet gard, les travaux du Forum tripartite des autorits de rglementation du march financier
dmontrent lintrt que portent les rgulateurs internationaux la continuit dactivit.
La consultation lance en dcembre 2005 a abouti en 2006, lnonc de limportance dune GCA
efficace, ainsi que de cinq points :
+ dfinition du risque extrme dans laquelle les risques fort impact en matire de
ressources humaines, mme sans impacts physiques sur les infrastructures telles les
pandmies, ont pu tre inclus ;
+ rflexion sur la possibilit dindisponibilit partielle du personnel quand les familles sont
affectes par le mme vnement (exemple des pandmies) ;
+ reconnaissance de la dpendance des tablissements financiers face aux tierces parties
(Energie, Tlcom, ..) ;
+ ncessaire implication du management oprationnel dans ltablissement des objectifs
de reprise dactivit et dune clarification des objectifs de reprise dactivit pour les
marchs critiques ;
+ compte tenu de linterdpendance des autorits financires entre elles, mention de
lintrt de la nomination dun coordinateur afin de faciliter la communication, en cas de
perturbation majeure de lactivit.

En conclusion de cette fiche, nous pouvons dire que les PCA, dont lobjectif est initialement de
garantir la disponibilit des ressources vitales pour viter la rupture de lactivit, prservent des
intrts financiers mais comportent aussi une dimension moins pcuniaire qui stend du rle social
jusqu la prservation de systmes de place interconnects en passant par des rationalisations et
des gains de qualit.
On ne dfinit pas un dispositif de GCA sans avoir ces enjeux lesprit.
Bien exposs, ils favoriseront une adhsion plus franche des dcideurs, ce qui facilitera lallocation
suffisante de ressources llaboration puis lentretien des PCA.














Fiche n 11 : Dveloppement de la culture de la GCA dans
l'tablissement

Le dveloppement dune culture de la ncessit et du sens de la Gestion de la Continuit dActivit
passe par deux grands axes pdagogiques et une ncessaire fluidit de linformation et des changes
entre ces deux axes :

sensibilisation des hommes de business , notamment les managers ;
formation tous niveaux des collaborateurs chargs de la continuit dactivit.

Les collaborateurs en charge des PCA devraient tre rgulirement convis et impliqus dans des
runions mtiers ou lors de sminaires aux fins de sensibilisation.

Formation/sensibilisation de tous les collaborateurs de l'tablissement
La continuit dactivit est le plus souvent perue comme une contrainte uniquement rglementaire.
Pourtant, on ne peut oublier que le rgulateur nintervient que parce quil y a une vrai ncessit pour
la prennit dune entreprise et plus largement dun secteur dactivit. Lanalogie la plus facile est
celle du code de la route. En effet, que penserait-on du conducteur automobile qui nadopterait une
conduite responsable que lorsquil voit luniforme du gendarme ? Il y a fort penser que son
comportement ne sera pas adquat : il nattachera sa ceinture que lorsquil voit le gendarme !
Ainsi, la sensibilisation des tablissements financiers la GCA et la construction de PCA ad hoc
relve dun travail de construction mthodique et systmatique qui doit dpasser les seuls
collaborateurs en charge des PCA et de la GCA et notamment, impliquer les managers qui portent le
cot de ces plans qui ont pour objectif la prservation de leur activit.

Tous les niveaux dun tablissement ont une responsabilit sur la qualit du dispositif de continuit,
notamment :

la direction Gnrale de lentit quand elle valide une stratgie continuit dactivit, quantifie
en terme de moyens et dorganisation ;
les responsables de ligne de mtiers ou de fonction, quand ils dcident notamment dallouer
ou non sur leur budget des moyens aux PCA ;
les collaborateurs, quand dans leur quotidien, ils adoptent des comportements continuit
dactivit tels que le partage, la sauvegarde, la documentation dinformations relatives
leur activit au quotidien.
A tous ces niveaux, des actions de sensibilisation doivent tre entreprises, afin de faire comprendre
que la continuit dactivit, nest pas quun investissement fond perdu mais peut galement
apporter des avantages. Ces actions devant tre cibles par rapport aux enjeux propres chacun
deux.
Ainsi, la Direction Gnrale de lentit sera sensible aux ventuelles amliorations de rating pouvant
tre gnres par lexcellence du dispositif continuit dactivit. Elle pourra tre galement sensible
aux ventuelles rductions dimmobilisation de capital conomique, ou de primes dassurance.
Une ligne de mtiers, sera sensible lavantage concurrentiel que peut prsenter un bon dispositif de
continuit dactivit vis--vis de sa clientle. Toutes les rductions de cots (assurances, capital
conomique) pouvant galement amliorer son PNB seront de nature favoriser des choix de
continuit dactivit bass sur laspect oprationnel et non plus sur le cot.

La diffusion de la culture PCA au sein du corps social commence par la publication de chartes
nonciatrices des principes rglementaires et organisationnels de la GCA, mais aussi des dcisions
constitutives des filires de GCA, du cadre des plans daction mettre en uvre et des rgles de
reporting minimaux.

Le dveloppement dune culture de GCA suppose au pralable lidentification des diffrents acteurs
des PCA, qui seront auprs des managers, destinataires de communication, dinformation ou de
formation selon le cas en matire de PCA.
-43-





Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers



Sinistre ple immobilier n2
N
Commentaire n4
Sinistre ple immobilier n3

Commentaire n5
Plan de secours informatique activit n1

Commentaire n6
Plan de secours informatique activit n2


N
Commentaire n7
Pandmie grippale


7
Commentaire n8
Crue centennale
7
Commentaire n9

Un zoom pourra tre ralis thme par thme pour montrer o rsident les difficults.
Lobjectif sera de faire prendre les dcisions (investissements, injonctions, reports) en
pleine connaissance de causes par les dirigeants pour que les engagements soient tenus.
Afficher un tat des lieux en comparant lavancement des diverses entits permettra
chaque responsable de ces entits de se situer par rapport ses collgues et engendrera
une mulation entre entits (directions, filiales).

Thme n1 Situation Tendance Commentaire
Direction n1

Commentaire n1
Direction n2
N
Commentaire n2
Direction n3
7
Commentaire n3
Direction n4
N
Commentaire n4
Filiales
7
Commentaire n5












Fiche n 3 : Stratgie de la Continuit dActivit

Nous avons vu les enjeux. Il sagit ensuite de construire les Plans de Continuit des Activits puis
de savoir grer la crise, le moment venu. Chacun de ces deux points na de sens quen prsence de
lautre.
Cette fiche expose donc une stratgie globale du dispositif de Continuit dActivit.


La politique
Dans le cadre de sa mission, le RPCA propose une politique gnrale valide par la Direction
Gnrale de lentit, et qui comprend :

les scnarios couvrir en priorit, noncs en termes simples ;
puis les activits critiques maintenir en cas de sinistre majeur ;
le dispositif de gestion de crise ;
les normes respecter sur les moyens, les infrastructures, lanticipation des risques en
matire de continuit dactivit.

Lorganisation
Une organisation spcifique est charge de piloter, dcliner de manire oprationnelle et contrler
la mise en uvre de cette Politique gnrale.
Les principes proposs pour structurer cette organisation sont les suivants :

la fonction PCA de ltablissement est anime et coordonne par un Responsable du Plan
de Continuit dActivit (RPCA) nomm par la Direction Gnrale de lentit ;
une fonction de suivi et de coordination du PCA est mettre en place.
Autres acteurs :

les responsables Scurit de ltablissement (couvrant les domaines informatique,
logistique, sret,.) ;
les managers mtiers ou pilotes de processus mtiers qui ont une bonne vision de
bout en bout de leurs processus mtiers ;
les matrises douvrage et les Correspondants PCA (CPCA) au sein des ples, mtiers et
fonctions ;
les matrises duvre (informatique, logistique).

Un processus budgtaire
Lorsque les principes budgtaires sont dfinis, il sagit de mettre en place un processus de
consolidation des budgets, afin dtablir un reporting global et de vrifier la cohrence des budgets
des diffrentes entits entre eux.
Les premiers budgets viseront financer les tudes. De ces tudes dcouleront des besoins en
ressources techniques et immobilires notamment en matire de repli et d'quipement. Les annes
suivantes apparatront des budgets de maintien en condition oprationnelle.
Retour dexprience :
Lorsque la Direction en charge de la modlisation des processus mtiers na pas les ressources
ncessaires, lanalyse du PCA par processus mtiers devient difficile, incomplte. Il faut que les
Directions aient une approche budgtaire homogne avec lappui du RPCA pour assurer une
cohrence des moyens allous.
-42-
-11-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers

Fiche n4 : Mise en place de Cellules de Crise

Gestion de crise
Il est indispensable pour tout tablissement bancaire de disposer minima dune Cellule de Crise
Dcisionnelle et au mieux, dun ensemble de Cellules de Crise Oprationnelles chanes entre elles.
Un PCA sans un dispositif de gestion de Crise est un gchis. Si ce dispositif nexiste pas,
le Responsable PCA doit veiller le faire crer avant les premiers tests.
C'est le dispositif clef pour, le cas chant, dclencher le PCA et piloter la crise.
Principe:
Selon la taille et lorganisation de ltablissement, des procdures descalade peuvent tre mises en
uvre diffrents niveaux, relayes par des cellules de crise oprationnelles dont il convient de
fixer la composition, les missions, les conditions dintervention et les champs daction respectifs.

La situation durgence doit tre gre au plus prs possible du terrain.
Dans tous les cas, la Cellule de Crise Dcisionnelle (Cf : typologie des cellules de crises) coiffe
et pilote le dispositif de crise de l'tablissement.
Pige viter :
Dcrire un dispositif spcifique.
Le dispositif crise PCA doit sintgrer dans le dispositif gnral de gestion de crise de
ltablissement. Celui-ci rsulte dune rflexion globale sur lorganisation de crise tous les niveaux
de ltablissement.

Conseil :
Etablir au pralable un recensement des cas dactivation de la cellule de crise, et pour chaque cas
dcrire la composition de la cellule de crise (en terme de fonctions). Cest une aide prcieuse pour
les cadres de permanence (nuit, week-end, ).

Documentation de crise

Un document dorganisation de la cellule de crise, dcrivant, la structure de la cellule de
crise, ses rgles de fonctionnement, sa composition, les cas dalertes et dactivation de la
cellule, les moyens, ).

