Réponse rapide
Services conseils Factero a obtenu la certification CAN/DGSI 104:2021 Rév. 1:2024 — Niveau 2 en 30 jours de bout en bout, de la décision initiale à l’émission du certificat. Cet article documente le parcours réel : ce qui a fonctionné, ce qui a été surprenant, et — surtout — pourquoi nous considérons ce délai comme exceptionnel et non reproductible pour la majorité des organisations.
En une phrase : notre démarche a été rapide parce que nous étions une firme de services-conseils en gouvernance TI et cybersécurité avec une stack technique mature pré-existante, une seule ressource entièrement dédiée pendant 5 jours-personnes, et aucune dette technique à résorber. Pour une organisation qui démarre sa démarche cybersécurité, planifier 3 à 6 mois est plus réaliste.
Précision éditoriale. Cet article est un retour d’expérience authentique. Les chiffres présentés (durée, coût, effort) reflètent notre parcours réel; ils ne constituent pas une recommandation universelle. La majorité des organisations qui visent CAN/DGSI 104 ont une trajectoire substantiellement différente — et c’est précisément ce que nous voulons éclairer.
Sommaire
- 1. Le déclencheur : pourquoi nous nous sommes certifiés
- 2. Pourquoi CAN/DGSI 104 plutôt qu’ISO 27001:2022
- 3. Niveau 1 ou Niveau 2 : pourquoi nous avons visé Niveau 2
- 4. Notre maturité initiale
- 5. Le choix de l’organisme de certification
- 6. La préparation interne en 2 semaines
- 7. Les sous-contrôles techniques : ce qui a été facile et ce qui ne l’aurait pas été
- 8. L’évaluation des risques
- 9. Les audits Stage 1 et Stage 2
- 10. Le coût et le ROI
- 11. Trois erreurs à éviter, trois conseils
- 12. La suite : ISO 27001:2022 et au-delà
- 13. FAQ
- Sources et méthodologie
1. Le déclencheur : pourquoi nous nous sommes certifiés
En bref : Factero accompagne ses clients dans leurs démarches de gouvernance et de certification. Se certifier nous-mêmes était un choix naturel : nous croyons fondamentalement en prêcher par l’exemple. Le déclencheur n’a été ni une pression client ni une exigence d’assureur — c’est une conviction interne renforcée par la cohérence éditoriale de notre offre.
Quand on conseille des organisations sur leurs démarches de conformité, ne pas être soi-même certifié pose une question légitime de cohérence. Comment recommander à un client de s’investir dans CAN/DGSI 104 si nous-mêmes ne sommes pas passés par le processus?
Notre démarche n’a pas été déclenchée par un client qui exigeait une preuve de notre maturité, ni par un assureur qui imposait CAN/DGSI 104 comme condition de couverture. C’est une décision de positionnement : nous voulions vivre le processus dans les mêmes conditions que nos clients pour mieux les accompagner ensuite.
Cette posture a influencé toute notre démarche, notamment dans le choix du Niveau 2 (voir section 3) et dans la production de tous nos templates en interne sans utiliser ceux fournis par les organismes de certification ou par l’INGN.
2. Pourquoi CAN/DGSI 104 plutôt qu’ISO 27001:2022
En bref : Nous avons choisi CAN/DGSI 104 parce qu’elle est plus flexible qu’ISO 27001:2022 et plus adaptée à une PME. Elle apporte la rigueur des procédures sans la lourdeur administrative d’un SMSI complet. C’est, pour nous, le bon point d’entrée pour une firme de notre taille.
ISO 27001:2022 est une norme remarquable — internationalement reconnue, conceptuellement solide, et indispensable pour les organisations qui visent des marchés internationaux ou répondent à des contraintes contractuelles spécifiques. Mais elle introduit une lourdeur administrative considérable via ses clauses 4-10 sur le système de management : contexte, leadership, planification formelle, méthodologie d’analyse de risques documentée, SoA exhaustive, audit interne, revue de direction, amélioration continue formalisée.
Pour une PME, ce poids organisationnel peut être disproportionné par rapport à la valeur cybersécurité ajoutée.
CAN/DGSI 104 fait un choix différent : elle prescrit des baselines techniques obligatoires (Sections 5 et 6) qui couvrent l’essentiel des contrôles défensifs, complétées par une gouvernance plus légère (Section 4). On y gagne :
- Rapidité de mise en œuvre — la prescription des baselines évite d’avoir à justifier chaque choix de contrôle.
