Une PME a-t-elle besoin de tous ces référentiels?

Non. Les référentiels présentés ici se complètent, mais une PME n'a pas à tous les implanter. CIS Controls v8 IG1 est généralement le plus opérationnel comme point de départ — 18 contrôles priorisés et calibrés pour une PME. NIST CSF est utile comme langage commun avec un client institutionnel ou un assureur. OWASP Top 10 concerne uniquement les organisations avec un site web. SPF/DKIM/DMARC et TLS/HTTPS sont des configurations à activer, pas des cadres à suivre.

Kaven implante-t-il les mesures techniques de sécurité numérique?

Non. Le rôle de Kaven dans les contrôles qualité numériques est de cartographier l'état actuel et d'identifier les éléments de base à mettre en place. La mise en œuvre technique des recommandations est généralement faite par un TI interne ou contractuel — c'est leur métier. Les guides de ce hub servent de référence pour structurer les conversations entre direction, RPRP et équipe TI, sans que Kaven se substitue à un expert en informatique.

Faut-il être certifié CIS ou NIST pour respecter la Loi 25?

Non. CIS Controls et NIST CSF ne sont pas certifiables au sens où ISO 27001 l'est. Ce sont des référentiels libres et gratuits que toute organisation peut adopter sans validation externe. La Loi 25 (article 10) exige des « mesures de sécurité raisonnables » sans imposer de cadre particulier. S'aligner sur CIS v8 IG1 ou NIST CSF démontre simplement une démarche structurée et reconnue, ce qui aide à justifier la diligence raisonnable en cas d'enquête de la CAI.

Mon site web doit-il avoir HTTPS et SPF/DKIM/DMARC pour la Loi 25?

Si votre site collecte le moindre renseignement personnel — formulaire de contact, espace client, infolettre, paiement — alors HTTPS est aujourd'hui le minimum jugé indéfendable de ne pas avoir. Pour SPF/DKIM/DMARC, c'est devenu une mesure de sécurité raisonnable au sens de l'article 10 de la Loi 25, particulièrement pour prévenir l'usurpation de votre domaine de courriel et les incidents de confidentialité qui pourraient en découler.

Quelle est la différence entre CIS Controls et NIST CSF?

CIS Controls est un catalogue prescriptif de 18 contrôles priorisés, avec des mesures concrètes à implémenter. C'est un référentiel opérationnel — il dit quoi faire. NIST CSF est un cadre organisationnel structuré en 5 ou 6 fonctions (Govern, Identify, Protect, Detect, Respond, Recover). C'est un référentiel de communication et de planification — il aide à parler de cybersécurité avec des parties prenantes non techniques. Les deux se complètent : CSF pour communiquer, CIS pour exécuter.

Guide web gratuit · Référentiels en sécurité numérique
Pour dirigeants, RPRP et responsables conformité de PME québécoises

Sécurité numérique — référentiels
pour structurer ce qui doit être en place

CIS Controls v8 IG1, OWASP Top 10, NIST CSF, sécurité du courriel (SPF/DKIM/DMARC) et sécurité de surface web (TLS/HTTPS). Cinq référentiels qui aident à cartographier l'état actuel d'une PME — avant que votre équipe TI ou un consultant externe ne mette les mesures en œuvre.

Planifier un appel d'orientation →

Au-delà de la Loi 25 — la mécanique de la sécurité

La Loi 25 exige des « mesures de sécurité raisonnables » (art. 10) sans détailler lesquelles. Plusieurs référentiels internationaux comblent ce vide : CIS Controls v8 IG1 liste les 18 contrôles essentiels priorisés pour PME, NIST CSF structure la cybersécurité en fonctions claires, OWASP Top 10 identifie les 10 vulnérabilités web les plus critiques, et la combinaison SPF/DKIM/DMARC + TLS/HTTPS représente le minimum technique pour une organisation qui exploite un domaine de courriel et un site web.

Ce hub présente cinq référentiels qui aident à comprendre ce qu'on attend d'une PME en sécurité numérique — pour structurer la conversation avec votre équipe TI, votre fournisseur d'hébergement, votre assureur cyber ou un consultant externe en informatique.

Préalables conseillés : ce hub complète la Formation Numérique de base et Loi 25 (cartographie des outils, accès, sauvegardes, IA, cybersécurité de base) et la Formation Site web et Loi 25 (politique de confidentialité, formulaires, cookies, outils tiers). À consulter en priorité si vous n'avez pas encore cartographié votre environnement numérique.

À démystifier d'entrée de jeu

Aucun de ces référentiels n'est une obligation légale au Québec. Ils sont libres, gratuits et volontaires. Mais ils sont universellement reconnus : un assureur cyber, un client institutionnel, un auditeur ou la Commission d'accès à l'information les acceptera comme preuve d'une démarche structurée.

