Accueil Blog
Services
Audit informatique
Audit Budget TI
vCIOIntérim Direction TIContre-ExpertiseTest de sauvegardes et préparation à la relèveReprise après incidentPlanification StratégiqueGestion des relations avec les fournisseursTémoin ExpertConformité Loi 25Offre PMERessources humainesConformité RH et politiques TIConformité Loi 27Équité salariale et rémunérationPlacement-ressourceAccompagnement ISO 27001Accompagnement CAN/DGSI 104Accompagnement SOC 2Accompagnement PCCCAccompagnement certification TGVAccompagnement Edtech QuébecAccompagnement cyberassuranceExercice de crise (tabletop)Accompagnement ISO/IEC 42001
ContactPrendre rendez-vousNotre équipeÀ propos
English
AccueilBlogServicesContactPrendre rendez-vousNotre équipeÀ propos
English

Exercice de crise tabletop — Testez votre plan avant qu'un vrai incident le fasse

On réunit votre équipe autour d'un scénario réaliste. On regarde ce qui tient. On documente ce qui ne tient pas.

Présentiel uniquement — Québec et Ontario. Parce qu'un exercice de crise se joue avec des regards, des silences et des hésitations, pas avec des caméras éteintes.

Un exercice de crise tabletop est une simulation animée d'un incident majeur — rançongiciel, sinistre, perte d'un fournisseur critique, fraude interne, fuite de données — joué autour d'une table avec votre direction, votre équipe TI et vos partenaires clés. Factero conçoit un scénario réaliste adapté à votre secteur, l'anime heure par heure, documente les décisions prises et les angles morts révélés, et vous remet un rapport, un plan d'action priorisé, une lecture de direction et une attestation formelle directement transmissible à votre assureur cyber. L'exercice peut être autonome ou s'intégrer à un mandat plus large (BCP/DRP, certification ISO 27001 / CAN/DGSI 104 / SOC 2, accompagnement cyberassurance). Aucun plan ne survit au premier contact avec un vrai incident sans avoir été testé — l'idée du tabletop est de provoquer les surprises en salle de réunion, pas en plein chaos.
Parler à un expert

Pour qui ?

Municipalités, MRC, townships et organismes publics qui doivent démontrer une résilience opérationnelle testée à leur conseil, à leurs citoyens ou à un vérificateur. Factero Service Conseil est inscrit au SEAO (Québec) et au Ontario Tenders Portal (Ontario).

PME technologiques, éditeurs SaaS et entreprises numériques qui veulent valider que leur équipe de direction sait quoi faire le matin où tout brûle — pas seulement leur équipe TI.

Fournisseurs réglementés (santé / TGV, défense / PCCC, scolaire, services financiers) où la preuve d'un exercice documenté est exigée par le cadre normatif ou par les clients corporatifs.

Organisations en démarche de certification (ISO 27001, SOC 2, CAN/DGSI 104) qui doivent fournir la preuve d'un exercice de continuité conduit dans l'année — un livrable explicitement attendu par les auditeurs.

Organisations qui ont vécu un incident récent et qui veulent rejouer le scénario à froid pour formaliser les leçons apprises — souvent demandé par l'assureur après une réclamation.

Conseils d'administration et équipes de direction qui veulent un test de gouvernance indépendant — une démonstration concrète et documentée de la capacité de l'organisation à gérer une crise, pas un PowerPoint rassurant.

Organisations dont l'assureur cyber demande explicitement la preuve d'un exercice tabletop annuel pour la souscription ou le renouvellement de la police.

Quand est-ce utile ?

