Вы находитесь на странице: 1из 62

Outils PCA en France

Analyse comparative d’outils d’aide aux Plans de


Continuité d’Activité

Une étude Duquesne Research

Septembre 2009
Outils PCA en France

Table des matières

1 Introduction ........................................................................................................................ 5
1.1 Une brève histoire du PCA ............................................................................................................. 5
1.2 Vers un besoin d’outil ..................................................................................................................... 6
1.3 La méthode employée dans cette étude ............................................................................................... 6

2 Un domaine complexe à étudier ........................................................................................ 6


2.1 Cadrage du domaine étudié .............................................................................................................. 7
2.2 Questionnaire et ajustement ............................................................................................................. 7
2.3 Une couverture variable par les outils ............................................................................................... 8
2.4 Le paysage des acteurs ..................................................................................................................... 9

3 Classification des produits ............................................................................................... 10


3.1 La catégorie 1 ............................................................................................................................... 10
3.2 La catégorie 2 ............................................................................................................................... 11
3.3 La catégorie 3 ............................................................................................................................... 11

4 Profils des sociétés ........................................................................................................... 12


4.1 Office Shadow (Shadow Planner) .................................................................................................. 12
4.2 Groupe DEVOTEAM (PARAD) .......................................................................................... 12
4.3 Sungard (Business Continuity Management suite ‘BCM’) ............................................................ 13
4.4 Keyword (Isiman PCA) ................................................................................................................ 13
4.5 eFront (eFront PCA) ................................................................................................................... 14
4.6 AGERIS GROUP (Score Web) ................................................................................................ 16
4.7 BCCM Strategy (Phenix) ............................................................................................................. 17
4.8 Cedralis (Viappel outil d’alerting) ................................................................................................. 17
4.9 F24 (Fact 24 outil d’alerting) ....................................................................................................... 17

5 Comparaison synoptique résumée des outils .................................................................. 19


5.1 Domaines couverts......................................................................................................................... 19
5.2 Positionnement sur les axes d’évaluation PCA .............................................................................. 20
5.3 Positionnement sur les axes d’évaluation Risques-Gouvernance ....................................................... 21

6 Comparaison détaillée des outils ..................................................................................... 22


6.1 Comparaison détaillée des outils de catégorie 1................................................................................ 22
6.2 Comparaison détaillée des outils de catégorie 2................................................................................ 31
6.3 Comparaison des outils d’alerte...................................................................................................... 39

Copyright The Duquesne Group 2009 Page 2 /62


Outils PCA en France

7 Caractéristiques techniques des produits ........................................................................ 42


7.1 Shadow Planner (Office Shadow) .................................................................................................. 42
7.2 PARAD (Groupe Devoteam) ...................................................................................................... 42
7.3 Business Continuity Management Suite (Sungard) ......................................................................... 43
7.4 Isiman PCA (Keyword) ................................................................................................................ 43
7.5 Efront PCA (eFront) ................................................................................................................... 44
7.6 Score Web (Ageris) ....................................................................................................................... 44
7.7 Phenix (BCCM Strategy) ............................................................................................................. 45
7.8 Viappel (Cedralis) ........................................................................................................................ 46
7.9 Fact F24 (F24) ........................................................................................................................... 46
7.10 Bilan sur les aspects techniques ...................................................................................................... 46

8 Politique de tarification et de mise en œuvre .................................................................. 47


8.1 Shadow Planner (Office Shadow) .................................................................................................. 47
8.2 PARAD (Groupe Devoteam) ...................................................................................................... 48
8.3 Business Continuity Management Suite (Sungard) ......................................................................... 49
8.4 Isiman PCA (Keyword) ................................................................................................................ 50
8.5 E-Front PCA (eFront) ................................................................................................................ 51
8.6 Score Web (Ageris) ....................................................................................................................... 51
8.7 Phenix (BCCM Strategy) ............................................................................................................. 51
8.8 Viappel (Cedralis) ........................................................................................................................ 51
8.9 Fact F24 (F24) ........................................................................................................................... 52
8.10 Bilan sur la facilité de mise en œuvre .............................................................................................. 52

9 Atouts et défis à relever .................................................................................................... 53


9.1 Shadow Planner (Office Shadow) .................................................................................................. 53
9.2 PARAD (Groupe Devoteam) ...................................................................................................... 53
9.3 Business Continuity Management Suite (Sungard) ......................................................................... 54
9.4 Isiman PCA (Keyword) ................................................................................................................ 54
9.5 eFront PCA (eFront) ................................................................................................................... 54
9.6 Score Web (AGERIS Group) ..................................................................................................... 55
9.7 Phenix (BCCM Strategy) ............................................................................................................. 55

10 Autres outils du marché .................................................................................................. 55

11 Synthèse en conclusion ................................................................................................... 57


11.1 Le marché est contrasté .................................................................................................................. 57
11.2 Des outils différents ....................................................................................................................... 57

Copyright The Duquesne Group 2009 Page 3 /62


Outils PCA en France

11.3 La maturité des acteurs ................................................................................................................. 59


11.4 La situation spécifique du client ..................................................................................................... 60

Copyright The Duquesne Group 2009 Page 4 /62


Outils PCA en France

1 Introduction
Le sujet ‘continuité d’activité’ est complexe et se prête à des approches variables. La réalité en
entreprise est contrastée : certaines ont bien identifié le sujet et se sont dotées de RPCA, d’autres
voient cela comme un sous-thème de la sécurité. D’autres encore –dans le monde bancaire en
particulier- préfèrent une approche plus intégrée avec la gestion de l’ensemble des risques
opérationnels.

Depuis environ deux ans toutefois, le sujet en France vient sur le devant de la scène en tant que
tel : les entreprises (et les grandes organisations) cherchent à se rendre plus résilientes face aux
sinistres et à pouvoir rétablir au mieux leurs activités jugées critiques.

1.1 Une brève histoire du PCA

Il est possible schématiquement de distinguer trois vagues successives de mise en place d’actions
de « continuité d’activité » dans l’entreprise :

 La première vague que l’on peut caractériser par les mots « gestion de crise » : une
Direction générale met en place un dispositif minimal pour pouvoir prendre des décisions
en cas de coup dur. Cela ne concerne pratiquement pas les opérationnels et reste
confidentiel. Les quelques outils utilisés servent à lancer l’alerte ou gérer des listes de
contacts.

 La vague « PRA, plan de secours informatique », etc. arrive ensuite : elle concerne à
l’inverse les opérationnels, qui cherchent à pallier une perte ou une destruction. Cette
approche est tournée vers les moyens, qui sont assez souvent vus comme monolithiques
(un centre, un mainframe, toutes les applications) avec des solutions plus techniques
qu’organisationnelles. Des investissements parfois coûteux sont consentis lors de cette
deuxième vague.

 Enfin, la vague « Gestion de la Continuité » actuelle qui commence à bien s’implanter en


France. Souvent initiée par des réglementations, elle apporte comme nouveauté principale
une préoccupation portant sur les activités critiques de l’entreprise : il convient de les
déterminer et de les rendre plus résilientes. Elle donne un rôle essentiel aux « business
owners » ou responsables d’activité métier. La nomination d’un RPCA est souvent la
caractéristique de cette vague.

Ces trois vagues sont encore présentes à des degrés divers en entreprise et y ont laissé leurs
sédiments plus ou moins épais et superposés. La première vague a laissé le culte du secret et de
l’échange des numéros de téléphones privés des dirigeants, la seconde a fait réaliser des
investissements technologiques pour la continuité des moyens (mais pour quoi faire en fait ?) et la
dernière enfin, replace au centre de la scène ce qui aurait toujours dû y être : les activités critiques.

Copyright The Duquesne Group 2009 Page 5 /62


Outils PCA en France

1.2 Vers un besoin d’outil

Les RPCA ou plus généralement les responsables en charge de la continuité d’activité dans
l’entreprise héritent donc d’une situation complexe où des solutions techniques très diverses
cohabitent avec une documentation abondante (fichiers divers, papiers, tableaux Excel en grand
nombre).

Tout cet ensemble pose des problèmes :

- de cohérence, car ces documents évoluent indépendamment les uns des autres ;
- de tenue à jour ou de « maintien en condition opérationnelle » ;
- de vieillissement : que faire des documents au bout d’un certain temps ?
- potentiellement de gestion de versions, de nature diverses et variées ;
- de responsabilité : les rôles ne sont pas clairement attribués sur les différents éléments de
documentation ;
- de contrôle : qui a fait quoi ? qui doit faire quoi sur la documentation ?
- d’exécution : où trouver ce dont on a besoin ?

Le besoin de recourir à un outil se fait alors sentir autant pour mener la démarche d’élaboration
de PCA que pour le tenir à jour, le tester et aider à l’exécution éventuelle.

C’est pour cela que bon nombre d’entreprises ayant eu des démarches PCA avec une approche
traditionnelle peu outillée réfléchissent actuellement à l’acquisition d’outils dans ce domaine.

Une étude sur ce sujet s’impose donc.

1.3 La méthode employée dans cette étude


Nous avons d’abord défini le périmètre de l’étude : pour cela nous avons utilisé ce qui se pratique
couramment pour le PCA, en commençant suffisamment en amont (analyse des risques) et en
allant assez loin en aval (les tests) de manière à couvrir largement le sujet.

En nous appuyant sur l’ouvrage « Management de la Continuité d’activité » d’Emmanuel Besluau


aux éditions Eyrolles, nous avons élaboré un questionnaire de 134 points qui balaient le spectre
considéré. Le lecteur pourra se référer à cet ouvrage pour avoir plus de précisions.

Sur la période allant de mars à juin 2009, les réponses aux questions ont été collectées, discutées
et évaluées par Duquesne Research. Les notes attribuées tiennent compte de l’opinion des
analystes. Cette analyse s’appuie donc sur les discussions avec les éditeurs, sur des démonstrations
interactives ainsi que sur les connaissances des analystes. Elle a parfois été corroborée par des
entretiens avec des utilisateurs choisis par Duquesne Research.

Les détails de cette analyse sont présentés plus loin.

2 Un domaine complexe à étudier


Cette étude vise à faire le point sur les outils d’aide à la création, gestion et exécution de plans de
continuité d’activité. Le périmètre cerné nécessite d’être précisément défini. Le domaine de la

Copyright The Duquesne Group 2009 Page 6 /62


Outils PCA en France

continuité d’activité est en effet très vaste et les outils pouvant prétendre à figurer dans cette
catégorie à un titre ou à un autre, sont potentiellement multiples.

2.1 Cadrage du domaine étudié


Pour avoir une couverture assez large mais suffisamment précise du domaine nous avons décidé
de retenir les sept aspects principaux de la continuité d’activité qui correspondent à la pratique
couramment rencontrée.

Le domaine de la continuité d’activité considéré dans cette étude recouvre les sept points listés ci-
dessous.

Les aspects d’anticipation, de création du Plan, couvrant :


1. La maîtrise des risques : plus précisément l’analyse portant sur les risques de sinistres
impactant les activités de l’entreprise, suivi de plan d’actions de mise sous contrôle ;
2. Le bilan de l’impact sur les activités (ou BIA : business impact analysis) qui consiste
essentiellement à déterminer dans l’entreprise les processus dont la perte est la plus
dommageable et à en lister les diverses contraintes de continuité ou de reprise ;
3. La stratégie de continuité : consiste à choisir parmi les options possibles celles que l’on veut
mettre en œuvre en cas de sinistre.

Ces trois points sont des sujets d’étude d’une part, de décision et de plan d’actions suivis d’autre
part. Ils se situent dans un cycle long et ne sont pas contraints par les événements.

Il n’en va pas de même avec les points suivants qui concernent la survenance du sinistre et la
mise en place préparatoire des actions à faire et qui sont donc très soumis aux aléas et sous
contrainte de temps ; c’est le cœur du PCA :
4. La définition des groupes, missions et responsables : pour constituer à l’avance des groupes
dotés d’objectifs orientés, de profils de compétences et de divers moyens ; mais aussi
pour lancer les alertes ;
5. Le planning de reprise d’activité : pour fournir aux groupes ci-dessus des listes-guides
d’actions à faire avec des éléments de dimensionnement de la charge et d’explication de
contexte.

Enfin, il est important d’inclure dans le périmètre les deux points suivants qui permettent
d’inscrire les actions de continuité dans la durée et de les maintenir sous contrôle :
6. Les tests des plans de continuité : définition des campagnes de tests et suivi des réalisations
et décisions ;
7. La gouvernance de la continuité avec les indispensables outils d’auto-évaluation et d’audit.

L’ensemble de ces points a fait l’objet de questionnaires ciblés qui furent soumis à divers éditeurs
de logiciel.

2.2 Questionnaire et ajustement


Se référant à l’ouvrage « management de la Continuité d’activité » (Éditions Eyrolles) des listes de
questions ont été fabriquées et envoyées aux éditeurs.

Le tableau ci-dessous indique la répartition des 134 questions selon les sept points
mentionnés plus haut :

Copyright The Duquesne Group 2009 Page 7 /62


Outils PCA en France

Maîtrise des risques 17 PCA : Missions & responsables 18


Appréciation du risque 6 Cadrage 5
Evaluation des options face au risque 4 Le centre de gestion de crise 8
Prise de décision 5 Missions, équipes & responsabilités 5
Documentation de l'analyse 2 PCA : Le planning 25
Bilan de l'impact sur les Activités 16 Définition des étapes 10
Déterminer les activités critiques 5 Définition des livrables 4
Déterminer les configurations 5 Affectations des groupes 4
Déterminer les paramètres de reprise 4 Aide à l'exécution 7
Documentation de l'analyse 2 Tests 28
Elaborer la stratégie de continuité 16 Cadrage des tests 6
Expression des besoins de reprise 3 Plan de tests 9
Etude des options de reprise 3 Exécution des tests 5
Confrontation options/exigences métiers 2 Bilan des tests 8
Etude de coût/faisabilité 3 Gouvernance 14
Choix, décision, documentation 3 Référentiels 3
Documentation de l'analyse 2 Questionnaires 4
Suivi 5
Documentation de l'analyse 2

En cours d’analyse, nous avons alors constaté les deux phénomènes suivants :
 La documentation est omni-présente et les fonctions de type workflow documentaire
sont intéressantes à regarder en tant que telles.
 La plupart des utilisateurs disent coupler leurs outils à des systèmes de lancement
d’alertes, dits ‘alerting’.

Nous avons donc ajouté ces deux points pour aboutir à un schéma d’urbanisme applicatif
complet tel que présenté ci-dessous :

Gouvernance

Business Groupes, missions,


Impact responsables
Analysis
Maitrise
Tests
des risques
Planning de reprise
Stratégie d’activité
de
continuité
Alerting
Workflow documentaire

Les fournisseurs occupent plus ou moins de cases avec plus ou moins de profondeur.

2.3 Une couverture variable par les outils


Étant donné les caractéristiques du domaine décrit ci-dessus, il ne faut pas s’attendre à ce qu’un
outil du marché couvre tous les points à la fois. En effet :

Copyright The Duquesne Group 2009 Page 8 /62


Outils PCA en France

 Les trois premiers points du domaine étudié (maîtrise des risques, BIA et stratégie)
nécessitent des fonctions de partage d’informations, de conservation de documents de
référence, de reporting et d’escalade. On trouvera dans cette catégorie plutôt des outils de
workflow et de gestion de documents ou de contenus adaptés au domaine de la
continuité.
 Les points liés aux groupes et plans de crise à dérouler seront les domaines d’utilisation
d’outils de lancement d’alertes, de planning avec suivi d’exécution, de main courante, de
gestion de configuration de moyens informatiques par exemple.
 Enfin les aspects de tests et de gouvernance seront demandeurs d’outils de workflow, de
formulaires configurables, d’accès à des sous-ensembles de plans, de facilité à réaliser des
rapports, par exemple.

