Rencontres 2019
Continuité d'activité :
comment être opérationnels
le Jour J ?
07/02/2019
27
èmes
Rencontres du Risk Management AMRAE
Rencontres 2019
Continuité d’activité :
comment être opérationnels le jour J ?
Intervenants
Modérateur
François MICHAUD Directeur du Management
des Risques et de la Sécurité
Cédric LENOIRE
Consultant Risques d’Entreprises
Senior
Vazrik MINASSIAN Directeur Associé
Gerard PAYEN Chief Risk Officer
07/02/2019
Rencontres 2019
Continuité d’activité :
comment être opérationnels le jour J ?
Quelle continuité ?
Anticiper / (Se) préparer
Mettre en œuvre (le jour J)
Conclusions, 7 Régles d’Or
Vos questions
07/02/2019 3
Rencontres 2019
QUELLE CONTINUITE ?
07/02/2019 4
Rencontres 2019
•435 000 logements
inondables en Ile
de France
•850 000 personnes
concernées
Données CEPRI
Carte des zones
inondables IAU (2017)
Les crues en Ile de France
07/02/2019 5
Rencontres 2019
6
Saint-Lazare 1910
2016 et 2018
07/02/2019
Les crues en IdF et la SNCF
Rencontres 2019
7
Saint-Lazare 1910
07/02/2019
Les conséquences pour la SNCF
Rencontres 2019
8
Fret Réseau TGV
Ressources
humaines
Services
régionaux
Destruction du
patrimoine
Durée de
rétablissement
élevée
Perte de CA
Perte de clientèle
Rupture
d’alimentation
des sites
sensibles
Perte de CA
Dégradation du
matériel roulant
Dégradation
Information
voyageurs
Perte de CA
Sécurité des
voyageurs et des
personnels
Conditions de
travail
Coûts
supplémentaires
Gares
Destruction du
patrimoine
Sécurité des
personnes
Perte de CA
Dégradation du
matériel roulant
Dégradation
Information
voyageurs
Perte de CA
Risques
Un risque global pour toutes les
activités du Groupe SNCF
07/02/2019
Rencontres 2019
9
Les 3 stratégies possibles
1. ÉVITER
2. RÉSISTER 3. CÉDER
Horizontalement
(vers zone non inondable)
Verticalement
(rehausse de l’installation)
Directement ou
Indirectement
(Protection « en amont »)
Adapter l’installation
à la présence de
l’eau (équipements)
07/02/2019
Rencontres 2019
Connaissance du
risque
Prise en compte du
risque dans
l’aménagement du
territoire
Prévision / Alerte et
préparation à la crise
Organisation de la
post crise
Adaptation des enjeux
existants (habitat,
entreprises, réseaux…)
Culture du risque
Une analyse systémique
anticipative
Source :
10
Rencontres 2019
11
UNE DIRECTIVE EUROPÉENNE INONDATION (2007/60/CE) : obligation
pour les Etats d’évaluer les zones à risques
TRANSPOSITION DANS LA LOI FRANCAISE (Loi Grenelle, 07/2010) :
identification des zones à risques, Plan National de Gestion du Risque
Inondation
DIRECTIVE GÉNÉRALE INTERMINISTÉRIELLE 320 (11/06/2015) :
obligation pour les acteurs d’importance vitale (dont transports) de
réaliser des PCA
Le contexte réglementaire des
PCA Inondations
07/02/2019
Rencontres 2019
La construction des PCA :
préparation et gestion de crise
Vulnérabilités et
capacités
résiduelles
AVANT
Protection des
actifs
stratégiques
PENDANT
Redémarrage
APRES
Analyse des
vulnérabilités
Schéma de
capacités
résiduelles
Adaptation
des plans de
transport
Rédaction
des PCA
PCA
national
complet
Critères de priorisation :
-Protection des
personnes (intégrité
physique et prise en
charge)
-Protection des actifs
stratégiques
-Exploitation des
capacités résiduelles
et communication
Cartes
Impacts inter
établissements
Parcours alternatifs
(grande maille)
Scénarios
07/02/2019 12
Rencontres 2019
Pourquoi se préoccuper de sa
continuité : quelques chiffres
•84% des entreprises françaises ont subi une cyberattaque
(phishing, ransomware, hacking, malware...) en 2017;
1 sur 2 a coûté + de 400 000 euros à l’entreprise victime
(Source Cisco)
•Coût moyen, sur les 5 dernières années, des interruptions
d’activité d’une entreprise : 350 000 $
(panel 853 entreprises, source BCI 2018)
13 07/02/2019
Enquête BCI 2018
14
Les conséquences financières
•Redéfinition des priorités /investissements stratégiques
•Impact sur les parts de marché existantes et futures
•Opportunités de développement manquées
•Détérioration du cours de l’action (valeur d’entreprise)
•Augmentation des primes d’assurances
07/02/2019
15
Le soutien du Comité de Direction
51% des personnes interrogées estiment que le
soutien du Comité de Direction et les ressources
allouées à la continuité d’activité ne sont pas
suffisantes.
