Continuité d`activité
Transcription
Continuité d`activité
Outils PCA en France Analyse comparative d’outils d’aide aux Plans de Continuité d’Activité Une étude Duquesne Research Septembre 2009 Outils PCA en France Table des matières 1 Introduction ........................................................................................................................ 5 1.1 Une brève histoire du PCA ............................................................................................................. 5 1.2 Vers un besoin d’outil ..................................................................................................................... 6 1.3 La méthode employée dans cette étude ............................................................................................... 6 2 Un domaine complexe à étudier ........................................................................................ 6 2.1 Cadrage du domaine étudié .............................................................................................................. 7 2.2 Questionnaire et ajustement ............................................................................................................. 7 2.3 Une couverture variable par les outils ............................................................................................... 8 2.4 Le paysage des acteurs ..................................................................................................................... 9 3 Classification des produits ............................................................................................... 10 3.1 La catégorie 1 ............................................................................................................................... 10 3.2 La catégorie 2 ............................................................................................................................... 11 3.3 La catégorie 3 ............................................................................................................................... 11 4 Profils des sociétés ........................................................................................................... 12 4.1 Office Shadow (Shadow Planner) .................................................................................................. 12 4.2 Groupe DEVOTEAM (PARAD) .......................................................................................... 12 4.3 Sungard (Business Continuity Management suite ‘BCM’) ............................................................ 13 4.4 Keyword (Isiman PCA) ................................................................................................................ 13 4.5 eFront (eFront PCA) ................................................................................................................... 14 4.6 AGERIS GROUP (Score Web) ................................................................................................ 16 4.7 BCCM Strategy (Phenix) ............................................................................................................. 17 4.8 Cedralis (Viappel outil d’alerting) ................................................................................................. 17 4.9 F24 (Fact 24 outil d’alerting) ....................................................................................................... 17 5 Comparaison synoptique résumée des outils .................................................................. 19 5.1 Domaines couverts......................................................................................................................... 19 5.2 Positionnement sur les axes d’évaluation PCA .............................................................................. 20 5.3 Positionnement sur les axes d’évaluation Risques-Gouvernance ....................................................... 21 6 Comparaison détaillée des outils ..................................................................................... 22 6.1 Comparaison détaillée des outils de catégorie 1................................................................................ 22 6.2 Comparaison détaillée des outils de catégorie 2................................................................................ 31 6.3 Comparaison des outils d’alerte...................................................................................................... 39 Copyright The Duquesne Group 2009 Page 2 /62 Outils PCA en France 7 Caractéristiques techniques des produits ........................................................................ 42 7.1 Shadow Planner (Office Shadow) .................................................................................................. 42 7.2 PARAD (Groupe Devoteam) ...................................................................................................... 42 7.3 Business Continuity Management Suite (Sungard) ......................................................................... 43 7.4 Isiman PCA (Keyword) ................................................................................................................ 43 7.5 Efront PCA (eFront) ................................................................................................................... 44 7.6 Score Web (Ageris) ....................................................................................................................... 44 7.7 Phenix (BCCM Strategy) ............................................................................................................. 45 7.8 Viappel (Cedralis) ........................................................................................................................ 46 7.9 Fact F24 (F24) ........................................................................................................................... 46 7.10 Bilan sur les aspects techniques ...................................................................................................... 46 8 Politique de tarification et de mise en œuvre .................................................................. 47 8.1 Shadow Planner (Office Shadow) .................................................................................................. 47 8.2 PARAD (Groupe Devoteam) ...................................................................................................... 48 8.3 Business Continuity Management Suite (Sungard) ......................................................................... 49 8.4 Isiman PCA (Keyword) ................................................................................................................ 50 8.5 E-Front PCA (eFront) ................................................................................................................ 51 8.6 Score Web (Ageris) ....................................................................................................................... 51 8.7 Phenix (BCCM Strategy) ............................................................................................................. 51 8.8 Viappel (Cedralis) ........................................................................................................................ 51 8.9 Fact F24 (F24) ........................................................................................................................... 52 8.10 Bilan sur la facilité de mise en œuvre .............................................................................................. 52 9 Atouts et défis à relever .................................................................................................... 53 9.1 Shadow Planner (Office Shadow) .................................................................................................. 53 9.2 PARAD (Groupe Devoteam) ...................................................................................................... 53 9.3 Business Continuity Management Suite (Sungard) ......................................................................... 54 9.4 Isiman PCA (Keyword) ................................................................................................................ 54 9.5 eFront PCA (eFront) ................................................................................................................... 54 9.6 Score Web (AGERIS Group) ..................................................................................................... 55 9.7 Phenix (BCCM Strategy) ............................................................................................................. 55 10 Autres outils du marché .................................................................................................. 55 11 Synthèse en conclusion ................................................................................................... 57 11.1 Le marché est contrasté .................................................................................................................. 57 11.2 Des outils différents ....................................................................................................................... 57 Copyright The Duquesne Group 2009 Page 3 /62 Outils PCA en France 11.3 La maturité des acteurs ................................................................................................................. 59 11.4 La situation spécifique du client ..................................................................................................... 60 Copyright The Duquesne Group 2009 Page 4 /62 Outils PCA en France 1 Introduction Le sujet ‘continuité d’activité’ est complexe et se prête à des approches variables. La réalité en entreprise est contrastée : certaines ont bien identifié le sujet et se sont dotées de RPCA, d’autres voient cela comme un sous-thème de la sécurité. D’autres encore –dans le monde bancaire en particulier- préfèrent une approche plus intégrée avec la gestion de l’ensemble des risques opérationnels. Depuis environ deux ans toutefois, le sujet en France vient sur le devant de la scène en tant que tel : les entreprises (et les grandes organisations) cherchent à se rendre plus résilientes face aux sinistres et à pouvoir rétablir au mieux leurs activités jugées critiques. 1.1 Une brève histoire du PCA Il est possible schématiquement de distinguer trois vagues successives de mise en place d’actions de « continuité d’activité » dans l’entreprise : La première vague que l’on peut caractériser par les mots « gestion de crise » : une Direction générale met en place un dispositif minimal pour pouvoir prendre des décisions en cas de coup dur. Cela ne concerne pratiquement pas les opérationnels et reste confidentiel. Les quelques outils utilisés servent à lancer l’alerte ou gérer des listes de contacts. La vague « PRA, plan de secours informatique », etc. arrive ensuite : elle concerne à l’inverse les opérationnels, qui cherchent à pallier une perte ou une destruction. Cette approche est tournée vers les moyens, qui sont assez souvent vus comme monolithiques (un centre, un mainframe, toutes les applications) avec des solutions plus techniques qu’organisationnelles. Des investissements parfois coûteux sont consentis lors de cette deuxième vague. Enfin, la vague « Gestion de la Continuité » actuelle qui commence à bien s’implanter en France. Souvent initiée par des réglementations, elle apporte comme nouveauté principale une préoccupation portant sur les activités critiques de l’entreprise : il convient de les déterminer et de les rendre plus résilientes. Elle donne un rôle essentiel aux « business owners » ou responsables d’activité métier. La nomination d’un RPCA est souvent la caractéristique de cette vague. Ces trois vagues sont encore présentes à des degrés divers en entreprise et y ont laissé leurs sédiments plus ou moins épais et superposés. La première vague a laissé le culte du secret et de l’échange des numéros de téléphones privés des dirigeants, la seconde a fait réaliser des investissements technologiques pour la continuité des moyens (mais pour quoi faire en fait ?) et la dernière enfin, replace au centre de la scène ce qui aurait toujours dû y être : les activités critiques. Copyright The Duquesne Group 2009 Page 5 /62 Outils PCA en France 1.2 Vers un besoin d’outil Les RPCA ou plus généralement les responsables en charge de la continuité d’activité dans l’entreprise héritent donc d’une situation complexe où des solutions techniques très diverses cohabitent avec une documentation abondante (fichiers divers, papiers, tableaux Excel en grand nombre). Tout cet ensemble pose des problèmes : - de cohérence, car ces documents évoluent indépendamment les uns des autres ; de tenue à jour ou de « maintien en condition opérationnelle » ; de vieillissement : que faire des documents au bout d’un certain temps ? potentiellement de gestion de versions, de nature diverses et variées ; de responsabilité : les rôles ne sont pas clairement attribués sur les différents éléments de documentation ; de contrôle : qui a fait quoi ? qui doit faire quoi sur la documentation ? d’exécution : où trouver ce dont on a besoin ? Le besoin de recourir à un outil se fait alors sentir autant pour mener la démarche d’élaboration de PCA que pour le tenir à jour, le tester et aider à l’exécution éventuelle. C’est pour cela que bon nombre d’entreprises ayant eu des démarches PCA avec une approche traditionnelle peu outillée réfléchissent actuellement à l’acquisition d’outils dans ce domaine. Une étude sur ce sujet s’impose donc. 1.3 La méthode employée dans cette étude Nous avons d’abord défini le périmètre de l’étude : pour cela nous avons utilisé ce qui se pratique couramment pour le PCA, en commençant suffisamment en amont (analyse des risques) et en allant assez loin en aval (les tests) de manière à couvrir largement le sujet. En nous appuyant sur l’ouvrage « Management de la Continuité d’activité » d’Emmanuel Besluau aux éditions Eyrolles, nous avons élaboré un questionnaire de 134 points qui balaient le spectre considéré. Le lecteur pourra se référer à cet ouvrage pour avoir plus de précisions. Sur la période allant de mars à juin 2009, les réponses aux questions ont été collectées, discutées et évaluées par Duquesne Research. Les notes attribuées tiennent compte de l’opinion des analystes. Cette analyse s’appuie donc sur les discussions avec les éditeurs, sur des démonstrations interactives ainsi que sur les connaissances des analystes. Elle a parfois été corroborée par des entretiens avec des utilisateurs choisis par Duquesne Research. Les détails de cette analyse sont présentés plus loin. 2 Un domaine complexe à étudier Cette étude vise à faire le point sur les outils d’aide à la création, gestion et exécution de plans de continuité d’activité. Le périmètre cerné nécessite d’être précisément défini. Le domaine de la Copyright The Duquesne Group 2009 Page 6 /62 Outils PCA en France continuité d’activité est en effet très vaste et les outils pouvant prétendre à figurer dans cette catégorie à un titre ou à un autre, sont potentiellement multiples. 2.1 Cadrage du domaine étudié Pour avoir une couverture assez large mais suffisamment précise du domaine nous avons décidé de retenir les sept aspects principaux de la continuité d’activité qui correspondent à la pratique couramment rencontrée. Le domaine de la continuité d’activité considéré dans cette étude recouvre les sept points listés cidessous. Les aspects d’anticipation, de création du Plan, couvrant : 1. La maîtrise des risques : plus précisément l’analyse portant sur les risques de sinistres impactant les activités de l’entreprise, suivi de plan d’actions de mise sous contrôle ; 2. Le bilan de l’impact sur les activités (ou BIA : business impact analysis) qui consiste essentiellement à déterminer dans l’entreprise les processus dont la perte est la plus dommageable et à en lister les diverses contraintes de continuité ou de reprise ; 3. La stratégie de continuité : consiste à choisir parmi les options possibles celles que l’on veut mettre en œuvre en cas de sinistre. Ces trois points sont des sujets d’étude d’une part, de décision et de plan d’actions suivis d’autre part. Ils se situent dans un cycle long et ne sont pas contraints par les événements. Il n’en va pas de même avec les points suivants qui concernent la survenance du sinistre et la mise en place préparatoire des actions à faire et qui sont donc très soumis aux aléas et sous contrainte de temps ; c’est le cœur du PCA : 4. La définition des groupes, missions et responsables : pour constituer à l’avance des groupes dotés d’objectifs orientés, de profils de compétences et de divers moyens ; mais aussi pour lancer les alertes ; 5. Le planning de reprise d’activité : pour fournir aux groupes ci-dessus des listes-guides d’actions à faire avec des éléments de dimensionnement de la charge et d’explication de contexte. Enfin, il est important d’inclure dans le périmètre les deux points suivants qui permettent d’inscrire les actions de continuité dans la durée et de les maintenir sous contrôle : 6. Les tests des plans de continuité : définition des campagnes de tests et suivi des réalisations et décisions ; 7. La gouvernance de la continuité avec les indispensables outils d’auto-évaluation et d’audit. L’ensemble de ces points a fait l’objet de questionnaires ciblés qui furent soumis à divers éditeurs de logiciel. 