Duquesne Group Duquesne Group

English version
Consulting

Nos experts sont des professionnels internationaux de haut niveau, issus de cabinets de conseil renommés, de grandes DSI ou d'acteurs majeurs du secteur technologique. Ils sont au service des clients, dans une démarche caractérisée tout autant par la méthode et la rigueur que par le pragmatisme opérationnel. Contactez-nous pour en savoir +
French version
Consulting

Our experts are top level international professionals, veterans of leading consulting companies, prestigious research firms, large IT organisations or major players in the information technology industry. Focused on client service, their approach is rigorous and methodical, and at the same time pragmatic and operational. Contact us to find out more


Guide pratique pour mener un BIA

Le BIA (Bilan de l'impact sur l'activité) est un élément important d'un Plan de Continuité d'Activité. Il permet de répondre à des questions comme : "quelles activités doivent être continuées ?" "sous quels délais ?" "avec quels moyens ?" Autant dire que c'est un point de départ essentiel.


Guide pratique pour mener un BIA

Présentation de la démarche de BIA

La démarche de BIA suit l’analyse de risque normalement faite au préalable. On constate toutefois que bien des sociétés font cette démarche directement, considérant qu’elles ont pallié les risques les plus élevés dans des actions antérieures.

Le BIA précède la démarche d’élaboration de la stratégie de continuité car il permet l’identification des moyens critiques sur lesquels la stratégie va porter.

L’objectif du BIA est triple :
• Déterminer les processus critiques (ceux dont la perte empêche l’entreprise de mener sa mission à bien) et leurs paramètres (durée maximale d’interruption admissible, etc.)
• Déterminer les moyens sous-jacents à ces processus critiques (informatique, réseau, bureau, RH,…)
• Identifier les besoins en termes de mode dégradé et de procédures associées.

L’analyse de BIA permet d’évaluer l'impact sur un processus ou une activité de la survenance d’un sinistre occasionnant son arrêt.

Comme cette approche est « business » les processus à regarder sont à priori ceux qui sont tournés vers le client, et dont la perte a un impact en termes de chiffre d’affaires, de qualité de service ou d’image. Les autres processus ne sont à étudier que lorsqu’ils sont support de processus critiques, dont ils héritent alors la criticité. Par exemple, les processus de "supply chain" entrent souvent dans cette catégorie.

En demandant aux responsables de processus d’évaluer l’impact négatif d’un sinistre sur leurs activités, le BIA permet à la société de mieux cerner les processus sur lesquels doivent porter les efforts de résilience et de reprise.

Les tableaux d’analyse

Guide pratique pour mener un BIA
Les tableaux utilisés pour recueillir les évaluations d’impacts sont à construire (voir modèle dans l’ouvrage « management de la continuité d’activité » 2008 et 2010 Ed Eyrolles). Un exemple est fourni ci-dessus.

Le découpage à retenir, pour l’évaluation des processus, est celui réalisé par la société présentant les macro-processus et les processus. Si ce découpage n’existe pas, il faut en créer un qui reprenne l’organigramme par exemple. Ce travail de découpage est loin d'être trivial et l'aide d'un spécialiste du cabinet peut être utile.

Chaque processus doit être évalué pour une hypothèse d’interruption à indiquer dans le tableau (ex : moins de quatre heures, de quatre heures à un jour, de un jour à deux, etc. ) Il est bon de typer ces durées pour avoir des évaluations comparables d'un responsable à l'autre.

Il convient de regarder chaque type d’impact comme :
• sur le chiffre d’affaires, perte de revenus, mais aussi pénalités, frais divers, etc.
• le non-respect d’un contrat client (en termes de qualité, de niveau de service),
• la détérioration de l’image (atteinte à la réputation de la société),
• le non-respect d’une contrainte juridique ou règlementaire relative aux lois applicables ou aux règlements des tutelles.

