Gouvernance numérique pour dirigeants
Équiper, choisir, évaluer — sans dépendre d'un fournisseur unique

Module 1 · Bases de la gestion informatique alignées ISO et Loi 25

Le langage de base et le système de gestion à connaître pour piloter le numérique

Le dirigeant n'a pas besoin de devenir spécialiste TI — il a besoin du langage de base et d'un système de gestion simple pour donner des instructions claires, comprendre les réponses et valider les décisions. C'est ce que la norme ISO/IEC 27001:2022 et son extension 27701:2025 apportent : un cadre — identification des actifs, gestion des risques, contrôles, boucle d'amélioration continue. Ce module les traduit en vocabulaire applicable à une PME québécoise (actifs informationnels, cycle de vie des données, sauvegardes, accès, journalisation, gestion des changements et des incidents) et les aligne avec les obligations de la Loi 25 que vous avez déjà rencontrées dans les blocs précédents.

Articulation amont/aval — pourquoi ce module compte pour la suite :

• En amont : les cartographies individuelles produites par vos employés dans la formation Habitudes numériques pour employés arrivent sur votre bureau — ce module vous donne le cadre pour les lire, agréger et décider.
• Bloc gouvernance précédent : RPRP, registre, politique interne, conservation, sous-traitants, EFVP — les six modules de la formation Mise en place gouvernance partie 1 et partie 2 deviennent ici opérationnels côté numérique.
• En aval : le vocabulaire et le cadre ISO posés ici structurent les quatre modules suivants de la formation — cloud vs local, sauvegarde 3-2-1-1-0, évaluation fournisseurs, équipement des employés — et préparent les formations Cybersécurité et Maintenance numérique et amélioration continue du même bloc.

Pas un cours de certification — un cours pratique sur les bases de la gestion informatique d'une PME, en langage simple, aligné Loi 25 et utile pour tout ce qui suit dans le bloc.

⭐ Module 2 · Cloud vs local pour le roulement de l'entreprise

Trancher avec lucidité — sans parti pris idéologique

Module pivot le plus développé (environ 15-18 minutes). Trois catégories de solutions sont présentées avec avantages, inconvénients, à qui ça convient — pas d'idéologie « cloud c'est mal » ni « logiciel libre c'est toujours mieux ».

Catégorie 1 — Cloud étranger (Microsoft 365, Google Workspace) :

• Avantages : fonctionnalités riches, intégration multi-outils, MFA central, prix prévisible
• Inconvénients : soumis au CLOUD Act US même avec Advanced Data Residency Canada (Microsoft l'a confirmé publiquement), évaluation des facteurs relatifs à la vie privée (EFVP) requise au sens de la Loi 25 art. 17

Catégorie 2 — Cloud 100 % québécois (datacenter QC + entreprise canadienne + non soumis au CLOUD Act) :

• Avantages : souveraineté complète, simplification documentaire Loi 25, support en français
• Inconvénients : catalogue de fonctionnalités plus restreint que les géants du cloud étrangers, parfois interface moins polie
• Exemples vérifiés 2026 : Micrologic (Québec City, reconnu Gartner comme « only Canadian Digital Sovereign » solution) ; Patrii Cloud (Montréal, stack 100 % open-source OpenStack/Ceph, pas de dépendance à des licences propriétaires US, tarifs PME accessibles)

Catégorie 3 — Self-hosted ou local (LibreOffice, OnlyOffice Community, Nextcloud) :

• Avantages : contrôle maximal, coût licence quasi nul, aucun transfert hors Québec
• Inconvénients : exige expertise interne ou contractuel pour maintenir, mises à jour à gérer, sauvegardes à organiser

Cadrage Loi 25 honnête : l'art. 17 n'impose pas littéralement « tout au Québec » — il impose une EFVP avant transfert hors Québec et une protection équivalente. En pratique cela oriente vers Canada/Québec parce que c'est plus simple à documenter, mais ce n'est pas une obligation absolue. Vous repartez avec la grille de critères pour appliquer le bon choix à chaque type de données de votre PME.

Module 3 · Stabiliser le numérique

Sauvegarde 3-2-1-1-0, MFA centrale, hygiène opérationnelle

La règle 3-2-1-1-0 (formulation Veeam officielle 2026) : 3 copies des données, sur 2 médias différents, dont 1 hors site, 1 immutable (non modifiable), avec 0 erreur de restauration lors des tests. C'est la grille que vous pouvez exiger de votre TI ou de votre fournisseur — sans devoir l'implémenter vous-même.

On couvre aussi la MFA centrale (gérer l'authentification multi-facteur de toute l'équipe depuis un seul point) et la politique numérique d'entreprise (charte d'utilisation simple, pas un règlement de 30 pages).

Module 4 · Évaluer un fournisseur SaaS ou infonuagique

Quelles certifications vérifier, quels documents demander, quelles questions Loi 25 poser

Vous n'avez pas à devenir auditeur. Une grille courte suffit pour évaluer un fournisseur avant de signer. On présente les certifications utiles à vérifier (SOC 2 Type II, ISO 27001, PCI-DSS si paiement, HIPAA si santé), le questionnaire CAIQ-Lite (Cloud Security Alliance, 71 questions téléchargeables gratuitement), et les 7 questions Loi 25 à poser systématiquement (transferts hors Québec, localisation données, sous-traitants, droit de sortie, etc.).

Livrable mental : 5 documents à exiger de tout fournisseur SaaS + 7 questions à poser avant signature.

Module 5 · Équiper et soutenir les employés

Comment le dirigeant outille ses équipes — au-delà de la formation individuelle

La formation employés (cartographie + cybersécu de base) donne les bons réflexes individuels. Le dirigeant complète avec les outils d'entreprise qui font la différence sur la durée :

• Gestionnaire de mots de passe partagé — KeePassXC partagé sur dossier sécurisé (gratuit, logiciel libre, 100 % local), Bitwarden Teams (4 $ US/utilisateur/mois), 1Password Business (7,99 $ US/utilisateur/mois — entreprise Ontario, intéressant côté Loi 25) ou Vaultwarden auto-hébergé (gratuit, exige compétence technique)
• MFA centrale et clés FIDO2 pour les comptes administrateurs (YubiKey, Token2)
• Charte d'utilisation simple — quelques règles claires qui équipent sans surveiller
• Articulation avec la formation employés — récupérer les cartographies individuelles et les transformer en plan d'amélioration des outils de l'équipe

L'objectif : que vos employés se sentent équipés et appuyés, pas surveillés.

Module complémentaire · Pour aller plus loin

Référentiels techniques de sécurité numérique

Qu'est-ce que c'est : un ensemble de guides pratiques web gratuits qui approfondissent les référentiels techniques de sécurité numérique (CIS Controls, NIST CSF, ISO 27001) et les configurations concrètes côté serveur, poste et messagerie.

À quoi ça sert : outiller le responsable TI ou le sous-traitant qui doit traduire les exigences de cette formation en mesures techniques vérifiables — au-delà de la sensibilisation, vers l'audit et la conformité technique.

⚖️ Avis important — statut de la formation

Cette formation a pour but de guider les organisations dans la mise en place des meilleures pratiques en protection des renseignements personnels et en gouvernance numérique. Elle est fournie à titre informatif et pédagogique et ne constitue en aucun cas un conseil juridique ni un avis juridique formel. Pour les situations particulières — secteur réglementé, contrat à risque élevé, transferts internationaux complexes —, consultez un avocat spécialisé.