La continuité d’activité est donc typiquement un domaine où l’on trouvera soit des produits isolés
(« best of breed ») ne couvrant pas tous les points soit un assemblage de produits plus ou moins
couplés (suite logicielle) ayant vocation à couvrir tous les aspects au prix de compromis
éventuellement. On trouvera donc plusieurs situations d’offres :

 des suites de modules divers offerts par un même éditeur qui a lui-même constitué son
offre par des rachats spécifiques, la suite d’outils de Sungard autour de LDRPS est un bon
exemple de ce cas ;
 des « produits ponctuels » particulièrement ciblés sur une partie centrale du spectre à
couvrir, ces produits sont souvent couplables à d’autres produits ponctuels eux-aussi :
PARAD de Devoteam est un exemple de produit centré sur des moyens et l’informatique
et couplable avec un produit comme F24 par exemple pour l’alerte ;
 enfin des produits centrés sur une technologie de type workflow ou gestion de contenu
qui joue un rôle central et sur laquelle différents applicatifs s’appuient ; ces produits sont
souvent utilisés pour la gestion des risques et s’étendent vers la gestion des PCA. On peut
citer les outils des sociétés Keyword et eFront dans cette catégorie.

Si l’on considère le schéma suivant présentant le paysage d’ensemble du domaine, on constatera


que les fournisseurs couvrent plus ou moins de cases avec plus ou moins de profondeur.

2.4 Le paysage des acteurs


En ce qui concerne les sociétés qui proposent des outils de gestion de la continuité d’activité en
entreprise, il est important de faire plusieurs distinctions.

D’abord, on constate deux natures d’acteurs :

 des éditeurs de logiciel ou plus exactement des sociétés qui ont une activité d’édition de
logiciel identifiée comme telle au sein d’une structure plus large : souvent l’outil
développé représente un investissement fort en interne et repose sur une base
technologique traditionnelle (type base de données, Java, C, .Net, …) ;
 des sociétés de conseil qui, pour leurs propres besoins ou pour assister leurs missions en
clientèle, ont progressivement élaboré des outils sur le thème de la continuité : ce sont en
général des outils de type formulaire de saisie ou collecte d’information via le web en
technologie assez légère (Excel au début, puis accès web en PHP).

Copyright The Duquesne Group 2009 Page 9 /62


Outils PCA en France

On constate souvent que les éditeurs proposent des licences traditionnelles alors que les sociétés
de conseil pratiquent la forme SaaS (software as a service) qui leur permet d’éviter d’avoir à gérer
des copies et des versions installées chez les clients.

Une autre distinction est à faire en ce qui concerne le passé des acteurs considérés. On trouve en
effet :
 les sociétés qui ont un passé et des compétences développées dans la gestion de
continuité qui constitue un de leur pôles principaux (comme Devoteam ou Sungard) ;

 les sociétés qui ont des compétences dans des domaines voisins de la continuité et
finissent par la traiter vraiment : la gestion de risques par exemple est une compétence à
partir de laquelle la continuité et les aspects de gouvernance peuvent être abordés.

Keyword eFront Ageris BCCM Strategy


(Isiman PCA) (eFront PCA) (Score Web) (Phenix)

Editeur Oui Oui Non Non

Base installée outils PCA 1 1 une dizaine 1 ou 2

Présence et compétence
Non Non Oui Oui
PCA établie
Base installée hors outils
Oui Oui Non Non
PCA

Compétence hors PCA Oui Oui Non Non

Culture GRC
Profil culturel Gestion Documentaire Continuité d'activité Consultant
Conformité

Enfin, il est important de noter une différence qui va se traduire par des coûts de mise en œuvre
très variables, selon la nature et le degré de finition du produit fourni au client :
 certains outils sont bien délimités, achevés, paramétrables et s’installent en quelques
heures avec peu d’assistance ;
 d’autres outils plus récents, en cours de finalisation vont nécessiter des dizaines de jours x
hommes en réalisation et développements complémentaires, suivis de tests divers avant
réception définitive.

Il faut noter aussi que l’adaptation des produits au contexte du client peut se faire de deux
manières : par paramétrage ou par des adaptations plus ou moins complexes du code. Cette
distinction n’est pas neutre en termes de coût.

3 Classification des produits


Les produits analysés ont été regroupés en catégories en tenant compte de l’importance du
marché installé et de la nature de l’outil.

3.1 La catégorie 1
Cette catégorie regroupe les outils qui sont des produits existant sur le marché depuis plus de
3 ans et dont la base installée est importante.

Copyright The Duquesne Group 2009 Page 10 /62


Outils PCA en France

On classe dans cette catégorie :


 Shadow Planner de la Société Office Shadow,
 PARAD de la Société Devoteam,
 La suite Business Continuity Management de la Société Sungard qui est rattachée
à cette catégorie car ce produit, bien que peu présent en France, est le leader mondial
du domaine.

3.2 La catégorie 2
Dans cette catégorie sont classés des outils plus récents, qui sont des extensions ou des
évolutions de logiciels présents antérieurement dans des domaines connexes et venant
désormais sur le segment de la gestion de PCA.

Selon leur origine, on peut distinguer deux situations :


 Les outils de type gestion documentaire ou GRC (gouvernance, risque, conformité)
qui élargissent leur champ à la prise en compte de PCA.
Il s’agit principalement de Isiman PCA de la société Keyword et d’eFront PCA de la
société eFront.

 Des outils émanant de sociétés de conseil ou de service du domaine de la continuité


d’activité qui depuis peu améliorent un outillage adapté à l’origine au support de leur
activité.
Dans cette catégorie se trouvent des sociétés comme AGERIS avec le logiciel Score
Web, et BCCM Strategy avec le logiciel Phenix.

3.3 La catégorie 3
Nous mettons dans cette catégorie les produits d’alerting, c'est-à-dire les outils qui permettent
de déclencher les alertes en générant des appels ou l’envoi de messages par plusieurs moyens.

En effet, il nous a semblé utile de faire figurer ces outils dans cette étude, car ils représentent
souvent un complément utile aux autres produits et sont souvent mentionnés par les
utilisateurs. Sont considérés dans l’étude :
 Viappel de la Société Cedralis,
 Fact 24 de la Société F24,

On peut noter que la société Sungard propose un outil d’alerte : Notifind que nous
n’étudions pas.

Les trois catégories ainsi présentées font l’objet chacune d’une analyse plus détaillée dans ce
qui suit.

Copyright The Duquesne Group 2009 Page 11 /62


Outils PCA en France

4 Profils des sociétés


Dans ce chapitre nous présentons succinctement des chiffres clés sur les sociétés étudiées.

4.1 Office Shadow (Shadow Planner)


La société fut créée en 2001 par deux entrepreneurs britanniques. La structure française fut lancée
en 2005 à Paris.

année 2008 année 2007 année 2006


CA H.T. £ (consolidé) 3.150 M£ 2.100 M£ 2,355 M£
CA H.T. ~3.8 M ~2.500 M ~3 M
Résultat £ 51.000 £ 77.000 £ 186.000 £
Effectif du Groupe 67 60 51

Répartition % CA lié à l’outil :


65% licences
15% maintenance et hébergement
20% services

Références : Environ 180 dans le Monde parmi lesquelles on peut citer:


Boeing, Pfizer, Sanofi Aventis, Groupe Caisse d’Épargne, Groupe Société Générale, PMU,
Harrods, Euronext, BP, Réunica, DHL, Givaudan, Putnam Investment, Lloyds TSB,
Cortal Consors, Sony, Visa, Avon, Royal Sun Alliance, NHS (hôpitaux au Royaume Uni),
Rothschild, Computer Associates…

En France les plus gros clients cités sont la Société Générale (env. 20 000 licences) et le groupe
Caisse d’Épargne (pouvant aller à 50 000 utilisateurs).

4.2 Groupe DEVOTEAM (PARAD)

Historiquement, on peut rappeler que la spécialisation en produit de Continuité d’activité était,


dès 1992, le fait de la société TTA (Théron, Tête et Associés) devenue XP-Conseil et qui fut
rachetée par Devoteam.

CA 2008 toute activité : 460 Millions d’Euros.

Effectifs au 01/03/2009 : 5 000 personnes

Résultats Net sur 3 ans :


2008 : 19,2 M Euros
2007 : 19,5 M Euros
2006 : 16 M Euros

CA en France lié à l'outil : 620.000 Euros

Références : Une centaine (liste non exhaustive), dont :

Copyright The Duquesne Group 2009 Page 12 /62


Outils PCA en France

Groupe Crédit-Mutuel–CIC, CEDICAM, FORTIS Banque, HSBC France, Crédit


Immobilier de France, Dexia, Société Générale Private Banque, Lombard Odier Darier
Hentsch & Cie, BMCE Bank, CNP Assurances, COFACE, MAIF, Caisse d'Épargne Ile de
France, Banque Privée Edmond de Rothschild, AXA Tech, Assurance Maladie
(CNAMTS), Assurance Vieillesse (CNAV), AUCHAN, Bouygues Télécom, Air Liquide,
Servier-Praxis, Laboratoires ROCHE, NORAUTO International, MEDITEL, Ministère
des Finances de Belgique, CMA-CGM, Kernéos.

4.3 Sungard (Business Continuity Management suite ‘BCM’)


Le Groupe Sungard réalise un Chiffre d’Affaires de 5,6 milliards de dollar US pour 2008, et n’est
pas coté en Bourse.

La partie disponibilité « availability » du groupe réalise : 1,6 Mds US$ avec 2500 employés dans 12
pays (dont 117 en France pour 600 clients). Le chiffre d’affaires « produit logiciel » représente
environ 2,5% de ce chiffre.

La société est aussi présente en Europe au Royaume-Uni, Danemark, Luxembourg, Suède,


Norvège et Belgique.

Sungard compte 2800 références actives sous maintenance de ses produits dans le monde.

La suite de produits logiciels BCM de Sungard doit beaucoup au rachat de la société Strohl en
2008 qui était le leader mondial du marché. L’ancien produit de Sungard (Paragon) est abandonné
et ne compte pas d’installation significative en France.

Sungard dispose de modules présents et installés sur le marché et mène des développements
assez importants qui vont progressivement enrichir son offre. Seuls les produits disponibles en
France au 1/6/2009 sont analysés dans cette étude.

Il est important de noter dans ce type de situation qu’il existe des recouvrements possibles entre
d’anciens produits et les nouveaux.

Quelques références : Alcan Packaging, Calyon US, BNP-Paribas monde, Mercedes-Benz,


Fedex, Aviva, ING, AIG, Arab Bank, Novartis.
Ces références sont des sociétés mondiales avec une présence en France.

La société Sungard France, autrefois inactive en termes de vente de progiciel de ce type,


commercialise désormais activement le portefeuille de la BCM suite. Il faut s’attendre à ce que le
marché se développe en France pour ce type d’outils.

4.4 Keyword (Isiman PCA)

Cette société a débuté depuis plus de vingt ans avec des logiciels d’analyse de code et de
documentation de type manuel utilisateur et technique. La philosophie de base qui consiste à
associer un document à un responsable chargé de le tenir à jour –avec des workflows de
validation- est particulièrement bien adaptée au PCA que l’on peut effectivement considérer
comme un ensemble de documents avec des responsables tenus de les gérer.

Copyright The Duquesne Group 2009 Page 13 /62


Outils PCA en France

Ce n’est donc pas un hasard si après être passée à la gestion des risques (outil de GRC) la société
Keyword aborde depuis quelques mois le PCA. L’activité purement PCA de Keyword est récente,
elle est en cours de construction par des extensions à partir des solutions existantes.

CA, effectifs et résultats :

2006 2007
CA 1, 751 M EUR 1,917 M EUR
Résultats 6,5 k EUR 3,4 k EUR
Effectifs 23 25

L’activité est à 100% sur les produits logiciels de la famille ISIMAN dont ISIMAN PCA fait
partie. La société demeure rentable tout en investissant dans des développements et extensions
adaptés à la demande des clients.

L’assistance à maîtrise d’ouvrage des projets est assurée par des cabinets spécialisés, partenaires
de Keyword, maîtrisant l’utilisation des Solutions ISIMAN ainsi que les organisations et
méthodes de travail à mettre en regard de ce type de projets.

Les références (sélection) :


Pour les outils ISIMAN Performance :
Banque de Gestion Edmond de Rothschild (Monaco), Banque Libano-Française (Liban), BNP
Paribas, Caisses d'Épargne, Crédit Agricole (28 Caisses Régionales, APIS, ATICA, SCT Mer), Crédit
Mutuel, Federal Finance, Groupama SA , GSIT (BANQUE DE FRANCE), HSBC, LCL,
MAMDA – MCMA (Maroc), Société Générale.

La Poste (l’Enseigne), AGIRC-ARRCO, École Polytechnique de Lausanne (Suisse), IRP Auto,


Institut de Radioprotection et de Sûreté Nucléaire, Office National Eau Potable (Maroc),
ONERA, OPAC Val d'Oise, Préfecture de la Région Midi-Pyrénées (SGAR), RATP Centre Bus,
UNEDIC/ASSEDIC/CSIA, SI2M-MEDERIC et Malakoff.
AlliedSignal Turbo (Brésil, France, Irlande), Arc International, AREVA (Framatome ANP,
Technicatome), BIMO (Maroc), Cegelec, COSUMAR (Maroc), EM Technologies, Lafarge –
Plâtres, LVMH Vins et Spiritueux - MHIS Moët & Chandon, MAÏSADOUR, Parisot Meubles,
Thales-PROTAC, ROLEX (Suisse), Rowenta, Saint-Gobain Canalisation, SEB, SNIM
(Mauritanie).

Carlson Wagonlit Travel (Groupe, France), CARREFOUR (France), CARREFOUR Thalès (30
pays), FNAC, GL Events, MONOPRIX, OPERA (Centrale d'achat CASINO-CORA-MATCH)
SA HLM (Foyer Angoulême, Castors Angevins, IDF Habitat), Shiseido Europe

Pour les extensions de l’outil ISIMAN au PCA : Le groupe Crédit Agricole (en particulier le GIE
Synergie qui joue un rôle de spécification fonctionnelle important).

4.5 eFront (eFront PCA)


A sa création en 1999, le premier objectif d’eFront était de créer une architecture technique et des
outils de développement pour gérer la nouvelle génération de services que représentait l'ASP
(application service provider) à l’époque. Cela s’était traduit par le développement d’une plate-
forme technique (Frontware) sur laquelle il était possible de développer des services rapidement.

Copyright The Duquesne Group 2009 Page 14 /62


Outils PCA en France

L’ASP n’ayant pas réussi à s’imposer sur le marché, eFront s’est repositionné et aujourd’hui est
spécialisé dans l'édition et la commercialisation de solutions logicielles destinées principalement
aux secteurs de la finance et de l'assurance. L'activité du Private Equity est particulièrement visée
par eFront où il s’est développé avec succès.

Dans le domaine de la gestion des risques, le produit d’ eFront a été choisi par certains réseaux
bancaires français pour gérer les risques opérationnels.

Par ailleurs, le progiciel s'est enrichi de nouvelles fonctionnalités dans le domaine du contrôle
permanent et des plans de continuité d'activité, qui constituent une extension naturelle des offres.

Sur les années 2007-2008, eFront a investi significativement pour mieux couvrir le marché en
Europe et au Moyen Orient, à travers des recrutements et une organisation adaptée.

La société a aussi augmenté significativement ses dépenses de recherche et développement afin


d’accompagner cette évolution en faisant évoluer ses produits entre autre pour mieux couvrir les
aspects de contrôle permanent, de gestion de risque et du PCA.

Cela se reflète dans l'accroissement (plus de 40%) de l'effectif moyen en 2007 et la mise en place
progressive de moyens capables de soutenir les objectifs de croissance.

Tous ces investissements et dépenses se traduisent par des pertes sur l’exercice 2008.

CA sur 3 ans :
2008 : 14 millions Euros
2007 : 12 millions Euros
2006 : 9,5 millions Euros

Effectifs 2008 : 132

Résultats sur 3 ans :


2008 : (1,37 M Euros)
2007 : 1,7 M Euros
2006 : 2,7 M Euros

Pourcentage du CA lié à l'outil : Non disponible

Références :
Pour les modules eFront (hors PCA, orientés gestion de risques) :
Plus de 20 références dont La Banque de France, La Banque Postale, La Société Générale,
BNPP.

Pour les modules eFront-PCA : Les Banques Populaires.

Le produit eFront-PCA a été développé en relation étroite avec un client particulier : les Banques
Populaires. Après avoir développé une méthode pour la prise en compte de la continuité
d’activité en son sein, les Banques Populaires ont fait développer par eFront un produit
répondant aux besoins complexes de ce grand compte. La consolidation à l’échelle du Groupe
était la préoccupation principale qui se retrouve dans l’outil.

