Formation Numérique · Module 6 · Exigences légales et standards
Loi 25 art. 10 + ISO 27001 + CIS v8 IG1 + OWASP + CCCS
Cybersécurité de base — Exigences Loi 25 et standards
L'article 10 exige des mesures raisonnables. ISO 27001 (13 contrôles cybersec), CIS Controls v8 IG1 (15 contrôles), OWASP Top 10 et le CCCS (13 mesures PME) en fournissent le contenu pratique attendu.
Contexte légal et normatif
L'article 10 de la Loi 25 est le pivot des obligations cybersec. Sa formulation ouverte (« mesures raisonnables compte tenu de... ») renvoie aux standards techniques. La CAI a précisé en 2026 ses attentes. ISO 27001:2022 (norme internationale), CIS Controls v8 IG1 (priorisation PME), OWASP Top 10:2021 (sécurité applicative) et le CCCS canadien (13 mesures PME) constituent ensemble le cadre pratique de référence.
Ce que vous devez retenir
- Loi 25 art. 10 — mesures raisonnables (CAI 2026 précise : identifiants, chiffrement, pare-feu, mises à jour, USB, destruction)
- ISO 27001:2022 — 13 contrôles cybersec applicables
- CIS Controls v8 IG1 — 15 contrôles PME (Account, Access, Vulnerability, Email/Web, Malware, Data Recovery, Network, Awareness)
- CCCS ITSAP.10.035 — 13 mesures essentielles pour PME canadiennes
- OWASP Top 10:2021 — pour le code custom
Ce que ça implique pour votre organisation
- Sans SPF/DKIM/DMARC, le respect de l'article 10 est difficile à démontrer.
- Sans formation anti-phishing, le maillon humain reste le point d'entrée principal.
- Sans mises à jour automatiques, vos vulnérabilités s'accumulent — non-conformité ISO 27001 A.8.8.
Ce que ça signifie concrètement pour vous
- Les PME représentent 77 % des cyberattaques traitées par les autorités — votre taille n'est pas une protection.
- Coût moyen d'une compromission de boîte mail PME : ~45 000 €. Cyberattaque complète : ~466 000 €.
- Un audit B2B vérifie SPF/DKIM/DMARC en 30 secondes via MXToolbox — l'absence est immédiatement visible.
Cadre juridique et normatif
Loi 25 — Article 10
« Toute personne qui exploite une entreprise et qui détient des renseignements personnels doit prendre les mesures de sécurité propres à assurer la protection de ces renseignements et à en empêcher la communication non autorisée, compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »
La CAI précise dans ses lignes directrices 2026 : identifiants robustes, mesures de chiffrement (transit + repos), pare-feu, dépersonnalisation, registres d'accès et surveillance d'irrégularités, mises à jour systématiques, blocage des ports USB, gestion documentaire, destruction sécurisée.
ISO 27001:2022 — Contrôles cybersec applicables
- A.5.7 Threat intelligence
- A.5.23 Information security for use of cloud services
- A.5.24 Information security incident management planning
- A.5.31 Legal, statutory, regulatory and contractual requirements
- A.5.36 Compliance with policies, rules and standards
- A.6.3 Information security awareness, education and training
- A.7.2 Physical entry
- A.8.7 Protection against malware
- A.8.8 Management of technical vulnerabilities
- A.8.16 Monitoring activities
- A.8.20 Networks security
- A.8.21 Security of network services
- A.8.23 Web filtering
CIS Controls v8 IG1 — Couverture PME (15 contrôles, 56 sauvegardes)
- #1 Inventory of Enterprise Assets · #2 Inventory of Software Assets · #3 Data Protection
- #4 Secure Configuration · #5 Account Management · #6 Access Control
- #7 Continuous Vulnerability Management (mises à jour) · #8 Audit Log Management
- #9 Email and Web Browser Protections · #10 Malware Defenses
- #11 Data Recovery · #12 Network Infrastructure Management
- #14 Security Awareness and Skills Training · #17 Incident Response Management
OWASP Top 10:2021 — Pour code custom
A01 Broken Access Control · A02 Cryptographic Failures · A03 Injection · A04 Insecure Design · A05 Security Misconfiguration · A06 Vulnerable and Outdated Components · A07 Identification and Authentication Failures · A08 Software and Data Integrity Failures · A09 Logging and Monitoring Failures · A10 Server-Side Request Forgery.
