Les banques marocaines ont depuis 2007 accru leur résilience face aux risques majeurs grâce à l'implémentation du plan de continuité d'activité (PCA). De lourds investissements ont été réalisés dans cette optique. Une course vers la certification ISO 22301 est à prévoir. Selon un spécialiste du risque opérationnel au sein d'une grande banque de la place, «les banques au Maroc sont très avancées dans l'implémentation du plan de continuité d'activité (PCA). Elles ont consenti des investissements colossaux dans ce domaine depuis plusieurs années». Voilà qui est rassurant et qui montre une fois de plus la capacité de notre système bancaire à se doter des meilleures pratiques pour faire face aux risques de tout genre. Par ailleurs, certaines d'entre elles n'ont pas attendu la directive 47/G/2007 de Bank Al-Maghrib (BAM) pour mettre en place ce mécanisme. En effet, les banques marocaines qui sont filiales de banques françaises bénéficient de l'expertise de leur maison-mère dans ce domaine puisque «le CRBF (Comité de la réglementation bancaire et financière) a, dès 2006, imposé aux banques françaises l'implémentation de la PCA avant BAM», toujours selon notre spécialiste. D'ailleurs, l'une de ces banques marocaines filiales d'un groupe français est en bonne voie pour décrocher la certification ISO 22301, ce qui serait une première au Maroc. Cette norme récente, créée en 2012, spécifie les exigences pour planifier, établir et mettre en place un système de management documenté afin de se protéger des incidents perturbateurs et de s'en rétablir lorsqu'ils surviennent. Le PCA, aujourd'hui plutôt assimilé à une contrainte, pourrait donc devenir à terme un avantage concurrentiel important pour les banques, voire un argument marketing dans la mesure où il accroit la confiance du client. Outre les banques, c'est tout l'écosystème financier qui adopte le PCA. Ainsi, les prestataires comme Maroclear ou encore la Bourse de Casablanca implémentent également le PCA. Notre banquier ajoute «que les banques imposent également à leurs prestataires de services essentiels externalisés (PSEE) d'implémenter des systèmes PCA pour couvrir les risques de leurs prestations». Stress-tests périodiques Concrètement, comment les risk managers appréhendent-ils le PCA ? Notre source explique que le PCA entre dans le cadre d'un projet MCO (maintien des conditions opérationnelles), qui se décline en quatre phases. La première phase est le BIA (bilan d'impact sur activité) lors duquel la banque identifie et liste, par ordre de priorité, les activités indispensables à la survie de l'entreprise. La deuxième phase consiste en l'élaboration d'une stratégie pour ses activités critiques (ce que notre source appelle «expression des besoins métiers») : identification des personnes clés, des infrastructures logicielles et matérielles nécessaires à la reprise de l'activité, etc... Lors de la troisième phase, les solutions sont mises en œuvre et les procédures sont formalisées afin de les rendre disponibles. La quatrième phase est celle de test, lors de laquelle le système PCA est soumis à des conditions de stress pour évaluer sa pertinence. Cette phase regroupe un plan de secours informatique (PSI) et un autre de repli des utilisateurs (PRU) qui a plus une connotation «métiers». Selon notre source, «pour le PSI, un test annuel est effectué en conditions réelles sur un périmètre déterminé, et nous disposons d'un site de secours informatique situé dans un autre lieu. Le basculement sur ce site est généralement effectué un samedi matin, car il n'y a qu'une cinquantaine d'agences qui travaillent. La majorité des métiers y participent». Pour le PRU, il explique que «les tests sont périodiques et planifiés sur l'année. Cela consiste à prendre certaines personnes d'une équipe par rapport aux métiers critiques qui sont transférées vers le site de repli. Ces personnes travaillent toute la journée sur ce site. C'est pour nous l'occasion de corriger le plan si l'on constate des défaillances». Pour rappel, selon (BAM), «le plan de continuité de l'activité (PCA) est un plan d'action écrit qui expose les procédures et détermine les processus et les systèmes nécessaires pour poursuivre ou rétablir les opérations d'une organisation en cas de perturbation opérationnelle». En d'autres termes, il s'agit d'un mécanisme dûment formalisé par les banques qui doit leur permettre de poursuivre leur activité en cas de sinistre majeur (incendie, virus informatique, etc.). L'objectif d'un tel mécanisme est de minimiser les pertes, de protéger les actifs et les activités dites critiques, tout en poursuivant les prestations de services essentielles, conformément au deuxième pilier Bâle II.