Continuité d`activité

Transcription

Outils PCA en France
Analyse comparative d’outils d’aide aux Plans de
Continuité d’Activité
Une étude Duquesne Research
Septembre 2009
Table des matières
1 Introduction ........................................................................................................................ 5
1.1
Une brève histoire du PCA ............................................................................................................. 5
1.2
Vers un besoin d’outil ..................................................................................................................... 6
1.3
La méthode employée dans cette étude ............................................................................................... 6
2 Un domaine complexe à étudier ........................................................................................ 6
2.1
Cadrage du domaine étudié .............................................................................................................. 7
2.2
Questionnaire et ajustement ............................................................................................................. 7
2.3
Une couverture variable par les outils ............................................................................................... 8
2.4
Le paysage des acteurs ..................................................................................................................... 9
3 Classification des produits ............................................................................................... 10
3.1
La catégorie 1 ............................................................................................................................... 10
3.2
La catégorie 2 ............................................................................................................................... 11
3.3
La catégorie 3 ............................................................................................................................... 11
4 Profils des sociétés ........................................................................................................... 12
4.1
Office Shadow (Shadow Planner) .................................................................................................. 12
4.2
Groupe DEVOTEAM (PARAD) .......................................................................................... 12
4.3
Sungard (Business Continuity Management suite ‘BCM’) ............................................................ 13
4.4
Keyword (Isiman PCA) ................................................................................................................ 13
4.5
eFront (eFront PCA) ................................................................................................................... 14
4.6
AGERIS GROUP (Score Web) ................................................................................................ 16
4.7
BCCM Strategy (Phenix) ............................................................................................................. 17
4.8
Cedralis (Viappel outil d’alerting) ................................................................................................. 17
4.9
F24 (Fact 24 outil d’alerting) ....................................................................................................... 17
5 Comparaison synoptique résumée des outils .................................................................. 19
5.1
Domaines couverts......................................................................................................................... 19
5.2
Positionnement sur les axes d’évaluation PCA .............................................................................. 20
5.3
Positionnement sur les axes d’évaluation Risques-Gouvernance ....................................................... 21
6 Comparaison détaillée des outils ..................................................................................... 22
6.1
Comparaison détaillée des outils de catégorie 1................................................................................ 22
6.2
Comparaison détaillée des outils de catégorie 2................................................................................ 31
6.3
Comparaison des outils d’alerte...................................................................................................... 39
Copyright The Duquesne Group 2009
Page 2 /62
7 Caractéristiques techniques des produits ........................................................................ 42
7.1
Shadow Planner (Office Shadow) .................................................................................................. 42
7.2
PARAD (Groupe Devoteam) ...................................................................................................... 42
7.3
Business Continuity Management Suite (Sungard) ......................................................................... 43
7.4
Isiman PCA (Keyword) ................................................................................................................ 43
7.5
Efront PCA (eFront) ................................................................................................................... 44
7.6
Score Web (Ageris) ....................................................................................................................... 44
7.7
Phenix (BCCM Strategy) ............................................................................................................. 45
7.8
Viappel (Cedralis) ........................................................................................................................ 46
7.9
Fact F24 (F24) ........................................................................................................................... 46
7.10
Bilan sur les aspects techniques ...................................................................................................... 46
8 Politique de tarification et de mise en œuvre .................................................................. 47
8.1
8.2
8.3
8.4
8.5
E-Front PCA (eFront) ................................................................................................................ 51
8.6
Score Web (Ageris) ....................................................................................................................... 51
8.7
8.8
Viappel (Cedralis) ........................................................................................................................ 51
8.9
Fact F24 (F24) ........................................................................................................................... 52
8.10
Bilan sur la facilité de mise en œuvre .............................................................................................. 52
9 Atouts et défis à relever .................................................................................................... 53
9.1
9.2
9.3
9.4
9.5
eFront PCA (eFront) ................................................................................................................... 54
9.6
Score Web (AGERIS Group) ..................................................................................................... 55
9.7
10 Autres outils du marché .................................................................................................. 55
11 Synthèse en conclusion ................................................................................................... 57
11.1
Le marché est contrasté .................................................................................................................. 57
11.2
Des outils différents ....................................................................................................................... 57
Page 3 /62
11.3
La maturité des acteurs ................................................................................................................. 59
11.4
La situation spécifique du client ..................................................................................................... 60
Page 4 /62
1 Introduction
Le sujet ‘continuité d’activité’ est complexe et se prête à des approches variables. La réalité en
entreprise est contrastée : certaines ont bien identifié le sujet et se sont dotées de RPCA, d’autres
voient cela comme un sous-thème de la sécurité. D’autres encore –dans le monde bancaire en
particulier- préfèrent une approche plus intégrée avec la gestion de l’ensemble des risques
opérationnels.
Depuis environ deux ans toutefois, le sujet en France vient sur le devant de la scène en tant que
tel : les entreprises (et les grandes organisations) cherchent à se rendre plus résilientes face aux
sinistres et à pouvoir rétablir au mieux leurs activités jugées critiques.
1.1
Une brève histoire du PCA
Il est possible schématiquement de distinguer trois vagues successives de mise en place d’actions
de « continuité d’activité » dans l’entreprise :

La première vague que l’on peut caractériser par les mots « gestion de crise » : une
Direction générale met en place un dispositif minimal pour pouvoir prendre des décisions
en cas de coup dur. Cela ne concerne pratiquement pas les opérationnels et reste
confidentiel. Les quelques outils utilisés servent à lancer l’alerte ou gérer des listes de
contacts.

La vague « PRA, plan de secours informatique », etc. arrive ensuite : elle concerne à
l’inverse les opérationnels, qui cherchent à pallier une perte ou une destruction. Cette
approche est tournée vers les moyens, qui sont assez souvent vus comme monolithiques
(un centre, un mainframe, toutes les applications) avec des solutions plus techniques
qu’organisationnelles. Des investissements parfois coûteux sont consentis lors de cette
deuxième vague.

Enfin, la vague « Gestion de la Continuité » actuelle qui commence à bien s’implanter en
France. Souvent initiée par des réglementations, elle apporte comme nouveauté principale
une préoccupation portant sur les activités critiques de l’entreprise : il convient de les
déterminer et de les rendre plus résilientes. Elle donne un rôle essentiel aux « business
owners » ou responsables d’activité métier. La nomination d’un RPCA est souvent la
caractéristique de cette vague.
Ces trois vagues sont encore présentes à des degrés divers en entreprise et y ont laissé leurs
sédiments plus ou moins épais et superposés. La première vague a laissé le culte du secret et de
l’échange des numéros de téléphones privés des dirigeants, la seconde a fait réaliser des
investissements technologiques pour la continuité des moyens (mais pour quoi faire en fait ?) et la
dernière enfin, replace au centre de la scène ce qui aurait toujours dû y être : les activités critiques.
Page 5 /62
1.2
Vers un besoin d’outil
Les RPCA ou plus généralement les responsables en charge de la continuité d’activité dans
l’entreprise héritent donc d’une situation complexe où des solutions techniques très diverses
cohabitent avec une documentation abondante (fichiers divers, papiers, tableaux Excel en grand
nombre).
Tout cet ensemble pose des problèmes :
-
de cohérence, car ces documents évoluent indépendamment les uns des autres ;
de tenue à jour ou de « maintien en condition opérationnelle » ;
de vieillissement : que faire des documents au bout d’un certain temps ?
potentiellement de gestion de versions, de nature diverses et variées ;
de responsabilité : les rôles ne sont pas clairement attribués sur les différents éléments de
documentation ;
de contrôle : qui a fait quoi ? qui doit faire quoi sur la documentation ?
d’exécution : où trouver ce dont on a besoin ?
Le besoin de recourir à un outil se fait alors sentir autant pour mener la démarche d’élaboration
de PCA que pour le tenir à jour, le tester et aider à l’exécution éventuelle.
C’est pour cela que bon nombre d’entreprises ayant eu des démarches PCA avec une approche
traditionnelle peu outillée réfléchissent actuellement à l’acquisition d’outils dans ce domaine.
Une étude sur ce sujet s’impose donc.
1.3
La méthode employée dans cette étude
Nous avons d’abord défini le périmètre de l’étude : pour cela nous avons utilisé ce qui se pratique
couramment pour le PCA, en commençant suffisamment en amont (analyse des risques) et en
allant assez loin en aval (les tests) de manière à couvrir largement le sujet.
En nous appuyant sur l’ouvrage « Management de la Continuité d’activité » d’Emmanuel Besluau
aux éditions Eyrolles, nous avons élaboré un questionnaire de 134 points qui balaient le spectre
considéré. Le lecteur pourra se référer à cet ouvrage pour avoir plus de précisions.
Sur la période allant de mars à juin 2009, les réponses aux questions ont été collectées, discutées
et évaluées par Duquesne Research. Les notes attribuées tiennent compte de l’opinion des
analystes. Cette analyse s’appuie donc sur les discussions avec les éditeurs, sur des démonstrations
interactives ainsi que sur les connaissances des analystes. Elle a parfois été corroborée par des
entretiens avec des utilisateurs choisis par Duquesne Research.
Les détails de cette analyse sont présentés plus loin.
2 Un domaine complexe à étudier
Cette étude vise à faire le point sur les outils d’aide à la création, gestion et exécution de plans de
continuité d’activité. Le périmètre cerné nécessite d’être précisément défini. Le domaine de la
Page 6 /62
continuité d’activité est en effet très vaste et les outils pouvant prétendre à figurer dans cette
catégorie à un titre ou à un autre, sont potentiellement multiples.
2.1
Cadrage du domaine étudié
Pour avoir une couverture assez large mais suffisamment précise du domaine nous avons décidé
de retenir les sept aspects principaux de la continuité d’activité qui correspondent à la pratique
couramment rencontrée.
Le domaine de la continuité d’activité considéré dans cette étude recouvre les sept points listés cidessous.
Les aspects d’anticipation, de création du Plan, couvrant :
1. La maîtrise des risques : plus précisément l’analyse portant sur les risques de sinistres
impactant les activités de l’entreprise, suivi de plan d’actions de mise sous contrôle ;
2. Le bilan de l’impact sur les activités (ou BIA : business impact analysis) qui consiste
essentiellement à déterminer dans l’entreprise les processus dont la perte est la plus
dommageable et à en lister les diverses contraintes de continuité ou de reprise ;
3. La stratégie de continuité : consiste à choisir parmi les options possibles celles que l’on veut
mettre en œuvre en cas de sinistre.
Ces trois points sont des sujets d’étude d’une part, de décision et de plan d’actions suivis d’autre
part. Ils se situent dans un cycle long et ne sont pas contraints par les événements.
Il n’en va pas de même avec les points suivants qui concernent la survenance du sinistre et la
mise en place préparatoire des actions à faire et qui sont donc très soumis aux aléas et sous
contrainte de temps ; c’est le cœur du PCA :
4. La définition des groupes, missions et responsables : pour constituer à l’avance des groupes
dotés d’objectifs orientés, de profils de compétences et de divers moyens ; mais aussi
pour lancer les alertes ;
5. Le planning de reprise d’activité : pour fournir aux groupes ci-dessus des listes-guides
d’actions à faire avec des éléments de dimensionnement de la charge et d’explication de
contexte.
Enfin, il est important d’inclure dans le périmètre les deux points suivants qui permettent
d’inscrire les actions de continuité dans la durée et de les maintenir sous contrôle :
6. Les tests des plans de continuité : définition des campagnes de tests et suivi des réalisations
et décisions ;
7. La gouvernance de la continuité avec les indispensables outils d’auto-évaluation et d’audit.
L’ensemble de ces points a fait l’objet de questionnaires ciblés qui furent soumis à divers éditeurs
de logiciel.
2.2
Questionnaire et ajustement
Se référant à l’ouvrage « management de la Continuité d’activité » (Éditions Eyrolles) des listes de
questions ont été fabriquées et envoyées aux éditeurs.
Le tableau ci-dessous indique la répartition des 134 questions selon les sept points
mentionnés plus haut :
Page 7 /62
Maîtrise des risques
17
6
4
5
2
Appréciation du risque
Evaluation des options face au risque
Prise de décision
Documentation de l'analyse
Bilan de l'impact sur les Activités
16
5
5
4
2
Déterminer les activités critiques
Déterminer les configurations
Déterminer les paramètres de reprise
Elaborer la stratégie de continuité
16
3
3
2
3
3
2
Expression des besoins de reprise
Etude des options de reprise
Confrontation options/exigences métiers
Etude de coût/faisabilité
Choix, décision, documentation
PCA : Missions & responsables
18
5
8
5
Cadrage
Le centre de gestion de crise
Missions, équipes & responsabilités
PCA : Le planning
25
10
4
4
7
Définition des étapes
Définition des livrables
Affectations des groupes
Aide à l'exécution
Tests
28
6
9
5
8
Cadrage des tests
Plan de tests
Exécution des tests
Bilan des tests
Gouvernance
14
3
4
5
2
Référentiels
Questionnaires
Suivi
En cours d’analyse, nous avons alors constaté les deux phénomènes suivants :
 La documentation est omni-présente et les fonctions de type workflow documentaire
sont intéressantes à regarder en tant que telles.
 La plupart des utilisateurs disent coupler leurs outils à des systèmes de lancement
d’alertes, dits ‘alerting’.
Nous avons donc ajouté ces deux points pour aboutir à un schéma d’urbanisme applicatif
complet tel que présenté ci-dessous :
Gouvernance
Business
Impact
Analysis
Groupes, missions,
responsables
Maitrise
des risques
Tests
Stratégie
de
continuité
Planning de reprise
d’activité
Alerting
Workflow documentaire
Les fournisseurs occupent plus ou moins de cases avec plus ou moins de profondeur.
2.3
Une couverture variable par les outils
Étant donné les caractéristiques du domaine décrit ci-dessus, il ne faut pas s’attendre à ce qu’un
outil du marché couvre tous les points à la fois. En effet :
Page 8 /62



