Planification de la continuité des activités suite à des cyber-incidents

Mercredi, 30 juillet 2025

Études de cas et meilleures pratiques de cybersécurité pour assurer la continuité des opérations d’affaires

Un vaisseau spatial aérodynamique nommé Continuum se préparait à explorer des galaxies inexplorées. Son équipage était entraîné à la découverte grâce à ses moteurs ronronnant de promesses. Chaque système – paradigmes de survie, de navigation, des communications – détenait la clé de la survie dans l’immensité silencieuse de l’Univers. À mi-chemin de son voyage, l’onde de choc d’une supernova lointaine a frappé le Vaisseau Spatial Continuum. Des alarmes retentirent alors que des surtensions se propageaient dans les circuits principaux. La navigation vacillait, les capteurs s’éteignaient et les journaux de bord essentiels étaient sur le point d’être effacés. Face à la crise imminente, le Capitaine du vaisseau spatial Continuum rassembla quatre spécialistes sur la passerelle : l’Ingénieur, connaissant chaque circuit et chaque générateur de secours; le Navigateur, expert en cartographie manuelle en cas de panne des cartes interstellaires; l’Officier des communications, expert en protocoles de détresse ; le Maître de timonerie, responsable de la protection des fournitures et des outils vitaux. Ensemble, ils ont constitué le Commandement de la Continuité du Vaisseau Spatial Continuum.

Premièrement, cet équipage a identifié les systèmes essentiels à la vie et à la mission : systèmes de survie et de circulation d’air; distribution électrique et génératrices de secours; commandes de navigation pour la correction de l’itinéraire; réseaux de communication pour appeler à l’aide et relayer l’état de la situation. Le Commandement de la Continuité du Vaisseau Spatial Continuum a isolé les sauvegardes, redirigé l’alimentation électrique et activé les journaux de réserve pour préserver les données de mission. Deuxièmement, tout en stabilisant le nœud du problème, l’Ingénieur a aménagé des « havres de sécurité » temporaires dans des modules secondaires : une chambre étanche où les protocoles de l’infirmerie pouvaient fonctionner indépendamment; une baie informatique blindée préservant les cartes stellaires et les archives de mission; des blocs d’alimentation portatifs pour alimenter les capteurs critiques. Ces « havres de sécurité » reflétaient un site de reprise après sinistre – rapide, fiable, confiné et particulièrement conçu. Troisièmement, le Capitaine du Vaisseau Continuum a instauré des exercices réguliers en microgravité pour aiguiser les réflexes : simulation de pannes de courant dans des secteurs aléatoires; itinéraires de navigation manuels à l’aide de cartes interstellaires et de sextants; protocoles d’évacuation d’urgence avec des canots de sauvetage portatifs; restauration des journaux de sauvegarde dans des conditions chronométrées. Chacun de ces exercices avait révélé des faiblesses et affiné la coordination de l’équipage. Quatrièmement, tandis que le Vaisseau Spatial Continuum retrouvait sa stabilité, l’équipage a rédigé une Planification de la continuité des activités pour redéfinir l’itinéraire en documentant les composantes suivantes : les rôles et responsabilités pour chaque phase de crise; les procédures de reprise étape par étape; l’inventaire des pièces, des blocs d’alimentation et des caches de données; les arborescences de communication pour les alertes internes et externes. Grâce à son nouveau manuel sécurisé dans des bases de données renforcées, le Vaisseau Spatial Continuum a pu poursuivre sa route au sein de l’Univers – résilient, préparé et plus que jamais confiant.

Transposées au monde des PME, en matière de Planification de la continuité des activités (PCA), les similitudes pratiques avec la métaphore de l’exploration spatiale décrite ci-dessus sont les suivantes : identifier les « systèmes » fondamentaux (applications, données, infrastructure informatique); établir des sauvegardes et des sites alternatifs (changement de plateformes d’infonuagique, stockage à froid des centres de données); attribuer des rôles clairs aux opérations informatiques, aux communications, aux services juridiques et à la direction; créer des environnements de reprise temporaires et activer les procédures de test; planifier des simulations, des exercices et des examens post-exercices régulier; tenir à jour un manuel de PCA accessible en cas d’urgence.

Planification de la continuité des activités : aperçu conceptuel global

Les 8 monographies [1,2,3,4,5,6,7,8] citées dans la section Ressources et références de cette Infolettre de juillet 2025 ont été consultées et adaptées pour la rédaction de plusieurs parties de ce document. Quelle est la signification de la Planification de la continuité des activités? La Planification de la continuité des activités (PCA) est un cadre stratégique qui décrit les procédures et les mesures de protection permettant à toute entreprise de poursuivre ses activités essentielles et de se rétablir rapidement des menaces ou des catastrophes. Elle englobe des mesures de prévention, d’intervention et de rétablissement conçues pour protéger le personnel, les actifs et la réputation en cas de perturbation. Pourquoi la PCA est-elle importante? Personne ne peut prédire quand un incident majeur – catastrophe naturelle, cyberattaque ou défaillance de la chaîne d’approvisionnement – surviendra. Une PCA solide démontre aux employés, aux actionnaires et aux clients que votre organisation est proactive. Elle minimise les temps d’arrêt, réduit les pertes financières et permet d’attribuer les personnes, les technologies et les fonds nécessaires au maintien des fonctions essentielles.

Principaux éléments opérationnels d’une Planification efficace de la continuité des activités

Une Planification efficace de la continuité des activités comprend généralement les éléments opérationnels suivants :

  • Équipe de la PCA : un groupe ou une équipe désignée, souvent composé de gestionnaires et de spécialistes, est chargé(e) de l’élaboration, de la mise en œuvre et de l’entretien du plan.
  • Analyse des répercussions sur les affaires (ARA) : identifie et quantifie l’impact des perturbations sur les processus, vous aidant ainsi à prioriser la reprise des activités.
  • Atténuation des cyber risques : mesures préventives (par exemple : alimentation de secours, contrôles de cybersécurité, formation croisée) pour réduire l’exposition aux cyberattaques.
  • Stratégies de continuité : solutions alternatives pour maintenir les services essentiels (télétravail, fournisseurs réguliers, solutions manuelles de contournement).
  • Documentation du plan : clarification de la portée, des objectifs, des rôles, des contacts et des critères d’activation.
  • Formation et sensibilisation : exercices et simulations pour que chacun connaisse son rôle en situation de stress.

Contrastes différentiels entre la Planification de la continuité des activités, la Planification de l’évaluation des risques et l’Analyse des répercussions sur les affaires

Avant que les PME canadiennes et les PME en expansion élaborent et mettent en œuvre une Planification de la continuité des activités (PCA), il est important de comprendre en quoi elle diffère de la Planification de l’évaluation des risques (PÉR) et de l’Analyse des répercussions sur les affaires (ARA), et en quoi elle s’y rattache [9,10,11,12]. D’une part, la Planification de l’évaluation des risques vise à identifier les menaces potentielles, à évaluer leur probabilité et à déterminer les vulnérabilités d’une organisation aux cyber-risques et aux cyberattaques. D’autre part, l’Analyse des répercussions sur les affaires se concentre sur l’évaluation des conséquences des perturbations opérationnelles en identifiant les fonctions primordiales et l’impact de leur interruption sur les activités de l’organisation.

Grâce à ces deux éléments – comprendre les problèmes potentiels et la gravité de la perturbation –, la Planification de la continuité des activités intervient pour élaborer des stratégies et des procédures de gestion visant à maintenir, poursuivre ou rétablir rapidement les activités de l’entreprise.

