Le Business Impact Analysis

Toute entreprise doit se protéger des situations de crise afin de maintenir au mieux sa capacité d’exploitation en cas d’interruption de l’activité. Et comme les incidents tels que les catastrophes naturelles, les cyberattaques ou les vols surviennent généralement de manière totalement inattendue, il est nécessaire d’identifier à l’avance les risques potentiels et de développer des stratégies efficaces. L’analyse d’impact sur les entreprises (AIE), connue aussi sous le nom de Business Impact Analysis ou encore bilan d’impact sur l’activité, joue un rôle central dans ce contexte. Il est utilisé pour enregistrer les effets d’une crise sur l’entreprise sous la forme d’un rapport BIA. Il est important d’identifier les liens et les interdépendances au sein de l’organisation : les conditions préalables à la réussite de la gestion des risques.

Business Impact Analysis définition : il s’agit d’un processus systématique comprenant un volet d’exploration et un volet de planification. Le volet exploratoire comprend l’identification des risques potentiels auxquels une entreprise est confrontée si ses activités commerciales sont perturbées. L’accent est mis ici sur les effets concrets que certains événements ont sur l’organisation et sur des domaines tels que la finance, la sécurité, le marketing ou l’assurance qualité. La composante de planification consiste en l’élaboration de stratégies visant à minimiser les risques. Le résultat de l’analyse est le rapport BIA, qui est une composante importante d’un plan de continuité global en plus du plan de gestion de crise. Dans les pages qui suivent, nous expliquons en détail la procédure et le contenu d’un bilan d’impact sur l’activité.

Le format et le contenu exact d’un BIA varient d’une entreprise à l’autre. Cependant, vous passez presque toujours par les étapes suivantes lors de la mise en œuvre :

1. Collecte d’informations
2. Évaluation de l’information
3. Résumé des résultats
4. Présentation à la direction

La création d’un rapport BIA Business Impact Analysis peut se faire en interne ou en utilisant des ressources externes. Toutefois, la collaboration avec le personnel interne est essentielle car elle permet d’acquérir des connaissances précieuses pour la première étape. Au cours de cette étape, il vous faut identifier tous les processus de gestion existants et les relations entre les différentes fonctions et domaines. Ces informations sont souvent recueillies par le biais d’entretiens personnels ou d’enquêtes automatisées. Il est ainsi plus facile de classer les fonctions de l’entreprise selon leur importance et d’évaluer l’impact financier et non financier en cas de défaillance. Lors de la collecte des données d’analyse, il est utile de garder à l’esprit les questions suivantes :

• Dans quelle mesure les différents départements sont-ils dépendants de systèmes et de processus opérationnels spécifiques ?
• Quels types de risques les faiblesses identifiées entraînent-elles ?
• Qui est responsable du Service Level Agreements (entente de niveau de service) ?
• Quels sont les employés nécessaires sur un site de récupération et combien sont-ils ?
• Quel type de ressources/équipements est nécessaire en cas de défaillance ?
• Comment la gestion de la trésorerie et des liquidités doit-elle être assurée pendant la phase de récupération ?

Une fois que vous aurez répondu aux questions ci-dessus, vous serez en mesure de déterminer plus rapidement le type de données dont vous avez besoin pour votre Business Impact Analysis. Dans la plupart des cas, vous devrez prendre en compte les informations suivantes :

• Nom du processus et description exacte
• Service responsable et lieu
• Ressources humaines et techniques impliquées dans le processus
• Liste de tous les intrants et extrants du processus
• Liste de tous les services qui dépendent des résultats
• Temps d’arrêt maximal sans effets perceptibles
• Impact opérationnel et financier en cas de défaillance
• Conséquences externes/juridiques en cas de défaillance (par exemple : clients, autorités publiques, etc.)
• Description des échecs précédents et des conséquences qui en découlent
• Description des procédures de récupération ou de délocalisation du travail

Dans un deuxième temps, toutes les informations collectées sont validées avec l’aide d’auditeurs, puis analysées. Lors de l’analyse des données assistée par ordinateur ou manuelle, il est important de mettre en évidence les fonctions, les systèmes, les employés et les ressources nécessaires à la continuité de l’entreprise. Il révèle également le délai dans lequel les fonctions défaillantes doivent être restaurées afin que vous puissiez éviter autant que possible les effets tels que les retards de paiement des salaires, les dommages causés à l’image, les pénalités ou la satisfaction des clients.