La gestion de crise varie selon les tablissements. Lorganisation dcrite ci-dessous est un modle
parmi dautres et peut tre dcline selon des variantes adaptes chaque cas.
Principes
Cellules de crise : Suivant la taille et lorganisation des mtiers au sein dune entit, des
procdures descalade sont mises en uvre par diffrents niveaux de cellules de crise dont il
convient de fixer les missions, la composition, les conditions dintervention et les champs daction
respectifs. La situation durgence est prise en main au plus prs possible du terrain.
Dans tous les cas, la cellule de crise Dcisionnelle (niveau Direction Gnrale de lentit) de lentit
coiffe et pilote le dispositif de crise de lentit.
Rle dune cellule de crise

Une cellule de crise assure 3 fonctions :

stratgique / dcisionnelle ;
communication / change avec les autres acteurs ;
suivi / animation du plan daction sur le terrain.
un projet spcifique (crue centennale, pandmie grippale) ;

+ en phase de maintien en condition oprationnelle : ce stade, le PCA existe. Il faut
lentretenir et le tester rgulirement. On en suivra donc rgulirement (mensuellement,
trimestriellement), thme par thme, sa non rgression au sein de chaque entit. Chaque
action ralise ou non (rvision, mise jour, activation ou test, transformation) sera prise
en compte dans son valuation.

Procdures/dispositifs gestion de
crise

Direction
n1
100
Direction
n2
80
Direction
n3
90
Direction
n4
70
Direction
n5
100
Direction
n6
20
Direction
n7
100
Direction
n8
50
Direction
n9
100

Filiale n1 0
Filiale n2 10
Filiale n3 0
Tableaux de bord de niveau dcisionnel
Lobjectif est de rendre compte de ltat du PCA au plus haut niveau (Direction Gnrale
de lentit). Le tableau de bord permettra de montrer la conformit ou les difficults
rencontres par rapport aux objectifs viss. ce stade, on affichera des tendances par grands
thmes ; on cherchera restituer une vision synthtique.

Thme Sit
uation
Tend
ance
Commentaire
Cellules de crise
7
Commentaire n1
Plans de contournement mtiers

Commentaire n2
Sinistre ple immobilier n1
N
Commentaire n3
-12-
-41-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
Fiche n 10 : Suivi de lavancement

Pour suivre lavancement du projet PCA dans un tablissement, il est ncessaire de mettre en place
un systme de suivi rgulier (mensuel, trimestriel). Des tableaux de bord faciliteront la lisibilit
de la gestion de la continuit dactivit et du PCA tant au niveau oprationnel quau niveau
dcisionnel (vision globale).


Tableaux de bord de niveau oprationnel

Soit le PCA est en phase de construction, soit il existe et il faut le maintenir en condition
oprationnelle (MCO).

+ en phase de construction : ce stade, le PCA dun tablissement doit tre pilot comme un
projet traditionnel. On en suivra donc, thme par thme, chacune des phases :

dmarrage ou lancement ;
tude pralable ou collecte des besoins ;
ralisation ou mise en uvre ;
recette ou validation utilisateurs ;
passage en mode MCO.

Exemple : thme n1 : procdures et dispositifs de gestion de crise

Procdures/dispositifs gestion de crise

Lancement
ou
dmarrage
tude
pralable ou
collecte des
besoins
ralisation ou
mise en
oeuvre
recette
utilisateur
dernier test
effectu
maintien en
condition
oprationnelle
Direction n1 100 100 100 100 07/10/05 100
Direction n2 100 100 100 100 100
Direction n3 100 100 100 100 07/12/05 100
Direction n4 100 100 100 25
Direction n5 100 100 100 100 05/10/05 100
Direction n6 100 100 80 0
Direction n7 100 100 100 100 100
Direction n8 100 50 0
Direction n9 100 100 100 100 23/11/05 100

Filiale n1 100 10 0
Filiale n2 100 25 0
Filiale n3 100 70 40 0

Conforme la norme (%) >75 <25 Dmarrage de l'action (%)
Proche de la norme (%) <75 0 Non encore engag (%)
Non applicable


Suivant les situations, chacune de ces fonctions est plus ou moins dveloppe.
Lactivation dune cellule de crise sinscrit dans un processus descalade qui doit prciser les rles
attendus de cette cellule suivant la position quelle occupe au sein de ce processus.

En rgle gnrale, les rles et obligations dune cellule de crise consistent :

se runir, dans le dlai fix, la demande du Pilote ou de son supplant ;
prendre connaissance de la situation et tablir un diagnostic ;
informer le niveau suprieur du processus descalade, ou plus gnralement se conformer
ce que prvoit le processus ;
confirmer, dans un laps de temps prdfini, avoir la capacit pour agir, ou dans le cas
contraire, passer la main au niveau suprieur quand celui-ci existe ;
se mettre en relation, dans le cas dun sinistre transverse, avec le coordinateur et mettre
en uvre les actions relevant de son domaine ;
activer les moyens matriel et humain ncessaires la gestion de la crise en fonction des
solutions de contournement existantes ;
initier la communication de crise conformment aux dispositions du Plan de Communication
piloter et coordonner ces moyens pendant toute la dure de la crise, y compris le retour
la normale qui doit tre prononc ;
maintenir un niveau dinformation des niveaux suprieurs tout au long du sinistre ;
tablir un bilan de gestion de crise et en assurer la diffusion et la conservation suivant les
modalits dfinies.

Typologie des cellules de crise
La Cellule de Crise Dcisionnelle (CCD) est compose :

dun noyau dur sous la responsabilit de son pilote. Ce noyau dur est aussi appel
intervenir dans les sinistres de niveau 2 (confer ci-dessous) ;
de membres associs (confer ci-dessus) reprsentant les diffrents domaines :
responsables dunits ou dactivits, ou experts, ils forment la cellule de crise autour de son
noyau dur la demande de celui-ci, en fonction de la nature et de lampleur du sinistre.

Chaque membre associ potentiel est reprsent par un titulaire et au moins un supplant. Ils
sorganisent pour quau moins un des membres soit joignable tout moment, puisse participer
sans dlai une audioconfrence, et puisse regagner le local de crise en moins dune heure.

Cette Cellule de Crise :

est lorgane central du dclenchement du Plan de Continuit dActivit (PCA) et de
lorganisation de gestion de crise ;
regroupe lensemble des personnes ayant comptence prendre les dcisions qui
simposent dans le contexte de crise.
Rappelons que le dclenchement dun PCA est source de cot et fait basculer lentreprise dans un
mode de fonctionnement dgrad. La dcision relve donc du plus haut niveau.
La Cellule de Crise Oprationnelle (CCO) est galement compose dun noyau dur sous la
responsabilit de son pilote. Selon lorganisation, il peut y avoir autant de CCO que de Directions
ou dunits de rattachement aux activits.
Son rle en priode de crise est :

de prendre les dcisions qui s'imposent en s'appuyant sur des procdures de remontes
d'alerte (dcisions limites au primtre fonctionnel ou oprationnel de la Cellule). Ainsi,
elle ne dcide pas du repli des collaborateurs, cette dcision est du ressort de la CDD ;
dtre le relais privilgi entre la CCD et lorganisation concerne : remonter les
informations, recevoir les instructions, les diffuser et veiller leur mise en application ;
-40-
-13-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
de grer la communication et la logistique, conformment aux recommandations de la CCD,
non seulement vis vis des personnels mais encore vis vis des prestataires, clients,
fournisseurs spcifiques au primtre de cette cellule ;
de remettre la CCD lissue de la crise, un bilan de la crise pour son primtre.
Pour l'tablissement , trois niveaux dalerte peuvent tre prvus et dclins dans les entits :

Niveau 1 - : sinistre limit un primtre restreint et bien circonscrit. Des consignes appropries
existent ou lunit est en mesure den adopter rapidement :
Pas dintervention de la Cellule de crise de niveau tablissement ;

Niveau 2 - : sinistre affectant srieusement une ou plusieurs entits mais ne paralysant pas le
fonctionnement global de l'tablissement. Il existe des dispositifs contournement pour y faire face.
Sil sagit dun sinistre transverse, une coordination est constitue :
La crise est gre par les units oprationnelles ;
Le noyau dur de la Cellule de crise de niveau tablissement est alert et pilote la communication ;

Niveau 3 - : la crise est prise en main par la Cellule de crise de niveau tablissement lorsque le
sinistre affecte gravement plusieurs units, et un risque de blocage majeur existe. Aucun dispositif
prdfini nest applicable en ltat : il faut ladapter la situation.
Des exemples de sinistre de niveau 3 sont prsents ci-dessous :
- Accident ou acte de terrorisme collectif faisant de nombreuses victimes ;
- Arrt durable de la production informatique sur un incident bloquant, ou un sinistre tendu sur le
site abritant la production informatique ;
- Panne durable des rseaux informatiques de tlcommunications ;
- Destruction dun immeuble important (du fait de la complexit de la rinstallation de nombreux
postes de travail et des budgets engager) ;
- Catastrophe naturelle de grande ampleur, gnrant des perturbations importantes dans les
transports, la distribution dnergie, les rseaux informatiques, les tlcoms ;
- Conflit social externe de grande ampleur entranant des blocages (Transports) et/ou affectant
des activits trs intgres (transporteurs de fonds, services postaux...).


Communication de crise

Une communication adapte et transparente permet de rassurer et dinformer le personnel, de
prserver la confiance des clients, du public et des partenaires professionnels. Cette confiance
peut tre mise en cause lapparition dune crise sil y a absence dun plan de communication
efficace.
En priode de crise, il est difficile, voire impossible dimproviser totalement une communication
efficace du fait de la situation durgence dans laquelle on se trouve. La dfinition au pralable
dun Plan de Communication, aussi bien interne quexterne, est essentielle et doit faire partie
intgrante du PCA de chaque tablissement.
Pour que cette communication puisse avoir lieu, le PCA ne doit pas omettre le secours des
moyens de communication existants (site web institutionnel) et la mise en uvre doutils
spcifiques (appels tlphoniques automatiss) qui permettront de conserver le contact avec les
collaborateurs et les tiers.
Plan de communication de crise : associ aux procdures descalade, il prcise, par rapport
des cibles dfinies pralablement, les metteurs, le processus de validation des messages, et les
modalits pratiques. Ce plan englobe la communication institutionnelle, externe et interne; le
responsable Communication de l'tablissement doit tre sollicit pour participer son laboration.
En cas d'alerte de niveaux 2 ou 3, la communication de crise est du ressort de la Cellule de crise
de niveau tablissement, qui en labore la stratgie (conjointement avec la CCO en charge du
sinistre) et pilote sa mise en uvre en liaison avec les responsables chargs de la Communication.