S'aligner sur ces cadres n'exige aucune certification. C'est avant tout un vocabulaire commun et une liste de vérification structurée — pas une licence à acheter.

⚙️ Périmètre de Kaven et périmètre de votre équipe TI

Le rôle de Kaven et le rôle de votre équipe TI

Ce hub aide à distinguer ce qui relève de la gouvernance des renseignements personnels (le périmètre de Kaven) et ce qui relève de l'expertise technique en informatique (le périmètre de votre équipe TI ou d'un fournisseur dédié).

Ce que Kaven fait dans un contrôle qualité numérique

Cartographier les outils utilisés, les flux de renseignements personnels et l'écart par rapport aux référentiels présentés ici.
Identifier les éléments de base qui ne sont pas en place (politique de confidentialité, registre, EFVP, mesures techniques courantes manquantes).
Documenter et prioriser les correctifs en termes de risque Loi 25 et de gravité technique.
Servir d'interlocuteur entre la direction, le RPRP et l'équipe TI pour traduire les exigences en actions concrètes.

Ce que Kaven ne fait pas

Kaven n'est pas un expert en informatique. Une fois la cartographie réalisée et les éléments de base mis en place, la mise en œuvre technique des recommandations relève généralement d'un TI interne ou contractuel — configuration des serveurs, durcissement des postes, déploiement du MFA, mise en place du chiffrement, etc.

L'objectif de ce hub est exactement de donner aux dirigeants et aux RPRP de quoi tenir une conversation utile avec leur équipe TI ou un fournisseur informatique, sans avoir à apprendre la cybersécurité de zéro.

Les cinq référentiels — vue d'ensemble

Les référentiels présentés ici ne sont pas redondants. Chacun répond à une question différente. Chaque section renvoie à la fiche détaillée correspondante.

CIS Controls v8 IG1 — 18 contrôles essentiels pour PME

Ce que vous apprenez : les 18 contrôles de cybersécurité priorisés par le Center for Internet Security, avec le sous-ensemble Implementation Group 1 (IG1) calibré pour les PME (56 mesures sur 153) — inventaire des actifs, protection des données, configuration sécurisée, gestion des accès, sauvegardes, formation des employés, etc.

C'est le référentiel le plus opérationnel pour une PME qui veut une feuille de route concrète et hiérarchisée. Les contrôles sont ordonnés par impact : les premiers numéros traitent les risques les plus fréquents. Pour la Loi 25, c'est une référence reconnue pour démontrer la diligence raisonnable à la Commission d'accès à l'information.

Fiche détaillée — CIS Controls v8 IG1 →

OWASP Top 10 — les 10 vulnérabilités web critiques

Ce que vous apprenez : les 10 catégories de vulnérabilités web les plus critiques selon l'Open Worldwide Application Security Project — contrôles d'accès défaillants, injections (SQL, XSS), défaillances cryptographiques, mauvaises configurations, dépendances vulnérables. Édition 2021 actuellement, prochaine mise à jour attendue.

Concerne uniquement les PME qui exploitent un site web. Si votre site collecte le moindre renseignement personnel (formulaire, espace client, paiement), il est un point d'entrée vers les données que la Loi 25 vous oblige à protéger. Référentiel pédagogique reconnu — sert de grille implicite à la majorité des audits de sécurité applicative.

Fiche détaillée — OWASP Top 10 →

NIST Cybersecurity Framework — 5 fonctions pour structurer la cybersécurité

Ce que vous apprenez : les 5 fonctions historiques du NIST CSF (Identifier, Protéger, Détecter, Répondre, Récupérer) et la 6e ajoutée en CSF 2.0 (Gouverner). Cadre flexible, agnostique de la taille — utilisé par les TPE comme par les opérateurs d'infrastructures critiques. Publié par le National Institute of Standards and Technology (US).

Le NIST CSF n'est pas prescriptif — il fournit un vocabulaire commun pour parler cybersécurité avec un client institutionnel, un assureur ou une direction non technique. Particulièrement utile pour répondre à un questionnaire d'assurance cyber ou structurer une présentation de votre posture cyber lors d'un appel d'offres.

Fiche détaillée — NIST CSF →

Sécurité du courriel — SPF, DKIM et DMARC

Ce que vous apprenez : les trois protocoles d'authentification du courriel et leur articulation — SPF (qui peut envoyer du courriel pour mon domaine?), DKIM (cette signature est-elle valide?), DMARC (que faire si SPF ou DKIM échoue?). Configurations DNS, pas de produits à acheter.

Sans ces trois protocoles, n'importe qui peut envoyer un courriel en se faisant passer pour votre domaine — c'est la mécanique de base derrière la fraude au président et le hameçonnage de vos clients. Aujourd'hui considérée comme une mesure de sécurité raisonnable au sens de l'article 10 de la Loi 25 — l'absence est devenue difficile à justifier en cas d'incident.

