Quand un cabinet comptable de 20 personnes a perdu l'accès à son logiciel de gestion pendant 48 heures, l'équipe IT s'est précipitée pour récupérer le serveur en premier. Mais la vraie crise ? Le cabinet ne pouvait pas déposer les déclarations fiscales urgentes de 30 clients corporate, déclenchant des clauses de pénalité et érodant des années de confiance bâtie patiemment.
Le serveur était « critique » d'un point de vue technique. Le processus de déclaration client était critique d'un point de vue métier.
Cette distinction est exactement la raison d'être de l'analyse d'impact sur l'activité (AIA) — et c'est pourquoi les petites et moyennes entreprises (PME) s'y prennent souvent mal. Une AIA n'est pas un inventaire IT. C'est un exercice métier d'abord qui répond à une seule question : si ça s'arrête, qu'arrive-t-il à l'entreprise ?
Dans ce guide, nous vous présentons une méthodologie AIA pratique et adaptée aux PME. Pas besoin de logiciel enterprise. Pas de mois d'ateliers. Juste un cadre ancré sur des sources reconnues : le NIST Cybersecurity Framework (CSF) 2.0, le NIST SP 800-34, les Cyber Essentials du CISA, et la méthode EBIOS Risk Manager de l'ANSSI.
Qu'est-ce qu'une analyse d'impact sur l'activité (AIA) ?
Une AIA est un processus systématique pour identifier et évaluer les effets potentiels de perturbations sur les opérations métier critiques. Selon le NIST SP 800-34 Rev. 1, l'AIA constitue l'étape 2 d'un processus de planification de continuité en sept étapes, conçu pour « identifier et prioriser les systèmes et composants IT critiques » en comprenant leur rôle dans le soutien des processus métier et de mission.
Pour les PME, le NIST CSF 2.0 renforce cela via la fonction Identify (Identifier), et plus spécifiquement la catégorie Asset Management (ID.AM) (gestion des actifs), qui exige que les actifs soient « priorisés selon leur classification, leur criticité, leurs ressources et leur impact sur la mission ».
L'insight clé : l'AIA commence par les processus métier, pas par la technologie. Vous ne commencez pas par lister les serveurs. Vous commencez par vous demander : qu'est-ce que cette entreprise fait vraiment, et de quoi a-t-elle besoin pour continuer ?
C'est exactement la logique « on répond une fois, on projette partout » que Komplyo applique à la conformité : vous décrivez votre réalité métier une seule fois, et la plateforme la projette sur les référentiels qui comptent. Découvrez comment sur notre page méthodologie.
Pourquoi les PME ont besoin d'une approche différente
Les AIA en entreprise impliquent souvent des équipes dédiées à la continuité d'activité, des logiciels spécialisés et des mois d'ateliers. Les PME n'ont pas ce luxe. Mais les principes restent les mêmes — seule l'exécution doit être plus légère.
Les Cyber Essentials du CISA pour les petites entreprises recommandent explicitement aux dirigeants d'« aborder la cybersécurité comme un risque métier » et d'« identifier leurs dépendances envers les technologies de l'information ». La Small Business Administration américaine ajoute que les PME devraient utiliser des outils de planification comme le Small Biz Cyber Planner 2.0 de la FCC ou le Cyber Resilience Review (CRR) gratuit du CISA pour évaluer les risques sans lourdeur enterprise.
La méthode EBIOS Risk Manager de l'ANSSI, bien que souvent utilisée par des organisations plus grandes, est explicitement conçue pour être adaptable « quelle que soit leur taille, leur secteur d'activité et que leurs systèmes d'information soient en développement ou déjà existants ». Son « Atelier 1 » se concentre sur l'identification des « missions, actifs métier et actifs de soutien » — une structure parfaitement adaptable aux petites équipes.
Le cadre AIA pour PME : un processus en 5 étapes
Basé sur les recommandations du NIST, du CISA et de l'ANSSI, voici un cadre AIA pratique conçu pour les PME aux ressources limitées.
Étape 1 : cartographier vos processus métier (pas votre inventaire IT)
Commencez par ce que l'entreprise fait, pas par ce qu'elle possède.
Listez 5 à 10 processus métier essentiels. Pour une PME typique, cela pourrait inclure :
- Traitement des commandes clients et facturation
- Paie et administration RH
- Livraison de services clients (conseil, fabrication, santé…)
- Reporting réglementaire et conformité
- Opérations commerciales et marketing
- Gestion des fournisseurs et de la chaîne logistique
Question clé : si ce processus s'arrêtait pendant 1 heure, 1 jour ou 1 semaine, quelles seraient les conséquences métier ?
La fonction Identify du NIST CSF 2.0 met l'accent sur la compréhension « de la mission, des objectifs, des parties prenantes et des activités de l'organisation ». C'est votre point de départ.
