Analyse des répercussions sur les affaires (ARA) pour les technologies de l’information (TI)

Mardi, 8 juillet 2025

Feuille de route permettant aux PME de construire un processus ARA efficace pour les TI

Essayons d’imaginer une ville dynamique, entièrement alimentée par la technologie : ses rues bordées de serveurs rutilants des données, son trafic circulant grâce à des réseaux numériques. Au cœur de cette ville se trouve un immense centre de contrôle supervisant la circulation de l’information, assurant le traitement des transactions, l’envoi des courriels et le bon déroulement des opérations commerciales essentielles. Ce centre de contrôle représente l’infrastructure informatique – le fondement sur lequel les entreprises modernes s’appuient et peuvent prospérer. Un jour, un survoltage imprévu perturbe le principal système de contrôle de cette ville. Les feux de circulation tombent en panne, créant le chaos. Les antennes relais des tours de communication clignotent, bloquant ainsi les conversations numériques. Les banques interrompent leurs transactions, l’accès aux données étant momentanément perdu. La confusion s’installe, car personne n’a anticipé l’impact réel d’une panne de cette envergure.

Imaginez maintenant qu’une équipe d’ingénieurs ait déjà effectué en profondeur une analyse des répercussions sur les affaires (ARA) avant une telle perturbation. Ils ont cartographié les réseaux indispensables de la ville, évalué les conséquences d’une panne de certains systèmes, élaboré un plan de continuité des affaires (PCA) et mis en place des protocoles d’urgence. Les générateurs de secours se déclenchent rapidement, rétablissant ainsi le fonctionnement en quelques minutes. Les systèmes infonuagiques redirigent automatiquement le trafic des données, assurant ainsi le maintien des activités des entreprises. Grâce à l’ARA et au PCA, la reprise est rapide, les dommages sont minimes et la confiance est préservée. Sans l’ARA, la ville aurait sombré dans le capharnaüm, perdant ses revenus, ses clients et sa crédibilité.

Quelle leçon devons-nous tirer d’un tel scénario? L’analyse des répercussions sur les affaires pour les technologies de l’information (ARA pour les TI) est le paradigme de résilience, car elle anticipe les perturbations, atténue les dommages et assure la continuité lorsque des défis inattendus surviennent. L’ARA est le gardien silencieux et souvent invisible qui transforme le chaos, en un défi gérable résultant à moins d’impact sur les PME.

Axé sur l’ARA pour les TI, notre Infolettre de juin 2025 a été soigneusement rédigé pour fournir, entre autres, une feuille de route aux PME canadiennes afin de mettre en œuvre un processus efficace de protection et de préservation de l’ARA relié à leurs systèmes et infrastructures des technologies de l’information, et pour proposer des pratiques exemplaires en matière de cybersécurité pour l’intégration des outils d’automatisation du processus d’ARA TI aux systèmes informatiques existants des PME.

Analyse des répercussions sur les affaires pour les TI : une explication intégrale

Avant d’effectuer une analyse des répercussions sur les affaires (ARA), il est important de comprendre en quoi elle diffère de la planification de l’évaluation des risques (PÉR) et de la planification de la continuité des affaires (PCA), mais aussi en quoi elle s’y rattache. La planification de l’évaluation des risques se concentre sur l’identification des menaces potentielles, l’évaluation de leur probabilité et la détermination de la vulnérabilité des organisations. L’ARA, quant à elle, se focalise sur l’évaluation des conséquences découlant des perturbations des activités d’affaires en distinguant les fonctions primordiales et l’impact de leur interruption sur les opérations de l’organisation. Armé de ces deux éléments – c’est-à-dire comprendre les problèmes potentiels et la gravité des perturbations –, la planification de la continuité des affaires intervient pour élaborer des stratégies et des procédures de gestion visant à maintenir ou à rétablir rapidement les opérations d’affaires. Envisagés dans leur ensemble, ces trois éléments indispensables constituent le fondement d’une organisation robuste, résiliente et bien préparée.

Figure 1: Différences entre analyse des répercussions sur les affaires (ARA), plan de continuité des affaires (PCA), et plan d’évaluation des risques (PÉR)

 

Éléments essentiels Courtes descriptions Finalités opérationnelles Relations avec les autres
Analyse des répercussions sur les affaires (ARA) Analyse les fonctions commerciales primordiales et les conséquences des perturbations. Détermine les objectifs du temps de reprise (OTR) et les objectifs du point de reprise (OPR). Alimente la PÉR et la PCA en priorisant les domaines d’intérêt fondés sur l’impact affectant l’entreprise.
Plan d’évaluation

des risques (PÉR)

 Identifie les cybermenaces et les vulnérabilités qui pourraient affecter les fonctions prioritaires.

 

 Évalue la probabilité et la gravité potentielles des divers cyber risques. Utilise les résultats de l’ARA pour se concentrer sur les risques générant les conséquences commerciales potentielles les plus élevées.
Plan de continuité

des affaires (PCA)

 Élabore des stratégies et des procédures pour maintenir ou rétablir les opérations pendant et après les perturbations. Intègre des contrôles, des plans de communication et des protocoles de récupération. Construit sur les connaissances acquises à partir de l’ARA et de la PÉR pour assurer la résilience.

Approche fondée sur les risques pour l’analyse des répercussions sur les affaires

D’une part, certaines organisations choisissent d’adopter une approche fondée sur les risques pour l’analyse des répercussions sur les affaires (ARA), en effectuant d’abord une analyse des risques de haut niveau ou une analyse préliminaire des menaces. Cette première analyse leur permet d’identifier les processus opérationnels, les actifs, les systèmes et les infrastructures informatiques les plus vulnérables aux perturbations, notamment ceux exposés aux cyberattaques, aux catastrophes naturelles ou à l’instabilité de la chaîne d’approvisionnement. L’ARA se concentre ensuite principalement sur ces zones à haut risque, ce qui la rend plus efficace et adaptée à l’exposition réelle. Cette méthode est particulièrement utile pour les petites organisations ou celles disposant de ressources limitées, leur permettant de concentrer leurs efforts là où l’intersection risque-impact est la plus forte.