Si vous vous reconnaissez dans l'une de ces situations, ce service est conçu pour vous.
  • Vous avez un plan de relève sur papier — mais personne ne sait s'il fonctionnerait sous pression, et personne ne veut être celui qui le découvre en plein incident.
  • Votre auditeur (ISO 27001, SOC 2, CAN/DGSI 104, TGV) demande la preuve documentée d'un exercice de continuité conduit dans l'année — sans cette preuve, votre certification peut être bloquée ou retardée.
  • Votre assureur cyber exige une attestation d'exercice tabletop pour souscrire, renouveler, ou maintenir vos limites de couverture actuelles.
  • Vous avez subi un incident dans les 12 derniers mois et votre direction (ou votre CA) veut formaliser les leçons apprises avant qu'elles s'évaporent dans le quotidien.
  • Votre organisation a changé significativement depuis le dernier exercice — nouveaux fournisseurs critiques, migration infonuagique majeure, croissance rapide, nouveau site, acquisition — et votre plan n'a pas suivi.
  • Vous voulez tester votre comité de direction sur sa capacité à prendre des décisions sous pression — qui décide de payer une rançon ? Qui notifie le CAI (Loi 25) ? Qui parle aux médias ? Qui appelle l'assureur en premier ? Ces questions ne devraient pas surgir en plein incident.
  • Vous savez que votre équipe TI a un plan — mais la direction, les RH, le service juridique et la communication n'ont pas été impliqués dans son élaboration, et c'est précisément ces fonctions qui seront sollicitées lors d'un vrai incident.
  • Vous êtes en démarche de certification (ISO 27001, SOC 2, CAN/DGSI 104) et l'exercice tabletop est l'un des derniers livrables à produire avant l'audit de certification.

Qu'est-ce que vous obtenez ?

Checkbox icon

Un scénario réaliste conçu sur mesure pour votre organisation, parmi notre bibliothèque de 5 grandes familles : rançongiciel, sinistre majeur (incendie, inondation, panne datacenter), perte d'un fournisseur critique, fraude interne, fuite de données avec obligation de notification au CAI (Loi 25).

Checkbox icon

Une animation présentielle par un associé Factero, en demi-journée ou en journée complète selon la complexité de votre organisation et le nombre de parties prenantes mobilisées (direction, TI, RH, juridique, communication, fournisseur principal, partenaires clés).

Checkbox icon

Un rapport d'observations détaillé documentant heure par heure les décisions prises, les hésitations, les zones de flou identifiées, les responsabilités floues et les écarts entre le plan documenté et le comportement réel observé.

Checkbox icon

Un plan d'action priorisé par niveau d'urgence et d'impact : correctifs à apporter sous 30 jours, sous 90 jours, sous 12 mois. Pas une liste générique — chaque action est reliée à une observation concrète de l'exercice.

Checkbox icon

Une lecture de direction dédiée — une session de 60 à 90 minutes où on présente les constats à la haute direction (et au conseil d'administration si pertinent) en langage de gouvernance, pas en jargon technique. C'est souvent là que les décisions stratégiques se prennent.

Checkbox icon

Une attestation formelle documentant la date, la durée, les participants, le scénario joué et la portée de l'exercice — formatée pour être transmise directement par votre courtier à votre assureur cyber, ou versée au dossier d'audit (ISO 27001, SOC 2, CAN/DGSI 104, TGV).

Checkbox icon

Une analyse comparative avec votre plan de relève existant (si vous en avez un) : ce qui a tenu, ce qui n'a pas tenu, ce qui n'avait pas été anticipé. Si vous n'avez pas de plan, le rapport en pose la structure de base.

Pas un bon fit ?

  • Si vous cherchez un exercice en visioconférence, on n'est pas la bonne adresse. Notre choix est volontaire : un tabletop sérieux se joue en présentiel parce que la valeur de l'exercice tient dans le langage non verbal — les regards qui s'évitent quand une question difficile arrive, les silences gênés, les hésitations qu'on ne capte pas derrière une caméra. La visio est utile pour beaucoup de choses ; pas pour ce service.
  • Si vous voulez un exercice « théâtre » avec acteurs professionnels, fausses alertes médiatiques et journalistes en simulation, ce n'est pas notre format. Ces exercices ont leur valeur — mais ils coûtent significativement plus cher et ne sont pas requis pour la grande majorité des organisations. On peut vous orienter vers les bons partenaires si c'est ce dont vous avez besoin.
  • Si votre objectif est de cocher une case auprès d'un client ou d'un assureur sans intention d'agir sur les constats, on va probablement vous frustrer. Le rapport Factero documente les angles morts — y compris ceux que la direction préférerait ne pas voir. Ce n'est pas un exercice de relations publiques.
  • Si vous êtes hors Québec et hors Ontario, on ne se déplace généralement pas — par cohérence avec notre choix présentiel et notre inscription au SEAO et au Ontario Tenders Portal. Pour des mandats exceptionnels ailleurs au Canada, on discute à l'appel découverte.

