AFD - Document de référence 2018

GESTION DES RISQUES La gestion des risques

quatre critères de sécurité (disponibilité, intégrité, confidentialité et preuve). Cette classification permet le déploiement de mesures de protection conformes aux enjeux de sécurité lors de la conception d’un système et pendant son utilisation courante. Les systèmes informatiques les plus sensibles font systématiquement l’objet d’une procédure d’homologation sécurité. La gestion des incidents de sécurité est encadrée par une directive spécifique qui fixe les règles de gestion d’un incident de sécurité. Elle permet de faire le lien entre (i) la procédure de gestion des incidents de production (à la norme ITIL), (ii) le dispositif de signalement des incidents « utilisateurs » déployé par la Division Support et Production Informatique (SPI) et (iii) le département Sécurité (SEC). Le département SEC coordonne l’ensemble des actions de traitement à chaud d’incidents sécurité. Le RSSI peut demander le déclenchement d’une cellule de crise si la nature de l’incident l’exige. En 2018, l’AFD n’a pas subi de crise liée à une cyberattaque. Le groupe AFD dispose d’un Plan d’urgence et de poursuite d’activité (PUPA) destiné à couvrir l’ensemble des métiers et des activités du Groupe, incluant ses filiales PROPARCO et SOGEFOM. Ce dispositif vise la poursuite des activités du Groupe suite à l’apparition d’un sinistre de probabilité faible mais d’impact critique. Le plan est formalisé dans trois documents cadres applicables à l’ensemble du Groupe : la politique de poursuite d’activité, le plan de gestion de crise et le plan de continuité des opérations. Ces documents sont complétés de procédures pour chaque activité essentielle. La politique de poursuite d’activité a évolué en 2017 pour faire apparaître une nouvelle classe de reprise d’activité (niveau 5 de disponibilité) permettant de caractériser les activités qui ne supportent pas d’interruption de service. Les procédures sont regroupées dans des « kits PUPA » mis à disposition de chaque structure opérant une activité essentielle. Ces procédures décrivent les actions nécessaires à la mise en œuvre du plan ainsi que les modes opératoires manuels à utiliser en cas d’indisponibilité de longue durée des locaux professionnels ou des outils informatiques. Les seize structures de l’AFD, la SOGEFOM et PROPARCO, dont les activités sont considérées comme essentielles et inscrites au PUPA, sont sollicitées au moins annuellement afin de réviser leur bilan d’impact sur les activités (BIA) et mettre à jour leurs procédures dégradées. Chaque responsable des entités inscrites au PUPA est en charge de l’application des procédures de son Kit PUPA une fois le plan déclenché. Les travaux de mise à jour ont été finalisés en mars 2018 et les kits PUPA publiés L’AFD dispose aussi d’un plan « pandémie » décrivant les principes et moyens de maintien de l’activité en cas de pandémie mondiale ou plus locale. Le Plan de reprise informatique et télécommunication (PRIT), couvrant le risque d’interruption prolongée du système d’information, dispose d’une infrastructure informatique P Plan d’urgence et de poursuite d’activité

Assurances – Couvertures des risques encourus par l’AFD L’AFD dispose d’une police « Responsabilité civile » qui couvre également Proparco, d’une police « Responsabilité civile Dirigeants », d’une police « Rapports sociaux », d’une police « Dommage aux biens – 2 lignes » qui couvre également Proparco et VAL, d’une police « Tous risques expositions – œuvres d’art » et d’une police « Responsabilité civile mandataires sociaux spécifique IGRS  (1)  ». Toutes les agences du réseau sont couvertes par des polices d’assurance souscrites localement (multirisques habitations et bureaux et responsabilité civile exploitation bureaux). À ces assurances, s’ajoutent celles relatives aux véhicules du siège (contrat siège) et du réseau (contrats locaux) ainsi qu’une assurance « Individuel accident » « monde entier » garantissant le versement d’un capital en cas de décès ou invalidité causé par un accident avec un véhicule appartenant ou loué par l’AFD. 4.3.6.4 Risques liés au système d’information Le Département SEC assure la gouvernance de l’ensemble des aspects liés aux risques TIC incluant la sécurité du SI. Le directeur du département est aussi le responsable de la sécurité des systèmes d’information (RSSI) du groupe AFD. Une analysedes risquesTICest effectuée aumoins annuellement dans le cadre du dispositif de gouvernance des risques SI. Les risques de sécurité en sont extraits pour traitement dans le cadre du système de management de la sécurité de l’information (SMSI), conformément à la norme ISO 27001. Le SMSI encadre le traitement du risque de sécurité du système d’information de l’AFD, depuis l’évaluation des risques jusqu’à la mise en œuvre des plans de corrections et les contrôles permanents de la sécurité du système d’information. Cette revue annuelle des risques aboutit à la mise à jour de la cartographie des risques opérationnels de l’AFD et du plan projet sécurité triennal. Ce plan permet aux organes de pilotage de fixer les évolutions en matière de sécurité du système d’information La politique de sécurité des systèmes d’information (PSSI), conforme aux normes ISO 27001 et ISO 27002, définit les 90 règles de sécurité nécessaires à la protection des systèmes d’information. L’application de chaque règle est précisée par un ensemble de normes et de procédures de sécurité internes, conformes aux bonnes pratiques du domaine. Cette PSSI est complétée d’une Charte d’utilisation du système d’information opposable à l’ensemble des utilisateurs depuis son adjonction au règlement intérieur de l’AFD en septembre 2015. La charte fera l’objet d’une révision en 2019 pour intégrer les nouveaux usages numériques du groupe. Une sensibilisation SSI, sous forme de conférences périodiques et de sensibilisation numérique, auprès des utilisateurs du Groupe est mise en place pour s’assurer de la bonne connaissance des principales règles d’usage. Conformément à laPSSI, l’ensemble des systèmes informatiques et applications métier fait l’objet d’une classification selon P Sécurité des systèmes d’information

4

(1) Ce contrat d’assurance a été transféré à DRH qui en assure la gestion.

87

DOCUMENT DE RÉFÉRENCE 2018

Made with FlippingBook Learn more on our blog