Alors que les contraintes et le déferlement des demandes liés à la pandémie constituent une forme de risque, les opérations de sécurité sociale s’exposent à un risque d’interruption dû à toute une série d’autres menaces parmi lesquelles on compte les catastrophes naturelles, les événements politiques et les crises internationales. En outre, le rôle croissant des technologies de l’information et de la communication (TIC) au sein de l’administration de la sécurité sociale rend les organisations vulnérables aux nouvelles menaces telles que les pannes techniques, la perte de données et les cyberattaques (AISS, 2022a). La Gestion de la continuité des activités (Business Continuity Management – BCM) permet aux institutions de sécurité sociale d’anticiper, de préparer et d’atténuer l’incidence de ces risques. Le BCM Institute définit la BCM comme un processus de gestion complète qui identifie les menaces potentielles ainsi que l’impact de ces menaces et développe des plans d’action. Ces cadres permettent aux organisations de construire leur résilience afin de protéger efficacement les intérêts des parties prenantes. Une gestion prudente demande aux institutions de développer un Plan de continuité des activités (Business Continuity Plan – BCP) pour maintenir les services dans de telles situations tout en protégeant les actifs de l’organisation.

La mise en place d’un BCP suit généralement une approche par étapes (Graphique 1). Le processus commence par une Analyse complète des processus opérationnels (Business Process Analysis – BPA) qui cartographie les flux de travail, les activités, le personnel, les systèmes, les ressources, les contrôles, les données et les locaux nécessaires à l’exécution des fonctions opérationnelles. Après la BPA s’ensuit une Analyse d’impact opérationnel (Business Impact Analysis – BIA) dont l’objectif est d’identifier les fonctions essentielles aux activités de l’organisation. Les informations recueillies à travers les analyses BPA et BIA servent ensuite à concevoir les techniques d’atténuation des risques que le BCP devra couvrir. Le BCP est testé et mis à jour avant de commencer la formation du personnel. Le BCP doit être testé et actualisé régulièrement, ce qui nécessite aussi une formation continue.

Source: Balibek, Storkey et Yavuz, 2021

Étant donné l’importance de la BCM pour l’administration de la sécurité sociale, l’Association internationale de la sécurité sociale (AISS) a développé toute une série de ressources visant à aider les institutions membres à renforcer leur résilience et à maintenir la continuité de leurs opérations. Les Lignes directrices de l’AISS en matière de continuité et de résilience des systèmes et des services de sécurité sociale (AISS, 2022c) qui seront bientôt disponibles et les Lignes directrices de l’AISS en matière de bonne gouvernance, notamment, exposent les grandes lignes des stratégies de gestion des risques provenant de l’organisation (Lignes directrices 32 à 34) et du point de vue des TIC (Ligne directrice 69) (AISS, 2019a). De plus, la partie G des Lignes directrices de l’AISS en matière de qualité des services (AISS, 2019c) instaure des principes d’amélioration continue, tandis que la partie F souligne l’importance de développer une culture de service. Enfin et surtout, la Ligne directrice 12 des Lignes directrices de l’AISS en matière de technologies de l’information et de la communication (AISS, 2019b) ainsi qu’une nouvelle publication sur la résilience opérationnelle numérique (AISS, 2022a) se concentrent sur les aspects de la continuité des activités liés aux TIC, puisque la résilience opérationnelle globale repose de plus en plus sur la robustesse de ces services.

Expériences de gestion de la continuité des activités vécues dans la région Asie et Pacifique

De plus en plus d’institutions de sécurité sociale dans la région Asie et Pacifique reconnaissent l’importance de la BCM pour une administration efficace de la sécurité sociale. Des exemples de bonnes pratiques dans la région ont été présentés à l’occasion du Forum virtuel de la sécurité sociale pour l’Asie et le Pacifique et de la 16^e Conférence internationale de l’AISS sur les technologies de l’information et de la communication dans le domaine de la sécurité sociale (ICT 2022), de webinaires et d’autres activités de l’AISS. Cet article résume les expériences des institutions membres, les enseignements tirés et les défis à relever pour mettre en pratique la BCM de deux points de vue. Dans une première partie, il examine des approches visant à rendre la BCM opérationnelle et la manière dont différentes organisations ont abordé certains défis spécifiques. Dans une seconde partie, il examine certains effets d’une BCM opérationnelle dont ont bénéficié les organisations pendant la pandémie.

