AFD // Document d'enregistrement universel 2021

GESTION DES RISQUES La gestion des risques

Ces procédures décrivent les actions nécessaires à la mise en œuvre du plan ainsi que les modes opératoires manuels à utiliser en cas d’indisponibilité de longue durée des locaux professionnels ou des outils informatiques. L’AFD dispose aussi d’un plan « ɸ pandémie ɸ » décrivant les principes et moyens de maintien de l’activité en cas de pandémie mondiale ou plus locale. Le plan de reprise informatique et télécommunication (PRIT), couvrant le risque d’interruption prolongée du système d’information, dispose d’une infrastructure informatique permettant de réactiver les applications et les systèmes essentiels du groupe AFD. Le système PRIT couvre l’ensemble du besoin de continuité informatique des métiers en dupliquant 70 ɸ % du système d’information du Groupe et 100 ɸ % des données de production. Ceci inclut tous les systèmes essentiels à l’activité « ɸ cœur de métier ɸ » des utilisateurs pour le premier mois de sinistre. Les 30 ɸ % restants, correspondant aux systèmes non essentiels, sont rétablis sous trois mois. Les évolutions engagées en ɸ 2018 pour permettre l’amélioration du PRIT ont permis de déduire de 70 ɸ % le temps nécessaire à l’activation de la plateforme de secours. La mise à jour de la plateforme technique a été effectuée en ɸ 2020, incluant le système de messagerie d’entreprise. Le plan de prévention des risques d’inondation (PPRI), couvrant le risque lié à une crue majeure de la Seine et permettant de limiter ses impacts sur les deux bâtiments principaux du siège de l’AFD, est également en place. La définition, la mise à jour et le contrôle du PUPA sont totalement pris en charge par le Département Sécurité (SEC) du Secrétariat Général et sa cellule Résilience et Sécurité de l’Information (RSI), dont le responsable est aussi le responsable du système de management de la continuité d’activité (RPCA) du Groupe. Le directeur SEC est en charge de l’organisation de crise ɸ : le cas échéant, il coordonne et synchronise la reprise des activités, une fois le PUPA déclenché. Les dix-sept structures de l’AFD, la Sogefom et Proparco, dont les activités sont considérées comme essentielles et inscrites au PUPA, sont sollicitées régulièrement afin de réviser leur bilan d’impact sur les activités (BIA) et mettre à jour leurs procédures dégradées. Chaque responsable des entités inscrites au PUPA est en charge de l’application des procédures de son Kit PUPA une fois le plan déclenché. Un chantier de mise à jour majeure du PUPA sera engagé en ɸ 2022 pour y intégrer le retour d’expérience COVID. Afin de permettre à l’AFD de réagir rapidement en cas de sinistre majeur, un dispositif d’astreinte permanent est mis en place au Secrétariat Général ainsi qu’au niveau du comité exécutif (COMEX). Ce dispositif permet notamment l’activation d’une cellule de crise dirigée par un membre du COMEX. En cas de sinistre majeur, la décision de déclenchement du PUPA est du ressort de la cellule de crise. Ce dispositif couvre aussi les besoins de Proparco et Sogefom. Les tests de déclenchement du PUPA ont été réalisés début ɸ 2021, incluant la réactivation de la messagerie d’entreprise, dans le cadre des vérifications du PRIT. Le plan d’urgence et de poursuite des activités, dans sa déclinaison « ɸ pandémie ɸ », a fait l’objet d’une activation réelle en ɸ 2020 sur l’ensemble des géographies de l’AFD, afin de prendre

œuvre des plans de corrections et les contrôles permanents de la sécurité du système d’information. Cette revue annuelle des risques aboutit à la mise à jour de la cartographie des risques opérationnels de l’AFD et du plan projet sécurité triennal. Ce ɸ plan permet aux organes de pilotage de fixer les évolutions en matière de sécurité du système d’information. La politique de sécurité des systèmes d’information (PSSI), conforme aux normes ISO ɸ 27001 et ISO ɸ 27002, définit les 90 ɸ règles de sécurité nécessaires à la protection des systèmes d’information. L’application de chaque règle est précisée par un ensemble de normes et de procédures de sécurité internes, conformes aux bonnes pratiques du domaine. Cette PSSI est complétée d’une Charte d’utilisation du système d’information opposable à l’ensemble des utilisateurs depuis son adjonction au règlement intérieur. Une sensibilisation SSI, sous forme de conférences périodiques et de sensibilisation numérique, auprès des utilisateurs du Groupe est mise en place pour s’assurer de la bonne connaissance des principales règles d’usage. Conformément à la PSSI, l’ensemble des systèmes informatiques et applications métier fait l’objet d’une classification selon quatre critères de sécurité (disponibilité, intégrité, confidentialité et preuve). Cette classification permet le déploiement demesures de protection conformes aux enjeux de sécurité lors de la conception d’un système et pendant son utilisation courante. Les systèmes informatiques les plus sensibles font systématiquement l’objet d’une procédure d’homologation ɸ sécurité. La gestion des incidents de sécurité est encadrée par une politique de gestion des incidents SSI qui fixe les règles de gestion d’un incident desécurité. Ellepermet de faire le lienentre (i) ɸ laprocédure de gestion des incidents de production (à la norme ITIL (1) ), (ii) ɸ le dispositif de signalement des incidents « ɸ utilisateurs ɸ » déployé par la Division Support et Production Informatique (SPI) et (iii) ɸ le département Sécurité (SEC). Le département SEC coordonne l’ensemble des actions de traitement à chaud d’incidents sécurité. Le RSSI peut demander le déclenchement d’une cellule de crise si la nature de l’incident l’exige. En ɸ 2021, l’AFD n’a pas subi de crise liée à une cyberattaque. Plan d’urgence et de poursuite d’activité Le groupe AFD dispose d’un plan d’urgence et de poursuite d’activité (PUPA) destiné à couvrir l’ensemble des métiers et des activités du Groupe, incluant ses filiales Proparco et Sogefom. Ce dispositif vise la poursuite des activités du Groupe suite à l’apparition d’un sinistre de probabilité faible mais d’impact ɸ critique. Le plan est formalisé dans trois documents cadres applicables à l’ensemble du Groupe ɸ : la politique de poursuite d’activité, le plan de gestion de crise et le plan de continuité des opérations. Ces documents sont complétés de procédures pour chaque activité essentielle. La politique de poursuite d’activité a évolué en ɸ 2017 pour faire apparaître une nouvelle classe de reprise d’activité (niveau ɸ 5 de disponibilité) permettant de caractériser les activités qui ne supportent pas d’interruption de service. Les procédures sont regroupées dans des « ɸ kits PUPA ɸ » mis à disposition de chaque structure opérant une activité essentielle.

4

(1) Information Technology Infrastructure Library.

111

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021