• 6 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 12/06/2023

Dressez le BIA, le bilan d'impact sur votre activité

Dans les chapitres précédents, vous avez défini vos intentions de vous lancer dans une démarche de continuité d’activité. La Direction générale a donné son accord pour démarrer votre plan de continuité d’activité. Je vous propose maintenant de travailler sur une étape essentielle de la démarche : le bilan d’impact sur l’activité ou BIA (ou en anglais, Business Impact Analysis). Découvrons ensemble ce qui se cache derrière ce terme ! 

Découvrez le bilan d’impact sur l’activité ou BIA 

Quelles sont les activités prioritaires suite à la survenance d’un événement perturbateur ?

Pour démarrer, vous devez comprendre les produits et les services clés de votre entreprise et leurs processus pour les livrer. Les objectifs du bilan d’impact sur l’activité est de répondre aux questions suivantes :

  • Quels sont les priorités et les délais de reprise d’activité ? 

  • Quels sont les ressources/moyens nécessaires à ces activités ? 

  • Quelles sont ses dépendances internes et externes, autrement dit, en cas d’interruption, quelles sont les activités prioritaires à reprendre, et dans quel ordre ? 

Il y a quelques années, j’ai réalisé un bilan d’impact sur l’activité dans une entreprise de distribution de thé. J’ai pris en compte les activités logistique, informatique, de ressources humaines, financière, commerciale, etc. J’ai omis le marketing, en supposant que cela n’était pas une activité prioritaire pour ce métier de distribution. Heureusement, l’erreur a été corrigée lors de la validation des activités critiques.  Sinon, le BIA aurait été faux et le PCA inefficace.

Pour chaque activité, le BIA évalue trois paramètres :

  • le délai maximal d’interruption admissible (DMIA). Par exemple 4 heures, 24 heures, etc. Le DMIA classe les activités par priorité de reprise d’activité ; 

  • la PMDT, c’est-à-dire la perte maximale de données tolérable. Par exemple, aucune perte de données, 24 heures de perte de données, etc. Cela dépend de la dernière prise de sauvegarde de recours externalisée nécessaire à la reprise d’activité ;

  • l’OMCA, c’est-à-dire l’objectif minimal de continuité d’activité. Par exemple, l’activité peut travailler avec la moitié de l’effectif nominal à la fin du DMIA qui marque le début de la reprise d’activité de l’activité. 

Le schéma ci-dessous illustre la position dans le temps du délai maximal d’interruption admissible et de la perte maximale de données tolérable, par rapport à la survenance d’un événement perturbateur.

LA PMDT est prévue en amont, en situation normale, entre la prise de sauvegarde et l'événement déclencheur. Le DMIA correspond à la période entre l'événement déclencheur et la reprise d'activité.
Le DMIA et la PMDT

Pour qualifier les activités prioritaires, vous devez justifier le DMIA, la PMDT et l’OMCA en mesurant les impacts en termes de : 

  • perte financière ; 

  • perte d’image ;

  • perte de productivité liée à la désorganisation ;

  • pénalités contractuelles ou réglementaires ;

  • etc. 

Vous verrez dans le chapitre suivant comment vont être appréciés les risques pouvant impacter les ressources/moyens et les parties intéressées nécessaires à ces activités.

En synthèse, l’objectif du BIA est de :

  1. Obtenir une compréhension des produits et services clés de l’entreprise, ainsi que des activités qui permettent de les livrer.

  2. Déterminer les priorités et les délais de reprise des activités.

  3. Identifier les ressources/moyens et les dépendances nécessaires à la continuité d’activité.

  4. Identifier les dépendances (internes et externes, dont les fournisseurs) nécessaires à la continuité et à la reprise des activités.

Élaborez un BIA en cinq étapes

Vous avez compris l’importance du bilan d’impact sur l’activité, mais par où commencer ? Je vous propose une démarche en cinq étapes qui va vous aider à produire un BIA :

  1. Déterminer la totalité des activités de l’entreprise. 

  2. Déterminer un référentiel de qualification des impacts.

  3. Évaluer les impacts d’une interruption des activités.

