Coffre fort de vos connaissances. Conseils pratiques, actualités et analyses en sécurité de l'information.
24 juin 2026
Voici un scénario que j'ai vu se reproduire plusieurs fois. Un incident de sécurité survient dans une organisation. L'équipe interne (ou un consultant externe) commence à fouiller les systèmes.
21 juin 2026
Si vous avez reçu ou conduit un audit en visioconférence, cette norme vous concerne directement. ISO/IEC TS 17012:2024 est la première spécification technique internationale consacrée exclusivement aux méthodes d'audit à distance.
21 juin 2026
Épisode de balado sur la norme ISO/IEC TS 17012:2024, le guide officiel pour les audits à distance.
10 juin 2026
Il y a quatre ans, j'écrivais un article sur comment faire confiance à un rapport d'auditeur. En 2026, le problème s'est industrialisé.
5 juin 2026
Je continue dans la même logique que mon article sur les contrôles ISO 27001 non applicables aux organisations sans développement logiciel. Aujourd'hui je m'attaque à la version IA.
27 mai 2026
ISO 19011 a été publiée en mai 2026. La structure reste la même : principes d'audit, programme d'audit, réalisation, compétence des auditeurs. Ce qui change, c'est le contenu à l'intérieur de ces chapitres.
27 mai 2026
J'ai décidé de faire ce projet pour me remettre en mode programmeur. Je vous présente l'outil: loi25.certi360.com
25 mai 2026
On reçoit tous des courriels avec des liens. Parfois on est certains que c'est valide basé sur la confiance d'autre fois on doute. Voici comment vérifier un lien avant de cliquer.
15 avril 2026
Un client m'a récemment demandé si sa certification ISO 27001 suffisait pour répondre aux exigences de la Loi 25. Ma réponse courte : non. ISO 27001 protège l'information. ISO/IEC 27701 protège les renseignements personnels.
6 avril 2026
ISO 19011 encadre la façon d'auditer et la façon de documenter ce qui a été audité. C'est elle qui dicte comment un audit se planifie, se conduit et se conclut dans un rapport.
7 février 2026
Aujourd'hui je vous présente les améliorations à l'outil loi25.certi360.com. Chaque test vise à vérifier un aspect du comportement du site vis-à-vis des cookies et du consentement.
29 décembre 2025
Dans le contexte de la Loi 25 sur la protection des renseignements personnels au Québec, la sécurité des communications entre un site web et ses visiteurs constitue une mesure de protection de base.
15 septembre 2025
Après mes derniers audits ISO 27001, je vois la même erreur. Des entreprises qui déclarent applicables des contrôles qui n'ont aucun rapport avec leur réalité.
10 septembre 2025
Le Top 10 est un document de sensibilisation qui explique les principaux risques applicatifs. L'ASVS est un cadre de travail exhaustif d'exigences pour bâtir, tester et valider des applications de façon systématique.
5 septembre 2025
Même un site web simple repose souvent sur des plateformes complexes, comme un CMS ou avec des API. La sécurité ne doit plus être une arrière-pensée. L'OWASP ASVS, Application Security Verification Standard, est un ensemble d'exigences pour concevoir, développer, tester et confir
3 septembre 2025
La norme ISO 9001 structure la manière dont une organisation fonctionne, documente ses processus et démontre sa conformité. Elle n'est pas juste pour les manufacturiers. Habituellement, elle est demandée par un client qui veut s'assurer de la stabilité dans la livraison du produi
29 août 2025
ISO a annoncé le 25 août 2025 la mise à jour de la norme ISO/IEC 27018. ISO27018 est un ajout à la norme ISO27001 pour protéger les renseignements personnels traités sur des services infonuagiques. La version 2025 s'aligne sur ISO27002:2022 avec de nouveaux contrôles et une meill
3 août 2025
Pour ceux qui ont mis en place ISO27001:2022 doivent créer un fichier déclaration d'applicabilité basée sur les contrôles de l'annexe A. Voici une analyse contrôle par contrôle versus les exigences de la Loi 25.
25 juillet 2025
Quand on parle de continuité d'affaires en cybersécurité, la majorité des PME pensent immédiatement à des sauvegardes. Pourtant, ce n'est que la pointe de l'iceberg. La norme ISO/IEC 27031 existe depuis plus de 10 ans pour encadrer la continuité des TIC. En mai 2025, cette norme
23 juillet 2025
Une analyse de cause racine (Root Cause Analysis, RCA) est une démarche structurée pour identifier les causes fondamentales d'un incident ou d'une non-conformité. Sans une bonne compréhension des causes, l'organisation risque de ne corriger que des symptômes, laissant les problèm
3 juillet 2025
La norme ISO 22301:2019 est la référence internationale pour mettre en place un système de gestion de la continuité. Elle guide les organisations dans la planification et l'amélioration continue de processus destinés à prévenir et à gérer les incidents perturbateurs.
