Nous avons interviewé Bruno Chaussier, membre du Cercle Européen, professionnel en SSI depuis de nombreuses années. Bruno Chaussier est un homme discret qui détient une culture sécurité riche et moderne. En effet, le plan de continuité qu’il sait mettre en œuvre et dont il nous parle englobe la téléphonie qui dépend largement de nos réseaux et de nos systèmes d’information. Dans la plupart des cas, nous observons une dissociation de l'informatique d'une part et des télécommunications d'autre part, mais les systèmes actuels n’imposent-ils pas une coordination des PCA en un seul et même programme pour plus de fiabilité en cas de sinistre ?

Bruno Chaussier, pourriez-vous nous parler de votre parcours professionnel ?
Après  quelques années à la SNCF dans une filière technique, je suis entré à la Caisse Centrale des Banques Populaires pour prendre en charge le secteur de la téléphonie. Au fil des fusions, je suis devenu successivement responsable télécom, de Natexis Banques Populaires puis de Natixis. J'ai évolué ensuite vers la responsabilité du Contrôle Opérationnel et de la Sécurité du périmètre Réseau, Télécom et Postes de Travail pour arriver à la coresponsabilité de la filière Continuité d'Activité de Natixis et ses filiales aux côtés de Dominique SAVIO.

Pourquoi avoir choisi l’environnement bancaire ?
Plus exactement, c'est l'environnement bancaire qui m'a choisi. Au delà de mon travail à la SNCF, j'exerçais à titre extra-professionnel des activités artistiques et d'encadrement d'enfants qui m'ont permis de me faire remarquer par certains parents au niveau de mes aptitudes techniques et managériales. Les relations ont fait le reste...

Qu’est-ce qui vous a conduit à la sécurité des S.I. ?
A la SNCF, nous sommes naturellement sensibilisés aux aspects de sécurité, principalement celle des biens et des personnes puis sur les risques industriels notamment (je ne travaillais pas dans un secteur informatique). Lorsque je suis arrivé dans le monde bancaire, j'ai été sensibilisé à la sécurité anti-agression et à la sécurité de fonctionnement des installations. Imaginez en 1985, une journée sans téléphone dans une salle de marchés où beaucoup de choses ne se faisaient pas encore par l'informatique, cela aurait été une véritable catastrophe ! Il était donc logique que je m'interroge sur la capacité de défense et de résilience des systèmes de télécommunication. Je me suis intéressé au réseau (l'avènement de la VOIP/TOIP _Voice Over Internet Protocol et Telephony Over Internet Protocol_ y était pour quelque chose) et plus directement à la sécurité au sens large (formation RSSI IT et cycle de sensibilisation à l'intelligence économique auprès de l'IHEDN). Je me suis progressivement intéressé à la sécurité sous toutes ses formes.

Le PCA est à fort niveau de sécurité : il s’agit de garantir la continuité d’une activité en cas de dommage mineur mais aussi en cas de sinistre majeur. Qu’est-ce qui vous motive dans cette mission ?
Le fait qu'il faille sans cesse penser à tout, imaginer l'inimaginable, pour être en mesure d'avoir une capacité de réponse réactive qui soit adaptée à l'exposition au risque. Quand on est curieux, et que l'on aime traiter de sujets divers et variés dans des domaines humains, techniques, organisationnels, réglementaires ou environnementaux, quand ces sujets permettent de mieux asseoir la stratégie de l'entreprise, difficile de ne pas être motivé non ? Si en plus vous aimez gérer des crises, vous êtes comblé !

Chez NATIXIS, le PCA est-il un fort enjeu ?
Forcément! La réglementation y est pour quelque chose (CRBF 97-02), mais nous sommes aujourd’hui en train d’évoluer du PCA « réglementaire » au PCA « intégré ». C'est une véritable culture d’entreprise qui se met en place, elle doit être partagée par les collaborateurs qui contribuent tous, au quotidien, dans l'exécution de toutes leurs tâches, au processus de sécurité et continuité! Il faut dire au passage que les mentalités évoluent face aux nombreuses crises que le monde traverse, qu'elles soient d'origine climatique, environnementale, sanitaire, technique, financière, ... tout se lie avec la mondialisation et ce qui arrive d'un côté de la planète peut avoir des effets à l'autre extrémité, surtout pour une entreprise internationale! Mais sans imaginer le pire, on voit bien au quotidien que les clients sont plus exigeants. Les contrats de services nous poussent à nous améliorer pour conserver une bonne disponibilité de nos prestations et maintenir la confiance. Dans un appel d'offres international, notre crédibilité sur ces aspects est déterminante.

