La gestion de la résilience opérationnelle chez AXA IM à l’ère de DORA

AXA Investment Manager (AXA IM), affiliée au groupe AXA, est une société de gestion d’actifs fondée en 1994. Avec plus de 2 700 collaborateurs dans plus de 20 sites, elle gère divers actifs - dont des investissements alternatifs. En tant que société financière et internationale, elle est soumise à des réglementations strictes.

La discussion a mis en lumière l’importance croissante de la résilience opérationnelle numérique face à l’hyper-digitalisation du secteur financier et à la multiplication des cyberattaques. À ce contexte, s’ajoute des exigences réglementaires renforcées, notamment avec l’entrée en application de DORA. 

Face à cette menace grandissante, Il devient essentiel de cartographier l’ensemble des interdépendances entre les processus métiers et les systèmes d’information afin d’identifier et maitriser les risques qui les menacent. C’est précisément ce que demande la réglementation DORA : une vision claire et complète de l’organisation, de ses applications jusqu’à ses processus stratégiques. 

AXA IM renforce sa cyber résilience avec HOPEX face à la réglementation DORA

AXA IM a illustré concrètement la manière dont elle répond à ces enjeux grâce à la solution HOPEX, qui lui permet d’anticiper les risques et d’assurer la continuité de ses activités face aux cybermenaces. En effet, le choix de l’entreprise s’est porté sur HOPEX,  car la solution permet de cartographier l’entreprise dans son intégralité, depuis ses infrastructures technologiques jusqu'à ses processus métiers. Cette approche est particulièrement recommandée par les réglementations DORA et NIS2.  

AXA IM a choisi HOPEX pour répondre aux enjeux de la cyber résilience dans un contexte où le digital est omniprésent et où le secteur financier repose entièrement sur des applications technologiques. Avec la multiplication des cyberattaques – une toutes les 39 secondes – et l’augmentation de leur sophistication, le risque cyber est devenu la principale préoccupation des gestionnaires de risques, contrôleurs et auditeurs internes.

Face à ces menaces pouvant aller jusqu’à la faillite d’une entreprise, les régulateurs imposent aux organisations de renforcer leur résilience opérationnelle numérique, notamment à travers les réglementations comme DORA et NIS2. Comme le souligne le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), « Tout risque cyber est un risque business », et 2024 marque une année clé pour la réglementation en cybersécurité.

Dans ce cadre, la résilience opérationnelle numérique est essentielle : selon l’Union européenne, elle désigne la capacité d’une organisation à résister, répondre et se remettre d’une perturbation impliquant les Technologies de l’Information et de la Communication (TIC). HOPEX permet justement d’adresser ces exigences en offrant une vision claire et exhaustive des systèmes d’information, des processus et des risques, afin d’anticiper et de mieux maîtriser la menace cyber. 

Une approche globale de la résilience opérationnelle au-delà du numérique 

Chez AXA IM, la résilience opérationnelle ne se limite pas à la dimension numérique : elle vise à protéger l’entreprise, ses activités et ses clients contre tout incident majeur pouvant perturber son fonctionnement. Cela inclut également la préservation du marché, un aspect clé pour les régulateurs qui cherchent à limiter l’impact global des crises.

Plutôt que de simplement restaurer l’activité après un incident, l’objectif est d’anticiper, de s’adapter et d’atténuer les effets d’une crise en mettant en place des mécanismes de mitigation efficaces. Cette approche repose sur trois piliers essentiels :

1. La continuité des activités pour assurer la pérennité des services essentiels.
2. La gestion des incidents et des crises grâce à un cadre structuré permettant une réponse rapide et coordonnée.
3. La sécurisation du système d’information qui intègre la cyber-résilience et la continuité des services IT, en conformité avec DORA. 