CCCS — ITSAP.10.035 — 13 mesures pour PME canadiennes
Plan d'incident · Mises à jour · MFA · Sauvegardes chiffrées · Logiciels de sécurité · Formation employés · Services infonuagiques · Supports amovibles · Configuration sécurisée · Mobiles · Contrôle d'accès · Sécurisation web · Défense réseau.
Tests publics typiques (gratuits)
- SPF/DKIM/DMARC — MXToolbox, dmarcian.com
- Headers HTTP — Mozilla Observatory, securityheaders.com, hardenize.com
- TLS / Certificats — SSL Labs (Qualys)
- Sous-domaines exposés — crt.sh (Certificate Transparency)
- Fuites connues — HaveIBeenPwned API domaine
- Ports exposés — Shodan
Obligations concrètes
- Configurer SPF, DKIM, DMARC sur le domaine (DMARC progression : none → quarantine → reject)
- Headers HTTP de sécurité sur le site (HSTS, CSP, X-Frame, X-Content-Type, Referrer)
- MFA sur tous services critiques + gestionnaire de mots de passe
- Mises à jour automatiques (logiciels, firmware, plugins)
- Sauvegardes chiffrées selon règle 3-2-1 (voir module 4)
- Anti-malware/EDR + filtrage DNS + pare-feu
- Formation anti-phishing trimestrielle + simulations
- Plan d'intervention en cas d'incident documenté (voir module 7)
Erreur stratégique fréquente
Beaucoup d'organisations considèrent que l'antivirus suffit, et négligent l'authentification email (SPF/DKIM/DMARC), les headers HTTP et la formation anti-phishing.
- L'antivirus est la mesure la plus connue mais la moins efficace seule
- L'usurpation d'email passe sous le radar de l'antivirus
- Le phishing exploite le maillon humain — non couvert par l'antivirus
- L'écart entre la perception (sécurisé) et la réalité (exposé) devient le vrai risque
L'antivirus est une mesure, pas une stratégie.
Deux réalités possibles
✗ Sans socle cybersec
- SPF/DKIM/DMARC absents
- Headers HTTP non configurés
- Mises à jour manuelles, irrégulières
- Pas de formation anti-phishing
- Antivirus seul
✓ Avec socle cybersec
- SPF/DKIM/DMARC + DMARC ≥ quarantine
- Headers HTTP (Observatory ≥ B)
- Mises à jour automatiques
- Formation trimestrielle + simulations
- 13 mesures CCCS appliquées
Risques en cas de non-conformité
- SAP / Amende pénale — articles 90.12 / 91 (jusqu'à 25 M$ ou 4 % CA mondial)
- Coût d'incident — compromission email ~45 000 €, cyberattaque complète ~466 000 €
- Audit B2B — donneurs d'ouvrage exigent désormais preuves SPF/DKIM/DMARC, MFA, formation
- Impact réputationnel — un incident révélant l'absence de socle est plus dommageable qu'un incident sur un socle solide
Concrètement pour une PME :
- SPF/DKIM/DMARC = quelques heures, protection durable
- Headers HTTP = 1-2 heures avec un développeur
- Formation anti-phishing = ~50 $/employé/an, ROI massif
Le coût vient de l'absence de socle — pas du socle lui-même.
Lien avec la gouvernance PRP et le contrôle qualité
Aucun module Gouvernance ne couvre la cybersec technique. Ce module est la préparation directe au Contrôle qualité numérique qui inclut une Section B « cybersécurité de surface publique » utilisant exactement les mêmes outils (MXToolbox, Mozilla Observatory, Shodan). Maîtriser ce module, c'est savoir ce que le contrôle qualité va vérifier.
🛡️ Diagnostic rapide
- SPF/DKIM/DMARC configurés et testés sur MXToolbox?
- Headers HTTP présents (Mozilla Observatory ≥ B)?
- Formation anti-phishing récente avec simulation?
Concrètement
La cybersec de base est universellement applicable et entièrement réalisable pour une PME. Sans elle, l'article 10 et les standards ISO/CIS sont indéfendables. C'est aussi le sujet le plus visible de l'extérieur — le test public est immédiat.
En résumé
- Loi 25 art. 10 + CAI 2026 — chiffrement, identifiants, mises à jour, USB, destruction
- ISO 27001 — 13 contrôles cybersec applicables
- CIS Controls v8 IG1 — 15 contrôles PME, 56 sauvegardes
- OWASP Top 10:2021 — pour code custom
- CCCS ITSAP.10.035 — 13 mesures pour PME canadiennes
Pour la version pratique
Voir le guide pratique →Évaluer votre socle cybersec
← Retour au plan de la formation Numérique
Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.