2.2 Questionnaire et ajustement Se référant à l’ouvrage « management de la Continuité d’activité » (Éditions Eyrolles) des listes de questions ont été fabriquées et envoyées aux éditeurs. Le tableau ci-dessous indique la répartition des 134 questions selon les sept points mentionnés plus haut : Copyright The Duquesne Group 2009 Page 7 /62 Outils PCA en France Maîtrise des risques 17 6 4 5 2 Appréciation du risque Evaluation des options face au risque Prise de décision Documentation de l'analyse Bilan de l'impact sur les Activités 16 5 5 4 2 Déterminer les activités critiques Déterminer les configurations Déterminer les paramètres de reprise Documentation de l'analyse Elaborer la stratégie de continuité 16 3 3 2 3 3 2 Expression des besoins de reprise Etude des options de reprise Confrontation options/exigences métiers Etude de coût/faisabilité Choix, décision, documentation Documentation de l'analyse PCA : Missions & responsables 18 5 8 5 Cadrage Le centre de gestion de crise Missions, équipes & responsabilités PCA : Le planning 25 10 4 4 7 Définition des étapes Définition des livrables Affectations des groupes Aide à l'exécution Tests 28 6 9 5 8 Cadrage des tests Plan de tests Exécution des tests Bilan des tests Gouvernance 14 3 4 5 2 Référentiels Questionnaires Suivi Documentation de l'analyse En cours d’analyse, nous avons alors constaté les deux phénomènes suivants : La documentation est omni-présente et les fonctions de type workflow documentaire sont intéressantes à regarder en tant que telles. La plupart des utilisateurs disent coupler leurs outils à des systèmes de lancement d’alertes, dits ‘alerting’. Nous avons donc ajouté ces deux points pour aboutir à un schéma d’urbanisme applicatif complet tel que présenté ci-dessous : Gouvernance Business Impact Analysis Groupes, missions, responsables Maitrise des risques Tests Stratégie de continuité Planning de reprise d’activité Alerting Workflow documentaire Les fournisseurs occupent plus ou moins de cases avec plus ou moins de profondeur. 2.3 Une couverture variable par les outils Étant donné les caractéristiques du domaine décrit ci-dessus, il ne faut pas s’attendre à ce qu’un outil du marché couvre tous les points à la fois. En effet : Copyright The Duquesne Group 2009 Page 8 /62 Outils PCA en France Les trois premiers points du domaine étudié (maîtrise des risques, BIA et stratégie) nécessitent des fonctions de partage d’informations, de conservation de documents de référence, de reporting et d’escalade. On trouvera dans cette catégorie plutôt des outils de workflow et de gestion de documents ou de contenus adaptés au domaine de la continuité. Les points liés aux groupes et plans de crise à dérouler seront les domaines d’utilisation d’outils de lancement d’alertes, de planning avec suivi d’exécution, de main courante, de gestion de configuration de moyens informatiques par exemple. Enfin les aspects de tests et de gouvernance seront demandeurs d’outils de workflow, de formulaires configurables, d’accès à des sous-ensembles de plans, de facilité à réaliser des rapports, par exemple. La continuité d’activité est donc typiquement un domaine où l’on trouvera soit des produits isolés (« best of breed ») ne couvrant pas tous les points soit un assemblage de produits plus ou moins couplés (suite logicielle) ayant vocation à couvrir tous les aspects au prix de compromis éventuellement. On trouvera donc plusieurs situations d’offres : des suites de modules divers offerts par un même éditeur qui a lui-même constitué son offre par des rachats spécifiques, la suite d’outils de Sungard autour de LDRPS est un bon exemple de ce cas ; des « produits ponctuels » particulièrement ciblés sur une partie centrale du spectre à couvrir, ces produits sont souvent couplables à d’autres produits ponctuels eux-aussi : PARAD de Devoteam est un exemple de produit centré sur des moyens et l’informatique et couplable avec un produit comme F24 par exemple pour l’alerte ; enfin des produits centrés sur une technologie de type workflow ou gestion de contenu qui joue un rôle central et sur laquelle différents applicatifs s’appuient ; ces produits sont souvent utilisés pour la gestion des risques et s’étendent vers la gestion des PCA. On peut citer les outils des sociétés Keyword et eFront dans cette catégorie. Si l’on considère le schéma suivant présentant le paysage d’ensemble du domaine, on constatera que les fournisseurs couvrent plus ou moins de cases avec plus ou moins de profondeur. 2.4 Le paysage des acteurs En ce qui concerne les sociétés qui proposent des outils de gestion de la continuité d’activité en entreprise, il est important de faire plusieurs distinctions. D’abord, on constate deux natures d’acteurs : des éditeurs de logiciel ou plus exactement des sociétés qui ont une activité d’édition de logiciel identifiée comme telle au sein d’une structure plus large : souvent l’outil développé représente un investissement fort en interne et repose sur une base technologique traditionnelle (type base de données, Java, C, .Net, …) ; des sociétés de conseil qui, pour leurs propres besoins ou pour assister leurs missions en clientèle, ont progressivement élaboré des outils sur le thème de la continuité : ce sont en général des outils de type formulaire de saisie ou collecte d’information via le web en technologie assez légère (Excel au début, puis accès web en PHP). Copyright The Duquesne Group 2009 Page 9 /62 Outils PCA en France On constate souvent que les éditeurs proposent des licences traditionnelles alors que les sociétés de conseil pratiquent la forme SaaS (software as a service) qui leur permet d’éviter d’avoir à gérer des copies et des versions installées chez les clients. Une autre distinction est à faire en ce qui concerne le passé des acteurs considérés. On trouve en effet : les sociétés qui ont un passé et des compétences développées dans la gestion de continuité qui constitue un de leur pôles principaux (comme Devoteam ou Sungard) ; les sociétés qui ont des compétences dans des domaines voisins de la continuité et finissent par la traiter vraiment : la gestion de risques par exemple est une compétence à partir de laquelle la continuité et les aspects de gouvernance peuvent être abordés. Keyword (Isiman PCA) eFront (eFront PCA) Ageris (Score Web) BCCM Strategy (Phenix) Editeur Oui Oui Non Non Base installée outils PCA 1 1 une dizaine 1 ou 2 Présence et compétence PCA établie Non Non Oui Oui Base installée hors outils PCA Oui Oui Non Non Compétence hors PCA Oui Oui Non Non Profil culturel Gestion Documentaire Culture GRC Conformité Continuité d'activité Consultant Enfin, il est important de noter une différence qui va se traduire par des coûts de mise en œuvre très variables, selon la nature et le degré de finition du produit fourni au client : certains outils sont bien délimités, achevés, paramétrables et s’installent en quelques heures avec peu d’assistance ; d’autres outils plus récents, en cours de finalisation vont nécessiter des dizaines de jours x hommes en réalisation et développements complémentaires, suivis de tests divers avant réception définitive. Il faut noter aussi que l’adaptation des produits au contexte du client peut se faire de deux manières : par paramétrage ou par des adaptations plus ou moins complexes du code. Cette distinction n’est pas neutre en termes de coût. 3 Classification des produits Les produits analysés ont été regroupés en catégories en tenant compte de l’importance du marché installé et de la nature de l’outil. 3.1 La catégorie 1 Cette catégorie regroupe les outils qui sont des produits existant sur le marché depuis plus de 3 ans et dont la base installée est importante. Copyright The Duquesne Group 2009 Page 10 /62 Outils PCA en France On classe dans cette catégorie : Shadow Planner de la Société Office Shadow, PARAD de la Société Devoteam, La suite Business Continuity Management de la Société Sungard qui est rattachée à cette catégorie car ce produit, bien que peu présent en France, est le leader mondial du domaine. 3.2 La catégorie 2 Dans cette catégorie sont classés des outils plus récents, qui sont des extensions ou des évolutions de logiciels présents antérieurement dans des domaines connexes et venant désormais sur le segment de la gestion de PCA. Selon leur origine, on peut distinguer deux situations : Les outils de type gestion documentaire ou GRC (gouvernance, risque, conformité) qui élargissent leur champ à la prise en compte de PCA. Il s’agit principalement de Isiman PCA de la société Keyword et d’eFront PCA de la société eFront. 3.3 Des outils émanant de sociétés de conseil ou de service du domaine de la continuité d’activité qui depuis peu améliorent un outillage adapté à l’origine au support de leur activité. Dans cette catégorie se trouvent des sociétés comme AGERIS avec le logiciel Score Web, et BCCM Strategy avec le logiciel Phenix. La catégorie 3 Nous mettons dans cette catégorie les produits d’alerting, c'est-à-dire les outils qui permettent de déclencher les alertes en générant des appels ou l’envoi de messages par plusieurs moyens. En effet, il nous a semblé utile de faire figurer ces outils dans cette étude, car ils représentent souvent un complément utile aux autres produits et sont souvent mentionnés par les utilisateurs. Sont considérés dans l’étude : Viappel de la Société Cedralis, Fact 24 de la Société F24, On peut noter que la société Sungard propose un outil d’alerte : Notifind que nous n’étudions pas. Les trois catégories ainsi présentées font l’objet chacune d’une analyse plus détaillée dans ce qui suit. Copyright The Duquesne Group 2009 Page 11 /62 Outils PCA en France 4 Profils des sociétés Dans ce chapitre nous présentons succinctement des chiffres clés sur les sociétés étudiées. 4.1 Office Shadow (Shadow Planner) La société fut créée en 2001 par deux entrepreneurs britanniques. La structure française fut lancée en 2005 à Paris. CA H.T. £ (consolidé) CA H.T. Résultat £ Effectif du Groupe année 2008 3.150 M£ ~3.8 M 51.000 £ 67 année 2007 2.100 M£ ~2.500 M 77.000 £ 60 année 2006 2,355 M£ ~3 M 186.000 £ 51 Répartition % CA lié à l’outil : 65% licences 15% maintenance et hébergement 20% services Références : Environ 180 dans le Monde parmi lesquelles on peut citer: Boeing, Pfizer, Sanofi Aventis, Groupe Caisse d’Épargne, Groupe Société Générale, PMU, Harrods, Euronext, BP, Réunica, DHL, Givaudan, Putnam Investment, Lloyds TSB, Cortal Consors, Sony, Visa, Avon, Royal Sun Alliance, NHS (hôpitaux au Royaume Uni), Rothschild, Computer Associates… En France les plus gros clients cités sont la Société Générale (env. 20 000 licences) et le groupe Caisse d’Épargne (pouvant aller à 50 000 utilisateurs). 4.2 Groupe DEVOTEAM (PARAD) Historiquement, on peut rappeler que la spécialisation en produit de Continuité d’activité était, dès 1992, le fait de la société TTA (Théron, Tête et Associés) devenue XP-Conseil et qui fut rachetée par Devoteam. CA 2008 toute activité : 460 Millions d’Euros. Effectifs au 01/03/2009 : 5 000 personnes Résultats Net sur 3 ans : 2008 : 19,2 M Euros 2007 : 19,5 M Euros 2006 : 16 M Euros CA en France lié à l'outil : 620.000 Euros Références : Une centaine (liste non exhaustive), dont : Copyright The Duquesne Group 2009 Page 12 /62 Outils PCA en France Groupe Crédit-Mutuel–CIC, CEDICAM, FORTIS Banque, HSBC France, Crédit Immobilier de France, Dexia, Société Générale Private Banque, Lombard Odier Darier Hentsch & Cie, BMCE Bank, CNP Assurances, COFACE, MAIF, Caisse d'Épargne Ile de France, Banque Privée Edmond de Rothschild, AXA Tech, Assurance Maladie (CNAMTS), Assurance Vieillesse (CNAV), AUCHAN, Bouygues Télécom, Air Liquide, Servier-Praxis, Laboratoires ROCHE, NORAUTO International, MEDITEL, Ministère des Finances de Belgique, CMA-CGM, Kernéos. 4.3 Sungard (Business Continuity Management suite ‘BCM’) Le Groupe Sungard réalise un Chiffre d’Affaires de 5,6 milliards de dollar US pour 2008, et n’est pas coté en Bourse. La partie disponibilité « availability » du groupe réalise : 1,6 Mds US$ avec 2500 employés dans 12 pays (dont 117 en France pour 600 clients). Le chiffre d’affaires « produit logiciel » représente environ 2,5% de ce chiffre. La société est aussi présente en Europe au Royaume-Uni, Danemark, Luxembourg, Suède, Norvège et Belgique. Sungard compte 2800 références actives sous maintenance de ses produits dans le monde. La suite de produits logiciels BCM de Sungard doit beaucoup au rachat de la société Strohl en 2008 qui était le leader mondial du marché. L’ancien produit de Sungard (Paragon) est abandonné et ne compte pas d’installation significative en France. Sungard dispose de modules présents et installés sur le marché et mène des développements assez importants qui vont progressivement enrichir son offre. Seuls les produits disponibles en France au 1/6/2009 sont analysés dans cette étude. Il est important de noter dans ce type de situation qu’il existe des recouvrements possibles entre d’anciens produits et les nouveaux. Quelques références : Alcan Packaging, Calyon US, BNP-Paribas monde, Mercedes-Benz, Fedex, Aviva, ING, AIG, Arab Bank, Novartis. Ces références sont des sociétés mondiales avec une présence en France. La société Sungard France, autrefois inactive en termes de vente de progiciel de ce type, commercialise désormais activement le portefeuille de la BCM suite. Il faut s’attendre à ce que le marché se développe en France pour ce type d’outils. 4.4 Keyword (Isiman PCA) Cette société a débuté depuis plus de vingt ans avec des logiciels d’analyse de code et de documentation de type manuel utilisateur et technique. La philosophie de base qui consiste à associer un document à un responsable chargé de le tenir à jour –avec des workflows de validation- est particulièrement bien adaptée au PCA que l’on peut effectivement considérer comme un ensemble de documents avec des responsables tenus de les gérer. Copyright The Duquesne Group 2009 Page 13 /62 Outils PCA en France Ce n’est donc pas un hasard si après être passée à la gestion des risques (outil de GRC) la société Keyword aborde depuis quelques mois le PCA. L’activité purement PCA de Keyword est récente, elle est en cours de construction par des extensions à partir des solutions existantes. CA, effectifs et résultats : CA Résultats Effectifs 2006 1, 751 M EUR 6,5 k EUR 23 2007 1,917 M EUR 3,4 k EUR 25 L’activité est à 100% sur les produits logiciels de la famille ISIMAN dont ISIMAN PCA fait partie. La société demeure rentable tout en investissant dans des développements et extensions adaptés à la demande des clients. L’assistance à maîtrise d’ouvrage des projets est assurée par des cabinets spécialisés, partenaires de Keyword, maîtrisant l’utilisation des Solutions ISIMAN ainsi que les organisations et méthodes de travail à mettre en regard de ce type de projets. Les références (sélection) : Pour les outils ISIMAN Performance : Banque de Gestion Edmond de Rothschild (Monaco), Banque Libano-Française (Liban), BNP Paribas, Caisses d'Épargne, Crédit Agricole (28 Caisses Régionales, APIS, ATICA, SCT Mer), Crédit Mutuel, Federal Finance, Groupama SA , GSIT (BANQUE DE FRANCE), HSBC, LCL, MAMDA – MCMA (Maroc), Société Générale. La Poste (l’Enseigne), AGIRC-ARRCO, École Polytechnique de Lausanne (Suisse), IRP Auto, Institut de Radioprotection et de Sûreté Nucléaire, Office National Eau Potable (Maroc), ONERA, OPAC Val d'Oise, Préfecture de la Région Midi-Pyrénées (SGAR), RATP Centre Bus, UNEDIC/ASSEDIC/CSIA, SI2M-MEDERIC et Malakoff. AlliedSignal Turbo (Brésil, France, Irlande), Arc International, AREVA (Framatome ANP, Technicatome), BIMO (Maroc), Cegelec, COSUMAR (Maroc), EM Technologies, Lafarge – Plâtres, LVMH Vins et Spiritueux - MHIS Moët & Chandon, MAÏSADOUR, Parisot Meubles, Thales-PROTAC, ROLEX (Suisse), Rowenta, Saint-Gobain Canalisation, SEB, SNIM (Mauritanie). Carlson Wagonlit Travel (Groupe, France), CARREFOUR (France), CARREFOUR Thalès (30 pays), FNAC, GL Events, MONOPRIX, OPERA (Centrale d'achat CASINO-CORA-MATCH) SA HLM (Foyer Angoulême, Castors Angevins, IDF Habitat), Shiseido Europe Pour les extensions de l’outil ISIMAN au PCA : Le groupe Crédit Agricole (en particulier le GIE Synergie qui joue un rôle de spécification fonctionnelle important). 