Instauration d’une gestion de la continuité des activités

Différentes institutions membres de l’AISS ont prouvé l’efficacité de la mise en œuvre d’une gestion de la continuité de leurs activités. Bien qu’il existe plusieurs niveaux de développement, les expériences présentées ci-après prouvent avec force la valeur ajoutée par la mise en œuvre de BCM, quel qu’en soit le degré d’avancement.

Fonds de pension des employés du service civil, Oman

Le Fonds de pension des employés du service civil (Civil Service Employees Pension Fund – CSEPF) en Oman a créé un site pour la continuité des opérations (Business Continuity – BC) et la reprise après sinistre afin de protéger les fonctions opérationnelles des catastrophes naturelles, risques externes et pannes technologiques critiques (CSEPF, 2015). Pour ce faire, le CSEPF a tenu compte de tout un éventail de facteurs tels que l’emplacement, l’infrastructure des centres de données, l’infrastructure des communications, les espaces de travail et l’accessibilité, ou encore le recours à des machines virtuelles pour garantir la disponibilité des données. Les objectifs principaux consistaient à réduire à un minimum l’indisponibilité des services et la perte de données. En pratique, cela impliquait de surveiller le plan vis-à-vis de deux références: (i) l’objectif de temps de reprise (Recovery Time Objective – RTO), autrement dit le délai d’exécution nécessaire au rétablissement du système ou processus, qui était fixé à une journée; (ii) l’objectif de point de reprise (Recovery Point Objective – RPO), autrement dit la quantité de données que le CSEPF était prêt à perdre éventuellement, en temps, dans le pire des cas, qui était fixé à une heure. Le CSEPF réalise des tests chaque année afin de s’assurer de la robustesse des plans de continuité des activités. Ces tests sont conçus de manière réaliste puisque les sites principaux sont déconnectés. Ces tests visent à valider le RPO et le RTO, à identifier les imperfections et à rationaliser le plan de continuité des activités, de même qu’à former le personnel.

Autorité publique d’assurance sociale, Oman

Le système de gestion de la continuité des activités (Business Continuity Management System – BCMS) mis en place par l’Autorité publique d’assurance sociale (Public Authority for Social Insurance – PASI) en Oman a identifié les menaces potentielles et défini des protocoles afin de réduire le plus possible les répercussions sur les actifs, les personnes et les opérations (PASI 2015 et 2021). La PASI a d’abord entrepris une analyse d’impact opérationnel complète, c’est-à-dire qu’elle a « identifié les fonctions opérationnelles essentielles (Critical Business Functions – CBF) et analysé l’impact d’une interruption éventuelle sur ses activités » (Goh, 2021). Cette analyse a servi de référence pour déterminer l’objectif de temps de reprise et la panne maximale acceptable. Les risques identifiés sont traités par l’approche des 4 T (tolérer, terminer, traiter ou transférer), conformément à la Ligne directrice 7 relative à la gestion du risque extraite des Lignes directrices de l’AISS en matière de bonne gouvernance. Les éléments clés du BCMS comprennent: (i) un plan d’urgence permettant d’éviter la perte de données; (ii) un site de reprise après sinistre; (iii) un site de continuité des activités; (iv) un manuel de gestion du système de sécurité et de santé au travail; (v) une politique de télétravail; (vi) l’activation de moyens de communications numériques; (vii) un registre des risques d’accidents et d’incidents; (viii) un système d’inspection intelligent permettant d’éviter les risques liés à une inspection sur le terrain; (ix) des exercices périodiques sur les sites de reprise après sinistre et de continuité des activités. Ce BCMS s’est avéré bénéfique pour le maintien des services routiniers durant la pandémie de COVID-19.

Organisation générale de l’assurance sociale (anciennement Office des pensions publiques), Arabie saoudite

Pour la mise en pratique de sa BCM, l’Office des pensions publiques (Public Pension Agency – PPA), aujourd’hui membre de l’Organisation générale de l’assurance sociale (General Organization for Social Insurance – GOSI), d’Arabie saoudite a d’abord mené une analyse d’impact opérationnel (PPA, 2020). Il a ensuite mis au point un programme de continuité des activités dans le cadre de la préparation d’une stratégie, d’une politique, de plans et d’accords applicables à toute l’organisation afin de lui permettre de réagir efficacement à diverses crises et catastrophes. Pour une mise en œuvre performante du programme, un centre de reprise après sinistre a été créé en 2013. Celui-ci doit jouer le rôle de centre de sauvegarde des données. Des campagnes de sensibilisation ont été menées auprès des employés du PPA et dans ses succursales par le biais d’ateliers, d’e-mails de sensibilisation et de questionnaires. Un centre alternatif a également été mis en place à l’extérieur de la capitale, Riyad. Enfin, le test du plan de continuité des activités s’est avéré positif.