- Coûts d’audit réduits — le périmètre est plus restreint et les audits sont plus courts.
- Pertinence pour les PME canadiennes — la norme a été pensée pour ce public spécifique par le Comité TC 5 de l’INGN avec plus de 170 experts.
Pour nous, c’était le bon point d’entrée. Nous garderions ISO 27001:2022 pour une étape ultérieure si la croissance de l’organisation le justifie (voir section 12).
3. Niveau 1 ou Niveau 2 : pourquoi nous avons visé Niveau 2
En bref : Nous avons choisi le Niveau 2 (Maturité) plutôt que le Niveau 1 (Fondamental) précisément parce que nous voulions passer par tout le processus. Si nous accompagnons des clients sur le Niveau 2, il fallait l’avoir vécu.
CAN/DGSI 104 distingue deux niveaux d’exigences :
- Niveau 1 (Fondamental) — pour les petites organisations qui abordent la cybersécurité pour la première fois.
- Niveau 2 (Maturité) — qui renforce le Niveau 1 avec des exigences additionnelles.
Pour une firme comme Factero, le Niveau 1 aurait été suffisant en termes de protection. Mais notre objectif n’était pas seulement défensif — c’était éditorial et opérationnel. Pour pouvoir conseiller pertinemment un client qui vise le Niveau 2, il fallait l’avoir nous-mêmes traversé.
Ce choix a modifié l’effort de préparation (plus exigeant) sans changer fondamentalement la durée totale, parce que les écarts entre les deux niveaux portent sur la rigueur des preuves et certains détails techniques, pas sur l’architecture documentaire générale.
4. Notre maturité initiale
En bref : Au démarrage de la démarche, nous avions des sauvegardes, un antivirus, et une baseline minimale de configurations. Pas de politiques formelles, pas de procédures documentées, pas de SIEM, pas d’EDR. Ce qui nous a sauvés : la stack technologique pré-existante a été enrichie pendant la préparation avec les éléments manquants que nous savions déjà déployer.
Quand nous avons décidé de viser CAN/DGSI 104, notre posture cybersécurité réelle était modeste pour un cabinet de conseil en gouvernance TI :
Nous avions:
- Sauvegardes configurées
- Antivirus déployé
- Baseline de configuration minimale (mots de passe modifiés, services inutiles désactivés)
- SIEM, et MXDR
- MFA sur tous les accès
- tout notre equipement logiciel et materiel étais a jour
Nous n’avions pas :
- De politique formelle écrite et signée
- De procédure documentée
Pendant la préparation, nous avons enrichi la stack avec : avec du MFA physique généralisé. Cet ajout n’ont pas été une découverte, comme firme de conseil, nous savions déjà identifier les bons outils et les configurer. C’est ce qui rend notre parcours non reproductible pour une organisation hors du domaine technique : la dette technique typique d’une PME se résorbe en mois ou trimestres, pas en jours.
5. Le choix de l’organisme de certification
Les organismes consultés
Nous avons consulté les 4 organismes de certification accrédités par le CCN pour le programme CyberSécuritaire Canada. Chacun a sa propre approche, son propre tempo, et sa propre culture de service.
Les critères de choix
Notre critère principal n’était pas le prix. Sur une fourchette de 3 000 $ à 10 000 $ pour le processus de certification lui-même, l’écart est réel mais pas déterminant pour une firme qui investit dans son positionnement. Le critère qui a primé : la dynamique relationnelle et l’alignement de tempo. Nous voulions un partenaire qui pouvait s’adapter à notre cadence et à notre style de communication.
Le coût caché : les changements techniques
Le vrai coût d’une démarche CAN/DGSI 104 n’est pas l’audit. C’est ce qu’il faut faire pour passer l’audit. Pour une organisation avec de la dette technique, les coûts d’outillage (SIEM, EDR, RMM, MFA, EMM, sauvegardes immutables, gestionnaire de mots de passe d’entreprise, etc.) peuvent largement dépasser le coût de la certification elle-même.
C’est l’une des raisons pour lesquelles je recommande à toute organisation qui n’a pas d’expertise technique interne de ne pas se lancer aveuglément dans le processus sans accompagnement. Voir section 11 pour les leçons apprises.