D’autre part, certaines organisations choisissent d’accomplir l’ARA indépendamment des considérations relatives à l’approche d’évaluation des risques, notamment dans les contextes réglementaires ou de conformité. Dans ce paradigme, l’ARA cartographie objectivement les fonctions primordiales de l’entreprise en fonction de leur impact opérationnel (par exemple : conséquences financières, réputationnelles ou juridiques), sans tenir compte de la probabilité des perturbations. Après avoir identifié les éléments indispensables, ces organisations intègrent ensuite une évaluation distincte des risques pour jauger les menaces relatives à ces fonctions : évaluation des probabilités, identification des vulnérabilités. Les deux paradigmes sont valables. Le choix dépend souvent de la maturité de l’organisation, de son environnement réglementaire, et de son indice de propension à prendre des risques. Certaines organisations combinent même les deux paradigmes de manière itérative : en commençant par des thèmes de risque généraux, en gérant une analyse des répercussions sur les affaires, puis en affinant les deux analyses grâce à des boucles de rétroaction.

Composantes principales de l’analyse des répercussions sur les affaires : un processus structuré qui peut aider les PME

L’analyse des répercussions sur les affaires pour les technologies de l’information [1] est un processus structuré qui peut aider toutes les catégories d’organisations,, à évaluer les conséquences potentielles des perturbations informatiques sur leurs activités. Elle identifie les actifs informatiques essentiels, évalue les risques et détermine les priorités de reprise afin d’assurer la continuité et la gestion des activités. Voici quelques-unes des principales composantes de l’ARA :

  1. Identification des fonctions d’affaires et informatiques essentielles
    • Déterminer les fonctions fondamentales au fonctionnement de votre entreprise.
    • Prioriser ces fonctions en fonction de leur importance pour votre organisation.
    • Serveurs, bases de données, infrastructure de services infonuagiques et applications.
    • Dépendances entre les systèmes informatiques et les processus de gestion de l’entreprise.
  2. Évaluation des risques et des cyberattaques dans le cadre d’une approche fondée sur la connaissance des risques
    • Menaces de cybersécurité (par exemple : ransomwares, hameçonnage, hameçonnage vocal, violations des données).
    • Pannes matérielles et logicielles, et risques environnementaux.
  3. Analyse des répercussions sur les affaires
    • Pertes financières dues aux interruptions des activités.
    • Perturbations fonctionnelles affectant le service à la clientèle, la productivité et la livraison des marchandises.
  4. Objectifs de reprise
    • Objectif du temps de reprise (OTR) : temps maximal d’arrêt acceptable.
    • Objectif du point de reprise (OPR) : perte maximale de données acceptable.

Feuille de route détaillée pour la conception efficace d’une ARA TI : synthèse pour la mise en œuvre par les PME

La feuille de route suivante est adaptée des deux monographies [2,3] citées dans les notes en fin de document de la section Ressources et Références de cette Infolettre pour le mois de juin 2025.

1. Identifier les processus d’affaires indispensables, les fonctions et les actifs informatiques en planifiant et en définissant systématiquement la portée de l’ARA TI

Les gestionnaires concernés au sein des PME doivent commencer par planifier, définir et cataloguer l’ensemble de leurs processus d’affaires et ressources informatiques clés, notamment :

  • Matériel et infrastructure : serveurs, infrastructure et équipements réseau, centres de données.
  • Logiciels et applications : applications nécessaires, bases de données, services d’infonuagique.
  • Tous les types de données : données clients, propriété intellectuelle, renseignements sur les ressources humaines, données financières, statistiques marketing, données opérationnelles.
  • Personnes et processus : personnel informatique, équipes de soutien technique, service à la clientèle et procédures d’entretien de ces systèmes informatiques.
  • Définir la portée et les objectifs : définir clairement les unités opérationnelles, les processus et les systèmes informatiques qui seront inclus dans l’ARA. Déterminer les principaux objectifs de l’ARA (par exemple : identifier les OTR et les OPR, élaborer des stratégies de reprise des activités, justifier les investissements).
  • Obtenir le soutien de la direction : obtenir l’adhésion et le soutien de la haute direction. Ce soutien est crucial pour l’allocation des ressources humaines et financières et la réussite de la mise en œuvre.
  • Former une équipe d’ARA TI : Constituez une équipe d’ARA TI composée de représentants des différents services (par exemple : TI, opérations, soutien technique, service à la clientèle, finances, marketing et ventes, ressources humaines, service juridique) possédant une connaissance approfondie des processus et de la gestion d’entreprise.
  • Établir un calendrier et allouer les ressources : Créez un plan de projet avec des délais réalistes et allouez les ressources nécessaires (budget, équipement, personnel, outils).

Comprendre quels systèmes et fonctions sont fondamentaux pour vos opérations d’affaires est la pierre angulaire de la priorisation de la reprise après sinistre informatique. Cette étape vous permet de connaître le catalogage qui renforce vos activités principales avant qu’une interruption ne survienne.

2. Cartographier et enregistrer progressivement les dépendances et les interdépendances grâce à la recherche et à la collecte de renseignements, ainsi qu’à la collecte et à l’analyse de données.

Découlant des processus d’affaires indispensables identifiés ci-dessus, les systèmes informatiques, aussi performants soient-ils, fonctionnent rarement de manière isolée; ils comportent souvent de multiples composantes interconnectées avec des fonctionnalités de support. Les PME doivent cartographier les dépendances et les interdépendances en suivant les étapes suivantes :