4.5 eFront (eFront PCA) A sa création en 1999, le premier objectif d’eFront était de créer une architecture technique et des outils de développement pour gérer la nouvelle génération de services que représentait l'ASP (application service provider) à l’époque. Cela s’était traduit par le développement d’une plateforme technique (Frontware) sur laquelle il était possible de développer des services rapidement. Copyright The Duquesne Group 2009 Page 14 /62 Outils PCA en France L’ASP n’ayant pas réussi à s’imposer sur le marché, eFront s’est repositionné et aujourd’hui est spécialisé dans l'édition et la commercialisation de solutions logicielles destinées principalement aux secteurs de la finance et de l'assurance. L'activité du Private Equity est particulièrement visée par eFront où il s’est développé avec succès. Dans le domaine de la gestion des risques, le produit d’ eFront a été choisi par certains réseaux bancaires français pour gérer les risques opérationnels. Par ailleurs, le progiciel s'est enrichi de nouvelles fonctionnalités dans le domaine du contrôle permanent et des plans de continuité d'activité, qui constituent une extension naturelle des offres. Sur les années 2007-2008, eFront a investi significativement pour mieux couvrir le marché en Europe et au Moyen Orient, à travers des recrutements et une organisation adaptée. La société a aussi augmenté significativement ses dépenses de recherche et développement afin d’accompagner cette évolution en faisant évoluer ses produits entre autre pour mieux couvrir les aspects de contrôle permanent, de gestion de risque et du PCA. Cela se reflète dans l'accroissement (plus de 40%) de l'effectif moyen en 2007 et la mise en place progressive de moyens capables de soutenir les objectifs de croissance. Tous ces investissements et dépenses se traduisent par des pertes sur l’exercice 2008. CA sur 3 ans : 2008 : 14 millions Euros 2007 : 12 millions Euros 2006 : 9,5 millions Euros Effectifs 2008 : 132 Résultats sur 3 ans : 2008 : (1,37 M Euros) 2007 : 1,7 M Euros 2006 : 2,7 M Euros Pourcentage du CA lié à l'outil : Non disponible Références : Pour les modules eFront (hors PCA, orientés gestion de risques) : Plus de 20 références dont La Banque de France, La Banque Postale, La Société Générale, BNPP. Pour les modules eFront-PCA : Les Banques Populaires. Le produit eFront-PCA a été développé en relation étroite avec un client particulier : les Banques Populaires. Après avoir développé une méthode pour la prise en compte de la continuité d’activité en son sein, les Banques Populaires ont fait développer par eFront un produit répondant aux besoins complexes de ce grand compte. La consolidation à l’échelle du Groupe était la préoccupation principale qui se retrouve dans l’outil. Copyright The Duquesne Group 2009 Page 15 /62 Outils PCA en France Le produit est actuellement dans une phase de validation interne. C’est la volonté d’eFront de le commercialiser à d’autres utilisateurs sur le marché. La stratégie d’eFront est d’offrir une suite logicielle FrontGRC, modulaire et intégrant les problématiques Risques Opérationnels, Contrôle Permanent, Audit et gestion des PCA au dessus d’un référentiel intégré de gouvernance offrant une vision unifiée de ces différentes initiatives. 4.6 AGERIS GROUP (Score Web) Créé en 2003, Ageris Consulting est un cabinet de conseil spécialisé dans la gestion des risques. De taille humaine, la société est située à Metz et occupe principalement le marché grand Est (Alsace, Lorraine, Luxembourg, Belgique), avec des missions ou des partenariats sur la France entière. L’activité principale d’origine est le management de la sécurité des SI au niveau tactique et opérationnel. Ageris Consulting s’appuie sur les compétences d’ingénieurs consultants spécialistes en sécurité des SI. Dans le cas où la société n’a pas les ressources en interne, un réseau de compétences pluridisciplinaires est mis en place grâce à des partenariats professionnels en France ou à l’étranger. L’activité s’est progressivement élargie à la prise en compte des PCA, suivant en cela l’évolution du marché. Une entité « software » ainsi qu’une autre « training » consacrée à la formation sont apparues pour traiter spécifiquement ces aspects complémentaires du conseil. La société avait progressivement développé des outils logiciels (sous Excel) et constitué ainsi la panoplie du consultant sous le nom générique « Score ». Souhaitant en élargir l’usage et permettre une appropriation facile par les clients, la société est en train de porter ces logiciels en environnement web. Elle a obtenu un financement par l’Oseo Anvar. Les outils de cette société se déclinent désormais en deux gammes : - Compliance (conformité) : constitution de questionnaires, réalisation de diagnostics avec un moteur générique, puis production de rapports. - PDCA (pour le cycle d’amélioration continue ‘plan, do, check, act’) : management, cercle d’amélioration continue avec un module Process Management de description de l’entreprise, de ses actifs, contrats, annuaires etc. Cette société est un représentant type des cabinets de conseil ayant évolué sur le marché des outils en ligne en complément de ses activités. CA sur trois ans : 2008 : 700 K Euros 2007 : 320 K Euros 2006 : 300 K Euros Effectifs : 14 en 2008 Répartition du CA lié à l’outil : <20% Références : France : Ethypharm, Bonduelle, Les Eaux du Nord. Suisse : UBP, Banque Pictet, LODH. Copyright The Duquesne Group 2009 Page 16 /62 Outils PCA en France Bénélux : Degroof. Maroc : CDG, CMM,Sofac, Maroc leasing. 4.7 BCCM Strategy (Phenix) Cette petite société figure malgré tout dans cette étude, car elle représente une approche assez originale de la problématique du PCA « allégé » et facile à mettre en œuvre. De ce point de vue, elle peut tenir un rôle de challenger sur un segment du marché. De plus, la référence citée est prestigieuse. CA sur 3 ans : 2008 : 220 K Euros 2007 : 50 K Euros 2006 : 160 K Euros Effectif : 1,5 à 2 Pourcentage du CA lié à l'outil en 2008 : 20 % Nombre de référence : 1 Référence : AXA Gie 4.8 Cedralis (Viappel outil d’alerting) Ayant développé des outils divers pour la gestion et le déclanchement des alertes, cette société est mentionnée ici à ce titre. CA 2008 : 1 M Euros. Effectif : 6 personnes. Pourcentage du CA lié à l’outil : 90% Nombre de références : Plus de 250 références (Services de l'État, Préfectures, Conseils Généraux, Communes de 50 à 450 000 habitants, SDIS, Entreprises SEVESO, Banques, Hôpitaux, Grands Groupes du CAC 40, etc.) 4.9 F24 (Fact 24 outil d’alerting) Ayant développé des outils divers pour la gestion et le déclanchement des alertes, cette société est mentionnée ici à ce titre. CA 2008 (non consolidé) : 2,12 M Euro. Effectif : 23 personnes. Copyright The Duquesne Group 2009 Page 17 /62 Outils PCA en France Résultat : Déficit conformément au business plan annoncé. La société F24 affirme être solide financièrement compte tenu de ses fonds propres. La société est en phase de développement à l’international suite à une levée de capitaux. L’équilibre est prévu pour 2009. Pourcentage du CA lié à l’outil : 88%. Nombre de références : + de 300 aujourd’hui. Copyright The Duquesne Group 2009 Page 18 /62 Outils PCA en France 5 Comparaison synoptique résumée des outils A partir des données collectées dans les questionnaires, nous comparons par catégorie les produits dans les domaines qu’ils couvrent. Ce chapitre donne une vision rapide et synthétique des résultats qui sont détaillés plus loin au chapitre 6. 5.1 Domaines couverts Une note de 0 à 5 a été attribuée à chaque réponse. La note 0 correspond à une absence de couverture du domaine indiqué dans le questionnaire, la note 5 pour une couverture qui nous semble la meilleure raisonnablement possible. La mention « hors périmètre » signifie que l’outil n’obtient aucune note dans un domaine qu’il n’ambitionne pas de couvrir. Nous avons par ailleurs exclu les outils de catégorie 3 (alerting) de ce tableau ; produits complémentaires, ils n’ont pas vocation de traiter les points ci-dessous. Catégorie 1 Maîtrise des risques Appréciation du risque Evaluation des options face au risque Prise de décision Documentation de l'analyse Bilan de l'impact sur les Activités Déterminer les activités critiques Déterminer les configurations Déterminer les paramètres de reprise Documentation de l'analyse Elaborer la stratégie de continuité Expression des besoins de reprise Etude des options de reprise Confrontation options/exigences métiers Etude de coût/faisabilité Choix, décision, documentation Documentation de l'analyse PCA : Missions & responsables Cadrage Le centre de gestion de crise Missions, équipes & responsabilités PCA : Le planning Définition des étapes Définition des livrables Affectations des groupes Aide à l'exécution Tests Cadrage des tests Plan de tests Exécution des tests Bilan des tests Gouvernance Référentiels Questionnaires Suivi Documentation de l'analyse Copyright The Duquesne Group 2009 Catégorie 2 Shadow Planner Parad BCM Suite Isiman PCA eFront PCA Score Web Phenix 16 Hors périm 13 15 16 2 Hors périm 4 4 4 4 Hors périm Hors périm Hors périm Hors périm 4 2 3 4 4 4 3 4 4 4 4 4 2 0 0 0 Hors périm Hors périm Hors périm Hors périm 16 12 17 16 17 14 14 5 4 3 4 1 4 3 4 5 4 4 4 4 5 3 4 4 4 5 4 4 4 4 2 4 3 3 4 13 7 17 6 7 6 3 2 2 2 1 2 4 3 0 3 0 1 0 3 4 4 2 1 3 2 1 0 2 0 1 4 0 0 0 0 3 3 1 1 0 1 0 3 0 0 0 0 0 10 11 12 8 7 10 9 4 3 3 4 3 4 3 5 4 3 3 2 2 3 2 4 3 3 1 4 4 9 15 17 4 10 6 9 2 3 2 2 4 3 5 3 4 4 5 4 2 0 1 1 3 2 3 2 3 2 1 0 2 0 4 3 11 15 13 7 14 12 9 3 2 3 3 3 4 4 4 4 2 4 3 2 2 0 3 3 4 3 4 3 4 3 2 3 2 3 1 16 14 10 5 4 4 4 4 4 4 3 3 4 4 2 0 3 2 0 0 14 3 4 3 4 Hors périm Hors périm Hors périm Hors périm Hors périm Hors périm Hors périm Hors périm Hors périm Hors périm Page 19 /62 Outils PCA en France 5.2 Positionnement sur les axes d’évaluation PCA Nous avons retenu comme axes pour les schémas radars ci-dessous, les cinq points « cœur de métier » du PCA traditionnel (cf § 2.1) pour lesquels tous les produits sont pertinents, à savoir : L’analyse d’impact BIA La définition d’une stratégie PCA : missions et responsables PCA : le planning Les tests du PCA Les notes ont par ailleurs été normées (tous les axes sont ramenés à une note sur 10). Outils de catégorie 1 : BIA 10 8 6 Tests 4 2 Stratégie Shadow Parad 0 Sungard PCA Planning PCA : missions On note principalement : que les aspects « stratégie du PCA » sont les moins bien traités en général, ce qui n’est pas trop surprenant car cela reflète le fait que ces aspects sont étudiés avant la réalisation du PCA ou ailleurs (dans des entités en charge des moyens généraux ou de l’informatique par exemple) ; que les axes « PCA missions », « PCA planning » et « tests » sont les points forts des outils les plus « pragmatiques » à savoir LDRPS de Sungard et PARAD de Devoteam ; que l’outil Shadow Planner d’Office Shadow couvre aussi la maîtrise des risques et la gouvernance qui ne figurent pas sur ce schéma. Outils de catégorie 2 : Le schéma suivant présente les trois outils de catégorie 2, les remarques sont les suivantes : Copyright The Duquesne Group 2009 Page 20 /62 Outils PCA en France comme pour la catégorie 1, la « stratégie » est l’axe le moins bien couvert, pour les mêmes raisons que plus haut ; venant de l’amont (la gestion des risques) ces trois outils ne sont pas encore complètement descendus vers l’aval (l’opérationnel du PCA) et donc leur prise en charge des plannings et des missions est plus légère ; par construction, ces outils vont chercher l’information là où elle se trouve et ne l’intègrent pas en leur sein ; cela explique aussi que les aspects « missions » et surtout « plannings » soient plus légers car ils sont juste indiqués par l’outil et gérés à l’extérieur. BIA Tests 10 8 6 4 2 0 Stratégie eFront Keyword Ageris Phenix PCA Planning 5.3 PCA : missions Positionnement sur les axes d’évaluation Risques-Gouvernance Si l’on considère en revanche les outils qui se positionnent le plus en amont sur l’élaboration du PCA, et qui donc partent de l’analyse des risques tout en intégrant des aspects de gouvernance, nous retenons quatre outils. Ces quatre outils, pertinents dans ce domaine, ont été positionnés dans un schéma comparatif : Copyright The Duquesne Group 2009 Page 21 /62 Outils PCA en France 18 16 14 12 10 Gouvernance 8 Risques 6 4 2 0 Shadow Sungard eFront Keyword Il est normal de voir aux premières places les outils de GRC adaptés au PCA : Keyword et eFront. Il est remarquable d’y trouver très bien placé, aussi Shadow Planner qui, suivant en cela les normes du BCI britannique, accorde de la place à ces aspects. On note que Sungard prépare un module « compliance scorecard » pour les aspects de gouvernance du PCA. Cela ne pourra qu’améliorer sa note sur le schéma. Shadow Planner est le seul outil à figurer en bonne place dans tous les schémas. 6 Comparaison détaillée des outils Ce chapitre présente l’analyse qui a été menée au niveau du détail. 6.1 Comparaison détaillée des outils de catégorie 1 Les résultats des séances de questions et réponses sont commentés ci-dessous à l’aide des questionnaires. Le plan général est suivi. 6.1.1 L’analyse des risques de l’entreprise sur la continuité Copyright The Duquesne Group 2009 Page 22 /62 Outils PCA en France Que permet l'outil Maîtrise des risques Shadow Planner Appréciation du risque Identification des menaces Vision sur les actifs de la société Conséquences sur les actifs de la société Chiffrage des probabilités Parad BCM Suite Oui Oui par intégration avec le module Shadow-Planner BIA Permet l'étude des risques et de leur impact sur les ressources de l'organisation Oui selon une matrice d'aversion (probabilité/impact) Calcul du risque Oui Visions par compartiments ? Oui si modélisé a priori Oui (via la BIA) Oui Oui Oui Oui (possibilité de personnalisation de Crystal reports pour calculer les risques) Idem Evaluation des options face au risque Les options possibles Développement de scénarios de réduction des riques Le chiffrage coût-efficacité Oui via la gestion de projet de réduction des risques L'aversion au risque, matrice des risques Oui, au travers de la politique de risques définie par organisation Le dossier d'étude des risques Oui online, offline et archivages Pour l'éditeur, ces questions concernent les solutions de GRC, qui correspondent à une autre gamme de logiciels différente, mais complémentaire, des outils de gestion de PCA Non Oui (possibilité de personnalisation de Crystal reports pour calculer les risques) Non Non Prise de décision Ré-évaluation des options Oui Non calcul de coût, CURR Oui Non, ou personnaliser Documentation de l'ensemble Oui Oui Mise en œuvre des options : plans Oui par intégration avec le module BCP de Shadow-Planner via le module BCP de ShadowPlanner Suivi et contrôle des plans d'actions Non mais dans LDRPS Non Documentation de l'analyse Outil de conservation de la documentation produite Outil de workflow possible Oui archivage et partage au sein de bibliothèques Oui avec validation et notion de responsable de document Oui Oui (Guide pour le BIA) Ce tableau montre que le positionnement des produits est différent : Shadow Planner cherche à couvrir l’ensemble des aspects du domaine de la maîtrise de risque. PARAD est volontairement orienté PCA et considère que l’étude des risques n’est pas demandée par ses utilisateurs et se trouve donc en dehors de son champ. BCM suite permet de traiter l’appréciation du risque et de documenter l’analyse. Il est moins complet que Shadow Planner en ce qui concerne les options possibles et la prise de décision. Sungard nous a annoncé qu’il disposerait d’un produit BCM suite plus complet au 3T09. Ce produit n’a pas été analysé. 