Envisagé dans leur intégralité, ces trois éléments fondamentaux constituent la fondation de la cybersécurité d’une organisation robuste, résiliente et bien préparée.

Figure 1 : Contrastes différentiels entre la Planification de la continuité des activités (PCA), la Planification de l’évaluation des risques (PÉR) et l’Analyse des répercussions sur les affaires (ARA)

Fonctionnalités Planification de la continuité  des activités Planification de l’évaluation des risques Analyse des répercussions sur les affaires
Objectifs Assurez la continuité des opérations primordiales pendant et après une interruption. Identifiez, analysez et évaluez les menaces et vulnérabilités potentielles en fonction de leur probabilité et de leur impact.

 

  

Identifiez et hiérarchisez les fonctions essentielles et quantifiez les impacts opérationnels, financiers et réputationnels découlant de leur perte.
Champs d’application Résilience de bout en bout : personnes, processus, technologie, fournisseurs. Risques particuliers (catastrophes naturelles, cyberattaques, problèmes de chaîne d’approvisionnement, etc.). Fonctions commerciales (finances, fabrication, soutien à la clientèle, etc.).
Focalisations « Comment maintenir les activités ? » — englobe la prévention, l’intervention et la reprise des activités. « Qu’est-ce qui peut mal tourner ? » — énumère les dangers, évalue la gravité, la probabilité et l’exposition. « Qu’est-ce qui se produit si on arrête de faire X ? » — évalue les temps d’arrêt, les coûts, la conformité et l’atteinte à la marque de commerce.
Méthodologies Assemblez l’équipe de continuité → définissez la stratégie → documentez les plans → formez → testez → révisez. 1. Identification des risques
2. Analyse des risques (probabilité × gravité)
3. Évaluation des risques		 1. Inventaire des processus critiques

2. Analyse d’impact (OTR/OPR)

3. Cartographie des besoins en ressources
Résultats Tablettes électroniques activées, arborescences de communication, sites alternatifs et procédures de reprise. Registre des risques ou carte thermique avec risques hiérarchisés et options d’atténuation. Liste hiérarchisée des fonctions avec objectifs définis de temps de reprise (OTR) et de point de reprise (OPR).
Séquences En s’appuyant sur les analyses PÉR & ARA, l’analyse PCA utilise leurs conclusions pour élaborer des stratégies.

 

 L’ARA suit souvent, une fois identifiées les fonctions les plus importantes; elle se concentre ensuite sur les menaces qui pèsent sur de telles fonctions. Généralement réalisée en premier lieu pour mettre en évidence les opérations les plus primordiales, puis oriente les analyses PÉR vers les menaces les plus importantes.

 

Principales distinctions entre PCA, PÉR et ARA

  • La PCA est le cadre général qui utilise les résultats de la PÉR et de l’ARA.
  • Le PÉR est axée sur les menaces : elle se demande : « Quels sont les risques les plus importants et les plus graves? »
  • L’ARA est orientée sur l’impact : elle se demande : « Quels processus doivent être remis en ligne le plus rapidement et à quel coût? »

Ensemble, l’ARA définit les priorités et le PÉR cible les menaces pertinentes. La PCA, quant à elle, codifie ensuite la manière de gérer les deux dans une seule planification exploitable.

Pourquoi les PME et les autres organisations devraient-elles utiliser conjointement la PCA, la PÉR et l’ARA?

  1. L’ARA identifie les points essentiels pour éviter de perdre du temps sur des fonctions à faible valeur ajoutée.
  2. La PÉR vous dirige vers les scénarios les plus risqués pour ces fonctions essentielles.
  3. La PCA intègre les deux dans un manuel opérationnel détaillant qui fait quoi, quand et comment mesurer la réussite des opérations.

Planification de la continuité des activités en contexte : leçons concrètes apprises des études de cas

Cette section de notre Infolettre de juillet 2025, consacrée aux études de cas, est utile pour sensibiliser les PME et les PME en expansion à l’importance cruciale de la Planification de la continuité des activités et à la mise en pratique des enseignements tirés de situations réelles. Vous trouverez ci-dessous quatre exemples concrets illustrant la manière dont différents types d’organisations se sont préparées, ont réagi et se sont relevées des perturbations majeures de leurs activités.

ÉTUDE DE CAS 1 : Panne nationale chez AT&T en 2024 frappant les PME sous-traitantes

Qu’est-ce qui s’est passé?

Au début de 2024, le siège social d’AT&T a subi une erreur de configuration réseau lors d’une extension planifiée, déclenchant une panne de service de 12 heures qui a touché plus de 125 millions d’appareils et des PME sous-traitantes dans les 50 États des États-Unis [13].

Conséquences :

  • 92 millions d’appels vocaux ont été bloqués, dont plus de 25 000 appels d’urgence au 911.
  • Frustration généralisée des clients, interruption des activités des PME, couverture médiatique négative, enquête menée par la Commission fédérale des communications des États-Unis (FCC).

Intervention et rétablissement des activités :

  • Dans un intervalle de 4 heures, les ingénieurs ont pu reprendre le contrôle de modification de la configuration réseau défectueuse.
  • Le rétablissement complet du service a pris entre 12 et 18 heures.
  • L’analyse post-événement de la Commission fédérale des communications des États-Unis (FCC) a mis en évidence des lacunes dans les évaluations par les pairs, le non-respect des procédures internes et l’insuffisance des tests préalables au déploiement.

Leçons apprises :

  1. Appliquer rigoureusement les protocoles de gestion des changements et les évaluations par les pairs pour les modifications de la configuration du réseau.
  2. Établir et appliquer méticuleusement des procédures de restauration d,urgence, avec des mesures claires et précises relatives aux politiques RICI (Responsable, Imputable, Consulté, Informé).
  3. Simuler régulièrement des modifications de configuration du réseau à grande échelle dans des conditions contrôlées.

ÉTUDE DE CAS 2 : Attaque via rançongiciel contre le système de santé irlandais en 2021, touchant les PME fournisseurs de services externes

Qu’est-ce qui s’est passé?

Une attaque complexe via rançongiciel a touché cinq (5) hôpitaux relevant du Health Service Executive (HSE) irlandais, paralysant les systèmes informatiques des hôpitaux, les processus de soins aux patients, la planification des rendez-vous médicaux, et les systèmes informatiques des PME fournisseurs de services externes pour le HSE irlandais [14].

Conséquences :

  • Annulations majeures de consultations externes, interventions chirurgicales annulées et réorientation des services essentiels.
  • Interruption de plusieurs systèmes de paie, retardant le versement des salaires de plus de 146 000 employés.
  • Coûts d’intervention et de reprise des activités estimés à plus de 100 millions de dollars américains.

Intervention et reprise des activités :

  • Les équipes de cybersécurité ont rapidement isolé 85 000 terminaux afin d’arrêter la propagation de l’attaque par rançongiciel.
  • Les mesures de segmentation des services d’infonuagique ont empêché tout chiffrement supplémentaire des sauvegardes.
  • La restauration complète et l’exploitation des serveurs et des applications ont duré plus de trois (3) mois.

Leçons apprises :

  1. Renforcer la segmentation des réseaux informatiques entre les systèmes cliniques et les réseaux administratifs.
  2. Investir sans tarder dans des sauvegardes immuables et des coffres-forts hors site.
  3. Former d’urgence l’ensemble du personnel à la sensibilisation à l’hameçonnage et aux rançongiciels, ainsi qu’aux protocoles de signalement des cyber-incidents.

