Header
Accueil
Blog
Services
Contact
Prendre rendez-vous

Gouvernance TI : c’est quoi, et pourquoi ça nous concerne tous (Guide 2026)

Par Sébastien Robert — Associé Principal

11–16 minutes

Auteur : Sébastien Robert — Associé principal, Services conseils Factero Publié le 20 avril 2026 Temps de lecture : environ 10 minutes

En une phrase

La gouvernance TI, c’est l’ensemble des règles et des décisions qui font que les ordinateurs, les logiciels et les données de votre entreprise vous aident vraiment à faire votre travail, sans causer de catastrophe ni gaspiller d’argent.

C’est aussi simple que ça. Le reste de l’article explique pourquoi c’est important, comment ça se met en place, et ce que vous pouvez faire dès aujourd’hui.

Une comparaison qui parle

Vous savez comment fonctionne la comptabilité dans votre entreprise. Il y a des règles : qui peut signer un chèque, jusqu’à quel montant, qui approuve les dépenses, qui vérifie les comptes en fin d’année. Sans ces règles, ce serait le chaos. Quelqu’un pourrait acheter une voiture avec la carte de crédit corporative, des factures pourraient se perdre, et impossible de savoir si l’entreprise fait du profit ou pas.

La gouvernance TI, c’est exactement la même chose, mais pour les ordinateurs et les données.

Qui décide quels logiciels acheter? Qui a le droit d’accéder aux dossiers RH? Qui s’assure que les sauvegardes fonctionnent? Que se passe-t-il si quelqu’un clique sur un mauvais lien dans un courriel? Comment l’entreprise prouve qu’elle protège les renseignements personnels de ses clients?

Sans réponse à ces questions, c’est le chaos numérique. Et le chaos numérique, en 2026, ça coûte très cher.

Pourquoi maintenant?

Il y a 20 ans, l’informatique d’une PME tenait dans un local avec un serveur et quelques ordinateurs. Aujourd’hui, c’est :

  • Vos courriels dans le « nuage » (Microsoft 365 ou Google).
  • Vos comptes clients dans un logiciel comptable en ligne.
  • Vos dossiers RH dans un système de paie.
  • Vos communications sur Teams, Zoom ou Slack.
  • Vos sauvegardes chez un fournisseur tiers.
  • Maintenant, des outils d’intelligence artificielle (ChatGPT, Copilot) que vos collègues utilisent peut-être déjà sans vous le dire.

Tout ça représente une exposition aux risques que personne n’avait il y a 20 ans. Quatre raisons rendent la gouvernance TI urgente en 2026 :

1. Les pirates informatiques. Ils ne ciblent plus seulement les grandes banques. Les PME québécoises sont devenues des cibles de choix parce qu’elles sont moins bien défendues. Un rançongiciel (un programme qui chiffre vos données et exige une rançon pour les rendre) peut paralyser une entreprise pendant des semaines.

2. Les nouvelles lois. La Loi 25 au Québec (entrée en vigueur progressivement en septembre 2022, 2023 et 2024) oblige toutes les organisations à mieux protéger les renseignements personnels. La Loi 5 (entrée en vigueur en juillet 2024) ajoute des règles spéciales pour les renseignements de santé. Si vous gérez des données de clients ou d’employés, ces lois s’appliquent à vous.

3. L’intelligence artificielle. ChatGPT et ses cousins sont arrivés dans nos vies en deux ans. Vos collègues utilisent peut-être ces outils pour résumer des documents, rédiger des courriels, ou analyser des chiffres. Le problème : si quelqu’un copie-colle un document confidentiel dans un outil personnel, ces données sortent de l’entreprise. Une bonne gouvernance TI cadre l’utilisation de ces outils.

4. Les assureurs. Les assurances en cybersécurité existaient à peine en 2018. Aujourd’hui, presque toute entreprise sérieuse en a une. Les assureurs posent des questions précises : « Avez-vous l’authentification à deux facteurs? » « Vos sauvegardes sont-elles testées? » « Avez-vous un plan en cas d’attaque? » Sans bonnes réponses, votre prime augmente, ou pire, vous n’êtes pas couvert.

Les questions qu’une bonne gouvernance TI vous aide à répondre

Pour comprendre concrètement, voici ce qu’une organisation avec une bonne gouvernance TI sait répondre rapidement, et ce qu’une organisation sans gouvernance TI ne sait pas répondre.

