Bilan d'impact sur l'activité (BIA) — guide complet 2026
Méthode en 7 étapes, exercices corrigés, modèle Excel gratuit, calibrage automatique RTO/RPO. La fondation incontournable de votre SMCA — conforme ISO 22301, NIS2, DORA.
Méthodologie en 7 étapes
De la définition du périmètre à la révision annuelle — chaque étape est livrable.
Définir le périmètre et l'objectif
Quels processus métier ? Quel niveau d'agrégation (ligne d'activité, business unit, application) ? Quelle finalité (alimenter un PCA, un PRA, un audit ACPR) ? Sponsor exécutif identifié.
Cartographier les processus et leurs dépendances
Inventaire processus → applications → infrastructures → fournisseurs → personnes-clés. La granularité dépend de la maturité (5–50 processus pour un démarrage).
Évaluer les impacts (4 axes)
Pour chaque processus, en cas d'arrêt à H+1, H+4, H+24, H+72 : impact financier (€ perdus), impact réglementaire (pénalités), impact opérationnel (clients), impact image (réputation).
Calibrer RTO, RPO, MTPD
À partir des impacts, déduire les objectifs : RTO (temps max d'indisponibilité), RPO (pertes de données acceptables), MTPD (plafond absolu). Voir notre [guide RTO/RPO].
Identifier les ressources critiques minimales
Combien de personnes minimum, quelle infrastructure dégradée acceptable, quels fournisseurs de repli ? La RCM est la fondation du PCA.
Faire valider par la direction métier
Le BIA n'est pas un livrable IT. Le directeur métier signe la criticité, les RTO/RPO et les ressources minimales. Sans signature, pas de BIA opposable.
Réviser périodiquement
Cadence annuelle minimum, ou à chaque changement majeur (acquisition, nouvelle ligne d'activité, sinistre). Audit ACPR / ISO 22301 = revue documentée.
Référentiels couverts
Questions fréquentes BIA
Qu'est-ce qu'un Business Impact Analysis (BIA) en français ?
Le Business Impact Analysis, ou « bilan d'impact sur l'activité » en français, est l'analyse qui mesure les conséquences d'une interruption de chaque processus métier sur l'organisation. Il aboutit à une criticité chiffrée par processus et à des objectifs de reprise (RTO/RPO/MTPD). C'est la fondation obligatoire d'un système de management de la continuité d'activité (SMCA) ISO 22301.
Quelles sont les étapes de planification du BIA ?
7 étapes : (1) définir le périmètre et l'objectif, (2) cartographier les processus et dépendances, (3) évaluer les impacts sur 4 axes (financier, réglementaire, opérationnel, image) à H+1/4/24/72, (4) calibrer RTO/RPO/MTPD, (5) identifier les ressources critiques minimales, (6) faire valider par la direction métier, (7) réviser périodiquement (annuel + sur changement majeur).
Existe-t-il des exercices et corrigés sur le BIA ?
Oui, ResiPlan fournit une bibliothèque d'exercices BIA corrigés sur des secteurs variés (banque, hôpital, e-commerce, manufacture). Chaque exercice présente un cas réaliste avec processus, dépendances, impacts à calculer ; le corrigé montre la méthode pas à pas. Disponible dès l'inscription gratuite.
Quel modèle Excel BIA gratuit ?
ResiPlan fournit gratuitement un template Excel BIA conforme ISO 22301, avec 5 onglets : périmètre, processus, dépendances, impacts (matrice 4 axes), RTO/RPO. Le template est immédiatement utilisable pour démarrer un BIA même sans plateforme. Lien de téléchargement après inscription gratuite.
Combien de temps pour réaliser un BIA dans une PME ?
Pour une PME 50–250 personnes avec 10–30 processus métier : 5 à 10 jours-hommes répartis sur 4 à 6 semaines. Avec ResiPlan et l'IA d'enrichissement, on descend à 2–4 jours-hommes (l'IA propose les processus, dépendances, impacts à valider). Le premier livrable utile est disponible en 2 heures.
Le BIA est-il obligatoire pour NIS2 et DORA ?
Oui implicitement. NIS2 Article 21(c) demande de la « gestion de la continuité d'activité » sans imposer un BIA formel, mais sans BIA on ne peut pas justifier les RTO/RPO. DORA Article 11 demande explicitement la traçabilité par CIF (Critical or Important Function) avec RTO/RPO/MTPD calibrés — c'est un BIA. Pour les régulateurs ACPR/ANSSI/BaFin, l'absence de BIA est rédhibitoire.
Comment lier le BIA au BCP / DRP / IRP ?
Le BIA est l'amont : il dit QUOI protéger et avec QUEL niveau (RTO/RPO). Les plans (BCP business continuity, DRP disaster recovery, IRP incident response) disent COMMENT. Sans BIA, les plans manquent de priorisation. ResiPlan lie automatiquement chaque processus BIA aux plans concernés et alerte si un plan ne tient pas le RTO.
Premier livrable BIA en 2 heures avec ResiPlan
Essai gratuit 14 jours. Wizard guidé, IA pour l'enrichissement processus/impacts, calibrage automatique RTO/RPO, export Excel + PDF.