AFD_Document_de_référence_2017

GESTION DESbRISQUES

4

La gestion desbrisques

L’AFD dispose aussi d’un plan «bpandémieb» décrivant les principes et moyens de maintien de l’activité en cas de pandémie mondiale ou plus locale. Le Plan de reprise informatique et télécommunications (PRIT), couvrant le risque d’interruption prolongée du système d’information, dispose d’une infrastructure informatique permettant de réactiver les applications et les systèmes essentiels du groupe AFD. Le système PRIT couvre l’ensemble du besoin de continuité informatique des métiers en dupliquant 70b% du système d’information du groupe et 100b% des données de production. Ceci inclut tous les systèmes essentiels à l’activité «bcœur de métierb» des utilisateurs pour le premier mois de sinistre. Les 30b% restant, correspondant aux systèmes non essentiels, sont rétablis sous 3bmois. 4.3.6.5 Risque fiscal L’AFD n’a été soumise à aucun contrôle fiscal au cours de l’exerciceb2017. Par courrier du 7bOctobreb2016, l’administration fiscale a soumis Proparco à la vérification de l’ensemble de ses déclarations fiscales portant sur la période du 1 er bjanvier 2014 au 31bdécembre 2015. La mission de contrôle a débuté le 20boctobre 2016 et s’est achevée à la fin de l’exerciceb2017. La Direction générale des Finances Publiques a émis une proposition de rectification non matérielle. À la date d’arrêté, l’avis de mise en recouvrement n’a pas été réceptionné. 4.3.6.6 Autres risques opérationnels Au-delà des risques détaillés ci-dessus, le dispositif de contrôle permanent couvre l’ensemble des risques opérationnels auxquels le Groupe est exposé, relevant des catégories bâloises 1 à 7 (comme détaillées au pointb4.2.4.3). Ce dispositif de surveillance et de maîtrise de l’ensemble des risques opérationnels repose surb: P une cartographie des risques opérationnels, qui constitue l’outil majeur de mesure et de surveillance de ces risquesb; P un système de remontée des incidents opérationnels, des contrôles clés et des plans d’action définis sur les zones de risques les plus significatives. Le recensement des incidents notamment permet la mise en place d’actions correctrices destinées à éviter leur renouvellement ainsi que l’enrichissement de la cartographie des risques et la mise en œuvre de nouveaux contrôles le cas échéant. Le contrôle permanent réalise des reporting réguliers auprès du Comité des risques Groupe et du comité de contrôle interne (COCINT). b

La politique de sécurité des systèmes d’information (PSSI), conforme à la norme ISOb27002, définit les 90brègles de sécurité nécessaires à la protection des systèmes d’information. L’application de chaque règle est précisée par un ensemble de normes et de procédures de sécurité internes, conformes aux bonnes pratiques du domaine. Cette PSSI est complétée d’une Charte d’utilisation du système d’information opposable à l’ensemble des utilisateurs depuis son adjonction au règlement intérieur de l’AFD en septembreb2015. Une sensibilisation SSI auprès des utilisateurs du groupe est mise en place pour s’assurer de la bonne connaissance des principales règles d’usage. La gestion des incidents de sécurité est encadrée par une directive spécifique qui fixe les règles de gestion à appliquer dans une telle situation en lien avec les équipes de production informatique et le support aux utilisateurs. Le RSSI peut demander le déclenchement d’une cellule de crise si la nature de l’incident l’exige. En 2017, l’AFD n’a pas subi de crise liée à une cyberattaque. P Plan d’urgence et de poursuite d’activité Le groupe AFD dispose d’un Plan d’urgence et de poursuite de l’activité (PUPA) destiné à couvrir l’ensemble des métiers et des activités du groupe, incluant ses filiales PROPARCO et SOGEFOM. Ce dispositif vise la poursuite des activités du groupe suite à l’apparition d’un sinistre de probabilité faible mais d’impact critique. Le plan est formalisé dans trois documents cadres applicables à l’ensemble du groupeb: la politique de poursuite d’activité, le plan de gestion de crise et le plan de continuité des opérations. Ces documents sont complétés de procédures pour chaque activité essentielle. En 2017, la politique de poursuite d’activité a évolué. Elle fait apparaître une nouvelle classe de reprise d’activité (niveaub5 de disponibilité) permettant de caractériser les activités qui ne supportent pas d’interruption de service. Les procédures sont regroupées dans des «bkits PUPAb» mis à disposition de chaque structure opérant une activité essentielle. Ces procédures décrivent les actions nécessaires à la mise en œuvre du plan mais aussi les modes opératoires manuels à utiliser en cas d’indisponibilité de longue durée des locaux professionnels ou des outils informatiques. Les 16bstructures du groupe de l’AFD, incluant la SOGEFOM et PROPARCO sont sollicités au moins annuellement afin de réviser leur bilan d’impact sur les activités (BIA) et mettre à jour leurs procédures dégradées. Chaque responsable des entités inscrites au PUPA est en charge de l’application des procédures de son Kit PUPA une fois le plan déclenché.

78

DOCUMENT DE RÉFÉRENCE 2017

www.afd.fr