Les trois premiers points du domaine étudié (maîtrise des risques, BIA et stratégie)
nécessitent des fonctions de partage d’informations, de conservation de documents de
référence, de reporting et d’escalade. On trouvera dans cette catégorie plutôt des outils de
workflow et de gestion de documents ou de contenus adaptés au domaine de la
continuité.
Les points liés aux groupes et plans de crise à dérouler seront les domaines d’utilisation
d’outils de lancement d’alertes, de planning avec suivi d’exécution, de main courante, de
gestion de configuration de moyens informatiques par exemple.
Enfin les aspects de tests et de gouvernance seront demandeurs d’outils de workflow, de
formulaires configurables, d’accès à des sous-ensembles de plans, de facilité à réaliser des
rapports, par exemple.
La continuité d’activité est donc typiquement un domaine où l’on trouvera soit des produits isolés
(« best of breed ») ne couvrant pas tous les points soit un assemblage de produits plus ou moins
couplés (suite logicielle) ayant vocation à couvrir tous les aspects au prix de compromis
éventuellement. On trouvera donc plusieurs situations d’offres :



des suites de modules divers offerts par un même éditeur qui a lui-même constitué son
offre par des rachats spécifiques, la suite d’outils de Sungard autour de LDRPS est un bon
exemple de ce cas ;
des « produits ponctuels » particulièrement ciblés sur une partie centrale du spectre à
couvrir, ces produits sont souvent couplables à d’autres produits ponctuels eux-aussi :
PARAD de Devoteam est un exemple de produit centré sur des moyens et l’informatique
et couplable avec un produit comme F24 par exemple pour l’alerte ;
enfin des produits centrés sur une technologie de type workflow ou gestion de contenu
qui joue un rôle central et sur laquelle différents applicatifs s’appuient ; ces produits sont
souvent utilisés pour la gestion des risques et s’étendent vers la gestion des PCA. On peut
citer les outils des sociétés Keyword et eFront dans cette catégorie.
Si l’on considère le schéma suivant présentant le paysage d’ensemble du domaine, on constatera
que les fournisseurs couvrent plus ou moins de cases avec plus ou moins de profondeur.
2.4
Le paysage des acteurs
En ce qui concerne les sociétés qui proposent des outils de gestion de la continuité d’activité en
entreprise, il est important de faire plusieurs distinctions.
D’abord, on constate deux natures d’acteurs :


des éditeurs de logiciel ou plus exactement des sociétés qui ont une activité d’édition de
logiciel identifiée comme telle au sein d’une structure plus large : souvent l’outil
développé représente un investissement fort en interne et repose sur une base
technologique traditionnelle (type base de données, Java, C, .Net, …) ;
des sociétés de conseil qui, pour leurs propres besoins ou pour assister leurs missions en
clientèle, ont progressivement élaboré des outils sur le thème de la continuité : ce sont en
général des outils de type formulaire de saisie ou collecte d’information via le web en
technologie assez légère (Excel au début, puis accès web en PHP).
Page 9 /62
On constate souvent que les éditeurs proposent des licences traditionnelles alors que les sociétés
de conseil pratiquent la forme SaaS (software as a service) qui leur permet d’éviter d’avoir à gérer
des copies et des versions installées chez les clients.
Une autre distinction est à faire en ce qui concerne le passé des acteurs considérés. On trouve en
effet :
 les sociétés qui ont un passé et des compétences développées dans la gestion de
continuité qui constitue un de leur pôles principaux (comme Devoteam ou Sungard) ;

les sociétés qui ont des compétences dans des domaines voisins de la continuité et
finissent par la traiter vraiment : la gestion de risques par exemple est une compétence à
partir de laquelle la continuité et les aspects de gouvernance peuvent être abordés.
Keyword
(Isiman PCA)
eFront
(eFront PCA)
Ageris
(Score Web)
BCCM Strategy
(Phenix)
Editeur
Oui
Oui
Non
Non
Base installée outils PCA
1
1
une dizaine
1 ou 2
Présence et compétence
PCA établie
Non
Non
Oui
Oui
Base installée hors outils
PCA
Oui
Oui
Non
Non
Compétence hors PCA
Oui
Oui
Non
Non
Profil culturel
Gestion Documentaire
Culture GRC
Conformité
Continuité d'activité
Consultant
Enfin, il est important de noter une différence qui va se traduire par des coûts de mise en œuvre
très variables, selon la nature et le degré de finition du produit fourni au client :
 certains outils sont bien délimités, achevés, paramétrables et s’installent en quelques
heures avec peu d’assistance ;
 d’autres outils plus récents, en cours de finalisation vont nécessiter des dizaines de jours x
hommes en réalisation et développements complémentaires, suivis de tests divers avant
réception définitive.
Il faut noter aussi que l’adaptation des produits au contexte du client peut se faire de deux
manières : par paramétrage ou par des adaptations plus ou moins complexes du code. Cette
distinction n’est pas neutre en termes de coût.
3 Classification des produits
Les produits analysés ont été regroupés en catégories en tenant compte de l’importance du
marché installé et de la nature de l’outil.
3.1
La catégorie 1
Cette catégorie regroupe les outils qui sont des produits existant sur le marché depuis plus de
3 ans et dont la base installée est importante.
Page 10 /62
On classe dans cette catégorie :
 Shadow Planner de la Société Office Shadow,
 PARAD de la Société Devoteam,
 La suite Business Continuity Management de la Société Sungard qui est rattachée
à cette catégorie car ce produit, bien que peu présent en France, est le leader mondial
du domaine.
3.2
La catégorie 2
Dans cette catégorie sont classés des outils plus récents, qui sont des extensions ou des
évolutions de logiciels présents antérieurement dans des domaines connexes et venant
désormais sur le segment de la gestion de PCA.
Selon leur origine, on peut distinguer deux situations :
 Les outils de type gestion documentaire ou GRC (gouvernance, risque, conformité)
qui élargissent leur champ à la prise en compte de PCA.
Il s’agit principalement de Isiman PCA de la société Keyword et d’eFront PCA de la
société eFront.

3.3
Des outils émanant de sociétés de conseil ou de service du domaine de la continuité
d’activité qui depuis peu améliorent un outillage adapté à l’origine au support de leur
activité.
Dans cette catégorie se trouvent des sociétés comme AGERIS avec le logiciel Score
Web, et BCCM Strategy avec le logiciel Phenix.
La catégorie 3
Nous mettons dans cette catégorie les produits d’alerting, c'est-à-dire les outils qui permettent
de déclencher les alertes en générant des appels ou l’envoi de messages par plusieurs moyens.
En effet, il nous a semblé utile de faire figurer ces outils dans cette étude, car ils représentent
souvent un complément utile aux autres produits et sont souvent mentionnés par les
utilisateurs. Sont considérés dans l’étude :
 Viappel de la Société Cedralis,
 Fact 24 de la Société F24,
On peut noter que la société Sungard propose un outil d’alerte : Notifind que nous
n’étudions pas.
Les trois catégories ainsi présentées font l’objet chacune d’une analyse plus détaillée dans ce
qui suit.
Page 11 /62
4 Profils des sociétés
Dans ce chapitre nous présentons succinctement des chiffres clés sur les sociétés étudiées.
4.1
Office Shadow (Shadow Planner)
La société fut créée en 2001 par deux entrepreneurs britanniques. La structure française fut lancée
en 2005 à Paris.
CA H.T. £ (consolidé)
CA H.T.
Résultat £
Effectif du Groupe
année 2008
3.150 M£
~3.8 M
51.000 £
67
année 2007
2.100 M£
~2.500 M
77.000 £
60
année 2006
2,355 M£
~3 M
186.000 £
51
Répartition % CA lié à l’outil :
65% licences
15% maintenance et hébergement
20% services
Références : Environ 180 dans le Monde parmi lesquelles on peut citer:
Boeing, Pfizer, Sanofi Aventis, Groupe Caisse d’Épargne, Groupe Société Générale, PMU,
Harrods, Euronext, BP, Réunica, DHL, Givaudan, Putnam Investment, Lloyds TSB,
Cortal Consors, Sony, Visa, Avon, Royal Sun Alliance, NHS (hôpitaux au Royaume Uni),
Rothschild, Computer Associates…
En France les plus gros clients cités sont la Société Générale (env. 20 000 licences) et le groupe
Caisse d’Épargne (pouvant aller à 50 000 utilisateurs).
4.2
Groupe DEVOTEAM (PARAD)
Historiquement, on peut rappeler que la spécialisation en produit de Continuité d’activité était,
dès 1992, le fait de la société TTA (Théron, Tête et Associés) devenue XP-Conseil et qui fut
rachetée par Devoteam.
CA 2008 toute activité : 460 Millions d’Euros.
Effectifs au 01/03/2009 : 5 000 personnes
Résultats Net sur 3 ans :
2008 : 19,2 M Euros
2007 : 19,5 M Euros
2006 : 16 M Euros
CA en France lié à l'outil : 620.000 Euros
Références : Une centaine (liste non exhaustive), dont :
Page 12 /62
Groupe Crédit-Mutuel–CIC, CEDICAM, FORTIS Banque, HSBC France, Crédit
Immobilier de France, Dexia, Société Générale Private Banque, Lombard Odier Darier
Hentsch & Cie, BMCE Bank, CNP Assurances, COFACE, MAIF, Caisse d'Épargne Ile de
France, Banque Privée Edmond de Rothschild, AXA Tech, Assurance Maladie
(CNAMTS), Assurance Vieillesse (CNAV), AUCHAN, Bouygues Télécom, Air Liquide,
Servier-Praxis, Laboratoires ROCHE, NORAUTO International, MEDITEL, Ministère
des Finances de Belgique, CMA-CGM, Kernéos.
4.3
Sungard (Business Continuity Management suite ‘BCM’)
Le Groupe Sungard réalise un Chiffre d’Affaires de 5,6 milliards de dollar US pour 2008, et n’est
pas coté en Bourse.
La partie disponibilité « availability » du groupe réalise : 1,6 Mds US$ avec 2500 employés dans 12
pays (dont 117 en France pour 600 clients). Le chiffre d’affaires « produit logiciel » représente
environ 2,5% de ce chiffre.
La société est aussi présente en Europe au Royaume-Uni, Danemark, Luxembourg, Suède,
Norvège et Belgique.
Sungard compte 2800 références actives sous maintenance de ses produits dans le monde.
La suite de produits logiciels BCM de Sungard doit beaucoup au rachat de la société Strohl en
2008 qui était le leader mondial du marché. L’ancien produit de Sungard (Paragon) est abandonné
et ne compte pas d’installation significative en France.
Sungard dispose de modules présents et installés sur le marché et mène des développements
assez importants qui vont progressivement enrichir son offre. Seuls les produits disponibles en
France au 1/6/2009 sont analysés dans cette étude.
Il est important de noter dans ce type de situation qu’il existe des recouvrements possibles entre
d’anciens produits et les nouveaux.
Quelques références : Alcan Packaging, Calyon US, BNP-Paribas monde, Mercedes-Benz,
Fedex, Aviva, ING, AIG, Arab Bank, Novartis.
Ces références sont des sociétés mondiales avec une présence en France.
La société Sungard France, autrefois inactive en termes de vente de progiciel de ce type,
commercialise désormais activement le portefeuille de la BCM suite. Il faut s’attendre à ce que le
marché se développe en France pour ce type d’outils.
4.4
Keyword (Isiman PCA)
Cette société a débuté depuis plus de vingt ans avec des logiciels d’analyse de code et de
documentation de type manuel utilisateur et technique. La philosophie de base qui consiste à
associer un document à un responsable chargé de le tenir à jour –avec des workflows de
validation- est particulièrement bien adaptée au PCA que l’on peut effectivement considérer
comme un ensemble de documents avec des responsables tenus de les gérer.
Page 13 /62
Ce n’est donc pas un hasard si après être passée à la gestion des risques (outil de GRC) la société
Keyword aborde depuis quelques mois le PCA. L’activité purement PCA de Keyword est récente,
elle est en cours de construction par des extensions à partir des solutions existantes.
CA, effectifs et résultats :
CA
Résultats
Effectifs
2006
1, 751 M EUR
6,5 k EUR
23
2007
1,917 M EUR
3,4 k EUR
25
L’activité est à 100% sur les produits logiciels de la famille ISIMAN dont ISIMAN PCA fait
partie. La société demeure rentable tout en investissant dans des développements et extensions
adaptés à la demande des clients.
L’assistance à maîtrise d’ouvrage des projets est assurée par des cabinets spécialisés, partenaires
de Keyword, maîtrisant l’utilisation des Solutions ISIMAN ainsi que les organisations et
méthodes de travail à mettre en regard de ce type de projets.
Les références (sélection) :
Pour les outils ISIMAN Performance :
Banque de Gestion Edmond de Rothschild (Monaco), Banque Libano-Française (Liban), BNP
Paribas, Caisses d'Épargne, Crédit Agricole (28 Caisses Régionales, APIS, ATICA, SCT Mer), Crédit
Mutuel, Federal Finance, Groupama SA , GSIT (BANQUE DE FRANCE), HSBC, LCL,
MAMDA – MCMA (Maroc), Société Générale.
La Poste (l’Enseigne), AGIRC-ARRCO, École Polytechnique de Lausanne (Suisse), IRP Auto,
Institut de Radioprotection et de Sûreté Nucléaire, Office National Eau Potable (Maroc),
ONERA, OPAC Val d'Oise, Préfecture de la Région Midi-Pyrénées (SGAR), RATP Centre Bus,
UNEDIC/ASSEDIC/CSIA, SI2M-MEDERIC et Malakoff.
AlliedSignal Turbo (Brésil, France, Irlande), Arc International, AREVA (Framatome ANP,
Technicatome), BIMO (Maroc), Cegelec, COSUMAR (Maroc), EM Technologies, Lafarge –
Plâtres, LVMH Vins et Spiritueux - MHIS Moët & Chandon, MAÏSADOUR, Parisot Meubles,
Thales-PROTAC, ROLEX (Suisse), Rowenta, Saint-Gobain Canalisation, SEB, SNIM
(Mauritanie).
Carlson Wagonlit Travel (Groupe, France), CARREFOUR (France), CARREFOUR Thalès (30
pays), FNAC, GL Events, MONOPRIX, OPERA (Centrale d'achat CASINO-CORA-MATCH)
SA HLM (Foyer Angoulême, Castors Angevins, IDF Habitat), Shiseido Europe
Pour les extensions de l’outil ISIMAN au PCA : Le groupe Crédit Agricole (en particulier le GIE
Synergie qui joue un rôle de spécification fonctionnelle important).
4.5
eFront (eFront PCA)
A sa création en 1999, le premier objectif d’eFront était de créer une architecture technique et des
outils de développement pour gérer la nouvelle génération de services que représentait l'ASP
(application service provider) à l’époque. Cela s’était traduit par le développement d’une plateforme technique (Frontware) sur laquelle il était possible de développer des services rapidement.
Page 14 /62
L’ASP n’ayant pas réussi à s’imposer sur le marché, eFront s’est repositionné et aujourd’hui est
spécialisé dans l'édition et la commercialisation de solutions logicielles destinées principalement
aux secteurs de la finance et de l'assurance. L'activité du Private Equity est particulièrement visée
par eFront où il s’est développé avec succès.
Dans le domaine de la gestion des risques, le produit d’ eFront a été choisi par certains réseaux
bancaires français pour gérer les risques opérationnels.
Par ailleurs, le progiciel s'est enrichi de nouvelles fonctionnalités dans le domaine du contrôle
permanent et des plans de continuité d'activité, qui constituent une extension naturelle des offres.
Sur les années 2007-2008, eFront a investi significativement pour mieux couvrir le marché en
Europe et au Moyen Orient, à travers des recrutements et une organisation adaptée.
La société a aussi augmenté significativement ses dépenses de recherche et développement afin
d’accompagner cette évolution en faisant évoluer ses produits entre autre pour mieux couvrir les
aspects de contrôle permanent, de gestion de risque et du PCA.
Cela se reflète dans l'accroissement (plus de 40%) de l'effectif moyen en 2007 et la mise en place
progressive de moyens capables de soutenir les objectifs de croissance.
Tous ces investissements et dépenses se traduisent par des pertes sur l’exercice 2008.
CA sur 3 ans :
2008 : 14 millions Euros
2007 : 12 millions Euros
2006 : 9,5 millions Euros
Effectifs 2008 : 132
Résultats sur 3 ans :
2008 : (1,37 M Euros)
2007 : 1,7 M Euros
2006 : 2,7 M Euros
Pourcentage du CA lié à l'outil : Non disponible
Références :
Pour les modules eFront (hors PCA, orientés gestion de risques) :
Plus de 20 références dont La Banque de France, La Banque Postale, La Société Générale,
BNPP.
Pour les modules eFront-PCA : Les Banques Populaires.
Le produit eFront-PCA a été développé en relation étroite avec un client particulier : les Banques
Populaires. Après avoir développé une méthode pour la prise en compte de la continuité
d’activité en son sein, les Banques Populaires ont fait développer par eFront un produit
répondant aux besoins complexes de ce grand compte. La consolidation à l’échelle du Groupe
était la préoccupation principale qui se retrouve dans l’outil.
Page 15 /62
Le produit est actuellement dans une phase de validation interne. C’est la volonté d’eFront de le
commercialiser à d’autres utilisateurs sur le marché.
La stratégie d’eFront est d’offrir une suite logicielle FrontGRC, modulaire et intégrant les
problématiques Risques Opérationnels, Contrôle Permanent, Audit et gestion des PCA au dessus
d’un référentiel intégré de gouvernance offrant une vision unifiée de ces différentes initiatives.
4.6
AGERIS GROUP (Score Web)
Créé en 2003, Ageris Consulting est un cabinet de conseil spécialisé dans la gestion des risques.
De taille humaine, la société est située à Metz et occupe principalement le marché grand Est
(Alsace, Lorraine, Luxembourg, Belgique), avec des missions ou des partenariats sur la France
entière.
L’activité principale d’origine est le management de la sécurité des SI au niveau tactique et
opérationnel. Ageris Consulting s’appuie sur les compétences d’ingénieurs consultants spécialistes
en sécurité des SI. Dans le cas où la société n’a pas les ressources en interne, un réseau de
compétences pluridisciplinaires est mis en place grâce à des partenariats professionnels en France
ou à l’étranger.
L’activité s’est progressivement élargie à la prise en compte des PCA, suivant en cela l’évolution
du marché. Une entité « software » ainsi qu’une autre « training » consacrée à la formation sont
apparues pour traiter spécifiquement ces aspects complémentaires du conseil.
La société avait progressivement développé des outils logiciels (sous Excel) et constitué ainsi la
panoplie du consultant sous le nom générique « Score ». Souhaitant en élargir l’usage et permettre
une appropriation facile par les clients, la société est en train de porter ces logiciels en
environnement web. Elle a obtenu un financement par l’Oseo Anvar.
Les outils de cette société se déclinent désormais en deux gammes :
- Compliance (conformité) : constitution de questionnaires, réalisation de diagnostics avec
un moteur générique, puis production de rapports.
- PDCA (pour le cycle d’amélioration continue ‘plan, do, check, act’) : management, cercle
d’amélioration continue avec un module Process Management de description de
l’entreprise, de ses actifs, contrats, annuaires etc.
Cette société est un représentant type des cabinets de conseil ayant évolué sur le marché des
outils en ligne en complément de ses activités.
CA sur trois ans :
2008 : 700 K Euros
2007 : 320 K Euros
2006 : 300 K Euros
Effectifs : 14 en 2008
Répartition du CA lié à l’outil : <20%
Références :
France : Ethypharm, Bonduelle, Les Eaux du Nord.
Suisse : UBP, Banque Pictet, LODH.
Page 16 /62
Bénélux : Degroof.
Maroc : CDG, CMM,Sofac, Maroc leasing.
4.7
BCCM Strategy (Phenix)
Cette petite société figure malgré tout dans cette étude, car elle représente une approche assez
originale de la problématique du PCA « allégé » et facile à mettre en œuvre. De ce point de vue,
elle peut tenir un rôle de challenger sur un segment du marché.
De plus, la référence citée est prestigieuse.
CA sur 3 ans :
2008 : 220 K Euros
2007 : 50 K Euros
2006 : 160 K Euros
Effectif : 1,5 à 2
Pourcentage du CA lié à l'outil en 2008 : 20 %
Nombre de référence : 1
Référence : AXA Gie
4.8
Cedralis (Viappel outil d’alerting)
Ayant développé des outils divers pour la gestion et le déclanchement des alertes, cette société est
mentionnée ici à ce titre.
CA 2008 : 1 M Euros.
Effectif : 6 personnes.
Pourcentage du CA lié à l’outil : 90%
Nombre de références :
Plus de 250 références (Services de l'État, Préfectures, Conseils Généraux, Communes de
50 à 450 000 habitants, SDIS, Entreprises SEVESO, Banques, Hôpitaux, Grands Groupes
du CAC 40, etc.)
4.9
F24 (Fact 24 outil d’alerting)
Ayant développé des outils divers pour la gestion et le déclanchement des alertes, cette société est
mentionnée ici à ce titre.
CA 2008 (non consolidé) : 2,12 M Euro.
Effectif : 23 personnes.
Page 17 /62
Résultat : Déficit conformément au business plan annoncé.
La société F24 affirme être solide financièrement compte tenu de ses fonds propres. La
société est en phase de développement à l’international suite à une levée de capitaux.
L’équilibre est prévu pour 2009.
Pourcentage du CA lié à l’outil : 88%.
Nombre de références : + de 300 aujourd’hui.
Page 18 /62
5 Comparaison synoptique résumée des outils
A partir des données collectées dans les questionnaires, nous comparons par catégorie les
produits dans les domaines qu’ils couvrent.
Ce chapitre donne une vision rapide et synthétique des résultats qui sont détaillés plus loin au
chapitre 6.
5.1
Domaines couverts
Une note de 0 à 5 a été attribuée à chaque réponse. La note 0 correspond à une absence de
couverture du domaine indiqué dans le questionnaire, la note 5 pour une couverture qui nous
semble la meilleure raisonnablement possible.
La mention « hors périmètre » signifie que l’outil n’obtient aucune note dans un domaine qu’il
n’ambitionne pas de couvrir. Nous avons par ailleurs exclu les outils de catégorie 3 (alerting) de
ce tableau ; produits complémentaires, ils n’ont pas vocation de traiter les points ci-dessous.
Catégorie 1
Prise de décision
Choix, décision, documentation
Cadrage
PCA : Le planning
Tests
Cadrage des tests
Plan de tests
Bilan des tests
Gouvernance
Référentiels
Questionnaires
Suivi
Catégorie 2
Shadow
Planner
Parad
BCM Suite
Isiman PCA
eFront PCA
Score Web
Phenix
16
Hors périm
13
15
16
2
Hors périm
4
4
4
4
Hors périm
Hors périm
Hors périm
Hors périm
4
2
3
4
4
4
3
4
4
4
4
4
2
0
0
0
Hors périm
Hors périm
Hors périm
Hors périm
16
12
17
16
17
14
14
5
4
3
4
1
4
3
4
5
4
4
4
4
5
3
4
4
4
5
4
4
4
4
2
4
3
3
4
13
7
17
6
7
6
3
2
2
2
1
2
4
3
0
3
0
1
0
3
4
4
2
1
3
2
1
0
2
0
1
4
0
0
0
0
3
3
1
1
0
1
0
3
0
0
0
0
0
10
11
12
8
7
10
9
4
3
3
4
3
4
3
5
4
3
3
2
2
3
2
4
3
3
1
4
4
9
15
17
4
10
6
9
2
3
2
2
4
3
5
3
4
4
5
4
2
0
1
1
3
2
3
2
3
2
1
0
2
0
4
3
11
15
13
7
14
12
9
3
2
3
3
3
4
4
4
4
2
4
3
2
2
0
3
3
4
3
4
3
4
3
2
3
2
3
1
16
14
10
5
4
4
4
4
4
4
3
3
4
4
2
0
3
2
0
0
14
3
4
3
4
Hors périm Hors périm
Hors périm
Hors périm
Hors périm
Hors périm
Hors périm
Hors périm
Hors périm
Hors périm
Page 19 /62
5.2
Positionnement sur les axes d’évaluation PCA
Nous avons retenu comme axes pour les schémas radars ci-dessous, les cinq points « cœur de
métier » du PCA traditionnel (cf § 2.1) pour lesquels tous les produits sont pertinents, à savoir :
 L’analyse d’impact BIA
 La définition d’une stratégie
 PCA : missions et responsables
 PCA : le planning
 Les tests du PCA
Les notes ont par ailleurs été normées (tous les axes sont ramenés à une note sur 10).
Outils de catégorie 1 :
BIA
10
8
6
Tests
4
2
Stratégie
Shadow
Parad
0
Sungard
PCA Planning
PCA : missions
On note principalement :
 que les aspects « stratégie du PCA » sont les moins bien traités en général, ce qui n’est pas
trop surprenant car cela reflète le fait que ces aspects sont étudiés avant la réalisation du
PCA ou ailleurs (dans des entités en charge des moyens généraux ou de l’informatique par
exemple) ;
 que les axes « PCA missions », « PCA planning » et « tests » sont les points forts des outils
les plus « pragmatiques » à savoir LDRPS de Sungard et PARAD de Devoteam ;
 que l’outil Shadow Planner d’Office Shadow couvre aussi la maîtrise des risques et la
gouvernance qui ne figurent pas sur ce schéma.
Outils de catégorie 2 :
Le schéma suivant présente les trois outils de catégorie 2, les remarques sont les suivantes :
Page 20 /62