La rapidité de la prise de contact
Dans notre cas, 2 semaines pour les ajustements techniques + 1 semaine pour l’audit ont suffi. Mais c’est exceptionnel — nous étions techniquement prêts à 80 %, et l’organisme de certification choisi avait de la disponibilité immédiate. Pour une organisation typique, prévoir plusieurs semaines de cadrage entre la prise de contact et la signature du contrat est plus réaliste.
6. La préparation interne en 2 semaines
En bref : Notre préparation a duré 2 semaines à temps plein avec une seule ressource dédiée, suivies de 3 jours à temps plein pour la collecte de preuves et de 2 jours pour le Stage 1 ou la ressource répondais dans la minute a l’auditeur . Total préparation + audit : environ 15 jours homme. Nous avons construit tous nos templates en interne plutôt que d’utiliser ceux fournis par l’INGN ou par l’organisme de certification.
Effort total
| Phase | Durée | Ressources |
|---|---|---|
| Préparation documentaire et technique | 2 semaines | 1 personne à temps plein |
| Audit Stage 1 (revue documentaire) | 2 jours | 1 auditeur + 1 ressource Factero |
| Collecte de preuves avant le Stage 1 | 3 jours | 1 personne à temps plein |
| Audit Stage 2 (revue opérationnelle) | 1 Jour | 1 auditeur unique, à distance |
| Total bout-en-bout | 30 jours calendaires | ≈ 15 jours homme |
Templates produits en interne
Nous avons fait le choix de construire tous nos templates en interne plutôt que d’utiliser ceux fournis par l’INGN ou par l’organisme de certification. Trois raisons :
- Cohérence éditoriale. En tant que firme de conseil en gouvernance TI, nous avions besoin de templates qui reflètent notre méthodologie et notre style — pas un boilerplate générique.
- Réutilisabilité commerciale. Les templates produits pour notre propre certification deviennent des actifs réutilisables pour nos mandats clients.
- Compréhension fine de la norme. Construire ses templates oblige à lire chaque sous-contrôle attentivement et à interpréter ses exigences. C’est le moyen le plus rigoureux d’apprendre la norme.
Ce choix a allongé la phase de préparation par rapport à une approche basée sur les templates de l’INGN, mais le retour sur investissement est immédiat dans nos mandats clients.
Ce qui a été le plus long
Sans surprise : la collecte de preuves de configurations techniques. Documenter la configuration d’un pare-feu, capturer la configuration MFA, exporter les politiques de mots de passe, démontrer l’immutabilité des sauvegardes — chaque sous-contrôle technique demande une capture précise, datée, identifiable. C’est répétitif et nécessite une discipline de documentation.
Ce qui n’a pas été surprenant
Tout est bien documenté dans la norme. L’INGN a fait un travail méthodique. Pour nous, aucun sous-contrôle n’a été ambigu ou difficile à interpréter — mais c’est notre métier. Pour une organisation hors du domaine cybersécurité, certains sous-contrôles techniques (5.7.3.5 sur le Wi-Fi, 5.6.2.6 sur l’immutabilité, 5.7.3.7 sur DMARC/DKIM/SPF) peuvent demander un support externe pour être interprétés correctement.
7. Les sous-contrôles techniques : ce qui a été facile et ce qui ne l’aurait pas été
En bref : Aucun sous-contrôle technique n’a demandé un effort exceptionnel pour Factero — mais c’est parce que nous arrivions avec une stack technique mature. Voici comment nous avons traité les sous-contrôles que les organisations trouvent typiquement les plus exigeants.
Wi-Fi (5.7.3.5) — politique zéro trust
CAN/DGSI 104 exige « WPA2-AES minimum, préférablement WPA2-Enterprise ou WPA3-Enterprise ». Notre approche : politique zéro trust hardwire ou LTE. Nous ne dépendons pas du Wi-Fi pour les opérations sensibles, ce qui simplifie radicalement la conformité à ce sous-contrôle.
DMARC / DKIM / SPF (5.7.3.7) — déjà en place
Ces protocoles d’authentification email étaient déjà configurés en p=reject avant même de penser à CAN/DGSI 104. C’est une bonne pratique de cybersécurité indépendante du standard. cependant plusieurs appareils ou systemes tiers peuvent demander des modifications importante a vos systemes de courriels, ce n’etais pas notre cas
Immutabilité des sauvegardes (5.6.2.6) — Veeam
Nous utilisons Veeam pour les sauvegardes, qui supporte nativement les fonctionnalités d’immutabilité requises pour démontrer ce sous-contrôle (« Backup files shall not be modifiable to maintain data integrity »).