6.1.2 L’analyse d’impact sur l’activité (BIA : Business Impact Analysis) Cette analyse est depuis toujours considérée comme étant le cœur de la problématique de la continuité d’activité. Il n’est pas étonnant de constater que les trois outils couvrent l’ensemble des activités du domaine du BIA. Copyright The Duquesne Group 2009 Page 23 /62 Outils PCA en France Que permet l'outil Bilan de l'impact sur les Activités Shadow Planner Parad BCM Suite Déterminer les activités critiques Identifier et décrire les activités Estimer les impacts financiers Estimer les impacts opérationnels Estimer d'autres impacts Lister les activités critiques Oui avec toutes les ressources qui les caractérisent Oui par entité concernée dans le cadre de la politique BIA définie Oui Oui Naturellement Non Oui BIA Professionnal 4.0 comporte 41 questions standard et des questions personnalisables Oui Déterminer les configurations MTD : Maximum Tolerable Downtime Oui hiérarchiser les priorités Oui, avec gestion du profil de reprise paramétrable description des systèmes informatiques Oui, et de toutes les ressources souhaitées et nécessaires, de façon manuelle ou par intégration avec les outils en place sur le site client description des applications informatiques Oui, id description des autres ressources Oui, technologiques, immobilières, mobilières, humaines….aucune contrainte à ce niveau. Oui Oui Oui BIA Professionnal 4.0 comporte 41 questions standard et des questions personnalisables Déterminer les paramètres de reprise Recovery Time Objective et Work Recovery Time ajustement avec le MTD RPO procédures de secours nécessaires Documentation de l'analyse Outil de conservation de la documentation produite Outil de workflow possible Oui par calcul automatique ou forcé Oui Oui par calcul automatique ou forcé Oui, par intégration au module BCP de ShadowPlanner Oui archivage et partage au sein de bibliothèques Oui avec relance pour mise à jour des dispositifs Oui Non Oui Oui BIA Professionnal 4.0 comporte 41 questions standard et des questions personnalisables Oui Oui Oui Oui / Non Oui Shadow-Planner dispose d’une bonne couverture des préoccupations de BIA et prend en compte un bon nombre d’éléments sous-jacents aux processus critiques. PARAD se concentre sur les processus critiques, dont il permet la liste. Il se conforme ainsi à sa vocation première qui est de se focaliser sur la reprise d’activité. Sa description des systèmes informatiques avec une base de données très orientée ‘opérationnel’ est un point fort. Pour les outils de Sungard, il faut dans cette étape de BIA, recourir à un module (‘BIA professional’). Cela renforce l’impression d’assemblage d’outils d’origines diverses. Copyright The Duquesne Group 2009 Page 24 /62 Outils PCA en France 6.1.3 L’élaboration d’une stratégie de continuité Cet aspect est le moins bien couvert par tous les outils. Il faut dire qu’il correspond dans l’entreprise à la mise en place de la stratégie de continuité, mise en place qui la plupart du temps a déjà été faite quand l’entreprise pense à se doter d’outils. Shadow Planner arrive à couvrir le sujet en laissant l’utilisateur définir et remplir des champs libres, ce qui est le minimum de mise en œuvre possible, il apparaît ainsi comme plus large en couverture fonctionnelle. PARAD se réduit à la prise en compte de l’expression de besoins de reprise à des fins d’exécution. Il ne permet ni étude des options de reprise, ni études de coût, ni enfin la documentation de l’analyse. L’argument donné est que ce type de fonctionnalité n’est pas attendu de la part des clients de son marché. BCM suite de Sungard est également assez complet et couvre toutes les rubriques de la stratégie de continuité à l’exception de la description des options. Elaborer la stratégie de continuité Que permet l'outil Shadow Planner Parad Les exigences des processus critiques Décrits par essence même au sein du module BIA Oui (Module référentiel) Les besoins en termes IT, locaux, bureaux, données,… Intégré à la description des processus au sein du BIA Oui (Besoins en position de travail) Catégories couvertes, classements possibles Oui Non BCM Suite Expression des besoins de reprise Oui définies avec le plan dans LDPRS Etude des options de reprise Catégorie des options possibles Support à la discussion Décrire les options envisagées Selon scénarios et déclencheurs retenus Oui champs commentaires libres Si nécessaire Non Non Non Oui définies avec le dictionnaire dans LDPRS Oui définies avec le plan dans LDPRS Confrontation options/exigences métiers Comparaison aux exigences et sélection Oui (A l'aide du module plan de secours) Non Etude de coût/faisabilité Critères d'évaluation Chiffrage des options Sélection d'options Non Non Non Oui Champ additionnel personnalisable Non Non Non Oui ( Documents de référence) Non Délais d'activation des options En zone de caractères libre Par scénarios Oui Oui Non Choix, Décision, Documentation Documentation des choix, des exclusions Champs commentaires libres id Conservation Par archivage pdf Description des options retenues Non Documentation de l'analyse Outil de conservation de la documentation produite Oui archivage et partage au sein de bibliothèques Non Les PDFs publiés peuvent être archivés dans le système aussi longtemps que souhaité. Outil de workflow possible ? Oui avec relance pour mise à jour des dispositifs Non Les flux peuvent être visualisés à travers l'utilitaire "Dependency Mapping" au sein de l'outil Copyright The Duquesne Group 2009 Page 25 /62 Outils PCA en France 6.1.4 PCA : définition des missions et des responsables Ce lot fonctionnel constitue le centre névralgique de la définition du dispositif à mettre en place pour la reprise. PCA : Missions & responsables Que permet l'outil Shadow Planner Cadrage Gravité des sinistres Par scénarios Périmètres et exclusions Totalement paramétrable Contexte du Plan Adapté à une situation donnée Structure du Plan Basée sur les notions de déclencheurs, d'actions, de responsables et de procédures à appliques Planning des tâches Parad BCM Suite Oui Oui Défini avec le plan dans LDRPS. Oui Oui avec durée des tâches attendues exprimée si nécessaire Le centre de gestion de crise Aide à la mise en place Oui Oui Gestion de configuration du Centre Non Oui Listes de contacts Oui par sélection des membres de la cellule de crise Oui Outils virtuels (téléconférence, …) Exécuter/rendre compte : suivi d'avancement Communication entrante Communication sortante Tableaux d'affichage (web ? autre ?) Missions, équipes & responsabilités Groupe de crise : définition de missions Groupes de redémarrage métiers : définition de missions Groupes récupération technique et opérationnelle : définition de missions Non Par renseignement d'une main courante de type 'modèle de procédure' Via le portail Internet ShadowPlanner Par utilisation d'outils de notification si nécessaire Oui, standard Shadow-Planner Oui avec autant de profils que souhaité Non Oui dans Incident Manager Oui Non Non Non Oui Oui dans LDRPS Aide à la constitution des groupes Oui par drag & drop de contacts vers les groupes souhaités Maintien à jour de la constitution des groupes Oui avec relance pour mise à jour Oui On note une bonne couverture générale avec des différences toutefois : PARAD est sur son domaine de prédilection et il est doté d’une base de configuration efficace ; Shadow-Planner ne possède pas de descriptif technique de type ‘base de configuration ’ BCM suite (de Sungard) oblige à recourir à un module supplémentaire (Incident Manager) qui est proche de l’opérationnel courant de type ‘gestion d’incident’. Copyright The Duquesne Group 2009 Page 26 /62 Outils PCA en France 6.1.5 Le PCA : la planification des activités de reprise C’est le plan que l’on exécute en cas de sinistre, nous sommes là au cœur du sujet. PCA : Le planning Que permet l'outil Shadow Planner Parad BCM Suite structures libres ou forcées ? Libres Structure pré-établie Oui évaluation des charges Non Evaluation du temps nécessaire à une action Oui Oui : Module référentiel Oui Oui : Module référentiel Oui Oui Activités, locaux, ressources, applications, servitudes, liaisons télécom, intervenants, équipes. Oui Définition des étapes partition selon les sites partition selon les métiers Oui via les "Perspectives ShadowPlanner" autre partition ? (RH, IT, locaux, données,…) plans types fournis ? Non: Fonctionnalité de Oui dans des bibliothèques types construction de plans types par les clients Oui diagramme de Gantt ? dans le cadre du module Incident Management de Shadow-Planner Oui : Diagramme de Gantt du plan et diagramme du scénario en cours Oui peut être inclus fiches de tâche fournies ? Oui mais formalisation à définir Non : modèles de fiches de tâches paramétrable Oui lien avec les configurations ? Oui mais formalisation à définir versions et apprentissage Oui Oui : Document de référence Non Oui Oui Définition des livrables modèles types fournis ? Reports au format pdf Non/Oui : Possibilité de créer des modéles de plans Oui aide à la réalisation ? Oui par sélection des zones de reports à générer Oui (assistance incluse à l'achat du logiciel) Oui workflow ? Oui Non Oui Archivage, versioning et horodatage des reports... Oui (Livrables présents dans le module Plans de secours) Oui Oui si référentiel ainsi conçu et renseigné Oui : (Affectation des actions aux intervenants selon les rôles) Oui Oui Oui Oui Oui Oui Oui traçabilité des livrables ? Affectations des groupes assistance à l'affectation aide à la recherche de profils maintien en état notion de back-up(s) des compétences Oui si référentiel ainsi conçu et renseigné Oui par import d'une base de contacts Oui sur chaque profil si nécessaire Aide à l'exécution déclenchement Oui rappels constitution des groupes Oui Oui Oui par main courante si nécessaire traçabilité des interventions accès aux contrats de sous-traitance ? suivi des coûts alternatives, absences gérées Copyright The Duquesne Group 2009 Référentiel d'annexes à structurer Oui Module pilotage Avec l'aide d'Incident Manager Non Oui Oui dans Incident Manager Oui Documents de référence Non Non Oui (LDRPS) Non Oui Page 27 /62 Outils PCA en France Les trois produits sur ces points ont une bonne couverture, on notera comme différences : PARAD est complet et structurant -probablement plus structurant que les autres- ce qui peut s’avérer un point fort chez certains utilisateurs, un défaut chez d’autres. Shadow-Planner : est très ouvert, on peut modéliser ce que l’on veut, mais il faut savoir ce que l’on veut ; à l’inverse d’autres outils structurants, cette liberté peut s’avérer problématique chez certains utilisateurs qui passeront beaucoup de temps à élaborer leur plan ; BCM suite, là encore, oblige pour tout couvrir à recourir en plus au module Incident Manager. En termes de paramétrage et d’options, c’est probablement l’outil le plus fourni, mais au prix d’un assemblage. 6.1.6 Les tests du plan de continuité Un plan de continuité doit être régulièrement testé pour rester ancré dans la réalité et permettre aussi aux utilisateurs de se l’approprier. Copyright The Duquesne Group 2009 Page 28 /62 Outils PCA en France Tests Que permet l'outil Shadow Planner Parad BCM Suite description des objectifs Champs libres à disposition pour renseigner les tests si besoin Non Via un écran de LDRPS ou Incident Manager (un nouveau module est prévu) méthode des tests (check-list, sur table, réel, …) Check-list Non Oui avec LDPRS Cadrage des tests moyens d'annonce préparation à partir du plan réel gestion de configuration de test gestion des contraintes Portail, email, notification en masse si en place Oui Oui par perspective Oui si zone additionnelle incluse dans les assets Oui Oui Oui Incident Manager ou Notifind Non Oui Non Non Non Plan de tests revue des tests antérieurs (sélections possibles) Oui car ceux-ci sont archivés. Oui Archivage des anciens exercices et sinistres description des objectifs des tests Champs libres à disposition Non Oui par personnalisation de LDRPS délimitation d'un sous-ensemble à tester Selon les besoins Oui : Définition des actions à réaliser lors de l'exercice Non aide pour la logistique Oui si prévu Oui : Action à renseigner et à dérouler lors de l'exercice Non production du plan pour le test (fiches ?) Non Oui : Définition des actions à réaliser lors de l'exercice Non sélection de fiches sur critères ? Non Non revue des risques liés au tests gestion des RH Non Oui si prévu dans fiche contacts Oui si contacts invités à se connecter à Shadow-Planner Non Oui Oui par personnalisation de LDRPS Non Non Oui Non gestion prestataires et observateurs Exécution des tests "cellule de crise" du test documentation accessible ? outil de reporting ? suivi des coûts aide à la documentation du test Non Oui Oui par main courante et "modèle de procédure" avec champs à renseigner' Non Oui par "modèle de procédure" avec champs à renseigner Oui. Incident Manager Oui. Oui, Module Pilotage Oui. Incident Manager Non Non Oui, Module Pilotage Oui Bilan des tests conservation des fiches conservation des résultats des tests comparaison avec tests précédents sélections possibles (qui a fait quoi, etc.) Oui Oui Non automatique Non automatique Oui, Module Pilotage =>compte rendu de tests Oui Oui Non Oui plans d'actions Oui par extraction Oui Module pilotage => Affectation des tâches Non suivi des coûts Non Non Non outil de workflow Copyright The Duquesne Group 2009 Oui Les incidents sont répertoriés automatiquement dans Oui avec relance pour mise à jour une table de tâches de des dispositifs MCO et notifiés par mail aux personnes concernées Non Page 29 /62 Outils PCA en France Les outils possèdent de manière plus ou moins élaborée un mode simulation permettant de dérouler des portions de plan et d’en évaluer le comportement. On note : Le plus complet sur ces points est PARAD qui permet de réajuster suite à des tests des points du plan qui sont détectés comme améliorables et de suivre des actions d’amélioration. Chez Sungard, la ‘collecte des points à corriger’ n’est pas encore automatisée et le sera en fin 2009 avec « test & exercise tracking » que nous n’avons pas évalué. Shadow planner : avec ses axes d’analyse fondamentaux comme «organisation», «géographie», «scénario» ou «phase» peut permettre des études de scénarios avec des perspectives diverses. 6.1.7 La gouvernance du plan de continuité Il s’agit de définir une référence de bonnes pratiques et de s’assurer que les opérationnels s’y conforment ou s’en rapprochent. Gouvernance Que permet l'outil Shadow Planner Parad Oui Oui Oui au sein d'informations de référence Non Oui Oui Oui Oui Oui Non Non Non Non Non Non Non collecte des preuves Oui Oui Oui Par relation avec le module BCP de Shadow-Planner Oui conservation Documentation de l'analyse Outil de conservation de la documentation produite Outil de conservation de la documentation produite Oui archivage et partage au sein de bibliothèques Oui avec relance pour mise à jour des dispositifs Référentiels structure selon normes cycle PDCA expression d'une politique DG Questionnaires génération de questions soumission pour les réponses pondérations historisation Suivi revue des réponses pondérations rapports variés plans d'actions BCM Suite Non Hors Périmètre actuellement Non Non Non Non Là encore on distingue les écarts habituels entre produits : Shadow-Planner se comporte bien avec ses questionnaires inspirés de normes et son reporting assez puissant. Sungard dispose simplement dans BCM suite de formulaires d’auto-évaluation conformes à la BS25999-2 mais annonce un module «compliance scorecard» à venir en 2010. PARAD est sur ce point en dehors de son champ d’action, volontairement. Copyright The Duquesne Group 2009 Page 30 /62 Outils PCA en France 6.2 Comparaison détaillée des outils de catégorie 2 Pour rappel, les outils de catégorie 2 proviennent soit d’éditeurs du monde de la GRC (Gestion de Risque et Conformité), soit de cabinets de conseil. 