comme pour la catégorie 1, la « stratégie » est l’axe le moins bien couvert, pour les
mêmes raisons que plus haut ;
venant de l’amont (la gestion des risques) ces trois outils ne sont pas encore
complètement descendus vers l’aval (l’opérationnel du PCA) et donc leur prise en charge
des plannings et des missions est plus légère ;
par construction, ces outils vont chercher l’information là où elle se trouve et ne
l’intègrent pas en leur sein ; cela explique aussi que les aspects « missions » et surtout
« plannings » soient plus légers car ils sont juste indiqués par l’outil et gérés à l’extérieur.
BIA
Tests
10
8
6
4
2
0
Stratégie
eFront
Keyword
Ageris
Phenix
PCA Planning
5.3
PCA : missions
Positionnement sur les axes d’évaluation Risques-Gouvernance
Si l’on considère en revanche les outils qui se positionnent le plus en amont sur l’élaboration du
PCA, et qui donc partent de l’analyse des risques tout en intégrant des aspects de gouvernance,
nous retenons quatre outils.
Ces quatre outils, pertinents dans ce domaine, ont été positionnés dans un schéma comparatif :
Page 21 /62
18
16
14
12
10
Gouvernance
8
Risques
6
4
2
0
Shadow
Sungard
eFront
Keyword
Il est normal de voir aux premières places les outils de GRC adaptés au PCA : Keyword et
eFront. Il est remarquable d’y trouver très bien placé, aussi Shadow Planner qui, suivant en cela
les normes du BCI britannique, accorde de la place à ces aspects.
On note que Sungard prépare un module « compliance scorecard » pour les aspects de
gouvernance du PCA. Cela ne pourra qu’améliorer sa note sur le schéma.
Shadow Planner est le seul outil à figurer en bonne place dans tous les schémas.
6 Comparaison détaillée des outils
Ce chapitre présente l’analyse qui a été menée au niveau du détail.
6.1
Comparaison détaillée des outils de catégorie 1
Les résultats des séances de questions et réponses sont commentés ci-dessous à l’aide des
questionnaires. Le plan général est suivi.
6.1.1 L’analyse des risques de l’entreprise sur la continuité
Page 22 /62
Que permet l'outil
Shadow Planner
Identification des menaces
Vision sur les actifs de la société
Conséquences sur les actifs de la société
Chiffrage des probabilités
Parad
BCM Suite
Oui
Oui par intégration avec le module
Shadow-Planner BIA
Permet l'étude des risques et de leur
impact sur les ressources de
l'organisation
Oui selon une matrice d'aversion
(probabilité/impact)
Calcul du risque
Oui
Visions par compartiments ?
Oui si modélisé a priori
Oui (via la BIA)
Oui
Oui
Oui
Oui (possibilité de personnalisation
de Crystal reports pour calculer les
risques)
Idem
Les options possibles
Développement de scénarios de
réduction des riques
Le chiffrage coût-efficacité
Oui via la gestion de projet de
réduction des risques
L'aversion au risque, matrice des risques
Oui, au travers de la politique de
risques définie par organisation
Le dossier d'étude des risques
Oui online, offline et archivages
Pour l'éditeur, ces
questions concernent
les solutions de GRC,
qui correspondent à
une autre gamme de
logiciels différente,
mais complémentaire,
des outils de gestion
de PCA
Non
Oui (possibilité de personnalisation
de Crystal reports pour calculer les
risques)
Non
Non
Prise de décision
Ré-évaluation des options
Oui
Non
calcul de coût, CURR
Oui
Non, ou personnaliser
Documentation de l'ensemble
Oui
Oui
Mise en œuvre des options : plans
Oui par intégration avec le module
BCP de Shadow-Planner
via le module BCP de ShadowPlanner
Suivi et contrôle des plans d'actions
Non mais dans LDRPS
Non
Outil de conservation de la documentation produite
Outil de workflow possible
Oui archivage et partage au sein de
bibliothèques
Oui avec validation et notion de
responsable de document
Oui
Oui (Guide pour le BIA)
Ce tableau montre que le positionnement des produits est différent :



