349 $ · Livraison en moins de 48h · Phase Diagnostic
Contrôle qualité de vos pratiques numériques —
la qualité réelle de votre conformité Loi 25
Vous avez vos outils, vos comptes, vos sauvegardes — mais sont-ils vraiment configurés pour résister à un incident ? Évaluation en deux volets : 10 pratiques internes (MFA, accès, sauvegardes, EFVP, DPA, accès distants) et 10 critères de sécurité infrastructure (domaine, courriel, services exposés, sécurité cloud) selon ISO/IEC 27001:2022 Annex A, CIS Controls v8 et Loi 25.
Avant de soumettre vos pratiques — ressources gratuites
Consultez les formations et guides pratiques gratuits
Chaque formation est composée de guides pratiques publiés en accès libre — vous pouvez les consulter sans engagement avant l'audit pour corriger les lacunes faciles et obtenir un rapport plus efficace.
Bilan ou Diagnostic — quelle phase choisir ?
Deux services complémentaires, deux niveaux d'analyse.
Phase Bilan — 199 $
Analyse numérique (cartographie)Cartographie votre infrastructure : quels outils, quels accès, quelles données. Dresse un portrait.
Idéal en point de départ pour comprendre où en est votre organisation.
Phase Diagnostic — 349 $
Contrôle qualité numérique (cette page)Évalue la qualité de vos pratiques sur 10 critères. Identifie les déclencheurs EFVP et DPA manquants.
Pour organisations qui ont leur cartographie et veulent valider leurs pratiques.
Pas encore fait la cartographie ? Commencez par l'Analyse numérique — 199 $.
Documents à fournir pour ce contrôle qualité
Si vous avez suivi le parcours Bilan → Diagnostic, la plupart de ces documents existent déjà. On évite ainsi les doublons et on récompense votre travail de mise en place.
Le registre des activités de traitement (D2) est légalement obligatoire au Québec (Loi 25 art. 12) et doit déjà contenir votre cartographie numérique — outils, finalités, catégories de RP, sous-traitants, durées de conservation. C'est la pièce maîtresse de cet audit.
Quatre documents de gouvernance prioritaires
Registre des activités de traitement
Pièce maîtresse — contient la cartographie de vos outils, finalités, catégories de RP, sous-traitants et durées de conservation. Loi 25 art. 12. Sert à évaluer A5 (transferts hors Québec), A6 (projets) et A7 (partage).
Mesures de sécurité documentées
Mesures techniques (MFA, chiffrement, sauvegardes) et organisationnelles (formation, politiques d'accès). Sert à évaluer A1 (MFA), A4 (sauvegardes testées), A9 (chiffrement), A10 (accès distants).
Tableau sous-traitants + flux transfrontaliers
Liste des sous-traitants accédant aux RP, pays de traitement, ententes contractuelles. Sert à évaluer A5 (transferts hors Québec) et A8 (DPA fournisseurs). Loi 25 art. 13 et 63.
Procédure de destruction
Calendrier de conservation par catégorie, méthodes de destruction sécurisée. Sert à valider la cohérence des cycles de vie avec les pratiques numériques (A4, A9). Loi 25 art. 23.
Selon votre parcours
Cas A — Idéal
Vous avez fait le CQ GouvernanceLes 4 documents D2/D6/D8/D9 ont déjà été soumis et évalués. On les réutilise tels quels — aucun document à soumettre à nouveau.
Cas B — Documents prêts
Vous avez monté D1-D10 mais pas encore le CQ GouvernanceSoumettez les 4 documents D2/D6/D8/D9. Évaluation possible en parallèle ou indépendamment du CQ Gouvernance.
Cas C — Bilan numérique seulement
Vous avez fait l'Analyse numérique (Bilan)Soumettez votre rapport de cartographie numérique brute. L'évaluation reste possible mais sera moins riche que les Cas A/B (cross-référence avec D2/D6/D8/D9 absente).
Cas D — Combinaison
Vous avez les deuxCartographie numérique + 4 documents de gouvernance. Le rapport intégrera la cross-référence pour signaler les écarts entre ce qui est documenté et ce qui est cartographié.