  • Identifier les systèmes informatiques interconnectés d’un point de vue interne.
  • Dépendances externes : tenir compte des services tiers, des fournisseurs de services d’infonuagique et des dépendances des fournisseurs périphériques.
  • Repérer les fonctions et processus d’affaires : travailler en étroite collaboration avec les chefs de service et les experts en affaires pour répertorier toutes les fonctions d’affaires essentielles et les processus sous-jacents qui les soutiennent.
  • Mener des entrevues et des ateliers : organiser des entrevues et des ateliers structurés avec le personnel clé afin de recueillir des renseignements détaillés sur chaque processus opérationnel primordial.
  • Concevoir et utiliser des questionnaires complets : élaborer et utiliser des questionnaires complets pour recueillir des données sur les éléments suivants :
  • Dépendances (internes et externes).
  • Ressources requises (personnel, technologies, installations physiques et virtuelles, données, etc.).
  • Entrées et sorties du personnel interne et des fournisseurs de services externes.
  • Périodes de pointe et variations saisonnières pour la conduite des activités connexes.
  • Protocoles actuels d’atténuation des cyber risques et procédures de reprise après sinistre informatique (le cas échéant).
  • Documenter la criticité : pour chaque fonction et processus d’affaires, évaluer sa criticité en fonction de la vision, de la mission, de la réputation, de la stabilité financière, de l’impact sociétal et de la conformité légale ou réglementaire de l’organisation.
  • Quantifier les impacts d’une perturbation : pour chaque fonction indispensable identifiée, analyser les impacts financiers, sociétaux, opérationnels, réputationnels et juridiques ou réglementaires potentiels d’une perturbation au fil du temps. Catégoriser les impacts connexes (par exemple : négligeable, mineur, significatif, catastrophique).
  • Déterminer le temps d’arrêt maximal tolérable (TAMT) et l’objectif du temps de reprise (OTR) : pour chaque fonction indispensable, système informatique et infrastructure informatique, déterminer la durée maximale d’arrêt avant que des conséquences inacceptables ne se produisent.
  • Établir l’objectif du point de reprise (OPR) : pour les processus d’affaires dépendant de diverses données, définir la quantité maximale de perte de données (mesurée en temps) qu’une organisation peut tolérer. Cette définition détermine la fréquence à laquelle les données diverses doivent être sauvegardées ou stockées sur des supports amovibles.
  • Cartographier les dépendances et les interdépendances pour l’ARA : identifier et documenter les relations entre les fonctions primordiales de l’entreprise, les systèmes informatiques, l’infrastructure informatique, les fournisseurs externes, les tiers et le personnel. Comprendre clairement comment la défaillance d’une composante peut avoir un impact sur les autres. Cette compréhension implique souvent la création de cartes ou d’organigrammes de dépendances et d’interdépendances.
  • Identifier les points de défaillance uniques (PDU) : repérer les éléments des processus d’affaires, des systèmes informatiques et de l’infrastructure informatique de votre PME qui, en cas de défaillance, pourraient entraîner la défaillance d’une fonction critique entière.

Une représentation visuelle claire, comme un diagramme, un organigramme, ou même un simple tableau, peut aider à mettre en évidence les interdépendances décrites ci-dessus. En l’absence d’un diagramme, un organigramme classique, voire un tableau simplifié, peut être utilisé pour illustrer les dépendances et les interdépendances, comme le prévoit la norme ISO/TS 22317 – Processus ARA [5]. Par exemple, vous pourriez schématiser l’impact d’une panne de stockage des données infonuagique sur les applications clientes et les plateformes d’analyse des données internes. À des fins d’illustration, conçu par l’auteur de cette Infolettre du mois de juin 2025, vous trouverez ci-dessous un diagramme simplifié de l’ARA pour les TI pertinentes aux PME :

Figure 2: Diagramme illustratif et simplifié – Tableau simplifié de l’ARA pour les TI pertinentes aux PME

 

1. Identification des

fonctions indispensables

 2. Actifs & ressources informatiques 3. Évaluation des risques
4. Évaluation des répercussions 5. Stratégies de reprise 6. Plan d’atténuation
7. Élaboration d’un plan de contingence informatique
8. Surveillance & amélioration continuelles

Décomposition du diagramme simplifié de l’ARA TI pour les PME :

  1. Identification des fonctions indispensables : déterminer les processus d’affaires qui dépendent de l’informatique.
  2. Actifs et ressources informatiques : cataloguer le matériel, les logiciels et l’infrastructure informatique.
  3. Évaluation des risques : jauger les menaces potentielles (cybermenaces, cyber risques, défaillances des systèmes informatiques).
  4. Évaluation des répercussions : comprendre les conséquences des pannes informatiques et leurs impacts sur les opérations des PME.
  5. Stratégies de reprise : définir les étapes de restauration des services (plans de sauvegarde).
  6. Plan d’atténuation : mettre en œuvre des mesures préventives pour réduire les risques à long terme.
  7. Élaboration d’un plan de contingence informatique : documenter les stratégies de reprise.
  8. Surveillance et amélioration continuelles : mettre à jour et peaufiner régulièrement le plan de contingence informatique.

3. Identifier les cyber risques pour les systèmes TI et l’infrastructure TI

Si vous intégrez la prise en compte des risques dans votre ARA, voici comment structurer cette étape de votre processus : évaluer les risques propres aux systèmes et à l’infrastructure informatiques en vous concentrant sur les dangers suivants :

  • Incidents de cybersécurité : violations de données, rançongiciels, hameçonnage, hameçonnage vocal, attaques DDoS, etc.
  • Défaillances matérielles/logicielles : pannes, bogues ou détérioration de la performance.
  • Perturbations naturelles ou environnementales : pannes d’électricité, catastrophes naturelles, répercussions du changement climatique susceptibles d’affecter les centres de données physiques.
  • Erreurs humaines et défaillances de processus : configurations erronées, processus de sauvegarde inadéquats.

En identifiant les dangers susmentionnés, vous pouvez élaborer des scénarios ciblés pour analyser les risques que chaque événement représente pour les systèmes informatiques, ainsi que pour les activités globales de vos PME. L’attribution de niveaux de risque (élevé, moyen, faible, à court ou à long terme) permet de clarifier les priorités en matière de stratégies d’atténuation.

4. Quantifier les répercussions

La phase de quantification apporte une perspective numérique et qualitative à l’analyse des répercussions sur les affaires :

  • Temps d’arrêt maximal tolérable (TAMT) : combien de temps vos opérations informatiques peuvent-elles être interrompues avant que cela ne nuise gravement aux activités quotidiennes de votre organisation?
  • Objectifs du temps de reprise (OTR) : le temps idéal nécessaire pour restaurer un système et une infrastructure informatiques afin de les rendre opérationnels après une panne d’électricité ou tout autre type de perturbation.
  • Objectifs du point de reprise (OPR) : la quantité acceptable de données perdues dans le temps (par exemple : des sauvegardes de données toutes les 15 minutes peuvent correspondre à un OPR de 15 minutes).