Gestion de la continuité des activités durant la pandémie

Une étude menée sur les opérations gouvernementales plus étendues et focalisée principalement sur les pays à haut revenu témoigne que, avant la crise de COVID-19, la plupart des agences ne considéraient pas une pandémie comme un facteur de risque dans leur BCP. Les BCP se concentraient sur la protection des opérations contre des pannes système et une perte de données, avec une attention limitée aux problèmes liés au personnel et aux autres éléments hors système. De plus, les BCP existants étaient orientés pour traiter des interruptions de service de courte durée plutôt que des perturbations prolongées (Balibek, Storkey et Yavuz, 2021). Par conséquent, la plupart des organismes gouvernementaux ont été forcés de revoir leurs BCP pendant la pandémie, et les institutions de sécurité sociale n’ont pas fait exception.

Bureau de l’administration des pensions des Maldives

Le Bureau de l’administration des pensions des Maldives (Maldives Pension Administration Office – MPAO) a transformé son infrastructure TIC afin d’intégrer la résilience et la continuité des activités à ses opérations (MPAO, 2022). Les systèmes antérieurs du MPAO reposaient sur une infrastructure informatique interne, des sauvegardes de données manuelles, l’enregistrement de données sur des ordinateurs, une gestion manuelle des appels, une communication et une collaboration internes basées sur les e-mails, ainsi qu’une documentation physique. De ce fait, il était difficile d’accéder aux données et de poursuivre les opérations dans des situations d’urgence. Pour surmonter cette difficulté, le MPAO a lancé la migration de son infrastructure vers le cloud en 2016. Par ailleurs, il a également identifié des services permettant d’améliorer la collaboration interne. Cloudrun, Pub Sub, Cloud SQL, BigQuery, Bucket, Google Workspace, Workplace by Facebook, Amazon Web Services Short Messing Service et Cloudflare comptent parmi les applications utilisées. Tous les services font l’objet d’une sauvegarde automatisée et testée, de même que de procédures de reprise après sinistre. Une transformation numérique si vaste a constitué un pivot central dans la protection des services du MPAO face à la pandémie.

Organisation générale de l’assurance sociale, Arabie saoudite

En Arabie saoudite, la GOSI a initié le télétravail et les services automatisés pour conserver sa résilience lors de la pandémie (GOSI, 2020). Ce programme ambitieux devait non seulement s’attaquer aux risques de sécurité et de confidentialité, mais également procurer l’infrastructure informatique requise (par exemple des ordinateurs portables, systèmes, supports informatiques) alors que le marché mondial connaissait une pénurie suite à une hausse vertigineuse de la demande.

Afin de s’assurer de la disponibilité de tous les services critiques auprès des assurés et du maintien de la disponibilité des informations à des niveaux acceptables, la GOSI s’est inspirée de la Ligne directrice 12 Gestion de la continuité de service des Lignes directrices de l’AISS en matière de technologies de l’information et de la communication. La GOSI a établi un comité d’intervention COVID-19 qui se rassemblait une fois par semaine pour résoudre les problèmes et maintenir la continuité de ses activités. Elle a transféré un certain nombre de services en ligne tout en créant une nouvelle branche pour les personnes qui souhaitaient rencontrer un interlocuteur lors de rendez-vous convenus à l’avance. Elle a fourni un ordinateur portable à chaque employé jouant un rôle critique. Garantir la continuité des activités a nécessité l’intégration et la coordination de plusieurs éléments externes tels que l’informatique, l’assurance-chômage, l’échange de données et la santé. La continuité des activités et l’enregistrement des risques liés à la sécurité informatique ont été surveillés et actualisés tout au long de ce processus.

Caisse de pension d’Abou Dhabi, Émirats arabes unis

Afin de réduire au minimum les interruptions au commencement de la crise de COVID-19, la Caisse de pension d’Abou Dhabi (Abu Dhabi Pension Fund – ADPF) a initié un modèle de travail hybride qui combinait avec souplesse des aménagements sur place et à distance (ADPF, 2021). Bien que l’expérience de l’ADPF en matière de télétravail remontait déjà à 2018, la pandémie a exigé une extension rapide de ces capacités à travers toute l’organisation, en gardant à l’esprit les problématiques liées à la confidentialité des données, à la surveillance et à la collaboration. En 2015, l’ADPF avait introduit le service TAWASOL qui permettait aux entreprises d’accéder à distance aux solutions de l’ADPF et de fournir des services aux affiliés. En 2018, l’ADPF avait introduit un bureau intelligent sûr qui permet aux entreprises d’accéder aux services de l’ADPF sans se rendre dans ses locaux.