ÉTUDE DE CAS 3 : Manufacturiers et PME portoricains durant l’ouragan Maria

Qu’est-ce qui s’est passé?

Lorsque l’ouragan Maria a dévasté Porto Rico en septembre 2017, de nombreux manufacturiers locaux et des centaines de PME ont été confrontés à des pannes prolongées d’électricité, à l’effondrement de leur chaîne d’approvisionnement et à des dommages aux infrastructures [15].

Conséquences :

  • Fermeture des usines pendant des semaines, mettant en péril les contrats et les sources de revenus des PME.
  • Les fournisseurs de pièces essentielles situés à travers l’île de Porto Rico étaient injoignables, ce qui a interrompu la production.

Intervention et rétablissement des activités :

  • À la suite des pannes massives d’électricité, les manufacturiers et les PME disposant des plans de continuité des activités ont utilisé des générateurs de secours et des réserves de carburant sur le site.
  • D’autres partenaires de la chaîne d’approvisionnement et des PME sur le continent américain étaient déjà préqualifiés et prêts à expédier des marchandises dans un délai minimal de jours ouvrables.
  • Une coordination avec le gouvernement local de Porto Rico et les associations professionnelles a accéléré l’approbation des permis pour les réparations d’urgence touchant les manufacturiers et les PME disséminés à travers toute l’île.

Leçons apprises :

  1. Maintenir des réseaux de fournisseurs à plusieurs niveaux, composés de manufacturiers et de PME, au-delà de la région principale.
  2. Prénégocier les contrats d’alimentation électrique et de logistique d’urgence afin de protéger les manufacturiers et les PME.
  3. Intégrer l’engagement des intervenants locaux dans la gouvernance du plan de continuité des activités.

ÉTUDE DE CAS 4 : Les PME du secteur de la logistique à travers le monde entier s’adaptent au choc de la COVID-19

Qu’est-ce qui s’est passé?

La COVID-19 n’a pas seulement causé une urgence sanitaire. Elle a fracturé les artères qui reliaient les producteurs aux consommateurs. Les PME du secteur de la logistique à travers le monde entier ont été confrontées à plusieurs chocs : poussées de la demande et ruptures de la chaîne d’approvisionnement, pénurie de main-d’œuvre due aux travailleurs malades, mesures de distanciation sociale et confinements obligatoires, et stagnations opérationnelles dues aux systèmes logistiques linéaires, manuels et traditionnels. Au début de la pandémie de COVID-19, les principaux fournisseurs logistiques tiers (3PL) et les PME ont constaté des fermetures d’entrepôts, des pénuries de main-d’œuvre et des retards aux frontières, menaçant la livraison mondiale au dernier kilomètre [16,17].

Conséquences :

  • Les problèmes de stocks en transit ont entraîné des ruptures de stock alarmantes pour les biens essentiels.
  • Les accords de niveau de service (ANS) contractuels ont été menacés par l’augmentation des délais de traitement.

Intervention et reprise des activités :

  • Mise en place rapide de zones d’entrepôt « sans contact », gérées par des PME du secteur de la logistique, avec une préparation automatisée des marchandises, et contrôle de la température du personnel pour détecter la COVID-19.
  • Formation polyvalente des chauffeurs pour soutenir des centaines d’opérations d’entrepôt, assurant ainsi la continuité des fonctions essentielles pour les manufacturiers et les PME portoricains.
  • Déploiement de tableaux de bord de visibilité en temps réel, appuyés par des capteurs IdO, pour rediriger les expéditions autour des zones à haut risque sur l’île de Porto Rica, minimisant ainsi l’impact sur les PME.

Leçons apprises :

  1. Automatisation des étapes clés de l’exécution des commandes afin de découpler et de dissocier la dépendance à la main-d’œuvre des manufacturiers et des PME.
  2. Investir dans des compétences transversales pour répondre aux demandes des manufacturiers et des PME.
  3. Exploiter les jumeaux numériques des réseaux de la chaîne d’approvisionnement pour la planification des scénarios en temps réel.

Synthèse – études de cas : thèmes communs et meilleures pratiques de cybersécurité pour les PME traditionnelles et les PME en expansion

  1. Tests proactifs : simulez les scénarios les plus pessimistes (pannes de réseau informatique, attaques par rançongiciel, catastrophes naturelles) pour identifier les failles cachées.
  2. Politiques flexibles : concevez des plans adaptables, des problèmes localisés aux crises de grande ampleur.
  3. Engagement de la direction : assurez l’engagement de la direction pour garantir un financement adéquat et une collaboration inter-service.
  4. Cadres de communication : tenez à jour les arborescences des contacts, les matrices d’escalade et les protocoles des intervenants externes.
  5. Amélioration continuelle : après chaque cyber-incident ou exercice, organisez un atelier de rétroaction et mettez à jour votre Plan de continuité des activités (PCA).
  6. Des analyses rapides, exploitables et ciblées (ARA + PÉR) peuvent produire des informations exploitables en quelques jours plutôt qu’en quelques semaines.
  7. Un plan de continuité des activités (PCA) simple, léger et fiable, qui met l’accent sur les étapes primordiales de la reprise des activités, est souvent plus adopté que des documents trop complexes.
  8. Des ententes de soutien mutuel préétablis et des accords de niveau de service (ANS) avec les fournisseurs renforcent la résilience sans des investissements conséquents.
  9. La sensibilisation intégrée, par le biais d’ateliers, de guides de référence rapide et d’affiches, permet aux équipes de connaître leurs rôles avant qu’une perturbation ne survienne.
  10. L’harmonisation, même élémentaire, d’un plan de continuité des activités (PCA) avec les référentiels ISO 22301/22313 peut ouvrir la voie à des améliorations progressives à mesure que les PME et les PME en expansion poursuivent leur croissance.

Méthode étape par étape : élaboration des meilleures pratiques de cybersécurité applicables au PCA comme cadre général, à partir des résultats des analyses de réactivité et d’analyse des répercussions

Résumé des procédures étape par étape

Un plan de continuité des activités (PCA) solide doit intégrer des pratiques de cybersécurité afin de protéger les opérations essentielles en cas de cyber-événements perturbateurs et de cyberattaques imprévisibles. Les étapes suivantes vous guident pour intégrer la cybersécurité à votre PCA, garantissant ainsi la résilience face aux menaces techniques, informatiques et opérationnelles. [18]

ÉTAPE 1 : Délimiter la gouvernance, la portée et les objectifs

  1. Former une équipe interfonctionnelle de cyber-continuité composée de représentants des services informatiques, de la sécurité, des opérations et de la direction.
  2. Clarifier les objectifs du PCA en incluant explicitement les scénarios de cyber-perturbation (par exemple : rançongiciel, hameçonnage, DDoS).
  3. Établir des politiques et des rôles pour la prise de décision, la communication et la remontée des renseignements en cas de cyber-incident.

ÉTAPE 2 : Mettre en œuvre un plan d’action d’urgence intégré (axé sur les menaces) en cohérence avec l’analyse des répercussions (axée sur les conséquences)

  1. Identifier les cybermenaces et les vulnérabilités, ainsi que les risques physiques et opérationnels (par exemple : catastrophes naturelles, défaillances de la chaîne d’approvisionnement).
  2. Quantifier la probabilité et la répercussion sur l’entreprise à l’aide d’un registre des risques ou d’une carte thermique.
  3. Prioriser les cyber-risques susceptibles de compromettre les processus fondamentaux (finances, soutien à la clientèle, marketing, assistance technique, gestion de la chaîne d’approvisionnement).