07/02/2019
16
Rencontres 2019
SMCA, PCA, PRA ?
08/02/2019 17
Système de Management de la Continuité d’Activité :
–identifie les impacts potentiels d’un incident sur l’entreprise.
–fournit le cadre nécessaire à l’amélioration de la résilience.
–développe la capacité de réaction face aux risques d’interruption des activités.
Plan de Continuité d’Activité :
–ensemble documenté de procédures
permettant à l’entreprise de maintenir
ses activités critiques à un niveau
prédéfini acceptable en cas d’incident.
Plan de Reprise d’Activité :
–Document définissant les ressources,
actions, tâches et données nécessaires
à l’effort de reprise technologique.
17
Rencontres 2019
Le socle du PCA :
les scénarios d’indisponibilité
18
Indisponibilité
de personnel
Indisponibilité
de site et/ou
d’équipement
Indisponibilité
de l’IT
Indisponibilité
prestataire /
fournisseur /
sous-traitant
07/02/2019
Rencontres 2019
Résilience
Mettre au point
vos stratégies
de continuité
Préserver
la continuité
Mettre en œuvre
vos stratégies
de continuité
Connaître
vos activités
Stratégie
Culture
07/02/2019
Le SMCA
19
Rencontres 2019
BIA: Bilan d’Impact sur l’Activité
Evaluation des risques et
scénarios de sinistre
crédibles.
Analyse des risques
Flux financiers (CA, EBE, CM,
etc.) à préserver en cas
d’interruption des activités
Analyse
financière
Bilan d’Impact sur l’Activité
-Analyse de dépendance flux financiers/éléments
clés de la chaîne de valeur.
-Impact des interruptions potentielles identifiées.
Mise en place d’un SMCA ciblé, maintenant les
activités clés à un niveau prédéfini acceptable.
Réduire les impacts
Identification des activités
critiques et des éléments clés
de chaîne d’approvisionnement
de l’entreprise.
Analyse du modèle
d’entreprise
07/02/2019
20
Rencontres 2019
21
Les secteurs d'activités les plus certifiés en 2017
1 Information technology : env. 37%
2 Transport et logistique : env. 15%
3 Autres services : env. 12%
4 Finances : env. 5%
5 Industries diverses : env. 4%
Certifications 2017
(progression 2016-2017)
9001 : 1 058 504 (-4%)
14001 : 362 610 (+4%)
27001 : 39 501 (+19%)
22301 : 4 281 (+11%)
07/02/2019
La norme ISO 22301
Rencontres 2019
22 07/02/2019
La norme ISO 22301
Rencontres 2019
23
Top 10 des pays pour les certificats ISO 22301 en 2017
1 Inde 1678
2 Royaume Uni 700
3 Japon 216
4 USA 211
5 EAU 153
6 Corée du Sud 148
7 Singapour 121
8 Grèce 84
9 Espagne 82
10 Chine & Thaïlande 73
Top 10 des pays en Europe pour les certifications ISO 22301
en 2017
1 Royaume Uni 700
2 Grèce 84
3 Espagne 82
4 Turquie 62
5 Pologne 57
6 Pays Bas 52
7 Allemagne 37
8 Italie 25
9 Irlande 19
10 France 18
07/02/2019
La norme ISO 22301
Rencontres 2019
24
Quelques sociétés certifiées en France :
07/02/2019
La norme ISO 22301
Rencontres 2019
PCA : les têtes de chapitres
25
Périmètre
BIA
Solutions de continuité
Organisation de crise
Management de la continuité
Communication interne et externe
Indicateurs de performance
Amélioration continue
Exercices/tests
Audits
07/02/2019
Rencontres 2019
Continuité d’activité :
comment être opérationnels le jour J ?
