PCA / PRA & Continuité d'Activité

Formation PCA / PRA — Continuité d'Activité

Module 2 : Analyse des risques & BIA

Module 2 : BIA & risques 25 min de lecture

2.1 Business Impact Analysis (BIA)

Le BIA est la pièce maîtresse de toute démarche PCA. Il identifie les processus critiques de l'organisation, mesure les impacts d'une interruption et fixe les RTO/RPO/MAO. Sans BIA rigoureux, aucune stratégie de continuité n'est crédible.

Les 4 indicateurs clés issus du BIA

RTO

Temps max avant reprise

RPO

Données max perdues

MAO

Seuil de rupture

MBCO

Niveau minimal acceptable

Qu'est-ce que le BIA ?

Le Business Impact Analysis (BIA) — analyse d'impact sur l'activité — est l'étape fondatrice de toute démarche PCA. Son objectif : identifier les processus métier critiques de l'organisation, quantifier les impacts d'une interruption et fixer les objectifs de reprise.

La norme ISO 22317:2021 dédie un guide complet au BIA. Méthodologie en 5 étapes principales :

Cartographier les processus de l'organisation, en remontant aux objectifs métier (vente, production, support).
Évaluer les impacts d'une interruption selon plusieurs axes : financier, opérationnel, réputationnel, juridique, humain, environnemental.
Déterminer la criticité de chaque processus en fonction de la dynamique temporelle des impacts.
Identifier les dépendances : ressources humaines, applications, infrastructures, fournisseurs, locaux.
Fixer les RTO, RPO et autres objectifs de reprise pour chaque processus critique.

Méthodes de collecte typiques :

Entretiens avec les responsables métier (1 à 3 heures par processus).
Ateliers par direction (3 à 6 heures).
Questionnaires structurés en complément.
Examen documentaire : cartographie des SI, procédures, contrats fournisseurs.
Analyse des incidents passés et de leur impact réel constaté.

Un BIA complet sur une PME mobilise typiquement 2 à 4 mois. Sur un grand groupe, 6 à 12 mois. C'est l'investissement initial le plus structurant du PCA — un BIA bâclé condamne la suite du dispositif.

« Le BIA n'est pas un exercice technique mais un dialogue entre direction générale et métiers. Il révèle souvent des dépendances ignorées et oblige à hiérarchiser ce qui ne l'était pas. »
— Guide ANSSI sur le PCA, édition 2024

RTO : Recovery Time Objective

Le RTO (Recovery Time Objective) est le temps maximal accepté entre la survenue d'un sinistre et la reprise d'un processus métier à un niveau acceptable.

Exemples concrets de RTO typiques :

Processus / Domaine	RTO typique	Justification
Salle de marché bancaire	15 minutes	Perte directe de revenus + risque systémique
Plateforme e-commerce (jour de soldes)	30 minutes - 2 h	Perte de chiffre d'affaires en temps réel, image de marque
Système de paiement bancaire	2 h	Continuité des transactions clients
SI hospitalier (dossier patient)	4 h	Continuité des soins, dossiers médicaux
ERP industriel (production)	8 h	Pertes production proportionnelles à la durée
Paie	72 h	Versement mensuel, marge de manœuvre
Bureautique standard	24-48 h	Solutions de contournement possibles
Reporting interne mensuel	7-15 jours	Faible impact à court terme

Le RTO conditionne directement la stratégie technique du PRA :

RTO < 15 min : haute disponibilité, sites actifs/actifs, réplication synchrone — coût très élevé.
RTO 15 min - 4 h : sites actifs/passifs avec bascule automatique ou semi-automatique.
RTO 4-24 h : site de secours chaud (warm site) ou tiède (warm), restauration semi-automatisée.
RTO 24-72 h : site froid, restauration manuelle depuis sauvegardes.
RTO > 72 h : éventuellement pas de PRA spécifique, reconstruction sur la base d'une simple sauvegarde.

Subtilité RTO : le RTO se mesure processus par processus, pas globalement. Une banque peut avoir un RTO de 15 min pour ses paiements et de 7 jours pour son intranet RH. La granularité est essentielle au bon dimensionnement économique.

RPO : Recovery Point Objective

Le RPO (Recovery Point Objective) est la quantité maximale de données accepté en perte en cas de sinistre. Il s'exprime généralement en durée (minutes, heures, jours de données).