QuestionAvec gouvernance TISans gouvernance TI
Si un employé quitte demain, qui révoque ses accès aux 23 logiciels de l’entreprise?Procédure documentée, RH et TI alertés ensembleQuelques accès oubliés pendant des mois
Combien dépensons-nous en logiciels et services TI au total?Inventaire à jour, contrats centralisésPersonne ne sait vraiment, des doublons existent
Si un rançongiciel frappe ce soir, qui appelle qui à 3h du matin?Plan de réponse documenté, contacts à jourPanique, improvisation, pertes maximales
Que se passe-t-il si la Commission d’accès à l’information demande une preuve de conformité Loi 25?Documentation produite en quelques heuresPlusieurs semaines d’efforts, risque d’amende
Combien de temps faut-il pour restaurer les données après un incident?Testé chaque mois, on connaît la réponseOn le découvre le jour de l’incident

Si vous lisez la colonne de droite et que vous reconnaissez votre entreprise, vous n’êtes pas seul. La majorité des PME québécoises sont dans cette situation. C’est précisément pourquoi la gouvernance TI est devenue un enjeu prioritaire.

Les cinq piliers, expliqués simplement

Les experts parlent souvent de cinq piliers de la gouvernance TI. Voici ce qu’ils veulent dire, sans jargon :

Pilier 1 — La technologie sert l’entreprise (pas l’inverse)

Si la direction décide de viser un marché américain, la TI doit s’aligner. Si l’entreprise veut accélérer sa facturation, la TI doit fournir l’outil. La technologie doit servir la stratégie d’affaires, pas devenir une fin en soi.

C’est exactement comme la comptabilité : vos chiffres servent à comprendre l’entreprise et prendre des décisions, pas à créer de la complexité pour le plaisir.

Pilier 2 — On démontre que ça vaut la peine

Quand votre entreprise achète un nouveau logiciel à 50 000 $, qu’est-ce qu’on en obtient en retour? Du temps gagné? Des clients mieux servis? Des erreurs évitées? Il faut mesurer.

C’est comme demander à un fournisseur : « Combien ça va me coûter, et qu’est-ce que ça va me rapporter? » Vous le faites pour les machines, pour les contrats, pour les locations. Il faut le faire aussi pour l’informatique.

Pilier 3 — On gère les risques avant qu’ils arrivent

Une bonne gouvernance TI identifie les risques à l’avance : un employé qui ouvre un faux courriel, un serveur qui plante, un mot de passe qui fuit, un fournisseur qui se fait pirater. Pour chaque risque important, on a un plan.

C’est comme l’assurance habitation : vous payez chaque mois pour ne pas avoir besoin de l’utiliser, mais si votre maison brûle, vous êtes content de l’avoir.

Pilier 4 — On utilise les ressources intelligemment

Combien de logiciels payez-vous chaque mois? Combien sont vraiment utilisés? Combien de licences traînent depuis le départ d’un employé? Combien de doublons (deux outils qui font la même chose)?

C’est de la gestion, simplement appliquée aux ressources informatiques. Comme on rationalise les fournisseurs en comptabilité.

Pilier 5 — On mesure pour s’améliorer

Sans chiffres, impossible d’améliorer. Combien de fois nos systèmes ont-ils planté ce trimestre? Combien de courriels d’hameçonnage ont été détectés? Quelle est la satisfaction des employés avec les outils?

Encore une fois, c’est comme la comptabilité : vous ne dirigez pas une entreprise sans tableau de bord. La TI mérite le même traitement.

Les certifications : des « notes officielles » pour votre cybersécurité

Vous savez que les comptables professionnels passent des examens (CPA) pour démontrer leur compétence. La cybersécurité a ses équivalents — sauf que ces certifications s’appliquent à l’organisation, pas aux personnes.

Les six certifications principales en 2026 pour les entreprises canadiennes :

1. CAN/DGSI 104 — la certification canadienne pour les PME. Conçue spécifiquement pour les organisations de moins de 500 employés. Coût modéré (3 000 $ à 10 000 $ pour l’audit lui-même), durée raisonnable (3 à 6 mois de préparation). C’est généralement le meilleur point d’entrée pour une PME québécoise.

2. ISO 27001 — la certification internationale. Reconnue partout dans le monde. Plus exigeante (15 000 $ à 75 000 $ pour une PME, 8 à 18 mois de préparation). Recommandée si votre entreprise a des clients internationaux.

3. SOC 2 — la certification américaine. Très demandée par les clients américains. Si vous vendez du logiciel aux États-Unis, ils vont probablement vous la demander.

4. TGV — la certification québécoise pour la santé. Obligatoire pour toute entreprise qui vend un produit ou un service technologique au réseau de la santé québécois (cliniques, hôpitaux, CIUSSS). Très exigeante : 254 critères à respecter.

5. NIST CSF 2.0 — pas vraiment une certification mais un cadre de référence nord-américain très respecté. C’est une feuille de route pour structurer votre cybersécurité.

