Bases de la gestion informatique pour dirigeants
Langage simple aligné ISO et Loi 25

Le numérique d'une PME, ce n'est pas un sujet TI — c'est un sujet de direction. Vous prenez des décisions sur les outils, les budgets, les fournisseurs, les politiques. Pour que ces décisions soient bonnes, il vous faut un cadre simple. C'est ce que les normes internationales ISO/IEC 27001:2022 (sécurité de l'information) et ISO/IEC 27701:2025 (protection des renseignements personnels) apportent — et c'est ce que la Loi 25 (Loi sur la protection des renseignements personnels dans le secteur privé, P-39.1, Québec) impose comme obligations légales pour les PME québécoises.

Avant de commencer — ce que vos employés vous ont déjà donné

Le concept clé — un système de gestion, pas un logiciel

Le premier mot à intégrer : système de gestion (de la sécurité de l'information ou des renseignements personnels). Ce n'est pas un produit qu'on achète, pas un logiciel qu'on installe. C'est l'ensemble organisé de :

• Politiques — ce que l'organisation décide et formalise (qui peut faire quoi, sous quelles conditions)
• Procédures — comment chaque chose se fait concrètement (étapes, responsables, traces)
• Ressources — humaines (rôles, formation) et techniques (outils, configurations)
• Contrôles — les mesures concrètes qui réduisent les risques (mots de passe forts, sauvegardes, accès limités, etc.)

L'ISO ajoute un cinquième élément essentiel : une boucle d'amélioration continue — planifier ce qu'on va faire, exécuter, vérifier que ça marche, ajuster. C'est ce qui distingue une organisation qui s'améliore vraiment d'une organisation qui colle des politiques au mur sans les faire vivre.

Les six piliers de la gestion informatique d'une PME

Au-delà du vocabulaire, voici les six concepts pratiques que vous devez comprendre pour piloter votre numérique. Pour chacun, on donne le langage simple, le principe ISO associé, et l'obligation Loi 25 qui s'y rattache (avec lien vers le guide du bloc gouvernance précédent qui l'a déjà traitée en profondeur).

1. Actifs informationnels — savoir ce que vous possédez

En langage simple : faire la liste de tout ce qui contient de l'information utile dans votre PME — les bases de données clients, les dossiers RH, les contrats électroniques, les courriels professionnels, les fichiers comptables, les exports d'outils SaaS. Sans cet inventaire, vous ne pouvez ni protéger ni gérer.

ISO : identification et classification des actifs informationnels (Annexe A.5.9 à A.5.13 de ISO 27001:2022).
Loi 25 : obligation de tenir un registre des activités de traitement (article 3.2). Le registre est la traduction juridique de l'inventaire d'actifs.
Approfondi dans : guide Registres obligatoires.

2. Cycle de vie des données — création, utilisation, destruction

En langage simple : chaque donnée naît, est utilisée, partagée parfois, archivée, et un jour devrait être détruite. Si on ne pense pas au cycle complet, on accumule indéfiniment et on devient vulnérable.

ISO : gestion du cycle de vie de l'information, durée de conservation justifiée par la finalité.
Loi 25 : obligation de conservation limitée à la finalité (article 23) + protection accrue pour les renseignements sensibles (article 12).
Approfondi dans : guide Conservation et destruction.

3. Sauvegardes et restauration — la preuve, pas la promesse

En langage simple : sauvegarder ne sert à rien sans test de restauration. Une sauvegarde qu'on n'a jamais essayé de restaurer est juste une supposition. La règle professionnelle s'appelle 3-2-1-1-0 (couverte dans le module 3 de cette formation) : 3 copies des données, sur 2 médias différents, dont 1 hors site, 1 immutable (qu'on ne peut pas modifier), et 0 erreur de restauration lors des tests.

ISO : sauvegarde de l'information (A.8.13) + plan de continuité d'activité (A.5.29 à A.5.30).
Loi 25 : obligation de prendre des mesures de sécurité raisonnables (article 10). Sans sauvegardes testées, la diligence raisonnable n'est pas démontrable.
Approfondi dans : module 3 de cette formation — Stabiliser le numérique.

4. Gestion des accès et journalisation — qui peut voir quoi

En langage simple : chaque personne dans votre PME doit avoir uniquement les accès dont elle a besoin pour son travail (principe du moindre privilège). Les accès aux données sensibles doivent être journalisés — c'est-à-dire que chaque consultation laisse une trace. Au départ d'un employé, ses accès sont révoqués immédiatement.

