Dressez le BIA, le bilan d'impact sur votre activité
Dans les chapitres précédents, vous avez défini vos intentions de vous lancer dans une démarche de continuité d’activité. La Direction générale a donné son accord pour démarrer votre plan de continuité d’activité. Je vous propose maintenant de travailler sur une étape essentielle de la démarche : le bilan d’impact sur l’activité ou BIA (ou en anglais, Business Impact Analysis).Découvrons ensemble ce qui se cache derrière ce terme !
Découvrez le bilan d’impact sur l’activité ou BIA
Quelles sont les activités prioritaires suite à la survenance d’un événement perturbateur ?
Pour démarrer, vous devez comprendre les produits et les services clés de votre entreprise et leurs processus pour les livrer. Les objectifs du bilan d’impact sur l’activité est de répondre aux questions suivantes :
Quels sont les priorités et les délais de reprise d’activité ?
Quels sont les ressources/moyens nécessaires à ces activités ?
Quelles sont ses dépendances internes et externes, autrement dit, en cas d’interruption, quelles sont les activités prioritaires à reprendre, et dans quel ordre ?
Il y a quelques années, j’ai réalisé un bilan d’impact sur l’activité dans une entreprise de distribution de thé. J’ai pris en compte les activités logistique, informatique, de ressources humaines, financière, commerciale, etc. J’ai omis le marketing, en supposant que cela n’était pas une activité prioritaire pour ce métier de distribution. Heureusement, l’erreur a été corrigée lors de la validation des activités critiques. Sinon, le BIA aurait été faux et le PCA inefficace.
Pour chaque activité, le BIA évalue trois paramètres :
le délai maximal d’interruption admissible (DMIA). Par exemple 4 heures, 24 heures, etc. Le DMIA classe les activités par priorité de reprise d’activité ;
la PMDT, c’est-à-dire la perte maximale de données tolérable. Par exemple, aucune perte de données, 24 heures de perte de données, etc. Cela dépend de la dernière prise de sauvegarde de recours externalisée nécessaire à la reprise d’activité ;
l’OMCA, c’est-à-dire l’objectif minimal de continuité d’activité. Par exemple, l’activité peut travailler avec la moitié de l’effectif nominal à la fin du DMIA qui marque le début de la reprise d’activité de l’activité.
Le schéma ci-dessous illustre la position dans le temps du délai maximal d’interruption admissible et de la perte maximale de données tolérable, par rapport à la survenance d’un événement perturbateur.
Le DMIA et la PMDT
Pour qualifier les activités prioritaires, vous devez justifier le DMIA, la PMDT et l’OMCA en mesurant les impacts en termes de :
perte financière ;
perte d’image ;
perte de productivité liée à la désorganisation ;
pénalités contractuelles ou réglementaires ;
etc.
Vous verrez dans le chapitre suivant comment vont être appréciés les risques pouvant impacter les ressources/moyens et les parties intéressées nécessaires à ces activités.
En synthèse, l’objectif du BIA est de :
Obtenir une compréhension des produits et services clés de l’entreprise, ainsi que des activités qui permettent de les livrer.
Déterminer les priorités et les délais de reprise des activités.
Identifier les ressources/moyens et les dépendances nécessaires à la continuité d’activité.
Identifier les dépendances (internes et externes, dont les fournisseurs) nécessaires à la continuité et à la reprise des activités.
Élaborez un BIA en cinq étapes
Vous avez compris l’importance du bilan d’impact sur l’activité, mais par où commencer ? Je vous propose une démarche en cinq étapes qui va vous aider à produire un BIA :
Déterminer la totalité des activités de l’entreprise.
Déterminer un référentiel de qualification des impacts.
Évaluer les impacts d’une interruption des activités.
Déterminer les ressources/moyens nécessaires aux activités, et leurs dépendances.
Faire valider les résultats par la Direction générale.