Conseil :
Le volet PCA doit tre un lment obligatoire pour tout nouveau projet (le PCA a-t-il t prvu ?
est-il conforme ? etc ). Il faut donc prvoir des structures de validation qui ne permettent pas
linitialisation de la ralisation dun projet sans laval du RPCA sur la prise en compte de la
dimension continuit dactivit.
Retours dexprience :

Rorganisations (clatement ou regroupement de directions, fusions, acquisitions) :
+ la redistribution des activits ncessite de reprendre le PCA des entits touches en mode
projet. Si le caractre essentiel des activits redistribues na pas lieu dtre remis en cause,
par contre le changement dorganisation peut engendrer des modifications : les secours de ces
activits essentielles ne se feront peut tre pas dans les conditions de la prcdente
organisation (dmnagement, accords bilatraux remis en cause, mutualisation de moyens ou
de ressources) ;
+ les cellules de crises, elles-mmes risquent dtre impactes. Les rles, les participants peuvent
tre redistribus ;
+ un tat des lieux devra ncessairement tre fait. Cela sera peut tre loccasion dune remise
plat pour les entits impliques ;
+ en cas de fusion ou acquisition, il faudra faire un bilan de lexistant des PCA des entreprises
impliques. L encore, cest un vritable projet quil sera ncessaire de mettre en place. Il
faudra reconsidrer les axes stratgiques et donc les objectifs atteindre tout en prenant en
compte la situation de chacun des nouveaux partenaires. Les stratgies de tests, notamment
dans le cadre des PSI, pourront se rvler diffrentes (tests blanc , en rel ,
simulations de la production avec ou sans participation des utilisateurs, interruption ou non de
la production relle). Des mcanismes darbitrages seront mettre en place (par exemple :
constitution de points dtapes intermdiaires) pour adapter les objectifs la stratgie de
ltablissement.
Leons de lexprience sur la gestion de crise :
Aprs toute crise, le RPCA et les entits concernes analysent la gestion de la crise. Ils en tirent les
enseignements pour faire voluer le(s) PCA(s) ou plus globalement la gestion de la continuit
dactivit le cas chant.
Ces volutions sont bien entendu soumises arbitrage du RPCA en cas de conflits dobjectifs ou de
planning de mise en oeuvre.







-14-

-39-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
Conseil :
Plus les conditions de tests sont dcrites finement avant le test ou lexercice, plus le compte-rendu
sera facile rdiger, et plus les enseignements tirer seront clairs et simples identifier.
Pige viter :
Il est ncessaire dvaluer les risques dune mutualisation de moyens. Faire appel pour des raisons
conomiques une socit qui regroupe les moyens pour plusieurs entreprises peut engendrer en
cas de sinistre caractre gnral (chocs extrmes de type crue centennale de la Seine,
attentats) des situations d'incapacit assurer le service, si le taux de mutualisation est trop fort.
Il est donc bon denvisager des solutions palliatives en interne ou bien obtenir une garantie
contractuelle dun nombre minimal de positions, y compris en cas de mutualisation maximale .

Ractualiser : un impratif
Une grande partie des lments d'un PCA est rapidement obsolte, une ractualisation
priodique de ses lments est indispensable.
Conseils :
+ Une ractualisation priodique de ces lments est indispensable. Il faut dailleurs prendre
en compte cette contrainte pendant la conduite du projet.
Pour cela, ds la conception dun projet mtier, il faut intgrer cette obligation de ractualisation
dans larchitecture et lorganisation qui seront dfinies.
Evolutions et ractualisations
La connaissance des volutions est structurante pour le reporting vers la Commission Bancaire et
doit donc tre au plus prs de la ralit.
Pour cela :

le RPCA participe la revue des processus mtiers de la Direction de lorganisation (ou
toute autre appellation), afin davoir connaissance de lvolution (modification / cration /
suppression) dun processus ou dune procdure pouvant impacter le PCA ;
De mme, toute volution de structure, tout changement dorganisation sur un site, voire
tout changement de site, fait lobjet dune information auprs du RPCA ;
En retour, le RPCA produit des recommandations destination des Directions
oprationnelles sur les volutions apporter aux PCA afin de conserver un niveau de
fiabilit correct .


Objectifs du Plan de Communication :
permettre de grer la communication de crise interne et/ou externe au nom de
ltablissement et en support des activits sinistres (communication institutionnelle,
commerciale et oprationnelle, interne ou externe) ;
porter essentiellement sur les moyens humains mobiliser et les moyens techniques
prvoir (outils, procdures, etc...) pour communiquer en priode de crise ;
organiser la communication de crise ;
coordonner, vrifier la ralisation et lhomognit de la communication effectue dans
le cadre dun processus contrl : chaque service oprationnel doit rdiger son propre
plan de communication oprationnelle et commerciale ;
intgrer les relations avec la Presse.
Llaboration du Plan de Communication de Crise sappuie sur une analyse pralable des
besoins et ncessite :

didentifier les cibles de communication qui doivent figurer dans les listes de contacts
dfinies :
interne et Sociale : les collaborateurs, les instances reprsentatives (CE, CHSCT) ;
les clients internes et externes, les fournisseurs ;
Partenaires : fournisseurs spcifiques, URSAFF, administration des Impts, la
Profession ;
Mdias : la Presse.
Pour chacune de ces cibles :

o tablir un cahier des charges : messages raliser, outils utiliser ;
o tablir un plan dactions dtaill ;
o mettre disposition les supports de communication et en garantir
laccessibilit aux points de contact ;
o dfinir les messages types ainsi que leurs moyens de diffusion ;
o dfinir les moyens mettre en uvre ainsi que leur valuation financire ;
o dfinir les procdures respecter.

Il convient de dfinir les types de messages utilisables en fonction de la cible et de la phase de
la crise.

en interne, de responsabiliser et solidariser tous les acteurs en leur donnant toutes les
informations disponibles et vrifies sur la situation et d'viter de ce fait toute initiative
inapproprie ;

en externe, d'avertir avec clart les clients, partenaires, et autorits de tutelle des
problmes rencontrs et de l'incidence ventuelle qu'ils peuvent avoir sur les produits et
services que lentit sinistre dlivre habituellement. Le message doit bien entendu
insister sur les moyens qui sont mis en uvre pour assurer un prompt retour la
normale et sur le plan de continuit que l'tat major a dclench pour matriser la
situation.

Alerte / Activation de la cellule

Dclaration de la crise :

validation de linformation : constat de la crise ;
valuation initiale de la gravit et du potentiel damplification : identification des
entits/activits/processus mtiers susceptibles dtre perturbs.

Activation de la cellule de crise Direction Gnrale de lEntit :

alerte du pilote de la cellule de crise Direction Gnrale de lentit ;
initiation de la communication de crise adapte conformment au Plan de Communication
de lentit ;
mobilisation de la cellule de crise Direction Gnrale de lEntit ;

I
V


R
E
S
U
L
T
A
T
S

O
B
T
E
N
U
S



V


A
N
A
L
Y
S
E

d
e
s

E
C
A
R
T
S

Actions envisageables :
-15-
-38-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
information du pilote de la cellule de crise de rang suprieur pour une prise en main de la
crise.
Gestion et suivi de la crise - Actions pilotes par la cellule de crise en charge, en liaison avec les
spcialistes dsigns et antrieurement identifis :

prise en charge des victimes ventuelles, ainsi que des personnes ou partenaires ayant
subi des dommages du fait du sinistre ;
tablissement dun diagnostic : tendue de la crise, causes, consquences, scnarios
dvolution, prvisions de retour la normale ;
contexte rglementaire, juridique, fiscal, assurances ;
suivi de la bonne excution du plan dvacuation du personnel dans le cas dun sinistre de
site (application des consignes de rassemblement, des procdures de communication pour
permettre aux salaris de se tenir informs des volutions et des consignes appliquer) ;
dcision et suivi du dploiement des dispositifs de contournement ou de rduction
dimpact ;
communication de crise.

Retour la normale - Actions pilotes par la cellule de crise en charge, en liaison avec les
spcialistes dsigns :

dcision et pilotage du retour la normale ;
tablissement du bilan du sinistre.

Des procdures oprationnelles connues de tous (procdures de suivi pendant les
permanences, les modalits de dclenchement et de rception de lalerte, dactivation de
la cellule, de fonctionnement de la cellule avec le suivi formel des dcisions y compris de
la clture de la crise)

A titre dexemple, il faut des procdures dcrivant la tenue de la main courante (n dvnement,
date et heure de lvnement, commentaires, actions mener, par qui, date et heure de fin
imprative, date et heure de fin relle, ).
De mme, les procdures danalyse des faits susceptibles de dclencher la crise doivent tre
dcrites pour les personnels dastreinte (date de lappel, qui, motif, premier aperu des prjudices,
actions dj mises en uvre).

Un livret de crise

Ce livret sera dlivr tous les intervenants potentiels en cellule de crise.
Retour dexprience :













Fiche n 9 : Maintien en Condition Oprationnelle

Tests
Le RPCA de ltablissement dfinit en collaboration avec les entits oprationnelles un planning
pluriannuel de tests. Les entits doivent livrer au RPCA les comptes-rendus (avec plans de tests,
cas de tests retenus, jeux dessais), et le planning de mise en uvre du plan daction de correction
des drives.
Les tests peuvent tre orients de faon technique et/ou fonctionnelle selon les besoins.
Les entits doivent galement tre en mesure de rpondre une demande de tests impromptus
faite par le RPCA.

Retour dexprience :
Exemple de fiches pour les tests/exercices
Fiche de scnario

Intitul du scnario : ..


Processus/Procdure / Fonction Teste
......
Batch O TP O
Autre O A prciser : ..
I


D
E
S
C
R
I
P
T
I
O
N

d
u

S
C
E
N
A
R
I
O

Objectif du scnario (rsultat attendu)

..

..



Sites impacts : ..
..
..
..

I
I


S
I
T
E
S


Jeu d'essais : OUI O NON O
Nom du jeu d'essais :
.
Paramtre valoriser : OUI O NON O



I
I
I
-
C
O
N
D
I
T
I
O
N
S

d
'
E
X
E
C
U
T
I
O
N







-16-
-37-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers

Les Procdures de Retour la Normale
Ces procdures doivent permettre de reprendre les activits. (Cf fiche Retour la normale )

Prsentation des conclusions
Les solutions de plans de continuit de ltablissement sont prsentes par le RPCA dans linstance
charge du suivi et de la coordination des actions en matire de PCA qui les valide aprs stre
assur de sa cohrence globale et de sa compltude.