25 juin 2025
Mon ancienne entreprise, Gardien Virtuel, faisait ce type de test. À chaque projet, il y a des histoires extraordinaires qui nous font comprendre à quel point les employés peuvent être vulnérables! Je partage aujourd'hui pour ceux qui voudraient faire ce travail ou embaucher quel
21 juin 2025
Dans les médias, à chaque fois qu'un ordinateur est impliqué, on parle systématiquement d'une « cyberattaque ». Travaillant dans ce domaine, le choix des mots vient me chercher. Je prends quelques minutes pour expliquer la différence et leur origine.
26 mai 2025
Chaque année, des millions de dollars de nos taxes sont envoyés vers des multinationales américaines pour des licences logicielles. Ce qui ne crée pas d'emploi ici, ni d'expertise. Pourquoi continuer à financer notre dépendance technologique avec l'argent public?
23 mai 2025
Les normes ISO/IEC 27560 et ISO/IEC 29184 traitent toutes deux du consentement lié à la protection des données personnelles, mais appartiennent à deux familles différentes. ISO 29184 définit comment informer et demander le consentement, tandis qu'ISO 27560 définit comment enregis
18 avril 2025
Le processus de certification ISO 27001 comprend deux étapes clés : l'audit de stage 1 et de stage 2. L'audit de stage 1 est un audit documentaire préliminaire. L'audit de stage 2 est une évaluation approfondie de la mise en œuvre et de l'efficacité du SGSI.
9 avril 2025
Le début par L’Organisation internationale de normalisation (ISO) Tout commence avec l’ISO (International Organization for Standardization), une organisation non gouvernementale internationale créée en 1947.
4 avril 2025
La norme ISO/IEC 27001:2022 décrit les exigences pour la mise en place d'un Système de Gestion de la Sécurité de l'information (SGSI). Une des étapes cruciales est la création d'une définition précise et claire de la portée du SGSI.
27 mars 2025
Lorsqu'on pense à la sécurité de l'information, on pense souvent au chiffrement, aux coupe-feu ou à la gestion des accès. Pourtant, un des pièges des petites entreprises est d'ignorer les obligations légales, réglementaires et contractuelles.
18 mars 2025
Ce modèle de politique de confidentialité constitue une base sur laquelle je m'appuie pour élaborer les politiques de confidentialité des sites web de mes clients.
11 mars 2025
La mesure de sécurité de l'annexe A8.29 de la norme ISO 27001:2022 est intitulée "Tests de sécurité en développement et acceptation".
6 mars 2025
Dans le cadre de mon travail pour la mise en œuvre de la norme ISO27001:2022, j'ai eu à traiter des questions relatives au développement d'applications et aux tests de celles-ci, principalement pour la mesure de sécurité de l'annexe 8.28.
17 février 2025
L'importance de la sécurité de l'informatique et la croissance de la valeur des données dans le monde des affaires ont conduit à la création de rôles particulier pour gérer et protéger les actifs informationnels de l'organisation.
5 février 2025
La gestion des journaux d'événements (ou logs) est un aspect essentiel de la protection des renseignements personnels, notamment dans le cadre de la Loi 25 du Québec.
1 février 2025
Dernièrement, je réalise plusieurs mandats qui, à mon grand bonheur, incluent la gestion des renseignements personnels, surtout depuis l'adoption de la loi 25.
27 janvier 2025
La certification PCI-DSS est un ensemble de normes de sécurité conçu pour garantir que toutes les entreprises qui traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé.
22 janvier 2025
C'est quoi un journal d'évènements? Un journal d'évènements, également connu sous le nom de journal d'audit ou de log, est un enregistrement qui documente les actions effectuées par les systèmes informatiques, les applications, et les utilisateurs.
10 janvier 2025
Imaginez une entreprise de commerce électronique ayant un chiffre d'affaires annuel de 20 millions de dollars voit ses opérations interrompues pendant 72 heures suite à un courriel d'hameçonnage.
4 janvier 2025
Même les programmes de sécurité les mieux conçus rencontrent des écarts. Que faire dans ces situations ?
29 décembre 2024
Comme dans d'autres domaines, pour le monde de la sécurité de l'information, rester sur place, ça revient à reculer!