Comment fonctionne le processus ?

Une approche rigoureuse et transparente, étape par étape.
Cadrage et choix du scénario
On commence par regarder votre contexte : secteur, taille, dispositif TI, fournisseurs critiques, incidents passés, exigences contractuelles ou réglementaires. On identifie ensuite, dans notre bibliothèque de 5 familles de scénarios (rançongiciel, sinistre majeur, perte d'un fournisseur critique, fraude interne, fuite de données Loi 25), celui qui est le plus pertinent pour vous — ou celui que votre assureur ou votre auditeur demande spécifiquement. Le scénario est ensuite personnalisé avec des éléments réalistes de votre environnement : noms de systèmes, fournisseurs nommés, contraintes calendaires plausibles.
Constitution du panel
On définit avec vous qui doit être autour de la table. Trop peu de monde et l'exercice manque de réalisme ; trop de monde et la dynamique s'enraye. Un bon tabletop réunit généralement 6 à 12 personnes : direction (DG, CFO ou délégué), TI (responsable et un opérationnel), RH, juridique, communication, fournisseur principal (parfois), et un ou deux partenaires clés. Ce choix conditionne autant la qualité de l'exercice que le scénario lui-même.
Animation de la simulation
En présentiel, sur une demi-journée ou une journée complète, on déroule le scénario heure par heure. À chaque étape, on injecte de nouveaux éléments — un appel d'un client, une demande de l'assureur, un message du CAI, un journaliste sur la ligne — et on observe ce que vos équipes décident, qui prend la parole, qui hésite, où sont les zones de flou. Notre rôle : poser les questions précises au bon moment, faire avancer le scénario sans guider les réponses. Le présentiel est essentiel : c'est dans le langage non verbal que se cachent les vraies leçons.
Documentation et rapport
Pendant l'exercice, un second associé Factero documente en continu : décisions, durées, hésitations, angles morts, divergences avec le plan officiel. Cette documentation devient la matière première du rapport — un livrable précis, factuel, daté, qui décrit ce qui s'est passé, pas une interprétation a posteriori. Le rapport inclut les recommandations priorisées par horizon (30/90/365 jours) et l'attestation formelle transmissible à votre assureur ou versée au dossier d'audit.
Lecture de direction
Une fois le rapport finalisé, on organise une séance dédiée avec la direction (et avec le conseil d'administration si pertinent), de 60 à 90 minutes, en présentiel. On présente les constats en langage de gouvernance — pas en jargon technique — et on facilite la conversation sur les décisions stratégiques à prendre : doit-on revoir certains contrats fournisseurs ? Faut-il ajuster les niveaux de couverture cyber ? Faut-il documenter un plan formel là où il n'y en avait pas ? Ces conversations sont souvent le vrai livrable.
Attestation et suite
On remet l'attestation formelle de l'exercice — un document court (1 à 2 pages) qui documente la date, la durée, le scénario, les participants, la portée et la conclusion. Ce document est directement transmissible à votre courtier d'assurance pour la souscription ou le renouvellement de votre police cyber, ou versé au dossier d'audit (ISO 27001, SOC 2, CAN/DGSI 104, TGV). On reste disponible pour la mise en œuvre du plan d'action si vous le souhaitez — ou on s'efface si votre équipe peut prendre le relais.