ISO : contrôle d'accès (A.5.15 à A.5.18 + A.8.2 à A.8.5).
Loi 25 : protection accrue pour les renseignements sensibles (article 12) — accès cloisonné, journalisation, mesures renforcées. Le numéro d'assurance sociale, les données médicales, biométriques tombent dans cette catégorie.
Approfondi dans : module 5 de cette formation — Équiper et soutenir les employés (gestionnaire de mots de passe partagé, authentification multi-facteur centrale).

5. Gestion des changements et des correctifs — chaque changement est un risque

En langage simple : chaque mise à jour de logiciel, chaque nouvel outil installé, chaque migration de serveur, chaque départ ou arrivée d'employé est un changement qui peut introduire un risque. La discipline consiste à réfléchir avant et à tracer après — pas à figer le numérique.

ISO : gestion des changements (A.8.32) + gestion des correctifs et des vulnérabilités techniques (A.8.8).
Loi 25 : l'évaluation des facteurs relatifs à la vie privée (EFVP, article 3.3) est exigée avant tout nouveau projet qui traite des renseignements personnels ou tout transfert hors Québec.
Approfondi dans : guide EFVP base.

6. Gestion des incidents — détecter, contenir, notifier, apprendre

En langage simple : un incident, c'est toute situation où des renseignements personnels sont consultés, modifiés, divulgués ou perdus sans autorisation. Pour y faire face, il faut un protocole simple : qui détecte, qui décide, qui notifie, qui documente. La rapidité compte — la loi parle d'agir avec diligence.

ISO : gestion des incidents de sécurité de l'information (A.5.24 à A.5.28).
Loi 25 : obligation de tenir un registre des incidents + notification à la Commission d'accès à l'information (CAI) avec diligence si un préjudice sérieux est probable (articles 3.5 à 3.8). La loi ne fixe pas de délai chiffré ; en pratique, la CAI utilise 72 heures comme repère, aligné sur le standard européen.
Approfondi dans : guide Registres obligatoires (volet registre des incidents).

Comment ces six piliers s'articulent avec la suite de la formation et du bloc

Ce module pose le vocabulaire et le système de gestion. Les modules suivants de cette formation et les formations qui suivent dans le bloc s'appuient toutes sur ces six piliers :

• Module 2 — Cloud vs local : décision structurante sur où vivent vos actifs informationnels (pilier 1) et comment les sauvegardes (pilier 3) s'organisent.
• Module 3 — Stabiliser le numérique : application concrète des piliers 3 (sauvegardes 3-2-1-1-0), 4 (authentification multi-facteur centrale) et 5 (politique d'utilisation).
• Module 4 — Évaluer un fournisseur SaaS : application du pilier 5 (changement majeur — chaque nouveau fournisseur est un changement) et du pilier 6 (gestion d'incident côté fournisseur).
• Module 5 — Équiper et soutenir les employés : application du pilier 4 (gestion des accès, gestionnaire de mots de passe partagé) et boucle de retour vers les fiches employés de la Formation 1.
• Formation suivante — Cybersécurité d'entreprise : approfondissement des piliers 3, 4 et 5 côté technique (durcissement des systèmes d'exploitation, chiffrement, contrôle d'accès, audit assisté par intelligence artificielle).
• Formation finale — Maintenance numérique et amélioration continue : suivi, indicateurs et boucle PDCA appuyés sur la cartographie des actifs (pilier 1) et le cycle de vie (pilier 2), avec un volet de cartographie d'infrastructure qui prépare le terrain de l'IA dans le respect des piliers 4 et 6.

Pièges à éviter

En résumé

Le numérique d'une PME se pilote avec six piliers — actifs informationnels, cycle de vie des données, sauvegardes et restauration, gestion des accès et journalisation, gestion des changements, gestion des incidents. Ces six piliers traduisent en langage simple ce que les normes ISO/IEC 27001:2022 et 27701:2025 structurent en système de gestion, et s'alignent point par point sur les obligations de la Loi 25. Pas de vocabulaire pour épater, pas de certification à viser par défaut — un cadre pour décider mieux, donner des instructions claires, et faire fonctionner ensemble vos employés, vos fournisseurs et votre conformité légale. Les modules suivants de cette formation et les formations qui suivent dans le bloc s'appuient tous sur ce cadre.