Copyright The Duquesne Group 2009 Page 15 /62


Outils PCA en France

Le produit est actuellement dans une phase de validation interne. C’est la volonté d’eFront de le
commercialiser à d’autres utilisateurs sur le marché.

La stratégie d’eFront est d’offrir une suite logicielle FrontGRC, modulaire et intégrant les
problématiques Risques Opérationnels, Contrôle Permanent, Audit et gestion des PCA au dessus
d’un référentiel intégré de gouvernance offrant une vision unifiée de ces différentes initiatives.

4.6 AGERIS GROUP (Score Web)


Créé en 2003, Ageris Consulting est un cabinet de conseil spécialisé dans la gestion des risques.
De taille humaine, la société est située à Metz et occupe principalement le marché grand Est
(Alsace, Lorraine, Luxembourg, Belgique), avec des missions ou des partenariats sur la France
entière.

L’activité principale d’origine est le management de la sécurité des SI au niveau tactique et


opérationnel. Ageris Consulting s’appuie sur les compétences d’ingénieurs consultants spécialistes
en sécurité des SI. Dans le cas où la société n’a pas les ressources en interne, un réseau de
compétences pluridisciplinaires est mis en place grâce à des partenariats professionnels en France
ou à l’étranger.

L’activité s’est progressivement élargie à la prise en compte des PCA, suivant en cela l’évolution
du marché. Une entité « software » ainsi qu’une autre « training » consacrée à la formation sont
apparues pour traiter spécifiquement ces aspects complémentaires du conseil.

La société avait progressivement développé des outils logiciels (sous Excel) et constitué ainsi la
panoplie du consultant sous le nom générique « Score ». Souhaitant en élargir l’usage et permettre
une appropriation facile par les clients, la société est en train de porter ces logiciels en
environnement web. Elle a obtenu un financement par l’Oseo Anvar.

Les outils de cette société se déclinent désormais en deux gammes :


- Compliance (conformité) : constitution de questionnaires, réalisation de diagnostics avec
un moteur générique, puis production de rapports.
- PDCA (pour le cycle d’amélioration continue ‘plan, do, check, act’) : management, cercle
d’amélioration continue avec un module Process Management de description de
l’entreprise, de ses actifs, contrats, annuaires etc.

Cette société est un représentant type des cabinets de conseil ayant évolué sur le marché des
outils en ligne en complément de ses activités.

CA sur trois ans :


2008 : 700 K Euros
2007 : 320 K Euros
2006 : 300 K Euros

Effectifs : 14 en 2008

Répartition du CA lié à l’outil : <20%

Références :
France : Ethypharm, Bonduelle, Les Eaux du Nord.
Suisse : UBP, Banque Pictet, LODH.

Copyright The Duquesne Group 2009 Page 16 /62


Outils PCA en France

Bénélux : Degroof.
Maroc : CDG, CMM,Sofac, Maroc leasing.

4.7 BCCM Strategy (Phenix)

Cette petite société figure malgré tout dans cette étude, car elle représente une approche assez
originale de la problématique du PCA « allégé » et facile à mettre en œuvre. De ce point de vue,
elle peut tenir un rôle de challenger sur un segment du marché.

De plus, la référence citée est prestigieuse.

CA sur 3 ans :
2008 : 220 K Euros
2007 : 50 K Euros
2006 : 160 K Euros

Effectif : 1,5 à 2

Pourcentage du CA lié à l'outil en 2008 : 20 %

Nombre de référence : 1
Référence : AXA Gie

4.8 Cedralis (Viappel outil d’alerting)

Ayant développé des outils divers pour la gestion et le déclanchement des alertes, cette société est
mentionnée ici à ce titre.

CA 2008 : 1 M Euros.

Effectif : 6 personnes.

Pourcentage du CA lié à l’outil : 90%

Nombre de références :
Plus de 250 références (Services de l'État, Préfectures, Conseils Généraux, Communes de
50 à 450 000 habitants, SDIS, Entreprises SEVESO, Banques, Hôpitaux, Grands Groupes
du CAC 40, etc.)

4.9 F24 (Fact 24 outil d’alerting)

Ayant développé des outils divers pour la gestion et le déclanchement des alertes, cette société est
mentionnée ici à ce titre.

CA 2008 (non consolidé) : 2,12 M Euro.

Effectif : 23 personnes.

Copyright The Duquesne Group 2009 Page 17 /62


Outils PCA en France

Résultat : Déficit conformément au business plan annoncé.


La société F24 affirme être solide financièrement compte tenu de ses fonds propres. La
société est en phase de développement à l’international suite à une levée de capitaux.
L’équilibre est prévu pour 2009.

Pourcentage du CA lié à l’outil : 88%.

Nombre de références : + de 300 aujourd’hui.

Copyright The Duquesne Group 2009 Page 18 /62


Outils PCA en France

5 Comparaison synoptique résumée des outils


A partir des données collectées dans les questionnaires, nous comparons par catégorie les
produits dans les domaines qu’ils couvrent.

Ce chapitre donne une vision rapide et synthétique des résultats qui sont détaillés plus loin au
chapitre 6.

5.1 Domaines couverts


Une note de 0 à 5 a été attribuée à chaque réponse. La note 0 correspond à une absence de
couverture du domaine indiqué dans le questionnaire, la note 5 pour une couverture qui nous
semble la meilleure raisonnablement possible.

La mention « hors périmètre » signifie que l’outil n’obtient aucune note dans un domaine qu’il
n’ambitionne pas de couvrir. Nous avons par ailleurs exclu les outils de catégorie 3 (alerting) de
ce tableau ; produits complémentaires, ils n’ont pas vocation de traiter les points ci-dessous.
Catégorie 1 Catégorie 2

Shadow
Parad BCM Suite Isiman PCA eFront PCA Score Web Phenix
Planner
Maîtrise des risques 16 Hors périm 13 15 16 2 Hors périm
Appréciation du risque 4 Hors périm 4 4 4 2 Hors périm
Evaluation des options face au risque 4 Hors périm 2 4 4 0 Hors périm
Prise de décision 4 Hors périm 3 3 4 0 Hors périm
Documentation de l'analyse 4 Hors périm 4 4 4 0 Hors périm

Bilan de l'impact sur les Activités 16 12 17 16 17 14 14


Déterminer les activités critiques 5 1 5 4 4 4 4
Déterminer les configurations 4 4 4 5 4 4 3
Déterminer les paramètres de reprise 3 3 4 3 5 4 3
Documentation de l'analyse 4 4 4 4 4 2 4
Elaborer la stratégie de continuité 13 7 17 6 7 6 3
Expression des besoins de reprise 2 3 3 2 4 3 3
Etude des options de reprise 2 0 4 1 0 1 0
Confrontation options/exigences métiers 2 3 4 0 0 1 0
Etude de coût/faisabilité 1 0 2 2 0 0 0
Choix, décision, documentation 2 1 1 0 0 1 0
Documentation de l'analyse 4 0 3 1 3 0 0

PCA : Missions & responsables 10 11 12 8 7 10 9


Cadrage 4 4 3 3 2 4 1
Le centre de gestion de crise 3 3 5 3 3 3 4
Missions, équipes & responsabilités 3 4 4 2 2 3 4
PCA : Le planning 9 15 17 4 10 6 9
Définition des étapes 2 4 4 2 3 3 2
Définition des livrables 3 3 4 0 2 2 0
Affectations des groupes 2 5 5 1 3 1 4
Aide à l'exécution 2 3 4 1 2 0 3
Tests 11 15 13 7 14 12 9
Cadrage des tests 3 3 4 2 3 3 3
Plan de tests 2 4 2 2 4 4 2
Exécution des tests 3 4 4 0 3 3 3
Bilan des tests 3 4 3 3 4 2 1

Gouvernance 14 Hors périm Hors périm 16 14 10 5


Référentiels 3 Hors périm Hors périm 4 4 4 3
Questionnaires 4 Hors périm Hors périm 4 4 4 2
Suivi 3 Hors périm Hors périm 4 3 2 0
Documentation de l'analyse 4 Hors périm Hors périm 4 3 0 0

Copyright The Duquesne Group 2009 Page 19 /62


Outils PCA en France

5.2 Positionnement sur les axes d’évaluation PCA


Nous avons retenu comme axes pour les schémas radars ci-dessous, les cinq points « cœur de
métier » du PCA traditionnel (cf § 2.1) pour lesquels tous les produits sont pertinents, à savoir :
 L’analyse d’impact BIA
 La définition d’une stratégie
 PCA : missions et responsables
 PCA : le planning
 Les tests du PCA

Les notes ont par ailleurs été normées (tous les axes sont ramenés à une note sur 10).

Outils de catégorie 1 :

BIA
10
8
6
4
Tests Stratégie
2 Shadow
0 Parad
Sungard

PCA Planning PCA : missions

On note principalement :
 que les aspects « stratégie du PCA » sont les moins bien traités en général, ce qui n’est pas
trop surprenant car cela reflète le fait que ces aspects sont étudiés avant la réalisation du
PCA ou ailleurs (dans des entités en charge des moyens généraux ou de l’informatique par
exemple) ;
 que les axes « PCA missions », « PCA planning » et « tests » sont les points forts des outils
les plus « pragmatiques » à savoir LDRPS de Sungard et PARAD de Devoteam ;
 que l’outil Shadow Planner d’Office Shadow couvre aussi la maîtrise des risques et la
gouvernance qui ne figurent pas sur ce schéma.

Outils de catégorie 2 :

Le schéma suivant présente les trois outils de catégorie 2, les remarques sont les suivantes :

Copyright The Duquesne Group 2009 Page 20 /62


Outils PCA en France

 comme pour la catégorie 1, la « stratégie » est l’axe le moins bien couvert, pour les
mêmes raisons que plus haut ;
 venant de l’amont (la gestion des risques) ces trois outils ne sont pas encore
complètement descendus vers l’aval (l’opérationnel du PCA) et donc leur prise en charge
des plannings et des missions est plus légère ;
 par construction, ces outils vont chercher l’information là où elle se trouve et ne
l’intègrent pas en leur sein ; cela explique aussi que les aspects « missions » et surtout
« plannings » soient plus légers car ils sont juste indiqués par l’outil et gérés à l’extérieur.

BIA
10
8
6
4 eFront
Tests Stratégie
2
Keyword
0
Ageris
Phenix

PCA Planning PCA : missions

5.3 Positionnement sur les axes d’évaluation Risques-Gouvernance

Si l’on considère en revanche les outils qui se positionnent le plus en amont sur l’élaboration du
PCA, et qui donc partent de l’analyse des risques tout en intégrant des aspects de gouvernance,
nous retenons quatre outils.

Ces quatre outils, pertinents dans ce domaine, ont été positionnés dans un schéma comparatif :

Copyright The Duquesne Group 2009 Page 21 /62


Outils PCA en France

18
16
14
12
10
Gouvernance
8
Risques
6
4
2
0
Shadow Sungard eFront Keyword

Il est normal de voir aux premières places les outils de GRC adaptés au PCA : Keyword et
eFront. Il est remarquable d’y trouver très bien placé, aussi Shadow Planner qui, suivant en cela
les normes du BCI britannique, accorde de la place à ces aspects.

On note que Sungard prépare un module « compliance scorecard » pour les aspects de
gouvernance du PCA. Cela ne pourra qu’améliorer sa note sur le schéma.

Shadow Planner est le seul outil à figurer en bonne place dans tous les schémas.

6 Comparaison détaillée des outils


Ce chapitre présente l’analyse qui a été menée au niveau du détail.

6.1 Comparaison détaillée des outils de catégorie 1


Les résultats des séances de questions et réponses sont commentés ci-dessous à l’aide des
questionnaires. Le plan général est suivi.

6.1.1 L’analyse des risques de l’entreprise sur la continuité

Copyright The Duquesne Group 2009 Page 22 /62


Outils PCA en France

Maîtrise des risques Que permet l'outil

Shadow Planner Parad BCM Suite


Appréciation du risque
Identification des menaces Oui Oui (via la BIA)
Oui par intégration avec le module
Vision sur les actifs de la société Oui
Shadow-Planner BIA
Permet l'étude des risques et de leur
Conséquences sur les actifs de la société impact sur les ressources de Oui
l'organisation
Oui selon une matrice d'aversion
Chiffrage des probabilités Oui
(probabilité/impact)
Oui (possibilité de personnalisation
Calcul du risque Oui de Crystal reports pour calculer les
risques)
Visions par compartiments ? Oui si modélisé a priori Idem

Evaluation des options face au risque


Développement de scénarios de
Les options possibles Pour l'éditeur, ces Non
réduction des riques
questions concernent Oui (possibilité de personnalisation
Oui via la gestion de projet de les solutions de GRC,
Le chiffrage coût-efficacité de Crystal reports pour calculer les
réduction des risques qui correspondent à risques)
Oui, au travers de la politique de une autre gamme de
L'aversion au risque, matrice des risques logiciels différente, Non
risques définie par organisation
mais complémentaire,
Le dossier d'étude des risques Oui online, offline et archivages des outils de gestion Non
de PCA
Prise de décision
Ré-évaluation des options Oui Non
calcul de coût, CURR Oui Non, ou personnaliser
Documentation de l'ensemble Oui Oui
Oui par intégration avec le module
Mise en œuvre des options : plans Non mais dans LDRPS
BCP de Shadow-Planner
via le module BCP de Shadow-
Suivi et contrôle des plans d'actions Non
Planner

Documentation de l'analyse
Oui archivage et partage au sein de
Outil de conservation de la documentation produite Oui
bibliothèques
Oui avec validation et notion de
Outil de workflow possible Oui (Guide pour le BIA)
responsable de document
Ce tableau montre que le positionnement des produits est différent :

 Shadow Planner cherche à couvrir l’ensemble des aspects du domaine de la maîtrise de risque.
 PARAD est volontairement orienté PCA et considère que l’étude des risques n’est pas
demandée par ses utilisateurs et se trouve donc en dehors de son champ.
 BCM suite permet de traiter l’appréciation du risque et de documenter l’analyse. Il est moins
complet que Shadow Planner en ce qui concerne les options possibles et la prise de décision.

Sungard nous a annoncé qu’il disposerait d’un produit BCM suite plus complet au 3T09. Ce
produit n’a pas été analysé.

6.1.2 L’analyse d’impact sur l’activité (BIA : Business Impact Analysis)


Cette analyse est depuis toujours considérée comme étant le cœur de la problématique de la
continuité d’activité. Il n’est pas étonnant de constater que les trois outils couvrent l’ensemble des
activités du domaine du BIA.

Copyright The Duquesne Group 2009 Page 23 /62


Outils PCA en France

Bilan de l'impact sur les Activités Que permet l'outil

Shadow Planner Parad BCM Suite


Déterminer les activités critiques
Oui avec toutes les
Identifier et décrire les activités ressources qui les
caractérisent
Oui BIA Professionnal 4.0
Oui par entité concernée
Non comporte 41 questions
Estimer les impacts financiers dans le cadre de la politique
standard et des questions
BIA définie
personnalisables
Estimer les impacts opérationnels Oui
Estimer d'autres impacts Oui
Lister les activités critiques Naturellement Oui

Déterminer les configurations


MTD : Maximum Tolerable Downtime Oui
Oui
Oui, avec gestion du profil
hiérarchiser les priorités
de reprise paramétrable
Oui, et de toutes les
ressources souhaitées et
nécessaires, de façon Oui BIA Professionnal 4.0
description des systèmes informatiques
manuelle ou par intégration comporte 41 questions
avec les outils en place sur standard et des questions
le site client personnalisables
Oui
description des applications informatiques Oui, id

Oui, technologiques,
immobilières, mobilières,
description des autres ressources
humaines….aucune
contrainte à ce niveau.

Déterminer les paramètres de reprise


Oui par calcul automatique
Recovery Time Objective et Work Recovery Time Oui
ou forcé
ajustement avec le MTD Oui Non Oui BIA Professionnal 4.0
Oui par calcul automatique comporte 41 questions
RPO Oui
ou forcé standard et des questions
Oui, par intégration au personnalisables
procédures de secours nécessaires module BCP de Shadow- Oui
Planner
Documentation de l'analyse
Outil de conservation de la documentation Oui archivage et partage au
Oui Oui
produite sein de bibliothèques
Oui avec relance pour mise
Outil de workflow possible Oui / Non Oui
à jour des dispositifs

Shadow-Planner dispose d’une bonne couverture des préoccupations de BIA et prend en compte
un bon nombre d’éléments sous-jacents aux processus critiques.