MFA universelle (5.5.2.1) — MFA physique partout
MFA physique déployé sur l’ensemble des services — pas de SMS, pas d’OTP par courriel, mais des clés FIDO2 / dispositifs hardware. Cette approche élimine plusieurs vecteurs d’attaque (phishing, SIM swap, compromission de boîte mail) et facilite la démonstration du sous-contrôle.
Patching automatique (5.2.2.2) — stack technologique adaptée
Notre stack technologique nous permet le patching automatique sur l’ensemble des systèmes. C’est l’un des éléments où la maturité technique fait toute la différence : pour une organisation avec des systèmes legacy ou des contraintes de validation préalable, ce sous-contrôle est nettement plus complexe.
Mobilité (Section 6.1) — politique BYOD
Nous opérons en BYOD (Bring Your Own Device) avec les contrôles de séparation et de chiffrement requis. La taille de Factero permet de gérer cette politique avec des outils éprouvés.
Cloud (Section 6.2) — fournisseurs open-source
Nous privilégions les outils open-source déployés selon nos propres critères de sécurité, ou encore des fournisseur eux meme certifiés, ce qui simplifie le sous-contrôle 6.2.3.1.b sur la conformité des fournisseurs externes : nous contrôlons l’infrastructure et la plus part ont deja un Trust center en place.
Sites Web (Section 6.3) — OWASP ASVS Niveau 2
Nous avons retenu le Niveau 2 d’OWASP ASVS alors que notre site n’effectue pas de transactions financières. Le Niveau 1 aurait été suffisant techniquement, mais le Niveau 2 démontre un standard plus élevé — cohérent avec notre positionnement.
Journalisation (6.6.3.1) — Blumira
Nous utilisons Blumira comme solution SIEM, qui couvre l’agrégation de journaux, la détection d’anomalies et la réponse aux incidents.
POS (6.5.2.1) — non applicable
Factero n’utilise pas de terminaux POS. Le sous-contrôle 6.5.2.1 (conformité PCI DSS) a été marqué N/A justifié auprès de l’auditeur.
8. L’évaluation des risques
En bref : Notre évaluation des risques a porté principalement sur les fournisseurs externes, évalués un par un. Heureusement, la majorité étaient eux-mêmes certifiés, ce qui a substantiellement simplifié la démonstration de conformité du sous-contrôle 6.2.3.1.b. Quelques risques résiduels acceptés concernent des plugins ou logiciels du côté fournisseur, dont nous connaissons l’existence et acceptons l’exposition résiduelle.
Méthode
Nous avons évalué nos fournisseurs un par un, en passant en revue leur niveau de certification et de protection. La majorité de nos fournisseurs disposent déjà de certifications reconnues (ISO/IEC 27001, SOC 2, ou équivalents) ou sont des projets open-source dont nous contrôlons le déploiement.
Le 4.4.3.8 et la philosophie des baselines
Le sous-contrôle 4.4.3.8 stipule que « indépendamment des résultats de l’évaluation des risques de cybersécurité, l’organisation doit mettre en œuvre les contrôles de base ». Cette inversion par rapport à l’approche ISO classique (où la SoA peut écarter des contrôles non pertinents) n’a pas modifié notre approche — pour nous, les baselines techniques étaient à implémenter de toute façon.
Risques résiduels acceptés
Nous avons accepté quelques risques résiduels, principalement liés à des plugins ou logiciels tiers du côté fournisseur. Ces risques sont connus, documentés et acceptés — ils ne sont pas le résultat d’un oubli mais d’un arbitrage conscient. Quelques risques acceptables sur notre site web sont également par design (par exemple, des fonctionnalités publiques qui exposent intentionnellement certaines surfaces).
9. Les audits Stage 1 et Stage 2
En bref : Stage 1 (revue documentaire) a duré 2 jours avec quelques questions complémentaires de l’auditeur — notre paquet de preuves était très complet. Stage 2 a eu lieu le lendemain : auditeur unique, à distance, en quelques heures, vu le niveau de détail déjà fourni en Stage 1. Quelques constatations mineures, remédiées depuis. Délai habituel d’émission du certificat : 5 à 10 jours ouvrables.