Les Prestations Externalises

Les prestations externalises essentielles ltablissement sont prendre en compte (Cf fiche
Prestations externalises

La mise en uvre du PCA
Ralisation
La solution (ou les composantes de la solution) ayant t choisie (s), le macro planning valid et
les budgets affects, les actions retenues sont alors mises en uvre.
Lavancement fait lobjet dun reporting rgulier au RPCA dans le cadre du projet (voir chapitre
reporting et note dorganisation du projet).
Pige viter :
Il ne faut pas que dans cette phase la vigilance du RPCA se relche ; en effet les Directions
Oprationnelles peuvent tre tentes de laisser draper le projet PCA, sous la pression des
vnements et du quotidien.


CELLULE DE CRISE Institution
Noyau dur de la CC de lInstitution :
Pilote : un membre du Comit excutif
Communication : P. Nnnnnnnn
Secrtariat de crise : P. Nnnnnnnn
Marchs : P. Nnnnnnnn
Membres associs titulaires, dsigns par le
pilote selon la nature et lampleur de la crise
Direction 1 : P. Nnnnnnnn
Direction 2 : P. Nnnnnnnn Rseaux
RH : P. Nnnnnnnn
Informatique : P. Nnnnnnn
B. Office : P. Nnnnnnnn
MOA : P. Nnnnnnnn Oprateurs
Imm./Log. : P. Nnnnnnnn
Direction 3 : P. Nnnnnnnn
Direction 4 : P. Nnnnnnnn
Direction 5 : P. Nnnnnnnn
Direction 6 : P. Nnnnnnnn
Direction 7 : P. Nnnnnnnn Experts
Direction 8 : P. Nnnnnnnn
Aff. J uridique : P. Nnnnnn
Achats : P. Nnnnnnnn
Scurit : P. Nnnnnnnn
Cont. Priod. : P. Nnnnnn
Cont. Perm. : P. Nnnnnnn
Dontologie : P. Nnnnnnn

Cellule de Crise de
LInstitution

LIVRET DE CRISE
J J mmmmm AAAA

A conserver avec lannuaire de poche
Se reporter au guide pour plus d'information
Recommandation : Afin dtre ractif tout moment,
votre tlphone portable doit tre branch 24h/24 et
7j/7 quand vous tes dastreinte.
La cellule de crise de lInstitution intervient
dans les sinistres de niveaux d'alerte 2 et 3
Niveau 2 : Le sinistre affecte srieusement une ou
plusieurs units mais ne paralyse pas le
fonctionnement global de lInstitution. Il existe un ou
des PCS (Plan de Contournement de Sinistre) pour y
faire face. Sil sagit dun sinistre transverse, une
coordination est constitue .
La crise est gre par les units
Le noyau dur de la Cellule de Crise de
lInstitution est alert et pilote la
communication
Niveau 3 : Le sinistre affecte gravement plusieurs
units, et un risque de blocage gnral existe. Aucun
PCS prdfini nest applicable en ltat : il faut
laborer une solution.
La crise est prise en main par la Cellule de
Crise de lInstitution
QUE FAIRE EN CAS D ALERTE ?

1) Vous tes membre associ

vous avez t convoqu par le pilote ou un
membre du noyau dur de la Cellule de Crise
de lInstitution :
cf. n de tlconfrence et lieu de runion
vous recueillez les infos qui vous auront t
demandes et vous vous rendez au lieu de
runion prvu ci-contre.
vous vous mettez la disposition du pilote
qui va organiser les sances et rpartir les
rles.
Cf. guide pour plus de dtails

2) Vous tes membre du noyau dur

Alerte niveau 2

Assurez-vous de la ralit de la crise
Contactez les autres membres du noyau dur
Contactez la cellule de crise unit en charge
Initiez le plan de communication
Organisez les points dinformations
Cf. guide pour la suite des actions

Alerte niveau 3

Assurez-vous de la ralit de la crise
Contactez les autres membres du noyau dur
Contactez lunit qui a donn lalerte
Initiez le plan de communication
Composez la cellule de crise de lInstitution
Informez les membres retenus de la
situation (cf. tlconfrence)
Convoquez la cellule de crise
Assurez-vous de la prise en charge des
ventuelles victimes
Cf. guide pour la suite des actions

INFORMATIONS UTILES
Tlconfrence :
Participants : 33 (0) Z AB PQ MC DU
Organisateur : code dbut *nnnn#
code fin *n#
Salles de runion :
Salle ssssss / Niveau n
nn rue rrrrrrrrrrr 75nnn Paris
Tl. : 01 nn nn nn nn
Si accs impossible, se runir :
Entit salle sssssss / Niveau n
nn rue rrrrrrrrrrr 75nnn Paris

Tlsurveillance : 08 AB PQ MC DU




-36-
-17-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
Fiche n5 : Politique Gnrale de GCA
Les fondamentaux
Dans le cadre de sa mission, le Responsable PCA, propose une politique gnrale qui doit tre
valide par la Direction Gnrale de lentit et qui comprend notamment :

La liste des scnarios couvrir ;
Les activits critiques maintenir en cas de sinistre majeur ;

Ces principes simposent lensemble des entits composant l'tablissement.

Objectif de la Politique Gnrale de Continuit dActivit
La Politique Gnrale de Continuit de lActivit (PGCA) a pour objectif de fournir un cadre de
rfrence et de cohrence. Elle dfinit lorganisation et les responsabilits en matire de CA, ainsi
que les principes et rgles minimales respecter au sein de ltablissement bancaire.
Les lments de la politique en matire de Plans de Continuit dActivit dun tablissement
doivent instaurer :
1. limplication de la Direction gnrale de lentit qui aura valid au pralable les scnarios et
entrinera ou arbitrera les moyens ncessaires, le moment venu, au traitement des scnarios ;
2. le respect de la rglementation en vigueur dfinie par le Comit de la Rglementation Bancaire
et Financire (CRBF) ;
3. la pleine responsabilit de chaque entit de la dfinition et de la mise au point des solutions ;
4. un processus budgtaire pour, dans un premier temps, ltude puis la mise en place
oprationnelle des PCA puis leur maintien en condition oprationnelle ;
5. une dfinition des besoins par analyse des processus Mtiers et dventuels facteurs
transverses :
+ Transversalit interne lentit ;
+ Transversalit relative aux autres entits de l'tablissement ;
+ Prise en compte des expositions particulires des entits ;
+ Existence de prestations essentielles reues ou fournies ;
6. la mise en uvre dun dispositif de gestion de crises au niveau de chaque entit ;
7. le maintien en tat oprationnel permanent.
8. les normes auxquelles toutes les entits de l'tablissement devront se conformer.
,
Retour dexprience :
La question du secours des centres informatiques est pineuse. Lloignement recommand des
sites principaux et de secours doit tre dfini pour que le site de secours ne dpende pas des
mmes infrastructures que le site principal (transport, moyens de tlcommunications, lectricit,
eau) et ne soit pas affect par lvacuation massive ou linaccessibilit du personnel du site
principal. Ltablissement financier doit se donner des objectifs de dlai de redmarrage et de
fracheur des donnes la reprise des activits. Selon ces deux paramtres, simposeront des
combinaisons entre technologies et distances inter-sites.

Piges viter :
Ne pas faire suffisamment adhrer les pilotes de processus mtiers et les Directeurs dentits,
et ne pas faire de publicit, de communication sur cette politique gnrale (voir fiche
lOrganisation, Principes dorganisation de la GCA), peut tre un facteur dchec mme si la
Direction Gnrale de lentit est fortement implique. Il faut donc beaucoup communiquer sur les
enjeux et opportunits offertes par la mise en place du PCA (qualit, gain en efficacit du
processus, ).
A partir des exigences de continuit de ltablissement, en dduire les carts entre la ralit et les
objectifs et initier la recherche de solutions.

Les solutions
Cette tape est une tape importante, car cest l que lapport du RPCA sera la plus risqu : il
est en effet de sa responsabilit que les solutions apportes par chaque entit pour le PCA, soient
cohrentes entre elles, ralisables et conomiquement acceptables par ltablissement.
Les Plans de Contournement Mtier
Une premire analyse de lensemble des activits permet den dfinir le caractre essentiel (ou
non). Tous les processus mtiers considrs comme essentiels doivent tre couverts, les autres
activits pouvant nanmoins tre traites. Les plans de contournement mtier regroupent
lensemble des procdures permettant de poursuivre lactivit (continuit des processus mtier)
pendant toute la dure du PCA. Le fonctionnement pendant cette priode peut tre en mode
dgrad.
Les procdures de contournement mtier couvrent la priode allant du dclenchement du PCA
jusquau dmarrage du site de secours, informatique et/ou utilisateur, puis jusquau retour la
normale.

Le Plan de Repli Utilisateurs
Le Plan de repli utilisateurs concernent toutes les procdures destines redmarrer les activits
sur le site de repli utilisateurs (moyens gnraux, informatique, tlphonie, logistique, )
Ces procdures couvrent la priode allant du dclenchement du PCA jusqu la mise disposition
du site de secours, puis jusquau retour sur le site primaire.

Le Plan de Secours Informatique (PSI)

Il est conu pour rpondre des sinistres informatiques physiques (panne des matriels) ou
logique (attaque virale massive) pour lesquels la prvention en matire de scurit informatique
joue un rle majeur .
Il fixe les modes opratoires respecter pour assurer la continuit ou la reprise des activits
informatiques de support, en fonction des objectifs de continuit qui auront t fixs par les
mtiers pour chacune de leurs activits.
Le primtre de ce Plan couvre linformatique centrale, linformatique distribue, linformatique
locale, les rseaux de tlcommunication (voix et donnes) ainsi que les infrastructures
ncessaires leur fonctionnement. Il intgre :

la description des solutions de secours et les procdures techniques dactivation de ces
solutions ;
les procdures techniques de monte en charge.

Ces procdures couvrent la priode allant du dclenchement du PCA jusquau redmarrage du
systme informatique de secours, puis jusquau retour au fonctionnement normal du systme
dorigine.

Pige viter :
Ne jamais oublier que l'on peut aprs un sinistre "racheter" et reconstituer les ressources
informatiques (matriels et infrastructures techniques) ; par contre on ne pourra pas "racheter" les
donnes de l'tablissement qui auront t perdues.
La priorit est donc accorder la rdaction des procdures, la mise en uvre des moyens
techniques et la vrification rgulire de la sauvegarde des donnes.