Étape 2 : identifier les ressources dont dépend chaque processus
Pour chaque processus métier, listez les ressources nécessaires à son exécution. Le NIST SP 800-34 les catégorise ainsi :
| Type de ressource | Exemples |
|---|---|
| Personnes | Rôles spécifiques, expertise, individus clés |
| Données | Dossiers clients, données financières, PI, données opérationnelles |
| Applications | CRM, ERP, logiciel comptable, outils métiers |
| Infrastructure | Serveurs, services cloud, réseaux, postes de travail |
| Tiers | Fournisseurs SaaS, processeurs de paiement, partenaires logistiques |
| Locaux | Bureaux, ateliers de production, utilités |
Cela s'aligne sur les ID.AM-01 à ID.AM-08 du NIST CSF 2.0, qui couvrent les inventaires de matériel, logiciel, services, données et fournisseurs.
Étape 3 : évaluer l'impact dans le temps
Pour chaque couple processus-ressource, estimez l'impact d'une perturbation sur trois horizons temporels. Le NIST SP 800-34 fournit un modèle pour cela : identifiez les « impacts de perturbation et les temps d'indisponibilité acceptables » pour chaque ressource critique.
| Horizon temporel | Catégories d'impact à considérer |
|---|---|
| 0–4 heures | Retards opérationnels, perte de revenus immédiate, frustration client |
| 4–24 heures | Deadlines manquées, pénalités contractuelles, exposition réglementaire |
| 1–7 jours | Atteinte à la réputation, départ de clients, crise de trésorerie, responsabilité légale |
Utilisez une échelle de sévérité simple :
- Critique : survie de l'entreprise menacée ; sécurité ou conformité légale en jeu
- Élevé : perte de revenus majeure ou violation réglementaire ; récupération difficile
- Moyen : perturbation opérationnelle significative ; gérable avec des solutions de contournement
- Faible : inconvénient mineur ; facilement absorbable
L'EBIOS Risk Manager de l'ANSSI utilise une échelle de sévérité similaire en quatre niveaux — critique, grave, significatif et mineur —, évaluant l'impact sur « la sécurité des personnes et des biens » et « la survie de la structure ».
Étape 4 : définir les priorités de récupération
Sur la base des évaluations d'impact, attribuez des priorités de récupération. Le NIST SP 800-34 recommande une échelle simple Haut/Moyen/Faible :
| Priorité | Critères |
|---|---|
| Haute | Doit être restauré dans le délai d'indisponibilité acceptable pour éviter un échec métier critique |
| Moyenne | Important pour les opérations complètes ; peut tolérer une perturbation plus longue |
| Faible | Non essentiel ; restaurer quand les priorités supérieures sont stabilisées |
Pour chaque ressource haute priorité, définissez :
- Recovery Time Objective (RTO) : temps d'indisponibilité maximum acceptable (ex. : 4 heures)
- Recovery Point Objective (RPO) : perte de données maximum acceptable (ex. : 1 heure de transactions)
Étape 5 : documenter et réviser
Votre AIA n'a pas besoin d'être un rapport de 50 pages. Un tableur ou document de 2-3 pages suffit pour la plupart des PME. Incluez :
- L'inventaire des processus métier
- Les dépendances en ressources
- Les niveaux de sévérité d'impact
- Les priorités de récupération et les objectifs RTO/RPO
- Les responsables assignés pour chaque processus
Le Cyber Resilience Review (CRR) du CISA évalue la maturité des capacités de votre organisation sur 10 domaines, incluant la gestion des actifs et la gestion de la continuité des services. Utilisez l'option d'auto-évaluation du CRR pour valider votre AIA contre des standards reconnus — gratuitement.
Erreurs courantes à éviter
1. Commencer par la technologie, pas par le métier
Si votre AIA commence par « nous avons trois serveurs et deux firewalls », vous avez inversé la logique. Commencez par : « nous traitons 50 factures par jour. De quoi avons-nous besoin pour continuer ? »
2. Ignorer les dépendances tierces
La plupart des PME font tourner des processus critiques via des plateformes SaaS (QuickBooks, Salesforce, Google Workspace). Le NIST CSF 2.0 GV.SC-04 exige que « les fournisseurs soient connus et priorisés par criticité ». Si votre fournisseur CRM tombe en panne, votre AIA doit en tenir compte.
3. Traiter toutes les données de la même façon
Toutes les données ne méritent pas la même protection. Les données de paiement client peuvent être de priorité Haute ; les supports marketing de l'année dernière, de priorité Faible. Le NIST CSF ID.AM-05 appelle explicitement à une priorisation « basée sur la classification, la criticité, les ressources et l'impact sur la mission ».
4. En faire un exercice ponctuel
L'AIA est un document vivant. Le NIST SP 800-34 insiste sur le fait que « le plan doit être un document vivant, mis à jour régulièrement pour rester à jour avec les évolutions des systèmes ». Révisez votre AIA trimestriellement, ou à chaque changement métier majeur (nouvelles lignes de produits, nouveaux fournisseurs, fusions-acquisitions).