6.2.1 Maîtrise des risques de l’entreprise Maîtrise des risques Que permet l'outil Isiman PCA eFront PCA Score Web Oui en documentation Modification du modèle de la base si on veut une liaison entre menace et identification du risque Oui: L'outil permet d'identifier les risques associés aux processus Oui Phenix Appréciation du risque Identification des menaces Oui : Certains actifs sont gérés dans le module FrontBCP : applications, serveur, site Oui Oui : Notion de probabilité sur les risques Vision sur les actifs de la société Oui en documentation Non Conséquences sur les actifs de la société Oui Chiffrage des probabilités Oui Calcul du risque Identification des risques et cotation Oui Oui Visions par compartiments ? Oui pour les risques Oui : FrontReport permet d'établir des rapports Non Oui Oui : FrontGRC permet de définir le dispositif de maitrise des risques : contrôle, plan d'actions et assurance Non Oui Evaluation des options face au risque Les options possibles Le chiffrage coût-efficacité L'aversion au risque, matrice des risques Le dossier d'étude des risques Oui (sont à formaliser et structurer certaines formules coût efficacité Oui (Cotation de la synthèse, matrice) Oui Non Hors périmètre Oui Oui : FrontReport permet de produire des rapports à partir de l'ensemble des données du risque Prise de décision Ré-évaluation des options Non calcul de coût, CURR Documentation de l'ensemble Non Oui Mise en œuvre des options : plans Oui Suivi et contrôle des plans d'actions Oui Oui : Les évaluations de risques sont historisées Oui avec FrontReport Oui Oui : FrontGRC permet la définition des plans d'actions Oui : FrontGRC permet le suivi des plans d'actions PHENIX est destiné à être utilisé principalement dans la gestion de crise. Pour ce faire les efforts ont porté sur la simplicité d'utilisation, la rapidité d'exécution afin d'en obtenir la meilleur efficacité lors d'une crise. Phenix ne gère pas le risque. Hors périmètre Documentation de l'analyse Outil de conservation de la documentation produite Outil de workflow possible Copyright The Duquesne Group 2009 Oui Oui : FrontDoc est le module de gestion éléctronique de la suite logicielle FrontGRC Oui Oui : FrontGRC est livré avec un moteur de workflow interne, disponible sur l'ensemble des objets fonctionnels (processus, risque, …) Hors périmètre Page 31 /62 Outils PCA en France Clairement les outils de GRC sont dans leur domaine, les outils de consultants, quant à eux, voient surtout l’aspect « évaluation » ou « audit flash de la situation » ; cela se traduit dans les notations. eFront et Isiman font ici quasiment jeu égal devant les autres, ils couvrent tout le spectre de la gestion de risque liée au PCA. De par leur origine GRC, les outils d’e-Front et de Keyword (Isiman) ont en gestion de risque de meilleurs résultats que les outils de catégorie 1. Ageris se cantonne à des évaluations par les managers ou les opérationnels eux-mêmes, suivies d’avis émis par les consultants. L’outil Ageris d’analyse des risques : le module Mehari en Excel dans « score risk management » sera redéveloppé en mode Web. BCCM Strategy avec son outil Phenix, se situe de lui-même hors périmètre, indiquant là son orientation opérationnelle dans la gestion de crise. 6.2.2 Bilan de l’impact sur les activités (BIA) Sur ces points, les outils se rapprochent sensiblement, on note toutefois : eFront-PCA couvre bien un certain nombre d’aspects, mais l’éditeur mentionne des modules complémentaires (FrontBPM, FrontDoc) dont l’acquisition et l’intégration sont alors à prévoir. Isiman-PCA est plus contrasté, la description des paramètres de reprise des activités peut être améliorée. Ces deux outils disposent en natif de fonctions de gestion de documentation et de workflow qui sont mises à profit ici. Par ailleurs : Ageris Score Web dispose d’une base interne mySQL en version web uniquement pour le module process management. Score Web doit améliorer la documentation de l’analyse. Ces outils se comparent somme toute assez bien avec ceux de la catégorie 1. Copyright The Duquesne Group 2009 Page 32 /62 Outils PCA en France Bilan de l'impact sur les Activités Que permet l'outil Isiman PCA eFront PCA Score Web Phenix Déterminer les activités critiques L'outil permet la cartographie des processus et des Oui : l'utilisateur crée ses critères activités. Le module d'impact et pour chaque processus FrontBPM permet d'y associer détermine gravité et montant une représentation graphique Identifier et décrire les activités Oui Cartographie de processus Estimer les impacts financiers Oui en documentation Oui Oui Oui : D'autre impacts tel que image, reglementaire, juridique sont ajoutés Estimer les impacts opérationnels 0 Oui Oui Oui Estimer d'autres impacts 0 Oui Oui Lister les activités critiques Oui Oui Oui Oui codifié selon la norme des banques Oui Oui : gestion par processus et par actif, avec Délai Maximum d'Interruption Admissible et Perte de données maximale admissible Oui Oui, customisation possible sur demande Oui Déterminer les configurations MTD : Maximum Tolerable Downtime hiérarchiser les priorités description des systèmes informatiques description des applications informatiques description des autres ressources Oui Oui Oui Oui ressources localisées et non localisées (réseaux) Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Déterminer les paramètres de reprise Recovery Time Objective et Work Recovery Time Oui Oui ajustement avec le MTD Non Oui RPO Oui Oui procédures de secours nécessaires Non Oui Oui : Plan de Secours Informatique, possibilité d'uploader des procédures par actif Oui FrontDoc Oui : les fichiers sont uploadés Oui Oui FrontGRC est livré avec un moteur de workflow interne, disponible sur l'ensemble des objets fonctionnels (processus, risque, …) Non Oui Documentation de l'analyse Outil de conservation de la documentation produite Outil de workflow possible Copyright The Duquesne Group 2009 Oui Oui : calcul automatique ou manuel proposé Oui Page 33 /62 Oui Oui Outils PCA en France 6.2.3 L’élaboration d’une stratégie de continuité Il s’agit là pour mémoire de décider de ce que l’entreprise fera pour assurer sa continuité. Elaborer la stratégie de continuité Que permet l'outil Isiman PCA eFront PCA Score Web Phenix Oui Oui : besoins par métier (et ou scénario) des besoins en RH et actifs) Oui Oui Oui Oui Oui Classification par le répondant Oui Non Non Non Non Oui : création des actions ordonnancées, par métier, auxquelles des contacts sont rattachés Non Non Expression des besoins de reprise Les exigences des processus critiques Les besoins en termes IT, locaux, bureaux, données,… Catégories couvertes, classements possibles Partiel et indirect Etude des options de reprise Catégorie des options possibles Support à la discussion Très partiel Décrire les options envisagées Confrontation options/exigences métiers Délais d'activation des options Comparaison aux exigences et sélection Etude de coût/faisabilité Critères d'évaluation Chiffrage des options Sélection d'options Choix, Décision, Documentation Description des options retenues Documentation des choix, des exclusions Conservation Non Non Très partiel Non Non Non Fait par code couleur Non Non Non Oui avec outil COGNOS Non Non Non Non Non Non Non Non Non Non Non Non Non Non Non Oui par export Non Oui par export Non Non Non Non Non Non Oui Documentation de l'analyse Outil de conservation de la documentation produite Oui Outil de workflow possible ? Oui FrontDoc est le module de gestion éléctronique de la suite logicielle FrontGRC FrontGRC est livré avec un moteur de workflow interne, disponible sur l'ensemble des objets fonctionnels (processus, risque, …) Ces aspects sont peu couverts en général par les outils. L’existence d’un moteur gérant la documentation et le workflow est le seul atout dont profitent Front-PCA et Isiman-PCA. Ageris Score Web et Phenix couvrent peu cet aspect, ce n’est visiblement pas leur champ d’action. Les outils de la catégorie 2 sont très en-dessous de ceux de la catégorie 1. Copyright The Duquesne Group 2009 Page 34 /62 Outils PCA en France 6.2.4 Le PCA : définition des missions et des responsables des groupes Il s’agit de constituer les équipes d’intervention, etc. PCA : Missions & responsables Que permet l'outil Isiman PCA eFront PCA Score Web Phenix Gravité des sinistres Oui Non Oui Non Périmètres et exclusions Contexte du Plan Structure du Plan Oui Oui Oui Non Oui Non Oui Oui Oui Oui Non Non Planning des tâches Oui limité Oui Oui Non Non Oui Oui Non Oui Non Oui Oui Non Oui Oui Non Non Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Non Non Oui Oui Oui Cadrage Le centre de gestion de crise Gestion de configuration du Centre Listes de contacts Outils virtuels (téléconférence, …) Oui dans les formulaires, pas de gestion on-line Non Oui Non Exécuter/rendre compte : suivi d'avancement Oui partiel Communication entrante Communication sortante Tableaux d'affichage (web ? autre ?) Non Non Oui Aide à la mise en place FrontBCP permet le suivi d'un journal de crise Non Non Oui journal Web Missions, équipes & responsabilités Groupe de crise : définition de missions Groupes de redémarrage métiers : définition de missions Groupes récupération technique et opérationnelle : définition de missions Aide à la constitution des groupes Maintien à jour de la constitution des groupes Oui dans les formulaires Oui gestion des emplois (récurrent) Par import/export et étude et des users d'impact (ponctuel) A priori les outils venant de la GRC ne sont pas là sur leur terrain de prédilection. Des développements complémentaires seront nécessaires pour améliorer les fonctionnalités. Il faut toutefois bien souligner la philosophie des deux outils eFront-PCA et Isiman-PCA : ils conservent des liens vers des documents gérés par leurs responsables. Ils permettent d’accéder à partir de l’outil à ces documents gérés par ailleurs. Pour consolider des PCA gérés localement, ces outils sont particulièrement bien adaptés. En cas de crise, il faut toutefois s’assurer que les documents liés sont effectivement accessibles. Or, ceux-ci peuvent se trouver sur d’autres serveurs qui sont peut-être sinistrés ou dont le réseau d’accès n’est plus disponible. L’outil ScoreWeb d’Ageris se comporte bien dans ce domaine. Phenix aussi. Les outils de la catégorie 2 sont, là-encore, en dessous de ceux de la catégorie 1. Copyright The Duquesne Group 2009 Page 35 /62 Outils PCA en France 6.2.5 Le PCA : la planification des activités de reprise La planification des diverses tâches à mener en cas de sinistre est l’objet de ce paragraphe. A priori les outils de GRC peuvent gérer cela à partir de documents ; ce qui reste d’un côté souple, d’un autre côté potentiellement imprécis. PCA : Le planning Que permet l'outil Isiman PCA eFront PCA Score Web Phenix Forcées Oui Oui Oui Non Oui Suggérées Non Oui Par poste de travail RH Oui Libres Non Non Oui Oui A la demande A venir Oui Non fiches de tâche fournies ? lien avec les configurations ? Libres Oui partiellement Non Non Non Oui Non interfaçage possible Oui Non Oui Non A la demande Non versions et apprentissage Non Non Oui Non Gestion de la formation des contacts Non Oui Non Oui Oui Oui Oui Non Non Non Non Non Non Pas couvert directement Non Oui Non Oui Non Non Non Oui Oui Oui Oui Oui déclenchement Non Non Oui rappels constitution des groupes traçabilité des interventions Non Non Oui Non Aide à la constitution Non Oui Oui Oui accès aux contrats de sous-traitance ? Possible (pièce jointe) Aide à l'accès Oui si renseignés suivi des coûts alternatives, absences gérées Oui Non Non Non Non Non Définition des étapes structures libres ou forcées ? évaluation des charges partition selon les sites partition selon les métiers autre partition ? (RH, IT, locaux, données,…) plans types fournis ? diagramme de Gantt ? Définition des livrables modèles types fournis ? aide à la réalisation ? workflow ? traçabilité des livrables ? Affectations des groupes assistance à l'affectation aide à la recherche de profils maintien en état notion de back-up(s) des compétences Oui Aide à l'exécution Pas couvert directement eFront-PCA s’en sort avec les honneurs, on notera là encore que l’utilisateur avec les outils dérivés de la GRC a accès à beaucoup de documentation tenue à jour par d’autres, donc à priori bien gérée. En revanche le déroulement de ce qu’il doit ordonnancer en cas de crise est beaucoup moins strictement défini. Certains utilisateurs voient cela comme un flou regrettable, d’autres y voient des degrés de liberté judicieux. La vision de Keyword à l’heure actuelle, encouragée en cela par un client pilote, consiste à considérer qu’un planning trop strict est vite inapplicable. Isiman PCA dans cette situation se contente donc de rendre disponible un certain nombre de documents et procédures existants. Les outils de catégorie 1 comme PARAD ou BCM suite, par exemple, gèrent cela de manière plus minutieuse, au prix éventuellement de contraintes supplémentaires : il faut en effet définir plus de détails et maintenir à jour tout ce qui a été défini et saisi ou capturé dans l’outil. Copyright The Duquesne Group 2009 Page 36 /62 Outils PCA en France 6.2.6 Les tests du plan de continuité Tester un plan, c’est le soumettre à l’épreuve du réel et cela peut aussi se faire en chambre dans certains scénarios. Comment se comportent alors ces outils ? Tests Que permet l'outil Isiman PCA eFront PCA Score Web Phenix Non Documentation des tests Non Non Non Non Oui Oui Oui Oui Oui Oui Non Oui Non mais possible Oui Non Oui Oui Oui Non Oui Non Non revue des tests antérieurs (sélections possibles) Non Oui Oui description des objectifs des tests délimitation d'un sous-ensemble à tester aide pour la logistique production du plan pour le test (fiches ?) sélection de fiches sur critères ? revue des risques liés au tests gestion des RH gestion prestataires et observateurs Très partiel Non Non Très partiel Non Non Non Non Oui Oui Oui Oui (Front Report) Oui Oui Oui Notion de contact Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui sur la base des mains courantes Oui Oui (Extraction) Oui (Extraction) Oui (Extraction) Non Non Oui (Extraction) Oui si renseigné Exécution des tests "cellule de crise" du test documentation accessible ? outil de reporting ? suivi des coûts aide à la documentation du test Non Non Non Non Non Oui Oui Oui (Front Report) Non Oui Oui Oui Oui Non Non Oui Oui Oui Non Oui conservation des fiches Oui Oui Oui Main courante conservation des résultats des tests comparaison avec tests précédents sélections possibles (qui a fait quoi, etc.) plans d'actions suivi des coûts Non Non Non Oui Non Oui Non Non Non Non outil de workflow Oui Oui Oui Oui Oui Non FrontGRC est livré avec un moteur de workflow interne, disponible sur l'ensemble des objets fonctionnels (processus, risque, …) outil de documentation Oui Cadrage des tests description des objectifs méthode des tests (check-list, sur table, réel, …) moyens d'annonce préparation à partir du plan réel gestion de configuration de test gestion des contraintes Plan de tests Bilan des tests FrontDoc est le module de gestion éléctronique de la suite logicielle FrontGRC Non mais possibilité d'attacher des fichiers joints Non Non Dans le domaine des tests de PCA, eFront-PCA se comporte le mieux parmi les outils de sa catégorie, probablement parce que dans sa vision de contrôle centralisé, le principal client maître d’œuvre a mis ce sujet en bonne position. Ageris ScoreWeb offre aussi des fonctions utiles ; Isiman-PCA est plus en retrait ; Phenix procède beaucoup par extraction mais son suivi par main courante est précieux. 6.2.7 La gouvernance du plan de continuité La gouvernance est justement le ‘G’ de ‘GRC’, il faut donc s’attendre à ce que ces outils soient adaptés. Copyright The Duquesne Group 2009 Page 37 /62 Outils PCA en France Gouvernance Que permet l'outil Isiman PCA eFront PCA Score Web Phenix Référentiels structure selon normes Oui Oui Oui cycle PDCA Oui Oui Bale 2, CRBF 97 02 Oui, à compléter par une organisation Oui Oui expression d'une politique DG Oui Oui (Gestion documentaire) Oui Oui Oui avec module complémentaire Oui 0 Non Non Oui (Pop up) Non Non Questionnaires génération de questions Oui soumission pour les réponses pondérations historisation Oui Oui Oui FrontGRC intégre une gestion de formulaire et de campagne d'évaluation Oui Oui Oui Suivi revue des réponses pondérations Oui Oui Oui non mais à venir Oui Non Non Non rapports variés Oui Oui, à l'aide de FrontReport Oui Non plans d'actions Oui Oui Non Non collecte des preuves Oui Oui à l'aide de pièces jointes Non Non Oui FrontDoc est le module de gestion électronique de la suite logicielle FrontGRC Non Non Oui FrontGRC est livré avec un moteur de workflow interne, disponible sur l'ensemble des objets fonctionnels (processus, risque, …) Non Non Documentation de l'analyse Outil de conservation de la documentation produite Outil de conservation de la documentation produite Effectivement, les deux outils eFront-PCA et Isiman-PCA sortent en tête toute catégorie. On remarque aussi que Shadow Planner (outil de catégorie 1) soutient très bien la comparaison face à des outils de GRC pour ce qui concerne la gestion des risques liés au PCA. Copyright The Duquesne Group 2009 Page 38 /62 Outils PCA en France 6.3 Comparaison des outils d’alerte Ce type d’outils par construction ne couvre que le PCA (plus précisément le PRA) et les tests et ne concernent pas les domaines situés en amont de la crise. L’analyse se focalise donc sur ces points à l’exclusion des autres. Nous avons jugé intéressant de les regarder rapidement, car ils sont souvent utilisés en compléments des outils précédents. 