ÉTAPE 3 : Effectuer une analyse des répercussions sur les activités tenant compte de la cybersécurité

  1. Inventorier les fonctions obligatoires et cartographier leurs dépendances et interdépendances avec les systèmes informatiques, les données, l’infrastructure informatique et les réseaux.
  2. Définir les objectifs de temps de reprise (OTR) et les objectifs de point de reprise (OPR) pour chaque fonction primordiale.
  3. Identifier les points de défaillance uniques dans l’infrastructure informatique et les services tiers.

ÉTAPE 4 : Sélectionner et concevoir les contrôles de cybersécurité

  1. Appliquer un modèle zéro confiance : vérifier chaque utilisateur et chaque appareil avant d’accorder l’accès.
  2. Implanter une segmentation du réseau pour isoler les systèmes informatiques et les sauvegardes importantes du trafic général.
  3. Déployer des sauvegardes immuables hors site et une réplication automatisée des données pour atteindre les objectifs OPR.

ÉTAPE 5 : Intégrer le plan d’intervention en cas de cyber-incident et les procédures de la continuité des activités

  1. Élaborer des manuels cohérents de plan d’intervention face aux incidents avec l’activation de votre PCA : phases de couverture, de détection, de confinement, d’éradication et de reprise.
  2. Définir des points de transfert clairs et réalisables entre la réponse aux incidents de cybersécurité et les équipes PCA plus étendues.
  3. Établir des modèles de communication pour les intervenants internes, les organismes de réglementation et les clients lors des cyber-incidents.

ÉTAPE 6 : Mettre en œuvre des formations, des sensibilisations et des exercices pratiques

  1. Former le personnel à la reconnaissance des attaques d’hameçonnage et de rançongiciels, aux protocoles sécurisés d’accès à distance et aux procédures de contact d’urgence.
  2. Exécuter des exercices pratiques simulant des scénarios de cyberattaque (par exemple : serveurs chiffrés, pannes de réseau).
  3. Évaluer l’efficacité de l’intervention, la rapidité de prise de décision et la coordination entre les équipes des TI et les unités opérationnelles.

ÉTAPE 7 : Tester, valider et raffiner

  1. Planifier des simulations et des exercices réguliers, partiels et complets, afin de vérifier les flux de travail et les délais de reprise des activités relatives à la cybersécurité.
  2. Utiliser les indicateurs de chaque exercice pour identifier les lacunes dans les outils, les processus ou les effectifs.
  3. Mettre à jour les contrôles de cybersécurité et les documents PCA en fonction des leçons apprises.

ÉTAPE 8 : Surveiller, maintenir et améliorer continuellement

  1. Effectuer des réévaluations périodiques des risques et des mises à jour de l’analyse des répercussions sur les activités (ARA) à mesure que votre environnement informatique ou commercial évolue.
  2. Réviser les politiques et effectuer des exercices de mise à jour au moins une fois par année afin de maintenir le plan de continuité des activités (PCA) à jour et efficace.

En suivant les huit (8) étapes ci-dessus, les PME et autres organisations sont en mesure d’intégrer les meilleures pratiques de cybersécurité dans leur plan de continuité des activités, transformant ainsi leur PCA, d’un document statique, en un cadre évolutif qui protège les opérations essentielles de l’entreprise contre l’ensemble des cybermenaces et des cyberattaques.

Procédures de test de planification de la continuité des activités (PCA) à mettre en œuvre par les PME traditionnelles et les PME en expansion

Définir les objectifs des procédures de test de la PCA

Avant tout exercice de test de la PCA, clarifiez les éléments à valider : délais de reprise, canaux de communication ou prise de décisions sous pression. Cette clarification garantit que votre test de PCA génère des informations exploitables plutôt qu’un résultat générique de type « ça a fonctionné ».

Sélectionner les types de tests de la PCA

Les PME doivent commencer par des tests simples et complexifier leur mise en œuvre au fur et à mesure de leur développement. Les principales procédures de test de PCA doivent comprendre des tests basés sur des revues, des exercices de discussion (sur table), des simulations et des tests fonctionnels ou opérationnels.

Figure 2:
Procédures de test de planification de la continuité des activités à mettre en œuvre par les PME

Types de tests de PCA Descriptions abrégées
Exercices de discussion
(sur table)		 Présentation simplifiée d’une perturbation hypothétique, axée sur les rôles, les décisions et les lacunes.
Exercices de simulation Simulation étape par étape où les participants « jouent » leurs tâches réelles en temps réel.
Essais fonctionnels ou opérationnels Test en direct des systèmes informatiques ou du personnel (par exemple : basculement vers un site de secours, restauration à partir de sauvegardes).
Exercices à grande échelle Simuler des perturbations réelles impliquant tous les services, systèmes informatiques et infrastructures informatiques.

Élaborez des scénarios réalistes

Concevez des scénarios reflétant vos principaux risques (cyberattaques, inondations, défaillances de fournisseurs stratégiques) et associez-les à des fonctions essentielles (par exemple : traitement des commandes, paie). Insérez des éléments (rebondissements inattendus) pour tester l’adaptabilité et les processus décisionnels.

Préparez les ressources et la communication

  1. Constituez votre équipe de test et vos observateurs avec des rôles clairs (animateur, chronométreur, preneur de notes).
  2. Distribuez les briefs de scénarios à l’avance pour une préparation minimale.
  3. Prédéfinissez les canaux de communication (arborescence téléphonique, discussions de groupe) et les critères d’escalade afin que chacun sache où signaler les problèmes.

Exécutez les tests du PCA

  1. Commencez les tests du PCA par un breffage de scénario.
  2. Laissez les participants réagir comme ils le feraient en cas de perturbation réelle.
  3. Encouragez les observateurs à consigner les temps de réponse, les points de décision et les solutions de contournement utilisées.

Suivez, mesurez et consignez les résultats et les conséquences

Suivez des indicateurs observables tels que :

  1. Délai d’activation du PCA (de la déclaration de l’incident à la mobilisation de l’équipe)
  2. Délai de reprise des fonctions essentielles (par rapport aux objectifs OTR)
  3. Nombre et gravité des écarts de processus.

N.B. : Recueillez des commentaires qualitatifs sur la clarté des rôles, l’efficacité de la communication et les lacunes en matière de gestion des ressources.

Effectuez des bilans et des mises à jour post-tests

Organisez un atelier de rétroaction dans la semaine suivant les tests du Plan de continuité des activités. Pour chaque résultat, attribuez :

  • Une action corrective (par exemple : mise à jour des listes de contacts, ajout d’un serveur de secours).
  • Un gestionnaire de la mise en œuvre.
  • Une date cible pour l’accomplissement du PCA.

N.B. Révisez vos documents PCA et redéfinissez en conséquence vos prochains objectifs de test.

Calendrier et fréquence des tests de PCA

Effectuez un test de PCA au moins une fois par année, ou chaque fois que vous subissez des changements importants (nouveaux systèmes informatiques, déménagement de bureaux, recrutement important). À mesure que votre PME prend de l’expansion, alternez des exercices théoriques simples et des simulations opérationnelles complètes pour améliorer graduellement son niveau de préparation. En suivant ces étapes, votre PME peut valider en toute confiance sa capacité à réagir et à se rétablir des perturbations les plus susceptibles de menacer la continuité de ses opérations. Des tests et des améliorations continuelles transformeront votre PCA, d’un document statique, en un cadre évolutif de résilience.

ISO 22301 pour les PME et toutes les catégories d’organisations

Qu’est-ce que la norme ISO 22301?