-18-
-35-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers

Commentaires


- seules sont traites manuellement les demandes urgentes excdant les
dlgations doubles.
* Reprise de lactivit en mode dgrad compter de J + 3 aprs installation par linfogrant
des 4 postes informatiques ncessaires au titre du PRA sur le site.

Analyser le systme dinformation
+ Les supports applicatifs
Pour chaque processus, nous identifierons quelles sont les applications liste exhaustive -
participant lexcution de ce processus, quelles sont les bases de donnes manipules par ce
processus, les modalits de sauvegarde, etc, quels sont changes de donnes du processus
mtiers tudi avec les processus amonts et avals (cartographie des flux), quelles sont les
contraintes (volumtrie des donnes utilises, calendrier des traitements, blocages, contrles
intermdiaires effectuer, ).
+ Les supports systme et rseaux
Pour chaque processus mtiers nous rechercherons quels sont les logiciels systme participant
lexcution de ce processus, quels sont les matriels (serveurs, imprimantes, appareils de
reproduction, etc), quel est le rseau (localisation, dbit, etc ), quels sont les matriels de
tlphonie (autocoms, etc) ncessaires lexcution de ce processus.
La situation idale est de disposer dune cartographie des applications, des systmes et des flux
tenue jour.

Raliser les mesures dimpact
Ces mesures consistent analyser limpact des scnarios de sinistres retenus sur chaque activit
essentielle.
Conseil :
Attendre davoir fait lanalyse de lexistant pour mesurer limpact des diffrents scnarios en une
seule fois.

Dterminer les DMIA et PDMA

Afin de dterminer limpact des ruptures dactivit, il est ncessaire dvaluer :

le DMIA, dlai pendant lequel le processus concern peut tre indisponible sans avoir
dimpact significatif sur lactivit concerne ;
la PDMA, Perte de donnes Maximale Admissible ou "fracheur de donnes minimale"
3
.
Conseil :
Pour les dfinir, tablir une grille danalyse simple pour avoir des critres de priorisation
clairs et compris de tous.
Voir les propritaires de processus mtiers pour dcider, mais savoir se concentrer sur quelques
activits vritablement essentielles pour ne pas se disperser et perdre en efficacit.

Synthtiser
Lensemble des lments recueillis au travers des entretiens, des analyses et mesures et de
lanalyse du systme dinformation doit tre consolid.


3
Quantit, en terme de temps, de donnes qu'on accepte de perdre, par exemple : perte de 4 heures de saisies
au maximum.
Les scnarios de crise
La premire approche pragmatique dlaboration dun PCA repose sur une approche par les
consquences et non sur les causes ; Elle permet de simplifier lnonc des scnarios quil sera
dcid de couvrir.
Les scnarios retenus permettront de dfinir sans ambigut ltendue des processus critiques
impacts et conditionneront donc lampleur des solutions de secours concevoir.

Trois scnarios gnraux sont prvoir minima :

Inaccessibilit prolonge, avec ou sans destruction, dun immeuble,
Indisponibilit prolonge des ressources informatiques ;
Indisponibilit prolonge dune proportion importante de collaborateurs.

Le PCA, pour chaque scnario, identifie et formalise les solutions de contournement des sinistres
:

les tches raliser pendant la priode de latence prcdant la mise disposition des
ressources de secours (back up informatique ou mise disposition de locaux) ;
les tches raliser pendant la phase de continuit des activits critiques.

Conseil :

Il est inutile de multiplier les scnarios. En se dotant des moyens de traiter les scnarios
lmentaires cits ci-dessus et en ayant un dispositif de gestion de crise efficace, il est possible de
traiter les variantes selon des modalits dfinies par la cellule de crise pralablement entrane
cet exercice danalyse de situation et dcision.

La classification des activits caractre critique et/ou caractre essentiel
Chaque processus mtier doit tre classifi selon son niveau de criticit financire et dimpact
image, juridique, afin :

valuer le Dlai Maximum dIndisponibilit de lActivit (DMIA)
4
; cette notion trs
importante est explicite plus loin (fiche "Mthodologie",) ;
dvaluer les besoins en dispositifs de secours (ressources humaines, immobilires,
informatiques et tlphoniques) ;
de rassembler des lments darbitrage.
Le DMIA sert de guide la conception du PCA.
Il convient aussi didentifier :

les processus mtiers qui peuvent tre interrompus (mise en attente des dossiers et
oprations) ;
les mesures conservatoires qui permettront de redmarrer les processus (traitement des
dossiers et oprations mis en attente).



4
Attention : on peut rencontrer le dveloppement suivant : Dlai Maximum dInterruption Admissible . Nous
prfrons Dlai Maximum dIndisponibilit de lActivit car linterruption est plutt une rfrence des moyens
techniques, alors que lactivit fait rfrence au mtier bancaire.
-19-
-34-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
Conseil :

La classification des activits caractre critique et/ou essentiel doit faire lobjet dun consensus
des pilotes de processus mtiers et de la Direction Gnrale de lentit pour viter toute
contestation ultrieure.
Pige viter :
Cest le DMIA du mtier qui conditionne le dlai de reprise des applications informatiques et non
linverse.
Retour dexprience :
Exemple de grille dimpact permettant dapprcier la vulnrabilit du processus mtiers et / ou de
ses activits.

1 2 3 4 5
Risque financier impact
perte directe
PNB En dessous de 0,1% entre 0,1 et 0,25 % entre 0,25 et 0,5 % Entre 0,5 et 1 % Au-del de 1 %
Civil
Action sociale en responsabilit contre les
dirigeants et/ou les administrateurs
Action sociale en responsabilit contre les
dirigeants et/ou les administrateurs
Action sociale en responsabilit contre les
dirigeants et/ou les administrateurs
Pnal (personnes morales et
physiques)
Confiscation de la chose ayant servi
commetrre l'infraction / Affichage de la
dcision
Quintuple de l'amende prvue pour les
personnes physiques
Exclusion des marchs publics / interdiction
de faire appel public l'pargne
Fermeture temporaire de tout ou partie des
tablissements de la personne morale
Peines contraventionnelles (amendes,
peines restrictives de droit ou privatives de
droit)
Interdiction d'exercer l'activit / placement
sous surveillance judiciaire
Peines dlictuelles
Dissolution de la personne morale
Peines criminelles
COMMISSION BANCAIRE
Risque de mise en garde aux dirigeants
Retrait de la carte professionnelle de un ou
plusieurs collaborateurs Risque d'injonction Risque d'avertissement
Risque de blme
Suspension temporaire des dirigeants
Saisine du TGI de Paris (dlit boursier)
Risque d'interdiction total et/ou partiel,
temporaire et/ou dfinitive d'exercer
certaines oprations et toutes autres
limitations dans l'exercice de l'activit
Retrait d'agrment et radiation de
l'tablissement de la liste des
tablissements de crdit e
AMF Amende AMF de premire catgorie Amende AMF de deuxime catgorie Amende AMF de troisime catgorie Amende AMF de quatrime catgorie Amende AMF de cinquime catgorie
Personnes physiques Moins de 1000 clients impacts Entre 1000 et 10 000 clients impacts Entre 10 000 et 100 000 clients impacts Entre 100 000 et 500 000 clients impacts Plus 500 000 clients impacts
Personnes morales
Volume d'affaires infrieur 1%du montant
des contrats de l'entit
Volume d'affaires compris entre 1 et 3 %du
montant des contrats de l'entit
Volume d'affaires compris entre 3 et 8 %du
montant des contrats de l'entit
Volume d'affaires compris entre 8 et 13 %
du montant des contrats de l'entit
Volume d'affaires suprieur 13 %du
montant des contrats de l'entit
Image/rputation Article de presse au niveau local Article de presse au niveau rgional
Article de presse ponctuel au niveau
national
Campagne de presse de dimension
nationale
Atteinte directe un projet ou un produit
Campagne presse et tlvise de
dimension nationale
Atteinte directe aux valeurs de l'Institution et
l'intgrit des salaris
Droulement des
processus
Aucune interruption des activits d'un site Interruption partielle des activits sur un site
Interruption partielle des activits sur un ou
plusieurs sites
Interruption de manire partielle de
l'exploitation d'un site impliquant un
fonctionnement en mode dgrad
Interruption totale de l'activit d'un ou
plusieurs sites
Humain/
Social
- Enthousiame
- Trs peu de risque de tensions sociales
- Pas de dommages corporels
- Confiance
- Peu de risque de tensions sociales
- Pas de dommages corporels
- Indiffrence/ attentisme
- Risque moyen de tensions sociales
- Pas de dommages corporels
- Sceptisime
- Risque non ngligeable de tensions
sociales
- Dommages corporels lgers
- Inquitude
- Risque important de tensions sociales
- Graves dommages corporels
Risque contractuel
Matrice de cotation de l'impact du sinistre (sensibilit du processus au sinistre)
Risque de Non-
conformit/
Rglementaire autorits
de tutelles
Risque judiciaire de droit
commun
Nature \ Niveau

Conseil :
Cette grille sapplique aux processus mtiers item par item : en effet un processus peut tre
vulnrable la fois en perte de PNB, en risque humain/social
On apprciera donc la sensibilit du processus mtiers pour chaque des items avec une cotation de
1 5. Cest la cotation la plus forte qui sera alors retenue.
Remarque : les bornes devront bien sr tre adaptes en fonction de la nature, de la taille de
ltablissement.






Etudier les points de vulnrabilit
Lanalyse ci-dessus rvle les interdpendances des processus, et, en terme de continuit
d'activit, rappelle utilement que la fiabilit d'une chane dpend de la fiabilit de son maillon le
plusfaible.
Retour dexprience :
Exemple dtude de vulnrabilit

Unit Libell de lunit

Description de lactivit gnrale de lUnit
- Activit 1 ;
- Activit 2 ;
- Activit 3 ;
- Activit 4 ..

Recensement des sous-activits majeures
Activit 2 ;
- Sous-activit 21 ;
- Sous-activit 22 ;
- Sous-activit 23 ;
- Sous-activit 24 ;
- Sous-activit 25 ..