Foire aux questions

Les réponses aux questions que nos clients posent avant de nous contacter.
Quelle est la différence entre un tabletop et un test de sauvegardes ?
Le test de sauvegardes vérifie une chose technique : est-ce que mes données reviennent ? Le tabletop répond à une question de gouvernance : qui décide quoi, quand, comment, dans quel ordre — quand tout est en feu. Le test technique mobilise votre équipe TI dans un environnement isolé pendant quelques heures. Le tabletop mobilise votre direction, votre TI, vos RH, votre service juridique, votre communication, parfois votre fournisseur principal — autour d'une table, pendant une demi-journée ou une journée. Factero offre les deux services, et ils sont complémentaires : un test technique réussi avec un tabletop catastrophique signifie que vos données reviendront mais que personne ne saura quoi en faire. Et inversement. Si vous devez choisir lequel commencer, votre situation décide : l'assureur demande l'un, l'auditeur demande souvent les deux, le CA veut généralement le tabletop d'abord parce que c'est ce qui se voit en gouvernance.
Pourquoi en présentiel uniquement ?
Parce que la moitié de la valeur d'un tabletop tient dans ce qui ne se dit pas. Quand le scénario lance « vous venez de découvrir que la fuite vient d'un employé interne, c'est quelqu'un dans cette pièce qui va devoir décider quoi en faire », ce qui se passe ensuite n'est pas dans les mots — c'est dans les regards qui s'évitent, dans les silences qui s'étirent, dans la personne qui se tourne discrètement vers son téléphone, dans l'hésitation entre deux personnes pour savoir qui répond. Ces signaux sont la matière première du rapport. La visioconférence aplatit tout cela : les caméras sont éteintes, les gens sont en multitâche, le silence devient juste un gel de signal. Le présentiel n'est pas une contrainte, c'est notre choix méthodologique. Il y a d'excellents formats virtuels pour d'autres types d'exercices — mais pas pour un tabletop sérieux. Notre rayon : Québec et Ontario.
Combien de temps dure un tabletop ? Demi-journée ou journée complète ?
Ça dépend de la complexité de votre organisation et du nombre de parties prenantes autour de la table. Une demi-journée (3-4 heures) est suffisante pour une PME de taille modeste avec un scénario unique et 6 à 8 participants — direction restreinte, équipe TI, juridique. Une journée complète (7-8 heures) est généralement nécessaire pour une organisation plus grande, un scénario multi-volets (par exemple rançongiciel + fuite de données + communication médiatique), ou un panel élargi à 10-12 personnes incluant les fournisseurs et partenaires. Factero évalue le bon format à l'appel découverte, en regardant le scénario visé et la liste des participants. On ne pousse jamais à la journée complète si la demi-journée suffit — un tabletop qui s'étire perd son intensité.
Quels scénarios sont disponibles dans votre bibliothèque ?
Factero propose 5 grandes familles de scénarios, chacune personnalisée à votre contexte : (1) Rançongiciel — vos serveurs sont chiffrés un lundi matin, le MSP est injoignable, un client critique a une livraison prévue dans 48 heures ; (2) Sinistre majeur — incendie, inondation, panne datacenter, perte d'accès physique à vos installations pendant plusieurs jours ; (3) Perte d'un fournisseur critique — votre principal fournisseur infonuagique fait faillite, est victime d'un incident majeur, ou décide unilatéralement de mettre fin au contrat ; (4) Fraude interne — un employé clé détourne des fonds, exfiltre des données, ou facilite l'accès à un acteur externe ; (5) Fuite de données avec obligation de notification au CAI (Loi 25) — perte ou divulgation de renseignements personnels avec horloge de notification de 72 heures qui tourne. Chaque scénario est adapté à votre secteur : un rançongiciel dans une municipalité ne se joue pas comme dans une PME SaaS. Si votre cas particulier ne cadre avec aucune des cinq familles, on en discute à l'appel découverte.
Notre MSP propose aussi des exercices tabletop. Quelle est la différence avec Factero ?
