Module 1 · Guide pratique · Cybersécurité d'entreprise pour PME
Trois cadres accessibles sans viser la certification

CIS Controls, NIST CSF 2.0, baseline canadienne :
trois référentiels qui couvrent 90 % des besoins PME

Trois cadres internationaux ou nationaux structurent l'essentiel des prestations cybersécurité sérieuses au Canada. Aucun n'est obligatoire pour une PME, aucun ne vise la certification dans la démarche présentée ici — mais les connaître donne le vocabulaire opérationnel pour décoder ce qu'un prestataire propose, exiger une cartographie sur un cadre reconnu, et structurer la diligence raisonnable exigée par l'article 10 de la Loi 25.

Planifier la formation ← Retour à la formation →

Une PME québécoise de 5 à 30 employés n'a pas les ressources pour bâtir une politique cybersécurité ex nihilo. Heureusement, trois référentiels publiés gratuitement par des organismes reconnus couvrent l'essentiel : les CIS Controls v8.1 (Center for Internet Security, États-Unis), le NIST CSF 2.0 (National Institute of Standards and Technology, agence fédérale américaine) et la baseline canadienne publiée par le Centre canadien pour la cybersécurité (CCC — division du Centre de la sécurité des télécommunications du Canada). Aucun n'oblige une PME à se certifier ; tous donnent une grille de lecture concrète.

Pourquoi adopter un référentiel sans viser la certification?

Trois bénéfices documentables pour une PME 5-30 employés :

  • Vocabulaire commun avec les prestataires — exiger une cartographie sur CIS ou NIST CSF rend les soumissions comparables pommes/pommes.
  • Démonstration de diligence — l'article 10 de la Loi 25 exige des « mesures de sécurité propres à assurer la protection » sans dicter lesquelles. Un référentiel reconnu documente le choix.
  • Évolution progressive — commencer par un sous-ensemble adapté à la taille, élargir au rythme de la croissance ou des exigences contractuelles.

CIS Controls v8.1 — le plus accessible des trois

Publiés par le Center for Internet Security (organisation à but non lucratif basée à East Greenbush, État de New York), les CIS Controls sont régulièrement cités par les agences de cybersécurité gouvernementales comme point de départ opérationnel pour les organisations de toutes tailles. La version 8.1 publiée en 2024 organise la cybersécurité en 18 contrôles structurés autour des actifs informatiques.

L'élément différenciateur des CIS Controls : les Implementation Groups (IG — niveaux de mise en œuvre). Le IG1 est explicitement conçu pour les petites organisations à profil de risque limité et propose un sous-ensemble prioritaire des 18 contrôles. C'est le bon point d'entrée pour une PME 5-30 employés.

  • Inventaire des actifs (matériels et logiciels) — savoir ce qu'on a avant de le protéger
  • Configuration sécurisée — durcir les systèmes d'exploitation et les applications par défaut
  • Gestion des comptes et des accès — comptes administrateurs séparés, principe du moindre privilège
  • Protection contre les logiciels malveillants — antivirus, filtrage, mises à jour
  • Sauvegardes — récupération des données comme garde-fou ultime
  • Sensibilisation du personnel — la couche humaine
  • Réponse aux incidents — procédure documentée, contacts, tests périodiques

Source : cisecurity.org / Controls v8.1 — guides téléchargeables gratuitement après inscription. Un outil compagnon, CIS-CAT Lite, évalue gratuitement la configuration d'un poste contre les benchmarks CIS (couvert au module 2).

NIST CSF 2.0 — le cadre conceptuel le plus reconnu internationalement

Le NIST Cybersecurity Framework est publié par le National Institute of Standards and Technology (agence fédérale du département américain du Commerce). La version 2.0, publiée en février 2024, est aujourd'hui la référence internationale en gouvernance cyber. Différence majeure avec les CIS Controls : le NIST CSF n'est pas une liste de contrôles techniques — c'est un cadre conceptuel organisé en six fonctions de haut niveau.

  • Govern (gouverner) — nouveauté de la 2.0 : ancrer la cybersécurité dans la gouvernance d'entreprise, définir les rôles et la chaîne de responsabilité
  • Identify (identifier) — connaître les actifs, les processus critiques, les risques
  • Protect (protéger) — appliquer les mesures de sécurité (techniques et organisationnelles)
  • Detect (détecter) — repérer un événement de sécurité en cours
  • Respond (répondre) — contenir, communiquer, documenter un incident
  • Recover (récupérer) — restaurer les opérations, tirer les apprentissages

Le NIST CSF 2.0 est particulièrement utile pour cadrer un mandat avec un prestataire : on demande une analyse organisée selon les six fonctions, plutôt qu'une liste hétéroclite de recommandations techniques. Le cadre se mappe naturellement sur les CIS Controls — les deux référentiels se complètent (NIST CSF = quoi structurer, CIS Controls = comment l'implanter).

Source : nist.gov / cyberframework — documentation officielle gratuite.

Baseline canadienne — l'option proximité géographique et juridique

Le Centre canadien pour la cybersécurité (CCC), division du Centre de la sécurité des télécommunications du Canada, publie une série de documents ITSAP (IT Security Awareness Publications) destinés aux organisations canadiennes. La référence pour les PME est ITSAP.10.300 — Mesures de sécurité de base pour les petites organisations.

Cette baseline présente plusieurs avantages pour une PME québécoise :

  • Pensée pour le contexte canadien — vocabulaire bilingue officiel, références aux lois fédérales et provinciales
  • Volume gérable — un document concis, lisible en une demi-journée par un dirigeant ou un responsable TI
  • Crédibilité auprès des bailleurs publics — les programmes de subvention en cybersécurité (PARI-CNRC, programmes provinciaux) reconnaissent souvent la baseline du CCC comme cadre de référence
  • Mises à jour régulières — le CCC publie également des bulletins d'alerte (menaces actives, vulnérabilités majeures) auxquels une PME peut s'abonner

Source : cyber.gc.ca — accès direct, sans inscription, en français et en anglais.

Quel référentiel choisir pour quelle situation?

Les trois ne s'excluent pas — la plupart des PME structurées combinent au moins deux. Une logique pragmatique :

  • Premier réflexe pour une PME québécoise sans cadre actuel — commencer par la baseline du CCC : courte, en français, gratuite, alignée sur le contexte canadien
  • Pour structurer un mandat avec un prestataire — exiger une cartographie selon le NIST CSF 2.0 : six fonctions claires, vocabulaire reconnu internationalement
  • Pour entrer dans la mise en œuvre opérationnelle — adopter le IG1 des CIS Controls v8.1 comme liste de tâches concrètes à cocher dans le temps
  • Si la PME vise une certification éventuelle (ISO 27001, contrats avec donneurs d'ordre exigeants) — le NIST CSF facilite la transition, et les CIS Controls couvrent une bonne partie des contrôles techniques attendus

Articulation avec l'article 10 de la Loi 25

L'article 10 de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (couramment appelée « Loi 25 ») exige que l'entreprise prenne « les mesures de sécurité propres à assurer la protection des renseignements personnels [...] selon notamment leur sensibilité, la finalité de leur utilisation, leur quantité, leur répartition et leur support ». La loi ne nomme aucun référentiel précis — c'est à l'entreprise de démontrer le choix raisonné.

Adopter explicitement l'un des trois référentiels ci-dessus, documenter le sous-ensemble retenu et son périmètre, et conserver les preuves de mise en œuvre constitue une démarche de diligence que la Commission d'accès à l'information du Québec (CAI) reconnaît dans son rôle de surveillance. Ce n'est pas une garantie de conformité automatique — c'est une démonstration de la posture raisonnable.

Pièges à éviter

  • Viser la certification sans budget réaliste — annoncer ISO 27001 sans avoir évalué le coût (10 000 à 75 000 $ sur trois ans pour une PME) puis abandonner en cours de route coûte plus cher en crédibilité que de viser un alignement non certifié.
  • Choisir un cadre par mode — adopter le NIST CSF parce qu'on l'a entendu nommer, sans regarder s'il convient à la maturité actuelle de la PME. La baseline du CCC peut être plus adaptée pour démarrer.
  • Ignorer la baseline canadienne au profit du seul NIST — le CCC publie en français, contextualise pour le Canada, et est reconnu par les programmes de subvention provinciaux. Le négliger par réflexe nord-américain est une erreur fréquente.
  • Confondre référentiel et conformité Loi 25 — détenir une cartographie CIS ou NIST n'équivaut pas à être conforme à la Loi 25 (les deux objets sont différents). À l'inverse, être conforme à la Loi 25 ne signifie pas qu'on est aligné sur un référentiel cyber reconnu.

En résumé

Trois référentiels couvrent l'essentiel des besoins cybersécurité d'une PME québécoise sans viser la certification : CIS Controls v8.1 (concret, organisé par actifs, avec un IG1 pensé pour les petites organisations), NIST CSF 2.0 (conceptuel, six fonctions, idéal pour cadrer un mandat) et la baseline du Centre canadien pour la cybersécurité (proximité géographique, en français, alignée sur les programmes de subvention). Les adopter c'est se donner le vocabulaire pour discuter avec un prestataire sans être instrumentalisé, et démontrer la diligence raisonnable exigée par l'article 10 de la Loi 25.

Passer à la suite de la formation

Le module 1 pose les référentiels. Le module 2 entre dans le durcissement concret du poste de travail et du serveur — Windows, macOS, Linux, et le volet navigateur d'entreprise souvent oublié.

← Retour à la formation Planifier la formation