Shadow Planner cherche à couvrir l’ensemble des aspects du domaine de la maîtrise de risque.
PARAD est volontairement orienté PCA et considère que l’étude des risques n’est pas
demandée par ses utilisateurs et se trouve donc en dehors de son champ.
BCM suite permet de traiter l’appréciation du risque et de documenter l’analyse. Il est moins
complet que Shadow Planner en ce qui concerne les options possibles et la prise de décision.
Sungard nous a annoncé qu’il disposerait d’un produit BCM suite plus complet au 3T09. Ce
produit n’a pas été analysé.
6.1.2 L’analyse d’impact sur l’activité (BIA : Business Impact Analysis)
Cette analyse est depuis toujours considérée comme étant le cœur de la problématique de la
continuité d’activité. Il n’est pas étonnant de constater que les trois outils couvrent l’ensemble des
activités du domaine du BIA.
Page 23 /62
Que permet l'outil
Shadow Planner
Parad
BCM Suite
Identifier et décrire les activités
Estimer les impacts financiers
Estimer les impacts opérationnels
Estimer d'autres impacts
Lister les activités critiques
Oui avec toutes les
ressources qui les
caractérisent
Oui par entité concernée
dans le cadre de la politique
BIA définie
Oui
Oui
Naturellement
Non
Oui BIA Professionnal 4.0
comporte 41 questions
standard et des questions
personnalisables
Oui
MTD : Maximum Tolerable Downtime
Oui
hiérarchiser les priorités
Oui, avec gestion du profil
de reprise paramétrable
description des systèmes informatiques
Oui, et de toutes les
ressources souhaitées et
nécessaires, de façon
manuelle ou par intégration
avec les outils en place sur
le site client
description des applications informatiques
Oui, id
description des autres ressources
Oui, technologiques,
immobilières, mobilières,
humaines….aucune
contrainte à ce niveau.
Oui
Oui
personnalisables
Recovery Time Objective et Work Recovery Time
ajustement avec le MTD
RPO
procédures de secours nécessaires
Outil de conservation de la documentation
produite
Oui par calcul automatique
ou forcé
Oui
Oui par calcul automatique
ou forcé
Oui, par intégration au
module BCP de ShadowPlanner
Oui archivage et partage au
sein de bibliothèques
Oui avec relance pour mise
à jour des dispositifs
Oui
Non
Oui
personnalisables
Oui
Oui
Oui
Oui / Non
Oui
Shadow-Planner dispose d’une bonne couverture des préoccupations de BIA et prend en compte
un bon nombre d’éléments sous-jacents aux processus critiques.
PARAD se concentre sur les processus critiques, dont il permet la liste. Il se conforme ainsi à sa
vocation première qui est de se focaliser sur la reprise d’activité. Sa description des systèmes
informatiques avec une base de données très orientée ‘opérationnel’ est un point fort.
Pour les outils de Sungard, il faut dans cette étape de BIA, recourir à un module (‘BIA
professional’). Cela renforce l’impression d’assemblage d’outils d’origines diverses.
Page 24 /62
6.1.3 L’élaboration d’une stratégie de continuité
Cet aspect est le moins bien couvert par tous les outils. Il faut dire qu’il correspond dans
l’entreprise à la mise en place de la stratégie de continuité, mise en place qui la plupart du temps a
déjà été faite quand l’entreprise pense à se doter d’outils.
Shadow Planner arrive à couvrir le sujet en laissant l’utilisateur définir et remplir des champs
libres, ce qui est le minimum de mise en œuvre possible, il apparaît ainsi comme plus large en
couverture fonctionnelle.
PARAD se réduit à la prise en compte de l’expression de besoins de reprise à des fins
d’exécution. Il ne permet ni étude des options de reprise, ni études de coût, ni enfin la
documentation de l’analyse. L’argument donné est que ce type de fonctionnalité n’est pas attendu
de la part des clients de son marché.
BCM suite de Sungard est également assez complet et couvre toutes les rubriques de la stratégie
de continuité à l’exception de la description des options.
Que permet l'outil
Shadow Planner
Parad
Les exigences des processus critiques
Décrits par essence même
au sein du module BIA
Oui (Module
référentiel)
Les besoins en termes IT, locaux, bureaux,
données,…
Intégré à la description des
processus au sein du BIA
Oui (Besoins en
position de travail)
Catégories couvertes, classements possibles
Oui
Non
BCM Suite
Oui définies avec le plan
dans LDPRS
Catégorie des options possibles
Support à la discussion
Décrire les options envisagées
Selon scénarios et
déclencheurs retenus
Oui champs commentaires
libres
Si nécessaire
Non
Non
Non
Oui définies avec le
dictionnaire dans LDPRS
Oui définies avec le plan
dans LDPRS
Comparaison aux exigences et sélection
Oui (A l'aide du
module plan de
secours)
Non
Critères d'évaluation
Chiffrage des options
Sélection d'options
Non
Non
Non
Oui Champ additionnel
personnalisable
Non
Non
Non
Oui ( Documents de
référence)
Non
Délais d'activation des options
En zone de caractères libre
Par scénarios
Oui
Oui
Non
Choix, Décision, Documentation
Documentation des choix, des exclusions
Champs commentaires
libres
id
Conservation
Par archivage pdf
Description des options retenues
Non
produite
Oui archivage et partage au
sein de bibliothèques
Non
Les PDFs publiés peuvent
être archivés dans le
système aussi longtemps
que souhaité.
Outil de workflow possible ?
Oui avec relance pour mise
à jour des dispositifs
Non
Les flux peuvent être
visualisés à travers
l'utilitaire "Dependency
Mapping" au sein de l'outil
Page 25 /62
6.1.4 PCA : définition des missions et des responsables
Ce lot fonctionnel constitue le centre névralgique de la définition du dispositif à mettre en place
pour la reprise.
Que permet l'outil
Shadow Planner
Cadrage
Gravité des sinistres
Par scénarios
Périmètres et exclusions
Totalement paramétrable
Contexte du Plan
Adapté à une situation donnée
Structure du Plan
Basée sur les notions de
déclencheurs, d'actions, de
responsables et de procédures à
appliques
Planning des tâches
Parad
BCM Suite
Oui
Oui
Défini avec le plan
dans LDRPS.
Oui
Oui avec durée des tâches
attendues exprimée si nécessaire
Aide à la mise en place
Oui
Oui
Gestion de configuration du Centre
Non
Oui
Listes de contacts
Oui par sélection des membres de
la cellule de crise
Oui
Outils virtuels (téléconférence, …)
Exécuter/rendre compte : suivi d'avancement
Communication entrante
Communication sortante
Tableaux d'affichage (web ? autre ?)
Groupe de crise : définition de missions
Groupes de redémarrage métiers : définition de
missions
Groupes récupération technique et opérationnelle
: définition de missions
Non
Par renseignement d'une main
courante de type 'modèle de
procédure'
Via le portail Internet ShadowPlanner
Par utilisation d'outils de
notification si nécessaire
Oui, standard Shadow-Planner
Oui avec autant de profils que
souhaité
Non
Oui dans Incident
Manager
Oui
Non
Non
Non
Oui
Oui dans LDRPS
Aide à la constitution des groupes
Oui par drag & drop de contacts
vers les groupes souhaités
Maintien à jour de la constitution des groupes
Oui avec relance pour mise à jour
Oui
On note une bonne couverture générale avec des différences toutefois :
 PARAD est sur son domaine de prédilection et il est doté d’une base de configuration
efficace ;
 Shadow-Planner ne possède pas de descriptif technique de type ‘base de
configuration ’
 BCM suite (de Sungard) oblige à recourir à un module supplémentaire (Incident
Manager) qui est proche de l’opérationnel courant de type ‘gestion d’incident’.
Page 26 /62
6.1.5 Le PCA : la planification des activités de reprise
C’est le plan que l’on exécute en cas de sinistre, nous sommes là au cœur du sujet.
PCA : Le planning
Que permet l'outil
Shadow Planner
Parad
BCM Suite
structures libres ou forcées ?
Libres
Structure pré-établie
Oui
évaluation des charges
Non
Evaluation du temps
nécessaire à une action
Oui
Oui : Module référentiel
Oui
Oui : Module référentiel
Oui
Oui Activités, locaux,
ressources, applications,
servitudes, liaisons
télécom, intervenants,
équipes.
Oui
partition selon les sites
partition selon les métiers
Oui via les "Perspectives ShadowPlanner"
autre partition ? (RH, IT, locaux, données,…)
plans types fournis ?
Non: Fonctionnalité de
Oui dans des bibliothèques types construction de plans types
par les clients
Oui
diagramme de Gantt ?
dans le cadre du module Incident
Management de Shadow-Planner
Oui : Diagramme de Gantt
du plan et diagramme du
scénario en cours
Oui peut être inclus
fiches de tâche fournies ?
Oui mais formalisation à définir
Non : modèles de fiches
de tâches paramétrable
Oui
lien avec les configurations ?
Oui mais formalisation à définir
versions et apprentissage
Oui
Oui : Document de
référence
Non
Oui
Oui
modèles types fournis ?
Reports au format pdf
Non/Oui : Possibilité de
créer des modéles de
plans
Oui
aide à la réalisation ?
Oui par sélection des zones de
reports à générer
Oui (assistance incluse à
l'achat du logiciel)
Oui
workflow ?
Oui
Non
Oui
Archivage, versioning et
horodatage des reports...
Oui (Livrables présents
dans le module Plans de
secours)
Oui
Oui si référentiel ainsi conçu et
renseigné
Oui : (Affectation des
actions aux intervenants
selon les rôles)
Oui
Oui
Oui
Oui
Oui
Oui
Oui
traçabilité des livrables ?
assistance à l'affectation
aide à la recherche de profils
maintien en état
notion de back-up(s) des compétences
Oui si référentiel ainsi conçu et
renseigné
Oui par import d'une base de
contacts
Oui sur chaque profil si nécessaire
déclenchement
Oui
rappels
constitution des groupes
Oui
Oui
Oui par main courante si
nécessaire
traçabilité des interventions
accès aux contrats de sous-traitance ?
suivi des coûts
alternatives, absences gérées
Référentiel d'annexes à structurer
Oui Module pilotage
Avec l'aide d'Incident
Manager
Non
Oui
Oui dans Incident Manager
Oui Documents de
référence
Non
Non
Oui (LDRPS)
Non
Oui
Page 27 /62
Les trois produits sur ces points ont une bonne couverture, on notera comme différences :
 PARAD est complet et structurant -probablement plus structurant que les autres- ce
qui peut s’avérer un point fort chez certains utilisateurs, un défaut chez d’autres.
 Shadow-Planner : est très ouvert, on peut modéliser ce que l’on veut, mais il faut
savoir ce que l’on veut ; à l’inverse d’autres outils structurants, cette liberté peut
s’avérer problématique chez certains utilisateurs qui passeront beaucoup de temps à
élaborer leur plan ;
 BCM suite, là encore, oblige pour tout couvrir à recourir en plus au module Incident
Manager. En termes de paramétrage et d’options, c’est probablement l’outil le plus
fourni, mais au prix d’un assemblage.
6.1.6 Les tests du plan de continuité
Un plan de continuité doit être régulièrement testé pour rester ancré dans la réalité et permettre
aussi aux utilisateurs de se l’approprier.
Page 28 /62
Tests
Que permet l'outil
Shadow Planner
Parad
BCM Suite
description des objectifs
Champs libres à disposition pour
renseigner les tests si besoin
Non
Via un écran de LDRPS ou
Incident Manager (un
nouveau module est
prévu)
méthode des tests (check-list, sur table, réel, …)
Check-list
Non
Oui avec LDPRS
Cadrage des tests
moyens d'annonce
préparation à partir du plan réel
gestion de configuration de test
gestion des contraintes
Portail, email, notification en
masse si en place
Oui
Oui par perspective
Oui si zone additionnelle incluse
dans les assets
Oui
Oui
Oui Incident Manager ou
Notifind
Non
Oui
Non
Non
Non
Plan de tests
revue des tests antérieurs (sélections possibles)
Oui car ceux-ci sont archivés.
Oui Archivage des
anciens exercices et
sinistres
description des objectifs des tests
Champs libres à disposition
Non
Oui par personnalisation de
LDRPS
délimitation d'un sous-ensemble à tester
Selon les besoins
Oui : Définition des
actions à réaliser lors de
l'exercice
Non
aide pour la logistique
Oui si prévu
Oui : Action à
renseigner et à dérouler
lors de l'exercice
Non
production du plan pour le test (fiches ?)
Non
Oui : Définition des
actions à réaliser lors de
l'exercice
Non
sélection de fiches sur critères ?
Non
Non
revue des risques liés au tests
gestion des RH
Non
Oui si prévu dans fiche contacts
Oui si contacts invités à se
connecter à Shadow-Planner
Non
Oui
Oui par personnalisation de
LDRPS
Non
Non
Oui
Non
gestion prestataires et observateurs
"cellule de crise" du test
documentation accessible ?
outil de reporting ?
suivi des coûts
aide à la documentation du test
Non
Oui
Oui par main courante et "modèle
de procédure" avec champs à
renseigner'
Non
Oui par "modèle de procédure"
avec champs à renseigner
Oui. Incident Manager
Oui.
Oui, Module Pilotage
Oui. Incident Manager
Non
Non
Oui
Bilan des tests
conservation des fiches
conservation des résultats des tests
comparaison avec tests précédents
sélections possibles (qui a fait quoi, etc.)
Oui
Oui
Non automatique
Non automatique
=>compte rendu de
tests
Oui
Oui
Non
Oui
plans d'actions
Oui par extraction
Oui Module pilotage =>
Affectation des tâches
Non
suivi des coûts
Non
Non
Non
outil de workflow
Oui Les incidents sont
répertoriés
automatiquement dans
une table de tâches de
des dispositifs
MCO et notifiés par mail
aux personnes
concernées
Non
Page 29 /62
Les outils possèdent de manière plus ou moins élaborée un mode simulation permettant de
dérouler des portions de plan et d’en évaluer le comportement. On note :
 Le plus complet sur ces points est PARAD qui permet de réajuster suite à des tests
des points du plan qui sont détectés comme améliorables et de suivre des actions
d’amélioration.
 Chez Sungard, la ‘collecte des points à corriger’ n’est pas encore automatisée et le sera
en fin 2009 avec « test & exercise tracking » que nous n’avons pas évalué.
 Shadow planner : avec ses axes d’analyse fondamentaux comme «organisation»,
«géographie», «scénario» ou «phase» peut permettre des études de scénarios avec des
perspectives diverses.
6.1.7 La gouvernance du plan de continuité
Il s’agit de définir une référence de bonnes pratiques et de s’assurer que les opérationnels s’y
conforment ou s’en rapprochent.
Gouvernance
Que permet l'outil
Shadow Planner
Parad
Oui
Oui
Oui au sein d'informations de
référence
Non
Oui
Oui
Oui
Oui
Oui
Non
Non
Non
Non
Non
Non
Non
collecte des preuves
Oui
Oui
Oui
Par relation avec le module BCP
de Shadow-Planner
Oui conservation
produite
produite
Oui archivage et partage au sein
de bibliothèques
des dispositifs
Référentiels
structure selon normes
cycle PDCA
expression d'une politique DG
Questionnaires
génération de questions
soumission pour les réponses
pondérations
historisation
Suivi
revue des réponses
pondérations
rapports variés
plans d'actions
BCM Suite
Non
Hors Périmètre
actuellement
Non
Non
Non
Non
Là encore on distingue les écarts habituels entre produits :
 Shadow-Planner se comporte bien avec ses questionnaires inspirés de normes et son
reporting assez puissant.
 Sungard dispose simplement dans BCM suite de formulaires d’auto-évaluation
conformes à la BS25999-2 mais annonce un module «compliance scorecard» à venir
en 2010.
 PARAD est sur ce point en dehors de son champ d’action, volontairement.
Page 30 /62
6.2
Comparaison détaillée des outils de catégorie 2
Pour rappel, les outils de catégorie 2 proviennent soit d’éditeurs du monde de la GRC (Gestion
de Risque et Conformité), soit de cabinets de conseil.
6.2.1 Maîtrise des risques de l’entreprise
Que permet l'outil
Isiman PCA
eFront PCA
Score Web
Oui en documentation
Modification du modèle
de la base si on veut une
liaison entre menace et
identification du risque
Oui: L'outil permet
d'identifier les risques
associés aux processus
Oui
Phenix
Identification des menaces
Oui : Certains actifs sont
gérés dans le module
FrontBCP : applications,
serveur, site
Oui
Oui : Notion de probabilité
sur les risques
Vision sur les actifs de la société
Oui en documentation
Non
Conséquences sur les actifs de la société
Oui
Chiffrage des probabilités
Oui
Calcul du risque
Identification des risques
et cotation
Oui
Oui
Visions par compartiments ?
Oui pour les risques
Oui : FrontReport permet
d'établir des rapports
Non
Oui
Oui : FrontGRC permet de
définir le dispositif de
maitrise des risques :
contrôle, plan d'actions et
assurance
Non
Oui
Les options possibles
Le chiffrage coût-efficacité
L'aversion au risque, matrice des risques
Le dossier d'étude des risques
Oui (sont à formaliser et
structurer certaines
formules coût efficacité
Oui (Cotation de la
synthèse, matrice)
Oui
Non
Hors périmètre
Oui
Oui : FrontReport permet
de produire des rapports à
partir de l'ensemble des
données du risque
Prise de décision
Ré-évaluation des options
Non
calcul de coût, CURR
Documentation de l'ensemble
Non
Oui
Mise en œuvre des options : plans
Oui
Suivi et contrôle des plans d'actions
Oui
Oui : Les évaluations de
risques sont historisées
Oui avec FrontReport
Oui
Oui : FrontGRC permet la
définition des plans
d'actions
Oui : FrontGRC permet le
suivi des plans d'actions
PHENIX est destiné à
être utilisé
principalement dans la
gestion de crise.
Pour ce faire les
efforts ont porté sur
la simplicité
d'utilisation, la rapidité
d'exécution
afin d'en obtenir la
meilleur efficacité lors
d'une crise.
Phenix ne gère pas le
risque.
Hors périmètre
Outil de conservation de la documentation produite
Oui
Oui : FrontDoc est le
module de gestion
éléctronique de la suite
logicielle FrontGRC
Oui
Oui : FrontGRC est livré
avec un moteur de
workflow interne, disponible
sur l'ensemble des objets
fonctionnels (processus,
risque, …)
Hors périmètre
Page 31 /62
Clairement les outils de GRC sont dans leur domaine, les outils de consultants, quant à eux,
voient surtout l’aspect « évaluation » ou « audit flash de la situation » ; cela se traduit dans les
notations. eFront et Isiman font ici quasiment jeu égal devant les autres, ils couvrent tout le
spectre de la gestion de risque liée au PCA.
De par leur origine GRC, les outils d’e-Front et de Keyword (Isiman) ont en gestion de risque de
meilleurs résultats que les outils de catégorie 1.
Ageris se cantonne à des évaluations par les managers ou les opérationnels eux-mêmes, suivies
d’avis émis par les consultants. L’outil Ageris d’analyse des risques : le module Mehari en Excel
dans « score risk management » sera redéveloppé en mode Web.
BCCM Strategy avec son outil Phenix, se situe de lui-même hors périmètre, indiquant là son
orientation opérationnelle dans la gestion de crise.
6.2.2 Bilan de l’impact sur les activités (BIA)
Sur ces points, les outils se rapprochent sensiblement, on note toutefois :
 eFront-PCA couvre bien un certain nombre d’aspects, mais l’éditeur mentionne des
modules complémentaires (FrontBPM, FrontDoc) dont l’acquisition et l’intégration
sont alors à prévoir.
 Isiman-PCA est plus contrasté, la description des paramètres de reprise des activités
peut être améliorée.
Ces deux outils disposent en natif de fonctions de gestion de documentation et de workflow qui
sont mises à profit ici. Par ailleurs :