La norme ISO 22301 est la norme internationale relative aux systèmes de gestion de la continuité des activités (SGCA) [19]. Elle fournit un cadre structuré qui aide les organisations de tous types, y compris les PME, à se préparer, à réagir et à se rétablir des incidents perturbateurs, qu’il s’agisse de catastrophes naturelles, de cyberattaques, de défaillances de la chaîne d’approvisionnement ou de pannes d’électricité.

Principes fondamentaux de la norme ISO 22301

  • Planification établie sur les risques pour identifier et évaluer les menaces et les attaques potentielles.
  • Stratégies de planification de la continuité des activités pour maintenir les fonctions primordiales.
  • Procédures de réponse aux incidents pour une action coordonnée et la résolution des incidents.
  • Processus de réponse et de reprise pour rétablir les activités normales.
  • Amélioration continuelle de la planification de la continuité des activités par le biais de tests, de surveillance et d’examens ou de révisions.

Structure de la norme ISO 22301

La norme ISO 22301 suit le cycle Planifier-Déployer-Vérifier-Agir (PDVA) et elle s’articule autour des principaux points suivants :

  1. Contexte de l’organisation.
  2. Leadership et engagement.
  3. Planification (évaluation des cyberrisques et objectifs du plan de continuité des activités).
  4. Soutien (ressources, compétences, sensibilisation).
  5. Opérations (politiques d’analyse des répercussions sur les activités, procédures de planification de la continuité des activités).
  6. Évaluation du rendement (suivi, mesure, audit interne).
  7. Amélioration (mesures correctives, mise en œuvre à jour et amélioration continuelle).

Principaux avantages de la norme ISO 22301

  • Résilience organisationnelle et confiance accrue des parties prenantes.
  • Réduction des temps d’arrêt et des pertes financières lors des cyberincidents.
  • Rôles, responsabilités et canaux de communication clairs et précis.
  • Preuve de conformité réglementaire pour les clients, les organismes de réglementation et les partenaires.
  • Feuille de route pour des tests réguliers du plan de continuité des activités et un perfectionnement continuel.

À qui s’adresse la norme ISO 22301?

Toute organisation, grande ou petite, publique ou privée, gouvernementale ou non gouvernementale, souhaitant assurer la continuité de ses activités en cas de perturbations. Cette norme est particulièrement utile aux entreprises souhaitant démontrer leur fiabilité auprès de leurs clients, des organismes de réglementation et des assureurs.

Prochaines étapes relatives à la norme ISO 22301

Si vous envisagez de mettre en œuvre la norme ISO 22301 dans votre PME, vous pouvez :

  • Effectuer une analyse des écarts par rapport aux dispositifs actuels de planification de la continuité d’activité.
  • Mobiliser la direction (cadre dirigeant) pour incorporer les ressources, investir dans le PCA et délimiter le périmètre.
  • Élaborer une analyse des répercussions sur les activités (ARA) et un plan d’évaluation des risques (PÉR).
  • Rédiger et tester vos procédures de planification de la continuité des activités (PCA) au moyen des exercices pratiques.
  • Valoriser et obtenir une certification officielle auprès d’un organisme d’enregistrement accrédité.

GUIDE étape par étape pour la mise en œuvre de la norme ISO 22301 par les PME

La mise en œuvre de la norme ISO 22301 ne doit pas nécessairement être un projet complexe, colossal et s’étalant sur plusieurs mois. En suivant les étapes personnalisées résumées ci-dessous, une PME peut mettre en place un système de gestion de la continuité des activités (SGCA) efficace, conforme aux normes réglementaires ISO 22301.

  1. Obtenir l’engagement et les ressources de la direction
    Engager l’adhésion explicite de la direction en présentant les avantages de la norme ISO 22301 : réduction des interruptions de service, conformité réglementaire et avantages concurrentiels sur le marché. Assurer l’allocation du budget, du temps de travail et la présence d’un commanditaire exécutif pour piloter le projet du SGCA.
  2. Comprendre les exigences de conformité et le contexte opérationnel
    Identifier toutes les parties prenantes (clients, autorités réglementaires, fournisseurs généraux, fournisseurs internes et externes) et leurs attentes en matière de planification de la continuité des activités. Répertorier les lois applicables, les accords de niveau de service contractuels et les directives sectorielles. Documenter le contexte interne et externe de l’organisation afin de délimiter les limites du SGCA.
  3. Expliciter la portée, la politique et les objectifs du plan de continuité des activités
    • Élaborer une politique de planification de la continuité des activités détaillée et claire, approuvée par la direction (cadre de direction).
    • Établir, mettre en œuvre et appliquer des objectifs mesurables de manière claire et précise (par exemple : « Restaurer la plateforme de commerce électronique dans les 5 heures »).
    • Indiquer clairement les sites, produits et services touchés par le SGCA.
  4. Instaurer des processus de soutien informatique
    • Mettre en place des procédures fondamentales du système de gestion pour garantir ce qui suit :
    • Documentation, archives et contrôle des documents;
    • Audits internes cohérents et documentés;
    • Gestion des non-conformités et mesures correctives;
    • Cohérence, traçabilité et amélioration continue de votre SGCA.
  5. Planification de l’évaluation des risques (PÉR) et analyse des répercussions sur les activités (ARA)
    • Planification de l’évaluation des risques : identifier les incidents potentiels (cyberattaques, inondations, défaillances de fournisseurs) et évaluer leur probabilité par rapport à leur impact.
    • Analyse des répercussions sur les activités : déterminer les objectifs de temps de reprise (OTR) et les objectifs de point de reprise (OPR) pour chaque processus essentiel, la gestion opérationnelle de l’entreprise et les ressources nécessaires.
    • L’intégralité de ces étapes permet d’identifier les menaces et les processus de gestion opérationnelle de l’entreprise qui nécessitent les mesures les plus urgentes de planification de la continuité des activités.
  6. Élaborer des stratégies de planification de la continuité des activités et les activer en conséquence
    Élaborer des stratégies concrètes pour atteindre vos cibles des OTR et des OPR. Voici quelques exemples :

    • Basculement des services infonuagiques pour les applications clés.
    • Alterner les lieux de travail ou les capacités d’accès à distance.
    • Contournements manuels pour les processus clés.
    • Documenter les procédures détaillées, les rôles des ressources humaines, les voies de communication et les besoins en ressources informatiques dans votre SGCA.
  7. Mettre en œuvre, former et sensibiliser
    Déployer votre plan de continuité des activités en :

    • Formant le personnel aux rôles d’intervention face aux cyberincidents;
    • Publier des guides de référence et des listes de vérification détaillés;
    • Communiquer les voies d’escalade par des affiches de sensibilisation du personnel ou sur l’intranet;
    • Intégrer la continuité dans les opérations quotidiennes afin que chaque employé « connaisse ses responsabilités ».
  8. Tester, simuler, exercer et valider
    Planifier une série d’exercices comprenant, entre autres :

    • Des simulations sur table pour explorer des scénarios ;
    • Des procédures pas à pas pour les tâches primordiales et les mesures correctives ;
    • Des basculements en direct pour les systèmes et infrastructures informatiques essentiels ;
    • Des enregistrements des indicateurs (temps d’activation, respect des OTR et OPR) et consigner les éventuelles lacunes opérationnelles et informatiques.
  9. Surveiller, analyser et améliorer fréquemment
    Exploiter le cycle Planification-Déploiement-Vérification-Action (PDCA) pour :

    • Surveiller les indicateurs d’intervention face aux cyberincidents et les conclusions des audits.
    • Réaliser des examens de direction sur le rendement du système de gestion de la continuité des activités (SGCA).
    • Mettre à jour les évaluations des cyberrisques, l’analyse d’impact sur les cybermenaces, le plan d’action d’urgence (PAU) et les procédures après chaque test ou changement opérationnel.
    • Agir de la sorte permet à votre SGCA de rester en phase avec l’évolution des cybermenaces et la croissance de votre organisation.
  10. Préparation à la certification (facultative)
    Si vous optez pour la certification officielle ISO 22301, assurez-vous de :

    • Effectuer une analyse des écarts de votre SGCA par rapport aux clauses de la norme.
    • Faire appel à un organisme d’enregistrement accrédité pour un audit en deux étapes (revue documentaire suivie d’une évaluation sur place de vos opérations).
    • Traiter les non-conformités et obtenir votre certificat afin de démontrer votre résilience à vos précieux clients et aux autorités de réglementation.