Étape 1 : Déterminez la totalité des activités de l’entreprise
Vous partez en général de la cartographie des processus qui se décompose en sous-processus et en activités. La cartographie doit prendre en compte :
les processus qui concourent directement à la fourniture de produits et services ;
les processus qui supportent leur cœur de métier et forment l’infrastructure de l’entreprise : les achats, les ressources humaines, l’informatique, la comptabilité, etc.
La Direction générale peut réduire dans un premier temps le BIA à un périmètre d’activité considéré par elle comme prioritaire. Vous allez donc travailler sur ce périmètre validé, en y incluant les flux et les parties intéressées internes et externes.
Étape 2 : Déterminez un référentiel de qualification des impacts
Vous devez qualifier un référentiel unique de comparaison de la gravité des impacts. Il va vous permettre de classer l’ensemble des activités de l’entreprise par priorité. Ce référentiel de qualification des impacts doit être validé par la Direction générale.
Un exemple de référentiel est montré ci-dessous.
Type d’impact
Description
Niveau 1 : Mineur
Niveau 2 : Considérable
Niveau 3 :
Majeur
Niveau 4 : Catastrophique
Perte financière
Manque à gagner
Pénalité de retard
Perte de trésorerie
Perte < 500 K€
500 K€ <perte< 2 000 K€
2 000 K€ <perte< 10 000 K€
Perte > 10 000 K€
Perte d’image
Perte de confiance
Perte de clientèle
Faibles nuisances nécessitant quelques jours pour être résorbées
Nuisances significatives nécessitant quelques semaines pour être résorbées
Nuisances significatives nécessitant quelques mois pour être résorbées
Nuisances significatives nécessitant plus d’un an pour être résorbées
Perte de productivité
Rupture du processus décisionnel
Désorganisation liée au fonctionnement dégradé
Surcharge pour rattraper le retard
Faible nuisance interne
Désorganisation significative limitée à un service traitant l’activité
Désorganisation durable de plusieurs services, dont celui traitant l’activité
Désorganisation durable de l’entreprise
Pénalité contractuelle réglementaire
Non-respect des obligations contractuelles, réglementaires
Remarque des autorités d’inspection, audit
Litige traité dans un cadre amiable
Lettre d’avertissement, sanctions
Assignation de l’entreprise
Suspension d’agrément
Retrait d’agrément
Étape 3 : Évaluez les impacts d’une interruption des activités
Une fois votre périmètre et votre référentiel de qualification des niveaux d’impact élaborés, vous allez pouvoir évaluer chacune des activités en leur associant des types et des niveaux d’impact.
Pour cette étape, détaillons ensemble le quand, le qui et le comment.
Quand faire une évaluation des impacts ?
L’évaluation des impacts est faite en tenant compte des possibilités de fonctionnement dégradé. Il est nécessaire de se situer au moment d’une échéance importante, pour maximaliser l’impact.
Vous pouvez par exemple procéder à cette évaluation le jour du déclenchement mensuel du paiement des salaires. Certain font allusion à loi de MURPHY : tout ce qui est susceptible d'aller mal, ira mal. On constate souvent que cela arrive au pire moment.
Qui évalue les impacts ?
L’évaluation des impacts est faite avec le responsable de l’activité et ses adjoints opérationnels.
Comment évaluent-ils les impacts ?
Vous pouvez collecter les données en menant des interviews, par envoi de questionnaire, ou par atelier regroupant plusieurs responsables d’activité. L’interview préparée par l’envoi d’un ordre du jour est préférable. Le compte rendu de la réunion doit être validé par les personnes interviewées.
Dans tous les cas, vous devez également faire valider par le directeur de l’activité les résultats transmis par les répondants . Celui-ci fa une vision plus complète du fonctionnement de l’activité.
En les classant par DMIA croissant, vous en déduisez les « activités prioritaires » et ainsi l’ordre de redémarrage souhaité des activités, avec les délais.