Stage 1 — la revue documentaire
L’auditeur a passé 2 jours à examiner notre paquet de preuves. Il a posé quelques questions complémentaires pour clarifier certains points, mais la complétude initiale du paquet a évité les allers-retours longs. Cette phase est où le travail de préparation porte ses fruits — un paquet incomplet aurait nécessité plusieurs cycles supplémentaires.
Stage 2 — l’audit opérationnel
Le lendemain. Auditeur unique, à distance, en quelques heures. Le niveau de détail fourni en Stage 1 a permis à l’auditeur de valider la mise en œuvre opérationnelle rapidement. Cette compression du calendrier est exceptionnelle — la séquence typique laisse plusieurs semaines entre les deux Stages.
Constatations
Quelques constatations mineures, sans non-conformités majeures. Toutes ont été remédiées depuis. Aucun sous-contrôle n’a demandé d’aller-retour prolongé avec l’auditeur.
Émission du certificat
Notre certificat a été émis rapidement après le Stage 2. Le délai habituel est de 5 à 10 jours ouvrables.
10. Le coût et le ROI
En bref : Le processus de certification lui-même (audit + administration) coûte typiquement entre 3 000 $ et 10 000 $ selon les packages. Le coût caché — les changements techniques nécessaires pour atteindre la conformité — peut être substantiellement plus élevé pour une organisation avec de la dette technique. Le ROI principal observé chez Factero est éditorial et relationnel : reconnaissance des partenaires eux-mêmes certifiés, et démonstration de cohérence pour notre positionnement de conseil.
Le coût direct de la certification
Le processus de certification lui-même se situe dans une fourchette de 3 000 $ à 10 000 $ selon le package retenu auprès de l’organisme de certification choisi. Cette fourchette inclut l’audit Stage 1, l’audit Stage 2, l’administration du certificat et le suivi de la première année.
Le coût caché : la mise à niveau technique
C’est le poste qui peut largement dépasser le coût de la certification pour une organisation qui démarre. Il inclut :
- Outils de cybersécurité (SIEM, EDR, RMM)
- Solutions MFA déployées partout
- Sauvegardes immutables (Veeam ou équivalent)
- Gestionnaire de mots de passe d’entreprise pour tous
- Configuration des protocoles email (DMARC, DKIM, SPF)
- EMM si parc mobile
- Refonte éventuelle de la configuration réseau (segmentation, Wi-Fi sécurisé)
Pour une organisation avec de la dette technique substantielle, planifier un budget équivalent à 2 à 5 fois le coût de la certification, parfois meme plus selon la taille de votre organisation et ce n’est pas excessif.
Le ROI observé
Le retour sur investissement se manifeste sur plusieurs axes :
- Reconnaissance par les partenaires certifiés — cohérence de positionnement avec d’autres acteurs sérieux du marché.
- Admiration des organisations non certifiées — démonstration de maturité.
- Cohérence éditoriale — quand on accompagne des clients sur ces démarches, être soi-même certifié change la nature de la relation.
Nous n’avons pas observé d’augmentation directe de demandes liées à la certification (assureurs ou RFP qui auraient explicitement requis CAN/DGSI 104) — mais c’est un effet de second ordre qui se manifeste typiquement sur des cycles plus longs.
11. Trois erreurs à éviter, trois conseils
En bref : Trois erreurs principales à éviter : croire qu’on est déjà prêt, ne pas budgéter les changements techniques, et se lancer sans accompagnement quand on n’a pas l’expertise interne. Trois conseils : faites-le si vous opérez dans le domaine technique, considérez la certification comme une obligation morale pour les acteurs sérieux, et acceptez que le processus est un investissement de connaissance, pas seulement une attestation.
Trois erreurs à éviter
Erreur 1 — Croire qu’on est prêt. Même avec une bonne posture initiale, il reste toujours quelque chose à préparer. Documentation manquante, configurations à valider, preuves à collecter, politiques à formaliser. Aucune organisation n’arrive à zéro effort de préparation, même les plus matures.
Erreur 2 — Ne pas budgéter les changements techniques. Si vous n’avez pas l’expertise technique interne, le coût caché des outils et des reconfigurations peut largement dépasser le coût de l’audit. Une organisation qui découvre cela en cours de route prend des décisions sous pression, ce qui mène souvent à des choix d’outils sous-optimaux.
