Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


PCA : « Analyse des risques » et « Bilan d’Impact »



Parmi les étapes d’élaboration de Plan de Continuité d’Activité, figurent la « gestion des risques » et « l’analyse d’impact sur les activités ». Ces mots « risque » et « impact » peuvent avoir des significations assez variables selon les cultures des organisations, par exemple, pour une banque ou une société industrielle. Il n’est donc pas étonnant qu’une certaine confusion règne entre ces deux étapes du PCA qui ont des objectifs différents et sont en fait complémentaires. Une clarification n’est donc pas inutile.



Bien cerner les objectifs

Première distinction essentielle : les objectifs de ces deux étapes dans le PCA ne sont pas les mêmes :

• Pour la gestion des risques, l’objectif est de déterminer les scénarios de sinistre les plus probables et de mettre en place des actions pour rendre le risque résiduel acceptable ;

• Pour le bilan d’impact sur l’activité (BIA), l’objectif est de sélectionner les activités critiques de l’entreprise et d’en déterminer les moyens sous-jacents.

A la fin de l’étape « analyse de risque », l’entreprise dispose de plan d’actions d’amélioration et sait hiérarchiser sur une « carte » les principaux scénarios de sinistre qui la menace. Le principal livrable est une cartographie des risques qui positionne les scénarios sur deux axes : conséquences et probabilité d’occurrence.

A l’issue d’un BIA, l’entreprise a clairement identifié ses activités critiques et sait donc ce qu’elle doit redémarrer au plus vite et comment. Le livrable essentiel est une liste d’activités avec la criticité associée.

La gestion des risques définit des scénarios

La gestion des risques dans le PCA imagine ainsi des scénarios de sinistres dont elle évalue les conséquences sur les biens de l’entreprise.

Il est important de préciser que, dans le cadre plus large de « risk managment », la formalisation sous forme de cartographie est aussi utilisée pour un grand nombre de risques qui ne relèvent pas de la continuité d’activité, par exemple les risques stratégiques, les risques de fraude majeure, les risques projet, etc. Pour le PCA, il s’agit de risques opérationnels, susceptibles de compromettre les activités de l’entreprise.

Les sinistres envisagés sont de type inondation, incendie, tremblement de terre, explosion chimique,…bref tout ce qui est d’origine naturelle, humaine ou technique et qui vise les biens de l’entreprise ou les hommes. Il est utile à cette étape de disposer de listes toutes faites.

Les biens victimes sont des centres informatiques, locaux techniques, bureaux, réseau etc. considérés en assez grosse maille cohérente avec le sinistre étudié. Ainsi deux centres informatiques près de la même rivière et à la même altitude seront victimes en même temps de l’inondation.

Les conséquences sont évaluées avec des chiffrages financiers (en EUR) ou en « points » avec des échelles de cotation (du genre 1= faible, 2=moyen, etc.) appelées quelquefois impacts (ce qui contribue à la confusion avec l’analyse d’impact que fait le BIA…).

Les probabilités d’occurrence sont aussi évaluées de deux manières : par une probabilité (un chiffre compris entre 0 et 1) ou par une estimation en points (de type 1= faible, 2=moyenne, 3= forte).

Les chiffrages par points peuvent être relatifs et sont donc plus aisés à manipuler et plus rapides à obtenir. Ils permettent d’établir une cartographie sur laquelle les décideurs peuvent exercer leur « aversion au risque ». Ils ne comportent pas en revanche de valeur financière telle que le « risk management » aime à le pratiquer pour monter des provisions financières, mais tel n’est pas son but.

Cartographie des risques : exemple

PCA : « Analyse des risques » et « Bilan d’Impact »
G= 4 ou zone rouge : scénario inacceptable

Un exemple de scénario coté 4 est celui de l’inondation des deux sites informatiques proches. Le déménagement de l’un des sites en altitude fait sortir ce sinistre de la zone rouge. Il n’y a plus alors que deux sinistres de gravité niveau 3 : l’explosion Sévéso et l’incendie par exemple.
On le voit sur cet exemple : le risque est réduit et les scénarios de sinistres –dans lesquels le Plan de reprise devra s’exécuter- sont cernés.


