Module 2 · Guide pratique · Maintenance numérique et amélioration continue
Indicateurs, journalisation, audit interne, revue de direction

Méthodes de suivi pour PME
Indicateurs, journalisation, audit interne, revue de direction

Suivre son numérique ne demande pas une plateforme sophistiquée. Quelques indicateurs simples, une journalisation utile, un audit interne léger annuel et une revue de direction périodique suffisent à maintenir une PME québécoise alignée avec ses obligations et ses risques. Aligné sur les chapitres 9.1 à 9.3 des normes ISO de systèmes de gestion (ISO — Organisation internationale de normalisation).

Planifier la formation ← Retour à la formation →

Le piège classique d'une PME qui veut « faire du suivi » est la sur-mesure : trop d'indicateurs, trop de journaux à lire, trop de réunions formelles, et au final personne n'a le temps. Le secret est inverse : peu d'indicateurs, choisis avec intention, journaux ciblés sur les événements vraiment utiles, audit interne mené une fois par année par une personne identifiée, revue de direction courte et structurée. L'objectif n'est pas la certification — c'est la capacité de répondre, à soi-même comme à la CAI (Commission d'accès à l'information du Québec), à la question : comment savez-vous que votre système fonctionne encore?

Choisir quelques indicateurs simples

Un indicateur utile pour une PME a trois caractéristiques : il se mesure sans outil sophistiqué, il pointe vers un vrai risque, il permet de décider quelque chose. Quelques exemples classiques pour une PME québécoise :

  • Nombre d'incidents de sécurité par trimestre — tout ce qui a été détecté, même mineur. Si le chiffre baisse ou augmente fortement, on cherche pourquoi.
  • Taux de complétion des sauvegardes testées — pas seulement effectuées. Une sauvegarde non testée vaut zéro le jour de l'incident. Objectif réaliste : au moins une restauration test par trimestre.
  • Nombre de fournisseurs avec DPA — entente de traitement de données — à jour — par rapport au total des fournisseurs qui traitent des renseignements personnels. Référence Loi 25 article 21.
  • Délai moyen de retrait des accès lors d'un départ — entre la date de fin d'emploi et la désactivation effective de tous les comptes. Cible : 24 heures.
  • Employés ayant suivi une formation continue dans l'année — sur les sujets numérique et protection des renseignements personnels. Au moins un rappel annuel.
  • Pourcentage de postes à jour — système d'exploitation, navigateur, logiciels métiers. Indicateur simple à obtenir mais critique pour la sécurité.

Trois à cinq indicateurs suffisent. Plus, et personne ne les regarde. Un bon indicateur vaut mieux que dix mauvais. La liste se révise une fois par année.

Journaliser ce qui sert vraiment

La journalisation utile en PME couvre quelques familles d'événements — pas tout, pas rien :

  • Accès aux données sensibles — qui consulte, modifie ou exporte les renseignements personnels. Suffisant pour reconstituer un fil en cas d'incident.
  • Changements d'administration — création, modification ou suppression de comptes administrateurs, modifications de permissions élevées, ajout ou retrait d'un fournisseur sensible.
  • Incidents de sécurité — tentatives d'intrusion détectées, perte ou vol d'équipement, hameçonnage signalé, anomalie comportementale.
  • Authentifications anormales — connexions depuis un pays inhabituel, échecs répétés, contournements de l'authentification multifacteur.

Durée de conservation : un à deux ans est généralement suffisant pour une PME, sauf obligation sectorielle plus longue. Au-delà, c'est du stockage qui ne sert plus.

Qui consulte ces journaux? Le RPRP (responsable de la protection des renseignements personnels) lors des revues périodiques, le dirigeant en cas d'incident, un consultant externe lors d'un audit interne ou d'une enquête sur incident. La journalisation n'est pas faite pour être lue tous les jours — elle est faite pour pouvoir l'être quand c'est nécessaire.

L'audit interne en PME — pas une certification

L'audit interne est un mécanisme important dans les normes ISO de systèmes de gestion, mais pour une PME québécoise il ne s'agit pas de viser une certification. Il s'agit de prendre une heure ou deux une fois par année pour vérifier honnêtement que ce qu'on dit faire correspond à ce qu'on fait réellement.