  4. Déterminer les ressources/moyens nécessaires aux activités, et leurs dépendances.

  5. Faire valider les résultats par la Direction générale. 

Étape 1 : Déterminez la totalité des activités de l’entreprise 

Vous partez en général de la cartographie des processus qui se décompose en sous-processus et en activités. La cartographie doit prendre en compte :

  • les processus qui concourent directement à la fourniture de produits et services ;

  • les processus qui supportent leur cœur de métier et forment l’infrastructure de l’entreprise : les achats, les ressources humaines, l’informatique, la comptabilité, etc.

La Direction générale peut réduire dans un premier temps le BIA à un périmètre d’activité considéré par elle comme prioritaire. Vous allez donc travailler sur ce périmètre validé, en y incluant les flux et les parties intéressées internes et externes.

Étape 2 : Déterminez un référentiel de qualification des impacts

Vous devez qualifier un référentiel unique de comparaison de la gravité des impacts. Il va vous permettre de classer l’ensemble des activités de l’entreprise par priorité. Ce référentiel de qualification des impacts doit être validé par la Direction générale.

Un exemple de référentiel est montré ci-dessous.

Type d’impact

Description

Niveau 1 : Mineur

Niveau 2 : Considérable 

Niveau 3 : 

Majeur

Niveau 4 : Catastrophique

Perte financière

Manque à gagner

Pénalité de retard

Perte de trésorerie

Perte < 500 K€

500 K€ <perte< 2 000 K€

2 000 K€ <perte< 10 000 K€

Perte > 10 000 K€

Perte d’image

Perte de confiance

Perte de clientèle

Faibles nuisances nécessitant quelques jours pour être résorbées

Nuisances significatives nécessitant quelques semaines pour être résorbées

Nuisances significatives nécessitant quelques mois pour être résorbées

Nuisances significatives nécessitant plus d’un an pour être résorbées

Perte de productivité

Rupture du processus décisionnel

Désorganisation liée au fonctionnement dégradé

Surcharge pour rattraper le retard

Faible nuisance interne

Désorganisation significative limitée à un service traitant l’activité

Désorganisation durable de plusieurs services, dont celui traitant l’activité

Désorganisation durable de l’entreprise

Pénalité contractuelle réglementaire

Non-respect des obligations contractuelles, réglementaires

Remarque des autorités d’inspection, audit

Litige traité dans un cadre amiable

Lettre d’avertissement, sanctions

Assignation de l’entreprise

Suspension d’agrément

Retrait d’agrément

Étape 3 : Évaluez les impacts d’une interruption des activités 

Une fois votre périmètre et votre référentiel de qualification des niveaux d’impact élaborés, vous allez pouvoir évaluer chacune des activités en leur associant des types et des niveaux d’impact.

Pour cette étape, détaillons ensemble le quand, le qui et le comment.

Quand faire une évaluation des impacts ?

L’évaluation des impacts est faite en tenant compte des possibilités de fonctionnement dégradé. Il est nécessaire de se situer au moment d’une échéance importante, pour maximaliser l’impact.

Vous pouvez par exemple procéder à cette évaluation le jour du déclenchement mensuel du paiement des salaires.  Certain font allusion à loi de MURPHY : tout ce qui est susceptible d'aller mal, ira mal.  On constate souvent que cela arrive au pire moment.

Qui évalue les impacts ?

L’évaluation des impacts est faite avec le responsable de l’activité et ses adjoints opérationnels.

Comment évaluent-ils les impacts ?

Vous pouvez collecter les données en menant des interviews, par envoi de questionnaire, ou par atelier regroupant plusieurs responsables d’activité. L’interview préparée par l’envoi d’un ordre du jour est préférable. Le compte rendu de la réunion doit être validé par les personnes interviewées.

Dans tous les cas, vous devez également faire valider par le directeur de l’activité les résultats transmis par les répondants . Celui-ci fa une vision plus complète du fonctionnement de l’activité.

En les classant par DMIA croissant, vous en déduisez les « activités prioritaires » et ainsi l’ordre de redémarrage souhaité des activités, avec les délais.

Quelle est l’heure de début du DMIA ? Quelle est l’heure de fin du DMIA ? 