Animer un exercice de crise chez son propre client place le MSP dans une position délicate : l'animateur évalue en partie sa propre prestation. Quand le scénario expose un trou dans l'opération TI quotidienne, qui le pointera honnêtement si l'animateur est précisément celui qui opère cette TI ? Quand le scénario révèle un défaut de communication entre le MSP et le client, qui aura intérêt à le documenter clairement dans le rapport ? L'indépendance de l'animateur n'est pas un luxe, c'est une condition de validité de l'exercice — exactement comme pour un audit indépendant. Factero n'a aucun lien commercial avec votre MSP ni avec aucun fournisseur technologique : nous concevons le scénario, nous animons, nous documentons. Votre MSP peut (et devrait) être participant de l'exercice — c'est même souvent une des révélations les plus utiles. Mais animateur et participant ne peuvent pas être la même personne.
L'attestation pour assureur, c'est quoi exactement ?
Un document formel de 1 à 2 pages qui atteste que l'exercice a eu lieu, comment il s'est passé, et ce qu'il a couvert — directement transmissible par votre courtier à votre assureur cyber. Beaucoup d'organisations passent l'exercice tabletop, repartent avec un rapport interne — et quand l'assureur demande la preuve, elles transmettent 40 pages qui contiennent aussi les angles morts identifiés (ce qui n'est pas toujours souhaitable). L'attestation Factero est conçue pour répondre précisément à ce que l'assureur veut savoir : date de l'exercice, durée, scénario principal, participants par fonction (pas par nom), portée, conclusion générale. Elle est aussi reconnue comme livrable d'audit pour les certifications ISO 27001, SOC 2, CAN/DGSI 104, TGV — qui exigent souvent la preuve d'un exercice de continuité conduit dans l'année. C'est un livrable distinct du rapport détaillé que vous gardez en interne pour piloter vos actions correctives.
À quelle fréquence faut-il refaire un tabletop ?
La pratique reconnue est annuelle pour la majorité des organisations, plus fréquente après un changement majeur. Les normes principales — ISO 27001, SOC 2, CAN/DGSI 104 — exigent généralement la preuve d'un exercice de continuité au moins une fois par an. Les assureurs cyber demandent aussi de plus en plus une attestation annuelle pour maintenir les limites de couverture. Au-delà de cette cadence formelle, plusieurs déclencheurs justifient un exercice hors cycle : un incident vécu (rejouer à froid pour formaliser les leçons), une transformation majeure (migration infonuagique, acquisition, changement de MSP), un changement de direction (le tabletop teste aussi la cohésion d'une nouvelle équipe sous pression), une exigence client corporative. Factero recommande de varier les scénarios d'un exercice à l'autre — refaire le même scénario tous les ans dilue l'apprentissage. La bibliothèque de 5 familles est conçue pour ça.
On n'a pas encore de plan de relève formel. Peut-on quand même faire un tabletop ?
Oui — et dans bien des cas, c'est même la meilleure porte d'entrée. Construire un plan de relève « dans le vide » avant tout exercice produit souvent un document théorique qui ne résiste pas au premier contact avec la réalité. À l'inverse, faire passer un tabletop à votre organisation sans plan préexistant révèle exactement où sont les besoins réels : quelles décisions doivent être documentées, quels rôles ont besoin d'être clarifiés, quelles communications doivent être préparées à l'avance. Le rapport et le plan d'action qui suivent l'exercice deviennent alors la structure de base d'un plan de relève adapté à votre réalité — pas un gabarit générique. Si vous êtes en démarche de certification (ISO 27001, SOC 2, CAN/DGSI 104), Factero peut élargir le mandat pour structurer le plan complet à partir des constats du tabletop.
Qui doit participer ? Juste la TI ?
Non — et c'est précisément l'erreur la plus fréquente. Un tabletop limité à la TI teste seulement la capacité technique de reprise — utile, mais incomplet. Lors d'un vrai incident majeur, ce sont les fonctions non-TI qui décident : la direction décide si on paie ou non une rançon, le service juridique gère la notification au CAI (Loi 25) et les communications avec les autorités, les RH gèrent les communications internes et le bien-être des employés, la communication gère les médias et les clients, le directeur financier gère la trésorerie d'urgence et les contacts avec l'assureur. Un bon tabletop réunit 6 à 12 personnes couvrant : direction (DG ou délégué), TI (responsable + opérationnel), juridique, RH, communication, parfois finances, parfois fournisseur principal, parfois 1 ou 2 partenaires clés. Factero définit la composition optimale du panel à l'appel découverte selon votre organisation.
