La Banque de Patrimoines Privés est une instruction financière luxembourgeoise orientée vers la banque privée. Elle a été fondée en 2010 et propose principalement des services de gestion de patrimoine, de garde et d'administration des fonds d'investissement et de gestion de portefeuilles. En 2011, BPP a été acquise par le groupe Crèdit Andorrà, leader du marché en Andorre.
"Le groupe Crèdit Andorrà est engagé dans un important programme de développement à l’international", explique Carlos Rubies, Managing Director de la Banque de Patrimoines Privés. "Aujourd'hui, Crèdit Andorrà est présent en Europe - Andorre, Espagne, Luxembourg et Suisse - ainsi qu’en Amérique."
Agilité et réactivité : des conditions propices à la certification
"Notre stratégie est essentiellement centrée sur nos clients, qui proviennent de toutes les régions du monde. C'est pour assurer à notre clientèle le meilleur niveau de service que notre politique est de faire figure de premier de classe dans les activités que nous exerçons", poursuit Carlos Rubies. "La petite taille relative de notre banque fait de nous des acteurs très agiles sur un marché de plus en plus complexe. Nous sommes en outre très enclins à ancrer la qualité et l'efficience de nos processus dans un cadre normatif exigeant, ce qui constitue à la fois un gage de sécurité pour nos clients et un élément différenciateur sur le marché."
"Avec l'acquisition de Banque de Patrimoines Privés par Crèdit Andorrà", intervient François Clausse, Head of IT Department de la banque, différents projets destinés à soutenir l'essor de nos activités ont vu le jour, tels que l'adoption du logiciel bancaire Avaloq, le déploiement de l'application NeoXam GP3 - pour accompagner le développement de l'industrie des fonds - ou encore la mise en place d'une solution de gestion des flux électroniques."
Assurer l'interopérabilité entre les métiers et l'informatique
"Parallèlement, nous avons entrepris de mettre en place des procédures relatives à la reprise d'activité, mais la vision que nous en avions était purement IT, orientée disaster recovery, et déconnectée des besoins des départements métiers. Or, nous voulions assurer l'interopérabilité entre les flux métiers et les flux informatiques, ce qui nécessite de tenir compte de temps de reprise différents."
C'est pour résoudre cette équation que la direction de BPP a décidé, en 2017, de doter la banque d'un Business Continuity Coordinator en proposant à son responsable informatique de se former en vue à d'obtenir le titre de Lead Implementer de la norme ISO 22301 et d’acquérir ainsi l’expertise nécessaire pour accompagner l'entreprise lors de la mise en œuvre et la gestion de son système de management de la continuité d’activité.
Une formation en conditions réelles
"Pour atteindre cet objectif, nous avons choisi de travailler avec le leader en la matière au Luxembourg, EBRC. Nous avons décidé d'un commun accord que la formation ne se déroulerait pas de manière académique. Nous avons en effet utilisé la banque et les procédures en place afin que le cadre de la formation soit le plus proche possible de la réalité du terrain."
Au cours de ce cycle de formation, François Clausse a réuni les différentes parties prenantes de l'entreprise et, ensemble, ils ont mené une réflexion de fond à travers plusieurs séances de Business Impact Analysis et de Risk Assessment.
"Les sessions de Business Impact Analysis et de Risk Assessment ont notamment pour avantage de permettre aux responsables des processus métiers de mettre en perspective la place que prennent ces derniers dans le flux global du système d’information de la banque", explique François Clausse. "Cet exercice nous a permis de cartographier les principaux processus bancaires ainsi que les interdépendances associées. Nous avons dès lors été capables de formaliser une politique qui a donné le jour à une stratégie et à différentes procédures de reprise des activités."
Certifier la banque
A l'issue de ce premier cycle, la Direction de BPP a décidé d’augmenter le niveau de maturité de l'entreprise en lui faisant prendre le chemin de la certification. Après validation par le Conseil d’Administration, tous les efforts ont convergé, au cours de l’exercice 2018, vers l’obtention de la certification ISO 22301.
"Au cours du cycle de certification de la banque, nous avons ainsi formalisé, éprouvé et testé l'ensemble de nos procédures et mis en place des procédures de gestion de crise et de communication automatique, cette dernière s'appuyant sur l’application Alarmtilt. L'expérience a ensuite été validée par nos services d'audit interne et externe, ce qui nous a permis de positionner notre banque vis-à-vis de la norme et d’obtenir la certification", détaille François Clausse.
Une norme exigeante…
"ISO est une instance internationale de normalisation", rappelle-t-il. "Dès lors, la norme ISO 22301 nous permet d’établir et de modifier notre modèle - mais aussi de le contrôler, de le maintenir et de le tester - à l’aide d’un système de management inaltérable et éprouvé à l'échelle mondiale. De plus, les rôles et les responsabilités de chacun y sont clairement évoqués, la stratégie émanant du Conseil d'Administration, la tactique étant du ressort du Business Continuity Coordinator et l’opérationnalité étant assurée par les différents départements de l'entreprise."