Vous devez faire préciser ces deux points. Le début démarre-t-il au moment du constat du sinistre ou au moment de l’activation du PCA ? Qui déclare qu’une activité est redémarrée ? En général, il faut plusieurs éléments : reprise d’activité de plusieurs applications/services informatiques, contrôles du fonctionnement de l’activité, etc.

Un exemple de résultats

Dans les deux tableaux ci-dessous, vous trouvez un exemple de résultat du BIA d’une Direction des ressources humaines. L’OMCA ne figure pas dans le premier tableau. Vous le trouverez dans le tableau suivant. Il est matérialisé par un nombre de positions de travail (nombre de personnes) cumulé à rendre opérationnelles en fonction du temps.

Selon chaque activité RH et chaque type d'impact identifié (perte financière, perte d'image, perte de productivité, pénalité réglementaire), on qualifie l'impact (majeur, mineur) et donc on définit le DMIA et le PMDT en heures et jours acceptables
Les impacts DMIA et PMDT des activités RH
pour chaque fonction RH, on estime selon différents temps (H+4, J+1, J+2, J+5 ou J+10) le nombre de positions de travail nécessaires selon les impacts définis auparavant.
La montée en charge des positions de repli

Ces deux tableaux existent de façon détaillée en version téléchargeable et accessible dans ce document OpenDocument dédié.

Étape 4 : Déterminez les ressources/moyens nécessaires aux activités et leurs dépendances

Les activités prioritaires ayant été déterminées, vous devez maintenant demander pour ces activités quels sont les exigences et besoins en termes de ressources (postes de travail, applications informatique, moyens matériels, fournisseurs ou partenaires externes, etc.) pour un mode de fonctionnement jugé acceptable – qui n’est pas forcément le mode nominal.  Ce dernier est le mode de fonctionnement tel qu’il était lors de la survenance de l’événement perturbateur.

Un exemple de résultats

Vous trouverez ci-dessous la suite de l’exemple des activités d’une Direction des ressources humaines. Tout d'abord, les ressources/moyens nécessaires à l’activité. 

Moyens : Application informatique

Autres moyens

Gestion du personnel

Téléphonie

Logiciel de paye

Tampon encreur

GED

Chéquier

Messagerie

Contrat de travail papier

MS Office 

 

 

Ensuite, voici les dépendances nécessaires à l’activité. 

Activités liées

Parties intéressées

Comptabilité pour émission des virements

Banque pour envoi des virements

 

Édition des bulletins de paie

Notez que dans l’exemple de la Direction des ressources humaines, l’activité a besoin pour travailler d’une autre activité, la comptabilité, et de deux parties intéressées externes.

Étape 5 : Faites valider les résultats par la Direction générale

Vous allez ensuite devoir présenter les résultats du bilan d’impact sur l’activité de chaque activité à la Direction générale pour validation.

 Un exemple de résultats 

Vous trouverez ci-dessous un exemple de tableau regroupant le BIA de toutes les activités de l’entreprise classées par DMIA.

Pour chaque activité, on retrouve le DMIA en heures et jour, l'impact noté entre 1 et 4 et l'entité de l'entreprise (RH, Informatique, Finances, etc)
Exemple des résultats du BIA présentés à la Direction générale d'une entreprise 

En résumé 

  • Pour effectuer un BIA, vous devez garder en tête les questions suivantes :

    • Quelles sont vos activités critiques ?

    • Quelles sont leurs durées d’interruption maximales ?

    • Quels sont les niveaux de dégradation de service acceptables ?

    • Quels sont les ressources/moyens nécessaires pour fonctionner, dont les parties intéressées ? 

  • À la fin de ce BIA, vous disposez de plusieurs éléments :

    • la liste de vos activités prioritaires à redémarrer en cas d’arrêt, validée par la Direction générale ;

    • l’explicitation et la justification des besoins de continuité d’activité (contractuelles, réglementaires, d'image, etc.) ;

    • l’indication des ressources minimales nécessaires pour satisfaire aux exigences de continuité d’activité ;

    • la liste des activités liées et des parties intéressées.

Maintenant que vous êtes à même de dresser le bilan d'impact sur votre société, découvrons ensemble comment apprécier les risques qui pèsent sur votre activité. 

Exemple de certificat de réussite
Exemple de certificat de réussite