PARAD se concentre sur les processus critiques, dont il permet la liste. Il se conforme ainsi à sa
vocation première qui est de se focaliser sur la reprise d’activité. Sa description des systèmes
informatiques avec une base de données très orientée ‘opérationnel’ est un point fort.

Pour les outils de Sungard, il faut dans cette étape de BIA, recourir à un module (‘BIA
professional’). Cela renforce l’impression d’assemblage d’outils d’origines diverses.

Copyright The Duquesne Group 2009 Page 24 /62


Outils PCA en France

6.1.3 L’élaboration d’une stratégie de continuité


Cet aspect est le moins bien couvert par tous les outils. Il faut dire qu’il correspond dans
l’entreprise à la mise en place de la stratégie de continuité, mise en place qui la plupart du temps a
déjà été faite quand l’entreprise pense à se doter d’outils.

Shadow Planner arrive à couvrir le sujet en laissant l’utilisateur définir et remplir des champs
libres, ce qui est le minimum de mise en œuvre possible, il apparaît ainsi comme plus large en
couverture fonctionnelle.

PARAD se réduit à la prise en compte de l’expression de besoins de reprise à des fins


d’exécution. Il ne permet ni étude des options de reprise, ni études de coût, ni enfin la
documentation de l’analyse. L’argument donné est que ce type de fonctionnalité n’est pas attendu
de la part des clients de son marché.

BCM suite de Sungard est également assez complet et couvre toutes les rubriques de la stratégie
de continuité à l’exception de la description des options.

Elaborer la stratégie de continuité Que permet l'outil


Shadow Planner Parad BCM Suite
Expression des besoins de reprise
Décrits par essence même Oui (Module
Les exigences des processus critiques
au sein du module BIA référentiel)
Oui définies avec le plan
Les besoins en termes IT, locaux, bureaux, Intégré à la description des Oui (Besoins en dans LDPRS
données,… processus au sein du BIA position de travail)

Catégories couvertes, classements possibles Oui Non

Etude des options de reprise


Selon scénarios et
Catégorie des options possibles Non
déclencheurs retenus Oui définies avec le
Oui champs commentaires dictionnaire dans LDPRS
Support à la discussion Non
libres
Oui définies avec le plan
Décrire les options envisagées Si nécessaire Non
dans LDPRS

Confrontation options/exigences métiers


Oui (A l'aide du
Délais d'activation des options En zone de caractères libre module plan de Oui
secours)
Comparaison aux exigences et sélection Non Oui

Etude de coût/faisabilité
Critères d'évaluation Non Oui Champ additionnel
Chiffrage des options Non personnalisable
Sélection d'options Par scénarios Non Non

Choix, Décision, Documentation


Champs commentaires
Description des options retenues Non Non
libres
Documentation des choix, des exclusions id Non Non
Oui ( Documents de
Conservation Par archivage pdf Non
référence)

Documentation de l'analyse
Les PDFs publiés peuvent
Outil de conservation de la documentation Oui archivage et partage au être archivés dans le
Non
produite sein de bibliothèques système aussi longtemps
que souhaité.
Les flux peuvent être
Oui avec relance pour mise visualisés à travers
Outil de workflow possible ? Non
à jour des dispositifs l'utilitaire "Dependency
Mapping" au sein de l'outil

Copyright The Duquesne Group 2009 Page 25 /62


Outils PCA en France

6.1.4 PCA : définition des missions et des responsables


Ce lot fonctionnel constitue le centre névralgique de la définition du dispositif à mettre en place
pour la reprise.

PCA : Missions & responsables Que permet l'outil


Shadow Planner Parad BCM Suite
Cadrage
Gravité des sinistres Par scénarios
Oui
Périmètres et exclusions Totalement paramétrable

Contexte du Plan Adapté à une situation donnée Oui

Basée sur les notions de Défini avec le plan


déclencheurs, d'actions, de dans LDRPS.
Structure du Plan
responsables et de procédures à
appliques Oui
Oui avec durée des tâches
Planning des tâches
attendues exprimée si nécessaire

Le centre de gestion de crise


Aide à la mise en place Oui Oui

Gestion de configuration du Centre Non Oui

Oui par sélection des membres de


Listes de contacts Oui
la cellule de crise

Oui dans Incident


Outils virtuels (téléconférence, …) Non Non
Manager
Par renseignement d'une main
Exécuter/rendre compte : suivi d'avancement courante de type 'modèle de Oui
procédure'
Via le portail Internet Shadow-
Communication entrante Non
Planner
Par utilisation d'outils de
Communication sortante Non
notification si nécessaire
Tableaux d'affichage (web ? autre ?) Oui, standard Shadow-Planner Non

Missions, équipes & responsabilités


Groupe de crise : définition de missions
Groupes de redémarrage métiers : définition de
Oui avec autant de profils que
missions Oui
souhaité
Groupes récupération technique et opérationnelle
: définition de missions Oui dans LDRPS
Oui par drag & drop de contacts
Aide à la constitution des groupes
vers les groupes souhaités
Oui
Maintien à jour de la constitution des groupes Oui avec relance pour mise à jour

On note une bonne couverture générale avec des différences toutefois :


 PARAD est sur son domaine de prédilection et il est doté d’une base de configuration
efficace ;
 Shadow-Planner ne possède pas de descriptif technique de type ‘base de
configuration ’
 BCM suite (de Sungard) oblige à recourir à un module supplémentaire (Incident
Manager) qui est proche de l’opérationnel courant de type ‘gestion d’incident’.

Copyright The Duquesne Group 2009 Page 26 /62


Outils PCA en France

6.1.5 Le PCA : la planification des activités de reprise


C’est le plan que l’on exécute en cas de sinistre, nous sommes là au cœur du sujet.
PCA : Le planning Que permet l'outil
Shadow Planner Parad BCM Suite
Définition des étapes
structures libres ou forcées ? Libres Structure pré-établie Oui

Evaluation du temps
évaluation des charges Non Oui
nécessaire à une action

partition selon les sites Oui : Module référentiel Oui

partition selon les métiers Oui : Module référentiel Oui


Oui via les "Perspectives Shadow-
Planner" Oui Activités, locaux,
ressources, applications,
autre partition ? (RH, IT, locaux, données,…) servitudes, liaisons Oui
télécom, intervenants,
équipes.

Non: Fonctionnalité de
plans types fournis ? Oui dans des bibliothèques types construction de plans types Oui
par les clients

Oui : Diagramme de Gantt


dans le cadre du module Incident
diagramme de Gantt ? du plan et diagramme du Oui peut être inclus
Management de Shadow-Planner
scénario en cours
Non : modèles de fiches
fiches de tâche fournies ? Oui mais formalisation à définir Oui
de tâches paramétrable
Oui : Document de
lien avec les configurations ? Oui mais formalisation à définir Oui
référence
versions et apprentissage Oui Non Oui

Définition des livrables


Non/Oui : Possibilité de
modèles types fournis ? Reports au format pdf créer des modéles de Oui
plans
Oui par sélection des zones de Oui (assistance incluse à
aide à la réalisation ? Oui
reports à générer l'achat du logiciel)
workflow ? Oui Non Oui
Oui (Livrables présents
Archivage, versioning et
traçabilité des livrables ? dans le module Plans de Oui
horodatage des reports...
secours)

Affectations des groupes


Oui : (Affectation des
Oui si référentiel ainsi conçu et
assistance à l'affectation actions aux intervenants Oui
renseigné
selon les rôles)
Oui si référentiel ainsi conçu et
aide à la recherche de profils Oui Oui
renseigné
Oui par import d'une base de
maintien en état Oui Oui
contacts
notion de back-up(s) des compétences Oui sur chaque profil si nécessaire Oui Oui

Aide à l'exécution
Avec l'aide d'Incident
déclenchement Oui
Manager
rappels Oui Non
Oui Module pilotage
constitution des groupes Oui Oui
Oui par main courante si
traçabilité des interventions Oui dans Incident Manager
nécessaire
Oui Documents de
accès aux contrats de sous-traitance ? Oui (LDRPS)
référence
Référentiel d'annexes à structurer
suivi des coûts Non Non
alternatives, absences gérées Non Oui

Copyright The Duquesne Group 2009 Page 27 /62


Outils PCA en France

Les trois produits sur ces points ont une bonne couverture, on notera comme différences :
 PARAD est complet et structurant -probablement plus structurant que les autres- ce
qui peut s’avérer un point fort chez certains utilisateurs, un défaut chez d’autres.
 Shadow-Planner : est très ouvert, on peut modéliser ce que l’on veut, mais il faut
savoir ce que l’on veut ; à l’inverse d’autres outils structurants, cette liberté peut
s’avérer problématique chez certains utilisateurs qui passeront beaucoup de temps à
élaborer leur plan ;
 BCM suite, là encore, oblige pour tout couvrir à recourir en plus au module Incident
Manager. En termes de paramétrage et d’options, c’est probablement l’outil le plus
fourni, mais au prix d’un assemblage.

6.1.6 Les tests du plan de continuité


Un plan de continuité doit être régulièrement testé pour rester ancré dans la réalité et permettre
aussi aux utilisateurs de se l’approprier.

Copyright The Duquesne Group 2009 Page 28 /62


Outils PCA en France

Tests Que permet l'outil


Shadow Planner Parad BCM Suite
Cadrage des tests
Via un écran de LDRPS ou
Champs libres à disposition pour Incident Manager (un
description des objectifs Non
renseigner les tests si besoin nouveau module est
prévu)

méthode des tests (check-list, sur table, réel, …) Check-list Non Oui avec LDPRS

Portail, email, notification en Oui Incident Manager ou


moyens d'annonce Non
masse si en place Notifind
préparation à partir du plan réel Oui Oui Non
gestion de configuration de test Oui par perspective Oui Oui
Oui si zone additionnelle incluse
gestion des contraintes Non Non
dans les assets

Plan de tests
Oui Archivage des
revue des tests antérieurs (sélections possibles) Oui car ceux-ci sont archivés. anciens exercices et
sinistres
Oui par personnalisation de
description des objectifs des tests Champs libres à disposition Non
LDRPS
Oui : Définition des
délimitation d'un sous-ensemble à tester Selon les besoins actions à réaliser lors de Non
l'exercice
Oui : Action à
aide pour la logistique Oui si prévu renseigner et à dérouler Non
lors de l'exercice

Oui : Définition des


production du plan pour le test (fiches ?) Non actions à réaliser lors de Non
l'exercice
Oui par personnalisation de
sélection de fiches sur critères ? Non Non
LDRPS
revue des risques liés au tests Non Non Non
gestion des RH Oui si prévu dans fiche contacts Oui Non
Oui si contacts invités à se
gestion prestataires et observateurs Oui Non
connecter à Shadow-Planner

Exécution des tests


"cellule de crise" du test Non Oui. Incident Manager
documentation accessible ? Oui Oui.
Oui par main courante et "modèle Oui, Module Pilotage
outil de reporting ? de procédure" avec champs à Oui. Incident Manager
renseigner'
suivi des coûts Non Non Non
Oui par "modèle de procédure"
aide à la documentation du test Oui, Module Pilotage Oui
avec champs à renseigner

Bilan des tests


conservation des fiches Oui Oui
Oui, Module Pilotage
conservation des résultats des tests Oui Oui
=>compte rendu de
comparaison avec tests précédents Non automatique tests Non
sélections possibles (qui a fait quoi, etc.) Non automatique Oui

Oui Module pilotage =>


plans d'actions Oui par extraction Non
Affectation des tâches

suivi des coûts Non Non Non

Oui Les incidents sont


répertoriés
automatiquement dans
Oui avec relance pour mise à jour
outil de workflow une table de tâches de Non
des dispositifs
MCO et notifiés par mail
aux personnes
concernées

Copyright The Duquesne Group 2009 Page 29 /62


Outils PCA en France

Les outils possèdent de manière plus ou moins élaborée un mode simulation permettant de
dérouler des portions de plan et d’en évaluer le comportement. On note :
 Le plus complet sur ces points est PARAD qui permet de réajuster suite à des tests
des points du plan qui sont détectés comme améliorables et de suivre des actions
d’amélioration.
 Chez Sungard, la ‘collecte des points à corriger’ n’est pas encore automatisée et le sera
en fin 2009 avec « test & exercise tracking » que nous n’avons pas évalué.
 Shadow planner : avec ses axes d’analyse fondamentaux comme «organisation»,
«géographie», «scénario» ou «phase» peut permettre des études de scénarios avec des
perspectives diverses.

6.1.7 La gouvernance du plan de continuité


Il s’agit de définir une référence de bonnes pratiques et de s’assurer que les opérationnels s’y
conforment ou s’en rapprochent.
Gouvernance Que permet l'outil
Shadow Planner Parad BCM Suite
Référentiels
structure selon normes Oui Non
cycle PDCA Oui Oui
Oui au sein d'informations de
expression d'une politique DG Non
référence

Questionnaires
génération de questions Oui Non
soumission pour les réponses Oui Non
pondérations Oui Non
historisation Oui Non

Suivi Hors Périmètre


revue des réponses Oui Non actuellement
pondérations Oui Non
rapports variés Oui Non
Par relation avec le module BCP
plans d'actions Non
de Shadow-Planner
collecte des preuves Oui conservation Non

Documentation de l'analyse
Outil de conservation de la documentation Oui archivage et partage au sein
Non
produite de bibliothèques
Outil de conservation de la documentation Oui avec relance pour mise à jour
Non
produite des dispositifs

Là encore on distingue les écarts habituels entre produits :


 Shadow-Planner se comporte bien avec ses questionnaires inspirés de normes et son
reporting assez puissant.
 Sungard dispose simplement dans BCM suite de formulaires d’auto-évaluation
conformes à la BS25999-2 mais annonce un module «compliance scorecard» à venir
en 2010.
 PARAD est sur ce point en dehors de son champ d’action, volontairement.

Copyright The Duquesne Group 2009 Page 30 /62


Outils PCA en France

6.2 Comparaison détaillée des outils de catégorie 2


Pour rappel, les outils de catégorie 2 proviennent soit d’éditeurs du monde de la GRC (Gestion
de Risque et Conformité), soit de cabinets de conseil.

6.2.1 Maîtrise des risques de l’entreprise

Maîtrise des risques Que permet l'outil

Isiman PCA eFront PCA Score Web Phenix


Appréciation du risque

Oui en documentation
Modification du modèle Oui: L'outil permet
Identification des menaces de la base si on veut une d'identifier les risques Oui
liaison entre menace et associés aux processus
identification du risque

Oui : Certains actifs sont


gérés dans le module
Vision sur les actifs de la société Oui en documentation Non
FrontBCP : applications,
serveur, site
Conséquences sur les actifs de la société Oui Oui Non
Oui : Notion de probabilité
Chiffrage des probabilités Oui Oui
sur les risques
Identification des risques
Calcul du risque Oui Oui
et cotation
Oui : FrontReport permet
Visions par compartiments ? Oui pour les risques Non
d'établir des rapports
Evaluation des options face au risque
Oui : FrontGRC permet de
définir le dispositif de
Les options possibles Oui maitrise des risques : PHENIX est destiné à
contrôle, plan d'actions et être utilisé
assurance principalement dans la
Oui (sont à formaliser et gestion de crise.
Le chiffrage coût-efficacité structurer certaines Non Pour ce faire les
Hors périmètre efforts ont porté sur
formules coût efficacité
Oui (Cotation de la la simplicité
L'aversion au risque, matrice des risques Oui d'utilisation, la rapidité
synthèse, matrice)
Oui : FrontReport permet d'exécution
de produire des rapports à afin d'en obtenir la
Le dossier d'étude des risques Oui meilleur efficacité lors
partir de l'ensemble des
données du risque d'une crise.

Prise de décision Phenix ne gère pas le


Oui : Les évaluations de risque.
Ré-évaluation des options Non
risques sont historisées
calcul de coût, CURR Non Oui avec FrontReport
Documentation de l'ensemble Oui Oui
Oui : FrontGRC permet la Hors périmètre
Mise en œuvre des options : plans Oui définition des plans
d'actions
Oui : FrontGRC permet le
Suivi et contrôle des plans d'actions Oui
suivi des plans d'actions

Documentation de l'analyse
Oui : FrontDoc est le
module de gestion
Outil de conservation de la documentation produite Oui
éléctronique de la suite
logicielle FrontGRC
Oui : FrontGRC est livré Hors périmètre
avec un moteur de
workflow interne, disponible
Outil de workflow possible Oui
sur l'ensemble des objets
fonctionnels (processus,
risque, …)

Copyright The Duquesne Group 2009 Page 31 /62


Outils PCA en France

Clairement les outils de GRC sont dans leur domaine, les outils de consultants, quant à eux,
voient surtout l’aspect « évaluation » ou « audit flash de la situation » ; cela se traduit dans les
notations. eFront et Isiman font ici quasiment jeu égal devant les autres, ils couvrent tout le
spectre de la gestion de risque liée au PCA.