Qui le fait? Trois options selon la taille de la PME :

  • Le RPRP lui-même — si la PME en a un. Souple, économique. Le risque est l'autocritique limitée.
  • Une personne interne hors du périmètre audité — par exemple, le gestionnaire des opérations audite les pratiques de l'équipe administrative et vice versa. Bon compromis.
  • Un consultant externe léger — une journée par année pour un regard extérieur. Plus coûteux mais plus probant.

Méthode simple en trois temps :

  • Revue documentaire — registre Loi 25, fiches employés, politiques en place, indicateurs. Est-ce qu'ils existent? Sont-ils à jour?
  • Entrevues courtes — quelques employés représentatifs. Question type : « en cas de demande d'accès d'un client, que faites-vous concrètement? » Réponse alignée avec la politique?
  • Observations sur le terrain — un échantillon de postes de travail vérifiés (verrouillage, mises à jour, accès en place). Cohérent avec le durcissement décrit en Formation 3?

Le résultat est un court rapport (deux à quatre pages au format Lettre, pas un classeur) qui sert d'intrant à la revue de direction.

La revue de direction — version PME

La revue de direction est le moment où le dirigeant (ou la direction collégiale) prend du recul sur le système numérique de la PME. Pour une PME québécoise, une à deux fois par année suffit. Le format reste léger :

  • Durée — 60 à 90 minutes, pas plus.
  • Présents — dirigeant(s), RPRP, gestionnaire des opérations ou des TI s'il y en a, au besoin un consultant externe.
  • Ordre du jour standard — état des indicateurs, incidents survenus depuis la dernière revue, résultats de l'audit interne, changements survenus dans l'environnement (sociétaux, technologiques, réglementaires), décisions à prendre, plan pour le prochain cycle.
  • Documentation — un compte-rendu d'une à deux pages. Décisions prises, qui est responsable, échéance.

Ce compte-rendu devient un intrant essentiel : il documente la diligence raisonnable qu'une PME doit pouvoir démontrer en cas de question de la CAI ou d'un client important. Il n'a pas à être public, mais il doit exister.

Alignement implicite avec les normes ISO

Sans en faire un objectif de certification, la démarche présentée ici est cohérente avec les chapitres 9 (évaluation des performances) et 10 (amélioration continue) des normes ISO de systèmes de gestion :

  • ISO 9.1 — surveillance, mesure, analyse et évaluation : couvert par les indicateurs et la journalisation.
  • ISO 9.2 — audit interne : couvert par la méthode légère en trois temps.
  • ISO 9.3 — revue de direction : couverte par le format PME proposé.

Une PME qui suit cette démarche, sans viser certification, peut basculer plus tard vers une démarche formelle (par exemple ISO/IEC 27001 sécurité de l'information ou ISO/IEC 27701 protection de la vie privée) sans avoir à tout refaire — les bases sont déjà alignées.

Pièges à éviter

  • Trop d'indicateurs au départ — choisir trois à cinq, les vivre pendant un an, ajuster. La sur-collecte tue la régularité.
  • Journaliser pour journaliser — stocker des téraoctets de logs que personne ne lira jamais ne protège de rien. Mieux vaut peu et bien ciblé.
  • Confondre audit interne et audit de certification — l'audit interne est votre outil. L'audit de certification est un examen externe formel mené par un organisme accrédité.
  • Revue de direction sans décisions — une réunion sans décision documentée n'a pas servi. Le compte-rendu d'une à deux pages est la preuve qu'elle a eu lieu.
  • Tout déléguer au RPRP — le dirigeant doit être présent à la revue de direction. C'est sa responsabilité ultime.

En résumé

Suivre son numérique en PME repose sur quatre mécaniques simples : trois à cinq indicateurs bien choisis, une journalisation ciblée sur les événements utiles, un audit interne léger une fois par année, une revue de direction d'une à deux fois par année avec décisions documentées. Cette démarche s'aligne avec les chapitres 9 des normes ISO de systèmes de gestion sans viser certification. Elle nourrit directement la phase suivante du PDCA — Act, l'ajustement — qui est l'objet du module 3.

Passer à la suite de la formation

Le module 2 a installé les méthodes de suivi. Le module 3 met la boucle PDCA en pratique pour une PME québécoise — rythme trimestriel léger, annuel structuré, exemples concrets d'améliorations identifiées par la démarche.

← Retour à la formation Planifier la formation