Dans tous les cas : on aura aussi besoin de la disponibilité de votre technicien informatique ou sous-traitant TI pour valider certains détails techniques non documentés (versions logicielles, configuration MFA réelle, etc.).
Ce contrôle qualité est fait pour vous si…
- ✓Vous avez déjà fait la cartographie numérique et voulez valider la qualité de vos pratiques de sécurité
- ✓Vous suspectez que votre MFA, vos sauvegardes ou votre procédure de révocation des accès sont incomplets
- ✓Vous transférez des renseignements personnels hors du Québec (Google Workspace, Microsoft 365, Mailchimp, etc.) et n'avez pas réalisé d'EFVP
- ✓Un donneur d'ouvrage, un client institutionnel ou un assureur cyber exige une démonstration de diligence raisonnable sur vos pratiques numériques
- ✓Vous préparez une certification ISO 27001 ou un audit externe et voulez identifier vos écarts en amont
Les 10 critères évalués
Chaque critère est évalué avec un statut clair (✅ conforme · ⚠️ partiel · ❌ non conforme) et une référence normative précise.
Accès et identités
MFA appliqué à tous les utilisateurs
L'authentification à deux facteurs est-elle activée sur le courriel, le stockage cloud et les outils contenant des données personnelles — pour tous les utilisateurs, pas seulement les admins ? ISO 27001 A.8.5 · CIS Controls v8 #6.
Comptes individuels (pas de comptes partagés)
Chaque utilisateur a-t-il son propre compte ? Les comptes génériques (info@, admin@, reception@) avec accès aux données personnelles sont-ils éliminés ? ISO 27001 A.5.16 · CIS Controls v8 #5.
Procédure de révocation documentée
Existe-t-il une procédure écrite pour révoquer les accès lors d'un départ ? Couvre-t-elle tous les services cloud, courriel, outils SaaS ? A-t-elle été appliquée au dernier départ ? ISO 27001 A.5.18 · CIS Controls v8 #5.
Sauvegardes et chiffrement
Sauvegardes testées dans les 12 derniers mois
Les sauvegardes ont-elles été testées par une restauration réelle vérifiée ? La date du dernier test est-elle connue ? Les sauvegardes sont-elles complètes et utilisables ? ISO 27001 A.8.13 · CIS Controls v8 #11.
Chiffrement des sauvegardes
Les sauvegardes sont-elles chiffrées au repos ? Qui détient les clés de chiffrement — vous ou le fournisseur ? Le chiffrement est-il activé sur tous les supports (cloud + local) ? ISO 27001 A.8.13 · CIS Controls v8 #11.
Conformité Loi 25 — déclencheurs EFVP et DPA
Données personnelles dans outils SaaS hors Québec
Des renseignements personnels transitent-ils par des outils hébergés hors Québec (Google, Microsoft, Salesforce, Mailchimp) ? Si oui — une EFVP a-t-elle été réalisée avant ce transfert ? Loi 25 art. 70.1 · déclencheur EFVP obligatoire.
Projets numériques en cours ou planifiés
Acquisition, développement ou refonte d'un système traitant des renseignements personnels en vue ? Une EFVP est-elle prévue avant le démarrage ? Loi 25 art. 70.1 · déclencheur EFVP obligatoire.
Partage de données sans consentement
Des renseignements sont-ils partagés avec des tiers pour des fins de recherche, statistiques, ou études sans consentement explicite ? Loi 25 art. 70.1 · déclencheur EFVP obligatoire.
DPA signé avec chaque sous-traitant
Pour chaque fournisseur SaaS traitant des données personnelles : un DPA (entente de traitement) est-il en place et signé ? Loi 25 art. 63 · ISO 27001 A.5.19-A.5.21 · obligation légale.
Accès distants
Accès distants documentés et sécurisés
Les accès distants se font-ils via VPN ou méthode sécurisée équivalente ? Sont-ils documentés (liste des utilisateurs autorisés) ? Le RDP ou SSH est-il absent en exposition directe Internet ? ISO 27001 A.8.20 · CIS Controls v8 #12.