Le BIA se tourne vers les métiers

Le Bilan de l’Impact sur l’Activité ou Business Impact Analysis est orienté métier. Pour savoir quelles sont les activités les plus critiques de l’entreprise, l’exercice consiste à imaginer la disparition d’une activité - quelles qu’en soient les causes- et de regarder l’effet que cela produit.

Cet effet peut se caractériser par une perte de chiffre d’affaires, une baisse de résultat, un défaut d’image, une violation d’un règlement, etc. Les paramètres à prendre en compte sont à discuter ainsi que le chiffrage qui là encore peut se faire en points ou en Euros. Très souvent on accumule des points selon différents critères pour parvenir à un total dénommé « criticité ».

Dans la pratique, une question revient souvent : celle de la durée de l’interruption. L’absence de tel processus pendant une heure n’a pas d’effet alors que s’il disparaît un jour c’est la catastrophe. On voit alors la criticité augmenter avec la durée de la panne. Lorsque la criticité franchit un seuil dit critique, on atteint le DIMA : Délai d’Interruption Maximale Admissible.
PCA : « Analyse des risques » et « Bilan d’Impact »

Sur cet exemple, le processus en bleu devient critique au bout d’un jour. Le processus en rouge en quatre jours, pour un seuil de criticité fixé à 9.

Connaissant les processus critiques ainsi classés par criticité décroissante, il ne reste plus qu’à déterminer les moyens sous-jacents (informatiques, locaux, RH, etc.) et d’étudier le PRA, c'est-à-dire leur reconstitution en cas de sinistre, heure par heure, jour par jour afin de ne pas dépasser les DIMA.

Il est important de noter que les sinistres ayant été cernés précédemment, le PRA (Plan de reprise d’activité) peut être construit en tenant compte des circonstances : si l’on sait que l’inondation est le sinistre le plus probable, on prendra les dispositions appropriées pour ne pas construire un PRA irréalisable les pieds dans l’eau !

On voit ainsi clairement que gestion de risques et BIA sont différents mais complémentaires et servent tous deux à construire un PRA réaliste et efficace.

Conclusion : la complémentarité des approches

Répondant à des objectifs différents dans le cadre du PCA, « analyse des risques » et « Bilan d’impact sur l’activité » doivent être précisément organisés et réalisés. L’implication des responsables d’activité métier et des moyens généraux est importante.

La première fois que ces analyses et bilans sont faits est toujours la plus difficile à cause de la méthode et de l’instrumentation (légère) à mettre en place et de l’absence d’antécédents sur les évaluations. La révision régulière de ces analyses les années suivantes est en revanche assez aisée et doit se focaliser sur ce qui a changé entre temps.

Il est important de noter aussi que le management de l’entreprise est moteur sur ces points et peut orienter ou simplifier les études par des décisions :

• Un scénario peut volontairement être écarté : s’il se produit, l’entreprise ne fera rien mais l’a décidé ainsi ; on trouve ces situations sur des sites provisoires par exemple ou des lieux qui vont être abandonnés sous peu.
• Une activité peut être déclarée d’entrée de jeu comme critique, le BIA la concernant est alors simplifié, il en va de même d’activités déclarées secondaires.
• Les scénarios étudiés par les communes (en France, dans les Plans Communaux de Sauvegarde) donnent des indications très utiles et souvent suffisantes pour déterminer le champ des risques.

Dans tous les cas, l’entreprise y gagne en connaissance de son environnement de risques et en maîtrise de sa sensibilité aux sinistres et peut ainsi construire un PRA réaliste et ciblé sur le principal.
Emmanuel Besluau
Lundi 12 Avril 2010

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter