Category

Continuité/Gestion des risques

Application Continuity Assessment @ BNP Paribas Fortis

By | Banque/Assurance, Continuité/Gestion des risques, Direction Générale, Info Sec, IT | No Comments

Contexte

Les banques domestiques d’importance systémique sont les institutions dont la cessation des activités (suite à une faillite ou désastre technique par exemple) pourrait mettre en danger l’économie du pays tout entier.

Identifiés par la Banque Nationale de Belgique, ces huit* EIS belges (établissements d’importance systémique) font l’objet d’une surveillance étroite et se doivent d’observer des règles strictes imposées par les organes régulateurs. Parmi ces obligations, il leur est notamment demandé d’augmenter la maturité de leur système de management de la continuité des activités.  Ceci implique non seulement les processus métiers critiques, mais également les actifs informatiques soutenant ceux-ci.

BNP Paribas Fortis a fait appel à Mielabelo pour l’accompagner dans le respect de ses obligations de résilience imposées par la BNB.

* BNP Paribas Fortis, KBC Group, ING Belgique, Belfius Banque, Euroclear, The Bank of New York Mellon, Axa Bank Europe, et Argenta.

 

Solution

Dans le cadre d’une mission continuité informatique, Mielabelo met notamment en œuvre un « application continuity assessment » (évaluation de la continuité des applications). En pratique, il s’agit d’un questionnaire, servant de support à une réunion avec les différents responsables de chaque application (représentants métier, analystes, développeurs, support deuxième et troisième ligne, architectes, continuité métier et continuité IT).

Les buts sont les suivants :

  • Remise en question du BRTO : le BRTO est le temps de recouvrement minimal demandé par le métier, suite à un désastre ou une interruption de fonctionnement de l’application. Cependant, le métier ne se rend pas toujours compte du coût d’implémentation et de maintien d’une solution de continuité IT.
  • Etablissement du RTO : Le RTO est le temps de recouvrement que l’IT s’engage à respecter. Celui-ci peut être très différent du BRTO. En effet, l’IT sait qu’avant de restaurer la dite application, il y a toute une série d’actifs IT à restaurer, tels que le réseau, le mainframe, les bases de données …
  • Accord IT-métier sur la continuité : après échange d’information de part et d’autre (exigences métiers, prérequis IT…), les deux parties se mettent d’accord sur un RTO réaliste.
  • Analyse de la solution de continuité : Au vu du RTO décidé de commun accord entre le métier et l’IT, la solution de continuité implémentée est analysée. Celle-ci peut être soit surdimensionnée par rapport au besoin, et pourra donc être remplacée par une solution moins coûteuse. Si la solution est sous-dimensionnée, un plan de mise à niveau sera mis au point.
  • Revue à 360° de la documentation : Une revue complète de toute la documentation sera également faite, des différents schémas architecturaux à l’inventaire des actifs, les plans de continuité, les recommandations du groupe en la matière, les contacts critiques…

 

Résultats

Cette évaluation, réalisée chaque année a pour objectif :

  • D’avoir une vision complète et précise sur les actifs informationnels critiques ainsi que leur solution de continuité ;
  • De rétrograder la criticité d’un certain nombre d’applications, et ainsi faire baisser les coûts de maintenance de leur solution de continuité ;
  • De s’assurer que chaque application dispose bien d’une solution de continuité adaptée

 

Sur le terrain, les consultants de Mielabelo ont notamment la charge de :

  • Implémentation et maintien d’un système de management de la continuité conforme à la norme ISO 22301
  • Analyse d’impact métier
  • Planification et mise en œuvre de plans de gestion de crise, plans de continuité des activités et plans de recouvrement suite à un désastre
  • Coordination de migration de datacentres
  • Formation des différents acteurs impliqués

Mise en place d’un plan Seveso pour Dequachim S.A.

By | Chimie, Continuité/Gestion des risques, Opex, Production, Qualité | No Comments

Contexte

Située sur le zoning de Ghlin Baudour, la SA Dequachim est un des leaders belges de la fabrication de sels d’aluminium. Dans le cadre du développement de nouveaux produits, elle a récemment investi dans une unité de stockage sur site de 56 T d’acide nitrique à 69%.   Ces investissements ont entraîné le classement de l’entreprise comme entreprise Seveso seuil bas, et par conséquent l’application de la législation Seveso traduite par l’Accord de Coopération entre les 3 régions du pays, accord actualisé en février 2016.

Au terme d’une première visite d’inspection par les services compétents du Service Public Fédéral, un rapport présentant une série de constatations a été communiqué à la S.A. Dequachim, rapport présentant une série d’actions correctives ou de besoins d’actions correctives à deux niveaux :

  • D’une part une mise en conformité des installations et de la gestion des activités industrielles avec la législation applicable. Pour rappel, la non-conformité réglementaire entraîne des sanctions pouvant aller jusqu’à la suspension de l’activité industrielle s’il n’y est pas remédié.
  • D’autre part, l’amélioration des conditions de sûreté industrielle et de sécurité des personnes diminuant fortement le risque d’accident, et le risque d’accident majeur et environnemental dans ce cas-ci.

 

Solution

Notre mission a consisté à organiser les réponses aux actions demandées par le Service Public Fédéral, et à mettre en œuvre les actions complémentaires de mise en conformité avec l’Accord de Coopération.

Nous avons ainsi pu réaliser :

  • Les analyses de risques procédés selon la méthodologie souhaitée (HAZOP) ;
  • La rédaction des procédures de mis en œuvre et de surveillance de Système de gestion de la Sécurité au sens de la prévention des risques d’accident majeur ;
  • La surveillance de la mise en œuvre de ces procédures sur le terrain ;
  • La formation du personnel et les supports de formation pour les séances de formation sécurité du personnel de production et de maintenance ;
  • Le Plan Interne d’Urgence ;
  • La gestion des travaux de sous-traitance et des plans de prévention liés à ces travaux ;
  • Les analyses des accidents et incidents ;
  • La mise en œuvre d’un plan global de maintenance ;
  • Le suivi des actions liées à cette mission.

 

Output et résultats.

Les bénéfices récoltés sont de deux ordres.

  • Améliorer performances industrielles en limitant les cas de dysfonctionnements et en améliorant la fiabilité des installations. Le bénéfice est chiffrable en estimant le coût de la non-qualité du process industriel.
  • Diminuer le taux de pannes par la mise en œuvre d’une maintenance préventive performante.

La conformité réglementaire est plus difficilement chiffrable mais il est aisé d’en appréhender toute l’importance.