Chronologie — Normes et obligations en sécurité numérique

L'évolution des référentiels techniques (CIS Controls, OWASP, NIST CSF, ISO 27001/27701) et des obligations légales d'incidents (LPRPDE) — dates clés, versions courantes et changements à surveiller. Mis à jour le 9 mai 2026.

Cette page consolide l'évolution des référentiels techniques de sécurité et des obligations légales en gestion d'incidents que j'utilise dans mes contrôles qualité numériques et mes audits de site web. Pour le volet gouvernance (Loi 25, RGPD, normes ISO de management), voir Chronologie Gouvernance. Pour le volet IA, voir Chronologie Intelligence artificielle.

CIS Controls — Center for Internet Security

Référentiel gratuit et communautaire de contrôles techniques de sécurité. Le groupe d'implémentation IG1 (~56 mesures) est conçu pour les petites organisations sans expertise sécurité dédiée — c'est le point de départ que je recommande à mes PME.

  • 2008 — origine sous le nom « SANS Top 20 » devenus « CIS Critical Security Controls »
  • 2015 → 2019 — versions 6.0, 7.0, 7.1
  • 18 mai 2021 — v8.0 — 18 contrôles, 153 mesures (« safeguards »), 3 groupes d'implémentation IG1/IG2/IG3
  • 25 juin 2024v8.1 (version courante) — ajout de la fonction « Governance » alignée sur NIST CSF 2.0, nouveau type d'actif « Documentation », définitions étendues
  • Au 9 mai 2026 — v8.1 stable. Pas de v9 annoncée publiquement. CIS Benchmarks (configurations sécurisées) mis à jour en continu

Source officielle : CIS Controls v8.1

OWASP — Top 10 + ASVS

Référentiels libres de la OWASP Foundation. Top 10 = checklist de base pour tout site ou application. ASVS = exigences détaillées avec niveaux de rigueur (L1/L2/L3).

OWASP Top 10 (web)

  • 2003 → 2017 — éditions successives (2003, 2004, 2007, 2010, 2013, 2017)
  • 2021 — refonte avec Broken Access Control au #1
  • 6 novembre 2025OWASP Top 10:2025 (version courante), présenté au Global AppSec DC. Broken Access Control reste #1, Security Misconfiguration monte au #2, A06 renommé « Software Supply Chain Failures », nouvelle catégorie « Mishandling of Exceptional Conditions » au #10, SSRF fusionné dans Broken Access Control

OWASP ASVS

  • 2008 → 2021 — versions 1.0 → 4.0.3
  • Mai 2025ASVS 5.0.0 (version courante), présenté au Global AppSec EU Barcelona. ~350 exigences en 17 chapitres, langage modernisé, support cloud-native. Site dédié : asvs.dev

Source officielle : OWASP Top 10 · ASVS 5.0

NIST Cybersecurity Framework (CSF)

Cadre lisible et progressif du National Institute of Standards and Technology (États-Unis). Gratuit, traduit partiellement en français, souvent demandé par les donneurs d'ordres américains.

  • 12 février 2014 — CSF 1.0, en réponse à l'Executive Order 13636 (2013)
  • 16 avril 2018 — CSF 1.1, ajout de la chaîne d'approvisionnement et de la gestion des identités
  • 26 février 2024CSF 2.0 (version courante), publié comme NIST CSWP 29. Ajout de la fonction Govern (6 fonctions désormais : Govern, Identify, Protect, Detect, Respond, Recover). Élargissement au-delà des infrastructures critiques (toutes organisations). Quick Start Guides dédiés aux PME
  • Au 9 mai 2026 — CSF 2.0 stable. Mises à jour des guides d'implémentation en continu via NIST CSF Online Informative References (OLIR)
Pour une PME québécoise : la fonction « Govern » de CSF 2.0 s'aligne directement avec les exigences de gouvernance Loi 25 (RPRP, registre, politique). Excellent complément à CIS Controls v8.1 pour structurer une posture sécurité PME.

Source officielle : NIST CSF · CSF 2.0 PDF

ISO/IEC 27001 — Volet contrôles techniques (Annexe A)

L'Annexe A de la norme ISO 27001 = catalogue des contrôles techniques et organisationnels que la PME doit considérer pour son SMSI. Pour l'historique complet, voir Chronologie Gouvernance.