De par leur origine GRC, les outils d’e-Front et de Keyword (Isiman) ont en gestion de risque de
meilleurs résultats que les outils de catégorie 1.

Ageris se cantonne à des évaluations par les managers ou les opérationnels eux-mêmes, suivies
d’avis émis par les consultants. L’outil Ageris d’analyse des risques : le module Mehari en Excel
dans « score risk management » sera redéveloppé en mode Web.

BCCM Strategy avec son outil Phenix, se situe de lui-même hors périmètre, indiquant là son
orientation opérationnelle dans la gestion de crise.

6.2.2 Bilan de l’impact sur les activités (BIA)


Sur ces points, les outils se rapprochent sensiblement, on note toutefois :
 eFront-PCA couvre bien un certain nombre d’aspects, mais l’éditeur mentionne des
modules complémentaires (FrontBPM, FrontDoc) dont l’acquisition et l’intégration
sont alors à prévoir.
 Isiman-PCA est plus contrasté, la description des paramètres de reprise des activités
peut être améliorée.

Ces deux outils disposent en natif de fonctions de gestion de documentation et de workflow qui
sont mises à profit ici. Par ailleurs :

 Ageris Score Web dispose d’une base interne mySQL en version web uniquement
pour le module process management.
 Score Web doit améliorer la documentation de l’analyse.

Ces outils se comparent somme toute assez bien avec ceux de la catégorie 1.

Copyright The Duquesne Group 2009 Page 32 /62


Outils PCA en France

Bilan de l'impact sur les Activités Que permet l'outil

Isiman PCA eFront PCA Score Web Phenix


Déterminer les activités critiques

L'outil permet la cartographie


des processus et des Oui : l'utilisateur crée ses critères
Oui Cartographie
Identifier et décrire les activités activités. Le module d'impact et pour chaque processus Oui
de processus
FrontBPM permet d'y associer détermine gravité et montant
une représentation graphique

Oui : D'autre impacts


Oui en tel que image,
Estimer les impacts financiers Oui Oui
documentation reglementaire,
juridique sont ajoutés
Estimer les impacts opérationnels 0 Oui Oui Oui
Oui, customisation
Estimer d'autres impacts 0 Oui Oui
possible sur demande
Lister les activités critiques Oui Oui Oui Oui
Déterminer les configurations
Oui : gestion par processus et par
Oui codifié selon
actif, avec Délai Maximum
MTD : Maximum Tolerable Downtime la norme des Oui Oui
d'Interruption Admissible et Perte de
banques
données maximale admissible
hiérarchiser les priorités Oui Oui Oui
description des systèmes informatiques Oui Oui Oui
description des applications informatiques Oui Oui Oui Oui
Oui ressources
localisées et non
description des autres ressources Oui Oui
localisées
(réseaux)
Déterminer les paramètres de reprise
Recovery Time Objective et Work Recovery Time Oui Oui Oui Oui
Oui : calcul automatique ou manuel
ajustement avec le MTD Non Oui Oui
proposé
RPO Oui Oui Oui Oui
Oui : Plan de Secours Informatique,
procédures de secours nécessaires Non Oui possibilité d'uploader des procédures
par actif

Documentation de l'analyse
Outil de conservation de la documentation
Oui FrontDoc Oui : les fichiers sont uploadés Oui
produite
FrontGRC est livré avec un
moteur de workflow interne,
Outil de workflow possible Oui disponible sur l'ensemble des Non Oui
objets fonctionnels
(processus, risque, …)

Copyright The Duquesne Group 2009 Page 33 /62


Outils PCA en France

6.2.3 L’élaboration d’une stratégie de continuité


Il s’agit là pour mémoire de décider de ce que l’entreprise fera pour assurer sa continuité.

Elaborer la stratégie de continuité Que permet l'outil

Isiman PCA eFront PCA Score Web Phenix


Expression des besoins de reprise
Oui : besoins par métier (et ou
Les exigences des processus critiques Oui scénario) des besoins en RH et Oui
actifs)
Partiel et indirect
Les besoins en termes IT, locaux, bureaux,
Oui Oui Oui
données,…
Catégories couvertes, classements possibles Oui Classification par le répondant Oui
Etude des options de reprise
Catégorie des options possibles Non Non Non
Support à la discussion Non Non Non
Très partiel Oui : création des actions
ordonnancées, par métier,
Décrire les options envisagées Non Non
auxquelles des contacts sont
rattachés
Confrontation options/exigences métiers
Délais d'activation des options Très partiel Non Fait par code couleur Non
Comparaison aux exigences et sélection Non Non Non Non
Etude de coût/faisabilité
Critères d'évaluation Non Non Non
Oui avec outil
Chiffrage des options Non Non Non
COGNOS
Sélection d'options Non Non Non
Choix, Décision, Documentation
Description des options retenues Non Non Oui par export Non
Documentation des choix, des exclusions Non Non Non Non
Conservation Non Non Oui par export Non
Documentation de l'analyse
FrontDoc est le module de
Outil de conservation de la documentation
Oui gestion éléctronique de la suite Non Non
produite
logicielle FrontGRC
FrontGRC est livré avec un
moteur de workflow interne,
Outil de workflow possible ? Oui disponible sur l'ensemble des Non Oui
objets fonctionnels (processus,
risque, …)

Ces aspects sont peu couverts en général par les outils. L’existence d’un moteur gérant la
documentation et le workflow est le seul atout dont profitent Front-PCA et Isiman-PCA.

Ageris Score Web et Phenix couvrent peu cet aspect, ce n’est visiblement pas leur champ
d’action.

Les outils de la catégorie 2 sont très en-dessous de ceux de la catégorie 1.

Copyright The Duquesne Group 2009 Page 34 /62


Outils PCA en France

6.2.4 Le PCA : définition des missions et des responsables des groupes


Il s’agit de constituer les équipes d’intervention, etc.

PCA : Missions & responsables Que permet l'outil

Isiman PCA eFront PCA Score Web Phenix


Cadrage
Gravité des sinistres Oui Non Oui Non
Périmètres et exclusions Oui Non Oui Oui
Contexte du Plan Oui Oui Oui Non
Structure du Plan Oui Non Oui Non

Planning des tâches Oui limité Oui Oui Non

Le centre de gestion de crise


Oui dans les
Aide à la mise en place formulaires, pas de Non Oui Oui
gestion on-line
Gestion de configuration du Centre Non Non Oui Oui
Listes de contacts Oui Oui Oui Oui
Outils virtuels (téléconférence, …) Non Non Non Non
FrontBCP permet le suivi
Exécuter/rendre compte : suivi d'avancement Oui partiel Non Oui
d'un journal de crise
Communication entrante Non Non Oui Oui
Communication sortante Non Non Oui Oui
Tableaux d'affichage (web ? autre ?) Oui Oui journal Web Oui Oui

Missions, équipes & responsabilités


Groupe de crise : définition de missions Oui Oui Oui

Groupes de redémarrage métiers : définition de


Oui dans les Oui Oui Oui
missions
formulaires
Groupes récupération technique et opérationnelle
Oui Oui Oui
: définition de missions
Aide à la constitution des groupes Non Non Oui
Oui gestion des
emplois (récurrent) Par import/export et étude
Maintien à jour de la constitution des groupes Oui Oui
et des users d'impact
(ponctuel)

A priori les outils venant de la GRC ne sont pas là sur leur terrain de prédilection. Des
développements complémentaires seront nécessaires pour améliorer les fonctionnalités.

Il faut toutefois bien souligner la philosophie des deux outils eFront-PCA et Isiman-PCA : ils
conservent des liens vers des documents gérés par leurs responsables. Ils permettent d’accéder à
partir de l’outil à ces documents gérés par ailleurs. Pour consolider des PCA gérés localement, ces
outils sont particulièrement bien adaptés. En cas de crise, il faut toutefois s’assurer que les
documents liés sont effectivement accessibles. Or, ceux-ci peuvent se trouver sur d’autres
serveurs qui sont peut-être sinistrés ou dont le réseau d’accès n’est plus disponible.

L’outil ScoreWeb d’Ageris se comporte bien dans ce domaine. Phenix aussi.

Les outils de la catégorie 2 sont, là-encore, en dessous de ceux de la catégorie 1.

Copyright The Duquesne Group 2009 Page 35 /62


Outils PCA en France

6.2.5 Le PCA : la planification des activités de reprise


La planification des diverses tâches à mener en cas de sinistre est l’objet de ce paragraphe.
A priori les outils de GRC peuvent gérer cela à partir de documents ; ce qui reste d’un côté
souple, d’un autre côté potentiellement imprécis.

PCA : Le planning Que permet l'outil

Isiman PCA eFront PCA Score Web Phenix


Définition des étapes
structures libres ou forcées ? Libres Forcées Suggérées Libres
évaluation des charges Oui partiellement Oui Non Non
partition selon les sites Non Oui Oui Non
partition selon les métiers Non Oui Par poste de travail Oui
autre partition ? (RH, IT, locaux, données,…) Non Non RH Oui
plans types fournis ? Oui Oui Oui A la demande
Non interfaçage
diagramme de Gantt ? A venir Oui Non
possible
fiches de tâche fournies ? Oui Oui Oui A la demande
lien avec les configurations ? Non Non Non Non
Gestion de la
versions et apprentissage Non Non formation des Oui
contacts
Définition des livrables
modèles types fournis ? Oui Oui Non
aide à la réalisation ? Non Oui Non
Non
workflow ? Oui Non Non
traçabilité des livrables ? Oui Non Non
Affectations des groupes
assistance à l'affectation Non Non Oui
aide à la recherche de profils Pas couvert Oui Non Oui
maintien en état directement Non Non Oui
notion de back-up(s) des compétences Oui Oui Oui
Aide à l'exécution
déclenchement Non Non Oui

rappels Non Non Oui


constitution des groupes Non Aide à la constitution Oui
traçabilité des interventions Pas couvert Oui Non Oui
directement
accès aux contrats de sous-traitance ? Possible (pièce jointe) Aide à l'accès Oui si renseignés

suivi des coûts Oui Non Non


alternatives, absences gérées Non Non Non

eFront-PCA s’en sort avec les honneurs, on notera là encore que l’utilisateur avec les outils
dérivés de la GRC a accès à beaucoup de documentation tenue à jour par d’autres, donc à priori
bien gérée. En revanche le déroulement de ce qu’il doit ordonnancer en cas de crise est beaucoup
moins strictement défini. Certains utilisateurs voient cela comme un flou regrettable, d’autres y
voient des degrés de liberté judicieux.

La vision de Keyword à l’heure actuelle, encouragée en cela par un client pilote, consiste à
considérer qu’un planning trop strict est vite inapplicable. Isiman PCA dans cette situation se
contente donc de rendre disponible un certain nombre de documents et procédures existants.

Les outils de catégorie 1 comme PARAD ou BCM suite, par exemple, gèrent cela de manière plus
minutieuse, au prix éventuellement de contraintes supplémentaires : il faut en effet définir plus de
détails et maintenir à jour tout ce qui a été défini et saisi ou capturé dans l’outil.

Copyright The Duquesne Group 2009 Page 36 /62


Outils PCA en France

6.2.6 Les tests du plan de continuité


Tester un plan, c’est le soumettre à l’épreuve du réel et cela peut aussi se faire en chambre dans
certains scénarios. Comment se comportent alors ces outils ?

Tests Que permet l'outil

Isiman PCA eFront PCA Score Web Phenix


Cadrage des tests
description des objectifs Non Oui Oui Oui
Documentation
méthode des tests (check-list, sur table, réel, …) Oui Oui Oui
des tests
moyens d'annonce Non Non Non Non
préparation à partir du plan réel Non Oui Oui Oui
gestion de configuration de test Non Non mais possible Oui Non
gestion des contraintes Non Oui Oui Non
Plan de tests
Oui sur la base des
revue des tests antérieurs (sélections possibles) Non Oui Oui
mains courantes
description des objectifs des tests Très partiel Oui Oui Oui
délimitation d'un sous-ensemble à tester Non Oui Oui Oui (Extraction)
aide pour la logistique Non Oui Oui Oui (Extraction)
production du plan pour le test (fiches ?) Très partiel Oui (Front Report) Oui Oui (Extraction)
sélection de fiches sur critères ? Non Oui Oui Non
revue des risques liés au tests Non Oui Oui Non
gestion des RH Non Oui Notion de contact Oui Oui (Extraction)
gestion prestataires et observateurs Non Oui Oui Oui si renseigné
Exécution des tests
"cellule de crise" du test Non Oui Oui Oui
documentation accessible ? Non Oui Oui Oui
outil de reporting ? Non Oui (Front Report) Oui Oui
suivi des coûts Non Non Non Non
aide à la documentation du test Non Oui Non Oui

Bilan des tests


conservation des fiches Oui Oui Oui Main courante
conservation des résultats des tests Non Oui Oui
comparaison avec tests précédents Non Oui Non
sélections possibles (qui a fait quoi, etc.) Non Oui Non
plans d'actions Oui Oui Non
suivi des coûts Non Non Non mais possibilité Non
FrontGRC est livré avec un d'attacher des fichiers
moteur de workflow interne, joints
outil de workflow Oui disponible sur l'ensemble des Non
objets fonctionnels
(processus, risque, …)
FrontDoc est le module de
outil de documentation Oui gestion éléctronique de la Non
suite logicielle FrontGRC

Dans le domaine des tests de PCA, eFront-PCA se comporte le mieux parmi les outils de sa
catégorie, probablement parce que dans sa vision de contrôle centralisé, le principal client maître
d’œuvre a mis ce sujet en bonne position.

Ageris ScoreWeb offre aussi des fonctions utiles ; Isiman-PCA est plus en retrait ; Phenix
procède beaucoup par extraction mais son suivi par main courante est précieux.

6.2.7 La gouvernance du plan de continuité


La gouvernance est justement le ‘G’ de ‘GRC’, il faut donc s’attendre à ce que ces outils soient
adaptés.

Copyright The Duquesne Group 2009 Page 37 /62


Outils PCA en France

Gouvernance Que permet l'outil

Isiman PCA eFront PCA Score Web Phenix


Référentiels
structure selon normes Oui Oui Bale 2, CRBF 97 02 Oui Oui
Oui, à compléter par une
cycle PDCA Oui Oui Oui
organisation
expression d'une politique DG Oui Oui (Gestion documentaire) Oui Oui

Questionnaires
FrontGRC intégre une
Oui avec module
génération de questions Oui gestion de formulaire et de Oui
complémentaire
campagne d'évaluation
soumission pour les réponses Oui Oui 0 Oui (Pop up)
pondérations Oui Oui Non Non
historisation Oui Oui Non Non
Suivi
revue des réponses Oui Oui Oui Non
pondérations Oui non mais à venir Non Non
rapports variés Oui Oui, à l'aide de FrontReport Oui Non

plans d'actions Oui Oui Non Non


collecte des preuves Oui Oui à l'aide de pièces jointes Non Non

Documentation de l'analyse
FrontDoc est le module de
Outil de conservation de la documentation
Oui gestion électronique de la Non Non
produite
suite logicielle FrontGRC
FrontGRC est livré avec un
moteur de workflow interne,
Outil de conservation de la documentation
Oui disponible sur l'ensemble Non Non
produite
des objets fonctionnels
(processus, risque, …)

Effectivement, les deux outils eFront-PCA et Isiman-PCA sortent en tête toute catégorie.

On remarque aussi que Shadow Planner (outil de catégorie 1) soutient très bien la comparaison
face à des outils de GRC pour ce qui concerne la gestion des risques liés au PCA.

Copyright The Duquesne Group 2009 Page 38 /62


Outils PCA en France

6.3 Comparaison des outils d’alerte


Ce type d’outils par construction ne couvre que le PCA (plus précisément le PRA) et les tests et
ne concernent pas les domaines situés en amont de la crise. L’analyse se focalise donc sur ces
points à l’exclusion des autres.

Nous avons jugé intéressant de les regarder rapidement, car ils sont souvent utilisés en
compléments des outils précédents.

6.3.1 Le PCA : définition des missions et des responsables des groupes

PCA : Missions & responsables Que permet l'outil

Viappel F24
Cadrage Hors périmètre Hors périmètre
Le centre de gestion de crise
Mobilisation cellule de Alerte des personnes.
Aide à la mise en place
crise Conférences spontanées

Gestion de configuration du Centre


Mobilisation cellule de
Listes de contacts crise (travail par Groupe selon les alertes.
scenario)
Oui lien possible vers
Outils virtuels (téléconférence, …) Téléconférence
téléconférence
Suivi en temps réel,
Suivi en direct des
Exécuter/rendre compte : suivi d'avancement envoi de rapports,
appels
historique
Communication entrante Serveur vocal Hot line d'information
Téléphone, fax, email,
Communication sortante Automate d'alerte ASP
SMS, pager
Moniteur en ligne (mode
Tableaux d'affichage (web ? autre ?) Web, fichier excel web) pour le suivi en
temps réel

Missions, équipes & responsabilités


Groupe de crise : définition de missions
Groupes de redémarrage métiers : définition de
missions Par des groupes affectés
Groupes récupération technique et opérationnelle à un n° d'alerte
: définition de missions
Aide à la constitution des groupes Oui
Base de données via Base de données
Maintien à jour de la constitution des groupes serveur web, ou outils interfaces web et serveur
PCA vocal

L’outil F24 permet la saisie des destinataires et leur gestion via une interface web interactive.

L’outil de Cedralis procède principalement par échange de fichiers.

Copyright The Duquesne Group 2009 Page 39 /62


Outils PCA en France

6.3.2 Le PCA : la planification des activités de reprise


Sur ce sujet, les outils d’alerting proposent une aide à l’exécution du Plan, tout au moins dans sa
phase de lancement.

PCA : Le planning Que permet l'outil

Viappel F24
Aide à l'exécution
Internet et téléphone
déclenchement Internet Téléphone Fax
(fixe ou portable)
rappels 3 possibles
Cascades possibles
Oui selon base de paramétrables (autant de
constitution des groupes groupes que souhaité)
données ou scénarii

traçabilité des interventions Oui Oui

Via conteneur et droits


accès aux contrats de sous-traitance ? Oui
d'accès limités
suivi des coûts Non Dans les logs

Oui avec planning


alternatives, absences gérées Oui par des astreintes
d'études

L’outil de Cedralis procède par scénarios d’escalade, celui de F24 par cascades successives avec
autant de groupes que souhaités.

La solution de F24 semble plus souple et plus riche sur ces points. La notion de conteneur chez
F24, permettant des sous-groupes gérés par d’autres entités, peut être intéressante lors de l’appel
par exemple à des sous-traitants en cas de sinistre.

Copyright The Duquesne Group 2009 Page 40 /62


Outils PCA en France

6.3.3 Les tests du plan de continuité


Il s’agit de tester le Plan et deux possibilités existent ici :
 utiliser l’outil d’alerting pour tester des portions du Plan de continuité
 tester les appels de l’outil d’alerting en tant que tel et leurs successions.

Tests Que permet l'outil

Viappel F24
Cadrage des tests
Tester les scénarii et la
description des objectifs
réaction des participants

méthode des tests (check-list, sur table, réel, …) Réel

moyens d'annonce
préparation à partir du plan réel
gestion de configuration de test
gestion des contraintes
Plan de tests
revue des tests antérieurs (sélections possibles) Oui

description des objectifs des tests


Oui (modification de
délimitation d'un sous-ensemble à tester l'affectation des groupes
à une alerte)
aide pour la logistique
production du plan pour le test (fiches ?)
Sélection possible selon
sélection de fiches sur critères ?
les compétences.

revue des risques liés au tests


gestion des RH
gestion prestataires et observateurs
Exécution des tests
"cellule de crise" du test Oui
documentation accessible ?
outil de reporting ? Oui Rapports + historiques
suivi des coûts Dans historiques
aide à la documentation du test Oui
Bilan des tests
conservation des fiches Oui Conservation de
l'historique et des
conservation des résultats des tests Oui
rapports
comparaison avec tests précédents Oui Avec outils de
sélections possibles (qui a fait quoi, etc.) Oui statistiques
plans d'actions
suivi des coûts Dans historique
outil de workflow
Extraction de log dont
outil de documentation Oui
format Excel

Les fonctionnalités offertes par les deux produits se ressemblent. En termes de préparation des
tests, F24 semble cependant le plus avancé.

Remarque : les coûts télécom sont souvent traités et refacturés à part.

Copyright The Duquesne Group 2009 Page 41 /62


Outils PCA en France

7 Caractéristiques techniques des produits


Nous indiquons dans ce paragraphe des éléments techniques et des informations importantes en
termes d’évaluation de la structure des produits.

Ces éléments ont été collectés au cours de nos entretiens. Nous y insérons nos commentaires et
critiques d’analystes.

7.1 Shadow Planner (Office Shadow)


Jusqu’à septembre 2009 et la version 3.9 il s’agissait d’un développement en environnement
LAMP (Linux, Apache, MySQL, PHP).

Un chantier important a été mené depuis 18 mois pour refondre l’architecture dans un
environnement plus robuste en DB2 et Oracle sur Linux. Les développements réalisés en Java
aboutiront à des produits disponibles à partir de fin septembre 2009. Tout est recodé à partir de
zéro.

A cette date, une nouvelle Version 3.15 sera disponible et toute la base installée sera migrée sur
une période d’un an aux dires de l’éditeur.

Il existe une Release de correction tous les 6 mois et une version majeure tous les 18 mois.

La visualisation permise par le produit est consultable sur PDA, BlackBerry, etc, via Adobe Flex.

Le produit est couplable à des outils de modélisation de processus : ARIS et Mega.

Un outil de reporting ‘Ireports’ d’origine Open source sera possible à partir d’octobre 2009.

Commentaire : l’évolution du produit vers une base technologique solide en Java et SGBD
relationnel est une bonne chose. Cependant, sauf pour les utilisateurs en SaaS pour lesquels cette
bascule devrait être à peu près transparente, on peut douter de la capacité de la base installée en
propre à migrer vers le nouveau produit en un an seulement. Il y aura fort probablement une
partie des utilisateurs du produit en interne qui ne passeront pas aussi vite sur la nouvelle
technologie. Cela peut laisser l’éditeur Office Shadow dans une situation de superposition de
coûts très inconfortable.

7.2 PARAD (Groupe Devoteam)


La société a une politique de version assez forte et bien suivie. Actuellement seule la version 7
sous ses diverses releases est maintenue. Une portion de 90% de la base installée actuelle est dans
cette version 7, une part de 65% env. étant en 7.3. La version 7.4 est en cours d’achèvement.

Le produit est régulièrement l’objet d’amélioration tant dans les modules techniques de gestion
que de la présentation à l’écran. La politique de gestion du produit en versions, releases et patchs
correctifs est classique.

Il existe un « club d’utilisateurs » qui donne ses suggestions d’évolutions, statue à la demande de
Devoteam sur les priorités à mettre dans les développements et participe en tant que de besoin à
des groupes de travail (sur l’ergonomie du produit par exemple).

Copyright The Duquesne Group 2009 Page 42 /62


Outils PCA en France

Le produit est en architecture Microsoft .Net et utilise MS-SQL server 2005 comme base de
données centrale.

Les sorties vers Word et Excel sont possibles, ainsi que les extractions de diagrammes de Gantt
vers MS-Project. On peut regretter l’absence de sortie en PDF non modifiable.

Commentaire : d’un point de vue technique, ce produit est de bon niveau et sa politique de
gestion semble professionnelle. L’évolution de la base installée se fait par pas successifs sans
disruption majeure. Les améliorations ergonomiques sont sensibles. Les aspects de traçabilité et
de possibilité d’audit sont peu mis en valeur et probablement un peu négligés.

7.3 Business Continuity Management Suite (Sungard)


Les applications de cette suite sont essentiellement développées en environnement Microsoft
.Net, sur une base SQL server ou Oracle et IIS. Il y a une base de données unique qui concentre
les différents modules et permet les échanges entre eux.

L’architecture générale évite d’avoir un client lourd. A toute nouvelle connexion d’utilisateur en
mode Saas, celui-ci dispose de la dernière version implémentée.

L’utilisation de Crystal Report est possible en complément pour du reporting adaptable par
l’utilisateur final. Les facilités de rapports personnalisés sont nombreuses. Il existe par ailleurs de
l’ordre d’une centaine de rapports standards sur le PCA.

Il existe un workflow intégré, avec séparation de rôles entre administrateur, valideurs et


utilisateurs. Il est possible de recourir à une prise en compte des positions géographiques et
hiérarchiques pour attribuer les droits.

L’outil permet la traçabilité complète des actions par piste d’audit (« full audit trails »).

De très nombreux types de plans sont gérables (cellule de crise, conformité, secours IT, secours
métiers, exercices de tests, etc.).

Commentaire : la suite de Sungard donne une impression générale d’assemblage composite de


modules hérités du passé ou achetés avec la société Strohl. Le cœur provenant de Strohl (LDRPS)
représente le centre à partir duquel Sungard bâtit son offre d’outils. Bien des modules sont pré-
annoncés mais non disponibles. De vieux produits ne seront plus supportés (Parangon par
exemple mais celui-ci semble absent en France). D’autres se superposent en partie. Une road-map
claire du produit est en cours d’élaboration, mais n’a pas été fournie avant la fin de l’étude. Ce
produit est à suivre, car la remise à niveau d’ensemble peut permettre de tirer parti de fonctions
très élaborées.

7.4 Isiman PCA (Keyword)


L’offre de Keyword est modulaire et sépare trois types de serveurs et de flux associés :
- le produit Isiman de gestion de contenu à base de SGBDR en monde AIX, Windows ou
Linux ;
- une base de publication et de formulaires (serveur d’application et serveur web) en
monde AIX, Windows ou Linux ;
- une base infocentre permettant des rapports et des calculs sur hypercubes.

Copyright The Duquesne Group 2009 Page 43 /62


Outils PCA en France

L’architecture permet ainsi une bonne échelonnabilité.


Les développements sont de type Java / Eclipse.

Keyword dispose d’un partenariat avec IBM Software Group pour adapter et optimiser les
solutions aux environnements logiciel, middleware et matériel d’IBM tels que Websphere ou
Cognos par exemple.

Commentaire : Isiman-PCA, est un outil bien structuré sur des bases technologiques solides et
échelonnables ; sa nature Java/Eclipse le met dans une grande tendance actuelle du marché et est
gage de durabilité et de robustesse.

7.5 Efront PCA (eFront)


L'outil permet la cartographie des processus et des activités. Le module Front BPM permet d'y
associer une représentation graphique.

Les postes connectés sont des postes client Internet standard utilisant un navigateur Internet
standard.

La solution FrontGRC s’installe sur le serveur applicatif. Elle est basée sur le Microsoft .NET
FrameWork sous Microsoft Windows et utilise les bases de données standard Microsoft SQL
Server et Oracle.

FrontGRC possède des fonctionnalités d’interface synchrone et asynchrone avec des systèmes
tiers. Dans le cas asynchrone, cette fonctionnalité utilise un mode batch et l’import/export. En
mode synchrone, la solution FrontGRC met en œuvre un toolkit de Web services.

L’application peut être signée numériquement via un certificat, son flux http peut être crypté à
l’aide du protocole HTTPS. L’accès au serveur applicatif peut être protégé par un pare feu.

La solution FrontGRC possède une fonctionnalité d’administration des utilisateurs permettant de


leur affecter des droits et des habilitations. L’habilitation sur l’ensemble des données, rapports et
documents est gérée à l’aide de la fonctionnalité de ‘région’, assurant une parfaite confidentialité
des données.

Associée à la notion de région (habilitation sur les données), la fonctionnalité de profil permet
d’assurer les contrôles d’accès aux fonctionnalités de l’application.

Il est possible de mettre en œuvre une interface avec un annuaire d’entreprise de type LDAP.

Commentaire : si le produit eFront GRC est présent sur le marché depuis un certain temps avec
des références sérieuses, le module BPM (ou PCA) est très récent et n’existe à notre connaissance
que chez un client de référence. Par ailleurs sa structure semble plutôt monolithique et peut
s’avérer plus difficilement échelonnable, posant alors des problèmes de montée en charge et de
performance. Néanmoins, il répond à un cahier des charges rigoureux.

7.6 Score Web (Ageris)


Il s’agit là typiquement d’une approche orientée consultant ou auditeur à l’origine, ayant Excel sur
son PC. Tous les produits sont d’origine réalisés en Excel avec des formules et quelques macros.

Copyright The Duquesne Group 2009 Page 44 /62


Outils PCA en France

L’objectif d’Ageris est de tout porter en environnement web. 20 à 30% ont déjà été réécrits ainsi
en environnement LAMP (Linux à base de Debian, Apache, MySQL, PHP).

Le produit web n’est proposé qu’en mode ASP et gère un certificat de sécurité Ageris.

Chaque client dispose de sa propre base mySQL en ligne pour chacun des modules qu’il utilise.
On peut ainsi envisager plusieurs bases pour plusieurs modules et entités utilisatrices.

Les outils ont été testés sur IE6 et suivants ainsi que sur Firefox (et Safari).

Le produit offert donc en ligne est hébergé chez OVH en environnement raisonnablement
sécurisé (disques RAID).

La gestion des données par dates ou versions n’est pas possible. Il sera en revanche possible
d’exporter des données et de repartir à zéro. Il n’y a qu’un PCA à la fois.

La traçabilité dans l’outil nécessite un ‘module filtre’ qui sera disponible à partir du 1/8/2009 et
que nous n’avons pas vu.

Les contrôles sur les champs saisis existent mais sont succincts. Il existe des contrôles sur les
champs obligatoires, mais il n’y a pas de vérification de présence de noms dans un annuaire par
exemple.

Commentaire : les outils d’Ageris sur le web, sont légers et peu coercitifs ; en cela ils
ressemblent au monde Excel dont ils sont issus. Ils sont avant tout prévus pour collecter
facilement et de manière centralisée des informations auprès des responsables en entreprise. Leur
rôle structurant est toutefois réel même s’il ne se traduit pas par un formalisme technique. Les
clients sont a priori tous connectés en mode SaaS et sont donc tous dans l’environnement que
définit Ageris et en suivent donc toutes les évolutions, avec les avantages et inconvénients que
cela peut avoir.

7.7 Phenix (BCCM Strategy)


Initialement développé pour le web (pages web en ASP3) le produit comporte aussi des modules
en VBScript et embarque une base de données Accès ou Oracle.

L’outil se compose de deux parties :


 Une aide à la saisie rapide des activités et de leurs contraintes (de type BIA, voir plus
haut).
 Une aide à la gestion de crise de type suivi et main courante à partir de ce qui a été
précédemment saisi.

Les champs de saisie ne sont pas l’objet de forts contrôles.


L’aide à la gestion de crise possède une interface graphique qui peut être déroutante pour un
utilisateur habituel de Windows.
L’outil de gestion de crise peut s’embarquer sur une clé USB et est utilisable sous tout PC
Windows très rapidement.

Commentaire : il s’agit là d’un développement léger et facilement transportable, conforme en


cela au cahier des charges du PCA light.

Copyright The Duquesne Group 2009 Page 45 /62


Outils PCA en France

7.8 Viappel (Cedralis)


Nous n’avons pas étudié les aspects techniques de cet outil qui est essentiellement vu comme un
service externe par l’utilisateur.

7.9 Fact F24 (F24)


Nous n’avons pas étudié les aspects techniques de cet outil qui est essentiellement vu comme un
service externe par l’utilisateur.

7.10 Bilan sur les aspects techniques


L’ensemble de ces considérations techniques est résumé dans le tableau ci-dessous. Une note est
attribuée par les analystes Duquesne Research. Elle va de 0 (pas bon) à 10 (excellent).