À la fin de la pandémie, l’ADPF a revu son analyse d’impact opérationnel pour identifier les services critiques et diminuer le niveau de priorité des services non critiques afin de tirer le maximum des ressources opérationnelles disponibles en quantité limitée. Chaque division a dû planifier ses disponibilités au sein des locaux de l’organisation comme à l’extérieur. L’ADPF a renforcé son infrastructure avec des solutions d’automatisation de la continuité de ses activités et de la gestion de crises, ce qui incluait des solutions de gestion d’urgence et de notifications de masse. Il a également maintenu la disponibilité de ses actifs dématérialisés pour pallier un éventuel manque de personnel. L’ADPF a adopté un logiciel spécialisé qui l’a aidé à transformer ses objectifs stratégiques en cascade en plans opérationnels, à doter ses dirigeants des équipements nécessaires au suivi des progrès réalisés dans toute l’organisation. L’existence préalable d’une infrastructure d’accès à distance et une expérience du télétravail ont été des facteurs clés pour le maintien des services. Les enquêtes réalisées auprès du personnel montrent que la BCM est un véritable succès: 100 pour cent du personnel s’est dit d’accord avec l’affirmation selon laquelle l’ADPF a fourni une infrastructure technique favorisant la simplicité du télétravail, 95 pour cent d’entre eux avaient l’impression que la qualité du télétravail était équivalente à celle du travail sur place.

Résultats

Le tableau 1 synthétise la manière dont les institutions de sécurité sociale ont bénéficié de l’instauration d’une BCM. Il présente également les institutions qui ont indiqué avoir appliqué une gestion de la continuité des activités en cas de crise, notamment durant la pandémie de COVID-19.

Tableau 1. Expériences des institutions appliquant une BCM

Institution	Résultats obtenus	Mise en œuvre d’une BCM durant une crise
CSEPF, Oman	Les valeurs RTO et RPO étaient respectivement de 6 heures et de 30 minutes, surpassant les objectifs fixés	Non
PASI, Oman	Activation fluide du système de télétravail grâce à une infrastructure de bureaux virtuels Continuité de plus de 90 services fournis dans les conditions de la pandémie	Oui
PPA/GOSI, Arabie saoudite	Systèmes actuels transférés du centre principal vers le centre de reprise après sinistre en 1 heure et 53 minutes, la référence pour comparaison étant de 2 heures Systèmes transférés du centre de reprise après sinistre vers le centre principal en 1 heure et 3 minutes, la référence pour comparaison étant de 2 heures Durant la pandémie, le PPA a piloté 28 services en ligne, reçu 25 000 appels au Centre de service des assurés et géré 77 millions de demandes concernant les services gouvernementaux intégrés, le tout ayant été rendu possible avec 98% du personnel en télétravail	Oui
MPAO, Maldives	Simplicité du télétravail pendant la pandémie de COVID-19, avec des répercussions minimes sur les services	Oui
GOSI, Arabie saoudite	100% des systèmes critiques couverts par la continuité des services 100% de réussite du test de transfert vers le centre de reprise après sinistre 95% en conformité avec les contrôles externes	Oui
ADPF, Émirats arabes unis	99,9% des services disponibles 83% en conformité avec les contrats de niveau de services relatifs aux incidents de sécurité des informations 100% des exercices de continuité des activités effectués	Non

Facteurs clés de réussite

L’expérience des institutions membres met en lumière plusieurs facteurs clés qui s’avèrent essentiels à une gestion fiable et robuste de la continuité des activités.

Un plan de continuité des activités exhaustif constitue le point de départ d’une gestion efficace de la continuité des activités. Le succès du CSEPF en Oman provient d’un plan contenant des informations clés sur les tâches critiques, des protocoles opérationnels standard en cas d’événements imprévus, des informations relatives à la sauvegarde des données et des sites, ainsi que des protocoles de reprise standard. Un développement itératif du BCP au fil du temps et son actualisation suite à une catastrophe spécifique sont tout aussi importants. En effet, le BCP et la stratégie BCM globale du CSEPF n’ont pas cessé d’évoluer depuis leur introduction en 2012.

