La conception d’un PDCA ne peut être réalisée sans la collaboration de l’ensemble des acteurs. Il faut une impulsion au plus haut de la hiérarchie et s’inspirer grandement de l’organisation mise en place pour la conception du plan de gestion de crise sanitaire (plan blanc). Le comité de la sécurité des systèmes d’information (incluant la direction générale mais aussi la direction de la qualité, de la communication, des travaux, du biomédical, du système d’information, de l’usage du numérique, …) est là pour identifier, cartographier les processus et les risques associés mais seul le Comex peut définir le périmètre fonctionnel à couvrir. Un PDCA ne peut se réduire au simple périmètre technique. Il faut admettre le risque d’une panne totale de nos systèmes d’informations et donc concevoir un mode de fonctionnement dégradé : un hôpital sans système d’information, sans électricité, sans eau…. Chaque scénario nécessite une approche et une réponse spécifique.