Quelle est l’heure de début du DMIA ? Quelle est l’heure de fin du DMIA ?
Vous devez faire préciser ces deux points. Le début démarre-t-il au moment du constat du sinistre ou au moment de l’activation du PCA ? Qui déclare qu’une activité est redémarrée ? En général, il faut plusieurs éléments : reprise d’activité de plusieurs applications/services informatiques, contrôles du fonctionnement de l’activité, etc.
Un exemple de résultats
Dans les deux tableaux ci-dessous, vous trouvez un exemple de résultat du BIA d’une Direction des ressources humaines. L’OMCA ne figure pas dans le premier tableau. Vous le trouverez dans le tableau suivant. Il est matérialisé par un nombre de positions de travail (nombre de personnes) cumulé à rendre opérationnelles en fonction du temps.
Les impacts DMIA et PMDT des activités RHLa montée en charge des positions de repli
Étape 4 : Déterminez les ressources/moyens nécessaires aux activités et leurs dépendances
Les activités prioritaires ayant été déterminées, vous devez maintenant demander pour ces activités quels sont les exigences et besoins en termes de ressources (postes de travail, applications informatique, moyens matériels, fournisseurs ou partenaires externes, etc.) pour un mode de fonctionnement jugé acceptable – qui n’est pas forcément le mode nominal. Ce dernier est le mode de fonctionnement tel qu’il était lors de la survenance de l’événement perturbateur.
Un exemple de résultats
Vous trouverez ci-dessous la suite de l’exemple des activités d’une Direction des ressources humaines. Tout d'abord, les ressources/moyens nécessaires à l’activité.
Moyens : Application informatique
Autres moyens
Gestion du personnel
Téléphonie
Logiciel de paye
Tampon encreur
GED
Chéquier
Messagerie
Contrat de travail papier
MS Office
Ensuite, voici les dépendances nécessaires à l’activité.
Activités liées
Parties intéressées
Comptabilité pour émission des virements
Banque pour envoi des virements
Édition des bulletins de paie
Notez que dans l’exemple de la Direction des ressources humaines, l’activité a besoin pour travailler d’une autre activité, la comptabilité, et de deux parties intéressées externes.
Étape 5 : Faites valider les résultats par la Direction générale
Vous allez ensuite devoir présenter les résultats du bilan d’impact sur l’activité de chaque activité à la Direction générale pour validation.
Un exemple de résultats
Vous trouverez ci-dessous un exemple de tableau regroupant le BIA de toutes les activités de l’entreprise classées par DMIA.
Exemple des résultats du BIA présentés à la Direction générale d'une entreprise
En résumé
Pour effectuer un BIA, vous devez garder en tête les questions suivantes :
Quelles sont vos activités critiques ?
Quelles sont leurs durées d’interruption maximales ?
Quels sont les niveaux de dégradation de service acceptables ?
Quels sont les ressources/moyens nécessaires pour fonctionner, dont les parties intéressées ?
À la fin de ce BIA, vous disposez de plusieurs éléments :
la listede vos activités prioritaires à redémarrer en cas d’arrêt, validée par la Direction générale ;
l’explicitation et la justification des besoins de continuité d’activité (contractuelles, réglementaires, d'image, etc.) ;
l’indication des ressources minimales nécessaires pour satisfaire aux exigences de continuité d’activité ;
la liste des activités liées et des parties intéressées.
Maintenant que vous êtes à même de dresser le bilan d'impact sur votre société, découvrons ensemble comment apprécier les risques qui pèsent sur votre activité.
Dans les chapitres précédents, vous avez défini vos intentions de vous lancer dans une démarche de continuité d’activité. La Direction générale a donné son accord pour démarrer votre plan de continuité d’activité. Je vous propose maintenant de travailler sur une étape essentielle de la démarche : le bilan d’impact sur l’activité ou BIA (ou en anglais, Business Impact Analysis). Découvrons ensemble ce qui se cache derrière ce terme ! 