En suivant les dix (10) étapes résumées ci-dessus, votre PME peut construire, mettre en œuvre, exploiter et faire évoluer un système de gestion de la continuité d’activité (SGCA) conforme aux exigences de la norme ISO 22301 – transformant ainsi la planification de la continuité des activités (PCA) d’un exercice papier en un atout stratégique pour vos opérations commerciales.

Conclusion

Comment la planification de la continuité des activités (PCA) des PME évoluera-t-elle potentiellement au cours des 10 à 15 prochaines années? Confrontées à des risques en constante évolution – s’étalant des cybermenaces aux perturbations climatiques –, les PME traditionnelles et les PME en expansion verront leurs plans de continuité passer de documents statiques à des écosystèmes de résilience dynamiques et technologiques [20]. Voici un résumé de l’évolution possible de la planification de la continuité des activités des PME au cours des 5 à 10 prochaines années :

1. Intelligence des risques pilotée par l’IA

Chaque PME exploitera l’intelligence artificielle pour anticiper les menaces et s’y adapter en temps réel.

  • La modélisation prédictive permettra d’identifier les risques émergents (cyberattaques, retards dans la chaîne d’approvisionnement, intempéries) avant qu’ils ne se matérialisent.
  • Les moteurs automatisés d’évaluation des risques réévalueront en permanence la résilience des PME à mesure que les données internes et les conditions externes évoluent.
  • Des alertes de type d’agent conversationnel guideront le personnel de première ligne dans les actions d’intervention, adaptant les scripts de manière dynamique au fil des incidents.

2. Résilience infonuagique native et PCA en tant que service

La planification de la continuité des activités passera des projets internes à des plateformes hébergées dans le nuage par abonnement.

  • Les PME adopteront des offres de PCA en tant que service clé en main regroupant la sauvegarde des données, l’automatisation du basculement, la gestion des incidents et les rapports de conformité.
  • Les flux de travail de reprise des activités seront hébergés dans le nuage, orchestrant des processus (comme la création de postes de travail virtuels ou la redirection des flux de commandes) pour une exécution fluide dans plusieurs zones géographiques.
  • Les modèles de tarification à l’utilisation démocratiseront l’accès à des capacités de continuité des activités de niveau entreprise, sans investissements importants.

3. Cybersécurité intégrée et modèle à vérification systématique

La cybersécurité cessera d’être un silo isolé et deviendra un élément intégré à tout plan de continuité.

  • Les cadres du modèle à vérification systématique – vérification continuelle des identités, micro-segmentation, confinement automatisé des menaces – seront essentiels au maintien des opérations en cas de cyberattaque.
  • Les outils d’orchestration et de réponse de sécurité (OORS) seront directement connectés aux plateformes de PCA, déclenchant des tablettes électroniques de confinement parallèlement aux étapes de reprise des activités.
  • Les PME mesureront systématiquement le « temps d’isolement de la brèche » et le « temps de reprise des services essentiels » comme indicateurs clés de résilience.

4. Visibilité de la chaîne d’approvisionnement et jumeaux numériques

La résilience s’étendra au-delà des murs des PME pour offrir une transparence totale de l’écosystème.

  • Des registres basés sur la chaîne de blocs et des capteurs IdO alimenteront en temps réel les « jumeaux numériques » de la chaîne d’approvisionnement des PME, permettant ainsi un réacheminement instantané des commandes en cas de perturbation.
  • Les portails fournisseurs collaboratifs permettront aux fournisseurs et aux partenaires de coordonner les stratégies de continuité de manière synchronisée, réduisant ainsi les angles morts et les points de défaillance uniques.
  • Des simulations de scénarios permettront de tester sur demande les chaînes d’approvisionnement à plusieurs niveaux dans le cadre de dizaines d’événements hypothétiques (pandémies, grèves des transports, pénuries de matières premières).

5. Agilité des effectifs et résilience hybride

Les effectifs de l’avenir seront aussi dynamiques que les risques auxquels ils sont confrontés.

  • Les plans de continuité intégreront par défaut des protocoles de travail à distance : accès sécurisé, applications indépendantes des appareils, guides de changement de tâches et matrices d’autorité décentralisées.
  • La réalité virtuelle (RV) et la réalité augmentée (RA) permettront des exercices de simulation à distance, encadrant des équipes dispersées par le biais de simulations à haute pression.
  • Les rotations de formation croisée et les exercices de résilience feront partie intégrante des objectifs de rendement annuels de chaque employé.

6. Essais, surveillance et indicateurs continuels

Le principe « Construire une fois, ne jamais tester » appartiendra au passé. Les PME devront adopter des cycles de résilience de type DevOps.

  • Des outils automatisés d’ingénierie du chaos injecteront aléatoirement des défaillances (pannes de serveur, interruptions de flux de données) dans les systèmes informatiques en service afin de valider les scripts de reprise.
  • Les tableaux de bord en temps réel afficheront les indicateurs clés de performance (OTR, OPR, délai de reprise après cyberincident) ainsi que des indicateurs financiers et d’expérience client.
  • Des bilans mensuels de résilience remplaceront les rares analyses théoriques, garantissant ainsi l’évolution des plans au rythme des modèles économiques.

7. Planification de la continuité des activités focalisée sur les facteurs ESG et le climat

Les facteurs environnementaux, sociaux et de gouvernance (ESG) influenceront directement les stratégies de continuité des activités.

  • La planification des scénarios de risques climatiques (cartographie des inondations, projections de canicule, évolutions réglementaires) sera intégrée à chaque PCA, avec des budgets adaptatifs pour les mesures de résilience écologique (secours solaire, systèmes de recyclage de l’eau).
  • Les indicateurs de résilience sociale (bien-être des employés en temps de crise, impact sur la communauté) se joindront aux indicateurs informatiques et opérationnels traditionnels comme priorités du conseil d’administration.
  • Les plans de continuité des activités (PCA) s’aligneront sur les cadres de déclaration ESG, faisant des investissements en résilience un argument de vente pour les clients comme pour les investisseurs.

8. Convergence des ERP, CRM et PCA

La continuité des activités ne sera plus une démarche isolée, mais une couche intrinsèque à tous les systèmes d’entreprise.

  • Les plateformes de planification des ressources de l’entreprise (ERP) et de gestion de la relation client (CRM) incluront des modules PCA intégrés, déclenchant des flux de recouvrement au quotidien.
  • En cas d’échec du traitement d’une facture importante, le système dirigera automatiquement ce client vers un autre centre de facturation.
  • Cette intégration transparente transforme la BCP d’une discipline distincte en un sous-produit naturel de chaque activité transactionnelle.