Volet B — Sécurité de l'infrastructure
Tests automatisés et déclaratifs sur le domaine, le courriel et les services cloud — passifs et non intrusifs.
B1 à B6 : tests automatisés (DNS, certificats publics, services exposés). B7 à B10 : tests cloud déclaratifs (formulaire personnalisé), automatisables ultérieurement via APIs Google Workspace / Microsoft 365.
Sécurité du courriel
SPF (Sender Policy Framework)
Enregistrement SPF présent avec politique -all (strict) ou ~all (souple). Risque si absent : usurpation de votre domaine pour envoyer des courriels frauduleux. CIS Controls v8 #9.
DKIM (signature courriel)
Clé publique DKIM configurée — signe vos courriels sortants. Risque si absent : courriels modifiables en transit sans détection. CIS Controls v8 #9.
DMARC (politique anti-usurpation)
Politique DMARC p=reject ou p=quarantine — instruit les destinataires sur le traitement des courriels suspects. Risque si absent : aucune protection contre l'usurpation par courriel. CIS Controls v8 #9.
Domaine et services exposés
Sous-domaines exposés
Recherche dans les logs publics de Certificate Transparency (crt.sh) — détection d'environnements oubliés (dev., staging., admin., vpn., etc.) qui constituent des surfaces d'attaque non monitorées. CIS Controls v8 #12.
Fuites HIBP
Vérification dans la base Have I Been Pwned — adresses courriel de votre domaine présentes dans des brèches publiques connues. Risque : credentials compromis potentiellement réutilisés. CIS Controls v8 #5.
Ports et services réseau exposés
Détection via Shodan InternetDB des ports critiques exposés sur l'IP du domaine : RDP (3389), MySQL (3306), bases de données, Telnet, FTP. CIS Controls v8 #12 · ISO 27001 A.8.20.
Sécurité des services cloud (déclaratif)
Évaluation par formulaire personnalisé pré-rempli avec les données de votre cartographie. Automatisation prévue ultérieurement via APIs Google Workspace / Microsoft 365 / etc.
MFA tenant cloud
Le MFA est-il imposé au niveau du tenant (Google Workspace, Microsoft 365, autres) — pas seulement disponible mais activé par défaut pour tous les utilisateurs ? ISO 27001 A.8.5.
Politiques de mots de passe
Politiques de complexité, rotation, blocage après tentatives échouées configurées au niveau du tenant cloud. Mots de passe interdits (123456, nom de l'organisation, etc.). ISO 27001 A.5.17.
Journaux d'accès activés
Logs d'audit activés sur les services cloud critiques (Google Workspace Admin Audit Log, M365 Unified Audit Log, etc.) — rétention suffisante pour investigation post-incident. ISO 27001 A.8.15.
Conditional Access / Trusted IPs
Restrictions d'accès conditionnelles configurées : accès uniquement depuis des IPs de confiance, blocage de pays à risque, exigence MFA renforcée pour les rôles sensibles. ISO 27001 A.8.3 · CIS Controls v8 #6.
Normes et lois évaluées
Le contrôle qualité repose sur quatre cadres normatifs combinés — standards internationaux de sécurité de l'information appliqués au contexte légal québécois.
Norme internationale de référence pour le système de management de la sécurité de l'information. 93 contrôles techniques et organisationnels.
Contrôles de cybersécurité du Center for Internet Security — niveau IG1 (priorisation PME).
Loi québécoise sur la protection des renseignements personnels dans le secteur privé. Articles 63 (DPA), 70.1 (EFVP).
Publications officielles de la Commission d'accès à l'information du Québec sur les EFVP, DPA et mesures de sécurité raisonnables.
Volet A — Correspondance Critère → ISO 27001 → CIS Controls → Loi 25
Lignes en orange : déclencheurs d'obligations légales formelles (EFVP ou DPA).
Volet B — Correspondance Sécurité infrastructure
B1 à B6 : tests automatisés. B7 à B10 : tests cloud déclaratifs (formulaire personnalisé).
Exemple de livrable
Extrait du rapport de contrôle qualité que vous recevez à la fin de l'analyse.
Statut consolidé par critère, avec déclencheurs EFVP et DPA mis en évidence.
Pour chaque critère, constat qualifié avec preuve citée et lien aux articles de loi.
Constat : Vos données clients sont stockées dans Google Workspace (États-Unis) et envoyées à Mailchimp (États-Unis). Aucune EFVP n'a été réalisée avant ces transferts. La cartographie identifie 1 247 contacts clients touchés.
Risque légal : L'article 70.1 de la Loi 25 exige la réalisation d'une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout transfert hors Québec de renseignements personnels. L'absence d'EFVP expose votre organisation à une sanction administrative (jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial).
Recommandation : Réaliser une EFVP pour Google Workspace (priorité 1) et Mailchimp (priorité 2). Modèles d'EFVP fournis en annexe du rapport interne, conformes aux lignes directrices CAI.
Actions classées par horizon, avec lien direct aux critères évalués et aux articles de loi applicables.
- A5 — Démarrer EFVP Google Workspace (Loi 25 art. 70.1)
- A4 — Effectuer un test de restauration de sauvegarde
- A8 — Signer DPA Mailchimp et QuickBooks (Loi 25 art. 63)
- A1 — Activer MFA sur Mailchimp et QuickBooks pour tous utilisateurs
- A5 — Compléter EFVP Mailchimp
- A3 — Documenter formellement la procédure de révocation des accès
- A9 — Vérifier et documenter le chiffrement de toutes les sauvegardes
- A2 — Éliminer les comptes génériques avec accès aux données personnelles
- Réviser annuellement les EFVP et DPA
Comment ça fonctionne
Formulaire de contact sécurisé. Vous joignez votre rapport de cartographie numérique (Phase Bilan). Je vous transmets ensuite un formulaire personnalisé pré-rempli avec les données de la cartographie — vous ne répétez jamais ce que vous avez déjà déclaré.
Analyse de chacune de vos 10 pratiques sur les axes d'évaluation (en place, partielle, absente) selon le cadre ISO/IEC 27001:2022 Annex A, CIS Controls v8 IG1 et Loi 25. Identification des déclencheurs EFVP (A5, A6, A7) et DPA manquants (A8).
Rapport client signé, livré via lien sécurisé sur infrastructure hébergée au Québec.
- ✓ Évaluation qualité A1 à A10
- ✓ Cadre ISO 27001 + CIS v8 + Loi 25
- ✓ Identification déclencheurs EFVP (A5, A6, A7)
- ✓ Vérification DPA fournisseurs (A8)
- ✓ Constats détaillés et cités
- ✓ Recommandations priorisées (🔴🟠🟡)
- ✓ Modèles EFVP et DPA en annexe si requis
- ✓ Rapport client signé Kaven Chamberland
- ✓ Confidentialité — hébergement Québec
En résumé
Le contrôle qualité numérique Loi 25, en bref
Définition : le contrôle qualité numérique est un service d'audit indépendant qui évalue la qualité réelle des 10 pratiques numériques internes essentielles à la conformité Loi 25 du Québec (MFA, comptes individuels, révocation, sauvegardes testées et chiffrées, déclencheurs EFVP, DPA fournisseurs, accès distants), selon trois cadres normatifs combinés (ISO/IEC 27001:2022 Annex A, CIS Controls v8 IG1, Loi 25 + lignes directrices CAI). Il intervient après la cartographie numérique (Phase Bilan).
3 faits clés
- Cadre normatif : ISO 27001:2022 Annex A + CIS Controls v8 IG1 + Loi 25 (LPRPSP) + CAI
- Périmètre : 10 critères (A1 à A10) dont 3 déclencheurs EFVP (A5, A6, A7) et 1 obligation DPA (A8)
- Livraison : rapport client signé en moins de 48h, à 349 $
Action recommandée
Cartographie numérique déjà réalisée → commander le contrôle qualité. Pas encore de cartographie → commencer par l'Analyse numérique (199 $) ou le Bilan complet (599 $).
Questions fréquentes
Quelle est la différence entre l'Analyse numérique (Bilan, 199 $) et le Contrôle qualité numérique (Diagnostic, 349 $) ?
L'Analyse numérique de la Phase Bilan cartographie votre infrastructure : les outils utilisés, qui y a accès, les données qui y transitent. Elle dresse un portrait. Le Contrôle qualité numérique de la Phase Diagnostic évalue ensuite la qualité réelle de ces pratiques sur 10 critères : votre MFA est-il vraiment activé partout, vos sauvegardes ont-elles été testées dans les 12 derniers mois, avez-vous une procédure de révocation documentée, vos transferts hors Québec déclenchent-ils une EFVP, vos sous-traitants ont-ils tous un DPA signé. L'analyse repose sur le cadre ISO/IEC 27001:2022 Annex A, CIS Controls v8 IG1 et la Loi 25.
Que se passe-t-il si je ne suis pas encore prêt — pas de cartographie numérique, ou pratiques en cours de mise en place ?
Le Contrôle qualité présuppose que votre cartographie numérique (Phase Bilan, 199 $) est déjà réalisée — sans ce portrait, on ne peut pas évaluer la qualité de pratiques qui n'ont pas été inventoriées.
Pas encore de cartographie ? Commencez par l'Analyse numérique (199 $) ou le Bilan complet (599 $).
Vous voulez monter ou corriger les pratiques par vous-même ? Suivez les formations dans cet ordre :
1. Formation Initiation PRP aux employés — principes de base.
2. Formation Gouvernance PRP — fondations PRP. Nécessaire pour bien comprendre la Formation Numérique.
3. Formation Numérique de base et Loi 25 — sept modules pratiques sur la cartographie des outils, MFA et accès, sauvegardes et incidents, sous-traitants et hébergement, mesures techniques de sécurité, droits des personnes et conservation, intégration IA responsable.
Mes informations partagées sont-elles confidentielles ?
Oui. Les réponses au formulaire et toutes les pièces justificatives soumises sont traitées sous obligation de confidentialité, conservées sur infrastructure hébergée au Québec et détruites sur demande à la fin du mandat. Aucune donnée sensible (mots de passe, clés API, jetons d'accès) n'est demandée — uniquement des descriptions de pratiques et des configurations. Aucune information n'est partagée avec des tiers ni utilisée hors du périmètre de l'analyse.
Le rapport peut-il servir à démontrer ma conformité à un donneur d'ouvrage, un assureur cyber ou la CAI ?
Oui. Le rapport documente formellement la qualité de vos pratiques numériques face à la Loi 25 et au cadre ISO/IEC 27001:2022 Annex A. Il identifie aussi les déclencheurs EFVP (article 70.1) et les obligations DPA (article 63) — utile pour répondre à un appel d'offres, à un questionnaire d'assurance cyber ou à une demande de démonstration de diligence raisonnable. En cas de plainte ou d'enquête CAI, le rapport contribue à démontrer vos efforts continus pour améliorer votre conformité.
Combien de temps prend l'analyse ?
Moins de 48 heures à compter de la réception complète du formulaire personnalisé CQN. Le rapport final fait 10 à 14 pages, livré sur infrastructure hébergée au Québec.
Les autres services de la Phase Diagnostic
Le contrôle qualité existe pour chacun des trois domaines évalués au Bilan, et le Diagnostic Stratégique les regroupe.
Qualité réelle de vos 10 documents essentiels de gouvernance PRP. 349 $.
Qualité réelle de votre site web : Loi 25, sécurité, vulnérabilités. 399 $ ou 399 $.
Les 3 contrôles qualité réunis + analyse stratégique transversale + score % global. 999 $.
Vous n'êtes pas encore prêt pour le Diagnostic ? Voir la Phase Bilan (199 $ unitaire ou 599 $ complet).