Le Business Impact Analysis

Toute en­tre­prise doit se protéger des si­tua­tions de crise afin de maintenir au mieux sa capacité d’ex­ploi­ta­tion en cas d’in­ter­rup­tion de l’activité. Et comme les incidents tels que les ca­tas­trophes na­tu­relles, les cy­be­rat­taques ou les vols sur­vien­nent gé­né­ra­le­ment de manière to­ta­le­ment inat­ten­due, il est né­ces­saire d’iden­ti­fier à l’avance les risques po­ten­tiels et de dé­ve­lop­per des stra­té­gies efficaces. L’analyse d’impact sur les en­tre­prises (AIE), connue aussi sous le nom de Business Impact Analysis ou encore bilan d’impact sur l’activité, joue un rôle central dans ce contexte. Il est utilisé pour en­re­gis­trer les effets d’une crise sur l’en­tre­prise sous la forme d’un rapport BIA. Il est important d’iden­ti­fier les liens et les in­ter­dé­pen­dances au sein de l’or­ga­ni­sa­tion : les con­di­tions préa­lables à la réussite de la gestion des risques.

Business Impact Analysis dé­fi­ni­tion : il s’agit d’un processus sys­té­ma­tique com­pre­nant un volet d’ex­plo­ra­tion et un volet de pla­ni­fi­ca­tion. Le volet ex­plo­ra­toire comprend l’iden­ti­fi­ca­tion des risques po­ten­tiels auxquels une en­tre­prise est con­fron­tée si ses activités com­mer­ciales sont per­tur­bées. L’accent est mis ici sur les effets concrets que certains évé­ne­ments ont sur l’or­ga­ni­sa­tion et sur des domaines tels que la finance, la sécurité, le marketing ou l’assurance qualité. La com­po­sante de pla­ni­fi­ca­tion consiste en l’éla­bo­ra­tion de stra­té­gies visant à minimiser les risques. Le résultat de l’analyse est le rapport BIA, qui est une com­po­sante im­por­tante d’un plan de con­ti­nuité global en plus du plan de gestion de crise. Dans les pages qui suivent, nous ex­pli­quons en détail la procédure et le contenu d’un bilan d’impact sur l’activité.

Le format et le contenu exact d’un BIA varient d’une en­tre­prise à l’autre. Cependant, vous passez presque toujours par les étapes suivantes lors de la mise en œuvre :

1. Collecte d’in­for­ma­tions
2. Éva­lua­tion de l’in­for­ma­tion
3. Résumé des résultats
4. Pré­sen­ta­tion à la direction

La création d’un rapport BIA Business Impact Analysis peut se faire en interne ou en utilisant des res­sources externes. Toutefois, la col­la­bo­ra­tion avec le personnel interne est es­sen­tielle car elle permet d’acquérir des con­nais­sances pré­cieuses pour la première étape. Au cours de cette étape, il vous faut iden­ti­fier tous les processus de gestion existants et les relations entre les dif­fé­rentes fonctions et domaines. Ces in­for­ma­tions sont souvent re­cueil­lies par le biais d’en­tre­tiens per­son­nels ou d’enquêtes au­to­ma­ti­sées. Il est ainsi plus facile de classer les fonctions de l’en­tre­prise selon leur im­por­tance et d’évaluer l’impact financier et non financier en cas de dé­fail­lance. Lors de la collecte des données d’analyse, il est utile de garder à l’esprit les questions suivantes :

• Dans quelle mesure les dif­fé­rents dé­par­te­ments sont-ils dé­pen­dants de systèmes et de processus opé­ra­tion­nels spé­ci­fiques ?
• Quels types de risques les fai­blesses iden­ti­fiées en­traî­nent-elles ?
• Qui est res­pon­sable du Service Level Agree­ments (entente de niveau de service) ?
• Quels sont les employés né­ces­saires sur un site de ré­cu­pé­ra­tion et combien sont-ils ?
• Quel type de res­sources/équi­pe­ments est né­ces­saire en cas de dé­fail­lance ?
• Comment la gestion de la tré­so­re­rie et des li­qui­di­tés doit-elle être assurée pendant la phase de ré­cu­pé­ra­tion ?

Une fois que vous aurez répondu aux questions ci-dessus, vous serez en mesure de dé­ter­mi­ner plus ra­pi­de­ment le type de données dont vous avez besoin pour votre Business Impact Analysis. Dans la plupart des cas, vous devrez prendre en compte les in­for­ma­tions suivantes :

• Nom du processus et des­crip­tion exacte
• Service res­pon­sable et lieu
• Res­sources humaines et tech­niques im­pli­quées dans le processus
• Liste de tous les intrants et extrants du processus
• Liste de tous les services qui dépendent des résultats
• Temps d’arrêt maximal sans effets per­cep­tibles
• Impact opé­ra­tion­nel et financier en cas de dé­fail­lance
• Con­sé­quences externes/ju­ri­diques en cas de dé­fail­lance (par exemple : clients, autorités publiques, etc.)
• Des­crip­tion des échecs pré­cé­dents et des con­sé­quences qui en découlent
• Des­crip­tion des pro­cé­dures de ré­cu­pé­ra­tion ou de dé­lo­ca­li­sa­tion du travail

Dans un deuxième temps, toutes les in­for­ma­tions col­lec­tées sont validées avec l’aide d’auditeurs, puis analysées. Lors de l’analyse des données assistée par or­di­na­teur ou manuelle, il est important de mettre en évidence les fonctions, les systèmes, les employés et les res­sources né­ces­saires à la con­ti­nuité de l’en­tre­prise. Il révèle également le délai dans lequel les fonctions dé­fail­lantes doivent être res­tau­rées afin que vous puissiez éviter autant que possible les effets tels que les retards de paiement des salaires, les dommages causés à l’image, les pénalités ou la sa­tis­fac­tion des clients.

