Continuité
BIA : Business Impact Analysis (Analyse d'impact métier)
La Business Impact Analysis est un processus systématique permettant de déterminer et d'évaluer les effets potentiels d'une interruption des opérations critiques à la suite d'un incident, d'une cyberattaque ou d'un sinistre. L'analyse identifie les processus essentiels, mesure les impacts financiers et opérationnels d'une défaillance, et établit les priorités de reprise. Elle définit notamment deux paramètres clés : le RTO (Recovery Time Objective, délai maximal tolérable d'interruption) et le RPO (Recovery Point Objective, perte de données acceptable).
Détails et contexte
La norme ISO 22301 sur les systèmes de management de la continuité d'activité définit la BIA comme le processus d'analyse de l'impact dans le temps d'une perturbation sur l'organisation. La démarche repose sur des entretiens avec les responsables métier, la collecte de données sur les processus critiques, l'évaluation des dépendances (ressources IT, fournisseurs, locaux, personnel) et la quantification des impacts : pertes de revenus, amendes réglementaires, atteinte à la réputation, violation de conformité.
La norme ISO/TS 22317:2021 fournit des lignes directrices pour l'implémentation et la documentation d'un processus BIA formel. Le livrable final est un rapport priorisé des activités métier, hiérarchisant les fonctions à rétablir en priorité et documentant les délais admissibles d'indisponibilité. Cette cartographie oriente les investissements en résilience et constitue la base des plans de continuité et de reprise après sinistre (PCA, PRI).
Lien avec NIS2
La directive NIS2 impose de réaliser une Business Impact Analysis comme première étape pour évaluer les conséquences d'une interruption des processus métier et identifier les fonctions à restaurer en priorité. L'Article 21 §2 de NIS2 exige des mesures de gestion des risques incluant la continuité des activités et la gestion de crise ; la directive impose de dépasser la seule continuité IT pour assurer celle des processus métier dans leur ensemble.
La BIA aide à définir la tolérance à l'interruption en tenant compte des impacts internes (pertes économiques) mais aussi externes (sociaux, clients, territoire), et identifie les dépendances critiques, notamment auprès des fournisseurs stratégiques. Les entités NIS2 doivent régulièrement réviser leur BIA pour l'aligner avec l'évolution des services, des risques cyber et des dépendances de la chaîne d'approvisionnement. Voir mesures de gestion de la continuité NIS2.