Depuis plus de cent ans, la Banque de Luxembourg compte parmi les plus importants gestionnaires de patrimoine au Luxembourg. Comme toute institution financière, la Banque de Luxembourg répond aux exigences réglementaires visant à garantir la bonne gestion des risques pouvant avoir un impact sur la disponibilité de ses services bancaires.
D’ailleurs, dès 2015, la Banque s’est associée à EBRC afin de mettre en place un système de management dans la continuité de ses activités opérationnelles. « Nous avons souhaité structurer notre démarche vis-à-vis de ces enjeux, pour répondre aux exigences du régulateur mais aussi pour garantir la confiance de nos clients et de nos partenaires. L’activité bancaire étant systémique, nous devons appréhender les risques en faisant preuve de responsabilité et de rigueur. Accompagnés par les équipes d’EBRC, nous nous sommes appuyés sur la norme ISO 22301, relative à la sécurité, à la résilience et aux systèmes de management de la continuité d'activités, pour développer un cadre de gestion tenant compte de nos métiers et des risques. »
Découvrez l'ensemble de nos offres Conseil
Évaluer les risques et la sensibilité des activités
En 2015, se souvient Stéphane Vokar, les principales inquiétudes se concentraient vers le chantier « Royal Hamilius », à deux pas du siège de la Banque. Une fuite de gaz ou la possibilité d’un effondrement aurait eu pour conséquence de rendre le bâtiment inaccessible et, de fait, mettre à mal la continuité des activités. A l’époque, le télétravail n’était pas généralisé et il était nécessaire de trouver des réponses appropriées au regard des divers risques identifiés. « Dans un premier temps, un travail d’évaluation des risques a consisté à analyser la sensibilité de certains métiers ou de fonctions de support, puis, par l’identification des interdépendances. Nous sommes parvenus, à travers un travail d’exploration et de compréhension mené auprès des équipes, à inventorier les activités essentielles, les fonctions prioritaires et avons mis en place des plans et des processus visant à faciliter la reprise suite à une crise et garantir la continuité de nos activités. »
Le Management de la Continuité des Activités : une approche dynamique
Parce que les risques d’hier ne sont pas ceux d’aujourd’hui (le chantier Hamilius est désormais terminé, la crise Covid 19 est passée par là et les risques cyber vont croissant), la gestion de la Continuité d’Activités se doit de s’inscrire dans une approche évolutive. Les processus métiers se transforment, la réglementation se renforce, notamment avec l’adoption des textes DORA (Digital Operational Resilience Act) ou NIS2 (Network and Information Security 2), obligeant les acteurs à se conformer à des exigences renforcées en matière de sécurité et de résilience.
« L’intérêt de la norme ISO 22301 est qu’elle est bien plus large que ce qu’exige la réglementation, explique Christophe Ruppert, Cyber-Resilience Advisor au sein d’EBRC. Elle constitue un cadre au départ duquel nous pouvons inscrire la gestion de la continuité des activités dans une approche d’amélioration continue, prenant en compte l’évolution des risques au regard des métiers. C’est une boîte à outils complète et évolutive, qui contribue également à renforcer les compétences au regard des divers enjeux auxquelles est confrontée l’organisation. »
Faciliter la maintenance du système de gestion de la continuité
Il est important que le Système de Management de la continuité des activités puisse être maintenu efficacement. Ce qui, au regard des évolutions et de la complexification des environnements, peut s’avérer fastidieux.
Après un premier exercice conséquent en 2015 autour de ces enjeux, la Banque de Luxembourg a souhaité, ces derniers mois, effectuer une mise à jour de son système, en intégrant de nouveaux risques et de nouvelles exigences. « Nous avions une bonne base. Mais il était important d’actualiser les plans, de réévaluer les processus métiers et technologiques afin d’arbitrer les priorités de reprise. Il y avait également une volonté d’améliorer la maintenance du système et de trouver les moyens de favoriser le partage de l’information. », explique Stéphane Vokar.
Dans cette optique, la Banque de Luxembourg a décidé de s’appuyer sur la solution « Cyber-Resilience Portal d’EBRC », un outil créé pour faciliter la modélisation et l’opérationnalisation des besoins de la Banque en matière de continuité. « Grâce à cette solution, développée par nos équipes et sur base de notre expertise confirmée, l’information est centralisée et peut être plus facilement partagée avec les différentes parties-prenantes. C’est surtout un outil d’aide à la décision et un support indispensable à la gestion de crise, explique Christophe Ruppert. Si un incident devait survenir, les éléments repris dans le portail permettraient de comprendre comment les services vont être affectés, d’accéder aux plans et procédures à suivre pour remettre sur pied les services essentiels puis, progressivement, l’ensemble des activités métiers et IT. »
Les éléments étant désormais centralisés, il est aussi plus facile de maintenir le système de gestion de la continuité ou encore de mettre facilement à disposition et en toute transparence les procédures, afin de renseigner les clients et le régulateur en cas de question d’un client ou du régulateur.