  • ISO/IEC 27001:2013 — 114 contrôles Annexe A en 14 domaines
  • 25 octobre 2022ISO/IEC 27001:2022 — refonte de l'Annexe A : 93 contrôles regroupés en 4 thèmes (organisationnel A.5, personnel A.6, physique A.7, technologique A.8). 11 nouveaux contrôles : threat intelligence, sécurité du cloud, ICT readiness for business continuity, monitoring, gestion sécurisée des actifs, masquage des données, prévention de la fuite de données, configuration sécurisée, suppression sécurisée, codage sécurisé, web filtering
  • 15 février 2022 — ISO/IEC 27002:2022 (guide de mise en œuvre des contrôles)
  • Février 2024 — Amd 1:2024 (climat) sur 27001:2022
  • 31 octobre 2025 — fin de la période de transition certifications 2013 → 2022
  • Au 9 mai 2026 — toutes les certifications actives sont 27001:2022. Standards complémentaires en développement (27090 IA, mises à jour 27017/27018 cloud)

Source officielle : ISO — fiche 27001 · ISO/IEC 27002:2022

ISO/IEC 27701:2025 — Volet PIMS technique

Au-delà du volet management, la 27701 spécifie des contrôles techniques pour la protection des renseignements personnels : chiffrement, pseudonymisation, gestion du consentement, demandes des personnes concernées, transferts internationaux. Volet technique = chapitres 6 et 7 de la norme.

  • 14 octobre 2025 — ISO/IEC 27701:2025 (édition 2). Contrôles techniques renforcés sur cloud, IA, IoT, biométrie et santé. Annexes A et B (responsable de traitement / sous-traitant) refondues
  • Au 9 mai 2026 — version courante. Période de transition 2019 → 2025 active jusqu'en octobre 2028

Source officielle : ISO — fiche 27701

LPRPDE — Volet incidents (régime fédéral)

Pour l'historique complet de la LPRPDE, voir Chronologie Gouvernance. Ici, focus sur le volet sécurité / incidents.

  • 1er novembre 2018 — entrée en vigueur des obligations de déclaration des atteintes (issues du Digital Privacy Act / S-4 de 2015)
  • Article 10.1 — déclaration obligatoire au CPVP ET avis aux personnes concernées en cas d'« atteinte aux mesures de sécurité » présentant un « risque réel de préjudice grave »
  • Article 10.3 — tenue obligatoire d'un registre des atteintes
  • DORS/2018-64 — règlement sur les atteintes aux mesures de sécurité, précise les exigences de déclaration et de tenue de registre
  • Au 9 mai 2026 — régime pleinement applicable. Au Québec, la Loi 25 contient un régime équivalent (article 3.5 LPRP secteur privé) — la PME doit donc gérer les deux régimes pour les incidents touchant des résidents hors Québec

Source officielle : LPRPDE articles 10.1-10.3 · Règlement DORS/2018-64

Projet de loi C-27 — Volet sécurité (mort)

Le projet C-27, qui aurait modernisé le régime fédéral de sécurité et d'incidents, est mort au feuilleton à la prorogation du Parlement le 6 janvier 2025. Confirmation officielle du retrait par le ministre Solomon en juin 2025. Pour les PME, cela signifie que la LPRPDE et la Loi 25 restent les régimes de référence pour les incidents. Détails dans Chronologie Gouvernance.

À surveiller — changements annoncés ou attendus

  • ISO/IEC 27090 — sécurité de l'IA, en développement, pas de calendrier officiel
  • Mises à jour ISO/IEC 27017 et 27018 — sécurité cloud, attendues
  • OWASP Top 10 — prochaine itération — cycle ≈ 4 ans, prochaine attendue 2028-2029
  • CIS Controls v9 — pas annoncée, mais maintenance continue de v8.1 et CIS Benchmarks
  • NIST CSF — guides d'implémentation — mise à jour continue via OLIR
  • Nouveau projet fédéral PRP (post-C-27) — incidence probable sur le régime d'incidents fédéral, calendrier non publié au 9 mai 2026

Pour aller plus loin sur la sécurité numérique

Le hub Sécurité numérique présente ces référentiels en mode pédagogique avec des guides pratiques pour PME.

Hub Sécurité numérique