Analyse d'impact sur l'activité

L'analyse d'impact sur l'activité (AIA), également désignée par l'acronyme anglais BIA (Business Impact Analysis), est une démarche structurée visant à identifier et quantifier les effets potentiels d'une interruption des processus critiques d'une organisation sur ses résultats opérationnels, financiers et réputationnels. Elle constitue la première étape incontournable de tout Plan de continuité d'activité et fournit les données objectives permettant de hiérarchiser les priorités de reprise. L'AIA s'applique aux entreprises privées comme aux administrations publiques, quelle que soit leur taille ou leur secteur d'activité.

L'analyse d'impact sur l'activité est définie par la norme ISO 22301 (Sécurité et résilience — Systèmes de management de la continuité des activités) comme le processus d'analyse des fonctions métier et des effets qu'une perturbation pourrait avoir sur elles. Elle répond à trois objectifs principaux :

• identifier les activités, processus et ressources critiques dont l'interruption aurait des conséquences significatives pour l'organisation ;
• quantifier les impacts selon plusieurs dimensions (financière, opérationnelle, juridique, réputationnelle) en fonction de la durée de l'interruption ;
• déterminer les seuils temporels au-delà desquels les impacts deviennent inacceptables.

L'AIA se distingue de l'analyse des risques (telle que formalisée dans une Matrice des risques) en ce qu'elle ne s'intéresse pas à la probabilité d'occurrence d'un événement perturbateur, mais exclusivement à ses conséquences sur l'organisation, quel que soit le scénario déclencheur.

La première étape consiste à dresser un inventaire exhaustif des activités de l'organisation et à les décomposer en processus élémentaires. Pour chaque processus, on recense :

• les ressources nécessaires à son fonctionnement (personnel, systèmes d'information, infrastructures, fournisseurs) ;
• les dépendances internes et externes (flux d'informations, sous-traitants, clients) ;
• le volume d'activité habituel, exprimé par exemple en transactions journalières, en chiffre d'affaires généré ou en nombre d'usagers concernés.

Cette cartographie s'appuie généralement sur des entretiens semi-directifs avec les responsables opérationnels et sur l'analyse de la documentation existante (organigrammes, procédures, contrats).

Pour chaque processus, l'analyste évalue les impacts d'une interruption selon plusieurs horizons temporels (1 heure, 4 heures, 24 heures, 72 heures, 7 jours, etc.). Les catégories d'impacts usuellement retenues sont :

Catégorie d'impact	Exemples de mesures
Financier	Perte de chiffre d'affaires, pénalités contractuelles, coûts de remédiation
Opérationnel	Dégradation de la qualité de service, retards de livraison, surcharge des processus adjacents
Juridique et réglementaire	Manquements aux obligations légales, amendes, contentieux
Réputationnel	Perte de confiance des clients, couverture médiatique négative, sanctions des autorités sectorielles
Ressources humaines	Surcharge de travail, Absentéisme, développement de Risques psychosociaux

L'AIA définit plusieurs paramètres temporels standardisés :

• Durée maximale d'interruption admissible (DMIA ou MAO, et en anglais Maximum Tolerable Downtime, MTD) : durée au-delà de laquelle les impacts sont jugés irréversibles ou mettent en péril la survie de l'organisation ;
• Objectif de temps de reprise (OTR, ou RTO Recovery Time Objective) : délai cible de rétablissement d'un processus après une interruption, nécessairement inférieur à la DMIA ;
• Objectif de point de reprise (OPR, ou RPO Recovery Point Objective) : volume maximal de données ou de transactions qu'une organisation accepte de perdre, exprimé en unité de temps.

Ces trois paramètres alimentent directement les stratégies de reprise définies dans le Plan de reprise d'activité informatique.

La collecte s'effectue principalement par questionnaires structurés et entretiens menés auprès des directions métier. Les questionnaires couvrent typiquement : la description des activités, les ressources critiques (humaines, matérielles, logicielles), les interdépendances, les exigences réglementaires et les données chiffrées d'activité. La participation active des directions opérationnelles est déterminante : une AIA construite uniquement à partir de données centralisées sous-estime fréquemment les impacts réels, notamment les dépendances implicites à des outils ou prestataires non répertoriés dans le système d'information officiel.

À partir des données collectées, les processus sont classés selon leur criticité, établie en combinant la DMIA (plus elle est courte, plus le processus est critique) et l'intensité des impacts mesurés. Les processus dont la DMIA est inférieure à 4 heures sont généralement qualifiés de « vitaux » et font l'objet de plans de continuité spécifiques.

La priorisation est formalisée dans une matrice de criticité qui recense, pour chaque processus : son identifiant, son niveau de criticité, sa DMIA, son OTR cible, son OPR cible et les ressources minimales requises pour assurer sa reprise.

Le rapport d'AIA est soumis à validation par la direction générale, qui arbitre les seuils d'acceptabilité retenus. Ce document devient la référence centrale du Plan de continuité d'activité et doit faire l'objet d'une révision périodique — recommandée annuellement ou à chaque modification organisationnelle significative (fusion, transformation numérique, changement de prestataires critiques).