Connecter votre AIA au NIST CSF
Votre AIA alimente directement la structure globale du NIST CSF 2.0 :
| Sortie de l'AIA | Fonction du NIST CSF 2.0 |
|---|---|
| Inventaire et priorisation des actifs | IDENTIFY → Asset Management (ID.AM) |
| Évaluations de sévérité des risques | IDENTIFY → Risk Assessment (ID.RA) |
| Objectifs RTO/RPO | RECOVER → Incident Recovery Plan Execution (RC.RP) |
| Niveaux de criticité des fournisseurs | GOVERN → Cybersecurity Supply Chain Risk Management (GV.SC) |
| Lacunes des contrôles préventifs | PROTECT → Technology Infrastructure Resilience (PR.IR) |
C'est pourquoi une AIA est rarement un effort isolé. Une fois l'impact et les priorités cartographiés, les mêmes données alimentent votre évaluation de maturité sur le CSF 2.0 — et, à travers elle, votre préparation à ISO 27001 ou SOC 2 ainsi que vos obligations au titre de NIS2 et du RGPD.
Comment Komplyo transforme votre AIA en avance sur la conformité
Komplyo repose exactement sur ce principe : le NIST CSF 2.0 est la colonne vertébrale, et ISO 27001, SOC 2 et le RGPD sont des projections des mêmes réponses. Les priorités métier que vous faites émerger dans une AIA — processus critiques, criticité des fournisseurs, objectifs de récupération — se projettent directement sur les fonctions Identify, Govern et Recover évaluées par Komplyo.
- On évalue une fois, on lit partout. Vos réponses CSF 2.0 se projettent automatiquement sur ISO 27001, SOC 2 et le RGPD. Découvrez le produit.
- Commencez gratuitement. Le diagnostic gratuit vous donne un score de maturité indicatif par fonction CSF en quelques minutes — une suite naturelle après une AIA.
- Des écarts aux documents. Les priorités identifiées alimentent une feuille de route priorisée et des politiques générées, pour qu'une AIA ne soit pas un document qui prend la poussière.
Foire aux questions
Quelle est la différence entre une AIA et une analyse de risques ?
Une analyse de risques estime la probabilité et l'impact de menaces précises (rançongiciel, inondation, défaillance d'un fournisseur). Une AIA se concentre sur les conséquences dans le temps si un processus ou une ressource devient indisponible — quelle qu'en soit la cause. En termes NIST CSF 2.0, l'AIA alimente l'Asset Management (ID.AM) et le Risk Assessment (ID.RA) ; les deux sont complémentaires.
Combien de temps prend une AIA pour une PME ?
Pour la plupart des PME, une AIA ciblée couvrant 5 à 10 processus essentiels prend quelques sessions de travail, pas des mois. Un livrable de 2-3 pages suffit. L'objectif est la clarté sur les priorités, pas une documentation exhaustive.
RTO et RPO, en clair, c'est quoi ?
Le RTO (Recovery Time Objective) est le délai dans lequel un processus doit être rétabli — l'indisponibilité maximale tolérable. Le RPO (Recovery Point Objective) est la quantité de données que vous pouvez vous permettre de perdre, mesurée en temps (ex. : une heure de transactions). Le RTO répond à « à quelle vitesse ? » ; le RPO à « combien de données ? ».
Une PME a-t-elle vraiment besoin d'une AIA si elle n'est pas réglementée ?
Oui. Même sans obligation réglementaire, une AIA vous dit quoi protéger et restaurer en premier — c'est la différence entre un incident gérable et un incident existentiel. C'est aussi un prérequis pour des référentiels comme ISO 27001 et pour démontrer votre diligence à des clients grands comptes.
Quel lien entre une AIA et ISO 27001 ou SOC 2 ?
Une AIA produit les données de priorisation des actifs, de continuité d'activité et de récupération que les deux référentiels attendent. Avec Komplyo, ces mêmes données sont évaluées sur le NIST CSF 2.0 puis projetées sur ISO 27001 et SOC 2 — vous ne répondez donc jamais deux fois aux mêmes questions. Voir SOC 2 vs ISO 27001 : lequel choisir ?.
En résumé : métier d'abord, technologie ensuite
Une analyse d'impact sur l'activité ne vise pas à créer l'inventaire IT le plus complet. Elle vise à comprendre, en termes métier, ce qui fait vivre votre entreprise — et ce que vous devez protéger en premier.
Pour les PME, cela signifie résister à la tentation de commencer par les firewalls et les serveurs. Commencez plutôt par les factures et la paie. Commencez par la confiance client et les échéances réglementaires. Commencez par la question : si on ne peut plus faire ça demain, est-ce qu'on est encore une entreprise ?
Les cadres comme le NIST CSF 2.0, le NIST SP 800-34, les ressources du CISA et l'EBIOS de l'ANSSI vous donnent la structure. Votre connaissance métier vous donne le contexte. Combinez les deux, et vous aurez une AIA qui protège vraiment l'essentiel.