Jean Salessy (RSSI, banque Martin Maurel) "Une banque a des devoirs en termes de sauvegarde de données et de continuité d'activité"

La Banque Martin Maurel a refondu son plan de reprise d'activité en 2008. Vous étiez en charge de ce projet. Quelle en était l'origine ?

Ce projet m'a été confié dans la mesure où le plan de secours informatique constitue la pierre angulaire d'un plan de reprise d'activité. Il ne s'agit pourtant pas de la seule composante d'un PRA. D'autres éléments que le SI peuvent venir perturber l'activité de l'établissement. La gestion d'un sinistre et la mise en œuvre d'un PRA comportent aussi notamment des composantes humaines, organisationnelles et logistiques critiques.

implantée historiquement à marseille, la banque martin maurel est aussi présente
Implantée historiquement à Marseille, la banque Martin Maurel est aussi présente à Paris, Lyon, Monaco (Martin Maurel Sella), Grenoble et Aix-en-Provence. © Martin Maurel

Mais dans une banque, le système d'information représente une base technnique sans laquelle les métiers bancaires ne peuvent plus aujourd'hui s'exercer, d'où son importance critique au sein des plans de reprise et de continuité de l'activité.

Conformément aux exigences réglementaires, la Banque Martin Maurel disposait au préalable, en complément de centres de repli pour les utilisateurs sinistrés, d'une solution classique de reconstruction, en plus de 24 heures, du système informatique central. Elle était mise en œuvre sur la base d'une sauvegarde de la production bancaire prise la veille, excluant donc les données et les opérations traitées dans la journée. Elle s'appuyait sur la mise à disposition d'un centre de secours par un grand prestataire.

Ce dispositif de secours nécessitait, en relation avec nos correspondants et prestataires extérieurs, de nombreuses reconstitutions, ressaisies et
contrôles,  incompatibles avec une reprise d'activité en quelques heures. Il induisait des risques d'erreurs maîtrisés mais non nuls, et une difficulté certaine à rester présent sur les marchés financiers durant le délai de reconstitution de la production informatique qui pouvait être supérieur à
24 heures.

Pour une banque, la sauvegarde des données est-elle réglementairement imposée par les autorités de tutelle ?

"Nous ne pouvons nous permettre d'être absent des marchés financiers pendant 24 heures"

Oui. Elle est non seulement réglementée, mais aussi contrôlée. Le réglement 97-02, qui s'impose aux banques, stipule que "les banques doivent s'assurer que des procédures informatiques sont disponibles en vue de permettre la continuité de l'exploitation... et la conservation de l'information." Le processus de réprise d'activité précédent répondait déjà à cette réglementation.

Mais au-delà de la réglementation, la Banque a des devoirs. Elle a en premier lieu des devoirs en termes de sauvegarde de données et de continuité d'activité vis-à-vis de ses clients. Elle entretient aussi des relations continues avec un grand nombre de partenaires, confrères et correspondants des places bancaires qui ne peuvent subir sans préjudice une interruption longue de leur activité.

En conséquence, à la question "Peut-on se permettre d'être absent des marchés financiers pendant 24 heures, notamment du fait de nos procédures de reprise d'activité", la réponse est "Non".

Précédent
Suivant