Dans l’article précédent, nous avons abordé la façon de cartographier l’infrastructure. L’étape suivante de votre PCA PRA est de cartographier vos processus métiers. Pas pour le plaisir : à terme, il faudra comprendre comment les composantes de votre SI impactent ces processus métiers pour mieux les protéger.
Une fois votre infrastructure cartographiée, il est temps de faire le point sur l’ensemble des processus de l’entreprise, afin de déterminer quels sont ceux qui :
- peuvent être arrêtés plus ou moins longtemps (à traiter dans le PRA) ;
- ne peuvent être arrêtés sous aucun prétexte au risque de causer de graves dommage à l’activité de l’entreprise (à traiter dans le PCA).
L’objectif va être de les recenser, identifier à quelle activité ils se rapportent, qui en est responsable et de quels éléments de votre SI ils dépendent. Et après avoir recensé tous les processus métiers, vous devrez identifier lesquels, s’ils étaient interrompus, causeraient un effet domino nuisant à d’autres processus en aval ou en amont. Tout cela dans le but de cerner les besoins de continuité (ne perdons pas de vue notre objectif 😉).
1. PCA PRA : recenser les processus métiers et leur dépendance IT
🔍 Analyse des flux de travail
Pour commencer ce travail, une bonne méthode est de suivre le parcours client. Identifiez les étapes par lesquels vos clients passent lors de leur processus de découverte, d’achat et d’utilisation de vos produits/services. Vous pourrez ensuite y relier tous ceux nécessaires en interne pour rendre ce parcours client fonctionnel. Rapprochez-vous des équipes commerciales et marketing qui ont peut-être déjà effectué une cartographie des processus pour vérifier la fluidité du parcours client et l’accompagnement à chaque étape.
🗣️ Entretiens avec les responsables des services
Ne soyez pas le seul à travailler ! Impliquez les responsables de chaque département pour discuter des processus spécifiques à leur domaine. Cela vous permettra de comprendre de l’intérieur quels services et processus ils considèrent comme vitaux pour leurs opérations quotidiennes. Ils sauront vous renseigner sur leurs processus officiels… et les officieux !
Car il ne faut pas oublier que, malgré les processus, ce sont des humains qui font tourner l’entreprise. Et parfois, ils vont créer leurs propres processus, et utiliser leurs propres outils. Bien que cette façon de faire soit contraire aux bonnes pratiques, il ne faut pas l’ignorer. Ces entretiens seront l’occasion d’identifier ces processus officieux, comprendre pourquoi les officiels ne conviennent pas, et les intégrer ou les adapter.
🕸️ Dépendance IT des processus métiers
Lors de cette cartographie des processus, renseignez-vous auprès des utilisateurs sur les outils qu’ils utilisent pour chacun de ces processus :
- Software (CRM, suite bureautique, logiciel de facturation, site web…) ;
- Hardware (ordinateur, téléphone, machines…).
En procédant ainsi, vous pourrez déterminer de quels éléments de votre infrastructure informatique chaque processus est dépendant. C’est à dire que si cette composante IT est dysfonctionnelle, le processus est impacté, voire arrêté.
2. PCA PRA : impact business des processus métiers
🚨 Evaluer la criticité
Et oui, vous ne recensez pas vos processus métiers pour le plaisir (et puis, soyons honnête, ça n’est pas le plaisir de grand monde…). L’étape suivante va donc être d’évaluer leur criticité pour l’activité de l’entreprise. Pour cela, vérifiez la façon dont son bon fonctionnement assure :
- la visibilité et l’accès aux produits/services par le client (disponibilité) ;
- le respect de la qualité attendue du produit/service fourni (intégrité) ;
- la protection des données sensibles impliquées (confidentialité) ;
- le suivi des évènements et actions (traçabilité) ;
- la limitation des actes malveillants (sécurité).
A partir de cette réflexion, vous pourrez noter chaque processus sur une échelle de 1 à 5 en fonction de l’impact qu’aurait son disfonctionnement :
| 1 – Superflu | Dégrade l’expérience utilisateur et/ou client, mais n’entrave pas l’activité. |
| 2 – Non critique | Dégrade l’activité mais ne la met pas en danger |
| 3 – Important | Dégrade l’activité et la prolongation du disfonctionnement la met en péril |
| 4 – Critique | Met l’activité en péril |
| 5 – Indispensable | Met la survie de l’entreprise en péril |
🔁 Déterminer les besoins de continuité
Une fois la note de criticité attribuée, nous allons aller plus en détail et déterminer le niveau de service minimum et le niveau d’indisponibilité maximum. Concrètement, vous devez pouvoir dire pour chaque processus :
- combien de temps l’activité peut poursuivre en cas d’arrêt du processus (indisponibilité maximum) ;
- à partir de quel niveau de service le processus est considéré comme indisponible car il impacte trop la qualité de l’activité (niveau de service minimum).
Un processus fonctionnel mais pas 100% opérationnel (niveau de service > niveau minimum) place l’activité à un niveau de service dégradé.
Exemple concret 👇
Prenons en exemple un fournisseur de produits frais pour restaurants. A cause de défaillances techniques, il ne dispose plus que de 2 camions réfrigérants au lieu des 4 habituels. Avec 2 camions, il peut assurer 200 livraisons par jour. C’est plus que les 100 livraisons minimum qu’il lui faut pour que sa journée soit rentable.
📈📦 Son niveau de service minimum est de 100 livraisons par jour, soit 1 camion disponible.
Grâce à une réorganisation des trajets, une réduction des prises de commande et la mise au chômage technique de 2 livreurs, la société assure son activité en service dégradé. Mais si la situation dure plus de 3 mois, elle risque la fatigue des effectifs, l’usure des camions, la perte de part de marchés, la péremption d’une partie de son stock, et sa trésorerie ne pourra plus compenser la réduction des commandes.
📈🚚 L’indisponibilité maximum des camions de l’entreprise est donc de 3 mois.
⚙️ Et en pratique ?
Des outils génériques comme Microsoft Excel ou Access peuvent être utilisés pour compiler et analyser les données recueillies. Ils nécessitent toutefois une configuration manuelle importante pour bien visualiser vos données. Pour vous faciliter le travail, vous pouvez vous tourner vers des logiciels tels que Riskonnect, LogicManager ou Fusion Risk Management. Ils offrent des fonctionnalités dédiées à la réalisation de BIA (Business Impact Analysis), permettant une collecte de données structurée, une analyse et une visualisation des impacts.
Une fois ce (long) travail effectué, vous disposez désormais d’une cartographie de votre infrastructure et une de vos processus métiers, ainsi que les dépendances entre les deux. Vous pouvez maintenant mesurer l’impact que l’indisponibilité des composants de votre infrastructure auront sur chacun des processus, et donc, de manière plus globale, sur votre activité. Nous aborderons cette étape dans le prochain article !
⏮️ Retournez au 1er article de la série
◀️ Retrouvez ici le 2ème article de cette série sur la cartographie de l’infrastructure existante.
Retrouvez ici le 4ème article de cette série sur l’impact d’une panne IT sur les processus métiers. ▶️