Ismail Boujana

Pilotage du programme PCA / PRA IT

• Pilotage de bout en bout du programme PCA/PRA IT au sein de la DSI, depuis les phases de cadrage jusqu’au suivi opérationnel et à l’amélioration continue, en lien étroit avec le Responsable Sécurité, les équipes d’architecture et d’exploitation.
• Définition et mise en œuvre de la stratégie de continuité et de reprise d’activité IT, alignée avec les enjeux métiers, les exigences réglementaires et la stratégie globale de cybersécurité.
• Mise en place et animation de la gouvernance PCA/PRA IT, incluant la définition des rôles, responsabilités, circuits de décision et mécanismes de reporting.
• Suivi de l’avancement du programme, des risques, des dépendances techniques et des priorités, avec un reporting régulier auprès de la direction de la DSI.

Business Impact Analysis (BIA)

• Coordination de la réalisation et de la mise à jour des Business Impact Analysis (BIA) sur le périmètre IT, en collaboration avec les équipes métiers, IT et Risk Management.
• Identification et qualification des activités et services IT critiques, ainsi que de leurs dépendances applicatives, techniques et organisationnelles.
• Analyse des impacts opérationnels, financiers, réglementaires et réputationnels en cas d’indisponibilité des services informatiques.
• Définition, formalisation et validation des objectifs de reprise (RTO/RPO) en cohérence avec les exigences métiers et les capacités techniques existantes.
• Consolidation des résultats des BIA afin d’alimenter les décisions de priorisation, d’investissement et d’amélioration de la résilience IT.

Plans de continuité et de reprise d’activité

• Rédaction, mise à jour et gouvernance des plans de continuité et de reprise d’activité IT, incluant les procédures de secours et de bascule des services critiques.
• Formalisation de scénarios de crise couvrant les cyberattaques, les indisponibilités d’infrastructure, les pertes de site et les défaillances applicatives majeures.
• Vérification de la cohérence entre les exigences métiers, les engagements RTO/RPO et les capacités techniques réelles des infrastructures IT.
• Identification des écarts de maturité PCA/PRA et définition de plans d’actions visant à renforcer la résilience globale du système d’information.
• Alignement des dispositifs PCA/PRA avec les exigences et bonnes pratiques de la norme ISO 22301.

Tests de résilience IT et exercices de crise

• Définition et pilotage du plan de tests de résilience IT, incluant le périmètre, la fréquence, les scénarios de tests et les critères de succès.
• Organisation et coordination de tests de restauration, de bascule et de simulations de crise IT et cyber, impliquant les équipes IT et métiers.
• Animation d’exercices de crise permettant de tester l’efficacité des dispositifs PCA/PRA et la coordination des parties prenantes.
• Analyse des résultats des tests, formalisation des retours d’expérience et suivi des actions de remédiation.
• Contribution à l’amélioration continue de la résilience IT par l’intégration des enseignements issus des tests et exercices.

Gestion de crise IT

• Contribution active au dispositif de gestion de crise IT, incluant la structuration des cellules de crise, les workflows d’escalade et les mécanismes de communication.
• Rédaction et maintien des playbooks de crise et des procédures d’intervention en cas d’incident majeur ou de cyberattaque.
• Coordination des équipes IT, sécurité et métiers lors des situations de crise afin de garantir une réponse efficace et maîtrisée.
• Participation à la mise en œuvre et à l’évolution d’un outil de gestion de crise, en collaboration avec les parties prenantes internes.
• Capitalisation sur les incidents et crises pour renforcer durablement les dispositifs de continuité et de reprise d’activité.

Gouvernance, communication et coordination transverse

• Préparation et animation des comités de pilotage PCA/PRA, incluant le suivi des indicateurs, l’avancement des chantiers et la présentation des arbitrages nécessaires.
• Élaboration de reportings clairs et structurés à destination de la direction de la DSI et du management sécurité.
• Mise en place et suivi de KPI et KRI liés à la continuité, à la reprise d’activité et à la résilience IT.
• Assurance de la documentation complète des dispositifs PCA/PRA, répondant aux exigences de conformité interne et externe.
• Contribution à la communication et à la sensibilisation des équipes IT, métiers et de la direction aux enjeux de continuité et de gestion de crise.

• Financial & Regulatory Reporting: Produced and enhanced regulatory reports, including RACI, IFR/IFD, and ESG indicators, ensuring accuracy and alignment with internal governance and supervisory requirements..
• Risk Mapping: Built and synchronized comprehensive operational risk maps as part of a joint venture initiative, harmonizing risk typologies, and control frameworks across entities.
• Operational Risk Monitoring: Conducted continuous monitoring of operational risks, performed incident analyses, and proposed mitigation measures to strengthen the overall risk management environment.
• Policies & Risk Governance: Reviewed, updated, and drafted key risk management policies and procedures, ensuring alignment with internal frameworks and industry standards.
• Regulatory Compliance (CRR/CRD): Supported compliance with CRR/CRD prudential regulations, including the interpretation of regulatory requirements and implementation within operational risk processes.