L’analyse de l’environnement procède d’une analyse d’écart éventuelle entre les besoins de continuité  exprimés par les métiers et les capacités de reprise des ressources existantes. Ces capacités s’expriment selon des variables similaires, en miroir de celles en provenance de l’analyse des besoins. Les valeurs sont induites des dispositifs opérationnels en vigueur dans l’entreprise (fréquence de sauvegardes des données, durée d’activation du site de secours informatique…). Ainsi, la PDMA des ressources se déduit de la durée entre la dernière duplication des données ou informations des ressources et le sinistre. La DIMA des ressources représente la durée entre le sinistre et le rétablissement de son fonctionnement ou de celui d’une ressource similaire. Dans la perspective de faire converger les besoins des métiers et les capacités de reprise, les écarts (éventuels) feront l’objet de projets de mise à niveau sur une ou plusieurs années afin de tenir  compte de contraintes budgétaires. Ces projets seront gouvernés par une analyse coût/bénéfice afin de rechercher le point d’équilibre entre le coût de la protection et la perte potentielle.

Enfin, l’analyse des besoins de l’entreprise est complétée par l’identification des ressources indispensables pour la reprise des activités (RIRA) de l’activité à compter de sa DIMA et de la montée en charge progressive des positions de travail dans le cadre d’un fonctionnement en mode dégradé. La continuité d’activité va être déclinée dans un plan d’action (le plan de continuité d’activité ou PCA) dans lequel seront étudiés les dispositifs pour rétablir ou maintenir les activités critiques de l’entreprise au cours d’une crise et au cours d’une phase de retour à la normale lorsque la crise proprement dite, prendra fin (encadré 2). Schématiquement, chaque phase opérationnelle de la continuité d’activité déroulée après un sinistre, dispose de son propre plan d’action (encadré 3) :

1. phase évaluation de la situation : plan de gestion de crise ;
2. phase réparation et reprise de l’activité en mode dégradé : plan de reprise utilisateur, pour les activités délivrées par les métiers et plan de secours informatique, pour les services délivrés par l’informatique ;
3. phase retour à la normale : plans de retour à la normale tant pour les activités métiers que pour les services informatiques.

Il s’agit toutefois de plans principaux, d’autres plans plus spécifiques intégrés ou en complément de ceux précités existent tels le plan de secours des occupants, le plan de gestion des incidents Internet, plan des exercices, plan de formation, plan de communication, plan logistique, plans de sensibilisation et d’entretien des connaissances, plan de gestion des changements, plan du respect de la conformité notamment. ( suite )