Ageris Score Web dispose d’une base interne mySQL en version web uniquement
pour le module process management.
Score Web doit améliorer la documentation de l’analyse.
Ces outils se comparent somme toute assez bien avec ceux de la catégorie 1.
Page 32 /62
Que permet l'outil
Isiman PCA
eFront PCA
Score Web
Phenix
L'outil permet la cartographie
des processus et des
Oui : l'utilisateur crée ses critères
activités. Le module
d'impact et pour chaque processus
FrontBPM permet d'y associer détermine gravité et montant
une représentation graphique
Identifier et décrire les activités
Oui Cartographie
de processus
Estimer les impacts financiers
Oui en
documentation
Oui
Oui
Oui : D'autre impacts
tel que image,
reglementaire,
juridique sont ajoutés
Estimer les impacts opérationnels
0
Oui
Oui
Oui
Estimer d'autres impacts
0
Oui
Oui
Lister les activités critiques
Oui
Oui
Oui
Oui codifié selon
la norme des
banques
Oui
Oui : gestion par processus et par
actif, avec Délai Maximum
d'Interruption Admissible et Perte de
données maximale admissible
Oui
Oui, customisation
possible sur demande
Oui
MTD : Maximum Tolerable Downtime
hiérarchiser les priorités
description des systèmes informatiques
description des applications informatiques
description des autres ressources
Oui
Oui
Oui
Oui ressources
localisées et non
localisées
(réseaux)
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Recovery Time Objective et Work Recovery Time
Oui
Oui
ajustement avec le MTD
Non
Oui
RPO
Oui
Oui
procédures de secours nécessaires
Non
Oui
Oui : Plan de Secours Informatique,
possibilité d'uploader des procédures
par actif
Oui
FrontDoc
Oui : les fichiers sont uploadés
Oui
Oui
FrontGRC est livré avec un
moteur de workflow interne,
disponible sur l'ensemble des
objets fonctionnels
(processus, risque, …)
Non
Oui
produite
Oui
Oui : calcul automatique ou manuel
proposé
Oui
Page 33 /62
Oui
Oui
6.2.3 L’élaboration d’une stratégie de continuité
Il s’agit là pour mémoire de décider de ce que l’entreprise fera pour assurer sa continuité.
Que permet l'outil
Isiman PCA
eFront PCA
Score Web
Phenix
Oui
Oui : besoins par métier (et ou
scénario) des besoins en RH et
actifs)
Oui
Oui
Oui
Oui
Oui
Classification par le répondant
Oui
Non
Non
Non
Non
Oui : création des actions
ordonnancées, par métier,
auxquelles des contacts sont
rattachés
Non
Non
Les exigences des processus critiques
Les besoins en termes IT, locaux, bureaux,
données,…
Catégories couvertes, classements possibles
Partiel et indirect
Catégorie des options possibles
Support à la discussion
Très partiel
Décrire les options envisagées
Délais d'activation des options
Comparaison aux exigences et sélection
Critères d'évaluation
Chiffrage des options
Sélection d'options
Choix, Décision, Documentation
Description des options retenues
Documentation des choix, des exclusions
Conservation
Non
Non
Très partiel
Non
Non
Non
Fait par code couleur
Non
Non
Non
Oui avec outil
COGNOS
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Oui par export
Non
Oui par export
Non
Non
Non
Non
Non
Non
Oui
produite
Oui
Outil de workflow possible ?
Oui
FrontDoc est le module de
gestion éléctronique de la suite
logicielle FrontGRC
objets fonctionnels (processus,
risque, …)
Ces aspects sont peu couverts en général par les outils. L’existence d’un moteur gérant la
documentation et le workflow est le seul atout dont profitent Front-PCA et Isiman-PCA.
Ageris Score Web et Phenix couvrent peu cet aspect, ce n’est visiblement pas leur champ
d’action.
Les outils de la catégorie 2 sont très en-dessous de ceux de la catégorie 1.
Page 34 /62
6.2.4 Le PCA : définition des missions et des responsables des groupes
Il s’agit de constituer les équipes d’intervention, etc.
Que permet l'outil
Isiman PCA
eFront PCA
Score Web
Phenix
Gravité des sinistres
Oui
Non
Oui
Non
Périmètres et exclusions
Contexte du Plan
Structure du Plan
Oui
Oui
Oui
Non
Oui
Non
Oui
Oui
Oui
Oui
Non
Non
Planning des tâches
Oui limité
Oui
Oui
Non
Non
Oui
Oui
Non
Oui
Non
Oui
Oui
Non
Oui
Oui
Non
Non
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Non
Non
Oui
Oui
Oui
Cadrage
Listes de contacts
Oui dans les
formulaires, pas de
gestion on-line
Non
Oui
Non
Oui partiel
Non
Non
Oui
FrontBCP permet le suivi
d'un journal de crise
Non
Non
Oui journal Web
missions
Oui dans les
formulaires
Oui gestion des
emplois (récurrent) Par import/export et étude
et des users
d'impact
(ponctuel)
A priori les outils venant de la GRC ne sont pas là sur leur terrain de prédilection. Des
développements complémentaires seront nécessaires pour améliorer les fonctionnalités.
Il faut toutefois bien souligner la philosophie des deux outils eFront-PCA et Isiman-PCA : ils
conservent des liens vers des documents gérés par leurs responsables. Ils permettent d’accéder à
partir de l’outil à ces documents gérés par ailleurs. Pour consolider des PCA gérés localement, ces
outils sont particulièrement bien adaptés. En cas de crise, il faut toutefois s’assurer que les
documents liés sont effectivement accessibles. Or, ceux-ci peuvent se trouver sur d’autres
serveurs qui sont peut-être sinistrés ou dont le réseau d’accès n’est plus disponible.
L’outil ScoreWeb d’Ageris se comporte bien dans ce domaine. Phenix aussi.
Les outils de la catégorie 2 sont, là-encore, en dessous de ceux de la catégorie 1.
Page 35 /62
La planification des diverses tâches à mener en cas de sinistre est l’objet de ce paragraphe.
A priori les outils de GRC peuvent gérer cela à partir de documents ; ce qui reste d’un côté
souple, d’un autre côté potentiellement imprécis.
PCA : Le planning
Que permet l'outil
Isiman PCA
eFront PCA
Score Web
Phenix
Forcées
Oui
Oui
Oui
Non
Oui
Suggérées
Non
Oui
Par poste de travail
RH
Oui
Libres
Non
Non
Oui
Oui
A la demande
A venir
Oui
Non
fiches de tâche fournies ?
lien avec les configurations ?
Libres
Oui partiellement
Non
Non
Non
Oui
Non interfaçage
possible
Oui
Non
Oui
Non
A la demande
Non
versions et apprentissage
Non
Non
Oui
Non
Gestion de la
formation des
contacts
Non
Oui
Non
Oui
Oui
Oui
Oui
Non
Non
Non
Non
Non
Non
Pas couvert
directement
Non
Oui
Non
Oui
Non
Non
Non
Oui
Oui
Oui
Oui
Oui
déclenchement
Non
Non
Oui
rappels
Non
Non
Oui
Non
Aide à la constitution
Non
Oui
Oui
Oui
Possible (pièce jointe)
Aide à l'accès
Oui si renseignés
suivi des coûts
Oui
Non
Non
Non
Non
Non
structures libres ou forcées ?
évaluation des charges
partition selon les sites
partition selon les métiers
autre partition ? (RH, IT, locaux, données,…)
plans types fournis ?
diagramme de Gantt ?
modèles types fournis ?
aide à la réalisation ?
workflow ?
traçabilité des livrables ?
assistance à l'affectation
aide à la recherche de profils
maintien en état
notion de back-up(s) des compétences
Oui
Pas couvert
directement
eFront-PCA s’en sort avec les honneurs, on notera là encore que l’utilisateur avec les outils
dérivés de la GRC a accès à beaucoup de documentation tenue à jour par d’autres, donc à priori
bien gérée. En revanche le déroulement de ce qu’il doit ordonnancer en cas de crise est beaucoup
moins strictement défini. Certains utilisateurs voient cela comme un flou regrettable, d’autres y
voient des degrés de liberté judicieux.
La vision de Keyword à l’heure actuelle, encouragée en cela par un client pilote, consiste à
considérer qu’un planning trop strict est vite inapplicable. Isiman PCA dans cette situation se
contente donc de rendre disponible un certain nombre de documents et procédures existants.
Les outils de catégorie 1 comme PARAD ou BCM suite, par exemple, gèrent cela de manière plus
minutieuse, au prix éventuellement de contraintes supplémentaires : il faut en effet définir plus de
détails et maintenir à jour tout ce qui a été défini et saisi ou capturé dans l’outil.
Page 36 /62
Tester un plan, c’est le soumettre à l’épreuve du réel et cela peut aussi se faire en chambre dans
certains scénarios. Comment se comportent alors ces outils ?
Tests
Que permet l'outil
Isiman PCA
eFront PCA
Score Web
Phenix
Non
Documentation
des tests
Non
Non
Non
Non
Oui
Oui
Oui
Oui
Oui
Oui
Non
Oui
Non mais possible
Oui
Non
Oui
Oui
Oui
Non
Oui
Non
Non
Non
Oui
Oui
gestion des RH
Très partiel
Non
Non
Très partiel
Non
Non
Non
Non
Oui
Oui
Oui
Oui (Front Report)
Oui
Oui
Oui Notion de contact
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui sur la base des
mains courantes
Oui
Oui (Extraction)
Oui (Extraction)
Oui (Extraction)
Non
Non
Oui (Extraction)
Oui si renseigné
suivi des coûts
Non
Non
Non
Non
Non
Oui
Oui
Oui (Front Report)
Non
Oui
Oui
Oui
Oui
Non
Non
Oui
Oui
Oui
Non
Oui
Oui
Oui
Oui Main courante
plans d'actions
suivi des coûts
Non
Non
Non
Oui
Non
Oui
Non
Non
Non
Non
outil de workflow
Oui
Oui
Oui
Oui
Oui
Non
objets fonctionnels
outil de documentation
Oui
Cadrage des tests
moyens d'annonce
Plan de tests
Bilan des tests
gestion éléctronique de la
suite logicielle FrontGRC
Non mais possibilité
d'attacher des fichiers
joints
Non
Non
Dans le domaine des tests de PCA, eFront-PCA se comporte le mieux parmi les outils de sa
catégorie, probablement parce que dans sa vision de contrôle centralisé, le principal client maître
d’œuvre a mis ce sujet en bonne position.
Ageris ScoreWeb offre aussi des fonctions utiles ; Isiman-PCA est plus en retrait ; Phenix
procède beaucoup par extraction mais son suivi par main courante est précieux.
6.2.7 La gouvernance du plan de continuité
La gouvernance est justement le ‘G’ de ‘GRC’, il faut donc s’attendre à ce que ces outils soient
adaptés.
Page 37 /62
Gouvernance
Que permet l'outil
Isiman PCA
eFront PCA
Score Web
Phenix
Référentiels
structure selon normes
Oui
Oui
Oui
cycle PDCA
Oui
Oui Bale 2, CRBF 97 02
Oui, à compléter par une
organisation
Oui
Oui
expression d'une politique DG
Oui
Oui (Gestion documentaire)
Oui
Oui
Oui avec module
complémentaire
Oui
0
Non
Non
Oui (Pop up)
Non
Non
Questionnaires
génération de questions
Oui
soumission pour les réponses
pondérations
historisation
Oui
Oui
Oui
FrontGRC intégre une
gestion de formulaire et de
campagne d'évaluation
Oui
Oui
Oui
Suivi
revue des réponses
pondérations
Oui
Oui
Oui
non mais à venir
Oui
Non
Non
Non
rapports variés
Oui
Oui, à l'aide de FrontReport
Oui
Non
plans d'actions
Oui
Oui
Non
Non
collecte des preuves
Oui
Oui à l'aide de pièces jointes
Non
Non
Oui
gestion électronique de la
suite logicielle FrontGRC
Non
Non
Oui
disponible sur l'ensemble
des objets fonctionnels
Non
Non
produite
produite
Effectivement, les deux outils eFront-PCA et Isiman-PCA sortent en tête toute catégorie.
On remarque aussi que Shadow Planner (outil de catégorie 1) soutient très bien la comparaison
face à des outils de GRC pour ce qui concerne la gestion des risques liés au PCA.
Page 38 /62
6.3
Comparaison des outils d’alerte
Ce type d’outils par construction ne couvre que le PCA (plus précisément le PRA) et les tests et
ne concernent pas les domaines situés en amont de la crise. L’analyse se focalise donc sur ces
points à l’exclusion des autres.
Nous avons jugé intéressant de les regarder rapidement, car ils sont souvent utilisés en
compléments des outils précédents.
6.3.1 Le PCA : définition des missions et des responsables des groupes
Cadrage
Que permet l'outil
Viappel
F24
Hors périmètre
Hors périmètre
Mobilisation cellule de
crise
Alerte des personnes.
Conférences spontanées
Listes de contacts
Mobilisation cellule de
crise (travail par
scenario)
Oui lien possible vers
téléconférence
Suivi en direct des
appels
Serveur vocal
Automate d'alerte ASP
Web, fichier excel
missions
Groupe selon les alertes.
Téléconférence
Suivi en temps réel,
envoi de rapports,
historique
Hot line d'information
Téléphone, fax, email,
SMS, pager
Moniteur en ligne (mode
web) pour le suivi en
temps réel
Par des groupes affectés
à un n° d'alerte
Base de données via
serveur web, ou outils
PCA
Oui
Base de données
interfaces web et serveur
vocal
L’outil F24 permet la saisie des destinataires et leur gestion via une interface web interactive.
L’outil de Cedralis procède principalement par échange de fichiers.
Page 39 /62
Sur ce sujet, les outils d’alerting proposent une aide à l’exécution du Plan, tout au moins dans sa
phase de lancement.
PCA : Le planning
Que permet l'outil
Viappel
F24
déclenchement
rappels
Internet et téléphone
(fixe ou portable)
3 possibles
Internet Téléphone Fax
Oui selon base de
données ou scénarii
Cascades possibles
paramétrables (autant de
groupes que souhaité)
Oui
Oui
Oui
Via conteneur et droits
d'accès limités
suivi des coûts
Non
Dans les logs
Oui par des astreintes
Oui avec planning
d'études
L’outil de Cedralis procède par scénarios d’escalade, celui de F24 par cascades successives avec
autant de groupes que souhaités.
La solution de F24 semble plus souple et plus riche sur ces points. La notion de conteneur chez
F24, permettant des sous-groupes gérés par d’autres entités, peut être intéressante lors de l’appel
par exemple à des sous-traitants en cas de sinistre.
Page 40 /62
Il s’agit de tester le Plan et deux possibilités existent ici :
 utiliser l’outil d’alerting pour tester des portions du Plan de continuité
 tester les appels de l’outil d’alerting en tant que tel et leurs successions.
Tests
Que permet l'outil
Viappel
F24
Cadrage des tests
Tester les scénarii et la
réaction des participants
Réel
moyens d'annonce
Plan de tests
Oui
Oui (modification de
l'affectation des groupes
à une alerte)
Sélection possible selon
les compétences.
gestion des RH
suivi des coûts
Oui
Oui
Rapports + historiques
Dans historiques
Oui
Bilan des tests
Oui
Oui
plans d'actions
suivi des coûts
outil de workflow
Oui
Oui
outil de documentation
Oui
Conservation de
l'historique et des
rapports
Avec outils de
statistiques
Dans historique
Extraction de log dont
format Excel