L'analyse d'impact sur l'activité intègre une dimension ressources humaines dont l'importance est souvent sous-estimée. L'interruption prolongée d'une activité peut générer des impacts en cascade sur les effectifs :

• activation des dispositifs d'Activité partielle de longue durée lorsque la crise réduit durablement le volume d'activité ;
• risque d'ouverture d'un Plan de sauvegarde de l'emploi si l'interruption compromet la viabilité économique de l'organisation ;
• développement de Risques psychosociaux et de Burnout professionnel chez les salariés mobilisés en situation de crise, notamment lorsque les plans de continuité reposent sur un effectif réduit.

L'AIA permet également d'identifier les compétences critiques dont l'indisponibilité (maladie, départ, Absentéisme structurel) constituerait un point de défaillance unique. Cette analyse rejoint les préoccupations de la Gestion prévisionnelle des emplois et des compétences et de la Gestion des emplois et des parcours professionnels, qui visent à anticiper les besoins en compétences sur le moyen terme.

En situation de crise sociale, la direction doit être en mesure de présenter les résultats de l'AIA devant le Comité social et économique pour objectiver les décisions prises sur l'organisation du travail. Le Dialogue social et la Négociation collective peuvent s'appuyer sur ces données pour définir des modalités de continuité acceptées par les partenaires sociaux, notamment en matière d'aménagement du temps de travail ou de recours au télétravail.

La Cybersécurité est devenue l'un des principaux périmètres d'application de l'AIA depuis la généralisation des cyberattaques, et notamment des attaques par Ransomware qui peuvent paralyser l'ensemble du système d'information d'une organisation en quelques heures. L'AIA cyber se distingue par la prise en compte de scénarios spécifiques :

• indisponibilité totale du système d'information ;
• compromission ou exfiltration de données confidentielles ;
• destruction ou chiffrement des données sans possibilité de restauration immédiate depuis les sauvegardes.

Elle s'articule avec la Gestion des risques informatiques, la Gestion des vulnérabilités et les procédures de Réponse aux incidents de sécurité. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) recommande que l'AIA soit intégrée dans la démarche globale de Gestion des risques informatiques et que ses résultats conditionnent la définition des politiques de Sauvegarde informatique.

L'OTR cyber constitue généralement l'indicateur le plus contraignant à atteindre : la restauration d'un système d'information complet peut nécessiter plusieurs jours, même en disposant de sauvegardes récentes et correctement testées.

Plusieurs référentiels encadrent la réalisation d'une AIA :

• ISO 22301 (2019, révision de la version 2012) : norme internationale de référence pour les systèmes de management de la continuité des activités ; l'AIA y constitue une exigence explicite (section 8.2.2) ;
• ISO 22317 (2021) : lignes directrices spécifiquement dédiées à la réalisation d'une AIA, complémentaires à ISO 22301 ;
• EBIOS Risk Manager (ANSSI, 2018) : méthode française d'analyse de risques intégrant une composante d'évaluation des impacts sur les valeurs métier ;
• NIST SP 800-34 (Contingency Planning Guide for Federal Information Systems, révision 1, 2010) : guide du National Institute of Standards and Technology largement repris dans le secteur privé.

Dans le secteur financier, les exigences prudentielles imposées par la Banque centrale européenne (BCE) et par l'Autorité de contrôle prudentiel et de résolution (ACPR) fixent des seuils de RTO maximaux sur les activités critiques des établissements bancaires. La directive européenne DORA (Digital Operational Resilience Act, 2022, applicable depuis janvier 2025) étend ces exigences à l'ensemble des entités financières de l'Union européenne et impose une AIA formalisée comme prérequis à la définition des plans de continuité.

L'AIA présente plusieurs limites inhérentes à sa méthodologie :

• Dépendance aux déclarations : les données reposent sur les estimations des responsables métier, qui peuvent sous-évaluer les délais de reprise réels ou omettre des dépendances implicites (outils bureautiques non répertoriés, prestataires secondaires, accès distants) ;
• Obsolescence rapide : une AIA non actualisée peut ne plus refléter l'organisation réelle après une transformation numérique, une réorganisation ou un changement de prestataires critiques ;
• Périmètre souvent partiel : les AIA se concentrent fréquemment sur les processus formalisés et ignorent les activités informelles, ce qui conduit à des plans de continuité incomplets.

Les facteurs de succès documentés sont : l'implication de la direction générale dès la phase de lancement, la désignation d'un responsable de la continuité d'activité dédié, la couverture exhaustive de toutes les directions métier (et non uniquement de la direction des systèmes d'information), et la réalisation régulière d'exercices de simulation permettant de confronter les OTR et OPR théoriques à la réalité opérationnelle.

• Plan de continuité d'activité
• Plan de reprise d'activité informatique
• Gestion des risques informatiques
• Réponse aux incidents de sécurité
• Prévention des risques professionnels