Exemples :

RPO = 0 (zéro perte de données) : exige une réplication synchrone sur un site distant. Toute transaction est dupliquée en temps réel. Coût très élevé, latence réseau exigeante. Cas typique : trading haute fréquence, paiements bancaires interbancaires.
RPO < 15 minutes : réplication asynchrone à fréquence très haute, journal de transactions en quasi-continu. ERP critiques, SI bancaires.
RPO = 1-4 heures : sauvegardes incrémentales fréquentes. Cas standard pour applications critiques.
RPO = 24 heures : sauvegardes journalières classiques. Cas le plus courant en PME.
RPO = 7 jours : sauvegardes hebdomadaires uniquement. Acceptable pour des données peu volatiles.

Erreur classique : confondre RPO et fréquence de sauvegarde. Une sauvegarde toutes les 4 heures donne un RPO maximum de 4 heures, mais la moyenne réelle est de 2 heures. Le RPO est l'engagement maximum, pas la moyenne.

Le RPO conditionne :

La fréquence et le type de sauvegarde (snapshot, incrémental, complet, log shipping).
La technologie de réplication : synchrone (RPO=0), asynchrone, par batch.
La capacité réseau entre les sites (bande passante, latence).
Le coût de la solution : un RPO de 0 coûte 10 à 100 fois plus cher qu'un RPO de 24 h.

« La tentation systématique des métiers est de demander RPO=0 partout. Le rôle du BIA est de leur faire mesurer le coût et arbitrer rationnellement. »
— Étude IDC sur les SI bancaires, 2024

— Publicité —

MAO et MTPD : le seuil de rupture

Le MAO (Maximum Acceptable Outage), ou MTPD (Maximum Tolerable Period of Disruption), est le seuil temporel au-delà duquel l'organisation ne pourra plus se relever — c'est le « point de non-retour ».

Le MAO est toujours supérieur ou égal au RTO : on doit prévoir une marge de sécurité entre le RTO (engagement opérationnel) et le MAO (limite vitale).

Exemples :

E-commerce : RTO = 2 h, MAO = 24 h (au-delà, perte clients massive, faillite possible si site indisponible plus longtemps).
Industrie alimentaire frais : RTO = 4 h, MAO = 48 h (chaîne du froid + livraisons clients).
Banque de détail : RTO = 4 h, MAO = 72 h (clients vont chez concurrents).
Cabinet d'avocats : RTO = 24 h, MAO = 2 semaines (procédures en cours).
Université : RTO = 48 h, MAO = 1 mois (semestre académique).

Le MAO est rarement explicite dans la discussion avec les métiers — il faut le faire émerger par des questions ciblées : « Si ce processus reste arrêté X jours, est-ce qu'on perd définitivement des clients ? Des marchés ? La marque ? L'entreprise ? »

Le MBCO (Minimum Business Continuity Objective), parfois aussi appelé « niveau dégradé acceptable », est le niveau minimum d'activité qui doit être maintenu en mode crise pour préserver la survie. Ex : un e-commerce peut accepter 30 % de son activité normale via un mode dégradé (catalogue partiel + paiement basique).

Cohérence des indicateurs : RTO ≤ MAO obligatoirement. Si le BIA révèle un processus avec RTO = MAO, c'est qu'il n'y a aucune marge — situation très risquée à corriger.

Axes d'évaluation des impacts

Le BIA évalue les impacts d'une interruption selon 6 axes complémentaires :

Financier : perte de chiffre d'affaires direct, pénalités contractuelles, coûts de récupération, perte de productivité, coût des heures supplémentaires.
Opérationnel : arrêt de production, retards de livraison, dégradation de la qualité, mobilisation de ressources de secours.
Réputationnel : couverture médiatique négative, perte de confiance des clients, partage social négatif, atteinte à la marque.
Juridique et conformité : sanctions administratives, contentieux civils, défaut de notification (RGPD, NIS2, DORA).
Humain : santé et sécurité des salariés, des clients, des riverains, conséquences sociales.
Environnemental : pollution, déversements, défaillance d'équipements critiques de protection.

Pour chaque axe, on évalue l'impact à plusieurs paliers temporels : 1 heure, 4 heures, 24 heures, 72 heures, 1 semaine, 1 mois. La courbe d'impact permet de visualiser à quel moment chaque processus devient critique.