Une approche itérative pour une résilience renforcée

AXA IM a mis en place un programme de résilience opérationnelle basé sur un cycle d’amélioration continue. Chaque année, l’entreprise réévalue et renforce son dispositif en suivant quatre étapes clés :

1. Anticiper et évaluer les risques : identifier les menaces potentielles grâce à une analyse de risques approfondie et une analyse d’impact. C’est ici que la solution HOPEX intervient pour structurer et centraliser ces informations.
2. Définir les stratégies de protection : établir des plans de continuité et de reprise d’activité, tant au niveau IT qu’opérationnel, en veillant à leur pertinence et leur mise en œuvre effective.
3. Tester et valider les dispositifs : organiser régulièrement des exercices impliquant les équipes métiers, techniques et cyber pour s’assurer de l’efficacité des mesures mises en place.
4. S’améliorer en continu : collecter et analyser les retours d’expérience pour ajuster et renforcer les dispositifs face aux nouvelles menaces.

Dans le cadre de DORA, l’un des enjeux majeurs est l’Identification des Fonctions Critiques (CIF) et de toutes les dépendances technologiques et tierces. Chez AXA IM, cela passe par une cartographie détaillée des processus, des systèmes IT et des fournisseurs externes. 

Optimisation de la résilience opérationnelle et conformité réglementaire avec HOPEX 

Dans le cadre d’une Analyse d’Impact sur l’Activité (BIA), chaque élément essentiel au bon fonctionnement des processus critiques de l’entreprise est recensé :

• Les systèmes d’information utilisés
• Les fournisseurs tiers et les dépendances externes
• Les ressources humaines et les sites indispensables

Toutes ces données sont centralisées dans la solution HOPEX, permettant une vision consolidée et un suivi efficace. Cet outil permet également d’indiquer la criticité des processus : AXA IM gère en effet plus de 500 processus identifiés, qu’il est essentiel de prioriser pour garantir une reprise rapide en cas d’incident. 

Un outil collaboratif pour une meilleure résilience 

La résilience opérationnelle numérique n’est plus seulement un sujet IT ou cyber. L’intérêt d’une solution orientée utilisateur comme HOPEX est d’impliquer toutes les parties prenantes :

• L’IT, principal contributeur sur les applications.
• Les équipes métiers (gestion des tiers, conformité, gestion des risques, audit, contrôle interne, cybersécurité, data) qui consultent et enrichissent les informations.

Plus un référentiel est collaboratif, plus il est fiable et pertinent. Cela permet à chaque acteur d’apporter sa contribution, tout en réduisant les anomalies et en améliorant la qualité des données. 

Une solution qui évolue avec les besoins 

À l’origine, HOPEX était un outil conçu pour l’IT, utilisé principalement par les architectes techniques et fonctionnels pour structurer les informations sur les systèmes d’information. Avec le temps, son usage s’est étendu pour répondre aux besoins des autres équipes, notamment pour se conformer aux réglementations.

Dans le temps, la gestion des BIA et des plans de continuité reposait sur des fichiers Excel, Word et PowerPoint. La nécessité de centraliser ces informations dans un outil structuré s’est imposée, notamment face aux nouvelles exigences réglementaires.

Grâce aux évolutions successives et à l’adaptabilité d’HOPEX, AXA IM a pu se conformer aux réglementations comme DORA automatisant le suivi et la génération des rapports demandés par les régulateurs. 

Conseils pour réussir sa mise en conformité 

Pour les organisations qui souhaitent se lancer dans une démarche de mise en conformité avec DORA ou NIS2, voici quatre recommandations clés :

1. Construire une base solide et faire évoluer l’outil progressivement en fonction des besoins et des réglementations.
2. Opter pour une solution adaptable et modulaire pour éviter un système trop rigide et complexe à faire évoluer.
3. Faciliter l’accès et l’extraction des données pour que chaque équipe puisse exploiter les informations rapidement et efficacement.
4. Encourager une approche collaborative afin d’enrichir continuellement le référentiel et d’améliorer la résilience globale de l’entreprise.

AXA IM a ainsi pu réussir à transformer sa gestion de la résilience opérationnelle en un processus structuré, évolutif et collaboratif, garantissant une meilleure maîtrise des risques et une conformité aux réglementations en vigueur.  

Retrouver l’ensemble de la discussion dans cette vidéo.