Planifier et administrer un BCP nécessite un solide cadre organisationnel. Une politique de recrutement appropriée constitue un élément critique permettant d’atteindre les résultats formulés dans le BCP. Par exemple, la PASI en Oman a mis en place une structure à plusieurs niveaux en définissant clairement les rôles et les responsabilités de chacun. La continuité des activités est pilotée par un comité de direction de crise qui a pris les décisions stratégiques. Au niveau opérationnel, une équipe informatique et une équipe fonctionnelle ont été créées. Un coordinateur supervisait les activités de ces équipes.

Il est important de tester le BCP dans des conditions réelles pour intégrer la gestion du risque à une routine. Toutes les institutions membres ont souligné la nécessité de tester régulièrement le BCP afin d’en déceler les faiblesses. Le CSEPF en Oman a averti que les tests réalistes demandent de causer délibérément des pannes au niveau du système principal. Les agences doivent donc se préparer à des interruptions des systèmes exécutés au cours des tests.

Informer et former en continu le personnel est essentiel à la mise en œuvre du plan de continuité des activités. La PASI en Oman a mis l’accent sur l’importance de la gestion de la continuité des activités et des rôles respectifs de chaque membre du personnel. Le PPA en Arabie saoudite a organisé plus de 30 ateliers pour promouvoir une culture de la BCM. L’expérience de l’Agence nationale de sécurité sociale pour l’Emploi (National Social Security Administering Body for Employment – BPJS Ketenagakerjaan) en Indonésie rappelle l’importance de la formation: les préoccupations majeures de la BPJS Ketenagakerjaan suite à la mise à l’épreuve de sa BCM dans 26 agences et 10 bureaux régionaux concernaient le manque de compréhension des responsabilités et des missions des membres du personnel, ainsi qu’une documentation incomplète et obsolète du BCP (BPJS Ketenagakerjaan, 2020).

Une stratégie numérique est indispensable à une BCM efficace, comme l’a renforcée la crise de COVID-19. L’ADPF à Abou Dhabi pense qu’il n’aurait pas pu assurer une collaboration efficace en interne durant la pandémie sans avoir investi dans des solutions numériques de communication et de gestion des performances. De même, disposer d’une infrastructure bien gérée dans le cloud a joué un rôle critique dans le maintien des services du MPAO aux Maldives. Ces expériences ont été rappelées par les institutions de sécurité sociale d’Asie du Sud-Est lors d’un webinaire de l’AISS. En Malaisie, l’Organisation de la sécurité sociale (PERKESO) a identifié la non-numérisation des fichiers et une infrastructure limitée comme des freins majeurs à la mise en œuvre du BCP durant la pandémie (PERKESO, 2020).

Conclusion

En résumé, une BCM globale est cruciale à la mise en place d’un fonctionnement résilient des opérations de sécurité sociale. Bien que le BCP soit propre à chaque institution, plusieurs aspects communs émergent de l’analyse des BCP efficaces qui, à leur tour, contribuent à la réussite de la BCM. Premièrement, les plans doivent tenir compte de toute l’étendue des processus opérationnels des guichets d’accueil et d’arrière-plan d’une institution, de même que des ressources informatiques et humaines. Lors de la réalisation d’une analyse d’impact opérationnel, les organisations doivent identifier les dépendances externes et les inclure dans leur évaluation des risques. Deuxièmement, une formation adéquate, aussi bien au niveau de l’organisation qu’au niveau de ses agences, est indispensable. Troisièmement, un BCP n’est pas une intervention ponctuelle. En effet, de nombreuses institutions commencent avec un « simple » plan de reprise après sinistre technologique avant d’atteindre progressivement une BCM exhaustive. Quatrièmement, il en découle que le BCMS doit être révisé et actualisé en permanence, non seulement pour refléter les enseignements tirés suite à un sinistre, mais également pour intégrer l’évolution des processus opérationnels et des mécanismes de prestation de services. Cinquièmement, des mises à l’épreuve régulières sont cruciales: bien que les tests puissent simuler différents niveaux de panne, un exercice complet devrait être réalisé à des intervalles définis à titre de test complet et d’assurance. Enfin, les BCP ne doivent pas se limiter aux seules interruptions à court terme: comme on l’a vu avec la pandémie, la prévention d’événements durables est essentielle.