Les deux étapes suivantes sont la synthèse claire des résultats et la pré­sen­ta­tion du rapport du bilan d’impact sur l’activité à la direction. Le rapport peut inclure des gra­phiques et des dia­grammes à des fins de vi­sua­li­sa­tion, il­lus­trant les pertes po­ten­tielles et les re­com­man­da­tions de ré­cu­pé­ra­tion. Pour étayer au mieux les dé­cla­ra­tions, ajoutez en annexe des in­for­ma­tions sur la procédure et les résultats détaillés de l’enquête. Utilisez les ins­truc­tions suivantes pour créer votre propre modèle d’analyse d’impact sur les en­tre­prises et l’adapter en fonction de vos besoins.

Dans le modèle BIA Business Impact Analysis qui suit, vous trouverez quatre tableaux à remplir le plus pré­ci­sé­ment possible. Plus vous décrivez avec précision les processus, leurs relations et leurs im­pli­ca­tions, plus un plan de con­ti­nuité fonc­tion­nera bien.

• Colonne A : domaine d’activité - explicite
• Colonne B : nombre de salariés - nombre de salariés à temps plein dans le domaine d’activité concerné
• Colonne C : processus parent - des­crip­tion de la fonction prin­ci­pale du domaine d’activité respectif
• Colonne D : clas­si­fi­ca­tion des priorités - clas­si­fi­ca­tion de la ou des fonctions selon leur im­por­tance pour les processus dans le domaine d’activité respectif
• Colonne E : objectif en matière de délai de ré­ta­blis­se­ment - temps né­ces­saire pour rétablir le PP après une dé­fail­lance
• Colonne F : objectif du point de ré­cu­pé­ra­tion - moment exact auquel le PP devrait être récupéré
• Colonne G : processus parent dépendant de - noms des or­ga­ni­sa­tions/processus dont dépend le PP
• Colonne H : processus parent requis par - noms des or­ga­ni­sa­tions/processus qui dépendent du PP

• Colonne A : sous-processus (SP) - des­crip­tion des fonctions de soutien dont le domaine d’activité respectif est res­pon­sable
• Colonne B : clas­si­fi­ca­tion des priorités - clas­si­fi­ca­tion de la ou des fonctions selon leur im­por­tance pour les processus dans le domaine d’activité respectif
• Colonne C : objectif de temps de ré­cu­pé­ra­tion - temps né­ces­saire pour récupérer le SP après un échec
• Colonne D : objectif du point de ré­cu­pé­ra­tion - moment exact auquel le SP doit être récupéré
• Colonne E : sous-processus dépendant de - noms des or­ga­ni­sa­tions/processus dont dépend le SP
• Colonne F : sous-processus requis par - noms des or­ga­ni­sa­tions/processus dépendant du SP
• Colonne G : impact quan­ti­ta­tif - im­pli­ca­tions fi­nan­cières associées au sous-processus, par exemple le chiffre d’affaires annuel généré

• Colonne A : impact qua­li­ta­tif - impact non financier, par exemple atteinte à l’image
• Colonnes B-G : temps né­ces­saire à la ré­cu­pé­ra­tion du personnel - indique le temps né­ces­saire avant que les employés puissent reprendre leurs activités « presque comme d’habitude » (Business almost as usual)

• Colonne A : stratégie de relance - décrit les mesures que l’unité opé­ra­tion­nelle peut prendre pour rétablir le dé­rou­le­ment normal des opé­ra­tions, comme un bureau à domicile, des locaux tem­po­raires, etc.
• Colonnes B-G : temps né­ces­saire pour récupérer la tech­no­lo­gie ou les services - énumère les services de réseau ou les systèmes in­for­ma­tiques né­ces­saires qui doivent être récupérés dans un délai déterminé.

Il ne faut pas confondre un bilan d’impact sur l’activité avec une éva­lua­tion des risques. Ces deux éléments sont im­por­tants pour un plan de con­ti­nuité, qui comprend également une com­mu­ni­ca­tion de crise. Un BIA Business Impact Analysis est gé­né­ra­le­ment préparé avant une éva­lua­tion des risques. Il sert de point de départ à la direction, qui élabore des stra­té­gies de con­ti­nuité des activités sur la base des résultats de la BIA. Un bilan d’impact sur l’activité se concentre donc sur les effets que les incidents ont sur les processus com­mer­ciaux et quantifie les dépenses mo­né­taires et non mo­né­taires. L’éva­lua­tion des risques, d’autre part, tente d’iden­ti­fier des dangers spé­ci­fiques tels que les incendies, les trem­ble­ments de terre ou d’autres ca­tas­trophes na­tu­relles. Il évalue dans quelle mesure les employés, les biens im­mo­bi­liers ou la chaîne d’ap­pro­vi­sion­ne­ment d’une en­tre­prise sont menacés par de telles crises.