Les fonctionnalités offertes par les deux produits se ressemblent. En termes de préparation des
tests, F24 semble cependant le plus avancé.
Remarque : les coûts télécom sont souvent traités et refacturés à part.
Page 41 /62
7 Caractéristiques techniques des produits
Nous indiquons dans ce paragraphe des éléments techniques et des informations importantes en
termes d’évaluation de la structure des produits.
Ces éléments ont été collectés au cours de nos entretiens. Nous y insérons nos commentaires et
critiques d’analystes.
7.1
Shadow Planner (Office Shadow)
Jusqu’à septembre 2009 et la version 3.9 il s’agissait d’un développement en environnement
LAMP (Linux, Apache, MySQL, PHP).
Un chantier important a été mené depuis 18 mois pour refondre l’architecture dans un
environnement plus robuste en DB2 et Oracle sur Linux. Les développements réalisés en Java
aboutiront à des produits disponibles à partir de fin septembre 2009. Tout est recodé à partir de
zéro.
A cette date, une nouvelle Version 3.15 sera disponible et toute la base installée sera migrée sur
une période d’un an aux dires de l’éditeur.
Il existe une Release de correction tous les 6 mois et une version majeure tous les 18 mois.
La visualisation permise par le produit est consultable sur PDA, BlackBerry, etc, via Adobe Flex.
Le produit est couplable à des outils de modélisation de processus : ARIS et Mega.
Un outil de reporting ‘Ireports’ d’origine Open source sera possible à partir d’octobre 2009.
Commentaire : l’évolution du produit vers une base technologique solide en Java et SGBD
relationnel est une bonne chose. Cependant, sauf pour les utilisateurs en SaaS pour lesquels cette
bascule devrait être à peu près transparente, on peut douter de la capacité de la base installée en
propre à migrer vers le nouveau produit en un an seulement. Il y aura fort probablement une
partie des utilisateurs du produit en interne qui ne passeront pas aussi vite sur la nouvelle
technologie. Cela peut laisser l’éditeur Office Shadow dans une situation de superposition de
coûts très inconfortable.
7.2
PARAD (Groupe Devoteam)
La société a une politique de version assez forte et bien suivie. Actuellement seule la version 7
sous ses diverses releases est maintenue. Une portion de 90% de la base installée actuelle est dans
cette version 7, une part de 65% env. étant en 7.3. La version 7.4 est en cours d’achèvement.
Le produit est régulièrement l’objet d’amélioration tant dans les modules techniques de gestion
que de la présentation à l’écran. La politique de gestion du produit en versions, releases et patchs
correctifs est classique.
Il existe un « club d’utilisateurs » qui donne ses suggestions d’évolutions, statue à la demande de
Devoteam sur les priorités à mettre dans les développements et participe en tant que de besoin à
des groupes de travail (sur l’ergonomie du produit par exemple).
Page 42 /62
Le produit est en architecture Microsoft .Net et utilise MS-SQL server 2005 comme base de
données centrale.
Les sorties vers Word et Excel sont possibles, ainsi que les extractions de diagrammes de Gantt
vers MS-Project. On peut regretter l’absence de sortie en PDF non modifiable.
Commentaire : d’un point de vue technique, ce produit est de bon niveau et sa politique de
gestion semble professionnelle. L’évolution de la base installée se fait par pas successifs sans
disruption majeure. Les améliorations ergonomiques sont sensibles. Les aspects de traçabilité et
de possibilité d’audit sont peu mis en valeur et probablement un peu négligés.
7.3
Business Continuity Management Suite (Sungard)
Les applications de cette suite sont essentiellement développées en environnement Microsoft
.Net, sur une base SQL server ou Oracle et IIS. Il y a une base de données unique qui concentre
les différents modules et permet les échanges entre eux.
L’architecture générale évite d’avoir un client lourd. A toute nouvelle connexion d’utilisateur en
mode Saas, celui-ci dispose de la dernière version implémentée.
L’utilisation de Crystal Report est possible en complément pour du reporting adaptable par
l’utilisateur final. Les facilités de rapports personnalisés sont nombreuses. Il existe par ailleurs de
l’ordre d’une centaine de rapports standards sur le PCA.
Il existe un workflow intégré, avec séparation de rôles entre administrateur, valideurs et
utilisateurs. Il est possible de recourir à une prise en compte des positions géographiques et
hiérarchiques pour attribuer les droits.
L’outil permet la traçabilité complète des actions par piste d’audit (« full audit trails »).
De très nombreux types de plans sont gérables (cellule de crise, conformité, secours IT, secours
métiers, exercices de tests, etc.).
Commentaire : la suite de Sungard donne une impression générale d’assemblage composite de
modules hérités du passé ou achetés avec la société Strohl. Le cœur provenant de Strohl (LDRPS)
représente le centre à partir duquel Sungard bâtit son offre d’outils. Bien des modules sont préannoncés mais non disponibles. De vieux produits ne seront plus supportés (Parangon par
exemple mais celui-ci semble absent en France). D’autres se superposent en partie. Une road-map
claire du produit est en cours d’élaboration, mais n’a pas été fournie avant la fin de l’étude. Ce
produit est à suivre, car la remise à niveau d’ensemble peut permettre de tirer parti de fonctions
très élaborées.
7.4
Isiman PCA (Keyword)
L’offre de Keyword est modulaire et sépare trois types de serveurs et de flux associés :
- le produit Isiman de gestion de contenu à base de SGBDR en monde AIX, Windows ou
Linux ;
- une base de publication et de formulaires (serveur d’application et serveur web) en
monde AIX, Windows ou Linux ;
- une base infocentre permettant des rapports et des calculs sur hypercubes.
Page 43 /62
L’architecture permet ainsi une bonne échelonnabilité.
Les développements sont de type Java / Eclipse.
Keyword dispose d’un partenariat avec IBM Software Group pour adapter et optimiser les
solutions aux environnements logiciel, middleware et matériel d’IBM tels que Websphere ou
Cognos par exemple.
Commentaire : Isiman-PCA, est un outil bien structuré sur des bases technologiques solides et
échelonnables ; sa nature Java/Eclipse le met dans une grande tendance actuelle du marché et est
gage de durabilité et de robustesse.
7.5
Efront PCA (eFront)
L'outil permet la cartographie des processus et des activités. Le module Front BPM permet d'y
associer une représentation graphique.
Les postes connectés sont des postes client Internet standard utilisant un navigateur Internet
standard.
La solution FrontGRC s’installe sur le serveur applicatif. Elle est basée sur le Microsoft .NET
FrameWork sous Microsoft Windows et utilise les bases de données standard Microsoft SQL
Server et Oracle.
FrontGRC possède des fonctionnalités d’interface synchrone et asynchrone avec des systèmes
tiers. Dans le cas asynchrone, cette fonctionnalité utilise un mode batch et l’import/export. En
mode synchrone, la solution FrontGRC met en œuvre un toolkit de Web services.
L’application peut être signée numériquement via un certificat, son flux http peut être crypté à
l’aide du protocole HTTPS. L’accès au serveur applicatif peut être protégé par un pare feu.
La solution FrontGRC possède une fonctionnalité d’administration des utilisateurs permettant de
leur affecter des droits et des habilitations. L’habilitation sur l’ensemble des données, rapports et
documents est gérée à l’aide de la fonctionnalité de ‘région’, assurant une parfaite confidentialité
des données.
Associée à la notion de région (habilitation sur les données), la fonctionnalité de profil permet
d’assurer les contrôles d’accès aux fonctionnalités de l’application.
Il est possible de mettre en œuvre une interface avec un annuaire d’entreprise de type LDAP.
Commentaire : si le produit eFront GRC est présent sur le marché depuis un certain temps avec
des références sérieuses, le module BPM (ou PCA) est très récent et n’existe à notre connaissance
que chez un client de référence. Par ailleurs sa structure semble plutôt monolithique et peut
s’avérer plus difficilement échelonnable, posant alors des problèmes de montée en charge et de
performance. Néanmoins, il répond à un cahier des charges rigoureux.
7.6
Score Web (Ageris)
Il s’agit là typiquement d’une approche orientée consultant ou auditeur à l’origine, ayant Excel sur
son PC. Tous les produits sont d’origine réalisés en Excel avec des formules et quelques macros.
Page 44 /62
L’objectif d’Ageris est de tout porter en environnement web. 20 à 30% ont déjà été réécrits ainsi
en environnement LAMP (Linux à base de Debian, Apache, MySQL, PHP).
Le produit web n’est proposé qu’en mode ASP et gère un certificat de sécurité Ageris.
Chaque client dispose de sa propre base mySQL en ligne pour chacun des modules qu’il utilise.
On peut ainsi envisager plusieurs bases pour plusieurs modules et entités utilisatrices.
Les outils ont été testés sur IE6 et suivants ainsi que sur Firefox (et Safari).
Le produit offert donc en ligne est hébergé chez OVH en environnement raisonnablement
sécurisé (disques RAID).
La gestion des données par dates ou versions n’est pas possible. Il sera en revanche possible
d’exporter des données et de repartir à zéro. Il n’y a qu’un PCA à la fois.
La traçabilité dans l’outil nécessite un ‘module filtre’ qui sera disponible à partir du 1/8/2009 et
que nous n’avons pas vu.
Les contrôles sur les champs saisis existent mais sont succincts. Il existe des contrôles sur les
champs obligatoires, mais il n’y a pas de vérification de présence de noms dans un annuaire par
exemple.
Commentaire : les outils d’Ageris sur le web, sont légers et peu coercitifs ; en cela ils
ressemblent au monde Excel dont ils sont issus. Ils sont avant tout prévus pour collecter
facilement et de manière centralisée des informations auprès des responsables en entreprise. Leur
rôle structurant est toutefois réel même s’il ne se traduit pas par un formalisme technique. Les
clients sont a priori tous connectés en mode SaaS et sont donc tous dans l’environnement que
définit Ageris et en suivent donc toutes les évolutions, avec les avantages et inconvénients que
cela peut avoir.
7.7
Phenix (BCCM Strategy)
Initialement développé pour le web (pages web en ASP3) le produit comporte aussi des modules
en VBScript et embarque une base de données Accès ou Oracle.
L’outil se compose de deux parties :
 Une aide à la saisie rapide des activités et de leurs contraintes (de type BIA, voir plus
haut).
 Une aide à la gestion de crise de type suivi et main courante à partir de ce qui a été
précédemment saisi.
Les champs de saisie ne sont pas l’objet de forts contrôles.
L’aide à la gestion de crise possède une interface graphique qui peut être déroutante pour un
utilisateur habituel de Windows.
L’outil de gestion de crise peut s’embarquer sur une clé USB et est utilisable sous tout PC
Windows très rapidement.
Commentaire : il s’agit là d’un développement léger et facilement transportable, conforme en
cela au cahier des charges du PCA light.
Page 45 /62
7.8
Viappel (Cedralis)
Nous n’avons pas étudié les aspects techniques de cet outil qui est essentiellement vu comme un
service externe par l’utilisateur.
7.9
Fact F24 (F24)
Nous n’avons pas étudié les aspects techniques de cet outil qui est essentiellement vu comme un
service externe par l’utilisateur.
7.10
Bilan sur les aspects techniques
L’ensemble de ces considérations techniques est résumé dans le tableau ci-dessous. Une note est
attribuée par les analystes Duquesne Research. Elle va de 0 (pas bon) à 10 (excellent).
Environnement technique (total sur 30)
type de code, SGBD, modèle de données
CMDB, cartographie
architecture technique, échelonnabilité
Shadow
Planner
15
4
6
5
Parad
BCM suite
20
7
7
6
17
5
8
4
Isiman PCA eFront PCA
19
7
5
7
15
6
5
4
ScoreWeb
Phenix
11
3
3
5
8
3
3
2
Les éléments qui augmentent la note sont :
 un code récent ;
 un environnement de développement récent et moderne ;
 un modèle des données cohérent ;
 une modularité des applications ;
 une base de configuration bien conçue ;
 un usage général de SGBD.
Les éléments qui abaissent la note :
 une multitude de codes d’origine ancienne ;
 les environnements web ou PC légers ;
 des modèles de données divers et se recouvrant ;
 une conception trop monolithique ;
 l’absence de base de configuration ;
 des applicatifs redondants en partie.
Pour la modernité du code et en partie pour la solidité des SGBD utilisés, deux outils sortent du
lot : PARAD et Isiman-PCA. Pour Shadow Planner le handicap disparaîtra lorsque la nouvelle
version sera sortie et stable.
L’existence en central d’une base de données de configuration (des moyens techniques,
informatiques et des applications) est un point fort des outils PARAD, BCM suite et dans une
moindre mesure de Shadow Planner.
La modularité et le découpage en serveurs virtuels est un atout d’Isiman-PCA.
Page 46 /62
8 Politique de tarification et de mise en œuvre
Les produits sont proposés sous diverses formes et facturés de plusieurs manières. Dans ce type
de projets, le coût seul du produit logiciel lui-même n’est qu’une partie plus ou moins importante
du coût total de mise en œuvre et d’exploitation.
La mise en œuvre concrète -qui comporte beaucoup d’aspects organisationnels demandant une
assistance en conseil par exemple- est aussi variable selon les situations et éditeurs.
Plutôt que de donner des tarifs ou des prix de catalogue illusoires dans la réalité, nous préférons
présenter des scénarios réels d’usage et de mise en œuvre.
8.1
Les principes directeurs de la facturation de l’offre d’Office-Shadow reposent sur :