Les types d'impacts à prendre en compte peuvent être listés dans un document préalable lorsque le management de la société le souhaite.

L’évaluateur connaissant son processus, doit se livrer à un exercice mental particulier dans lequel il imagine les conséquences d’un arrêt complet du processus analysé, sans se préoccuper des causes. Les considérations complémentaires, consistant à concevoir un mode dégradé de fonctionnement par exemple, sont intéressantes mais sont à séparer dans un premier temps.

Le système de notation, qui permet d’évaluer la « douleur » due à la perte de chaque processus sur la durée considérée est étagé en quatre niveau d’impact :

• 0 : pas d’impact
• 1 : impact supportable
• 2 : impact gênant mais traitable
• 3 : impact fort à éviter absolument

Les impacts évalués en Euro par exemple sont à convertir en notes tenant réellement compte de l'importance de la perte du processus.

Durant l’entretien, le tableau est rempli selon ce système.

Dès qu’une appréciation 3 est mise alors le processus est critique et son DMIA (Délai maximum d’interruption admissible) est la durée pour laquelle cette note a été mise pour la première fois.

Une sélection des processus critiques et de leur DMIA est alors possible.

Les moyens sous-jacents

Pour les processus critiques (et uniquement pour eux) il faut déterminer tout ce qui concourt à leur fonctionnement normal comme :
• des applications informatiques ;
• des matériels particuliers ;
• des positions ou postes de travail avec PC, tables, chaises, etc.
• des compétences particulières correspondant à des personnels à identifier ;
• des données spécifiques (sur divers supports)
• etc.

La collecte de ces éléments est progressive : elle commence en réunion et se prolonge par une réflexion des personnes interrogées avec leurs équipes. La liste se construit et se valide progressivement.

Chaque élément sous-jacent à un processus critique devient critique lui-même avec la durée DMIA correspondante.

Une remarque particulière est à faire sur les processus qui supportent un processus critique et deviennent alors critiques eux-mêmes. Il faut alors mener le même questionnement sur eux.

Les modes dégradés

Pour chaque processus critique, il convient de déterminer :
• si des fonctionnements en mode dégradé existent : auquel cas il faut en recueillir la pratique et demander au responsable interrogé de la documenter succinctement ;
• si des modes dégradés utilisables seraient souhaitables, auquel cas le responsable interviewé doit lancer une étude pour l’élaborer et le documenter.

Si ces modes dégradés ont besoin de moyens (tels que mode de transport, PC portable avec connexion à domicile, intérimaires…) il convient de le noter et de vérifier leur compatibilité avec les scénarios de risques étudiés à l’étape précédente.

Il faut s’assurer que ces modes dégradés sont documentés et gérés dans la durée.

Dans la pratique, on constate que le fait de réfléchir au sinistre permet d’élaborer des modes dégradés intéressants.

Le couplage avec la suite

La suite de la démarche PCA prévoit d’élaborer une politique de continuité des moyens critiques.

Après avoir classé les moyens critiques par catégories (informatique, locaux, PC, etc.) la stratégie de continuité se tourne vers les responsables de ces moyens pour définir ce qui sera fait en cas de sinistre les rendant inutilisables.

Deux grandes options sont alors étudiées :
• le remplacement des moyens : la machine sinistrée est remplacée par une autre plus ou moins semblable et dans un délai plus ou moins long ;
• le recours à un service de substitution qui remplace celui que l’on ne peut plus fournir.

Cette démarche se mène dans l’entreprise avec les responsables qui travaillent sur les moyens (en définition d’architecture ou en exploitation) et les responsables de fourniture de services externes lorsque ceux-ci sont externalisés.

La société connaît alors ses processus critiques et les exigences sur les moyens à mettre en oeuvre pour résister ou répondre au sinistre.
Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share

Planifier la continuité des activités | Sécuriser les informations et les systèmes | Optimiser les infrastructures informatiques | Améliorer les services IT aux clients