Quelles sont les tendances, les perspectives et les prévisions futures [21] en matière de planification de la continuité des activités pour les PME ? Voici quelques éléments de réponse à cette question :

1. Évolution du paysage des cybermenaces

Les perturbations des activités ne se limitent plus aux catastrophes naturelles. Les cyberattaques, les défaillances de la chaîne d’approvisionnement et les phénomènes météorologiques extrêmes se produisent désormais chaque semaine, les grandes entreprises signalant ainsi un coût moyen d’interruption de service dépassant les 300 000 $ par incident. Pour les PME, cela signifie que la planification doit aller au-delà des scénarios traditionnels d’incendie et d’inondation pour inclure les rançongiciels complexes, les campagnes DDoS et les faillites de fournisseurs.

2. Technologies et numérisation

Les PME adopteront de plus en plus la reprise des activités infonuagiques natives, l’infrastructure en tant que code (IaC) et la surveillance pilotée par l’IA. Les outils d’IA peuvent automatiser la détection des cybermenaces, prédire les dégradations de service et orchestrer les basculements sans intervention humaine. Les sauvegardes hors site immuables et les pipelines de reprise automatisés permettront de faire passer la continuité des activités des processus manuels à des architectures auto-réparatrices.

3. Facteurs réglementaires et de conformité

Les gouvernements et les organismes sectoriels renforcent les normes de résilience pour les secteurs essentiels. Les organismes de réglementation canadiens exigent maintenant des PCA documentés et testés pour les fournisseurs de taille moyenne, notamment dans les secteurs de la finance et de la santé. Les PME qui s’alignent rapidement sur la norme ISO 22301 et les futures exigences locales bénéficieront d’un avantage concurrentiel et elles réduiront les difficultés relatives aux audits.

4. Culture organisationnelle et développement des compétences

La préparation à la continuité deviendra une compétence sine qua non. Les PME avant-gardistes investiront dans des exercices interfonctionnels, des simulations ludiques et des modules de micro-apprentissage sur la réponse aux incidents. L’intégration de la continuité dans les routines quotidiennes, grâce à des guides de référence rapides et des exercices éclair, permet au personnel de se maintenir au niveau de sa formation, sans paniquer, lorsque des événements surviennent.

5. Collaboration et résilience de l’écosystème informatique

Aucune PME ne fonctionne de manière isolée. Les PCA dans le futur, officialiseront des pactes d’entraide avec des organisations homologues, des espaces de cotravail et des fournisseurs clés. Les tableaux de bord d’alerte précoce partagés et les plateformes coordonnées de gestion des risques fournisseurs permettront de réorienter rapidement les commandes et les ressources en cas de défaillance d’un nœud. Cette approche en réseau transforme les concurrents en partenaires de continuité.

6. Intégration stratégique dans la gestion des risques d’entreprise

Le PCA des PME passera de plans cloisonnés à des cadres intégrés de gestion des risques. Des évaluations continuelles des risques alimenteront les tableaux de bord ARA en temps réel, corrélant les indicateurs opérationnels, financiers et de réputation. Cette vue unifiée permet aux dirigeants de prioriser les investissements de manière dynamique plutôt que de revoir les plans statiques chaque année.

7. Perspectives futures : quelques prévisions majeures pour le PCA

  • Adoption de simulations de jumeaux numériques pour tester l’ensemble des chaînes d’approvisionnement.
  • Utilisation augmentée des pistes d’audit basées sur la chaîne de blocs pour plus de transparence lors des exercices de basculement.
  • Développement des offres de continuité des activités en mode « comme-un-service », permettant un accès à la carte aux ressources de secours, aux trousses de télétravail et aux centres de commandement des cyberincidents.
  • Accent mis sur une continuité des activités focalisée sur le développement durable, où les sites de reprise des activités neutres en carbone et les centres de données alimentés par des énergies vertes deviennent des éléments clés du plan de continuité des activités.

En adoptant proactivement les tendances, les perspectives et les pronostics décrits ci-dessus (automatisation numérique, collaboration au sein de l’écosystème informatique et surveillance continuelle des risques), les PME peuvent transformer leur plan de continuité des activités (PCA) d’un simple exercice de conformité en un outil stratégique favorisant la croissance et la résilience de leurs opérations.