6. ISO 42001 — la nouvelle certification (2023) pour les entreprises qui utilisent l’intelligence artificielle de manière significative.

La bonne nouvelle : ces certifications ne sont pas exclusives. Une entreprise mature peut viser plusieurs d’entre elles, en commençant par celle qui correspond à son marché.

Comment commencer : 7 étapes pratiques

Si votre direction décide de prendre la gouvernance TI au sérieux, voici les étapes typiques :

Étape 1 — Faire le portrait de la situation actuelle. Où en sommes-nous? On regarde les ordinateurs, les logiciels, les contrats, les politiques (s’il y en a), les pratiques. C’est comme un état des lieux avant rénovation.

Étape 2 — Décider ce qu’on veut accomplir. Veut-on réduire les coûts? Renforcer la sécurité? Se conformer à la Loi 25? Préparer une certification? Sans objectif clair, on s’éparpille.

Étape 3 — Choisir un cadre de référence. Une des certifications mentionnées plus haut, ou un cadre maison adapté à la taille de l’entreprise.

Étape 4 — Créer un comité ou désigner un responsable. Pour une PME, c’est souvent une personne (le directeur des opérations, le contrôleur, ou un consultant externe en mode vCISO — un genre de directeur cybersécurité à temps partiel). Pour une organisation plus grande, c’est un comité avec la direction générale, la finance, la TI et les opérations.

Étape 5 — Écrire les politiques importantes. Politique de mots de passe, politique d’utilisation des appareils mobiles, politique de réponse aux incidents, politique d’utilisation de l’intelligence artificielle. Ces documents cadrent ce qui est permis et ce qui ne l’est pas.

Étape 6 — Former les employés et déployer les outils. C’est l’étape la plus importante. La meilleure politique au monde ne sert à rien si personne ne la connaît. La formation continue (pas juste un module annuel ennuyeux), les simulations d’hameçonnage, les rappels réguliers — tout ça change la culture.

Étape 7 — Mesurer et améliorer. Tous les trimestres, on regarde ce qui fonctionne et ce qui ne fonctionne pas. La gouvernance TI n’est jamais « finie » — c’est un processus continu, comme la comptabilité.

Que se passe-t-il si on ne fait rien?

Cette question est légitime. Beaucoup de PME ont survécu sans gouvernance TI formelle pendant des années. Pourquoi commencer maintenant?

Trois conséquences possibles si on ne fait rien :

1. Un incident cyber qui coûte cher. Une PME québécoise qui subit un rançongiciel en 2025-2026 paie en moyenne entre 50 000 $ et 500 000 $ en coûts directs (rançon, perte d’opérations, restauration, communication, conseillers). Sans compter la perte de clients qui apprennent que leurs données ont été exposées.

2. Une non-conformité à la Loi 25. Les amendes prévues vont jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial pour les pires cas. La Commission d’accès à l’information du Québec peut imposer des amendes administratives bien moins élevées (ordre de 50 000 $ à 250 000 $) qui restent significatives pour une PME.

3. Une perte d’opportunités d’affaires. De plus en plus de clients (gouvernement, grandes entreprises, même certaines PME exigeantes) demandent des certifications avant de signer un contrat. Sans certification, vous êtes éliminé d’office.

À l’inverse, une entreprise qui a une bonne gouvernance TI :

  • Récupère plus vite si un incident arrive (et un incident finit toujours par arriver).
  • Démontre sa maturité aux clients, partenaires, investisseurs.
  • Réduit ses primes d’assurance cyber.
  • Peut innover plus vite (l’intelligence artificielle, par exemple) parce qu’elle a un cadre pour le faire en sécurité.

Ce que vous pouvez faire dès cette semaine

Vous n’avez pas besoin d’attendre une grande décision pour faire avancer la gouvernance TI. Voici cinq actions concrètes que n’importe quel employé peut amorcer :

1. Activer l’authentification à deux facteurs partout où vous le pouvez. Sur votre courriel professionnel, votre logiciel comptable, vos accès bancaires d’entreprise. C’est la mesure la plus simple et la plus efficace pour réduire les compromissions.

2. Tester votre dernière sauvegarde. Quand a-t-elle été testée? Pouvez-vous vraiment restaurer un fichier important? Si la réponse est « je ne sais pas », c’est le signal de tester.

3. Faire un inventaire des logiciels que vous payez. Vous serez surpris du nombre. Beaucoup de PME découvrent qu’elles paient pour 3 ou 4 outils qui font essentiellement la même chose.

4. Demander qui est le responsable de la protection des renseignements personnels dans votre organisation. Si la réponse est « personne » ou « je ne sais pas », c’est un problème — c’est une obligation de la Loi 25.