Format type d'une fiche BIA par processus :

Élément	Contenu
Nom du processus	Ex : « Traitement des commandes clients »
Responsable métier	Direction commerciale
Description	Réception → validation → préparation → expédition
Volumétrie	~ 2 000 commandes/jour, pic à 5 000 en haute saison
Dépendances IT	ERP SAP, CRM Salesforce, WMS Manhattan, EDI fournisseurs
Dépendances humaines	15 ETP service client + 8 ETP préparateurs entrepôt
Dépendances fournisseurs	Transporteurs (Geodis, DPD), banque (paiement CB)
Impact financier	150 k€/jour de CA, marge 30 %, pénalités 5 k€/jour de retard
Impact réputationnel	Risque viralité réseaux sociaux dès 4 h d'arrêt
RTO	2 heures
RPO	30 minutes (perte max commandes en cours)
MAO	24 heures
MBCO	30 % en mode dégradé (pas d'EDI, traitement manuel)

— Publicité —

Hiérarchiser les processus critiques

À la sortie du BIA, on dispose d'une cartographie hiérarchisée des processus. Classification typique :

Niveau 1 — Vital : processus dont l'arrêt > quelques heures menace la survie. À sauvegarder à tout prix. RTO court, RPO faible. Investissement maximum.
Niveau 2 — Critique : processus dont l'arrêt > 24 h cause des dégâts importants. RTO 4-24 h, RPO de 1 à 4 h. Stratégie active.
Niveau 3 — Important : processus dont l'arrêt > 72 h gêne fortement. RTO 24-72 h, RPO 12 h. Stratégie standard.
Niveau 4 — Non critique : processus dont l'arrêt > 1 semaine reste gérable. RTO > 72 h, RPO > 24 h. Stratégie minimale.

Cette hiérarchisation permet de focaliser l'investissement sur les processus critiques. La règle des 80/20 s'applique souvent : 20 % des processus génèrent 80 % de la criticité. Identifier ces 20 % est l'enjeu du BIA.

Pour une PME industrielle de 200 salariés typique, on observe en général :

3 à 5 processus niveau 1 (production, vente, paie, sécurité).
8 à 12 processus niveau 2.
15 à 25 processus niveau 3.
20 à 40 processus niveau 4.

Le BIA doit être validé formellement par la direction générale — c'est elle qui arbitre les niveaux de criticité et engage les budgets associés. Sans cette validation, les arbitrages opérationnels deviendront impossibles.

Bonne pratique : annexer au BIA un tableau de synthèse visible (1 page) regroupant les processus critiques avec leurs RTO/RPO. Ce document devient le « contrat de service » entre direction générale, métiers et IT.

Courbe d'impact temporel d'une interruption

T+0

Sinistre — impact minime, dispositifs de secours immédiats engagés

T+1h

Impact opérationnel mesurable. Communication interne. Activation cellule de crise.

T+4h

RTO atteint pour processus vitaux. Au-delà = perte financière significative + alerte parties prenantes externes.

T+24h

Risque réputationnel majeur. Notifications obligatoires (CNIL 72 h, NIS2 24 h). Clients commencent à partir.

T+72h

Impact financier majeur. Perte de marché significative. Couverture média potentielle.

MAO

Point de non-retour — l'organisation ne peut plus se relever. 60 % des PME victimes d'un sinistre majeur ne survivent pas (Gartner 2023).

À retenir

Le BIA (Business Impact Analysis, ISO 22317:2021) est la pièce maîtresse fondatrice du PCA — 2 à 12 mois selon la taille.
RTO = temps max avant reprise. RPO = données max perdues. MAO/MTPD = seuil de rupture organisationnelle. MBCO = niveau minimal en mode dégradé.
Cohérence obligatoire : RTO ≤ MAO. Le BIA évalue les impacts sur 6 axes (financier, opérationnel, réputationnel, juridique, humain, environnemental) et à plusieurs paliers (1 h, 4 h, 24 h, 72 h, 1 sem.).
RTO < 15 min → haute disponibilité active/active (très cher). RTO 24-72 h → site froid avec restauration manuelle.
Hiérarchisation typique : 3-5 processus vitaux niveau 1, 8-12 critiques niveau 2, 15-25 importants niveau 3, le reste non critique.
Le BIA doit être validé par la direction générale — c'est elle qui arbitre les niveaux et engage les budgets.

Précédent Suivant

Progression : 29%