Il est également profitable d’utiliser un tableau pour saisir les indicateurs ci-dessus pour les systèmes informatiques clés [4]. Vous trouverez sur cette page une illustration d’un tel tableau reprenant ces indicateurs pour les systèmes informatiques essentiels :

Figure 3 : Échantillon de tableau pour la capture des mesures/indicateurs TAMT, OTR et OPR pour les principaux systèmes informatiques

 

Actifs ou fonctions informatiques TAMT OTR OPR Répercussions financières ou opérationnelles
Plateforme de commerce électronique 4 heures 2 heures 15 minutes Perte de revenus, problèmes de confiance et de fidélité de la clientèle
Base de données clients

 

 8 heures 4 heures 30 minutes Répercussions opérationnelles sur la prise de décisions, risques de conformité juridique et réglementaire
Courriels et communications

 

 12 heures 6 heures 1 heure Perturbation opérationnelle au sein de plusieurs équipes, tant à l’interne qu’à l’externe
Serveur Web 6 heures 3 heures 45 minutes Perte de revenus et de la confiance globale des clients

L’approche structurée schématisée ci-dessus vous aide à prioriser les systèmes informatiques qui nécessitent une attention immédiate lors de la rédaction du Plan de continuité des affaires .

Des plans documentés et hiérarchisés de reprise des activités stratégiques garantissent qu’en cas de cyber incident, l’équipe informatique – et la PME ou l’organisation dans son ensemble – puissent réagir rapidement afin de minimiser les perturbations préjudiciables.

5. Collaborer et communiquer avec les intervenants au moyen des rapports clairs

Une analyse réussie des répercussions sur les affaires n’est pas seulement un exercice de technologie de l’information. Elle nécessite une communication claire entre les intervenants via un engagement interfonctionnel comme résumé ci-dessous :

  • Engager les chefs d’entreprise : s’assurer que les priorités informatiques identifiées s’alignent avec les objectifs d’affaires globales et la culture d’entreprise des PME.
  • Intégrer les commentaires provenant des rapports clairs : des boucles de rétroaction régulières et claires aident à affiner l’analyse des répercussions sur les affaires (ARA) informatiques, garantissant qu’elle reste harmonisée avec l’évolution des besoins de l’entreprise.
  • Documenter et démontrer : documentez vos conclusions dans un rapport détaillé et démontrez-les clairement à la direction générale afin d’assurer l’adhésion et l’allocation des ressources.
  • Compiler un rapport ARA informatique : consolider toutes les informations recueillies, les données collectées et les données analysées dans un rapport complet d’ARA informatique.
  • Un rapport ARA informatique devrait comprendre les éléments suivants :
    • Un résumé analytique axé sur une vision informatique systématique.
    • Un périmètre de gestion et une méthodologie.
    • Identification des fonctions et processus d’affaires indispensables.
    • Résultats de l’analyse des répercussions sur les affaires (financier, opérationnel, réputationnel, juridique).
    • TAMT, OTR et OPR pour chaque fonction essentielle.
    • Les dépendances et les interdépendances.
    • Identification des besoins en ressources pour la planification de la reprise des opérations.
    • Recommandations pour les stratégies de reprise des opérations.
  • Valider les résultats avec les parties prenantes : examiner le rapport ARA avec les principales parties prenantes, notamment les responsables de processus, le service informatique et la haute direction, afin d’assurer l’exactitude, l’exhaustivité et le consensus. Apportez les révisions nécessaires en vous basant sur des commentaires clairs et détaillés.

L’approche collaborative susmentionnée met également en évidence les lacunes dans la planification et elle ouvre la voie à l’intégration d’améliorations dans les plans de continuité des affaires.

Planification de la continuité des affaires (PCA)

Une fois l’analyse ARA terminée – et, optionnellement, une PÉR – vous disposerez des éléments clés nécessaires à l’élaboration de votre PCA. Nous explorerons cette prochaine étape en détail dans la future Infolettre de juillet 2025. Le PCA couvrira des éléments essentiels tels que :

  • La redondance : mise en place des systèmes de sauvegarde et des centres de données alternatifs pour assurer la continuité du service.
  • Les plans de reprise après sinistre informatique : création de procédures étape par étape pour restaurer efficacement les opérations informatiques.
  • Les tests informatiques réguliers : effectuer étape par étape des simulations et des exercices pour valider l’état de préparation.
  • Les plans de communication : définir des protocoles de communication internes et externes pour une intervention et une gestion efficace des crises informatiques.

Quelques considérations proactives pour l’ARA, l’entretien et l’examen des TI

  • Évaluations systématiques : le paysage informatique est en constante évolution. Planifier des évaluations systématiques de votre ARA informatique pour vous adapter aux nouveaux risques, technologies ou stratégies d’exploitation commerciale.
  • Tirer parti des outils et modèles informatiques : il existe de nombreux modèles et options logicielles de gestion de la continuité des affaires disponibles qui simplifient le processus ARA informatique, le rendant plus efficace et plus précis.
  • Intégration culturelle : intégrer la pratique de la planification des cyber risques et de la reprise des activités au sein de votre culture organisationnelle. Faire de l’analyse d’impact sur les activités informatiques un processus routinier peut aider votre organisation à devenir plus robuste, résiliente et productive au fil du temps.
  • Révisions et mises à jour réguliers : étant donné que les environnements d’affaires évoluent constamment, l’analyse d’impact sur les activités informatiques n’est pas une activité ponctuelle. Elle doit être révisée et mise à jour périodiquement (par exemple : chaque année, ou après des changements organisationnels importants, des mises à niveau des systèmes informatiques, le lancement de nouveaux produits ou de nouveaux services) afin de garantir son exactitude et sa pertinence continuelles.
  • Intégration aux principes de gestion du changement : s’assurer que tout changement significatif apporté aux processus opérationnels de l’entreprise, aux systèmes informatiques, à la structure organisationnelle et à l’infrastructure informatique déclenche un examen complet de ARA, de la PÉR et de la PCA.

En adhérant aux étapes décrites ci-dessus, les PME et autres organisations à travers le Canada peuvent concevoir un cadre ARA informatique robuste et durable qui non seulement informe les stratégies de reprise après sinistre informatique, mais assure également une résilience opérationnelle soutenue pendant et après les perturbations, et sert de base essentielle pour une planification efficace de la continuité des affaires et de la reprise après sinistre.