Les deux étapes suivantes sont la synthèse claire des résultats et la présentation du rapport du bilan d’impact sur l’activité à la direction. Le rapport peut inclure des graphiques et des diagrammes à des fins de visualisation, illustrant les pertes potentielles et les recommandations de récupération. Pour étayer au mieux les déclarations, ajoutez en annexe des informations sur la procédure et les résultats détaillés de l’enquête. Utilisez les instructions suivantes pour créer votre propre modèle d’analyse d’impact sur les entreprises et l’adapter en fonction de vos besoins.

Dans le modèle BIA Business Impact Analysis qui suit, vous trouverez quatre tableaux à remplir le plus précisément possible. Plus vous décrivez avec précision les processus, leurs relations et leurs implications, plus un plan de continuité fonctionnera bien.

• Colonne A : domaine d’activité - explicite
• Colonne B : nombre de salariés - nombre de salariés à temps plein dans le domaine d’activité concerné
• Colonne C : processus parent - description de la fonction principale du domaine d’activité respectif
• Colonne D : classification des priorités - classification de la ou des fonctions selon leur importance pour les processus dans le domaine d’activité respectif
• Colonne E : objectif en matière de délai de rétablissement - temps nécessaire pour rétablir le PP après une défaillance
• Colonne F : objectif du point de récupération - moment exact auquel le PP devrait être récupéré
• Colonne G : processus parent dépendant de - noms des organisations/processus dont dépend le PP
• Colonne H : processus parent requis par - noms des organisations/processus qui dépendent du PP

• Colonne A : sous-processus (SP) - description des fonctions de soutien dont le domaine d’activité respectif est responsable
• Colonne B : classification des priorités - classification de la ou des fonctions selon leur importance pour les processus dans le domaine d’activité respectif
• Colonne C : objectif de temps de récupération - temps nécessaire pour récupérer le SP après un échec
• Colonne D : objectif du point de récupération - moment exact auquel le SP doit être récupéré
• Colonne E : sous-processus dépendant de - noms des organisations/processus dont dépend le SP
• Colonne F : sous-processus requis par - noms des organisations/processus dépendant du SP
• Colonne G : impact quantitatif - implications financières associées au sous-processus, par exemple le chiffre d’affaires annuel généré

• Colonne A : impact qualitatif - impact non financier, par exemple atteinte à l’image
• Colonnes B-G : temps nécessaire à la récupération du personnel - indique le temps nécessaire avant que les employés puissent reprendre leurs activités « presque comme d’habitude » (Business almost as usual)

• Colonne A : stratégie de relance - décrit les mesures que l’unité opérationnelle peut prendre pour rétablir le déroulement normal des opérations, comme un bureau à domicile, des locaux temporaires, etc.
• Colonnes B-G : temps nécessaire pour récupérer la technologie ou les services - énumère les services de réseau ou les systèmes informatiques nécessaires qui doivent être récupérés dans un délai déterminé.

Il ne faut pas confondre un bilan d’impact sur l’activité avec une évaluation des risques. Ces deux éléments sont importants pour un plan de continuité, qui comprend également une communication de crise. Un BIA Business Impact Analysis est généralement préparé avant une évaluation des risques. Il sert de point de départ à la direction, qui élabore des stratégies de continuité des activités sur la base des résultats de la BIA. Un bilan d’impact sur l’activité se concentre donc sur les effets que les incidents ont sur les processus commerciaux et quantifie les dépenses monétaires et non monétaires. L’évaluation des risques, d’autre part, tente d’identifier des dangers spécifiques tels que les incendies, les tremblements de terre ou d’autres catastrophes naturelles. Il évalue dans quelle mesure les employés, les biens immobiliers ou la chaîne d’approvisionnement d’une entreprise sont menacés par de telles crises.