La mise à disposition d’un accès aux modules de la suite Shadow-Planner concernés :
o dans le cadre du présent exemple de chiffrage, ont été intégrés les modules de la
suite Shadow-Planner Platform, BIA, et BCP (les plus classiques) pour une durée
de 3 ans (également possible sur 5 ans).
o la suite Shadow-Planner étant modulaire le client peut ainsi prévoir de déployer
les modules fonctionnels selon ses besoins et l’avancement de son projet.

Le choix du mode d’hébergement retenu :
o La formule la plus souvent retenue est l’hébergement externalisé sur les serveurs
d’Office-Shadow à Genève.
o Une autre solution d’hébergement interne sur les serveurs du client est également
envisageable, et est également présentée ci-dessous.

Le nombre d’employés dans l’organisation concernée par la configuration ShadowPlanner :
o C’est le mode de pricing standard de Shadow-Planner. Ce chiffrage peut être découpé
sur la base du nombre de personnes dans l’entité client concernée par la configuration
Shadow-Planner (ex Directions centrales – fonctions du Siège). Ce modèle de pricing
permet de s’affranchir d’un nombre de connexions définies à la plateforme, et rendre
ainsi totalement générique son utilisation.
o Un pricing par utilisateur peut également être envisagé à la demande, tel qu’illustré cidessous.
Exemple de droits d’utilisation de Shadow-Planner pour une durée de 3 ou 5 ans
Mise en place d’une configuration
Shadow-Planner sur 3 ans en
hébergement externalisé
Droits d’utilisation des Modules
Shadow-Planner Platform, BCP, BIA,
prépayés pour une organisation
… de 250 à 500
personnes
… de 2000 à
3000 personnes
Pour les 3 ans
48.000 € HT
124.000 € HT
255.000 € HT
Coût
de
Maintenance
annuel,
hébergement, support, et pilotage
4.800 € HT
12.400 € HT
25.500 € HT
… de 10000 à 25000
personnes
Page 47 /62
Acquisition d’une configuration
Shadow-Planner en hébergement
interne
Modules Shadow-PlannerPlatform,
BCP, BIA, pour une organisation
… de 250 à 500
personnes
… de 2000 à
3000 personnes
Acquisition des droits d’utilisation
80.000 € HT
205.000 € HT
425.000 € HT
16.000 € HT
41.000 € HT
85.000 € HT
Coût annuel de Maintenance
support
et
… de 10000 à 25000
personnes
Maintenance et Support client
Dans le cadre d’un hébergement externalisé, la maintenance et le support sont calculés sur la
base de 10% de la valeur globale de la configuration logicielle.
Dans le cadre d’un hébergement interne, la maintenance et le support sont calculés sur la base
de 20% de l’acquisition des droits d’utilisation.
Assistance à la mise en œuvre
Typiquement, lors de la mise en place d’une solution hébergée chez l’éditeur, il est procédé
comme suit :
- connexion immédiate à une instance ouverte ;
- démarrage avec un pack de service d’accompagnement.
Ce pack de service peut comprendre :
- un workshop de modélisation ;
- une formation générique sur plate-forme, BIA et BCP avec exercices ;
- l’élaboration du cahier de spécifications fonctionnelles, processus, perspectives, plan
d’actions et impacts… impliquant un référent pour chaque entité concernée ;
- le balayage des modules fonctionnels ;
- la conduite du changement ;
- les aspects « awareness », sensibilisation, quick-start guides, etc.
Il existe une Release de correction tous les 6 mois et une version majeure tous les 18 mois.
8.2
Principe : la licence dépend du nombre d'utilisateurs de PARAD et de la taille de l'entreprise (en
nombre de collaborateurs)
Exemple :
-5 users et 2000 collaborateurs : 25 000 EUR
- illimitée groupe : 300 000 EUR
La maintenance = 18% prix catalogue licence
Mode ASP possible en abonnement annuel engagement de trois ans.
-5 users et 2000 collaborateurs : 15 000 EUR / an
-illimité groupe : 190 000 EUR/an
Page 48 /62
Note : en 2008 les nouveaux clients se répartissaient sur les deux modes à 50/50.
Mise en œuvre : les points suivants sont à considérer :


Installation / paramétrage technique : 1/2 journée à 1 journée d'installation et paramétrage du
produit à partir du moment où le socle technique est prêt. Dans certains cas, le client initie
une étude d'intégration, plus ou moins poussée et avec plus ou moins d'assistance de la part
de Devoteam ; cela reste généralement très léger (quelques jours).
Accompagnement fonctionnel : sauf projet majeur (ex : CNAMTS, LA POSTE Courrier,
etc.) un accompagnement du client est proposé, entre 5 et 10 jours pour :
o la prise en main de PARAD (formation théorique et pratique)
o l'assistance sur les bonnes pratiques d'utilisation (gestion des habilitations,
normalisation / nomenclature des informations)
o l’assistance à la reprise de l'existant.
Il arrive aussi que soit vendu un package PARAD + Mission de conseil, dans ce cas le
programme d'assistance à PARAD est intégré à un projet plus global.
8.3
La suite existe sous plusieurs variantes : ce qui suit concerne LDRPS seul qui est le cœur de la
suite. Les modules supplémentaires sont tarifés à part en 2009 avec un tarif dégressif en fonction
du nombre de modules.
Version Essential : uniquement en ASP
1 à 3 utilisateurs concurrents mais 10 à 30 utilisateurs nommés.
En anglais uniquement.
Pas de customisation possible.
Prix : entre 250 et 300 EUR/mois et utilisateur concurrent, dégressif.
Version Professionnal: ASP ou licence perpétuelle
De 500 à 600 EUR/mois pour un utilisateur en mode ASP, puis tarif dégressif en fonction du
nombre d’utilisateurs (ex : 200 EUR/mois et utilisateur pour 10 au tarif 2008).
En licence perpétuelle : 13,5 KEUR pour un utilisateur simultané et 10 nommés ;
47 KEUR pour 10 utilisateurs et 100 nommés.
Version Enterprise :
Pas de limite en utilisateurs nommés.
Tarif à l’utilisateur simultané :
En ASP : 870 EUR/mois pour un user simultané ; pour 10 simultanés : 400 EUR/mois et
utilisateur.
Assistance : Typiquement pour « professional » et « enterprise » : pour une grosse entreprise une
semaine d’intervention d’un consultant pour définir les droits et les rôles et décrire dans l’outil les
éléments nécessaires.
Le client peut exploiter directement ensuite.
Page 49 /62
Formation : gratuite en web conferencing ou sur site à Philadelphie
Payante si le consultant est sur place chez le client.
Remarque : c’est un produit géré en versions avec des mises à jour.
Maintenance de 20% sur le prix catalogue licence ; support intégré.
Le support de niveau 1 est en français, sur un numéro d’appel disponible 24x7x365.
8.4
La politique de prix :
Le prix d'une solution ISIMAN est élaboré à partir de deux paramètres :
 les composants métiers nécessaires à la mise en œuvre de la solution fonctionnelle définie
par le client,
 le nombre de personnes qui seront habilitées à participer à la gestion des événements de
GRC/PCA, événements tracés pour garantir la conformité.
Le mode ASP est proposé, il comprend la ‘location’ de la licence, la maintenance, la location du
matériel, les ressources d'exploitation afin d'assurer les services nécessaires pour l’exploitation et
la disponibilité de la Solution Client. Le contrat proposé est de deux ans minimum, généralement
renouvelables.
L’implémentation :
Pour une entreprise avec moins de 50 acteurs de GRC/PCA, la mise en œuvre est d'environ 20
jxh en considérant que l'entreprise adopte la solution standard.
Pour une entreprise avec moins de 200 acteurs de GRC/PCA, la mise en œuvre peut être
comprise dans la fourchette de 50 à 100 jxh.
Il est clair que la charge est une charge d'intégration par rapport à l'environnement du client plus
qu'une charge de paramétrage ou de développement pour les demandes particulières.
Affaires types :


petit client deux modules en ASP, 5 utilisateurs : 25 K EUR/ an ;
gros client 5000 utilisateurs, hébergé chez lui, licence 250 000 EUR et service associé 50 à
100 000 €.
La maintenance :
Tarif : 20% de (licence prix catalogue + développement spécifique) ; les services de maintenance
comprennent :
 le débogage,
 la fourniture des nouvelles versions de la plate-forme technique,
 la fourniture des évolutions des modèles relationnels (réglementation, normes, besoins du
marché…),
 la hotline et le support fonctionnel
Le support :
Page 50 /62
Il est inclus dans la maintenance de base, une télémaintenance est optionnelle ; elle inclut
l’installation des nouvelles versions de la Solution et de la plate-forme technique.
8.5
E-Front PCA (eFront)
La politique de tarification du produit est par module et au nombre d’utilisateurs, soit nommés,
soit simultanés.
Le niveau de prix moyen est de l’ordre de 120 k€ pour une centaine d’utilisateurs, selon les
modules utilisés.
Le prix de la maintenance est compris entre 18% et 25% du montant des licences selon le niveau
de maintenance souhaité.
La solution est proposée aussi bien en Intranet qu’en ASP.
Le coût de la mise en œuvre est variable, selon l’expression du besoin exprimé par le client ; dans
un projet d’intégration typique cela va de 50 à 150 jours.
8.6
Score Web (Ageris)
Le produit est vendu avec une licence d’utilisation par module et un contrat de maintenance et
évolution des modules pour tous.
Le module est à environ 10 000 EUR. Un module correspond à un ensemble de fonctionnalités
en mode ASP sur une base donnée.
La maintenance est tarifée à 20% de la licence.
Exemple : modules PM et BCM +5 jours de consulting avec maintenance année 1 : 23 000 EUR.
Principe d’une licence par pays.
La mise en œuvre consiste à reprendre les procédures existantes en les mettant dans la base sans
avoir à réécrire l’existant.
8.7
L’outil est facturé au nombre d’activités ayant fait l’objet d’une analyse ; le nombre d’utilisateurs
n’étant pas limité.
Ordre de grandeur : 40 k EUR pour 100 activités.
La maintenance est à 15% de tarif de la licence.
8.8
Viappel (Cedralis)
Pour cet outil d’alerting, qui est souvent utilisé en complément des produits logiciels décrits
précédemment, il s’agit d’un service facturé au volume.
Page 51 /62
Le service est proposé sous la forme d’un abonnement annuel qui va dépendre de la volumétrie
des numéros à appeler et des appels passés. Le coût purement télécom des appels est en général
refacturé à part.
Le service est offert en France seulement, où les serveurs résident (Paris et Bordeaux).
8.9
Fact F24 (F24)
Dans le domaine de la continuité d’activité, la société F24 propose des prestations hébergées :
 Alerte et information
 Conférences téléphoniques
 Hotline d’information.
Les serveurs sont hébergés en Allemagne et dans un autre pays.
Les prestations sont modulées en différents niveaux (‘basic’, ‘professional’, ‘premium’,
‘customized’) à prix échelonnés. Les prix sont composés d’une partie fixe et d’une partie variable.
Les coûts téléphoniques sont en sus.
Des prestations de tests sont aussi proposées et facturées si elles sont de grande ampleur.
Le suivi et la mise à jour des bases des numéros et des personnes est aussi possible : des appels et
des relances sont générés pour actualiser les bases.
Le produit/service bénéficie d’une mise à jour majeure tous les ans.
8.10
Bilan sur la facilité de mise en œuvre
En reprenant les considérations précédentes, il est fait l’évaluation suivante dans laquelle la note
attribuée sur 10 indique la facilité ou l’importance de la couverture :
Mise en œuvre (total sur 30)
finition, effort de prise en main
rôles, workflow, confidentialité
capacité à développer des compléments
Shadow
Planner
15
5
6
4
Parad
14
6
5
3
BCM suite Isiman PCA eFront PCA
14
4
7
3
18
4
7
7
18
4
8
6
ScoreWeb
Phenix
14
7
2
5
13
8
2
3
L’effort de prise en main tient compte de l’investissement nécessaire (en temps et en Euro) pour
arriver à une mise en œuvre correcte. Sur ce point, les produits simples, finis ou ‘clés en main’
sont favorisés.
Le critère ‘rôle, workflow et confidentialité’ valorise le mieux les outils dotés de ces
fonctionnalités par construction comme le sont les outils issus de la GRC.
Enfin les développements complémentaires sont plus pratiqués avec les outils semi-finis, cet
aspect peut d’ailleurs être vu comme le pendant négatif du premier point.
Page 52 /62
9 Atouts et défis à relever
Dans ce chapitre nous présentons les atouts de chacun des produits de gestion de PCA et notons
les challenges qu’ils doivent de notre point de vue affronter.
9.1

Les principaux atouts sont :
o La richesse fonctionnelle des modules au regard des besoins de continuité
d'activité (BIA, Risk Management, BCP, Gestion de crise, Compliance).
o La simplicité d’utilisation via son interface Web, multilingue, adaptée à des profils
contributeurs en matière de BCP.
o La puissance d’adaptation aux besoins des petites et grandes organisations par la
notion de perspective (filtres d’analyse sur les données) et workflow par email
pour le MCO des dispositifs de continuité d'activité.