Dlai maximum admissible dinterruption dactivit
Dtail Activits < 2 h 2 4 h 4 8 h 1 j 2 j 3 7 j 8 15 j > 15 j
- Sous-activit 21
X

XX

- Sous-activit 22 XX
- Sous-activit 23 XX
- Sous-activit 24 XX
- Sous-activit 25 XX


Priode de Crise Reprise dActivit en Mode
Dgrad


Moyens humains et matriels
ncessaires en activit
normale

Moyens humains et
matriels ncessaires en
priode de crise
Moyens humains et
matriels ncessaires en
priode de reprise
dactivit
Nombre Nombre Nombre
Collaborateurs 4 2 4
Ordinateurs 4 4
Imprimantes 1 1
Tlphones 4 2 4
Fax Partag Partag
Photocopieur Partag Partag
Applications 3 1 3

Dcision du Comit du xx/xx/xxxx

Commentaires


* 2 collaborateurs sont ncessaires en priode de crise sur le site de repli.
* Matriel ncessaire : Tlphones (2) et fax gros volumes pour recevoir les demandes
urgentes.
* Procdure mettre en place. Information des entits ( nommer) que :
- les dlgations des entits xxx sont doubles (routage de linformation aprs
validation par la CCU) ;

-33-
-20-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers

+ le processus Payer les chques est compos des sous-processus :
Emettre les rejets, Traiter le dbit des chques EIC et changer les
vignettes circulantes ;




























+ Le processus traiter le SIT est compos des sous-processus :
Traiter le SIT aller , Traiter le SIT retour , Oprations compenses
et facturation du SIT .


























Fiche n 6 : Lorganisation de la GCA
Toute institution doit se poser la question de lorganisation idale lui permettant datteindre
son objectif savoir garantir sa robustesse.
Plus l'institution est une organisation complexe, plus cette rflexion est recommande. En
effet, ne pas, un moment donn se poser la question de lorganisation gnrale de la
Continuit peut conduire soit des manquements dans le dispositif (lignes de mtier ou
zone gographique non couvertes) soit au contraire des doublons, synonymes de surcot
et de perte defficacit.
Les choix peuvent tre multiples :

Gestion concentre ;
Gestion dconcentre ;
Dcentralisation ;
Gestion mixte.
+ Gestion concentre : l'institution met en place une structure continuit
dactivit un niveau lev de lorganigramme et cest celle-ci qui assure lensemble des
missions : dtermination de la politique de continuit, ralisation oprationnelle des PCA,
relation autorits rglementaires, gestion de crise
Ce type dorganisation ne peut tre valable que dans des structures simples (mono activit)
et de petite taille. Dans les autres cas, notamment dans une institution activits multiples
ou sur des primtres gographiques varis pourrait conduire une inadaptation des
solutions aux contraintes spcifiques fonctionnelles ou gographiques.

+ Gestion dconcentre : l'institution met en place une structure centrale double de
relais locaux qui rapportent fonctionnellement et/ou hirarchiquement la structure
centrale. Comme dans le modle prcdent, elle sera responsable de tout le processus de
continuit. Lavantage de ces 2 organisations est videmment la garantie que le dispositif de
continuit de l'institution est cohrent et conforme aux objectifs quelle sest fixe. Toutefois,
son inconvnient majeur est de dresponsabiliser les entits locales. En effet, deux lments
majeurs de la responsabilisation savoir 1) dfinition de sa politique 2) de ses moyens font
dfaut. Or, cette absence de responsabilisation peut entraner la mise en place de dispositifs
inadapts aux spcificits mtiers ou gographiques. Face ces 2 modes dorganisation,
existe le modle de la dcentralisation qui peut tre plus ou moins complet.

+ La dcentralisation : ce modle conduit donner la responsabilit complte du
dispositif de Continuit des structures dcentralises soit par nature dactivit (banque de
dtail, banque de financement et dinvestissement) soit par gographie. Lavantage de
cette solution est dvidence que la responsabilisation de lentit locale est complte
puisquelle va elle-mme dfinir ses objectifs et les moyens dy parvenir. Elle peut tre
tentante, notamment dans une structure trs fragmente et trs large, ou elle peut dailleurs
se doter de structure de coordination qui veilleront la mise en place dun dispositif
homogne sur leur primtre. Toutefois, la faiblesse dune telle organisation est dune part
labsence de standard de rfrence au niveau de l'institution (et son risque subsquent le
plus grave qui peut tre le choix dune entit de ne pas avoir de dispositif de continuit) et
dautre part labsence de cohrence du dispositif dans son ensemble do, galement, le
risque le plus grave est la non couverture du sinistre extrme touchant plusieurs mtiers ou
gographie. Ainsi, chaque modle ayant la fois ses avantages et ses inconvnients, le
modle idal, si tant est, quil existe, pourrait tre celui qui prend le meilleur de tous les
systmes, et qui pourrait se dfinir comme le modle mixte.

+ La gestion mixte : pourrait se caractriser par la mise en place dune structure
duale compose dune part dune entit centrale qui dfinit les principes de cohrence et
contrle son respect et dautre part dune gestion dcentralise qui sera responsable de la
dfinition de son dispositif et de sa ralisation oprationnelle, dans le respect du standard
dfinit par lentit centrale. Cette organisation permet la fois de garantir la cohrence du
dispositif et la robustesse de l'institution dans son ensemble tout en responsabilisant
localement les acteurs de la continuit dactivit qui disposeront notamment de leurs
moyens propres. Cette organisation peut tre recommande dans les institutions multi
mtiers et multi gographies.

-32-
-21-
Rceptionner et
Traiter dbit des
chques EIC
Offrir et grer des
chquiers
Traiter les participants
Indirects SIT
IC SIT confrres
IC Hors Normes
Chque mis par client interne
Pay er l es c h q u es
Traiter le SIT
Traiter les participants
indirects SIT
Grer les incidents
chques
Traiter les remises
de chques
IC P I
Paiement du
chque impay
Traiter les chques
hors normes
IC / PI
IC Remise
Emettre les rejets
rejets chques
Traiter les impays
chques
Echanger les vignettes
circulantes rejetes
titre recycler
Vignettes rejetes
IC rejetes
Traiter le SIT retour
Remise SIT retour
Remise SIT Aller
t rai t er l e SIT
Rseau SIT
Traiter les participants
Indirects SIT
Traiter les
TIP
Traiter les remises
de chques (encaiss.)
traiter le retour de
chques (paiement)
Facturer le SIT
Traiter le SIT
Aller
Rseau SIT
Encaisser
cartes
Payer
cartes
Grer
cartes
Payer
cartes
Retour SIT
destination dun PI
transactions compenses via le SIT
GSIT
Opration, abonnement,
consommation, .
Oprations compenses via le SIT




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
+ Elle couvre notamment les entreprises assujetties au CRBF 97-02 devant rpondre au dispositif
de contrle interne sur base consolide.
Conseil :
Organisation concentre, dconcentre. dcentralise, ou mixte, lessentiel est que le schma
retenu soit document, connu de tous, afin davoir une chane de responsabilit prcise ( qui fait
quoi ?), sur des primtres clairement dfinis ( qui fait quoi do o ?), en rfrence des
critres prdfinis ( qui fait quoi do o et quand?).

Principes dorganisation de la Gestion de la Continuit dActivit
Lorganisation mise en place respecte les principes et les prescriptions dfinis par l'tablissement,
et notamment :

la coordination des actions dvaluation des PCA avec les fonctions de Contrle
Permanent et de Gestion des Risques Oprationnels ;
la coordination de la fonction PCA avec les instances mises en place dans ce domaine au
niveau de l'tablissement ;
la mise en uvre de la Politique gnrale de gestion de la continuit dactivit est soumise
un ensemble de textes lgislatifs et rglementaires. Lensemble des collaborateurs et les
directions de l'tablissement doivent respecter ces obligations leur niveau. Pour toute
information complmentaire concernant ces obligations, la Direction Juridique et/ou de la
Conformit de l'tablissement peut tre consulte. Celle-ci est charge, son niveau, de
suivre lvolution des textes et dinformer sur (voire rappeler) les obligations lgales et
rglementaires applicables.

A Le pilotage

Suivant lorganisation de ltablissement,, il est ncessaire de mettre en place une instance
charge :

de la validation de la Politique de Continuit des Activits de lentit ;
de la validation des organisations mise en place dans le domaine du PCA ;
du pilotage global des plans dactions dans le domaine du CA, savoir la validation,
lengagement des moyens associs et la vrification de bonne ralisation de ces plans
dactions ;
des arbitrages pour les demandes de drogation structurante ou dvolution de la
Politique de Continuit des Activits.

Suivi et coordination du PCA
Une instance oprationnelle sera charge du suivi et de la coordination des actions en matire de
PCA, comptente sur le primtre de l'tablissement et de ses filiales.
Elle sera anime par le RPCA de l'tablissement, ou des entits (par dlgation).
Elle sassure de la mise en place et de lavancement des plans dactions en matire de PCA.

Retour sur exprience :
Rassembler priodiquement les Correspondants PCA ( CPCA) permettra :

dchanger les expriences de chacun ;
de montrer que les objectifs fixs sont ralisables ;
de crer une mulation entre les Correspondants PCA ;
de prendre des dcisions communes ;
de faire prendre des engagements (objectifs) vis vis de la communaut des
correspondants ;
le processus Offrir et grer des chquiers est compos des sous-processus :
Commander des chquiers puis Fabriquer et Acheminer des Chquiers,
Dlivrer des chquiers et Grer le stock des chquiers ;



le processus Traiter les remises de chques est compos des sous-processus :
Encaisser les remises de chques, Archiver les chques, Traiter les chques
Hors Normes et Traiter les impays chques ;





























Commander des
chquiers
Grer le stock
de chquiers
Fabriquer / acheminer
des chquiers
Dlivrer des
chquiers
Demande de
chquier
Chquiers
faonns
Client
Client
Client
Dlivrance
automatique de
chquier


Priodiquement
-22-
-31-
Encaisser les
remises de chques
Archiver les chques
Remise de chque
Chques archiver
Client
Trai t er l es remi ses de chques
Traiter les impays
chques remettant
traiter le SIT
IC Confrres
Rejet IC
traiter les
participants
indirects SIT
Traiter les chques
hors normes
traiter le SIT
Chques
reprsenter
Traiter les comptes
dbiteurs professionnels
Grer les mouvements
dbiteurs particuliers
Rejet
Rejet




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
Fiche n8 : Mthodologie

La mthodologie se dcline par les items suivants :

l analyse dimpact ou BIA (Business Impact Analysis) pour en dduire les objectifs minima
de redmarrage ;
les solutions (Contournement, Sites de repli) ;
la mise en uvre : tests et exercices rels ;
le Maintien en Condition Oprationnelle : cycle de mise jour des plans, tableaux de Bord ;
la mise jour de la mthodologie via les volutions rglementaires, nouveaux scnarios,
retours dexprience sur test et incidents rels.