La pandémie a mis à l’épreuve les BCM des organisations avec pour conséquences notoires: (i) une transition fluide vers un environnement de travail à distance; (ii) la restauration des services majeurs et des canaux de prestation dans les délais souhaités; (iii) la capacité des organisations à répondre à l’augmentation brutale de la demande de services avec une satisfaction adéquate des affiliés. Une stratégie explicite visant la résilience opérationnelle numérique est un facteur clé étant donné le lien inextricable entre les TIC et les services opérationnels (AISS, 2022a), comme l’ont démontré les expériences vécues lors de la pandémie.

Les institutions membres de l’AISS se sont déjà engagées dans un processus d’amélioration croissante de leur capacité à régler les différents problèmes impliqués par l’instauration d’une BCM intégrale. Se tenant aux côtés de ses membres, l’AISS fournit de nouvelles Lignes directrices de l’AISS en matière de continuité et de résilience des services et systèmes de sécurité sociale (AISS, 2022b) que les institutions de sécurité sociale peuvent appliquer à différentes étapes de leur parcours vers une plus grande résilience, garantissant la qualité et la prestation de leurs services, ainsi qu’une réaction adéquate lors de chocs systémiques ultérieurs.

Références

AISS. 2019a. Lignes directrices de l’AISS en matière de bonne gouvernance (Édition révisée). Genève, Association internationale de la sécurité sociale.

AISS. 2019b. Lignes directrices de l’AISS en matière de technologies de l’information et de la communication (Édition revue et augmentée). Genève, Association internationale de la sécurité sociale.

AISS. 2019c. Lignes directrices de l’AISS en matière de qualité des services (Édition révisée). Genève, Association internationale de la sécurité sociale.

AISS. 2022a. Digital operational resilience: Strategies and approaches to protect social security data and operations. Genève, Association internationale de la sécurité sociale.

AISS. 2022b. Ligne directrices de l'AISS en matière de continuité et résilience des services et systèmes de sécurité sociale (à paraître). Genève, Association internationale de la sécurité sociale.

AISS. 2022c. Les TIC face à la COVID-19: s’appuyer sur l’accélération de la transformation numérique pour construire des systèmes de protection sociale meilleurs et plus résilients (Commission technique des technologies de l’information et de la communication, rapport de synthèse 2020-2022, à paraître). Genève, Association internationale de la sécurité sociale.

Autorité publique d'assurance sociale. 2015. Système de gestion de la continuité des opérations (Bonnes pratiques en sécurité sociale). Genève, Association internationale de la sécurité sociale.

Autorité publique d'assurance sociale. 2021. Mise en œuvre d’un système de gestion de la continuité des services (Bonnes pratiques en sécurité sociale). Genève, Association internationale de la sécurité sociale.

Balibek, E.; Storkey, I. ; Yavuz, H. 2021. Business continuity planning for government cash and debt management. Washington, DC, Fonds monétaire international.

BPJS Ketenagakerjaan. 2020. Aggressive growth for sustainable protection. Jakarta, Agence nationale de sécurité sociale pour l'Emploi.

Bureau de l'administration des pensions des Maldives. 2022. Building resilience and business continuity plans in social security institutions (Présentation à ICT 2022). Genève, Association internationale de la sécurité sociale.

Fonds de pension d'Abou Dhabi. 2021. Travailler à distance: comment l’adaptation au numérique a permis au Fond de pension d’Abou Dhabi de survivre et prospérer pendant la pandémie (Bonnes pratiques en sécurité sociale). Genève, Association internationale de la sécurité sociale.

Fonds de pension des employés du service civil. 2015. Création d’un site dédié à la continuité des services et à la reprise après sinistre (Bonnes pratiques en sécurité sociale). Genève, Association internationale de la sécurité sociale.

Goh, M. H. 2021. What is business impact analysis? Singapour, BCM Institute.

Office des pensions publiques. 2020. Mise en œuvre d’un plan de continuité des activités au sein de l’Office des pensions publiques (Bonnes pratiques en sécurité sociale). Genève, Association internationale de la sécurité sociale.

Organisation de la sécurité sociale. 2020. Beyond the first wave of COVID-19: Lessons and challenges from SOCSO Malaysia (Présentation dans un webinaire de l’AISS). Genève, Association internationale de la sécurité sociale.

Organisation générale de l'assurance sociale. 2020. Continuité des activités dans le contexte de la pandémie de COVID-19 (Bonnes pratiques en sécurité sociale). Genève, Association internationale de la sécurité sociale.