Les défis que nous voyons :
o Le passage à la nouvelle version technologique ne sera pas aisé pour la base
installée traditionnelle (non SaaS) et peut s’avérer coûteux pour l’éditeur.
o L’accompagnement à la mise en œuvre est important pour la réaliser dans de bons
délais : la société en France doit s’enrichir en consultants et partenaires efficaces.
o Malgré tout, l’un des meilleurs produits actuels, mais pourra-t-il maintenir son
niveau de prix plutôt élevé ?
9.2

Les principaux atouts sont :
o Richesse fonctionnelle en opération : un module pilotage (d'exercice, de crise)
performant, intégrant une "main courante applicative".
o Un outil facile d'accès, simple d'utilisation, structurant : proche du besoin des
utilisateurs notamment par l'implication du Club des Utilisateurs de PARAD dans
l'évolution du produit.
o Structurel : le Groupe Devoteam est moteur dans la croissance de PARAD ; un
réseau de commercialisation à travers les filiales présentes dans 25 pays d'Europe,
du Moyen-Orient et d'Afrique du nord.
o L’utilisation de PARAD par IBM Global Services est une preuve de qualité.

o PARAD, leader actuellement en France, est attaqué sur deux fronts : sur son
terrain par Sungard et sur la périphérie (gestion de risque et gouvernance) par des
acteurs comme eFront ou Keyword ; sans mentionner Shadow Planner sur tous
les fronts.
o Il doit impérativement sortir de France et augmenter ses parts de marché en
Europe, ce qu’il a commencé à faire.
o Comme ce n’est pas la vocation de Devoteam d’aller vers la GRC, des partenariats
avec des éditeurs du monde de la GRC peuvent s’avérer intéressants pour jouer la
complémentarité et border son territoire.
o La synergie avec une activité de type ‘service de continuité’ ou infogérance
mériterait d’être développée.
Page 53 /62
9.3

Les principaux atouts :
o La facilité pour les utilisateurs de remplir leur partie du PCA, que ce soit la partie
métier ou la partie technique.
o Le maintien en condition opérationnelle facilité (avec le corollaire de pouvoir
rapidement éditer un plan toujours à jour....et ce localement, pour le pays, pour le
groupe....)
o La gestion automatisée des interdépendances et des ressources.

o La vision de l’offre Sungard donne l’impression d’un enchevêtrement de produits
d’âges et d’origines divers qui se superposent : une clarification est indispensable
en français tant sur les fonctionnalités que sur les prix.
o LDRPS nécessite une bonne compréhension et oblige à y entrer et gérer un bon
nombre de données : ce point peut être vu comme un handicap par les
utilisateurs, il faut le montrer comme un point fort et le rendre facile d’accès.
o Sungard doit améliorer sa visibilité outil en France ainsi que la synergie avec son
entité de services de continuité.
9.4

o Un référentiel puissant, doté d’un moteur de workflow qui garantit la distribution
de la tenue à jour en entreprise.
o La combinaison portail, workflow, formulaire.
o Une architecture technique échelonnable et standard.

o Pour les utilisateurs d’ISIMAN il est relativement aisé d’adjoindre des modules
PCA, pour les autres, la marche à l’entrée peut sembler haute.
o Les modules propres au PCA ne sont pas complètement achevés.
o La base de clientèle est trop étroite actuellement, il faut l’élargir.
o Le rapport prix/qualité est relativement élevé.
9.5
eFront PCA (eFront)

o Une couverture fonctionnelle intéressante, répondant aux besoins d’un client de
référence.
o Une intégration avec la gestion des risques.
o Une plateforme standard et des outils de base réutilisables.

o Pour les utilisateurs d’eFront GRC, il est relativement aisé d’adjoindre des
modules PCA, pour les autres, la marche à l’entrée peut sembler haute.
o Le produit doit se stabiliser.
o La base de clientèle est trop étroite actuellement, il faut l’élargir.
o Le rapport prix/qualité est relativement élevé.
o La performance en montée en charge du produit est sujette à caution
Page 54 /62
9.6
Score Web (AGERIS Group)

o Pertinence et expérience des consultants dans la gestion de PCA/ Respect des
pratiques en vigueur.
o Complet et multi domaine : partie IT mais aussi traite des RH, formation, test,
procédures sites de repli, besoins en mode dégradé.
o Couverture globale du PCA et accessibilité suite à crise.
o Bon rapport prix/qualité

o C’est un outil d’accompagnement de démarche PCA, l’acheteur potentiel ne pense
pas encore outil.
o L’environnement technique est léger, peut être faut-il le renforcer techniquement.
o Les données collectées dans l’outil vieillissent et doivent être gérées avec
cohérence : sur la durée cet aspect peut s’avérer très problématique.
o L’accès au marché est difficile car Ageris concurrence les consultants qui sont des
prescripteurs potentiels.
9.7

o Outil orienté PCA Light, simple d’utilisation.
o Une gestion du maintien à jour par remontée des incohérences en temps réel.
o Une gestion de Crise pragmatique.

o C’est un outil léger d’accompagnement qui peut être considéré comme ‘jetable’ :
avantage ou inconvénient ?
o L’éditeur est une petite société de taille insuffisante pour être autre chose qu’un
outsider de niche.
o Les éléments pris en compte dans l’outil sont limités (pas de support pour
l’informatique actuellement).
o La base installée est trop faible pour le niveau de prix.
10 Autres outils du marché
A titre d’exhaustivité, le tableau suivant liste succinctement d’autres fournisseurs présents sur le
marché mondial. Quelques commentaires figurent au tableau.
Ces fournisseurs ne sont à priori pas actifs en France ni en Europe pour la plupart d’entre eux. Il
est possible toutefois que certains opèrent au Royaume-Uni.
On note en particulier le support de la langue française chez certains éditeurs (en particulier
Canadiens).
Page 55 /62
Produit
Active Risk Manager
Alive-IT
Société
Strategic Thought Group
idem ?
UK
USA
BA-Pro
business assurance
NL, Ro
BCM Toolbox
BCP-kit
Youplanit
?
BCRP Interactive workflow
CRISP technology
BCPlanning System
BCPlanner
RSM McGladrey
Boldplanning
Australie
USA ?
canada, sophia
outils variés couverture large
antipolis F
risque, BIA, audit
USA
web et Microsoft office : assez large
Business protector gateway
BPSI
UK+USA
vient de la banque, BS25999, large couverture
Continuity2
idem ?
UK
web+doc, surtout conseil, l'outil semble léger
Disaster recovery plan generator
Disaster recovery plan
USA
disaster recovery systems
Tamp computer systems
USA
eBRP toolkit
eBRP solutions
Canada
simples modèles de doc en anglais
modèles, base, aide à la structuration, non
standard
prix prof 2007, multilingue, command center
et PCA
erLogix
idem
USA
eSecurus
nonverba
USA ?
Front Line Live
continuity logic
USA
Gemini resilience workplace
Gemini systems
USA
IMCD
ContingenZ
USA
système expert ? Incident management et PCA
ImpactAware
Texonet
USA
modélise les dépendances (process-asset,…)
Mitigator
idem
Australie ?
semble intéressant
myCOOP
COOP systems
USA
pragmatique, petits modules, français possible
OpsPlanner
paradigm Solutions
USA
QuikPlan
Disaster recovery 1
USA
BCP2.0
Recovery planner
USA
Recovery PAC
Revive
SWORD
CSCI
linus revive
COMIT
USA ?
Irl
ensemble d'outils: planning, notification,
pandémie
pour PME, pas cher
"créer et maintenir un Plan", semble bien pour
PME ?
vieux ? Cite DOS, gère des priorités IT
développer & maintenir un PCA
risque, audit, gouvernance, SOX
Web Planner Express
Waypoint advisory
USA
application MS sharepoint, large mais vague
The planning portal
AVALUTION
USA
MS based ? Souple ? Low-cost ? semble bien
couvrir les points
Pays
Points forts
analyse des risques
service de sauvegarde/restauration, help-desk
compliance, risk, compare controles et
données back-office
documentation, formation, exercice
semble ancien (an 2000)
Une méthode propre… '80% du travail fait' ?
prix prof 2008, site pas à jour (2007), lien avec
la qualité
cite DRII, Itil, BCI ; orienté PRA
aide à l'exécution du PRA, alerte ? Mentionne
VMWare, SOA
Page 56 /62
11 Synthèse en conclusion
Cette étude nous a permis de rencontrer des acteurs du marché de la continuité d’activité et de
faire un certain nombre de constats.
11.1
Le marché est contrasté
La situation du marché des outils de PCA est marquée par plusieurs situations chez les éditeurs :
 Certains acteurs (PARAD et Sungard) sont présents depuis longtemps et sont très
orientés « Plan de reprise » et « secours informatique » ; leurs interlocuteurs naturels en
entreprise sont plutôt les informaticiens, ces acteurs ont eux-mêmes une activité de
service informatique par ailleurs.
 Des acteurs venant de la gestion des risques entrent sur ce marché en le considérant
comme connexe du leur : Keyword et eFront représentent cette tendance ; leurs
interlocuteurs sont plutôt des responsables PCA fonctionnels proches de la direction de
la sécurité ou des risques.
 Enfin, des challengers arrivent avec des produits que l’on peut qualifier d’outil de niche,
visant une facilité particulière : simplicité d’usage, aide efficace à la collecte d’informations
via le web ; Ageris et dans une moindre mesure BCCM Strategy en sont des exemples.
 Un acteur semble poursuivre une politique purement centrée sur les aspects du PCA à
partir d’une approche de type BCI (Business Continuity Institute) : Office Shadow dont
l’unique activité est le PCA au sens large.
En termes de niveau de prix, la segmentation suivante est constatée :
 Des offres d’entrée de gamme (ordre de grandeur 40 k€ à 70 k€ sur un projet type) qui
concernent essentiellement les challengers que sont Ageris et BCCM Strategy ;
 Des offres haut de gamme (de l’ordre 150 k€ à 250 k€) dans lesquelles se situent tous les
autres éditeurs.
Le marché nous semble en croissance, sans que nous puissions le chiffrer.
11.2
Des outils différents
L’analyse qui précède a permis de distinguer les différences entre les outils :

en termes de fonctionnalités liées au PCA ;

sur les aspects des technologies et de l’implémentation de l’outil ;

sur le support de la gouvernance.
Le schéma suivant récapitule la situation des outils de catégorie 1 :
Page 57 /62
fonctionnel PCA
8
6
4
2
0
gouvernance PCA
technique outil
Shadow
Parad
Sungard

L’offre de Sungard sort en tête sur les aspects fonctionnels du PCA, mais cela se fait au
prix d’ajouts de modules divers.

PARAD de Devoteam défend sa position sur les aspects fonctionnels PCA et ressort en
tête sur les aspects techniques. Ce produit ne couvre pas –volontairement- les aspects de
gouvernance au sens où nous l’entendons.

Shadow-Planner a une excellente couverture des aspects risques et gouvernance et se
positionne bien sur les aspects fonctionnels et techniques. C’est lui qui a la plus grande
surface de couverture sur l’ensemble de ces trois aspects.
Il ne nous a pas été possible de repérer des différences significatives en termes de prix entre ces
trois acteurs. Les manières de facturer (à l’utilisateur, à l’objet géré, à la taille de l’entreprise)
diffèrent et peuvent introduire des biais. La portion « projet de mise en œuvre » quant à elle
semble plus élevée avec Shadow Planner qu’avec PARAD. Sungard présentant une situation
intermédiaire. Il faudrait pour comparer plus finement disposer d’une métrique de coût qui
n’existe pas.
En ce qui concerne les outils de catégorie 2, la vision est différente ; les aspects fonctionnels sont
moins bien couverts que par les outils de catégorie 1:

eFront et Keyword ressortent en tête dans les aspects de gouvernance qui sont
effectivement, par construction, les points forts de ces outils.

En ce qui concerne le critère ‘technique et implémentation’ le classement met en avant
Keyword principalement et eFront à nouveau.
Page 58 /62

L’outil d’Ageris et le produit Phenix (surtout) sont clairement dans une catégorie d’entrée
de gamme, il est important de noter que le prix de ces produits est effectivement
beaucoup plus faible, à proportion.
fonctionnel PCA
8,0
6,0
4,0
2,0
0,0
gouvernance PCA
eFront
11.3
technique outil
Keyword
Ageris
Phenix
La maturité des acteurs
Un point particulièrement sensible par rapport à d’autres secteurs de marché est celui de la
maturité des acteurs. On trouve en effet :




Des éditeurs établis ayant une forte base installée et pour lesquels l’activité logicielle est
un complément pour une activité de service principalement : Devoteam et Sungard. La
pérennité de ces sociétés et de l’activité PCA en leur sein est la meilleure.
Des éditeurs ayant fait leur preuve et jouissant d’une base installée en France dans le
domaine de la gestion des risques où leurs produits font autorité : eFront et Keyword.
Ces éditeurs élargissent leur champ d’action vers le PCA où ils sont relativement novices
et possèdent très peu de références. L’activité PCA des ces éditeurs peut fort bien s’avérer
très marginale, voire marquer le pas ; il faut suivre l’évolution de la base installée des
modules PCA de ces outils. Le risque est toutefois atténué par le fait que ces éditeurs ne
sont pas mono-produit PCA.
Un éditeur spécifique très mature en termes de culture de PCA – très teinté britannique,
ce qui dans ce cas est positif– Office Shadow qui est le seul «pure player» d’importance.
De petits challengers qui existent avec leurs activités de conseil qu’ils assortissent d’outils
facilitateurs. La pérennité de ces outils n’est pas assurée mais l’importance de la
disparition de ces outils est probablement moins grave.
Page 59 /62
Il n’est pas exclu que des acteurs américains décident de devenir actifs en Europe et en France en
particulier. Cela peut concerner des éditeurs qui possèdent déjà le français comme langue de
travail (Canada) et comptent des groupes français dans leurs clients.
11.4
La situation spécifique du client
Bien entendu, il est indispensable dans le choix d’un outil de prendre pleinement en compte la
situation spécifique de l’entreprise utilisatrice, en particulier son degré d’avancement dans
l’élaboration de son PCA. Les aspects suivants sont à considérer :

Si l’entreprise veut construire progressivement son plan et se laisser guider par un outil
structurant, PARAD de Devoteam et la suite BCM de Sungard sont appropriés. Ces deux
outils exigent la saisie d’informations à gérer dans un environnement rigoureux.

Si l’entreprise possède une structure complexe et des plans de continuité divers, des outils
comme Isiman de Keyword ou eFront PCA d’eFront permettent de consolider une vision
de PCA centrale. Ces outils permettront de reprendre de la documentation existante tout
en laissant leur gestion là où elle est, entre les mains des responsables en place.

Une situation intermédiaire est représentée par Shadow Planner, qui est sous certains
aspects plutôt structurant tout en laissant des degrés de liberté. Ce produit d’un côté
structure, d’un autre côté laisse des degrés de liberté judicieux. Il représente un
compromis tout à fait intéressant.

Si l’entreprise veut aborder la continuité d’activité avec des approches légères ou
progressives, en demandant à des responsables opérationnels de progressivement
renseigner leurs exigences dans un outil, alors les outils d’Ageris (et en entrée de gamme
le ‘light PCA’ Phenix de BCCM Strategy) sont adaptés. Une montée en puissance avec
ces outils pourra en revanche s’avérer problématique, surtout avec l’outil Phenix.

En termes de prix, il est clair que les remarques précédentes se reflètent à la fois dans les
coûts de licence et dans les efforts de mise en œuvre.
Plus globalement, un des grands enseignements de notre étude est que dans ce marché il n’y a
pas une hiérarchie absolue allant de « bon » à « mauvais ». Chaque outil présente ses apports
et ses avantages et la bonne question est : « quel outil est le mieux placé pour répondre à la
problématique PCA spécifique de mon entreprise ? »
Il serait intéressant de garder un œil sur l’évolution de ce marché pour voir si ces conclusions
se confirment.
Page 60 /62
Page 61 /62
THE DUQUESNE GROUP
32 avenue Duquesne 75007 Paris
www.duquesnegroup.com sarl au capital de 35.400 € RCS Paris 494 571 730
The Duquesne Group, Duquesne Research, The Duquesne Institute, Tous droits réservés, Copyright 2009
Page 62 /62

Continuité d`activité

Transcription

Documents pareils

Le plan de continuité d`activité ou la politique de l`autruche

2012-2013 PRÉPARATION AUX CONCOURS ADMINISTRATIFS

nouveaux boitiers max in power

Comment utiliser la PCA

Housses de protection pour tablettes Samsung

Affaires concernant le Conseil d`administration, le Comité exécutif

Coques de protection pour Smartphone Samsung GALAXY Note 3