Erreur 3 — Ne pas se faire accompagner quand on démarre. Une organisation qui en est à ses premières étapes de conformité et qui se lance aveuglément dans le processus aura beaucoup de temps et d’efforts investis en vain. La courbe d’apprentissage de la norme est réelle. Un accompagnement par un consultant ayant vécu le processus économise typiquement plusieurs cycles d’allers-retours avec l’auditeur.
Trois conseils
Conseil 1 — Faites-le, particulièrement si vous opérez dans le domaine technique. Pour les firmes de conseil TI, les MSP, les éditeurs de logiciels et tout acteur dont la cybersécurité est une dimension du service vendu, ce devrait être presque obligatoire. Tout joueur sérieux devrait se certifier.
Conseil 2 — Considérez la certification comme un investissement de connaissance. Le certificat est un livrable, mais le vrai retour sur investissement vient de la connaissance interne de la norme et de votre propre posture. Cette compréhension vaut bien plus qu’un PDF.
Conseil 3 — Construisez vos templates plutôt que d’utiliser ceux fournis. C’est plus long, mais ça oblige à comprendre chaque sous-contrôle. Et les templates produits deviennent des actifs réutilisables.
12. La suite : ISO 27001:2022 et au-delà
En bref : Pour Factero, ISO 27001:2022 n’est pas un objectif immédiat. CAN/DGSI 104 est suffisamment flexible et adaptée pour une organisation de notre taille. Si la croissance le justifie, ce sera la suite naturelle. Pour les organisations québécoises qui visent la TGV (MSSS), notre constat est différent : ISO 27001:2022 reste le meilleur point d’entrée pour la TGV, plus que CAN/DGSI 104.
ISO 27001:2022 — pas une priorité immédiate
CAN/DGSI 104 répond aux besoins actuels de Factero. ISO 27001:2022 deviendra pertinent si l’organisation grandit au-delà du seuil typique des PME ou si nous devons répondre à des contraintes contractuelles internationales explicites. Ce sera la progression naturelle, mais ce n’est pas l’horizon de court terme.
TGV (MSSS Québec) — un autre univers
Pour les organisations québécoises du secteur de la santé qui visent la certification TGV (Trousse globale de vérification) du Ministère de la Santé et des Services sociaux, le constat est très différent : la TGV demande beaucoup plus de contrôles que CAN/DGSI 104 (254 critères répartis en 6 volets).
Pour une organisation qui vise la TGV, le meilleur point d’entrée est ISO 27001:2022, parce que le volet Sécurité de la TGV (104 critères) se cartographie principalement vers les 93 contrôles de l’Annexe A d’ISO 27001:2022. CAN/DGSI 104 reste pertinente comme première marche d’apprentissage, mais elle ne couvre pas l’envergure de la TGV.
Voir notre article comparatif sur la certification TGV pour le détail.
13. FAQ
Combien de temps faut-il pour obtenir CAN/DGSI 104?
Notre parcours a duré 30 jours, mais nous considérons ce délai comme exceptionnel. Pour une organisation typique sans expertise technique interne pré-existante, planifier 3 à 6 mois est plus réaliste. Le facteur déterminant est la maturité initiale : plus la dette technique est importante, plus la phase de mise à niveau est longue.
Peut-on obtenir CAN/DGSI 104 sans accompagnement externe?
Techniquement oui, mais ce n’est pas conseillé pour une organisation qui démarre sa démarche cybersécurité. La courbe d’apprentissage de la norme est réelle, et un accompagnement économise typiquement plusieurs cycles d’allers-retours avec l’auditeur. Pour une organisation qui dispose d’expertise interne (firme TI, MSP, éditeur logiciel), l’autonomie est faisable.
Combien coûte la certification CAN/DGSI 104?
Le processus de certification lui-même (audit + administration) coûte entre 3 000 $ et 10 000 $ selon les packages. Le coût caché — la mise à niveau technique — peut être substantiellement plus élevé pour une organisation avec de la dette technique : prévoir un budget équivalent à 2 à 5 fois le coût de la certification pour les outils, reconfigurations et services.
Quel niveau choisir entre Niveau 1 et Niveau 2?
Niveau 1 est suffisant pour la majorité des PME qui veulent une posture de cybersécurité de base. Niveau 2 est recommandé pour les organisations qui veulent démontrer une maturité supérieure, notamment celles qui opèrent dans le domaine TI ou qui visent une certification ISO 27001:2022 dans la foulée. Notre choix de Niveau 2 était motivé par notre positionnement de cabinet de conseil en gouvernance.