"Mais la portée de la norme ISO 22301 ne se limite pas au plan de reprise", observe François Clausse. "La norme englobe aussi la protection des employés, la maintenance des activités vitales, des contrats et des SLA de l'entreprise, une plus grande prédictibilité et une meilleure appréhension des événements en cas de crise, ainsi que la protection de la réputation de l’entité et de sa compétitivité."
Pour satisfaire aux exigences de la norme ISO 22301, il est en outre indispensable de développer une bonne compréhension de l’organisation et d'établir des limites claires quant à la portée du système de management. En particulier, il importe que l’organisation respecte les intérêts, les besoins et les attentes des différentes parties prenantes – départements métiers, service informatique et personnel – ainsi que la position des organismes de réglementation et de supervision. "Ainsi", souligne François Clausse, "la mise en place d'un système de management de la continuité d'activité nous permet de répondre à certaines exigences régulatoires, notamment que la banque soit capable d'éprouver la robustesse et la résistance de ses systèmes."
… qui ouvre des perspectives considérables
"Enfin", ajoute-t-il, "obtenir une certification internationale telle que l'ISO 22301 démontre l’intérêt que nous portons à la gestion des risques et à la reprise des activités de notre organisation. L'effort consenti par la banque lui permet en effet d'affirmer la robustesse de son système."
"Nous parvenons effectivement à réaliser des performances qui paraissent a priori difficilement possibles pour une banque de notre taille", intervient Josep-Arseni Ramoneda, Chief Operating Officer de BPP. Nous devons donc être capables de démontrer à nos clients et à nos partenaires que nos processus sont aussi efficients que solides. Cet effort ouvre également la voie vers d'autres parcours de certification, en matière de qualité et de sécurité par exemple."
S'appuyer sur un leader du marché
Dans le cadre de cette certification, la Banque de Patrimoines Privés a choisi de travailler en partenariat avec EBRC. "Fort d'une expertise internationale en la matière, les professionnels de l’équipe Advisory d’EBRC ont été capables d'optimiser la norme à travers des documents de synthèse permettant d’encadrer efficacement le système de management de la continuité d'activité", témoigne le Head of IT Department de la banque.
L'année dernière, la banque a également fait le choix d’installer ses positions de secours dans le Resilience Centre Luxembourg South d'EBRC à Kayl. "EBRC est le leader de la place avec 1.000 positions de secours utilisateurs dans des espaces totalement privés qui autorisent le basculement complet et totalement transparent de nos opérations suite à un sinistre ou une indisponibilité", confirme François Clausse. "C'est dans ce même centre de résilience et avec le support d'un Service Account Manager d'EBRC que nous avons testé pour la première fois notre système de management de la continuité d'activité. Ce test s'est soldé par un réel succès et, après validation par le Comité Exécutif de la banque, notre système de management a été audité par PECB, un prestataire mondial de formation, d’examen, d’audit, et de services de certification pour un large éventail de normes internationales."
"Qu'il s'agisse de notre parcours pour obtenir la certification ISO 22301 ou de la mise en place de nos positions de secours, nous ne pouvons que nous féliciter de l'appui que nous avons reçu des équipes d'EBRC. Outre le grand professionnalisme que j'ai déjà souligné, les consultants d'EBRC ont fait preuve, au cours de leurs interventions, d'un rare sens de l'écoute, du partage et de l'intérêt commun qui nous a permis d'établir une relation de confiance", conclut François Clausse.
A propos de la norme ISO 22301 :2012 - Systèmes de Management de la Continuité d'Activité
Depuis quelques années, les entreprises doivent composer avec les risques classiques - pannes, erreurs ou sinistres modérés - et les risques émergents - catastrophes climatiques, cybermenaces, terrorisme, pannes en cascade qui provoquent des interruptions de service généralisées, etc. Ce changement de perspective appelle à mettre en œuvre de nouvelles stratégies pour assurer la croissance et la pérennité des organisations.
Publiée en 2012, ISO 22301 est une norme de système de management de la continuité d'activité qui peut être utilisée par des organisations de toutes tailles et de tous types. Une fois leur système de management en place, les organisations ont la possibilité de solliciter une certification de conformité à la norme pour prouver leur respect des bonnes pratiques en matière de management de la continuité d'activité aux instances législatives et réglementaires, aux clients potentiels et à d’autres parties intéressées. ISO 22301 peut aussi servir de référence à l’entreprise pour évaluer sa situation par rapport aux bonnes pratiques et aux auditeurs pour rendre leur rapport à la direction.
L’intérêt de la norme ne se limite pas à la simple obtention d’un certificat de conformité : elle permet notamment d'identifier et gérer les menaces actuelles et futures, de suivre une approche proactive pour minimiser l'impact des incidents, de maintenir les fonctions essentielles en temps de crise, de minimiser les temps d'arrêt pendant les incidents et de faire preuve de résilience face aux clients, aux fournisseurs et aux partenaires.