Processus ARA du NIST : NIST SP 800-34

La National Institute of Standards and Technology (NIST), considère l’analyse des répercussions sur les affaires comme un élément primordial des efforts intégraux de gestion des risques et de la continuité des activités d’une organisation, en particulier dans le contexte des normes de cybersécurité et des mesures de mise en œuvre proactives. Contrairement à une norme autonome, le NIST présente souvent les directives ARA dans des cadres plus larges comme son Cybersecurity Framework (CSF) – Cadre de cybersécurité (CCS) – et des publications sur la planification d’urgence (par exemple : le NIST SP 800-34). À la base, une ARA du NIST est un processus systématique visant à évaluer les conséquences potentielles des perturbations des opérations commerciales critiques, des systèmes informatiques, de l’infrastructure informatique et des divers actifs de l’entreprise. Il ne s’agit pas simplement d’identifier les cybermenaces (qui fait partie d’une planification distincte de l’évaluation des cyber risques) mais de quantifier l’impact de ces cybermenaces si elles devaient se matérialiser. Les objectifs notables d’une ARA du NIST comprennent, entre autres :

  1. Identification des fonctions et des systèmes d’affaires essentielles : les organisations doivent d’abord identifier les fonctions, les processus et les systèmes et ressources informatiques sous-jacents (personnes, données, installations, services tiers) décisifs à leur vision pour atteindre leurs objectifs et fournir leurs produits ou leurs services.
  2. Évaluation des répercussions potentielles : pour chaque fonction fondamentale, l’analyse d’ARA décortique les différents types d’impacts qu’une perturbation pourrait entraîner, notamment les pertes financières, les inefficacités opérationnelles, les atteintes à la réputation, les ramifications juridiques et même les dommages possibles affectant les clients et les personnes concernées. Ces impacts sont souvent quantifiés au fil du temps pour comprendre comment la gravité augmente avec les temps d’arrêt.
  3. Détermination des objectifs du temps de reprise (OTR) : cette détermination définit la durée maximale acceptable pendant laquelle une fonction ou un système crucial peut être indisponible avant que l’organisation ne subisse des conséquences inacceptables. Il s’agit du moment idéal pour la reprise.
  4. Établissement des objectifs du point de reprise (OPR) : pour les processus dépendant des données, les OPR précisent la quantité maximale de perte de données (mesurée dans le temps) qu’une organisation peut tolérer. Cette précision détermine la fréquence à laquelle tous les types de données doivent être sauvegardés.
  5. Comprendre les dépendances : le NIST souligne l’importance de cartographier les dépendances et les interdépendances entre les fonctions essentielles, les systèmes et les entités externes pour identifier les points de défaillance uniques et garantir une approche de reprise holistique.

Le document d’orientation du NIST souligne souvent que l’analyse des répercussions sur les affaires fournit le côté « impact » de l’équation du risque cybernétique (risque = probabilité x impact), ce qui le rend indispensable pour hiérarchiser les risques et éclairer les décisions de traitement des risques. Bien que traditionnellement axée sur la disponibilité des systèmes pour la continuité des activités, les publications récentes du NIST, telles que la série IR 8286, ont élargi la portée de l’ARA pour tenir également compte des impacts sur la confidentialité et sur l’intégrité compromises des données et des systèmes informatiques, en particulier dans les contextes de cybersécurité. Les résultats de l’ARA guident directement le développement des stratégies de reprise sur mesure et des plans complets de continuité des affaires (PCA) en définissant clairement ce qui doit être protégé, la rapidité avec laquelle cela doit être récupéré et les ressources minimales requises pour atteindre la résilience de l’entreprise. Il s’agit d’un processus itératif, nécessitant des révisions et des mises à jour régulières pour rester pertinent face à l’évolution du paysage des risques et de l’environnement opérationnel d’une organisation. Bien que la publication spéciale 800-34, du NIST soit conçue pour les agences fédérales américaines, ses principes de planification de la reprise peuvent être pertinents pour les PME canadiennes, car elle fournit des modèles de gestion des systèmes informatiques, des outils techniques utiles et une formation du personnel pour aider tout type d’organisation dans le monde – y compris les PME au Canada – avec ce processus ARA du NIST.

Pourquoi l’intégration des outils d’automatisation des processus ARA TI dans les systèmes informatiques existants des PME est-elle pertinente pour les PME?

L’intégration des outils d’automatisation des processus ARA TI dans l’environnement informatique existant d’une PME peut offrit plusieurs avantages clés résumés comme de la manière suivante :

  • Efficacité et précision : Réduit les tâches manuelles et les erreurs en normalisant la collecte de données et l’évaluation des impacts.
  • Optimisation des coûts et des ressources : Diminue les dépenses en main-d’œuvre et permet des équipes plus allégées grâce à l’automatisation des évaluations périodiques.
  • Évolutivité : S’adapte facilement à la croissance de l’entreprise en accompagnant de nouveaux processus avec un minimum de surcharge.
  • Prise de décision basée sur les données : Fournit des informations en temps réel pour prioriser l’atténuation des risques et les investissements stratégiques.
  • Renforcement de la gestion des risques : S’intègre aux outils de surveillance pour déclencher des réponses proactives aux incidents et réduire les interruptions.
  • Soutien à la conformité : Simplifie les audits en maintenant des dossiers structurés, conformes aux exigences réglementaires.
  • Intégration numérique : S’intègre aux systèmes existants (ERP, CRM, cloud), assurant une planification cohérente de la continuité.
  • Confiance des parties prenantes : Renforce le professionnalisme et la résilience, améliorant la crédibilité auprès des clients et partenaires.

En intégrant l’automatisation des processus ARA dans leur infrastructure informatiques, les PME sont en mesure d’obtenir un aperçu vivant et dynamique du risque opérationnel – un aperçu qui s’adapte à leur croissance, suivant ainsi le rythme des exigences réglementaires et permettant une planification de la résilience soutenue par l’assortiment et l’analyse des données.

Avant de mettre en œuvre ces technologies, les PME devraient réaliser une analyse approfondie des coûts et des avantages, car les dépenses liées au déploiement et à la maintenance peuvent être conséquentes — et les gains escomptés ne sont pas toujours garantis.