6.3.1 Le PCA : définition des missions et des responsables des groupes PCA : Missions & responsables Cadrage Que permet l'outil Viappel F24 Hors périmètre Hors périmètre Mobilisation cellule de crise Alerte des personnes. Conférences spontanées Le centre de gestion de crise Aide à la mise en place Gestion de configuration du Centre Listes de contacts Outils virtuels (téléconférence, …) Mobilisation cellule de crise (travail par scenario) Oui lien possible vers téléconférence Exécuter/rendre compte : suivi d'avancement Suivi en direct des appels Communication entrante Serveur vocal Communication sortante Automate d'alerte ASP Tableaux d'affichage (web ? autre ?) Web, fichier excel Missions, équipes & responsabilités Groupe de crise : définition de missions Groupes de redémarrage métiers : définition de missions Groupes récupération technique et opérationnelle : définition de missions Aide à la constitution des groupes Maintien à jour de la constitution des groupes Groupe selon les alertes. Téléconférence Suivi en temps réel, envoi de rapports, historique Hot line d'information Téléphone, fax, email, SMS, pager Moniteur en ligne (mode web) pour le suivi en temps réel Par des groupes affectés à un n° d'alerte Base de données via serveur web, ou outils PCA Oui Base de données interfaces web et serveur vocal L’outil F24 permet la saisie des destinataires et leur gestion via une interface web interactive. L’outil de Cedralis procède principalement par échange de fichiers. Copyright The Duquesne Group 2009 Page 39 /62 Outils PCA en France 6.3.2 Le PCA : la planification des activités de reprise Sur ce sujet, les outils d’alerting proposent une aide à l’exécution du Plan, tout au moins dans sa phase de lancement. PCA : Le planning Que permet l'outil Viappel F24 Aide à l'exécution déclenchement rappels Internet et téléphone (fixe ou portable) 3 possibles Internet Téléphone Fax constitution des groupes Oui selon base de données ou scénarii Cascades possibles paramétrables (autant de groupes que souhaité) traçabilité des interventions Oui Oui accès aux contrats de sous-traitance ? Oui Via conteneur et droits d'accès limités suivi des coûts Non Dans les logs alternatives, absences gérées Oui par des astreintes Oui avec planning d'études L’outil de Cedralis procède par scénarios d’escalade, celui de F24 par cascades successives avec autant de groupes que souhaités. La solution de F24 semble plus souple et plus riche sur ces points. La notion de conteneur chez F24, permettant des sous-groupes gérés par d’autres entités, peut être intéressante lors de l’appel par exemple à des sous-traitants en cas de sinistre. Copyright The Duquesne Group 2009 Page 40 /62 Outils PCA en France 6.3.3 Les tests du plan de continuité Il s’agit de tester le Plan et deux possibilités existent ici : utiliser l’outil d’alerting pour tester des portions du Plan de continuité tester les appels de l’outil d’alerting en tant que tel et leurs successions. Tests Que permet l'outil Viappel F24 Cadrage des tests description des objectifs Tester les scénarii et la réaction des participants méthode des tests (check-list, sur table, réel, …) Réel moyens d'annonce préparation à partir du plan réel gestion de configuration de test gestion des contraintes Plan de tests revue des tests antérieurs (sélections possibles) Oui description des objectifs des tests Oui (modification de l'affectation des groupes à une alerte) délimitation d'un sous-ensemble à tester aide pour la logistique production du plan pour le test (fiches ?) Sélection possible selon les compétences. sélection de fiches sur critères ? revue des risques liés au tests gestion des RH gestion prestataires et observateurs Exécution des tests "cellule de crise" du test documentation accessible ? outil de reporting ? suivi des coûts aide à la documentation du test Oui Oui Rapports + historiques Dans historiques Oui Bilan des tests conservation des fiches Oui conservation des résultats des tests Oui comparaison avec tests précédents sélections possibles (qui a fait quoi, etc.) plans d'actions suivi des coûts outil de workflow Oui Oui outil de documentation Oui Conservation de l'historique et des rapports Avec outils de statistiques Dans historique Extraction de log dont format Excel Les fonctionnalités offertes par les deux produits se ressemblent. En termes de préparation des tests, F24 semble cependant le plus avancé. Remarque : les coûts télécom sont souvent traités et refacturés à part. Copyright The Duquesne Group 2009 Page 41 /62 Outils PCA en France 7 Caractéristiques techniques des produits Nous indiquons dans ce paragraphe des éléments techniques et des informations importantes en termes d’évaluation de la structure des produits. Ces éléments ont été collectés au cours de nos entretiens. Nous y insérons nos commentaires et critiques d’analystes. 7.1 Shadow Planner (Office Shadow) Jusqu’à septembre 2009 et la version 3.9 il s’agissait d’un développement en environnement LAMP (Linux, Apache, MySQL, PHP). Un chantier important a été mené depuis 18 mois pour refondre l’architecture dans un environnement plus robuste en DB2 et Oracle sur Linux. Les développements réalisés en Java aboutiront à des produits disponibles à partir de fin septembre 2009. Tout est recodé à partir de zéro. A cette date, une nouvelle Version 3.15 sera disponible et toute la base installée sera migrée sur une période d’un an aux dires de l’éditeur. Il existe une Release de correction tous les 6 mois et une version majeure tous les 18 mois. La visualisation permise par le produit est consultable sur PDA, BlackBerry, etc, via Adobe Flex. Le produit est couplable à des outils de modélisation de processus : ARIS et Mega. Un outil de reporting ‘Ireports’ d’origine Open source sera possible à partir d’octobre 2009. Commentaire : l’évolution du produit vers une base technologique solide en Java et SGBD relationnel est une bonne chose. Cependant, sauf pour les utilisateurs en SaaS pour lesquels cette bascule devrait être à peu près transparente, on peut douter de la capacité de la base installée en propre à migrer vers le nouveau produit en un an seulement. Il y aura fort probablement une partie des utilisateurs du produit en interne qui ne passeront pas aussi vite sur la nouvelle technologie. Cela peut laisser l’éditeur Office Shadow dans une situation de superposition de coûts très inconfortable. 7.2 PARAD (Groupe Devoteam) La société a une politique de version assez forte et bien suivie. Actuellement seule la version 7 sous ses diverses releases est maintenue. Une portion de 90% de la base installée actuelle est dans cette version 7, une part de 65% env. étant en 7.3. La version 7.4 est en cours d’achèvement. Le produit est régulièrement l’objet d’amélioration tant dans les modules techniques de gestion que de la présentation à l’écran. La politique de gestion du produit en versions, releases et patchs correctifs est classique. Il existe un « club d’utilisateurs » qui donne ses suggestions d’évolutions, statue à la demande de Devoteam sur les priorités à mettre dans les développements et participe en tant que de besoin à des groupes de travail (sur l’ergonomie du produit par exemple). Copyright The Duquesne Group 2009 Page 42 /62 Outils PCA en France Le produit est en architecture Microsoft .Net et utilise MS-SQL server 2005 comme base de données centrale. Les sorties vers Word et Excel sont possibles, ainsi que les extractions de diagrammes de Gantt vers MS-Project. On peut regretter l’absence de sortie en PDF non modifiable. Commentaire : d’un point de vue technique, ce produit est de bon niveau et sa politique de gestion semble professionnelle. L’évolution de la base installée se fait par pas successifs sans disruption majeure. Les améliorations ergonomiques sont sensibles. Les aspects de traçabilité et de possibilité d’audit sont peu mis en valeur et probablement un peu négligés. 7.3 Business Continuity Management Suite (Sungard) Les applications de cette suite sont essentiellement développées en environnement Microsoft .Net, sur une base SQL server ou Oracle et IIS. Il y a une base de données unique qui concentre les différents modules et permet les échanges entre eux. L’architecture générale évite d’avoir un client lourd. A toute nouvelle connexion d’utilisateur en mode Saas, celui-ci dispose de la dernière version implémentée. L’utilisation de Crystal Report est possible en complément pour du reporting adaptable par l’utilisateur final. Les facilités de rapports personnalisés sont nombreuses. Il existe par ailleurs de l’ordre d’une centaine de rapports standards sur le PCA. Il existe un workflow intégré, avec séparation de rôles entre administrateur, valideurs et utilisateurs. Il est possible de recourir à une prise en compte des positions géographiques et hiérarchiques pour attribuer les droits. L’outil permet la traçabilité complète des actions par piste d’audit (« full audit trails »). De très nombreux types de plans sont gérables (cellule de crise, conformité, secours IT, secours métiers, exercices de tests, etc.). Commentaire : la suite de Sungard donne une impression générale d’assemblage composite de modules hérités du passé ou achetés avec la société Strohl. Le cœur provenant de Strohl (LDRPS) représente le centre à partir duquel Sungard bâtit son offre d’outils. Bien des modules sont préannoncés mais non disponibles. De vieux produits ne seront plus supportés (Parangon par exemple mais celui-ci semble absent en France). D’autres se superposent en partie. Une road-map claire du produit est en cours d’élaboration, mais n’a pas été fournie avant la fin de l’étude. Ce produit est à suivre, car la remise à niveau d’ensemble peut permettre de tirer parti de fonctions très élaborées. 7.4 Isiman PCA (Keyword) L’offre de Keyword est modulaire et sépare trois types de serveurs et de flux associés : - le produit Isiman de gestion de contenu à base de SGBDR en monde AIX, Windows ou Linux ; - une base de publication et de formulaires (serveur d’application et serveur web) en monde AIX, Windows ou Linux ; - une base infocentre permettant des rapports et des calculs sur hypercubes. Copyright The Duquesne Group 2009 Page 43 /62 Outils PCA en France L’architecture permet ainsi une bonne échelonnabilité. Les développements sont de type Java / Eclipse. Keyword dispose d’un partenariat avec IBM Software Group pour adapter et optimiser les solutions aux environnements logiciel, middleware et matériel d’IBM tels que Websphere ou Cognos par exemple. Commentaire : Isiman-PCA, est un outil bien structuré sur des bases technologiques solides et échelonnables ; sa nature Java/Eclipse le met dans une grande tendance actuelle du marché et est gage de durabilité et de robustesse. 7.5 Efront PCA (eFront) L'outil permet la cartographie des processus et des activités. Le module Front BPM permet d'y associer une représentation graphique. Les postes connectés sont des postes client Internet standard utilisant un navigateur Internet standard. La solution FrontGRC s’installe sur le serveur applicatif. Elle est basée sur le Microsoft .NET FrameWork sous Microsoft Windows et utilise les bases de données standard Microsoft SQL Server et Oracle. FrontGRC possède des fonctionnalités d’interface synchrone et asynchrone avec des systèmes tiers. Dans le cas asynchrone, cette fonctionnalité utilise un mode batch et l’import/export. En mode synchrone, la solution FrontGRC met en œuvre un toolkit de Web services. L’application peut être signée numériquement via un certificat, son flux http peut être crypté à l’aide du protocole HTTPS. L’accès au serveur applicatif peut être protégé par un pare feu. La solution FrontGRC possède une fonctionnalité d’administration des utilisateurs permettant de leur affecter des droits et des habilitations. L’habilitation sur l’ensemble des données, rapports et documents est gérée à l’aide de la fonctionnalité de ‘région’, assurant une parfaite confidentialité des données. Associée à la notion de région (habilitation sur les données), la fonctionnalité de profil permet d’assurer les contrôles d’accès aux fonctionnalités de l’application. Il est possible de mettre en œuvre une interface avec un annuaire d’entreprise de type LDAP. Commentaire : si le produit eFront GRC est présent sur le marché depuis un certain temps avec des références sérieuses, le module BPM (ou PCA) est très récent et n’existe à notre connaissance que chez un client de référence. Par ailleurs sa structure semble plutôt monolithique et peut s’avérer plus difficilement échelonnable, posant alors des problèmes de montée en charge et de performance. Néanmoins, il répond à un cahier des charges rigoureux. 7.6 Score Web (Ageris) Il s’agit là typiquement d’une approche orientée consultant ou auditeur à l’origine, ayant Excel sur son PC. Tous les produits sont d’origine réalisés en Excel avec des formules et quelques macros. Copyright The Duquesne Group 2009 Page 44 /62 Outils PCA en France L’objectif d’Ageris est de tout porter en environnement web. 20 à 30% ont déjà été réécrits ainsi en environnement LAMP (Linux à base de Debian, Apache, MySQL, PHP). Le produit web n’est proposé qu’en mode ASP et gère un certificat de sécurité Ageris. Chaque client dispose de sa propre base mySQL en ligne pour chacun des modules qu’il utilise. On peut ainsi envisager plusieurs bases pour plusieurs modules et entités utilisatrices. Les outils ont été testés sur IE6 et suivants ainsi que sur Firefox (et Safari). Le produit offert donc en ligne est hébergé chez OVH en environnement raisonnablement sécurisé (disques RAID). La gestion des données par dates ou versions n’est pas possible. Il sera en revanche possible d’exporter des données et de repartir à zéro. Il n’y a qu’un PCA à la fois. La traçabilité dans l’outil nécessite un ‘module filtre’ qui sera disponible à partir du 1/8/2009 et que nous n’avons pas vu. Les contrôles sur les champs saisis existent mais sont succincts. Il existe des contrôles sur les champs obligatoires, mais il n’y a pas de vérification de présence de noms dans un annuaire par exemple. Commentaire : les outils d’Ageris sur le web, sont légers et peu coercitifs ; en cela ils ressemblent au monde Excel dont ils sont issus. Ils sont avant tout prévus pour collecter facilement et de manière centralisée des informations auprès des responsables en entreprise. Leur rôle structurant est toutefois réel même s’il ne se traduit pas par un formalisme technique. Les clients sont a priori tous connectés en mode SaaS et sont donc tous dans l’environnement que définit Ageris et en suivent donc toutes les évolutions, avec les avantages et inconvénients que cela peut avoir. 7.7 Phenix (BCCM Strategy) Initialement développé pour le web (pages web en ASP3) le produit comporte aussi des modules en VBScript et embarque une base de données Accès ou Oracle. L’outil se compose de deux parties : Une aide à la saisie rapide des activités et de leurs contraintes (de type BIA, voir plus haut). Une aide à la gestion de crise de type suivi et main courante à partir de ce qui a été précédemment saisi. Les champs de saisie ne sont pas l’objet de forts contrôles. L’aide à la gestion de crise possède une interface graphique qui peut être déroutante pour un utilisateur habituel de Windows. L’outil de gestion de crise peut s’embarquer sur une clé USB et est utilisable sous tout PC Windows très rapidement. Commentaire : il s’agit là d’un développement léger et facilement transportable, conforme en cela au cahier des charges du PCA light. Copyright The Duquesne Group 2009 Page 45 /62 Outils PCA en France 7.8 Viappel (Cedralis) Nous n’avons pas étudié les aspects techniques de cet outil qui est essentiellement vu comme un service externe par l’utilisateur. 