L analyse de lexistant et Business Impact Analysis (BIA)
Lobjectif principal de cette tape est de mesurer les impacts notamment en perte de PNB, et
qualitatifs des scnarii de dvnements et/ou crises interrompant ou perturbant la continuit de
lactivit sur les processus et/ou sites critiques retenus par ltablissement.
Elle se droule en cinq phases : entretiens, analyse des ressources et du systme dinformation,
mesures dimpacts des scnarios de crise et synthse des travaux.

Il est opportun de profiter de ces entretiens pour faire prciser les exigences en terme de dure
maximum d'interruption des activits (ou DMIA, voir plus loin).

Mener les entretiens
Pour collecter les informations ncessaires la ralisation de ltude, des entretiens avec les
oprationnels sont indispensables.
Les principales informations demander sont les suivantes : une description succincte du
processus mtiers concern ; lidentification des processus amont et aval ; la description des
contraintes associes, quelles soient temporelles, gographiques, dintgrit, dexhaustivit,
dexistence, dexactitude,
Au fur et mesure de la validation formelle des entretiens, une consolidation / compilation des
rsultats sera effectue en vue den tirer les premiers lments danalyse.
La situation idale est davoir des cartographies des processus mtiers et des activits des
diffrentes directions tenues jour. Ces rfrentiels sont prcieux pour tablir les PCA.

Analyser les ressources ncessaires au processus
Pour chaque processus, il faut identifier prcisment lexpertise ncessaire et le nombre de
personnes minimum pour faire fonctionner ce processus en priode crise, les documents
oprationnels et/ou administratifs indispensables, les locaux et le matriel indispensables (chaises,
tables, fax, )
Conseil :
Accompagner les oprationnels dans lanalyse pour que les travaux effectuer soient bien compris.
Lanalyse dimpact, qui comprendra notamment la quantification des pertes financires associes
linterruption dactivit, doit tre valide par le responsable du processus.
Cette validation est un point de passage qui permet de motiver le management sur les enjeux du
PCA.
Retour dexprience sur l'analyse par processus mtiers :

Un processus mtiers est constitu de la chane des activits effectues par un ou plusieurs acteurs
de l'entreprise pour permettre la satisfaction d'une demande d'un client (en entre) depuis son
origine jusqu' son excution finale (en sortie).
Par exemple dans le cas du "processus mtier" de traitement d'un chque,
de mutualiser des moyens ou des ressources ;
de cloner des actions ralises par une autre entit ( ne pas rinventer la roue ) ;
de procder des accords bilatraux de secours mutuels notamment dans le cadre de
sinistres immeubles (mise disposition rciproques de locaux, reprise de lactivit dun
service par un autre, partenariat dunits ralisant le mme mtier dans des zones
gographiques diffrentes) ;
de faire redescendre linformation des comits de niveaux suprieurs et de commenter
les audits ;
de montrer les interactions (dpendances) des entits par rapport aux autres ;
dafficher lobjectif commun quest le PCA de ltablissement.

Le Responsable du Plan de Continuit des Activits (RPCA)
Selon la taille, les domaines d'activits et le primtre gographique de l'tablissement financier,
le RPCA peut avoir assurer les responsabilits suivantes :

rdige et propose pour validation linstance de laquelle il dpend, la Politique Plan de
Continuit d Activit de l'tablissement et ses volutions, sassure quelle couvre les
risques majeurs et extrmes, veille son application au sein de ltablissement. Il est
charg de la diffusion auprs de toutes les entits concernes ;
prpare, propose pour validation et sassure de la mise en uvre des plans daction dans
le domaine PCA. Ces plans dactions sont constitus sur la base des plans dactions
labors par les mtiers et les activits de support (matrise duvre informatique,
ressources humaines, communication, logistique et scurit). Le RPCA assure le reporting
sur lavancement de ces plans daction ;
sassure que les responsabilits lies au PCA dcrites dans la Politique sont clairement
attribues et prises en charge et que lensemble des activits et des infrastructures est
ainsi couvert. Dans ce cadre, il doit notamment sassurer :
+ que lvaluation des risques et des besoins pour la continuit dactivit lie aux
processus est effectivement ralise par les mtiers ;
+ que les organisations et procdures adquates sont mises en uvre pour assurer la
gestion des crises de toute nature ;
+ que les solutions mises en uvre par la matrise duvre informatique rpondent aux
exigences des besoins exprims par les mtiers.
apporte, en complment de la matrise douvrage, un support aux directions et aux pilotes
de processus pour tout ce qui relve du PCA (mthodologies, organisations, sensibilisation
et formation) ;
assure par chantillonnage une relecture et formule ses observations sur les analyses de
risques des activits lies aux processus mtiers et aux infrastructures ralises par
les diffrentes directions ou filiales de l'tablissement ;
dclenche, sil lestime ncessaire des contrles pour vrifier la bonne mise en uvre et
lefficacit des mesures dans le domaine du PCA. En cas de non-conformit, il sassure de la
mise en uvre des mesures correctrices ;
dfinit et pilote le processus de mise jour et de rvision des plans de continuit ;
sensibilise le personnel de ltablissement au processus PCA ;
participe la Cellule de Crise Dcisionnelle ;
assure la coordination des actions des CPCA ;
planifie des tests et exercices rguliers conjointement avec ses correspondants mtiers ;
prpare un tableau de bord PCA et effectue le suivi des indicateurs du maintien en
condition oprationnelle dfinis dans le tableau de bord ;
participe au chapitre PCA du rapport de contrle annuel ;
exerce un rle dexpert auprs des cellules de crises (en priode de crise), en facilite la
coordination et contribue la remonte dinformation ;
assure, en relation avec les CPCA des directions de tutelle des filiales, la coordination des
RPCA mis en place dans les filiales de l'tablissement ;
sassure que les rgles communes lensemble des entits de ltablissement sont
effectivement dclines dans la PGPCA de l'tablissement ;
veille au respect des dispositions rglementaires en matire de continuit dactivit et met
en uvre les directives notamment de la Direction de la Conformit ou de son organe
central ;
contribue la veille oprationnelle ;
reprsente ltablissement dans les instances ad hoc.
-30-
-23-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
reprsente linstitution dans les instances ad hoc.

B La mise en uvre

Les pilotes de processus (managers mtiers)
Au sein des Directions mtiers, chaque pilote de processus (manager mtier) est responsable des
activits sur le primtre de ses processus. A ce titre, il est responsable devant la Direction
Gnrale de lentit du PCA sur ce primtre. Il assume les responsabilits suivantes :

il fait mener et valide les rsultats de lanalyse de risques des activits lies aux
processus
5
;
il valide les objectifs et les mesures concernant le PCA proposs par la matrise
douvrage ;
il dgage les moyens budgtaires ncessaires latteinte de ces objectifs PCA ;
il fait raliser les contrles qui lui semblent utiles et dclenche les actions correctrices quil
juge ncessaires.
Pour mener ses actions en matire de PCA, le pilote de processus (manager mtier) sappuie sur la
matrise douvrage charge du processus et sur le CPCA.

Les Correspondants PCA (CPCA)
Au sein de chaque direction mtier de l'tablissement, le CPCA est linterlocuteur du RPCA pour
les questions relatives au PCA de son primtre. Il a un rle transversal dans son unit.
Le CPCA apporte sa connaissance des risques oprationnels mtiers dans la conduite des actions
relatives au PCA. Il sassure de la bonne coordination et de la mise en cohrence.
Le CPCA a les missions suivantes en cohrence avec la rglementation en vigueur :

. Phase projet :
dfinit le PCA en cohrence avec les consignes de ltablissement ;
labore des plans dactions en matire de continuit des activits pour son primtre ;
identifie les processus transverses pour lesquels il existe des dpendances avec dautres
entits vis--vis de l'tablissement ;
approuve les analyses des risques des activits lies aux processus mtiers avant
leur validation par le pilote de processus (manager mtier) ;


Phase de mise en uvre :
gre son projet PCA (budget, ) ;
rdige ou valide les procdures dcrites pour la continuit dactivit : ce rle est important
et doit faire lobjet de lettres de mission de la part de la hirarchie, cest la garantie de la
viabilit du PCA ;
met en place l'organisation du site de repli retenu,
met en place lorganisation de crise de lentit, veille son actualisation ;
met en uvre et coordonne les actions vis--vis de l'tablissement pour les processus
transverses ;
sensibilise tous les acteurs de la filire mtier concerne aux objectifs et aux pratiques
adaptes en terme de continuit des activits ;


Maintien en conditions oprationnelles :
organise les tests du PCA ;
veille au bon droulement du PCA en cas dactivation ;
participe aux tests du PCA global ;
informe le RPCA des actions menes en matire de continuit des activits sur son
primtre.


5. En cas de dsaccord avec le pilote, le CPCA peut saisir le RPCA. En cas de dsaccord persistant, ce
dernier saisira linstance oprationnelle charge du suivi et de la coordination des actions en matire de
PCA.
+ L'organisation GCA traite notamment de :

la rpartition des pouvoirs entre les diffrents acteurs de la continuit dactivit savoir :
Conformit, Contrle permanent et priodique, Direction Informatique, Dpartement des
Risques sur les diffrentes tapes PCA : normes et mthodes, veilles rglementaire et
oprationnelle, cadre de formation, reporting CB ?
les principes budgtaires : budget centralis vs dcentralis ? Ddi ? ratio ?
du Rattachement hirarchique de la structure globale : Direction des Risques ? Direction
Informatique ? Direction Gnrale de lentit ?
Conseil :
Formalisation et publication de lorganisation choisie : il est recommand quelle fasse lobjet dune
directive de la Direction Gnrale de lentit de ltablissement. Cette recommandation peut
sembler futile , mais elle permettra au RPCA de sappuyer sur la Direction Gnrale de lentit
en cas de remise en cause ultrieure de lorganisation choisie.