Intégration des outils d’automatisation des processus ARA dans les systèmes informatiques existants des PME : compilation résumée de certaines bonnes pratiques

L’intégration des outils d’automatisation [7,8] des processus ARA dans les systèmes informatiques existants des PME nécessite une approche structurée pour garantir une fonctionnalité transparente, une livraison fluide et des perturbations d’affaires minimales. Voici comment les PME à travers le Canada peuvent le faire de manière proactive :

1. Évaluer la compatibilité avec l’infrastructure informatique existante

  • Identifier si les outils ARA prennent en charge l’intégration avec votre collection actuelle d’outils informatiques.
  • Vérifier la disponibilité de l’interface de programmation d’application (IPA) pour faciliter l’échange de données entre les systèmes informatiques.
  • Assurer la compatibilité avec les paramètres basés sur l’infonuagique ou les environnements sur le site physique.

2. Profiter de l’automatisation et de la synchronisation des données

  • Utilisez des outils d’automatisation pour synchroniser les données ARA avec les plateformes de gestion des risques et de continuité des activités.
  • Mettre en œuvre des flux de données en temps réel pour tenir à jour les évaluations d’impact sur l’entreprise.
  • Assurer une intégration transparente de l’ARA avec les cadres de cybersécurité pour la réduction des cyber risques.

3. Intégration aux plateformes de gestion des services informatiques (PGSI)

  • Connecter les outils ARA aux solutions PGSI comme ServiceNow ou Jira pour une réponse simplifiée aux incidents.
  • Automatiser les flux de travail pour déclencher des actions de reprise en fonction des résultats de l’ARA.
  • Améliorer la visibilité en reliant les renseignements ARA aux tableaux de bord de surveillance informatique.

4. Assurer la conformité et la sécurité

  • Aligner les outils ARA avec les exigences réglementaires telles que les cadres ISO 22301 et NIST.
  • Mettre en œuvre des contrôles d’accès basés sur les rôles pour protéger l’analyse d’impact des données confidentielles.
  • Effectuer des vérifications régulières pour valider l’efficacité de l’intégration de l’ARA.

5. Former les équipes et optimiser l’utilisation

  • Offrir des séances de formation aux équipes informatiques et des ventes sur l’utilisation efficace des outils ARA.
  • Établir des protocoles clairs pour la mise à jour et l’entretien des données ARA.
  • Encourager la collaboration entre les équipes de TI et les unités de gestion des affaires pour des évaluations holistiques d’impact.

Quelques conséquences pour les PME qui ne parviennent pas à mettre en œuvre un processus d’ARA pour les TI

Ne pas mettre en œuvre un processus d’ARA pour les TI peut exposer les PME à une série de risques graves et de conséquences à long terme [9]. Sans une ARA structurée, une PME peut se retrouver mal préparée et vulnérable lorsque des perturbations frappent ses systèmes informatiques et son infrastructure informatique. Voici quelques ramifications potentielles :

1. Temps d’arrêt prolongés et perturbations opérationnelles

Sans identifier clairement les actifs informatiques essentiels, les dépendances et les interdépendances, les PME risquent de subir des temps d’arrêt prolongés en cas de perturbation. Les pannes prolongées peuvent paralyser les fonctions essentielles de l’entreprise, retarder les efforts de rétablissement et, en fin de compte, entraîner une perte de revenus, et une diminution de la confiance et de la satisfaction des clients. Lorsqu’il n’existe pas d’objectif du temps de reprise (OTR) ou d’objectif du point de reprise (OPR) prédéterminé, la gestion et la hiérarchisation des efforts de reprise deviennent inefficaces, chronophages, très coûteuses et carrément chaotiques.

2. Pertes financières

Sans un processus efficace d’ARA, les PME sont moins susceptibles de repérer et de réduire les risques de manière proactive. Cette approche réactive peut entraîner des pertes financières considérables, non seulement en raison des temps d’arrêt, mais également en raison des coûts imprévus relatifs à la lutte contre les cyberattaques après un incident cybernétique. Qu’il s’agisse de violations de données, de rançongiciels ou de pannes de système informatique, l’absence d’un plan stratégique peut augmenter considérablement les coûts de la reprise.

3. Atteinte à la réputation et perte de confiance des clients

Dans l’ère numérique, la fiabilité est un avantage concurrentiel. Si une panne informatique perturbe les services ou compromet l’intégrité des données, les clients et les partenaires risquent de perdre confiance dans l’organisation. Les dommages à la réputation résultant de tels incidents peuvent avoir des effets durables, rendant plus difficile pour les PME d’attirer ou de retenir des clients.

4. Conformité, enjeux réglementaires et juridiques

De nombreux secteurs d’activité ont des exigences réglementaires strictes en matière de protection des données et de continuité des activités. Une ARA absente ou inadéquate peut entraîner une non-conformité, entraînant des sanctions légales et des amendes. Plus important encore, cela peut signaler un manque plus étendu de diligence raisonnable envers les parties prenantes, ce qui peut saper la confiance des investisseurs et les partenariats stratégiques pour les PME.

5. Incapacité à prioriser et à allouer efficacement les ressources

Une ARA bien exécutée aide une organisation à hiérarchiser ses actifs informatiques en fonction de leur criticité pour les opérations commerciales. Sans cette analyse, les PME peuvent être confrontées à une allocation inefficace des ressources, risquant de surinvestir dans des domaines peu prioritaires tout en laissant les systèmes vitaux sous-protégés. Cette allocation réactive des ressources en période de crise augmente non seulement les coûts, mais compromet également la résilience globale de l’entreprise.

Par conséquent, l’absence d’un processus ARA informatique au sein des PME peut entraîner de graves perturbations opérationnelles, des revers financiers substantiels, des atteintes à la réputation, des pièges de conformité et une gestion de crise inefficace. Investir dans un processus informatique ARA systématique est essentiel non seulement pour atténuer les risques, mais aussi pour préserver la viabilité à long terme de l’entreprise et ses avantages concurrentiels.