Quelle est la principale erreur des organisations qui démarrent CAN/DGSI 104?
Croire qu’elles sont prêtes. Même avec une bonne posture initiale, il reste toujours de la documentation à formaliser, des configurations à valider, des preuves à collecter. Aucune organisation n’arrive à zéro effort de préparation.
CAN/DGSI 104 prépare-t-elle à ISO 27001:2022?
Partiellement. CAN/DGSI 104 couvre les contrôles techniques de base et une gouvernance légère. ISO 27001:2022 ajoute la rigueur du système de management complet (clauses 4-10) qui n’a pas d’équivalent direct dans CAN/DGSI 104. Une organisation certifiée CAN/DGSI 104 a une bonne base technique pour ISO 27001 mais devra bâtir un SMSI complet par-dessus. Voir notre article comparatif détaillé.
Le sous-contrôle 4.4.3.8 (baselines obligatoires indépendamment des risques) modifie-t-il la démarche par rapport à ISO 27001?
Non, pas substantiellement, du moins pas pour nous. CAN/DGSI 104 impose explicitement les baselines techniques que toute organisation devrait implémenter de toute façon. La différence avec ISO 27001:2022 est philosophique (où la SoA peut écarter des contrôles), mais l’effet pratique pour une organisation qui prend la cybersécurité au sérieux est marginal.
Faut-il utiliser les templates fournis par l’INGN ou les organismes de certification?
C’est un compromis. Les templates fournis accélèrent la préparation et garantissent une couverture des sous-contrôles. Les templates produits en interne demandent plus de temps mais oblige à comprendre la norme et produit des actifs réutilisables (notamment pour les firmes de conseil). Notre choix d’aller en interne reflète notre positionnement.
Sources et méthodologie
Sources
Documents officiels :
- CAN/DGSI 104:2021 / Rév. 1:2024 — Contrôles de base de la cybersécurité pour les petites et moyennes organisations, publié par l’Institut des normes de gouvernance numérique (INGN). dgc-cgn.org/product/can-dgsi-1042021-rev-12024
- Rapport d’audit officiel CyberSécuritaire Canada de Services conseils Factero (interne, non publié).
Articles connexes Factero :
- ISO 27001:2022 vs CAN/DGSI 104:2021 Rév. 1:2024 — Comparaison complète
- Cartographie sous-contrôle par sous-contrôle CAN/DGSI 104 ↔ ISO 27001:2022
- Certification TGV au Québec : 254 critères en 6 volets
Méthodologie
Cet article est un retour d’expérience à la première personne. Les chiffres et observations présentés reflètent le parcours réel de Services conseils Factero entre la décision initiale et l’émission du certificat CAN/DGSI 104:2021 Rév. 1:2024 Niveau 2. Les valeurs présentées (durée, coûts, effort) ne constituent pas une base statistique généralisable — la trajectoire de chaque organisation dépend de sa maturité initiale, de son secteur, de sa taille, et de l’organisme de certification retenu.
Les observations qualitatives (« faut-il être accompagné », « combien coûte la mise à niveau technique ») sont basées sur l’expérience d’accompagnement de Factero auprès de ses clients, en complément du parcours interne.
Mises à jour de l’article
- 21 avril 2026 : publication initiale.
À propos de l’auteur
Sébastien Robert est associé principal chez Services conseils Factero, une firme indépendante de services-conseils en gouvernance TI, cybersécurité et conformité, établie à Saint-Jean-sur-Richelieu (Québec). Il pratique en TI depuis 2002, avec une spécialisation en gouvernance, audit, cybersécurité et conformité.
Déclaration de transparence. Services conseils Factero est certifiée CAN/DGSI 104:2021 (Rév. 1:2024) Niveau 2 dans le cadre du programme CyberSécuritaire Canada. Cet article est un retour d’expérience authentique sur ce parcours. La firme accompagne par ailleurs des organisations dans leur préparation à ISO 27001:2022, à CAN/DGSI 104 et à la certification TGV du MSSS Québec. Cet article ne constitue pas un avis juridique ni une garantie de conformité. Les organisations qui visent la certification CAN/DGSI 104 devraient consulter directement plusieurs organismes de certification accrédités par le CCN et, si pertinent, un partenaire d’accompagnement.