Contexte
Les banques domestiques d’importance systémique sont les institutions dont la cessation des activités (suite à une faillite ou désastre technique par exemple) pourrait mettre en danger l’économie du pays tout entier.
Identifiés par la Banque Nationale de Belgique, ces huit* EIS belges (établissements d’importance systémique) font l’objet d’une surveillance étroite et se doivent d’observer des règles strictes imposées par les organes régulateurs. Parmi ces obligations, il leur est notamment demandé d’augmenter la maturité de leur système de management de la continuité des activités. Ceci implique non seulement les processus métiers critiques, mais également les actifs informatiques soutenant ceux-ci.
BNP Paribas Fortis a fait appel à Mielabelo pour l’accompagner dans le respect de ses obligations de résilience imposées par la BNB.
* BNP Paribas Fortis, KBC Group, ING Belgique, Belfius Banque, Euroclear, The Bank of New York Mellon, Axa Bank Europe, et Argenta.
Solution
Dans le cadre d’une mission continuité informatique, Mielabelo met notamment en œuvre un « application continuity assessment » (évaluation de la continuité des applications). En pratique, il s’agit d’un questionnaire, servant de support à une réunion avec les différents responsables de chaque application (représentants métier, analystes, développeurs, support deuxième et troisième ligne, architectes, continuité métier et continuité IT).
Les buts sont les suivants :
- Remise en question du BRTO : le BRTO est le temps de recouvrement minimal demandé par le métier, suite à un désastre ou une interruption de fonctionnement de l’application. Cependant, le métier ne se rend pas toujours compte du coût d’implémentation et de maintien d’une solution de continuité IT.
- Etablissement du RTO : Le RTO est le temps de recouvrement que l’IT s’engage à respecter. Celui-ci peut être très différent du BRTO. En effet, l’IT sait qu’avant de restaurer la dite application, il y a toute une série d’actifs IT à restaurer, tels que le réseau, le mainframe, les bases de données …
- Accord IT-métier sur la continuité : après échange d’information de part et d’autre (exigences métiers, prérequis IT…), les deux parties se mettent d’accord sur un RTO réaliste.
- Analyse de la solution de continuité : Au vu du RTO décidé de commun accord entre le métier et l’IT, la solution de continuité implémentée est analysée. Celle-ci peut être soit surdimensionnée par rapport au besoin, et pourra donc être remplacée par une solution moins coûteuse. Si la solution est sous-dimensionnée, un plan de mise à niveau sera mis au point.
- Revue à 360° de la documentation : Une revue complète de toute la documentation sera également faite, des différents schémas architecturaux à l’inventaire des actifs, les plans de continuité, les recommandations du groupe en la matière, les contacts critiques…
Résultats
Cette évaluation, réalisée chaque année a pour objectif :
- D’avoir une vision complète et précise sur les actifs informationnels critiques ainsi que leur solution de continuité ;
- De rétrograder la criticité d’un certain nombre d’applications, et ainsi faire baisser les coûts de maintenance de leur solution de continuité ;
- De s’assurer que chaque application dispose bien d’une solution de continuité adaptée
Sur le terrain, les consultants de Mielabelo ont notamment la charge de :
- Implémentation et maintien d’un système de management de la continuité conforme à la norme ISO 22301
- Analyse d’impact métier
- Planification et mise en œuvre de plans de gestion de crise, plans de continuité des activités et plans de recouvrement suite à un désastre
- Coordination de migration de datacentres
- Formation des différents acteurs impliqués