Est-ce que c'est confidentiel ?
Oui, et c'est particulièrement important pour ce service. L'exercice révèle des angles morts opérationnels et parfois des tensions internes que vous ne souhaitez pas voir circuler. Chaque mandat est encadré par un engagement de confidentialité formel signé avant le début des travaux. Le rapport détaillé ne quitte jamais votre organisation sans votre autorisation explicite. L'attestation transmissible à l'assureur est volontairement conçue pour ne contenir que les éléments factuels nécessaires (date, durée, scénario, participants par fonction, portée) — pas les constats détaillés. Vous choisissez ce qui sort. Cette rigueur est encadrée par notre politique de protection des renseignements personnels et conforme aux exigences de la Loi 25.
Pourquoi Factero pour ce mandat — qu'est-ce qui vous différencie ?
Avant de signer avec un cabinet d'animation tabletop, vérifiez quelques éléments fondamentaux. Un cabinet sérieux les démontre sans hésitation et par écrit. Cabinet lui-même certifiéFactero détient la certification CyberSécuritaire Canada (CAN/DGSI 104:2021 / Rev 1:2024), vérifiable publiquement au registre IAF CertSearch et via notre Trust Center. Nous appliquons à notre propre organisation les standards que nous accompagnons chez nos clients. Un cabinet qui vous accompagne en cybersécurité devrait, par cohérence, en détenir une lui-même. Entreprise incorporée et établie depuis 2022Factero Service Conseil est dûment incorporée au Registre des entreprises du Québec (REQ) depuis 2022, sans procédure d'insolvabilité ni de faillite. Le statut juridique de tout cabinet candidat se vérifie gratuitement au REQ ; les procédures d'insolvabilité et de faillite figurent au registre du Bureau du surintendant des faillites Canada (osb-bsf.ic.gc.ca). Équipe complète et continuité opérationnelleFactero s'appuie sur une équipe interdisciplinaire couvrant les technologies de l'information, les ressources humaines et la comptabilité — les trois dimensions qui se croisent dans la plupart des mandats de gouvernance. Un mandat structurant s'étend sur plusieurs mois ; le cabinet qui vous accompagne doit avoir la profondeur d'équipe pour tenir la distance, pas seulement la disponibilité d'une seule personne. Assurance responsabilité professionnelle et cyberassuranceFactero détient une couverture responsabilité professionnelle (E&O) et une cyberassurance actives, adaptées à ses activités de conseil en gouvernance TI et en cybersécurité. Un cabinet qui vous recommande une cyberassurance devrait, par cohérence, en détenir une lui-même. Demandez l'attestation avant de signer. Indépendance écrite et publique — Nos engagements sont encadrés par une Charte d'Indépendance publique qui interdit commissions, rétrocessions et arrangements commerciaux avec les fournisseurs, courtiers et marchés. Pour un tabletop, cette indépendance est structurelle : l'animateur ne peut pas être en même temps celui qui opère votre TI au quotidien, sinon l'exercice perd sa validité. Inscription aux marchés publicsFactero est inscrit au SEAO (Québec) et au Ontario Tenders Portal — démarche qui implique vérifications réglementaires et attestations fiscales à jour. C'est aussi pourquoi notre offre tabletop est limitée géographiquement au Québec et à l'Ontario : on opère là où nous sommes officiellement présents. Ces critères ne sont pas des arguments commerciaux. Ce sont les conditions minimales à demander à tout cabinet candidat. L'absence de réponse claire à l'une de ces questions est, en soi, une réponse.
Nos conseils restent indépendants. Consultez notre Charte d'indépendance.

Services complémentaires

Test de sauvegardes et préparation à la relève Reprise après incident Accompagnement ISO 27001 Voir plus

Besoin d'avancer sur ce sujet ?

Discutons de votre situation spécifique. Sans engagement, juste des conseils d'expert.
Parler à un expert