5. Parler à la direction de la cybersécurité. Ce n’est plus un sujet de spécialistes — c’est un sujet de gestion. Aborder le sujet en réunion de direction, demander un état de la situation, c’est déjà un grand pas.

Foire aux questions

Est-ce que c’est juste pour les grandes entreprises?

Non, surtout pas. Les grandes entreprises ont des équipes complètes pour ces sujets. Les PME, qui n’en ont pas, sont les plus vulnérables. CAN/DGSI 104 a été conçue spécifiquement pour les PME canadiennes.

Combien ça coûte?

Pour une PME, comptez entre 10 000 $ et 50 000 $ la première année si vous démarrez de zéro et visez une certification CAN/DGSI 104 (incluant l’audit, les outils techniques de base et l’accompagnement). Les années suivantes, le coût récurrent est plus bas (5 000 $ à 15 000 $). Pour ISO 27001, multipliez par 2 ou 3.

C’est important de comprendre que ne rien faire coûte aussi de l’argent — sous forme d’incidents, de primes d’assurance plus élevées, et d’opportunités perdues.

Combien de temps?

Pour une PME qui démarre, comptez 3 à 6 mois pour atteindre une certification CAN/DGSI 104. Plus long pour ISO 27001 (8 à 18 mois). Une fois en place, le maintien demande quelques heures par semaine.

Doit-on engager quelqu’un?

Pas nécessairement à temps plein. Beaucoup de PME utilisent un vCISO (un directeur de la cybersécurité à temps partiel) ou un consultant externe. Cette approche coûte typiquement 1 500 $ à 5 000 $ par mois selon le besoin et est beaucoup plus économique qu’un poste à temps plein (100 000 $+ par année).

Qu’est-ce qu’on fait avec ChatGPT et l’intelligence artificielle?

On ne fait pas semblant que ça n’existe pas. Vos employés l’utilisent déjà. La bonne approche : créer une politique simple qui explique ce qui est permis (utiliser ChatGPT pour rédiger un courriel générique) et ce qui ne l’est pas (copier-coller des informations confidentielles de clients ou d’employés). Idéalement, fournir un outil approuvé (Microsoft Copilot Enterprise, Claude Pro pour entreprise) qui protège mieux les données.

Qui prend les décisions?

Pour une PME, c’est typiquement la direction générale qui décide, sur recommandation d’un responsable interne ou d’un consultant. Le conseil d’administration (s’il y en a un) doit être informé des grandes orientations et des incidents importants.

En résumé

La gouvernance TI, ce n’est pas un sujet réservé aux experts en informatique. C’est un sujet de gestion, comme la comptabilité, les ressources humaines, la qualité.

Quatre choses à retenir :

  1. C’est devenu incontournable en 2026 à cause des cybermenaces, des nouvelles lois, de l’intelligence artificielle et des exigences des assureurs.
  2. Ça commence par des questions simples : qui décide quoi? Comment se protège-t-on? Comment mesure-t-on?
  3. Il existe des certifications adaptées à toutes les tailles d’organisation. CAN/DGSI 104 est typiquement le meilleur point d’entrée pour une PME québécoise.
  4. On peut commencer petit — l’authentification à deux facteurs, les sauvegardes testées, l’inventaire des logiciels. Pas besoin d’attendre la grande décision pour faire avancer les choses.

Si vous lisez cet article et que vous reconnaissez votre entreprise dans les vulnérabilités décrites, ce n’est pas un problème — c’est une opportunité de faire quelque chose à ce sujet, avant qu’un incident ne décide pour vous.

Pour aller plus loin

Si cet article vous a intéressé et que vous voulez approfondir, nous avons des articles plus détaillés sur des sujets spécifiques :

À propos de l’auteur

Sébastien Robert est associé principal chez Services conseils Factero, une firme indépendante de conseils en gouvernance des technologies, en cybersécurité et en conformité, établie à Saint-Jean-sur-Richelieu (Québec). Il pratique en TI depuis 2002 et se spécialise à rendre les sujets techniques accessibles aux gestionnaires.

À propos de Factero. Notre firme est elle-même certifiée CAN/DGSI 104 (Niveau 2). Nous accompagnons les organisations québécoises et canadiennes dans leurs démarches de gouvernance TI et de certification — sans jargon inutile.

Une question? Une situation à comprendre? Nous offrons une consultation initiale sans frais pour évaluer où en est votre organisation. Pas d’engagement, pas de pression — une conversation honnête entre gestionnaires.

Besoin d’aide
sur ce sujet ?

Nous pouvons vous accompagner pour mettre en place ces recommandations dans votre entreprise.

Contactez-nous