Shadow
Parad BCM suite Isiman PCA eFront PCA ScoreWeb Phenix
Planner
Environnement technique (total sur 30) 15 20 17 19 15 11 8
type de code, SGBD, modèle de données 4 7 5 7 6 3 3
CMDB, cartographie 6 7 8 5 5 3 3
architecture technique, échelonnabilité 5 6 4 7 4 5 2

Les éléments qui augmentent la note sont :


 un code récent ;
 un environnement de développement récent et moderne ;
 un modèle des données cohérent ;
 une modularité des applications ;
 une base de configuration bien conçue ;
 un usage général de SGBD.

Les éléments qui abaissent la note :


 une multitude de codes d’origine ancienne ;
 les environnements web ou PC légers ;
 des modèles de données divers et se recouvrant ;
 une conception trop monolithique ;
 l’absence de base de configuration ;
 des applicatifs redondants en partie.

Pour la modernité du code et en partie pour la solidité des SGBD utilisés, deux outils sortent du
lot : PARAD et Isiman-PCA. Pour Shadow Planner le handicap disparaîtra lorsque la nouvelle
version sera sortie et stable.

L’existence en central d’une base de données de configuration (des moyens techniques,


informatiques et des applications) est un point fort des outils PARAD, BCM suite et dans une
moindre mesure de Shadow Planner.

La modularité et le découpage en serveurs virtuels est un atout d’Isiman-PCA.

Copyright The Duquesne Group 2009 Page 46 /62


Outils PCA en France

8 Politique de tarification et de mise en œuvre


Les produits sont proposés sous diverses formes et facturés de plusieurs manières. Dans ce type
de projets, le coût seul du produit logiciel lui-même n’est qu’une partie plus ou moins importante
du coût total de mise en œuvre et d’exploitation.

La mise en œuvre concrète -qui comporte beaucoup d’aspects organisationnels demandant une
assistance en conseil par exemple- est aussi variable selon les situations et éditeurs.

Plutôt que de donner des tarifs ou des prix de catalogue illusoires dans la réalité, nous préférons
présenter des scénarios réels d’usage et de mise en œuvre.

8.1 Shadow Planner (Office Shadow)


Les principes directeurs de la facturation de l’offre d’Office-Shadow reposent sur :

 La mise à disposition d’un accès aux modules de la suite Shadow-Planner concernés :


o dans le cadre du présent exemple de chiffrage, ont été intégrés les modules de la
suite Shadow-Planner Platform, BIA, et BCP (les plus classiques) pour une durée
de 3 ans (également possible sur 5 ans).
o la suite Shadow-Planner étant modulaire le client peut ainsi prévoir de déployer
les modules fonctionnels selon ses besoins et l’avancement de son projet.

 Le choix du mode d’hébergement retenu :


o La formule la plus souvent retenue est l’hébergement externalisé sur les serveurs
d’Office-Shadow à Genève.
o Une autre solution d’hébergement interne sur les serveurs du client est également
envisageable, et est également présentée ci-dessous.

 Le nombre d’employés dans l’organisation concernée par la configuration Shadow-


Planner :
o C’est le mode de pricing standard de Shadow-Planner. Ce chiffrage peut être découpé
sur la base du nombre de personnes dans l’entité client concernée par la configuration
Shadow-Planner (ex Directions centrales – fonctions du Siège). Ce modèle de pricing
permet de s’affranchir d’un nombre de connexions définies à la plateforme, et rendre
ainsi totalement générique son utilisation.
o Un pricing par utilisateur peut également être envisagé à la demande, tel qu’illustré ci-
dessous.

Exemple de droits d’utilisation de Shadow-Planner pour une durée de 3 ou 5 ans

Mise en place d’une configuration


Shadow-Planner sur 3 ans en
hébergement externalisé
Droits d’utilisation des Modules
… de 250 à 500 … de 2000 à … de 10000 à 25000
Shadow-Planner Platform, BCP, BIA,
personnes 3000 personnes personnes
prépayés pour une organisation
Pour les 3 ans 48.000 € HT 124.000 € HT 255.000 € HT
Coût de Maintenance annuel,
4.800 € HT 12.400 € HT 25.500 € HT
hébergement, support, et pilotage

Copyright The Duquesne Group 2009 Page 47 /62


Outils PCA en France

Acquisition d’une configuration


Shadow-Planner en hébergement
interne
Modules Shadow-PlannerPlatform, … de 250 à 500 … de 2000 à … de 10000 à 25000
BCP, BIA, pour une organisation personnes 3000 personnes personnes
Acquisition des droits d’utilisation 80.000 € HT 205.000 € HT 425.000 € HT
Coût annuel de Maintenance et
16.000 € HT 41.000 € HT 85.000 € HT
support

Maintenance et Support client

Dans le cadre d’un hébergement externalisé, la maintenance et le support sont calculés sur la
base de 10% de la valeur globale de la configuration logicielle.

Dans le cadre d’un hébergement interne, la maintenance et le support sont calculés sur la base
de 20% de l’acquisition des droits d’utilisation.

Assistance à la mise en œuvre

Typiquement, lors de la mise en place d’une solution hébergée chez l’éditeur, il est procédé
comme suit :
- connexion immédiate à une instance ouverte ;
- démarrage avec un pack de service d’accompagnement.

Ce pack de service peut comprendre :


- un workshop de modélisation ;
- une formation générique sur plate-forme, BIA et BCP avec exercices ;
- l’élaboration du cahier de spécifications fonctionnelles, processus, perspectives, plan
d’actions et impacts… impliquant un référent pour chaque entité concernée ;
- le balayage des modules fonctionnels ;
- la conduite du changement ;
- les aspects « awareness », sensibilisation, quick-start guides, etc.

Il existe une Release de correction tous les 6 mois et une version majeure tous les 18 mois.

8.2 PARAD (Groupe Devoteam)


Principe : la licence dépend du nombre d'utilisateurs de PARAD et de la taille de l'entreprise (en
nombre de collaborateurs)
Exemple :
-5 users et 2000 collaborateurs : 25 000 EUR
- illimitée groupe : 300 000 EUR
La maintenance = 18% prix catalogue licence

Mode ASP possible en abonnement annuel engagement de trois ans.


-5 users et 2000 collaborateurs : 15 000 EUR / an
-illimité groupe : 190 000 EUR/an

Copyright The Duquesne Group 2009 Page 48 /62


Outils PCA en France

Note : en 2008 les nouveaux clients se répartissaient sur les deux modes à 50/50.

Mise en œuvre : les points suivants sont à considérer :

 Installation / paramétrage technique : 1/2 journée à 1 journée d'installation et paramétrage du


produit à partir du moment où le socle technique est prêt. Dans certains cas, le client initie
une étude d'intégration, plus ou moins poussée et avec plus ou moins d'assistance de la part
de Devoteam ; cela reste généralement très léger (quelques jours).
 Accompagnement fonctionnel : sauf projet majeur (ex : CNAMTS, LA POSTE Courrier,
etc.) un accompagnement du client est proposé, entre 5 et 10 jours pour :
o la prise en main de PARAD (formation théorique et pratique)
o l'assistance sur les bonnes pratiques d'utilisation (gestion des habilitations,
normalisation / nomenclature des informations)
o l’assistance à la reprise de l'existant.

Il arrive aussi que soit vendu un package PARAD + Mission de conseil, dans ce cas le
programme d'assistance à PARAD est intégré à un projet plus global.

8.3 Business Continuity Management Suite (Sungard)


La suite existe sous plusieurs variantes : ce qui suit concerne LDRPS seul qui est le cœur de la
suite. Les modules supplémentaires sont tarifés à part en 2009 avec un tarif dégressif en fonction
du nombre de modules.

Version Essential : uniquement en ASP


1 à 3 utilisateurs concurrents mais 10 à 30 utilisateurs nommés.
En anglais uniquement.
Pas de customisation possible.
Prix : entre 250 et 300 EUR/mois et utilisateur concurrent, dégressif.

Version Professionnal: ASP ou licence perpétuelle

De 500 à 600 EUR/mois pour un utilisateur en mode ASP, puis tarif dégressif en fonction du
nombre d’utilisateurs (ex : 200 EUR/mois et utilisateur pour 10 au tarif 2008).

En licence perpétuelle : 13,5 KEUR pour un utilisateur simultané et 10 nommés ;


47 KEUR pour 10 utilisateurs et 100 nommés.

Version Enterprise :

Pas de limite en utilisateurs nommés.

Tarif à l’utilisateur simultané :


En ASP : 870 EUR/mois pour un user simultané ; pour 10 simultanés : 400 EUR/mois et
utilisateur.

Assistance : Typiquement pour « professional » et « enterprise » : pour une grosse entreprise une
semaine d’intervention d’un consultant pour définir les droits et les rôles et décrire dans l’outil les
éléments nécessaires.

Le client peut exploiter directement ensuite.

Copyright The Duquesne Group 2009 Page 49 /62


Outils PCA en France

Formation : gratuite en web conferencing ou sur site à Philadelphie


Payante si le consultant est sur place chez le client.

Remarque : c’est un produit géré en versions avec des mises à jour.


Maintenance de 20% sur le prix catalogue licence ; support intégré.

Le support de niveau 1 est en français, sur un numéro d’appel disponible 24x7x365.

8.4 Isiman PCA (Keyword)


La politique de prix :
Le prix d'une solution ISIMAN est élaboré à partir de deux paramètres :
 les composants métiers nécessaires à la mise en œuvre de la solution fonctionnelle définie
par le client,
 le nombre de personnes qui seront habilitées à participer à la gestion des événements de
GRC/PCA, événements tracés pour garantir la conformité.

Le mode ASP est proposé, il comprend la ‘location’ de la licence, la maintenance, la location du


matériel, les ressources d'exploitation afin d'assurer les services nécessaires pour l’exploitation et
la disponibilité de la Solution Client. Le contrat proposé est de deux ans minimum, généralement
renouvelables.

L’implémentation :
Pour une entreprise avec moins de 50 acteurs de GRC/PCA, la mise en œuvre est d'environ 20
jxh en considérant que l'entreprise adopte la solution standard.

Pour une entreprise avec moins de 200 acteurs de GRC/PCA, la mise en œuvre peut être
comprise dans la fourchette de 50 à 100 jxh.

Il est clair que la charge est une charge d'intégration par rapport à l'environnement du client plus
qu'une charge de paramétrage ou de développement pour les demandes particulières.

Affaires types :

 petit client deux modules en ASP, 5 utilisateurs : 25 K EUR/ an ;


 gros client 5000 utilisateurs, hébergé chez lui, licence 250 000 EUR et service associé 50 à
100 000 €.

La maintenance :

Tarif : 20% de (licence prix catalogue + développement spécifique) ; les services de maintenance
comprennent :
 le débogage,
 la fourniture des nouvelles versions de la plate-forme technique,
 la fourniture des évolutions des modèles relationnels (réglementation, normes, besoins du
marché…),
 la hotline et le support fonctionnel

Le support :

Copyright The Duquesne Group 2009 Page 50 /62


Outils PCA en France

Il est inclus dans la maintenance de base, une télémaintenance est optionnelle ; elle inclut
l’installation des nouvelles versions de la Solution et de la plate-forme technique.

8.5 E-Front PCA (eFront)


La politique de tarification du produit est par module et au nombre d’utilisateurs, soit nommés,
soit simultanés.

Le niveau de prix moyen est de l’ordre de 120 k€ pour une centaine d’utilisateurs, selon les
modules utilisés.

Le prix de la maintenance est compris entre 18% et 25% du montant des licences selon le niveau
de maintenance souhaité.

La solution est proposée aussi bien en Intranet qu’en ASP.


Le coût de la mise en œuvre est variable, selon l’expression du besoin exprimé par le client ; dans
un projet d’intégration typique cela va de 50 à 150 jours.

8.6 Score Web (Ageris)


Le produit est vendu avec une licence d’utilisation par module et un contrat de maintenance et
évolution des modules pour tous.

Le module est à environ 10 000 EUR. Un module correspond à un ensemble de fonctionnalités


en mode ASP sur une base donnée.

La maintenance est tarifée à 20% de la licence.

Exemple : modules PM et BCM +5 jours de consulting avec maintenance année 1 : 23 000 EUR.

Principe d’une licence par pays.

La mise en œuvre consiste à reprendre les procédures existantes en les mettant dans la base sans
avoir à réécrire l’existant.

8.7 Phenix (BCCM Strategy)

L’outil est facturé au nombre d’activités ayant fait l’objet d’une analyse ; le nombre d’utilisateurs
n’étant pas limité.
Ordre de grandeur : 40 k EUR pour 100 activités.

La maintenance est à 15% de tarif de la licence.

8.8 Viappel (Cedralis)


Pour cet outil d’alerting, qui est souvent utilisé en complément des produits logiciels décrits
précédemment, il s’agit d’un service facturé au volume.

Copyright The Duquesne Group 2009 Page 51 /62


Outils PCA en France

Le service est proposé sous la forme d’un abonnement annuel qui va dépendre de la volumétrie
des numéros à appeler et des appels passés. Le coût purement télécom des appels est en général
refacturé à part.

Le service est offert en France seulement, où les serveurs résident (Paris et Bordeaux).

8.9 Fact F24 (F24)


Dans le domaine de la continuité d’activité, la société F24 propose des prestations hébergées :
 Alerte et information
 Conférences téléphoniques
 Hotline d’information.
Les serveurs sont hébergés en Allemagne et dans un autre pays.

Les prestations sont modulées en différents niveaux (‘basic’, ‘professional’, ‘premium’,


‘customized’) à prix échelonnés. Les prix sont composés d’une partie fixe et d’une partie variable.
Les coûts téléphoniques sont en sus.

Des prestations de tests sont aussi proposées et facturées si elles sont de grande ampleur.

Le suivi et la mise à jour des bases des numéros et des personnes est aussi possible : des appels et
des relances sont générés pour actualiser les bases.

Le produit/service bénéficie d’une mise à jour majeure tous les ans.

8.10 Bilan sur la facilité de mise en œuvre


En reprenant les considérations précédentes, il est fait l’évaluation suivante dans laquelle la note
attribuée sur 10 indique la facilité ou l’importance de la couverture :

Shadow
Parad BCM suite Isiman PCA eFront PCA ScoreWeb Phenix
Planner
Mise en œuvre (total sur 30) 15 14 14 18 18 14 13
finition, effort de prise en main 5 6 4 4 4 7 8
rôles, workflow, confidentialité 6 5 7 7 8 2 2
capacité à développer des compléments 4 3 3 7 6 5 3

L’effort de prise en main tient compte de l’investissement nécessaire (en temps et en Euro) pour
arriver à une mise en œuvre correcte. Sur ce point, les produits simples, finis ou ‘clés en main’
sont favorisés.

Le critère ‘rôle, workflow et confidentialité’ valorise le mieux les outils dotés de ces
fonctionnalités par construction comme le sont les outils issus de la GRC.

Enfin les développements complémentaires sont plus pratiqués avec les outils semi-finis, cet
aspect peut d’ailleurs être vu comme le pendant négatif du premier point.

Copyright The Duquesne Group 2009 Page 52 /62


Outils PCA en France

9 Atouts et défis à relever


Dans ce chapitre nous présentons les atouts de chacun des produits de gestion de PCA et notons
les challenges qu’ils doivent de notre point de vue affronter.

9.1 Shadow Planner (Office Shadow)


 Les principaux atouts sont :
o La richesse fonctionnelle des modules au regard des besoins de continuité
d'activité (BIA, Risk Management, BCP, Gestion de crise, Compliance).
o La simplicité d’utilisation via son interface Web, multilingue, adaptée à des profils
contributeurs en matière de BCP.
o La puissance d’adaptation aux besoins des petites et grandes organisations par la
notion de perspective (filtres d’analyse sur les données) et workflow par email
pour le MCO des dispositifs de continuité d'activité.

 Les défis que nous voyons :


o Le passage à la nouvelle version technologique ne sera pas aisé pour la base
installée traditionnelle (non SaaS) et peut s’avérer coûteux pour l’éditeur.
o L’accompagnement à la mise en œuvre est important pour la réaliser dans de bons
délais : la société en France doit s’enrichir en consultants et partenaires efficaces.
o Malgré tout, l’un des meilleurs produits actuels, mais pourra-t-il maintenir son
niveau de prix plutôt élevé ?

