Equipages

PCA PRA impact incident illustration partie 4

PCA PRA : impact d’un incident IT sur les processus

Dans les précédents articles, nous avons abordé la façon de cartographier l’infrastructure et les processus métiers afin de comprendre comment la première impacte les seconds. Nous avons notamment identifié les dépendances IT de chaque processus. La nouvelle étape de notre PRA PCA est de déterminer l’impact d’un incident IT sur l’activité. C’est à dire, déterminer l’ensemble des processus impactés par chaque élément de votre infrastructure. L’objectif ? Identifier rapidement les processus métiers dégradés ou arrêtés lors d’un incident IT.

1. On ne l’a pas déjà fait ça ? 

Dans l’article précédent, nous avons en effet identifié quelles composantes IT étaient impliquées dans chaque processus. Mais pour construire notre PCA PRA, nous voulons savoir quels processus sont dépendants de chaque élément de l’infrastructure, pas les éléments IT utilisés par chaque processus. Mais alors, “pourquoi ne pas avoir commencé par là ?! 😠” me direz vous.

Parce que c’est plus compliqué ! Il est bien plus facile de discuter avec chaque service pour retracer leurs processus métiers, et de là, définir de quels éléments de l’infrastructure ils dépendent. A l’inverse, prendre chaque élément de votre infrastructure en essayant de déterminer tout ses usages en sein de l’entreprise, c’est la garantie d’en oublier ! Vous pouvez aussi arrêter chaque élément et attendre de voir lesquels de vos collègues vous appellent excédés car ils ne peuvent plus travailler. Mais vous risquez de perdre votre job avant d’avoir fini votre PCA PRA…

PCA PRA impact incident identifier les dépendances

Alors trêve de plaisanterie, et attaquons la suite de ce PCA PRA.

2. PCA PRA : impact d’un incident IT

🔀 Croiser les données des processus métiers

Reprenons l’analyse de vos processus métier réalisé précédemment. Selon l’outil que vous avez utilisé pour réaliser cette analyse, ce travail sera plus ou moins rapide. Si vous pouvez filtrer par éléments de l’infrastructure IT, vous pouvez afficher l’ensemble des processus qui nécessite un élément spécifique pour fonctionner. Une panne de cet élément entrainera logiquement un arrêt ou une dégradation de ces processus. Vous n’avez alors “plus qu’à” reproduire cette étape pour chaque élément de votre infrastructure.

PCA PRA impact incident tableau conséquences

Vous obtiendrez ainsi l’ensemble des processus dépendants à chaque élément de votre infrastructure.

Exemple concret 👇

Prenons par exemple une société de vente de vêtements en ligne. Ainsi, le processus de :

  •  communication utilise un PC, une suite créative, une connexion internet, le site web et le serveur de données…
  • prise de commande va utiliser le site web, le plugin eCommerce, le CRM, le logiciel de gestion de stock, le serveur de données…
  • paiement des fournisseurs est dépendant d’un PC, une connexion internet, du système de facturation, du client mail, du CRM, du logiciel de gestion de stock et du serveur de données…
  • gestion du programme de fidélité nécessite un PC, une connexion internet, le site web, le client mail, les réseaux sociaux, un tableur, le CRM, le serveur de données…

💻❌ Une indisponibilité du site web entravera donc les processus de communication, de prise de commande et de gestion du programme de fidélité, mais pas le paiement des fournisseurs

PCA PRA impact incident site web indisponible

 

⚙️ Et en pratique ?

Des outils tels que Microsoft Excel, Access ou Notion peuvent être utilisés pour réaliser cette identification. Toutefois, des logiciels spécialisés dans la réalisation de BIA (Business Impact Analysis) tels que Riskonnect, LogicManager ou Fusion Risk Management vous permettront de structurer, analyser et visualiser vos données bien plus facilement.

Nous connaissons maintenant l’impact d’un incident IT sur l’ensemble des activités de l’entreprise. Il faut désormais évaluer quels sont les risques que cet incident ce produise. Plus précisément, quels sont les menaces qui pourraient causer cet incident, et leur probabilité. C’est le travail que nous entamerons dans le prochain article !

 

⏮️ Retournez au 1er article de la série

◀️ Retrouvez le 3ème article de cette série sur la criticité et les dépendances des processus métiers.

Retrouvez le 5ème article de cette série sur l’identification de l’ensemble des menaces potentielles ▶️