Conclusion

Alors que la transformation numérique s’enracine plus profondément dans notre vie quotidienne, les perspectives d’avenir [10] du processus ARA pour les TI au sein des PME semblent être prometteuses. Voici quelques tendances et projections importantes pour l’avenir de l’ARA TI au sein des PME :

1. Transformation numérique accélérée

Les PME adoptent de plus en plus les technologies numériques pour surmonter les contraintes de ressources et accroître leur compétitivité. Les plateformes infonuagiques et les modèles en tant que service permettent aux PME d’adopter des outils ARA raffinés sans avoir à faire d’importants investissements initiaux. En conséquence, les processus informatiques ARA deviendront plus accessibles, permettant aux petites organisations de surveiller en permanence les risques et d’ajuster rapidement leurs stratégies de reprise. Une telle poussée numérique est en train de façonner déjà un environnement opérationnel plus résilient et plus diligent pour les PME.

2. Intégration de l’automatisation et de l’IA

Les progrès en matière d’automatisation et d’intelligence artificielle devraient transformer la manière dont l’ARA est mise en opération. En intégrant l’analytique prédictive basée sur l’IA, les PME peuvent automatiser la détection des vulnérabilités, simuler divers scénarios de perturbation et quantifier les impacts potentiels en temps réel. Cette intégration minimise non seulement l’intervention manuelle, mais permet également une prise de décision plus éclairée et proactive. À mesure que les coûts relatifs aux technologies d’IA diminuent et que la convivialité s’améliore, les PME trouveront de plus en plus possible d’intégrer l’IA dans leurs processus informatiques d’ARA.

3. Interopérabilité et normalisation améliorées

Les futurs outils ARA offriront probablement une meilleure compatibilité avec les infrastructures informatiques existantes, y compris les systèmes hérités. L’adoption de cadres normalisés, tels que les normes ISO 22301, ISO 31000 et les lignes directrices NIST SP 800-34, rationalisera davantage les efforts d’intégration. Les ARA normalisées et automatisées peuvent aider les PME non seulement à satisfaire aux exigences réglementaires et de conformité, mais également à harmoniser les stratégies de reprise avec des initiatives plus étendues de gestion des risques et de continuité des activités. Cette normalisation renforce la confiance des intervenants et favorise une meilleure collaboration interfonctionnelle.

4. Solutions sur mesure et rentables pour les PME

Il existe un marché croissant pour les solutions ARA spécialisées conçues précisément pour les PME. Ces outils sont de plus en plus conscients des défis uniques auxquels les PME sont confrontées, comme les budgets limités, l’expertise technique et les infrastructures informatiques fragmentées. Les développeurs conçoivent des plateformes personnalisables et modulaires qui permettent aux PME d’adopter uniquement les composantes dont elles ont besoin, rendant ainsi l’ARA pour les TI plus évolutive et plus rentable. Cette approche ciblée promet d’apporter des gains d’efficacité significatifs et de meilleures pratiques d’atténuation des risques.

5. Amélioration de la résilience et de l’avantage concurrentiel

À mesure que les PME intègrent des processus informatiques ARA plus robustes dans leurs cadres globaux de gestion des risques, elles sont en mesure d’améliorer leur résilience opérationnelle. Grâce à des informations en temps réel, des évaluations des risques automatisées et des processus de récupération simplifiés, les PME sont capables de minimiser les temps d’arrêt et de sécuriser leurs opérations continues même en cas de perturbation. Dans l’environnement de marché concurrentiel et volatil actuel, un processus informatique ARA mature peut constituer un facteur de différenciation significatif, favorisant la continuité des affaires et attirant en fin de compte les investissements, la confiance et la fidélité des clients.

L’effet combiné de ces tendances suggère que l’avenir de l’ARA pour les TI au sein des PME est celui d’une plus grande efficacité, d’une plus grande précision et des valeurs stratégiques. À mesure que la transformation numérique continue de progresser, les PME bénéficieront d’outils de gestion des risques plus agiles, plus abordables et plus intégrés qui, non seulement protègent leur infrastructure informatique, mais contribuent également à la croissance et à la résilience durables de l’entreprise. L’intégration des outils d’ARA est essentielle pour les PME car elle améliore directement la résilience opérationnelle et la prise de décision stratégique. En identifiant systématiquement les actifs informatiques essentiels et les vulnérabilités, l’intégration ARA TI permet aux PME de mieux prévoir et de réduire les perturbations.

Étant donné que les PME fonctionnent souvent avec des ressources limitées, minimiser les temps d’arrêt et assurer une reprise rapide peut faire une différence significative dans le maintien de la continuité des activités. De plus, un processus BIA informatique intégré consolide des sources de données disparates dans une vue centralisée, facilitant ainsi la prise de décisions éclairées. Lorsque les PME rassemblent l’inventaire des actifs, les profils de risque et les mesures de récupération via des plateformes intégrées, elles obtiennent des informations approfondies et exploitables sur la manière dont les perturbations informatiques se répercutent sur les fonctions de l’entreprise.

Cette perspective globale soutient non seulement la gestion proactive des cyber risques et des cyberattaques, mais favorise également l’agilité dans la réponse à la dynamique du marché, ce qui est crucial pour rester compétitif. Les outils d’automatisation pourraient constituer un autre avantage significatif pour l’ARA TI. L’intégration des outils informatiques d’automatisation ARA [11,12] dans les systèmes existants – qu’il s’agisse de plateformes ERP, CRM ou de gestion des services informatiques – peut simplifier la collecte et l’analyse des données reliées aux risques. Une telle intégration réduit les efforts manuels, minimise les erreurs et accélère le processus de mise à jour des évaluations des risques en fonction des informations en temps réel. Pour les PME, ces améliorations d’efficacité se traduisent souvent par des économies de coûts tout en permettant aux équipes internes de se concentrer sur les activités principales de l’entreprise. Finalement, l’intégration ARA pour les TI aide les PME à répondre aux exigences de conformité et à renforcer la confiance des parties prenantes. L’adoption des cadres normatifs de l’industrie informatique tels que ISO 22301 et NIST SP 800-34 dans un processus ARA intégré démontre un engagement envers une gestion robuste des risques. Cette adoption facilite non seulement des audits plus fluides et une conformité réglementaire plus efficace, mais elle inspire également confiance aux clients, aux investisseurs et aux partenaires commerciaux, positionnant ainsi les PME comme des acteurs avant-gardistes et résilients au sein d’un paysage concurrentiel.