Quelle continuité ?
Anticiper / (Se) préparer
Mettre en œuvre (le jour J)
Conclusions, 7 Régles d’Or
Vos questions
07/02/2019 26
Rencontres 2019
ANTICIPER – SE PREPARER
27 07/02/2019
Rencontres 2019
SNCF : des acteurs formés
et dédiés à la Gestion de Crise
•Piloter une gestion de crise
•Mesurer l’impact d’un évènement sur
l’environnement interne et externe
•Appliquer les standards
•Utiliser les bonnes pratiques et mettre en œuvre
les règles d’entreprise en situation dégradée
•Etablir la relation et le feed-back nécessaire à la
compréhension d’un évènement
•Pratiquer l’écoute active
Savoir
Savoir
Faire
Savoir Etre
07/02/2019 28
Rencontres 2019
Une TOUR DE CONTRÔLE DU RÉSEAU FERRÉ NATIONAL
pour :
•Anticiper les aléas, superviser et réguler la circulation
•Coordonner les acteurs de la gestion d’incidents et de
crise, gérer les crises qui ont une répercussion nationale
•Prendre en charge et informer les voyageurs
Une tour de contrôle : le Centre
National des Opérations Ferroviaires
Une vision globale des circulations
Un état de veille et d’anticipation 24/24 et 7/7
Un mode actif de gestion des incidents
07/02/2019
29
Rencontres 2019
L’organisation des salles de crise
En fonction du niveau d’incident et du périmètre géographique,
une / des salles de crise peuvent être ouvertes afin de faciliter les
échanges et accélérer la prise de décision entre acteurs.
•Salle de crise REGIONALE : sur décision
du Directeur Régional ou demande du
Directeur National des Opérations (DNO)
•Salle de crise NATIONALE CNOF : sur
décision du DNO
•Salles de crise NATIONALE Direction
Générale (siège, CNOF) : sur décision du
Dirigeant du Comité Exécutif d’astreinte
07/02/2019 30
Rencontres 2019
Dispositif opérationnel SNCF : des
évènements classés sur 4 niveaux
31
SITUATIONS ET NIVEAUX
D’ALERTE
0 - Pas de
perturbation
1 – Distorsion
mineure du
service
opérationnel
2 - Distorsion du
service opérationnel
significative pour le
client
3 - Distorsion du service
opérationnel importante
4 - Sur décision du
COMité EXécutif
4
COMEX
3 Fortement
perturbée =
CNOF
2 Perturbée =
Régional
1 Faiblement perturbée =
Local
0 Nominale
07/02/2019
Rencontres 2019
SNCF : des pratiques clés
Des processus :
-Un document
d’organisation,
-Des salles de crise équipées,
-Des règles de
comportement,
-Des scénarios,
-Des standards
Des compétences :
-Des Directeurs de crise
-Des 7/7 spécialisés,
-Des astreintes,
-Des formations,
-Des briefings d’astreinte
07/02/2019 32
SMCA : des exercices clés
Exercices
•Testent l’efficacité des stratégies de
continuité
•Confirment la bonne compréhension et
la coordination des actions à mener
•Développent l’esprit d’équipe
•Quelques conseils utiles lors de la réalisation d’un exercice :
–Complexité de l’exercice.
–Enregistrement des activités et suivi des performances.
–Compétence des participants et caractère adapté des rôles
attribués.
07/02/2019
33
Comité de Crise
Central
Fonctions/métiers support
Fournisseurs
Partenaires
Comité de Crise
Régional
Comité de Crise
« Fonction »
Pas d’auto-organisation en silos …
mais une organisation ad-hoc construite, entraînée, pilotée
Crise Cyber : une organisation
de crise pré-définie …
07/02/2019
34
y compris process et cadencement …
Organisation
pré-définie :
PCA, crise
Directeur
de Crise
+ cellule
GESTION CRISE
Expert
incidents
Experts
data
Experts
sécurité
Impact continuité ?
…
Données critiques ?
Données perso. ?
...
DECISION INFORMATION QUALIFICATION IDENTIFICATION
Incidents systèmes
Malware/virus
Destruction
physique
…
Attaque cyber
Rançongiciel
…
Atteinte aux
données
Vol de PC
…
< 2 h < 4 h M
35
•Déploiement formations à la crise
•Disponibilité et perfectionnement d’outils :
communication, salles de conférences virtuelles,
protection données hors sites/hors ligne,
IA, machine learning, …
•Tests des :
Plans de Continuité d’Activité
Plans de Reprise d’Activité
•Réalisation exercices de crise,
de + en + réalistes !