7.9 Fact F24 (F24) Nous n’avons pas étudié les aspects techniques de cet outil qui est essentiellement vu comme un service externe par l’utilisateur. 7.10 Bilan sur les aspects techniques L’ensemble de ces considérations techniques est résumé dans le tableau ci-dessous. Une note est attribuée par les analystes Duquesne Research. Elle va de 0 (pas bon) à 10 (excellent). Environnement technique (total sur 30) type de code, SGBD, modèle de données CMDB, cartographie architecture technique, échelonnabilité Shadow Planner 15 4 6 5 Parad BCM suite 20 7 7 6 17 5 8 4 Isiman PCA eFront PCA 19 7 5 7 15 6 5 4 ScoreWeb Phenix 11 3 3 5 8 3 3 2 Les éléments qui augmentent la note sont : un code récent ; un environnement de développement récent et moderne ; un modèle des données cohérent ; une modularité des applications ; une base de configuration bien conçue ; un usage général de SGBD. Les éléments qui abaissent la note : une multitude de codes d’origine ancienne ; les environnements web ou PC légers ; des modèles de données divers et se recouvrant ; une conception trop monolithique ; l’absence de base de configuration ; des applicatifs redondants en partie. Pour la modernité du code et en partie pour la solidité des SGBD utilisés, deux outils sortent du lot : PARAD et Isiman-PCA. Pour Shadow Planner le handicap disparaîtra lorsque la nouvelle version sera sortie et stable. L’existence en central d’une base de données de configuration (des moyens techniques, informatiques et des applications) est un point fort des outils PARAD, BCM suite et dans une moindre mesure de Shadow Planner. La modularité et le découpage en serveurs virtuels est un atout d’Isiman-PCA. Copyright The Duquesne Group 2009 Page 46 /62 Outils PCA en France 8 Politique de tarification et de mise en œuvre Les produits sont proposés sous diverses formes et facturés de plusieurs manières. Dans ce type de projets, le coût seul du produit logiciel lui-même n’est qu’une partie plus ou moins importante du coût total de mise en œuvre et d’exploitation. La mise en œuvre concrète -qui comporte beaucoup d’aspects organisationnels demandant une assistance en conseil par exemple- est aussi variable selon les situations et éditeurs. Plutôt que de donner des tarifs ou des prix de catalogue illusoires dans la réalité, nous préférons présenter des scénarios réels d’usage et de mise en œuvre. 8.1 Shadow Planner (Office Shadow) Les principes directeurs de la facturation de l’offre d’Office-Shadow reposent sur : La mise à disposition d’un accès aux modules de la suite Shadow-Planner concernés : o dans le cadre du présent exemple de chiffrage, ont été intégrés les modules de la suite Shadow-Planner Platform, BIA, et BCP (les plus classiques) pour une durée de 3 ans (également possible sur 5 ans). o la suite Shadow-Planner étant modulaire le client peut ainsi prévoir de déployer les modules fonctionnels selon ses besoins et l’avancement de son projet. Le choix du mode d’hébergement retenu : o La formule la plus souvent retenue est l’hébergement externalisé sur les serveurs d’Office-Shadow à Genève. o Une autre solution d’hébergement interne sur les serveurs du client est également envisageable, et est également présentée ci-dessous. Le nombre d’employés dans l’organisation concernée par la configuration ShadowPlanner : o C’est le mode de pricing standard de Shadow-Planner. Ce chiffrage peut être découpé sur la base du nombre de personnes dans l’entité client concernée par la configuration Shadow-Planner (ex Directions centrales – fonctions du Siège). Ce modèle de pricing permet de s’affranchir d’un nombre de connexions définies à la plateforme, et rendre ainsi totalement générique son utilisation. o Un pricing par utilisateur peut également être envisagé à la demande, tel qu’illustré cidessous. Exemple de droits d’utilisation de Shadow-Planner pour une durée de 3 ou 5 ans Mise en place d’une configuration Shadow-Planner sur 3 ans en hébergement externalisé Droits d’utilisation des Modules Shadow-Planner Platform, BCP, BIA, prépayés pour une organisation … de 250 à 500 personnes … de 2000 à 3000 personnes Pour les 3 ans 48.000 € HT 124.000 € HT 255.000 € HT Coût de Maintenance annuel, hébergement, support, et pilotage 4.800 € HT 12.400 € HT 25.500 € HT Copyright The Duquesne Group 2009 … de 10000 à 25000 personnes Page 47 /62 Outils PCA en France Acquisition d’une configuration Shadow-Planner en hébergement interne Modules Shadow-PlannerPlatform, BCP, BIA, pour une organisation … de 250 à 500 personnes … de 2000 à 3000 personnes Acquisition des droits d’utilisation 80.000 € HT 205.000 € HT 425.000 € HT 16.000 € HT 41.000 € HT 85.000 € HT Coût annuel de Maintenance support et … de 10000 à 25000 personnes Maintenance et Support client Dans le cadre d’un hébergement externalisé, la maintenance et le support sont calculés sur la base de 10% de la valeur globale de la configuration logicielle. Dans le cadre d’un hébergement interne, la maintenance et le support sont calculés sur la base de 20% de l’acquisition des droits d’utilisation. Assistance à la mise en œuvre Typiquement, lors de la mise en place d’une solution hébergée chez l’éditeur, il est procédé comme suit : - connexion immédiate à une instance ouverte ; - démarrage avec un pack de service d’accompagnement. Ce pack de service peut comprendre : - un workshop de modélisation ; - une formation générique sur plate-forme, BIA et BCP avec exercices ; - l’élaboration du cahier de spécifications fonctionnelles, processus, perspectives, plan d’actions et impacts… impliquant un référent pour chaque entité concernée ; - le balayage des modules fonctionnels ; - la conduite du changement ; - les aspects « awareness », sensibilisation, quick-start guides, etc. Il existe une Release de correction tous les 6 mois et une version majeure tous les 18 mois. 8.2 PARAD (Groupe Devoteam) Principe : la licence dépend du nombre d'utilisateurs de PARAD et de la taille de l'entreprise (en nombre de collaborateurs) Exemple : -5 users et 2000 collaborateurs : 25 000 EUR - illimitée groupe : 300 000 EUR La maintenance = 18% prix catalogue licence Mode ASP possible en abonnement annuel engagement de trois ans. -5 users et 2000 collaborateurs : 15 000 EUR / an -illimité groupe : 190 000 EUR/an Copyright The Duquesne Group 2009 Page 48 /62 Outils PCA en France Note : en 2008 les nouveaux clients se répartissaient sur les deux modes à 50/50. Mise en œuvre : les points suivants sont à considérer : Installation / paramétrage technique : 1/2 journée à 1 journée d'installation et paramétrage du produit à partir du moment où le socle technique est prêt. Dans certains cas, le client initie une étude d'intégration, plus ou moins poussée et avec plus ou moins d'assistance de la part de Devoteam ; cela reste généralement très léger (quelques jours). Accompagnement fonctionnel : sauf projet majeur (ex : CNAMTS, LA POSTE Courrier, etc.) un accompagnement du client est proposé, entre 5 et 10 jours pour : o la prise en main de PARAD (formation théorique et pratique) o l'assistance sur les bonnes pratiques d'utilisation (gestion des habilitations, normalisation / nomenclature des informations) o l’assistance à la reprise de l'existant. Il arrive aussi que soit vendu un package PARAD + Mission de conseil, dans ce cas le programme d'assistance à PARAD est intégré à un projet plus global. 8.3 Business Continuity Management Suite (Sungard) La suite existe sous plusieurs variantes : ce qui suit concerne LDRPS seul qui est le cœur de la suite. Les modules supplémentaires sont tarifés à part en 2009 avec un tarif dégressif en fonction du nombre de modules. Version Essential : uniquement en ASP 1 à 3 utilisateurs concurrents mais 10 à 30 utilisateurs nommés. En anglais uniquement. Pas de customisation possible. Prix : entre 250 et 300 EUR/mois et utilisateur concurrent, dégressif. Version Professionnal: ASP ou licence perpétuelle De 500 à 600 EUR/mois pour un utilisateur en mode ASP, puis tarif dégressif en fonction du nombre d’utilisateurs (ex : 200 EUR/mois et utilisateur pour 10 au tarif 2008). En licence perpétuelle : 13,5 KEUR pour un utilisateur simultané et 10 nommés ; 47 KEUR pour 10 utilisateurs et 100 nommés. Version Enterprise : Pas de limite en utilisateurs nommés. Tarif à l’utilisateur simultané : En ASP : 870 EUR/mois pour un user simultané ; pour 10 simultanés : 400 EUR/mois et utilisateur. Assistance : Typiquement pour « professional » et « enterprise » : pour une grosse entreprise une semaine d’intervention d’un consultant pour définir les droits et les rôles et décrire dans l’outil les éléments nécessaires. Le client peut exploiter directement ensuite. Copyright The Duquesne Group 2009 Page 49 /62 Outils PCA en France Formation : gratuite en web conferencing ou sur site à Philadelphie Payante si le consultant est sur place chez le client. Remarque : c’est un produit géré en versions avec des mises à jour. Maintenance de 20% sur le prix catalogue licence ; support intégré. Le support de niveau 1 est en français, sur un numéro d’appel disponible 24x7x365. 8.4 Isiman PCA (Keyword) La politique de prix : Le prix d'une solution ISIMAN est élaboré à partir de deux paramètres : les composants métiers nécessaires à la mise en œuvre de la solution fonctionnelle définie par le client, le nombre de personnes qui seront habilitées à participer à la gestion des événements de GRC/PCA, événements tracés pour garantir la conformité. Le mode ASP est proposé, il comprend la ‘location’ de la licence, la maintenance, la location du matériel, les ressources d'exploitation afin d'assurer les services nécessaires pour l’exploitation et la disponibilité de la Solution Client. Le contrat proposé est de deux ans minimum, généralement renouvelables. L’implémentation : Pour une entreprise avec moins de 50 acteurs de GRC/PCA, la mise en œuvre est d'environ 20 jxh en considérant que l'entreprise adopte la solution standard. Pour une entreprise avec moins de 200 acteurs de GRC/PCA, la mise en œuvre peut être comprise dans la fourchette de 50 à 100 jxh. Il est clair que la charge est une charge d'intégration par rapport à l'environnement du client plus qu'une charge de paramétrage ou de développement pour les demandes particulières. Affaires types : petit client deux modules en ASP, 5 utilisateurs : 25 K EUR/ an ; gros client 5000 utilisateurs, hébergé chez lui, licence 250 000 EUR et service associé 50 à 100 000 €. La maintenance : Tarif : 20% de (licence prix catalogue + développement spécifique) ; les services de maintenance comprennent : le débogage, la fourniture des nouvelles versions de la plate-forme technique, la fourniture des évolutions des modèles relationnels (réglementation, normes, besoins du marché…), la hotline et le support fonctionnel Le support : Copyright The Duquesne Group 2009 Page 50 /62 Outils PCA en France Il est inclus dans la maintenance de base, une télémaintenance est optionnelle ; elle inclut l’installation des nouvelles versions de la Solution et de la plate-forme technique. 8.5 E-Front PCA (eFront) La politique de tarification du produit est par module et au nombre d’utilisateurs, soit nommés, soit simultanés. Le niveau de prix moyen est de l’ordre de 120 k€ pour une centaine d’utilisateurs, selon les modules utilisés. Le prix de la maintenance est compris entre 18% et 25% du montant des licences selon le niveau de maintenance souhaité. La solution est proposée aussi bien en Intranet qu’en ASP. Le coût de la mise en œuvre est variable, selon l’expression du besoin exprimé par le client ; dans un projet d’intégration typique cela va de 50 à 150 jours. 8.6 Score Web (Ageris) Le produit est vendu avec une licence d’utilisation par module et un contrat de maintenance et évolution des modules pour tous. Le module est à environ 10 000 EUR. Un module correspond à un ensemble de fonctionnalités en mode ASP sur une base donnée. La maintenance est tarifée à 20% de la licence. Exemple : modules PM et BCM +5 jours de consulting avec maintenance année 1 : 23 000 EUR. Principe d’une licence par pays. La mise en œuvre consiste à reprendre les procédures existantes en les mettant dans la base sans avoir à réécrire l’existant. 8.7 Phenix (BCCM Strategy) L’outil est facturé au nombre d’activités ayant fait l’objet d’une analyse ; le nombre d’utilisateurs n’étant pas limité. Ordre de grandeur : 40 k EUR pour 100 activités. La maintenance est à 15% de tarif de la licence. 8.8 Viappel (Cedralis) Pour cet outil d’alerting, qui est souvent utilisé en complément des produits logiciels décrits précédemment, il s’agit d’un service facturé au volume. Copyright The Duquesne Group 2009 Page 51 /62 Outils PCA en France Le service est proposé sous la forme d’un abonnement annuel qui va dépendre de la volumétrie des numéros à appeler et des appels passés. Le coût purement télécom des appels est en général refacturé à part. Le service est offert en France seulement, où les serveurs résident (Paris et Bordeaux). 8.9 Fact F24 (F24) Dans le domaine de la continuité d’activité, la société F24 propose des prestations hébergées : Alerte et information Conférences téléphoniques Hotline d’information. Les serveurs sont hébergés en Allemagne et dans un autre pays. Les prestations sont modulées en différents niveaux (‘basic’, ‘professional’, ‘premium’, ‘customized’) à prix échelonnés. Les prix sont composés d’une partie fixe et d’une partie variable. Les coûts téléphoniques sont en sus. Des prestations de tests sont aussi proposées et facturées si elles sont de grande ampleur. Le suivi et la mise à jour des bases des numéros et des personnes est aussi possible : des appels et des relances sont générés pour actualiser les bases. Le produit/service bénéficie d’une mise à jour majeure tous les ans. 8.10 Bilan sur la facilité de mise en œuvre En reprenant les considérations précédentes, il est fait l’évaluation suivante dans laquelle la note attribuée sur 10 indique la facilité ou l’importance de la couverture : Mise en œuvre (total sur 30) finition, effort de prise en main rôles, workflow, confidentialité capacité à développer des compléments Shadow Planner 15 5 6 4 Parad 14 6 5 3 BCM suite Isiman PCA eFront PCA 14 4 7 3 18 4 7 7 18 4 8 6 ScoreWeb Phenix 14 7 2 5 13 8 2 3 L’effort de prise en main tient compte de l’investissement nécessaire (en temps et en Euro) pour arriver à une mise en œuvre correcte. Sur ce point, les produits simples, finis ou ‘clés en main’ sont favorisés. Le critère ‘rôle, workflow et confidentialité’ valorise le mieux les outils dotés de ces fonctionnalités par construction comme le sont les outils issus de la GRC. Enfin les développements complémentaires sont plus pratiqués avec les outils semi-finis, cet aspect peut d’ailleurs être vu comme le pendant négatif du premier point. Copyright The Duquesne Group 2009 Page 52 /62 Outils PCA en France 9 Atouts et défis à relever Dans ce chapitre nous présentons les atouts de chacun des produits de gestion de PCA et notons les challenges qu’ils doivent de notre point de vue affronter. 9.1 Shadow Planner (Office Shadow) Les principaux atouts sont : o La richesse fonctionnelle des modules au regard des besoins de continuité d'activité (BIA, Risk Management, BCP, Gestion de crise, Compliance). o La simplicité d’utilisation via son interface Web, multilingue, adaptée à des profils contributeurs en matière de BCP. o La puissance d’adaptation aux besoins des petites et grandes organisations par la notion de perspective (filtres d’analyse sur les données) et workflow par email pour le MCO des dispositifs de continuité d'activité. Les défis que nous voyons : o Le passage à la nouvelle version technologique ne sera pas aisé pour la base installée traditionnelle (non SaaS) et peut s’avérer coûteux pour l’éditeur. o L’accompagnement à la mise en œuvre est important pour la réaliser dans de bons délais : la société en France doit s’enrichir en consultants et partenaires efficaces. o Malgré tout, l’un des meilleurs produits actuels, mais pourra-t-il maintenir son niveau de prix plutôt élevé ? 