Ressources et références

1 Priti Sikdar, Practitioner’s Guide to Business Impact Analysis: Internal Audit and IT Audit Series, 1ère édition publiée à Boca Raton, Florida, USA par Routledge/CRC Press, Taylor & Francis Group, 2 août 2021, 508 pages. Practitioner’s Guide to Business Impact Analysis: Internal Audit and IT Audit Series | Priti Sikdar | Routledge/CRC, Taylor Francis

2 Ian Charters, A Practical Approach to Business Impact Analysis: Understanding the Organization through Business Continuity Management, 2e édition publiée à Knaresborough, Angleterre par Continuity Systems Ltd., 21 août 2020, 354 pages. A Practical Approach to Business Impact Analysis: Understanding the Organization through Business Continuity Management by Ian Charters | Open Library

3 Ravi Jay Gunnoo, Cybersecurity Education Compendium: Harnessing Digital Safety Best Practices Across the World, 1ère édition en gros caractères et livre électronique publiée à Seattle, Washington, USA par Amazon Publishing USA, 18 Septembre 2024, 728 pages, ISBN: 9798336620344. CYBERSECURITY EDUCATION COMPENDIUM: Harnessing Digital Safety Best Practices Across the World: Gunnoo, Ravi Jay: 9798336620344: Books – Amazon.ca

4 Washija Kazim, How to Conduct Business Impact Analysis in Some Easy Steps, G2 Business Continuity Management Software, article téléversé en ligne le 19 juillet 2024. How To Conduct Business Impact Analysis in Some Easy Steps

5 Organisation Internationale de Normalisation (ISO), ISO/TS 22317:2021(FR): Sécurité et résilience — Systèmes de gestion de la continuité des activités — Lignes directrices pour l’analyse des répercussions sur les affaires, 2e édition, Genève, Suisse: ISO, Novembre 2021, 136 pages. ISO/TS 22317:2021(FR), Sécurité et résilience — Systèmes de gestion de la continuité des activités — Lignes directrices pour l’analyse des répercussions sur les affaires

6 Marianne Swanson, Pauline Bowen, et al., NIST SP 800-34, Rev. 1: Contingency Planning Guide for Federal Information Systems. Gaithersburg, Maryland, USA: National Institute of Standards and Technology (NIST) – United States Department of Commerce, 4 janvier 2019, 149 pages. NIST 800-34, Rev 1 Contingency Planning Guide for Federal Information Systems

7 Dr. Kitty Hung, Business Impact Analysis in the Era of Generative Artificial Intelligence: How to Upskill Ourselves in an Intelligence Led Automation World, 1ère édition publiée simultanément à Londres (Royaume-Uni) et Seattle, État de Washington (USA) par BabySteps Publishing Ltd. & Amazon Publishing USA, 2 février 2024, 347 pages, ISBN: 9798877943360. Business Impact Analysis in the Era of Generative Artificial Intelligence: How to Upskill Ourselves in an Intelligence Led Automation World: Hung, Dr Kitty: 9798877943360: Books – Amazon.ca

8 Alison Cox, Business Impact Analysis for Dummies, 2e édition publiée à Hoboken, New Jersey, USA par John Wiley & Sons Publishers Inc., 7 février 2023, 416 pages. Business Impact Analysis for Dummies, 2nd Edition | John Wiley & Sons Publishers Inc.

9 Daniel Ihonvbere, Business Impact Analysis (BIA): Principles, Methodologies, Challenges, Consequences, Business Continuity Planning and Best Practices, TechPrognosis Business Resilience Blog, article en ligne téléversé le 14 avril 2025. Business Impact Analysis (BIA): Challenges, Consequence, Business Continuity Planning and Best Practices

10 Konstantina Ragazou, Ioannis Passas, Alexandros Garefalakis, et al., Business Intelligence Model and Business Impact Analysis Empowering SMEs to Make Better Decisions and Enhance their Competitive Advantage, Springer Nature Link – Discover Analytics Series, Vol. 1, Article No. 2, Springer-Verlag GmbH, Berlin, Allemagne, 6 février 2023, 45 pages. Business intelligence model empowering SMEs to make better decisions and enhance their competitive advantage | Springer Nature Link – Discover Analytics Series

11 Thinh Gia Hoang and Mia Luang Bui, Business Intelligence and Analytic (BIA) Stage-of-Practice in Micro-, Small- and Medium-Sized Enterprises (MSMEs), Journal of Enterprise Information Management, Vol. 36, No. 4, pages 1080–1104, 13 juin 2023. Business intelligence and analytic (BIA) stage-of-practice in micro-, small- and medium-sized enterprises (MSMEs) | Journal of Enterprise Information Management Emerald Publishing Insight

12 Gerardus Blokdyk, Business Impact Analysis (BIA) Toolkit: A Complete Guide – 2021 Edition – Practical Tools for Self-Assessment, 2e édition publiée à Brendale, Queensland, Australie par The Art of Service Publishing Co. Ltd., 13 avril 2021, 341 pages. SMEs Business Impact Series – Business Impact Analysis (BIA) Toolkit

Contributions

Nous remercions en particulier le Conseil national de recherches du Canada (CNRC) pour son soutien financier par le biais de son Programme d’aide à la recherche industrielle (PARI), lequel programme est bénéfique pour les organisations d’affaires et les PME à l’échelle du Canada.

Éditeur-en-chef de l’infolettre :

Alan Bernardi, SSCP, PMP, auditeur principal pour ISO 27001, ISO 27701 et ISO 42001
B.Sc. Informatique et Mathématiques, Université McGill, Canada
Diplôme d’études supérieures en gestion, Université McGill, Canada

Auteur-Amazon USA, informaticien, rédacteur & traducteur professionnel certifié :
Ravi Jay Gunnoo, C.P.W. ISO 24495-1:2023 & C.P.T. ISO 17100:2015
B.Sc. Informatique et Cybersécurité, Université McGill, Canada
B.Sc. & M.A. Traduction Professionnelle, Université de Montréal, Canada

Ce contenu est publié sous licence Creative Commons Attribution (CC BY-NC)

In-Sec-M

283 Boul. Alexandre-Taché Suite F3006,
Gatineau (Québec)
J9A 1L8

info@insecm.ca