21 décembre 2024
Cette année, j'ai eu la chance de lire pas mal de livres qui m'ont marqué. Je vous présente mon top 10 des lectures de 2024.
20 décembre 2024
La clause 9.3 de la norme ISO 27001:2022 explique comment réaliser la revue de direction.
9 décembre 2024
La norme ISO 27001 est une norme internationale qui établit les exigences pour un système de gestion de la sécurité de l'information (SGSI).
6 décembre 2024
La clause 9.2 de la norme ISO 27001:2022 demande aux organisations de faire des audits internes réguliers de leur système de gestion de la sécurité de l'information (SGSI).
5 décembre 2024
La clause 9.1 de la norme ISO27001:2022 exige que les organisations effectue la surveillance concrètement de leur système de gestion de la sécurité de l'information (SGSI).
16 juillet 2024
Nous sommes un vendredi soir, vous "matchez" sur un site de rencontre et votre prétendant aimerait vous rencontrer.
3 mai 2024
Comment savoir que l'équipe maîtrise bien le plan de continuité des affaires ou celui de gestion des incidents?
26 mars 2024
Ah non! Quelle mauvaise nouvelle, se rendre compte que son téléphone a été volé.
20 mars 2024
La clause 8.3 de la norme ISO 27001:2022 est cruciale parce qu'elle aborde la manière dont les organisations doivent réagir aux risques.
12 mars 2024
Le rôle d'un Chief Information Security Officer (CISO) est un rôle très important pour toute organisation.
1 mars 2024
La clause 8.2 est l'une des clauses les plus importantes de la norme, car elle constitue le fondement de tous les autres contrôles de sécurité de l'information.
26 février 2024
La clause 8.1 de la norme ISO 27001 souligne l'importance de la planification et du contrôle rigoureux des opérations de sécurité.
15 février 2024
Nous savons tous qu'en rédigeant notre testament, nous devons dresser une liste de nos comptes bancaires et actifs.
9 février 2024
Je tombe sur un rapport d'enquête sur le sujet de la gestion des risques de la chaîne d'approvisionnement de Gartner 2023.
2 février 2024
Un artéfact est un résultat d'élément créé en sortie d'un processus ou d'un projet.
29 janvier 2024
Aujourd'hui nous allons explorer la différence entre les données dépersonnalisées et les données anonymisées.
22 janvier 2024
En matière de sécurité de l'information, chaque détail compte, y compris la manière dont les informations sont créées, conservée, maintenue et détruites.
30 décembre 2023
Voici le dernier article de ma série sur le harcèlement. Ce comportement est très inquiétant et déstabilisant, surtout avec l'usage d'outils d'intelligence artificielle.
24 décembre 2023
Nous voici à ce moment de l'année où on fait une pause et on regarde en arrière voir tout le travail accompli, et dans mon cas, je regarde aussi tous les livres que j'ai lus cette année.
18 décembre 2023
La question de la sécurité et de la vie privée numérique est primordiale. Avec l'avancement des technologies, il est essentiel de continuer à se préoccuper de la protection de nos informations personnelles.
14 décembre 2023
Aujourd'hui, je vous présente le troisième article d'une série sur le harcèlement. Dans cet article, je cherche à comprendre comment prévenir le harcèlement.
12 décembre 2023
Pour faire suite à l'article précédent où j'explore les lois touchant le harcèlement criminel, permettez-moi de vous présenter quelques exemples concrets.
3 décembre 2023
Dans la nuit du vendredi 25 au samedi 26 août 2023, Ianick Lamontagne a commis un acte irréparable : le meurtre de ses enfants, suivi de son propre suicide.
25 août 2023
La sécurité de l'information est un sujet crucial à notre époque numérique. Pourtant, bien souvent, on s'en rend compte de son importance seulement après avoir été victimes d'une cyberattaque ou d'un incident de sécurité.
14 août 2023
La clause 7.2 vise à garantir que les personnes qui ont un impact sur la sécurité de l'information de l'organisation possèdent les compétences appropriées et nécessaires pour accomplir correctement leurs responsabilités.
25 juillet 2023
L'organisation doit déterminer et fournir les ressources nécessaires pour établir, mettre en œuvre, maintenir et améliorer continuellement le système de gestion de la sécurité de l'information (SGSI).
21 juillet 2023
La planification des changements dans un système de gestion de la sécurité de l'information (SGSI) est importante pour plusieurs raisons, premièrement, elle aide à minimiser l'impact sur les opérations.
