Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


BIA : cinq erreurs à ne pas commettre


Si l'analyse BIA est au coeur des démarches modernes de management de la continuité, elle est encore assez nouvelle dans les faits et les erreurs de méthode sont encore fréquentes. Petite revue de détail.



BIA : cinq erreurs à ne pas commettre
Le BIA (Business Impact Analysis) est une étape incontournable de tout Plan de Continuité d'Activité.

Il permet de répondre à des questions comme : "quelles activités doivent être continuées ?" "ou reprise en priorité ?" ... "sous quels délais ?" ... "avec quels moyens ?" Autant dire que le BIA est un point de départ essentiel.

Cependant, cette analyse de l'entreprise à la recherche de ses activités critiques est très délicate.

Dans notre pratique de conseil sur ce sujet, nous voyons des manières de faire qui, à l'usage, nous paraissent vraiment être des erreurs à éviter !

Passons en revue quelques exemples.


Erreur N°1 : se tromper de définition

Le BIA (Business Impact Analysis) a pour objectif de déterminer les activités essentielles ou critiques de l'entreprise. Accessoirement, il permet aussi de statuer sur les délais d'interruption maximum admissible pour lesdites activités.

Ni plus, ni moins.

Le BIA ne traite que des activités métiers ("business" ou "de service public" selon les cas) de l'entreprise, sans considération pour les moyens -du moins dans un premier temps.

Il faudra dans une démarche de BIA répondre à des questions comme : "est-ce que mon activité vente à distance est importante ?" ou encore : "combien de temps peut-elle s'arrêter suite à sinistre ?".

D'autres questions sur le moyens ne font pas partie d'une démarche de BIA. Ainsi se poser la question "si tels serveurs s'arrêtent, quel est l'impact sur les métiers ?" ne fait pas partie de la démarche !

Le BIA consiste à évaluer l'effet de la disparition de telle activité pour l'entreprise. Il ne consiste pas à évaluer l'effet sur les métiers de la perte des moyens ! Ce point est fondamental !

L'analyse sur les moyens est à faire aussi ! Ils sont essentiellement exposés à des risques. C'est une étude que nous recommandons de mener en parallèle mais qui ne fait pas partie du BIA.

Erreur N°2 : raisonner sur un modèle

Comme disait en substance Paul Valéry, "un modèle exploitable est forcément faux, un modèle précis est forcément inutilisable". En ce sens, il nous est arrivé de voir des démarches de BIA lancées par des experts en modèles de processus qui aboutissaient à des choix jugés comme "grotesques" (sic) par la Direction Générale, car trop éloignés de la réalité terrain.

Le modèle de processus se situe à un bon niveau d'abstraction et s'éloigne nécessairement de la "réalité terrain". Or, la particularité du BIA est d'envisager des sinistres, des désastres conduisant à des interruptions d'activités concrètes !

Les modèles de processus sont souvent transverses par rapport à l'organisation opérationnelle. Une sélection d'activités critiques faite en chambre sur un modèle risque de classer prioritaires et critiques des activités transverses dont "personne ne se soucie" (je cite deux cas réels récents). La relation avec les opérationnels étant ensuite difficile à établir, procéder ainsi est une perte de temps...

Le BIA raisonne forcément sur la réalité et ses défauts, loin du modèle idéal...

Erreur N°3 : ne pas consulter les bonnes personnes

En partie lié à ce qui précède, il est courant de voir des analyses de BIA qui restent cantonnées à des équipes fonctionnelles (ou de staff) telles que celles qui sont en charge de l'audit, du "risk management" ou de la qualité par exemple.

Autant il est important d'impliquer ces équipes lorsque le BIA a été fait au bon endroit dans l'entreprise, autant il ne faut pas commencer par ces équipes si l'on ne veut pas déresponsabiliser les opérationnels !

Les opérationnels responsables métiers sont les seuls à pouvoir évaluer ce qui est critique et essentiel dans ce qu'ils font. Eux seuls sont à même d'exprimer une exigence en matière de continuité (à valider par la Direction Générale).

Il nous arrive d'aller voir des directions opérationnelles et de constater qu'elles n'ont pas été consultées pour le BIA. Nous sommes alors sûrs que le BIA n'a pas de fondement concret dans l'entreprise.

Il faut noter que les gestionnaires de moyens (ou fonctions de support) n'ont pas d'exigences en propre... autres que celles que les métiers leur répercutent. Le Plan de continuité de l'informatique par exemple, ne se justifie pas tout seul ! Il n'existe que parce-que des métiers critiques l'exigent !

Seuls les opérationnels métiers sont capables d'exprimer des exigences de continuité sur leurs métiers dans le BIA.

Erreur N°4 : raisonner de bas en haut (bottom-up)

Enfin, dernier travers à noter, qu'affectionnent tout particulièrement les vendeurs de jour-hommes de junior : l'approche bottom-up.

Cette approche consiste à analyser dans le détail (le bas) les processus de l'entreprise en les prenant un par un. On passe ainsi en revue sur une période de huit à douze mois les 380 processus (chiffre que l'on nous a cité) que l'on arrive à identifier d'une manière ou d'une autre...

Au bout d'une plongée longue, l'analyse aboutit à "32 processus critiques". Avec une facture conséquente.

Nous croyons fermement qu'une discussion au bon niveau (ou au top) avec les directions, nous permet très vite de classer :
  • ce qui est clairement critique
  • ce qui n'est clairement pas critique
  • la "zone grise" à aller voir de plus près

La manière de procéder top-down va directement à l'essentiel avec une vision qui est celle de la Direction générale, la seule ayant sens dans l'entreprise.

Erreur N°5 : confondre le BIA avec une analyse de risque

Cette confusion vient peut-être de l'emploi du mot "impact" dans le BIA.

Lorsqu'on évalue l'impact de l'arrêt d'une activité, on évoque la hausse de la douleur dans le temps.

On se prête à une simulation : "si cela s'arrête deux heures, pas de problème ; une journée à la rigueur...deux jours c'est délicat, mais plus de deux jours impossible !" ainsi le délai maximum d'interruption admissible sera de deux jours.

Et on évalue l'impact en terme de perte financière, d'image ou de violation réglementaire par exemple.

Il n'est question dans cette étude ni de risque ni de vraisemblance que tel ou tel événement nocif se produise. Ce n'est pas une appréciation de risque.

(en continuité les risques vont viser les moyens sous-jacents aux activités c'est un autre chapitre.)

Le BIA identifie les activités prioritaires à continuer ou redémarrer quel que soit le contexte.

Bref, en résumé

Ainsi donc une approche de BIA correcte de notre point de vue :

  • cherche à évaluer l'impact de la disparition d'une activité métier sur l'entreprise et ainsi d'identifier ce qui est essentiel pour elle;

  • doit se calquer à la réalité terrain et fuir les modèles qui font abstraction des vicissitudes terrestres...

  • doit obligatoirement consulter les responsables métiers (et non directement les gestionnaires de moyens)

  • doit partir du haut et se focaliser vite sur ce qui est critique, pour être exhaustif sans tout passer en revue.

  • et enfin, ne doit pas être confondue avec une analyse de risque, le but est de déterminer les activités prioritaires dans l'entreprise, pas le risque de les perdre !

A ces conditions, le BIA sera efficace et raisonnablement ciblé en délai et en coûts.
Emmanuel Besluau
Lundi 16 Février 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter