Lire une soumission de sous-traitant cybersécurité :
décoder, comparer, signer en confiance

Une soumission cybersécurité PME tient typiquement sur quelques pages, mais les écarts entre deux prestataires peuvent être considérables : périmètre couvert, méthodologie, livrables attendus, certifications du prestataire, prix. Ce guide donne les axes de lecture pour comprendre ce qu'on achète vraiment.

Audit vs test d'intrusion — deux choses différentes

Première confusion à lever : un audit et un test d'intrusion ne couvrent pas la même chose.

Audit cybersécurité

Un audit est une évaluation structurée de la posture de sécurité de l'organisation. L'auditeur examine les configurations, les pratiques, les politiques, les processus, et en tire une analyse écrite avec recommandations hiérarchisées. C'est une vue large qui couvre à la fois la technique, l'organisationnel et la conformité.

Test d'intrusion (pentest)

Un test d'intrusion (penetration test) est un exercice actif : un spécialiste essaie de contourner les défenses de l'organisation comme le ferait un attaquant réel (avec autorisation contractuelle explicite). Le livrable est un rapport décrivant les failles exploitées, les preuves de compromission obtenues, et les recommandations correctives. C'est une vue ciblée et profonde sur la résistance technique d'un périmètre défini.

Comment ça s'articule pour une PME

Pour la grande majorité des PME 5-30 employés, le premier mandat utile est un audit, pas un test d'intrusion. L'audit révèle des écarts de configuration et de gouvernance qui peuvent être corrigés à coût raisonnable avant d'investir dans un test d'intrusion. Un bon audit inclut souvent un mini-pentest opportuniste (test des configurations exposées, mots de passe faibles courants, vulnérabilités connues non corrigées). L'inverse — un pentest sans audit préalable — laisse en place les angles morts organisationnels.

Couverture attendue d'un audit cyber PME

Une soumission d'audit cyber sérieuse pour une PME 5-30 employés devrait couvrir explicitement quatre domaines, et indiquer pour chacun la profondeur de l'analyse :

• Infrastructure — réseau interne, serveurs, postes de travail, configuration des équipements (routeurs, points d'accès Wi-Fi, pare-feu)
• Applications web et APIs (Application Programming Interfaces) — site web, portails clients, intégrations avec des services tiers, applications métier exposées sur internet
• Processus humains — test de hameçonnage simulé, revue des procédures (intégration et départ d'un employé, gestion des incidents, sauvegarde et restauration), entrevue avec les personnes clés
• Chaîne d'approvisionnement — fournisseurs infonuagiques utilisés (Microsoft 365, Google Workspace, outils SaaS métier), dépendances logicielles, contrats avec sous-traitants accédant à des renseignements personnels (lien direct avec l'article 17 de la Loi 25)

Une soumission qui ne couvre qu'un seul des quatre domaines (par exemple uniquement l'infrastructure) n'est pas un audit cyber complet — c'est une analyse technique légitimement plus étroite. À acheter en connaissance de cause, pas en croyant avoir acheté un audit complet.

Certifications à vérifier chez le prestataire

Les certifications individuelles des consultants et la certification organisationnelle du cabinet sont des indicateurs nécessaires mais pas suffisants. Quatre références reconnues internationalement :

• ISO/IEC 27001 — certification organisationnelle de la sécurité de l'information. Pour le cabinet lui-même : indique qu'il applique en interne ce qu'il propose à ses clients. Pour un consultant : peut être implémenteur certifié ou auditeur certifié (cycle de formation et d'examens).
• OSCP (Offensive Security Certified Professional) — certification individuelle reconnue pour le pentest. Exige une réussite d'examen pratique de 24 heures avec accès à un environnement à compromettre. Indique une compétence offensive réelle, pas seulement théorique.
• OSCE (Offensive Security Certified Expert) — niveau au-dessus d'OSCP, pour les pentests avancés (développement d'exploits, contournement de défenses).
• CEH (Certified Ethical Hacker) — certification plus large, plus accessible, moins exigeante que l'OSCP. Reconnaissance utile mais à pondérer avec l'expérience réelle du consultant.
• CISSP (Certified Information Systems Security Professional) — certification reconnue pour la gouvernance et l'architecture de sécurité. Indique une expérience minimum de cinq années dans le domaine.

Signal d'alerte : un cabinet qui ne mentionne aucune certification reconnue pour ses consultants assignés au mandat, ou qui reste vague sur leur niveau. Une formation autodidacte n'invalide pas la compétence, mais en l'absence de certification reconnue, il faut demander explicitement les références vérifiables de mandats comparables réalisés (avec accord du client de référence pour validation).

Fourchette de prix PME Québec 2026 — indicatif

Signes d'une soumission surdimensionnée ou floue

Cinq signaux d'alerte à repérer à la lecture :

• Périmètre vague — formulations comme « évaluation de votre posture de sécurité » sans dire ce qui est inclus et ce qui ne l'est pas. Une bonne soumission liste les actifs couverts, les exclusions, les méthodes employées.
• Jargon sans livrables précis — « approche holistique de la cyber-résilience », « benchmarking 360 degrés » sans dire ce qu'on remettra à la fin (rapport écrit de combien de sections, présentation, registre d'écarts hiérarchisés, plan d'action chiffré).
• Prix au-dessus de la fourchette sans justification — un mandat à 80 000 $ pour une PME de 12 employés appelle une justification précise (sinon, c'est probablement la marge du cabinet plus que la valeur livrée).
• Références anciennes ou non vérifiables — soumission qui cite des « mandats récents dans votre secteur » sans pouvoir nommer (sous accord) au moins une ou deux références joignables, ou qui cite des mandats datant de plus de trois ans.
• Absence de cartographie sur un référentiel reconnu — bonne soumission cartographie son analyse sur CIS Controls, NIST CSF 2.0, ou la baseline canadienne. Soumission qui propose une grille « maison » sans alignement reconnu = signal d'alerte sur la rigueur méthodologique.

Articulation avec l'article 10 de la Loi 25

L'article 10 de la Loi 25 n'impose pas un audit annuel formel. Il exige que l'entreprise prenne « les mesures de sécurité propres à assurer la protection des renseignements personnels » et puisse les démontrer.

Un audit cybersécurité, à condition d'être correctement réalisé et documenté, s'inscrit naturellement dans cette démarche et peut constituer une preuve de diligence en cas d'incident. La CAI (Commission d'accès à l'information du Québec — l'organisme public qui surveille l'application de la Loi 25) examine, en cas d'enquête après incident, les mesures qui étaient en place au moment de l'incident — pas seulement celles adoptées en réaction.

Ne pas tirer l'argument à l'extrême inverse : un audit non suivi de la mise en œuvre des recommandations n'est pas une preuve de diligence — il peut même devenir une preuve à charge (« vous saviez et n'avez rien fait »). L'audit est un point de départ qui implique un plan d'action documenté et suivi dans le temps.

Pièges à éviter

En résumé

Lire une soumission cybersécurité PME demande une grille simple mais rigoureuse : distinguer audit et test d'intrusion, vérifier la couverture (infrastructure, applications, processus humains, chaîne d'approvisionnement), valider les certifications du prestataire (ISO 27001, OSCP, CISSP, CEH avec mandats récents vérifiables), situer le prix dans la fourchette québécoise 2026, repérer les signaux de soumission surdimensionnée ou floue. Et toujours deux ou trois soumissions en main pour comparer pommes/pommes — c'est cette comparaison qui protège le mieux la PME contre l'achat à l'aveugle. L'audit qui en résulte, suivi d'un plan d'action documenté, constitue la pièce maîtresse de la démonstration de diligence raisonnable exigée par l'article 10 de la Loi 25.