Analyser ses impacts business en cas de sinistre

La vocation des plans de continuité d’activité (Business Continuity Plans) est de répondre à des situations critiques, rares mais pouvant avoir des impacts très forts. Les scénarios de sinistres pris en compte peuvent varier d’une entité à une autre. S’il s’agit souvent d’une indisponibilité d’un site principal (inondation, incendie, accident industriel), on peut aussi intégrer d’autres scénarios : pandémie, conflit social, attaque cyber de grande ampleur, rupture des services d’un prestataire essentiel. La démarche pour concevoir son système de management de la continuité d’activité est l’objet de la norme ISO 22301. Une étape initiale consiste à analyser les impacts métiers (Business Impact Analysis) pour identifier les activités critiques et les besoins de reprise. La norme ISO 22317 fournit un cadre et des bonnes pratiques pour réaliser cette analyse.

Analyser les impacts métiers

le processus d’analyse des impacts métiers doit attribuer un niveau de priorité aux différentes tâches de l’entité afin que la fourniture d’un service ou d’un produit puisse reprendre dans un délai maximal déterminé. Par exemple, dans le cas d’une attaque cyber de type « ransomware », l’analyse des impacts métiers devra déterminer les activités à reprendre en priorité et sous quel délai. Cela nécessite une bonne cartographie des activités de l’entité et une priorisation des tâches en s’attachant à l’essentiel. La première étape de l’analyse consiste à hiérarchiser les produits et les services. On peut ainsi choisir en mode « dégradé » d’ignorer certaines obligations contractuelles. Il faut comprendre les impacts d’un incident perturbateur qu’ils soient financiers, liés à la réputation, légaux et réglementaires, contractuels ou en lien avec les objectifs business. Ces niveaux d’impacts augmentent avec le temps mais pas forcément au même rythme. Par exemple un impact financier augmentera brusquement lors de l’application des pénalités contractuelles. Cette analyse permet de définir le délai au bout duquel la rupture de service ou l’incapacité à conduire une activité devient inacceptable. Les délais de reprise (Return Time Objective ou Durée Maximale d'Interruption Admissible) sont structurants pour la mise en œuvre du PCA. Il faut hiérarchiser les processus critiques autant d’un point de vue métiers que supports : dépendance entre les processus et priorités. On retrouve la notion de perte maximale de données admissibles (PDMA) ou Return Point Objective (RPO) indispensable pour calibrer les systèmes de sauvegarde et de restauration des données.

Hiérarchiser et identifier les ressources

La hiérarchisation des activités permet de définir concrètement les ressources indispensables à la reprise : les personnes, les compétences, la documentation, les systèmes d’information, les sous-traitants, la logistique. Il faut garder en tête que l’on est en mode « survie » et non nominal afin de limiter à un niveau acceptable les coûts financiers qui répondent par définition à des situations exceptionnelles. Les tableaux de type SIPOC (Supplier Input Process Output Customer) sont un exemple de méthodes qui peuvent être utiles. L’analyse complète et les tableaux de ressources sont un livrable important qui doit être validés par la direction. L’analyse devra être revue régulièrement, si possible une fois par an ou en cas d’évolution majeure, par exemple la prise en compte d’un nouveau scénario de sinistre.

Suites de l’analyse

Les résultats de l’analyse vont alimenter les discussions pour choisir les stratégies de continuité : types de site de repli, solutions de substitution pour les approvisionnements, secours informatique, solutions de contournement et procédures alternatives. Viendront ensuite les autres phases de mise en œuvre et de test des plans.

Les projets BIA sont sensibles et requièrent une attention particulière et un réel support de la direction. Considéré à juste titre comme les fondations des PCA, ils sont structurants pour la réussite des opérations de continuité. Ils constituent par ailleurs une donnée essentielle pour déterminer le coût global de revient des plans. Si les ressources demandées sont trop importantes ou que des processus peu critiques sont inclus sans raisons objectives et documentées, les coûts de mise en œuvre et récurrents d’exploitation ne seront pas justifiés.

 

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

ISO 27035, PCA, BCP, IS0 22301, ISO 22317, ContinuitéActivités, Crises