Proposelalistedesactivitsprioritairespar niveaudecriticit, celledesscenarii ainsi queles
solutionsdecontinuitglobale.
Informationsur lestests, Retoursd'exprience, scnariosdecriseset sur lesprocessusen cours
d'tude
Direction Gnrale de
l'Institution
R
e
s
p
o
n
s
a
b
l
e

P
C
A


Arrte, sur propositionsduRPCA, lalistedesactivits par niveaudecriticit. Validelesscenarii
decriseet lesindicateurssuivre. Arbitreles solutionsdecontinuitproposes.
Analysedesrisques, cotationsdesrisques, niveaux decontrles, informesur lesprocessusen
coursdecartographie
Management oprationnel
des risques
Contrle interne et
conformit
Participedelaprventiondesrisques, fournit desinformationsquant aux limitesdelacontinuit
d'activit
Audit interne / externe
Met enlumirelesdysfonctionnementsdel'activit/ Contrleledispositif PCA
Fait participer unou plusieursauditeur(s) aux tests
Directions oprationnelles
Rdigent lesPCA oprationnels, effectuent lestests, alertent leRPCA lorsdetoutevolutiondes
processus
S'assuredelamiseen placeet dusuivi desPCA oprationnels
Nourrit lerapport annuel / Proposedenouveaux contrles
Direction de l'Organisation
Participedel'amliorationdesprocessussensibles, informesur lesvolutionsdeprocessuset /
ou deprocduressur lesprestationsdeservicesessentielles
Transmet lesfailleset vulnrabilitsidentifiesauseindesanalysesd'impacts



-24-
-29-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers

la coordination mettre en place pour que lassemblage de ces PCA constitue un ensemble
cohrent.
Pour un tablissement financier comportant de nombreuses entits, voici un schma synoptique
d'organisation des diffrents PCAs :


Retour dexprience :
Lurbanisation a dmontr pour un tablissement multi-sites la ncessit daborder le PCA par deux
axes complmentaires et indissociables :
+ un axe par site et/ou entit
+ un axe par processus
Cela a galement permis didentifier les mutualisations possibles de solutions pour les sites traitant
des activits identiques (report de lun sur lautre, externalisation commune, etc )

Activation des responsabilits
Une fois lorganisation et la stratgie de continuit dactivit dfinies, la question se pose de savoir
comment celles-ci doivent tre dployes dans l'tablissement pour fonctionner.
+ Comment garantir le respect de lorganisation choisie ?
Une fois la structure choisie, elle doit tre lgitime. Pour ce faire, il est impratif quelle soit
entrine au plus au niveau de l'tablissement (Comit Excutif, Directoire) et diffuse au
travers dun document caractre obligatoire (directive..). Cette politique devra tablir
clairement les responsabilits et les relations entre les diffrents niveaux de l'tablissement
tant gographiques que fonctionnels. Ainsi, sagissant de la mthodologie, si la directive
dispose quil appartient la structure Corporate de llaborer, il doit apparatre
clairement comment les dclinaisons locales doivent sarticuler avec la mthodologie globale.
Pour assurer le pilotage et la mise en uvre de son PCA, chaque pilote de processus (manager
mtier) sappuie sur une matrise douvrage. En matire de continuit des activits, la matrise
douvrage peut agir pour le compte du pilote de processus (manager mtier) .

La matrise duvre informatique
Chaque matrise doeuvre a les responsabilits suivantes :

elle conoit, dveloppe, maintient et exploite les infrastructures mutualises et les
systmes informatiques ddis chaque mtier, dans le respect de la PGCA et des
exigences de scurit des mtiers ;
elle tablit un Plan de Secours Informatique (PSI) cohrent avec les besoins des
mtiers et la PGCA ;
elle a un devoir de conseil et un rle de veille sur les meilleures pratiques oprationnelles,
sur les techniques dans le domaine concernant la continuit des activits ;
elle met en uvre ses propres contrles et valuations internes de la continuit des
activits concernant les infrastructures et les systmes informatiques sous sa
responsabilit ;
elle formalise les consignes dexploitation appliquer en cas de dclenchement du PCA.

Limmobilier et la logistique
Cette fonction tablit la stratgie dimplantation des locaux, elle devra intgrer de plus en plus des
considrations de PCA.
La cartographie des immeubles de lentit qui en dcoule est un paramtre essentiel de la
conception, puis de la maintenance des PCA, notamment en ce qui concerne lidentification et
lamnagement des sites de repli, puis pour accompagner le retour la normale.
Les services de scurit, surveillance et maintenance sont prendre en compte dans llaboration
des procdures dalerte, dvacuation, puis le cas chant de repli. Ces services peuvent faire appel
aux services publics tels les forces de police, de scurit ou de sant.


C Autres fonctions en relation avec la Gestion de la Continuit dActivit

Le contrle permanent et le risque oprationnel
Le contrle permanent comprend lensemble des dispositifs visant la matrise des activits et des
risques associs.
Dans le cadre de la PGCA, il doit rpondre aux objectifs qui lui sont assigns savoir notamment
sassurer de la matrise de la continuit des activits, cest--dire de la matrise des dispositifs
de gestion de crise, des plans de contournement mtier, des plans de secours
informatique et des procdures de repli utilisateurs.
Chaque entit (direction mtier, processus) doit sassurer de la conformit de son dispositif de
contrle de continuit des activits avec les principes de contrle interne en vigueur.
Il appartient donc chaque entit :

de dfinir, raliser et appliquer les reportings destination des contrleurs internes
(processus, mtier) et des comits de contrle interne (processus, mtier) ;
de mettre en uvre des contrles rguliers;
Conseil :

Le contrleur doit tre indpendant du responsable PCA de lentit pour assurer les
missions suivantes :
Au sein de son entit :
+ valider les programmes de contrle de 1er niveau du PCA ;

Processus X

Processus Y
Processus Z
Action Xb Action Xc
Action Ya Action Yd
Action Za Action Zb Action Zc Action Zd



Systme dInformation
Ressources humaines
Ressources Logistiques
Btiments
X
X
X
X
X
X
X
X
X
X
Entit d Entit c Entit b Entit a


PCA a PCA b PCA c PCA d
PCA Global de
ltablissement
-25-
-28-




Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des principes directeurs du ForumTripartite en matire de Continuit d'activit dans les Institutions financires
Groupe de travail Plan de Continuit dActivit
Conseils pour la mise en uvre des Plans de Continuit d'activit dans les Etablissements Financiers
+ finir et raliser des contrles de 2me niveau sur le PCA : revue des diffrents
documents structurants (Business Impact Analysis, Analyses de risque, stratgie de
continuit, ) ;
+ participer aux tests du PCA.
Vis--vis de Ltablissement :
+ fournir Ltablissement les lments de reporting sur le niveau de contrle du PCA de
lentit ;
+ fournir les lments ncessaires la rdaction du chapitre PCA du rapport sur la
matrise des risques au titre de larticle 43 du CRBF 97-02.

Le contrle priodique (ou Inspection Gnrale)
Au cours de ses missions dinvestigation et de contrle priodiques au sein de lensemble de
l'tablissement, la fonction Contrle Priodique sassure que les rgles externes et internes sont
respectes, porte un diagnostic sur le degr de matrise des risques (identification, enregistrement,
encadrement, couverture) ainsi que sur le niveau de scurit des oprations et value la qualit et
lefficacit du fonctionnement. Elle peut aussi fournir au RPCA un relev de failles dtectes au
cours de ses inspections.
Un droit daccs permanent aux informations, de toutes natures, en provenance des units
oprationnelles et des fonctions support (procs-verbaux de comits, tableaux de bord des risques,
indicateurs dactivit et de gestion, etc.) lui est accord. ce titre les comptes rendus et bilans des
tests doivent lui tre communiqus.

Les fonctions juridique et de conformit
La mise en uvre de la Politique Gnrale de PCA est soumise un ensemble de textes lgislatifs
et rglementaires. Lensemble des collaborateurs et les directions de ltablissement doivent
respecter ces obligations leur niveau.
Pour toute information complmentaire concernant ces obligations, la Direction Juridique peut tre
consulte. Elle est charge de suivre lvolution des textes et dinformer sur (voire rappeler) les
obligations lgales et rglementaires applicables.


La fonction organisation
Lanalyse relative aux activits essentielles se fait sur les processus mtiers et procdures. Il est
donc vital que cette Direction soit tenue informe des travaux et de leur avance, galement il est
vital que les processus et procdures soient tenus jour au plus prs des volutions et que le RPCA
soit inform des volutions encours / venir.




















Fiche n 7 : Les questions essentielles aborder
Pour rpondre la question qui fait quoi, "do o", et quand?, lorganisation doit
dfinir :

les acteurs du processus de continuit et leurs responsabilits ;
leur primtre respectif ;
dans quelles circonstances leurs responsabilits sont actives.
Les acteurs
Leur identification doit passer par une tude approfondie du processus de continuit dactivit et
de la mission quon lui assigne ( qui fait quoi ?). Son rle peut se limiter assurer un
maintien des activits en cas de sinistres, mais il peut plus largement contribuer une
amlioration de la matrise des risques. Bien entendu, les responsables des activits concernes
par la continuit dactivit sont ncessairement les acteurs incontournables du dispositif. On
peut dire quau minimum, la politique de continuit doit au moins rpondre aux questions, qui
garantit ? qui contribue ? qui valide ? parmi :

les units oprationnelles (mtiers ou fonctions > filiales > groupe) ;
les structures de contrles ;
la conformit ;
la gestion des risques ;
la fonction informatique .

Aprs avoir identifi les qui , il convient de dlimiter le quoi . Schmatiquement, la
checklist minimum laquelle une politique de continuit doit rpondre est :

la dfinition de la politique globale (normes, mthodologie) ;
la gestion de crise ;
la ralisation oprationnelle des PCA (inclus les tests) ;
la relation avec les autorits rglementaires ;
La garantie du dispositif vis--vis de la direction Gnrale de lentit.

Leur primtre

Les primtres gographique et fonctionnel doivent tre clairement dfinis et documents. Plus
le systme organisationnel de l'tablissement est complexe, plus la rponse est difficile
trouver, or nul nignore que labsence de clart dans les rles est le premier facteur
dinefficacit, et ceci est encore plus vrai en cas de situation exceptionnelle, voire dramatique tel
quun sinistre par exemple.
Une institution de taille importante et surtout avec des localisations multiples doit donc
imprativement expliciter une dfinition prcise des rles, par zone gographique, par ligne de
mtiers, prvoir les articulations entre les responsables locaux, rgionaux, globaux en rpondant
aux questions :

qui garantit ou qui contribue au dispositif sur tel territoire gographique ou pour un mtier
x ?
de mme, au niveau dune filiale ?
dun tablissement ?

Ces questions ne doivent pas tre laisses sans rponse.

Lurbanisation des PCA doit permettre de mettre en exergue

toutes les entits o un PCA est ncessaire, et la nature des activits essentielles
couvrir ;
les dpendances entre ces PCA ;
-26-
-27-