17 juillet 2023
Se fixer un objectif est la meilleure manière de l’atteindre, sinon comment savoir que nous avons réussi ?
8 juillet 2023
Voilà maintenant presque un an que la norme ISO 27001:2013 a été remplacée par la nouvelle version nommée ISO 27001:2022. Voici votre plan de transition !
19 juin 2023
La gestion des risques à la sécurité de l’information c’est l’ensemble des actions prises par l’organisation pour comprendre et réduire les effets du risque.
28 février 2023
Les rôles, les responsabilités et le partage du pouvoir au sein d’une organisation sont de la plus haute importance lorsqu’il s’agit de sécurité de l’information.
17 février 2023
La politique est l’équivalent d’une mission d’entreprise, puisque sans mission il n’y a pas de projet d’entreprise.
12 février 2023
La direction de l’organisation est essentielle pour garantir que les exigences de la norme ISO 27001 sont respectées et que le SGSI est efficace.
6 février 2023
La clause 4.4 de la norme ISO27001 est l’une des plus petites en taille, mais celle qui, d’après moi, a le plus d’impact au quotidien pour l’organisation.
3 février 2023
La portée d’un SGSI (Système de gestion de la sécurité de l’information) est cruciale, elle définit la direction et l’objectif que l’équipe de sécurité doit suivre.
26 janvier 2023
On le répète souvent, la sécurité de l’information c’est l’affaire de tous. Nous devons identifier et comprendre les besoins de ce monde.
25 janvier 2023
Pour commencer, sommes-nous capables de définir qui est l'organisation en termes clairs?
23 janvier 2023
Lors des implantations de système de gestion nous devons comprendre la différence entre plusieurs concepts.
19 janvier 2023
Devenir auditeur externe ISO 27001 nécessite une combinaison de formation, d'expérience professionnelle et de certification.
28 décembre 2022
Vous le découvrez peut-être tranquillement depuis quelques années à force de me lire vous parler des livres.
24 octobre 2022
La question du coût d'un projet de certification ISO27001 revient fréquemment.
25 juin 2022
L'informatique en nuage devient de plus en plus populaire, les entreprises cherchent des moyens d'améliorer leur efficacité.
15 mai 2022
Dans un monde de conformité aux lois, règlements et normes, il peut être difficile de savoir s'il faut ou non faire confiance.
13 avril 2022
Lorsque j'ai reçu la notification de publication de la norme, le 31 mars 2022, j'ai cru à un poisson d'avril.
25 mars 2022
Êtes-vous un fournisseur de service infonuagique? Vos clients traitent des renseignements personnels?
10 mars 2022
Voilà quelques jours j'ai posé une question sur la plateforme LinkedIn, à savoir quel serait le meilleur choix pour une application de voûte de mot de passe.
7 mars 2022
Il existe deux rôles distincts en matière de responsabilités des entreprises en matière de gestion des renseignements personnels.
1 mars 2022
Un plan de communication est un document formel qui décrit comment les informations seront partagées entre l'organisation et ses parties prenantes.
22 février 2022
Ces derniers temps, je réalise beaucoup d'audits de conformité principalement pour les normes PCIDSS et ISO.
17 février 2022
Voilà, c'est le 15 février 2022 qu'une révision de la norme ISO/IEC 27002 est publiée et disponible pour tous.
11 février 2022
Durant cette période faste d'échange et de discussion concernant notre santé mentale.
8 février 2022
Ce qu'il faut savoir pour gérer un programme minimal de sécurité de l'information dans un contexte corporatif.
2 février 2022
Vos clients vous paient avec leurs cartes de crédit? Alors la norme PCI DSS est pour vous!
17 janvier 2022
Nous sommes dans la première année sur trois années de mise en oeuvre de la loi.
10 janvier 2022
Votre entreprise fournit des services à ses clients? et vos clients vous demandent un rapport SOC 2 type 2?
7 janvier 2022
ISO/IEC 27001 définit formellement un système de gestion de sécurité de l'information (SGSI).
3 janvier 2022
Lorsqu'un incident de cybersécurité se produit, il est important d'en consigner tous les détails.
28 décembre 2021
Nous revois-ci en période de confinement due à la Covid-19.
24 décembre 2021
Nous revoici en cette fin année, le confinement et les mesures sanitaires ne font qu'augmenter mon amour de la lecture.
21 décembre 2021
Dans le cadre de mon travail, je rencontre toute sorte d'entreprises, mais de trop nombreuses ne disposent d'aucune procédure ou méthode de gestion des incidents.