9.2 PARAD (Groupe Devoteam) Les principaux atouts sont : o Richesse fonctionnelle en opération : un module pilotage (d'exercice, de crise) performant, intégrant une "main courante applicative". o Un outil facile d'accès, simple d'utilisation, structurant : proche du besoin des utilisateurs notamment par l'implication du Club des Utilisateurs de PARAD dans l'évolution du produit. o Structurel : le Groupe Devoteam est moteur dans la croissance de PARAD ; un réseau de commercialisation à travers les filiales présentes dans 25 pays d'Europe, du Moyen-Orient et d'Afrique du nord. o L’utilisation de PARAD par IBM Global Services est une preuve de qualité. Les défis que nous voyons : o PARAD, leader actuellement en France, est attaqué sur deux fronts : sur son terrain par Sungard et sur la périphérie (gestion de risque et gouvernance) par des acteurs comme eFront ou Keyword ; sans mentionner Shadow Planner sur tous les fronts. o Il doit impérativement sortir de France et augmenter ses parts de marché en Europe, ce qu’il a commencé à faire. o Comme ce n’est pas la vocation de Devoteam d’aller vers la GRC, des partenariats avec des éditeurs du monde de la GRC peuvent s’avérer intéressants pour jouer la complémentarité et border son territoire. o La synergie avec une activité de type ‘service de continuité’ ou infogérance mériterait d’être développée. Copyright The Duquesne Group 2009 Page 53 /62 Outils PCA en France 9.3 Business Continuity Management Suite (Sungard) Les principaux atouts : o La facilité pour les utilisateurs de remplir leur partie du PCA, que ce soit la partie métier ou la partie technique. o Le maintien en condition opérationnelle facilité (avec le corollaire de pouvoir rapidement éditer un plan toujours à jour....et ce localement, pour le pays, pour le groupe....) o La gestion automatisée des interdépendances et des ressources. Les défis que nous voyons : o La vision de l’offre Sungard donne l’impression d’un enchevêtrement de produits d’âges et d’origines divers qui se superposent : une clarification est indispensable en français tant sur les fonctionnalités que sur les prix. o LDRPS nécessite une bonne compréhension et oblige à y entrer et gérer un bon nombre de données : ce point peut être vu comme un handicap par les utilisateurs, il faut le montrer comme un point fort et le rendre facile d’accès. o Sungard doit améliorer sa visibilité outil en France ainsi que la synergie avec son entité de services de continuité. 9.4 Isiman PCA (Keyword) Les principaux atouts : o Un référentiel puissant, doté d’un moteur de workflow qui garantit la distribution de la tenue à jour en entreprise. o La combinaison portail, workflow, formulaire. o Une architecture technique échelonnable et standard. Les défis que nous voyons : o Pour les utilisateurs d’ISIMAN il est relativement aisé d’adjoindre des modules PCA, pour les autres, la marche à l’entrée peut sembler haute. o Les modules propres au PCA ne sont pas complètement achevés. o La base de clientèle est trop étroite actuellement, il faut l’élargir. o Le rapport prix/qualité est relativement élevé. 9.5 eFront PCA (eFront) Les principaux atouts : o Une couverture fonctionnelle intéressante, répondant aux besoins d’un client de référence. o Une intégration avec la gestion des risques. o Une plateforme standard et des outils de base réutilisables. Les défis que nous voyons : o Pour les utilisateurs d’eFront GRC, il est relativement aisé d’adjoindre des modules PCA, pour les autres, la marche à l’entrée peut sembler haute. o Le produit doit se stabiliser. o La base de clientèle est trop étroite actuellement, il faut l’élargir. o Le rapport prix/qualité est relativement élevé. o La performance en montée en charge du produit est sujette à caution Copyright The Duquesne Group 2009 Page 54 /62 Outils PCA en France 9.6 Score Web (AGERIS Group) Les principaux atouts : o Pertinence et expérience des consultants dans la gestion de PCA/ Respect des pratiques en vigueur. o Complet et multi domaine : partie IT mais aussi traite des RH, formation, test, procédures sites de repli, besoins en mode dégradé. o Couverture globale du PCA et accessibilité suite à crise. o Bon rapport prix/qualité Les défis que nous voyons : o C’est un outil d’accompagnement de démarche PCA, l’acheteur potentiel ne pense pas encore outil. o L’environnement technique est léger, peut être faut-il le renforcer techniquement. o Les données collectées dans l’outil vieillissent et doivent être gérées avec cohérence : sur la durée cet aspect peut s’avérer très problématique. o L’accès au marché est difficile car Ageris concurrence les consultants qui sont des prescripteurs potentiels. 9.7 Phenix (BCCM Strategy) Les principaux atouts : o Outil orienté PCA Light, simple d’utilisation. o Une gestion du maintien à jour par remontée des incohérences en temps réel. o Une gestion de Crise pragmatique. Les défis que nous voyons : o C’est un outil léger d’accompagnement qui peut être considéré comme ‘jetable’ : avantage ou inconvénient ? o L’éditeur est une petite société de taille insuffisante pour être autre chose qu’un outsider de niche. o Les éléments pris en compte dans l’outil sont limités (pas de support pour l’informatique actuellement). o La base installée est trop faible pour le niveau de prix. 10 Autres outils du marché A titre d’exhaustivité, le tableau suivant liste succinctement d’autres fournisseurs présents sur le marché mondial. Quelques commentaires figurent au tableau. Ces fournisseurs ne sont à priori pas actifs en France ni en Europe pour la plupart d’entre eux. Il est possible toutefois que certains opèrent au Royaume-Uni. On note en particulier le support de la langue française chez certains éditeurs (en particulier Canadiens). Copyright The Duquesne Group 2009 Page 55 /62 Outils PCA en France Produit Active Risk Manager Alive-IT Société Strategic Thought Group idem ? UK USA BA-Pro business assurance NL, Ro BCM Toolbox BCP-kit Youplanit ? BCRP Interactive workflow CRISP technology BCPlanning System BCPlanner RSM McGladrey Boldplanning Australie USA ? canada, sophia outils variés couverture large antipolis F risque, BIA, audit USA web et Microsoft office : assez large Business protector gateway BPSI UK+USA vient de la banque, BS25999, large couverture Continuity2 idem ? UK web+doc, surtout conseil, l'outil semble léger Disaster recovery plan generator Disaster recovery plan USA disaster recovery systems Tamp computer systems USA eBRP toolkit eBRP solutions Canada simples modèles de doc en anglais modèles, base, aide à la structuration, non standard prix prof 2007, multilingue, command center et PCA erLogix idem USA eSecurus nonverba USA ? Front Line Live continuity logic USA Gemini resilience workplace Gemini systems USA IMCD ContingenZ USA système expert ? Incident management et PCA ImpactAware Texonet USA modélise les dépendances (process-asset,…) Mitigator idem Australie ? semble intéressant myCOOP COOP systems USA pragmatique, petits modules, français possible OpsPlanner paradigm Solutions USA QuikPlan Disaster recovery 1 USA BCP2.0 Recovery planner USA Recovery PAC Revive SWORD CSCI linus revive COMIT USA ? Irl ensemble d'outils: planning, notification, pandémie pour PME, pas cher "créer et maintenir un Plan", semble bien pour PME ? vieux ? Cite DOS, gère des priorités IT développer & maintenir un PCA risque, audit, gouvernance, SOX Web Planner Express Waypoint advisory USA application MS sharepoint, large mais vague The planning portal AVALUTION USA MS based ? Souple ? Low-cost ? semble bien couvrir les points Copyright The Duquesne Group 2009 Pays Points forts analyse des risques service de sauvegarde/restauration, help-desk compliance, risk, compare controles et données back-office documentation, formation, exercice semble ancien (an 2000) Une méthode propre… '80% du travail fait' ? prix prof 2008, site pas à jour (2007), lien avec la qualité cite DRII, Itil, BCI ; orienté PRA aide à l'exécution du PRA, alerte ? Mentionne VMWare, SOA Page 56 /62 Outils PCA en France 11 Synthèse en conclusion Cette étude nous a permis de rencontrer des acteurs du marché de la continuité d’activité et de faire un certain nombre de constats. 11.1 Le marché est contrasté La situation du marché des outils de PCA est marquée par plusieurs situations chez les éditeurs : Certains acteurs (PARAD et Sungard) sont présents depuis longtemps et sont très orientés « Plan de reprise » et « secours informatique » ; leurs interlocuteurs naturels en entreprise sont plutôt les informaticiens, ces acteurs ont eux-mêmes une activité de service informatique par ailleurs. Des acteurs venant de la gestion des risques entrent sur ce marché en le considérant comme connexe du leur : Keyword et eFront représentent cette tendance ; leurs interlocuteurs sont plutôt des responsables PCA fonctionnels proches de la direction de la sécurité ou des risques. Enfin, des challengers arrivent avec des produits que l’on peut qualifier d’outil de niche, visant une facilité particulière : simplicité d’usage, aide efficace à la collecte d’informations via le web ; Ageris et dans une moindre mesure BCCM Strategy en sont des exemples. Un acteur semble poursuivre une politique purement centrée sur les aspects du PCA à partir d’une approche de type BCI (Business Continuity Institute) : Office Shadow dont l’unique activité est le PCA au sens large. En termes de niveau de prix, la segmentation suivante est constatée : Des offres d’entrée de gamme (ordre de grandeur 40 k€ à 70 k€ sur un projet type) qui concernent essentiellement les challengers que sont Ageris et BCCM Strategy ; Des offres haut de gamme (de l’ordre 150 k€ à 250 k€) dans lesquelles se situent tous les autres éditeurs. Le marché nous semble en croissance, sans que nous puissions le chiffrer. 11.2 Des outils différents L’analyse qui précède a permis de distinguer les différences entre les outils : en termes de fonctionnalités liées au PCA ; sur les aspects des technologies et de l’implémentation de l’outil ; sur le support de la gouvernance. Le schéma suivant récapitule la situation des outils de catégorie 1 : Copyright The Duquesne Group 2009 Page 57 /62 Outils PCA en France fonctionnel PCA 8 6 4 2 0 gouvernance PCA technique outil Shadow Parad Sungard L’offre de Sungard sort en tête sur les aspects fonctionnels du PCA, mais cela se fait au prix d’ajouts de modules divers. PARAD de Devoteam défend sa position sur les aspects fonctionnels PCA et ressort en tête sur les aspects techniques. Ce produit ne couvre pas –volontairement- les aspects de gouvernance au sens où nous l’entendons. Shadow-Planner a une excellente couverture des aspects risques et gouvernance et se positionne bien sur les aspects fonctionnels et techniques. C’est lui qui a la plus grande surface de couverture sur l’ensemble de ces trois aspects. Il ne nous a pas été possible de repérer des différences significatives en termes de prix entre ces trois acteurs. Les manières de facturer (à l’utilisateur, à l’objet géré, à la taille de l’entreprise) diffèrent et peuvent introduire des biais. La portion « projet de mise en œuvre » quant à elle semble plus élevée avec Shadow Planner qu’avec PARAD. Sungard présentant une situation intermédiaire. Il faudrait pour comparer plus finement disposer d’une métrique de coût qui n’existe pas. En ce qui concerne les outils de catégorie 2, la vision est différente ; les aspects fonctionnels sont moins bien couverts que par les outils de catégorie 1: eFront et Keyword ressortent en tête dans les aspects de gouvernance qui sont effectivement, par construction, les points forts de ces outils. En ce qui concerne le critère ‘technique et implémentation’ le classement met en avant Keyword principalement et eFront à nouveau. Copyright The Duquesne Group 2009 Page 58 /62 Outils PCA en France L’outil d’Ageris et le produit Phenix (surtout) sont clairement dans une catégorie d’entrée de gamme, il est important de noter que le prix de ces produits est effectivement beaucoup plus faible, à proportion. fonctionnel PCA 8,0 6,0 4,0 2,0 0,0 gouvernance PCA eFront 11.3 technique outil Keyword Ageris Phenix La maturité des acteurs Un point particulièrement sensible par rapport à d’autres secteurs de marché est celui de la maturité des acteurs. On trouve en effet : Des éditeurs établis ayant une forte base installée et pour lesquels l’activité logicielle est un complément pour une activité de service principalement : Devoteam et Sungard. La pérennité de ces sociétés et de l’activité PCA en leur sein est la meilleure. Des éditeurs ayant fait leur preuve et jouissant d’une base installée en France dans le domaine de la gestion des risques où leurs produits font autorité : eFront et Keyword. Ces éditeurs élargissent leur champ d’action vers le PCA où ils sont relativement novices et possèdent très peu de références. L’activité PCA des ces éditeurs peut fort bien s’avérer très marginale, voire marquer le pas ; il faut suivre l’évolution de la base installée des modules PCA de ces outils. Le risque est toutefois atténué par le fait que ces éditeurs ne sont pas mono-produit PCA. Un éditeur spécifique très mature en termes de culture de PCA – très teinté britannique, ce qui dans ce cas est positif– Office Shadow qui est le seul «pure player» d’importance. De petits challengers qui existent avec leurs activités de conseil qu’ils assortissent d’outils facilitateurs. La pérennité de ces outils n’est pas assurée mais l’importance de la disparition de ces outils est probablement moins grave. Copyright The Duquesne Group 2009 Page 59 /62 Outils PCA en France Il n’est pas exclu que des acteurs américains décident de devenir actifs en Europe et en France en particulier. Cela peut concerner des éditeurs qui possèdent déjà le français comme langue de travail (Canada) et comptent des groupes français dans leurs clients. 11.4 La situation spécifique du client Bien entendu, il est indispensable dans le choix d’un outil de prendre pleinement en compte la situation spécifique de l’entreprise utilisatrice, en particulier son degré d’avancement dans l’élaboration de son PCA. Les aspects suivants sont à considérer : Si l’entreprise veut construire progressivement son plan et se laisser guider par un outil structurant, PARAD de Devoteam et la suite BCM de Sungard sont appropriés. Ces deux outils exigent la saisie d’informations à gérer dans un environnement rigoureux. Si l’entreprise possède une structure complexe et des plans de continuité divers, des outils comme Isiman de Keyword ou eFront PCA d’eFront permettent de consolider une vision de PCA centrale. Ces outils permettront de reprendre de la documentation existante tout en laissant leur gestion là où elle est, entre les mains des responsables en place. Une situation intermédiaire est représentée par Shadow Planner, qui est sous certains aspects plutôt structurant tout en laissant des degrés de liberté. Ce produit d’un côté structure, d’un autre côté laisse des degrés de liberté judicieux. Il représente un compromis tout à fait intéressant. Si l’entreprise veut aborder la continuité d’activité avec des approches légères ou progressives, en demandant à des responsables opérationnels de progressivement renseigner leurs exigences dans un outil, alors les outils d’Ageris (et en entrée de gamme le ‘light PCA’ Phenix de BCCM Strategy) sont adaptés. Une montée en puissance avec ces outils pourra en revanche s’avérer problématique, surtout avec l’outil Phenix. En termes de prix, il est clair que les remarques précédentes se reflètent à la fois dans les coûts de licence et dans les efforts de mise en œuvre. Plus globalement, un des grands enseignements de notre étude est que dans ce marché il n’y a pas une hiérarchie absolue allant de « bon » à « mauvais ». Chaque outil présente ses apports et ses avantages et la bonne question est : « quel outil est le mieux placé pour répondre à la problématique PCA spécifique de mon entreprise ? » Il serait intéressant de garder un œil sur l’évolution de ce marché pour voir si ces conclusions se confirment. Copyright The Duquesne Group 2009 Page 60 /62 Outils PCA en France Copyright The Duquesne Group 2009 Page 61 /62 Outils PCA en France THE DUQUESNE GROUP 32 avenue Duquesne 75007 Paris www.duquesnegroup.com sarl au capital de 35.400 € RCS Paris 494 571 730 The Duquesne Group, Duquesne Research, The Duquesne Institute, Tous droits réservés, Copyright 2009 Copyright The Duquesne Group 2009 Page 62 /62