Ressources et références

  1. Ralph L. Kliem et Gregg D. Richie. Business Continuity Planning: A Project Management Approach, 1ère Édition brochée en papier, Boca Raton, Florida, USA: Routledge/CRC Press – Auerbach Books Publishing, Taylor & Francis Group, 12 juillet 2022, 404 pages. Business Continuity Planning: A Project Management Approach – Paperback 1st Edition CRC Press – Auerbach Books – Taylor & Francis
  2. James Crask. Business Continuity Management: A Practical Guide to Organization Resilience and ISO 22301, 2e Édition brochée en papier, Londres, Royaume Uni, Kogan Page Publishers, 3 mai 2024, 352 pages. Business Continuity Management: A Practical Guide to Organization Resilience and ISO 22301 | Kogan Page Publishers
  3. Ravi Jay Gunnoo, Cybersecurity Education Compendium: Harnessing Digital Safety Best Practices Across the World, 1ère Édition en gros caractères et livre électronique publiée à Seattle, Washington, USA par : Amazon Publishing USA, 18 Septembre 2024, 728 pages, ISBN: 9798336620344. CYBERSECURITY EDUCATION COMPENDIUM: Harnessing Digital Safety Best Practices Across the World: Gunnoo, Ravi Jay: 9798336620344: Books – Amazon.ca
  4. Kenneth L. Fulmer. Business Continuity Planning: A Step-by-Step Guide with Planning Forms, 1ère Édition brochée en papier, Connecticut, USA, Rothstein Associates Publisher Inc., 26 janvier 2022, 198 pages. Business Continuity Planning: A Step-by-Step Guide with Planning Forms – Rothstein Associates Publisher Incorporate
  5. Stuart Sterling, Anna Payne, Brian Duddridge et al. Business Continuity for Dummies: Produced in Partnership with The Cabinet Office, 1ère Édition brochée en papier, Hoboken, New Jersey, USA: John Wiley & Sons Publishers Inc., 10 décembre 2018, 304 pages. Business Continuity for Dummies | 1st Edition – John Wiley & Sons Publishers Inc.
  6. The Art of Service. Business Continuity Planning: A Complete Guide – 2021 Edition – Practical Tools for Self-Assessment, 2e Édition brochée en papier, Brendale, Queensland, Australia: The Art of Service Publishing Co. Ltd., 4 janvier 2021, 312 pages. Business Continuity Planning: A Complete Guide – 2021 Edition Toolkit
  7. Eugene Tucker. Business Continuity from Preparedness to Recovery: A Standards-Based Approach, 1ère Édition brochée et illustrée en papier, Oxford, United Kingdom et Massachusetts, USA, Butterworth-Heinemann, an imprint of Elsevier Publications Inc., 10 février 2018, 384 pages. Business Continuity from Preparedness to Recovery – 1st Paperback Illustrated Edition | Butterworth-Heinemann – Elsevier Publications Inc. Shop
  8. Kurt K. Engemann and Douglas M. Henderson. Business Continuity and Risk Management: Essentials for Organizational Resilience, 1ère Édition brochée en papier, Connecticut, USA, Rothstein Associates Publisher Inc., 28 septembre 2021, 378 pages. Business Continuity and Risk Management: Essentials of Organizational Resilience – Rothstein Associates Publisher Incorporated
  9. Priti Sikdar, Practitioner’s Guide to Business Impact Analysis: Internal Audit and IT Audit Series, 1ère Édition brochée en papier, Boca Raton, Florida, USA: Routledge/CRC Press, Taylor & Francis Group, 2 août 2021, 508 pages. Practitioner’s Guide to Business Impact Analysis: Internal Audit and IT Audit Series | Priti Sikdar | Routledge/CRC, Taylor Francis
  10. Ian Charters, A Practical Approach to Business Impact Analysis: Understanding the Organization through Business Continuity Management, 2Édition brochée en papier, Knaresborough, England: Continuity Systems Ltd., 21 août 2020, 354 pages. A Practical Approach to Business Impact Analysis: Understanding the Organization through Business Continuity Management by Ian Charters | Open Library
  11. Marianne Swanson, Pauline Bowen, et al., NIST SP 800-34, Rev. 1: Contingency Planning Guide for Federal Information Systems. Gaithersburg, Maryland, USA: National Institute of Standards and Technology (NIST) – United States Department of Commerce, 4 janvier 2019, 149 pages. NIST 800-34, Rev 1 Contingency Planning Guide for Federal Information Systems
  12. Dr. Kitty Hung, Business Impact Analysis in the Era of Generative Artificial Intelligence: How to Upskill Ourselves in an Intelligence Led Automation World, 1ère Édition brochée en papier publiée simultanément à Londres (Royaume-Uni) et Seattle, État de Washington (USA): BabySteps Publishing Ltd. & Amazon Publishing USA, 2 février 2024, 347 pages, ISBN: 9798877943360. Business Impact Analysis in the Era of Generative Artificial Intelligence: How to Upskill Ourselves in an Intelligence Led Automation World: Hung, Dr Kitty: 9798877943360: Books – Amazon.ca
  13. Drew Morin. February 22, 2024 Nationwide AT&T Mobility Network Outage Report and FindingsA Report of the Public Safety and Homeland Security Bureau – Document Written for the Federal Communications Commission, Washington, D.C., USA, Federal Communications Commission (FCC) des États-Unis d’Amérique, Network Outage Reporting System – Public Safety, Public Report Published on the 22 juillet 2024, 48 pages. FCC Issues Report on Nationwide AT&T Mobility Outage | Federal Communications Commission
  14. Louise O’Sullivan. Key Learnings Following the Ransomware Attack on Irish Healthcare, HEAnet – Ireland’s National Education & Research Network – ICT Security Services Management, Dublin, Ireland, Document téléversé en ligne le 5 octobre 2021. Key Learnings Following the Ransomware Attack on Irish Healthcare – HEAnet
  15. Jennifer Helgesson. NWIRP Research Study of Recovery from Hurricane Maria’s Impacts on Puerto Rico Recovery of Business and Supply Chains Post-Hurricane Maria, étude de recherche commanditée par la National Institute of Standards and Technology (NIST) Hurricane Maria Program, Gaithersburg, Maryland, USA: National Institute of Standards and Technology (NIST) – United States Department of Commerce, étude de recherche post-ouragan publiée le 11 juin 2021, 47 pages. 09 NIST Hurricane Maria Program_HELGESON_NCSTAC_2021_RecoveryBusiness.pdf
  16. Georgia Wilson. How COVID-19 Has Transformed the Logistics and 3PL Industry, Division des Rapports et des Documents de présentation technique, Supply Chain Magazine, San Francisco, USA: Supply-Chain Digital Inc., document de mise en œuvre téléversé en ligne le 13 juillet 2021. How COVID-19 Has Transformed the Logistics and 3PL Industry | Reports and White Papers Division, Supply Chain Magazine
  17. Ian Twinn, Navaid Qureshi and Maria Lopez Conde. The Impact of COVID-19 on Logistics, 3PL Industry, SMEs and Supply Chain, Études de cas et rapports, Washington, D.C., International Finance Corporation – Un membre du Groupe de la Banque Mondiale, 16 pages. International Finance Corporation – World Bank Group – Case Studies and Reports-The Impacts of COVID-19 on Logistics, 3PL Industry, SMEs and Supply Chain – final_web.pdf
  18. Rob May. Unbreakable Business: A Practical Guide to Cyber Resilience and Business Continuity, 1ère Édition en gros caractères et livre électronique publiée à Seattle, Washington, USA par : Amazon Publishing USA, 18 septembre 2024, 375 pages, ISBN: 9798316605620. Unbreakable Business: A Practical Guide to Cyber Resilience and Business Continuity: May, Rob: 9798316605620: Books – Amazon.ca
  19. Organisation Internationale de Normalisation (ISO). ISO/TS 22317:2021 (FR): Securité et résilience — Systèmes de gestion de la continuité des activités (SGCA) — Exigences, Plateforme de Consultation En Ligne (PCEL), 2Édition, Genève, Suisse: ISO, octobre 2019, 121 pages. ISO 22301:2019(fr), Sécurité et résilience — Systèmes de gestion de la continuité des activités — Exigences
  20. Ole Madsen (Editor), Ulrich von Berger (Editor), Heidemann P. Lassen (Editor) et. al. The Future of Smart Production for SMEs: A Methodological and Practical Approach Towards Digitalization in SMEs, 1ère Édition à couverture rigide avec illustrations, Springer Nature Publishing Company – publiée dans la Série scientifique répertoriée comme Discover Analytics, Springer-Verlag GmbH, Berlin (Allemagne) & Gewerbestrasse-Zurich (Suisse), 28 octobre 2023, 448 pages. The Future of Smart Production for SMEs: A Methodological and Practical Approach Towards Digitalization in SMEs – Hardcover 1st Edition with Illustrations | Springer Nature Publishing Company – Discover Analytics Series – Springer-Verlag GmbH
  21. Herfried Kohl. Managing SMEs in Times of Rapid Change, Uncertainty, and Disruption: A Gentle Introduction to Qualitative and Quantitative Methods of Risk Management, 1ère Édition à couverture rigide avec illustrations, Springer Nature Publishing Company – publiée dans la Série scientifique répertoriée comme Discover Analytics, Springer-Verlag GmbH, Berlin (Allemange) & Gewerbestrasse-Zurich (Suisse), 13 novembre 2024, 592 pages. Managing SMEs in Times of Rapid Change, Uncertainty, and Disruption: A Gentle Introduction to Qualitative and Quantitative Methods of Risk Management – Hardcover 1st Edition with Illustrations | Springer Nature Publishing Company – Discover Analytics Series – Springer-Verlag GmbH

Contributions

Nous remercions en particulier le Conseil national de recherches du Canada (CNRC) pour son soutien financier par le biais de son Programme d’aide à la recherche industrielle (PARI), lequel programme est bénéfique pour les PME innovatrices à l’échelle du Canada.

Éditeur-en-chef de l’infolettre :

Alan Bernardi, SSCP, PMP, auditeur principal pour ISO 27001, ISO 27701 et ISO 42001
B.Sc. Informatique et Mathématiques, Université McGill, Canada
Diplôme d’études supérieures en gestion, Université McGill, Canada

Auteur-Amazon USA, informaticien, rédacteur & traducteur professionnel certifié :

Ravi Jay Gunnoo, C.P.W. ISO 24495-1:2023 & C.P.T. ISO 17100:2015B.Sc. Informatique et Cybersécurité, Université McGill, CanadaB.Sc. & M.A. Traduction Professionnelle, Université de Montréal, Canada

Ce contenu est publié sous licence Creative Commons Attribution (CC BY-NC).

In-Sec-M

283 Boul. Alexandre-Taché Suite F3006,
Gatineau (Québec)
J9A 1L8

info@insecm.ca