Chez NATIXIS, le PCA est-il une mission de premier ordre ?
Bien sûr, comme je l’ai expliqué, nos mentalités évoluent... Dominique SAVIO est arrivé il y a deux ans et ses premiers travaux ont consisté à instaurer et faire appliquer une gouvernance de la continuité d’activité à l’ensemble du groupe Natixis. Nous sommes entrés l’année dernière, lorsque je l’ai rejoint, dans une phase de réelle appropriation par les métiers. Des choses existaient en matière de PCA, mais chacun le faisait un peu à sa manière. Désormais, nous avons une communauté de Responsables PCA dans les métiers, dans le monde entier, nous partageons nos expériences, et nous avançons dans le même sens sur la base d’un vocabulaire commun. Ces responsables PCA bénéficient d’un positionnement stratégique leur permettant un accès direct à la Direction de leur métier.  Ils ont toute latitude pour constituer leur propre réseau de correspondants opérationnels. Nous avons également mis en place des tableaux de bord qui permettent d’évaluer le niveau de maturité de la démarche PCA de chacun des métiers, d’en déduire un plan d’action, et nous communiquons tous les semestres les résultats et les tendances à la Direction Générale. C’est un bon moyen de transmettre des messages et de sensibiliser à haut niveau. Mais au-delà, la démarche PCA doit être au cœur de nos préoccupations quotidiennes car la qualité des services délivrés à nos clients en dépend !

Quels sont les périmètres couverts par votre PCA ? : S.I. ?, réseaux ?; telecom ?
En fait, chaque métier définit l’existant (nombre de collaborateurs, locaux occupés, applications et  prestataires essentiels utilisés…) et ses besoins en matière de continuité (nombre de positions sur sites de repli, délai maximal d’indisponibilité supporté pour chaque activité, …).
En réponse, les quatre services de continuité (services indispensables quelle que soit la situation de crise à gérer : Ressources Humaines, Communication, Logistique/Sécurité et Systèmes d’Information) définissent une offre adaptée à la demande des métiers.
Ces services de continuité développent leur propre PCA, mais ils doivent aussi répondre au besoin de PCA des métiers qui sont leurs clients.
Bien entendu, les Systèmes d’Information sont traités au sens large : réseau, télécommunications, applications, serveurs distribués, mainframes, data centers, sauvegardes externes…

D’où vient cette culture de globalisation des S.I. ?
Il y a vingt ans, les entreprises étaient en avance sur le grand public, que ce soit en informatique ou en téléphonie… Avec l’avènement de la VOIP, le grand public a parfois dépassé l’entreprise. Nous utilisons du « quadruple play » à la maison (entendez les offres intégrées de téléphonie / internet / TV / mobiles). Le nomadisme a renforcé la concentration de technologies et d’applications sur des terminaux de taille modeste. Les smartphones sont devenus le prolongement de l’entreprise à l’extérieur, ils sont vecteurs de communication « globale ». Comment pourrions-nous l’ignorer dans l’entreprise ?

Quelles sont vos méthodes ?
Nous nous inspirons, à défaut de normalisation ISO de la Continuité d’Activité, de la BS 25999 (British Standard).

Notre méthode repose sur trois  facteurs fondamentaux :
- la communication et le partage. Si chacun a une bonne prise de conscience des enjeux, collectivement, nous en bénéficions tous !
- Plus la sécurité (dont les aspects de continuité) est intégrée en amont, c’est-à-dire dès l’émergence d’un projet, plus la pérennité et l’évolution du livrable seront garanties.
- Un PCA doit rester vivant ! On peut avoir le plus beau PCA de la terre, s’il n’est pas maintenu à jour, si l’on ne pratique pas d’exercices pour s’entrainer, il est illusoire de croire à son efficience. En situation de crise, nous devons être en mode « réflexe » et non en mode « apprentissage ».

Votre équipe ?
Nous constituons une équipe centrale de 6 personnes et nous fédérons un réseau d’une centaine de collaborateurs composé des :
- responsables de plans de continuité d’activité des métiers
- responsables des plans de continuité des services de continuité
- correspondants PCA des métiers et correspondants des quatre services de continuité.

Votre management ?
Le management doit susciter la curiosité et la remise en question permanente, seuls facteurs d’une démarche d’amélioration continue. Nous devons aussi savoir rester humbles, nous tentons de réduire notre marge de risque, et nous savons bien que le risque zéro n’existe pas…

Autre chose ?
La Continuité d’Activité ne se traduit pas seulement en actes : c’est d’abord et avant tout un état d’esprit !
Conclusion
Un exemple à retenir donc pour globaliser les approches interdisciplinaires pour les mises en œuvre de PCA et qui nous permet ici, et de surcroît, de rendre hommage à deux autres précurseurs du domaine : Alain Bernard, RSSI de Natixis et Dominique Savio, l’un des Responsable PCA des plus averti et des plus ouvert d’esprit de la place financière parisienne.