9.2 PARAD (Groupe Devoteam)


 Les principaux atouts sont :
o Richesse fonctionnelle en opération : un module pilotage (d'exercice, de crise)
performant, intégrant une "main courante applicative".
o Un outil facile d'accès, simple d'utilisation, structurant : proche du besoin des
utilisateurs notamment par l'implication du Club des Utilisateurs de PARAD dans
l'évolution du produit.
o Structurel : le Groupe Devoteam est moteur dans la croissance de PARAD ; un
réseau de commercialisation à travers les filiales présentes dans 25 pays d'Europe,
du Moyen-Orient et d'Afrique du nord.
o L’utilisation de PARAD par IBM Global Services est une preuve de qualité.

 Les défis que nous voyons :


o PARAD, leader actuellement en France, est attaqué sur deux fronts : sur son
terrain par Sungard et sur la périphérie (gestion de risque et gouvernance) par des
acteurs comme eFront ou Keyword ; sans mentionner Shadow Planner sur tous
les fronts.
o Il doit impérativement sortir de France et augmenter ses parts de marché en
Europe, ce qu’il a commencé à faire.
o Comme ce n’est pas la vocation de Devoteam d’aller vers la GRC, des partenariats
avec des éditeurs du monde de la GRC peuvent s’avérer intéressants pour jouer la
complémentarité et border son territoire.
o La synergie avec une activité de type ‘service de continuité’ ou infogérance
mériterait d’être développée.

Copyright The Duquesne Group 2009 Page 53 /62


Outils PCA en France

9.3 Business Continuity Management Suite (Sungard)


 Les principaux atouts :
o La facilité pour les utilisateurs de remplir leur partie du PCA, que ce soit la partie
métier ou la partie technique.
o Le maintien en condition opérationnelle facilité (avec le corollaire de pouvoir
rapidement éditer un plan toujours à jour....et ce localement, pour le pays, pour le
groupe....)
o La gestion automatisée des interdépendances et des ressources.

 Les défis que nous voyons :


o La vision de l’offre Sungard donne l’impression d’un enchevêtrement de produits
d’âges et d’origines divers qui se superposent : une clarification est indispensable
en français tant sur les fonctionnalités que sur les prix.
o LDRPS nécessite une bonne compréhension et oblige à y entrer et gérer un bon
nombre de données : ce point peut être vu comme un handicap par les
utilisateurs, il faut le montrer comme un point fort et le rendre facile d’accès.
o Sungard doit améliorer sa visibilité outil en France ainsi que la synergie avec son
entité de services de continuité.

9.4 Isiman PCA (Keyword)


 Les principaux atouts :
o Un référentiel puissant, doté d’un moteur de workflow qui garantit la distribution
de la tenue à jour en entreprise.
o La combinaison portail, workflow, formulaire.
o Une architecture technique échelonnable et standard.

 Les défis que nous voyons :


o Pour les utilisateurs d’ISIMAN il est relativement aisé d’adjoindre des modules
PCA, pour les autres, la marche à l’entrée peut sembler haute.
o Les modules propres au PCA ne sont pas complètement achevés.
o La base de clientèle est trop étroite actuellement, il faut l’élargir.
o Le rapport prix/qualité est relativement élevé.

9.5 eFront PCA (eFront)


 Les principaux atouts :
o Une couverture fonctionnelle intéressante, répondant aux besoins d’un client de
référence.
o Une intégration avec la gestion des risques.
o Une plateforme standard et des outils de base réutilisables.

 Les défis que nous voyons :


o Pour les utilisateurs d’eFront GRC, il est relativement aisé d’adjoindre des
modules PCA, pour les autres, la marche à l’entrée peut sembler haute.
o Le produit doit se stabiliser.
o La base de clientèle est trop étroite actuellement, il faut l’élargir.
o Le rapport prix/qualité est relativement élevé.
o La performance en montée en charge du produit est sujette à caution

Copyright The Duquesne Group 2009 Page 54 /62


Outils PCA en France

9.6 Score Web (AGERIS Group)


 Les principaux atouts :
o Pertinence et expérience des consultants dans la gestion de PCA/ Respect des
pratiques en vigueur.
o Complet et multi domaine : partie IT mais aussi traite des RH, formation, test,
procédures sites de repli, besoins en mode dégradé.
o Couverture globale du PCA et accessibilité suite à crise.
o Bon rapport prix/qualité

 Les défis que nous voyons :


o C’est un outil d’accompagnement de démarche PCA, l’acheteur potentiel ne pense
pas encore outil.
o L’environnement technique est léger, peut être faut-il le renforcer techniquement.
o Les données collectées dans l’outil vieillissent et doivent être gérées avec
cohérence : sur la durée cet aspect peut s’avérer très problématique.
o L’accès au marché est difficile car Ageris concurrence les consultants qui sont des
prescripteurs potentiels.

9.7 Phenix (BCCM Strategy)


 Les principaux atouts :
o Outil orienté PCA Light, simple d’utilisation.
o Une gestion du maintien à jour par remontée des incohérences en temps réel.
o Une gestion de Crise pragmatique.

 Les défis que nous voyons :


o C’est un outil léger d’accompagnement qui peut être considéré comme ‘jetable’ :
avantage ou inconvénient ?
o L’éditeur est une petite société de taille insuffisante pour être autre chose qu’un
outsider de niche.
o Les éléments pris en compte dans l’outil sont limités (pas de support pour
l’informatique actuellement).
o La base installée est trop faible pour le niveau de prix.

10 Autres outils du marché


A titre d’exhaustivité, le tableau suivant liste succinctement d’autres fournisseurs présents sur le
marché mondial. Quelques commentaires figurent au tableau.

Ces fournisseurs ne sont à priori pas actifs en France ni en Europe pour la plupart d’entre eux. Il
est possible toutefois que certains opèrent au Royaume-Uni.

On note en particulier le support de la langue française chez certains éditeurs (en particulier
Canadiens).

Copyright The Duquesne Group 2009 Page 55 /62


Outils PCA en France

Produit Société Pays Points forts


Active Risk Manager Strategic Thought Group UK analyse des risques
Alive-IT idem ? USA service de sauvegarde/restauration, help-desk
compliance, risk, compare controles et
BA-Pro business assurance NL, Ro
données back-office
BCM Toolbox Youplanit Australie documentation, formation, exercice
BCP-kit ? USA ? semble ancien (an 2000)
canada, sophia
BCRP Interactive workflow CRISP technology outils variés couverture large
antipolis F
BCPlanning System RSM McGladrey risque, BIA, audit
BCPlanner Boldplanning USA web et Microsoft office : assez large

Business protector gateway BPSI UK+USA vient de la banque, BS25999, large couverture

Continuity2 idem ? UK web+doc, surtout conseil, l'outil semble léger


Disaster recovery plan generator Disaster recovery plan USA simples modèles de doc en anglais
modèles, base, aide à la structuration, non
disaster recovery systems Tamp computer systems USA
standard
prix prof 2007, multilingue, command center
eBRP toolkit eBRP solutions Canada
et PCA
erLogix idem USA Une méthode propre… '80% du travail fait' ?
prix prof 2008, site pas à jour (2007), lien avec
eSecurus nonverba USA ?
la qualité
Front Line Live continuity logic USA cite DRII, Itil, BCI ; orienté PRA
aide à l'exécution du PRA, alerte ? Mentionne
Gemini resilience workplace Gemini systems USA
VMWare, SOA
IMCD ContingenZ USA système expert ? Incident management et PCA
ImpactAware Texonet USA modélise les dépendances (process-asset,…)
Mitigator idem Australie ? semble intéressant

myCOOP COOP systems USA pragmatique, petits modules, français possible


ensemble d'outils: planning, notification,
OpsPlanner paradigm Solutions USA
pandémie
QuikPlan Disaster recovery 1 USA pour PME, pas cher
"créer et maintenir un Plan", semble bien pour
BCP2.0 Recovery planner USA
PME ?
Recovery PAC CSCI USA ? vieux ? Cite DOS, gère des priorités IT
Revive linus revive développer & maintenir un PCA
SWORD COMIT Irl risque, audit, gouvernance, SOX
Web Planner Express Waypoint advisory USA application MS sharepoint, large mais vague
MS based ? Souple ? Low-cost ? semble bien
The planning portal AVALUTION USA
couvrir les points

Copyright The Duquesne Group 2009 Page 56 /62


Outils PCA en France

11 Synthèse en conclusion
Cette étude nous a permis de rencontrer des acteurs du marché de la continuité d’activité et de
faire un certain nombre de constats.

11.1 Le marché est contrasté

La situation du marché des outils de PCA est marquée par plusieurs situations chez les éditeurs :
 Certains acteurs (PARAD et Sungard) sont présents depuis longtemps et sont très
orientés « Plan de reprise » et « secours informatique » ; leurs interlocuteurs naturels en
entreprise sont plutôt les informaticiens, ces acteurs ont eux-mêmes une activité de
service informatique par ailleurs.
 Des acteurs venant de la gestion des risques entrent sur ce marché en le considérant
comme connexe du leur : Keyword et eFront représentent cette tendance ; leurs
interlocuteurs sont plutôt des responsables PCA fonctionnels proches de la direction de
la sécurité ou des risques.
 Enfin, des challengers arrivent avec des produits que l’on peut qualifier d’outil de niche,
visant une facilité particulière : simplicité d’usage, aide efficace à la collecte d’informations
via le web ; Ageris et dans une moindre mesure BCCM Strategy en sont des exemples.
 Un acteur semble poursuivre une politique purement centrée sur les aspects du PCA à
partir d’une approche de type BCI (Business Continuity Institute) : Office Shadow dont
l’unique activité est le PCA au sens large.

En termes de niveau de prix, la segmentation suivante est constatée :


 Des offres d’entrée de gamme (ordre de grandeur 40 k€ à 70 k€ sur un projet type) qui
concernent essentiellement les challengers que sont Ageris et BCCM Strategy ;
 Des offres haut de gamme (de l’ordre 150 k€ à 250 k€) dans lesquelles se situent tous les
autres éditeurs.

Le marché nous semble en croissance, sans que nous puissions le chiffrer.

11.2 Des outils différents


L’analyse qui précède a permis de distinguer les différences entre les outils :

 en termes de fonctionnalités liées au PCA ;

 sur les aspects des technologies et de l’implémentation de l’outil ;

 sur le support de la gouvernance.

Le schéma suivant récapitule la situation des outils de catégorie 1 :

Copyright The Duquesne Group 2009 Page 57 /62


Outils PCA en France

fonctionnel PCA
8

gouvernance PCA technique outil

Shadow Parad Sungard

 L’offre de Sungard sort en tête sur les aspects fonctionnels du PCA, mais cela se fait au
prix d’ajouts de modules divers.

 PARAD de Devoteam défend sa position sur les aspects fonctionnels PCA et ressort en
tête sur les aspects techniques. Ce produit ne couvre pas –volontairement- les aspects de
gouvernance au sens où nous l’entendons.

 Shadow-Planner a une excellente couverture des aspects risques et gouvernance et se


positionne bien sur les aspects fonctionnels et techniques. C’est lui qui a la plus grande
surface de couverture sur l’ensemble de ces trois aspects.

Il ne nous a pas été possible de repérer des différences significatives en termes de prix entre ces
trois acteurs. Les manières de facturer (à l’utilisateur, à l’objet géré, à la taille de l’entreprise)
diffèrent et peuvent introduire des biais. La portion « projet de mise en œuvre » quant à elle
semble plus élevée avec Shadow Planner qu’avec PARAD. Sungard présentant une situation
intermédiaire. Il faudrait pour comparer plus finement disposer d’une métrique de coût qui
n’existe pas.

En ce qui concerne les outils de catégorie 2, la vision est différente ; les aspects fonctionnels sont
moins bien couverts que par les outils de catégorie 1:

 eFront et Keyword ressortent en tête dans les aspects de gouvernance qui sont
effectivement, par construction, les points forts de ces outils.

 En ce qui concerne le critère ‘technique et implémentation’ le classement met en avant


Keyword principalement et eFront à nouveau.

Copyright The Duquesne Group 2009 Page 58 /62


Outils PCA en France

 L’outil d’Ageris et le produit Phenix (surtout) sont clairement dans une catégorie d’entrée
de gamme, il est important de noter que le prix de ces produits est effectivement
beaucoup plus faible, à proportion.

fonctionnel PCA
8,0

6,0

4,0

2,0

0,0

gouvernance PCA technique outil

eFront Keyword Ageris Phenix

11.3 La maturité des acteurs


Un point particulièrement sensible par rapport à d’autres secteurs de marché est celui de la
maturité des acteurs. On trouve en effet :

 Des éditeurs établis ayant une forte base installée et pour lesquels l’activité logicielle est
un complément pour une activité de service principalement : Devoteam et Sungard. La
pérennité de ces sociétés et de l’activité PCA en leur sein est la meilleure.
 Des éditeurs ayant fait leur preuve et jouissant d’une base installée en France dans le
domaine de la gestion des risques où leurs produits font autorité : eFront et Keyword.
Ces éditeurs élargissent leur champ d’action vers le PCA où ils sont relativement novices
et possèdent très peu de références. L’activité PCA des ces éditeurs peut fort bien s’avérer
très marginale, voire marquer le pas ; il faut suivre l’évolution de la base installée des
modules PCA de ces outils. Le risque est toutefois atténué par le fait que ces éditeurs ne
sont pas mono-produit PCA.
 Un éditeur spécifique très mature en termes de culture de PCA – très teinté britannique,
ce qui dans ce cas est positif– Office Shadow qui est le seul «pure player» d’importance.
 De petits challengers qui existent avec leurs activités de conseil qu’ils assortissent d’outils
facilitateurs. La pérennité de ces outils n’est pas assurée mais l’importance de la
disparition de ces outils est probablement moins grave.

Copyright The Duquesne Group 2009 Page 59 /62


Outils PCA en France

Il n’est pas exclu que des acteurs américains décident de devenir actifs en Europe et en France en
particulier. Cela peut concerner des éditeurs qui possèdent déjà le français comme langue de
travail (Canada) et comptent des groupes français dans leurs clients.

11.4 La situation spécifique du client

Bien entendu, il est indispensable dans le choix d’un outil de prendre pleinement en compte la
situation spécifique de l’entreprise utilisatrice, en particulier son degré d’avancement dans
l’élaboration de son PCA. Les aspects suivants sont à considérer :

 Si l’entreprise veut construire progressivement son plan et se laisser guider par un outil
structurant, PARAD de Devoteam et la suite BCM de Sungard sont appropriés. Ces deux
outils exigent la saisie d’informations à gérer dans un environnement rigoureux.

 Si l’entreprise possède une structure complexe et des plans de continuité divers, des outils
comme Isiman de Keyword ou eFront PCA d’eFront permettent de consolider une vision
de PCA centrale. Ces outils permettront de reprendre de la documentation existante tout
en laissant leur gestion là où elle est, entre les mains des responsables en place.

 Une situation intermédiaire est représentée par Shadow Planner, qui est sous certains
aspects plutôt structurant tout en laissant des degrés de liberté. Ce produit d’un côté
structure, d’un autre côté laisse des degrés de liberté judicieux. Il représente un
compromis tout à fait intéressant.

 Si l’entreprise veut aborder la continuité d’activité avec des approches légères ou


progressives, en demandant à des responsables opérationnels de progressivement
renseigner leurs exigences dans un outil, alors les outils d’Ageris (et en entrée de gamme
le ‘light PCA’ Phenix de BCCM Strategy) sont adaptés. Une montée en puissance avec
ces outils pourra en revanche s’avérer problématique, surtout avec l’outil Phenix.

 En termes de prix, il est clair que les remarques précédentes se reflètent à la fois dans les
coûts de licence et dans les efforts de mise en œuvre.

Plus globalement, un des grands enseignements de notre étude est que dans ce marché il n’y a
pas une hiérarchie absolue allant de « bon » à « mauvais ». Chaque outil présente ses apports
et ses avantages et la bonne question est : « quel outil est le mieux placé pour répondre à la
problématique PCA spécifique de mon entreprise ? »

Il serait intéressant de garder un œil sur l’évolution de ce marché pour voir si ces conclusions
se confirment.

Copyright The Duquesne Group 2009 Page 60 /62


Outils PCA en France

Copyright The Duquesne Group 2009 Page 61 /62


Outils PCA en France

THE DUQUESNE GROUP


32 avenue Duquesne 75007 Paris
www.duquesnegroup.com sarl au capital de 35.400 € RCS Paris 494 571 730
The Duquesne Group, Duquesne Research, The Duquesne Institute, Tous droits réservés, Copyright 2009

Copyright The Duquesne Group 2009 Page 62 /62

Оценить