Fiche détaillée — SPF, DKIM, DMARC →

Sécurité de surface web — TLS, HTTPS et en-têtes HTTP

Ce que vous apprenez : les couches de protection visibles depuis l'extérieur d'un site web — TLS (chiffrement de la connexion), HTTPS (le « S » du cadenas), en-têtes HTTP de sécurité (CSP, HSTS, X-Frame-Options, Referrer-Policy). Tests gratuits accessibles à tous (SSL Labs, Mozilla Observatory).

Sans HTTPS, tout ce qui transite entre le navigateur et votre site circule en clair sur le réseau. Les en-têtes de sécurité HTTP empêchent les attaques XSS et le clickjacking. C'est la protection de surface qu'un attaquant ou un robot d'indexation teste en premier — souvent la première chose qu'un client institutionnel vérifie aussi.

Fiche détaillée — TLS, HTTPS, en-têtes HTTP →

Une question avant d'aller plus loin ?

infos@kavenchamberland.com · 418-297-0558

Articulation entre les référentiels — comment les lire ensemble

Les cinq référentiels ne sont pas redondants. Chacun répond à une question différente.

Référentiel	Question à laquelle il répond	Public principal
CIS Controls v8 IG1	« Quelles mesures techniques mettre en place et dans quel ordre? »	Direction, équipe TI
OWASP Top 10	« Mon site web est-il vulnérable aux attaques courantes? »	Développeurs, fournisseurs web
NIST CSF	« Comment décrire et communiquer ma posture cyber? »	Direction, RPRP, assureurs, clients
SPF / DKIM / DMARC	« Mon domaine de courriel peut-il être usurpé? »	Équipe TI, fournisseur de courriel
TLS / HTTPS / en-têtes HTTP	« Mon site web est-il protégé en surface? »	Hébergeur, équipe TI

Ordre logique de mise en place pour une PME québécoise

SPF / DKIM / DMARC + TLS / HTTPS — le minimum technique sans lequel rien ne tient. Configurable rapidement.
CIS Controls v8 IG1 — feuille de route opérationnelle pour les 18 contrôles de fond.
OWASP Top 10 — uniquement si vous avez un site web actif qui collecte des données.
NIST CSF — quand le besoin de communiquer la posture cyber émerge (assureur, client institutionnel, comité).

Comment ces référentiels structurent les contrôles qualité de Kaven

Les contrôles qualité numériques (CQ Numérique, CQ Site web Loi 25) utilisent ces référentiels comme cadres de comparaison, croisés avec ISO 27001/27701 et la Loi 25. Le rôle de Kaven : repérer les écarts, les documenter, prioriser les correctifs en termes de risque pour la conformité — pas implémenter les mesures techniques.

Posture

Ces référentiels servent à cartographier ce qui est en place et ce qui manque, pas à délivrer une certification.
L'implémentation technique des recommandations relève d'une équipe TI interne ou contractuelle, ou d'un fournisseur informatique dédié.
Le rôle de Kaven dans une PME = traduire les exigences Loi 25 et les référentiels en gestes simples et défendables, et tenir un registre des correctifs.

Limite explicite : Kaven n'est pas un expert en informatique. Pour la mise en œuvre technique (durcissement des serveurs, configuration des pare-feu, déploiement du MFA, gestion des certificats, etc.), il faut s'adresser à un TI interne ou contractuel. Les guides présentés ici accompagnent la conversation entre direction, RPRP et équipe TI — ils ne remplacent pas l'expertise technique.

À retenir

Cinq référentiels complémentaires, pas redondants — CIS Controls (quoi faire), OWASP (vulnérabilités web), NIST CSF (langage commun), SPF/DKIM/DMARC (courriel), TLS/HTTPS (surface web).
Aucun n'est une obligation légale — mais tous sont reconnus comme preuves d'une démarche structurée pour la Loi 25, les assureurs cyber et les clients institutionnels.
SPF/DKIM/DMARC + TLS/HTTPS sont aujourd'hui le minimum jugé indéfendable de ne pas avoir pour une PME qui exploite un domaine et un site web.
CIS Controls v8 IG1 est le référentiel le plus opérationnel pour une PME — 18 contrôles priorisés et calibrés.
Kaven cartographie et documente — l'équipe TI implémente. Distinguer les deux périmètres est la clé d'une mise en place efficace.

Vous voulez situer votre organisation par rapport à ces référentiels?

Un appel d'orientation de 30 minutes, gratuit et sans engagement. On regarde ensemble votre contexte et on identifie où votre équipe TI devrait être mobilisée en priorité.

Planifier l'appel d'orientation →

Sécurité numérique — référentielspour structurer ce qui doit être en place