… une préparation permanente
à tout type de crise
07/02/2019 36
Rencontres 2019
Continuité d’activité :
comment être opérationnels le jour J ?
Quelle continuité ?
Anticiper / (Se) préparer
Mettre en œuvre (le jour J)
Conclusions, 7 Régles d’Or
Vos questions
07/02/2019 37
Rencontres 2019
LE JOUR J … et J+1
38 07/02/2019
Rencontres 2019
Le jour J :
une multitude croissante d’interlocuteurs à gérer
80 personnes
présentes
135
interlocuteurs
Au total :
+ de 200 interlocuteurs
à maîtriser !
Instant T à J+12 heures Instant J+1, J+2…
Pompiers (55 + 9 camions)
Astreinte entreprise (3)
Gendarmerie (Sûreté 2)
Astreinte Commune (3)
Encadrement entreprise (3)
DREAL (2)
Gendarmerie (Scientifique 2)
Curieux (2)
Volontaires (5)
Garde (3)
(1) DG entreprise
(3) Cellule de crise
(3) Journalistes
(100) Personnel site
(1) Médecine travail
(4) Organismes professionnels
(3) Expert Assurance
(3) Experts Autres
(10) Fournisseurs
(7) Clients
Imposteur (1)
(1) Concurrent
07/02/2019 39
Rencontres 2019
•Budget dédié à la crise
•Réseau d'experts mobilisables pour faire face à la pression
•Famille avertie que l’on peut être confronté à des situations de crise
•Traitement médical sur soi
40 07/02/2019
Le jour J
•Colère ressentie
•Sensation d’être soumis à une forte pression (stress
important)
•Gorge nouée (voire envie de pleurer).
•Perte d’appétit (même si on n’a pas mangé de toute la
journée)
•Ego menacé, sentiment de honte ou de culpabilité
•Syndrome du « Fight or Flight » face au danger et à l’adversité
•Pas de repos
•Après le « combat », grande fatigue : prévoir 24 à 48 heures de repos et relève
Rencontres 2019
Continuité d’activité :
comment être opérationnels le jour J ?
Quelle continuité ?
Anticiper / (Se) préparer
Mettre en œuvre (le jour J)
Conclusions, 7 Régles d’Or
Vos questions
07/02/2019 41
Rencontres 2019
CONCLUSION
42 07/02/2019
Rencontres 2019
43
•Quelle continuité ?
•SNCF : la continuité face aux crues
•SMCA, BIA, PCA
•Norme ISO 22301
•Anticiper / (Se) préparer
•Dispositif de gestion de crise SNCF
•Sensibilisation, formation et exercices
•Exemple de la crise cyber
•Mettre en œuvre (le jour J)
•La réalité de la crise : interlocuteurs et leçons
Continuité d’activité :
comment être opérationnels le jour J ?
07/02/2019
Rencontres 2019
44
1. Impliquer l’exécutif au plus haut niveau
2. Définir le périmètre sur lequel on opère
3. Un PCA ne gère pas des causes mais des conséquences
4. Pas de PCA sans BIA préalable
5. Avoir des objectifs de continuité cohérents avec la stratégie
6. Partager le PCA avec le plus grand nombre d’acteurs
7. Se préparer en permanence, tester, mettre à jour
7 Règles d’Or
de la Continuité d’Activité
07/02/2019
Rencontres 2019
Continuité d’activité :
comment être opérationnels le jour J ?
Quelle continuité ?
Anticiper / (Se) préparer
Mettre en œuvre (le jour J)
Conclusions, 7 Régles d’Or
Vos questions
07/02/2019 45
Rencontres 2019
08/02/2019 46 46
MERCI DE VOTRE ATTENTION !
AVANT DE PARTIR , N’OUBLIEZ PAS DE
REMPLIR L’EVALUATION !
-Soit sur la feuille , à remettre à l’hôtesse à la
sortie
-Soit directement sur la WEB APPLI
Les slides seront en ligne dès la semaine
prochaine sur www.amrae.fr
47
Atelier A3 : Continuité d'activité : comment être opérationnels le Jour J ? - Février 2019
Atelier A3 : Continuité d'activité : comment être opérationnels le Jour J ? - Février 2019