Réponse rapide
ISO/IEC 27001:2022 est la norme internationale du système de management de la sécurité de l’information (SMSI), publiée par ISO/IEC. Elle compte 93 contrôles dans son Annexe A organisés en 4 thèmes, plus les clauses 4 à 10 qui définissent les exigences du SMSI lui-même. Sa certification dure 3 ans avec audits de surveillance annuels. Sa reconnaissance est mondiale via les accords IAF MLA.
CAN/DGSI 104:2021 / Rév. 1:2024 est une norme nationale du Canada publiée par l’Institut des normes de gouvernance numérique (INGN, en anglais Digital Governance Standards Institute / DGSI). Elle définit des contrôles de base de cybersécurité conçus spécifiquement pour les petites et moyennes organisations (typiquement moins de 500 employés) et compte 18 sections principales (90 sous-contrôles individuels selon la structure officielle), organisée en deux niveaux (Niveau 1 — Fondamental, Niveau 2 — Maturité). Elle constitue la base technique du programme CyberSécuritaire Canada, dont l’autorité est le Conseil canadien des normes (CCN, en anglais Standards Council of Canada / SCC).
En une phrase : ISO 27001:2022 est un cadre complet de gestion organisationnelle de la sécurité, internationalement reconnu et flexible; CAN/DGSI 104 est un référentiel canadien de contrôles de base, plus pratique et accessible pour les PME, mais moins étendu et de portée géographique limitée.
Cet article :
- décrit la structure officielle de chaque standard;
- compare les architectures de gouvernance (ISO/IEC vs INGN/CCN);
- détaille les structures de contrôles (93 contrôles ISO Annexe A vs 90 sous-contrôles CAN/DGSI 104 répartis en 18 sections);
- explique les mécaniques de certification respectives;
- propose une stratégie de séquencement pour les PME canadiennes.
Sommaire
- Qu’est-ce qu’ISO 27001:2022?
- Qu’est-ce que CAN/DGSI 104:2021 Rév. 1:2024?
- Comparaison directe : tableau synthétique
- SMSI complet vs baseline pratique : la différence d’approche
- Structures de contrôles : 93 contrôles ISO vs 90 sous-contrôles CAN/DGSI 104
- Recouvrement entre les deux standards
- Architectures de confiance : DGSI/SCC vs IAF/CB
- Cycles de certification
- Comment choisir : stratégie de séquencement
- Glossaire
- FAQ
- Sources et méthodologie
1. Qu’est-ce qu’ISO 27001:2022?
En bref : ISO/IEC 27001:2022 est la norme internationale qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de management de la sécurité de l’information (SMSI). Publiée par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI), elle est reconnue mondialement grâce aux accords IAF MLA. Sa version 2022 contient 93 contrôles dans l’Annexe A, plus les clauses 4 à 10 qui définissent les exigences obligatoires du SMSI.
ISO/IEC 27001:2022 est la norme internationale de référence pour les systèmes de management de la sécurité de l’information (SMSI). Elle a été publiée le 25 octobre 2022, en remplacement de la version 2013. La transition entre les deux versions s’est terminée le 31 octobre 2025 selon la résolution IAF 2021-22.
1.1 Structure du standard
ISO 27001:2022 se compose de deux grandes parties :
Les clauses 4 à 10 définissent les exigences obligatoires du SMSI :
- Clause 4 : Contexte de l’organisation
- Clause 5 : Leadership
- Clause 6 : Planification (incluant analyse des risques 6.1.2 et traitement 6.1.3)
- Clause 7 : Support
- Clause 8 : Fonctionnement
- Clause 9 : Évaluation des performances
- Clause 10 : Amélioration
L’Annexe A liste 93 contrôles organisés en 4 thèmes :
- A.5 — Contrôles organisationnels (37 contrôles)
- A.6 — Contrôles relatifs aux personnes (8 contrôles)
- A.7 — Contrôles physiques (14 contrôles)
- A.8 — Contrôles technologiques (34 contrôles)
L’Annexe A inclut 11 contrôles nouveaux par rapport à la version 2013 (notamment A.5.7 Threat intelligence, A.5.23 Cloud services, A.8.16 Monitoring, A.8.23 Web filtering, A.8.28 Secure coding).
1.2 Document central : la Statement of Applicability (SoA)
La SoA (Statement of Applicability / Déclaration d’applicabilité) est l’artefact unique d’ISO 27001:2022. Elle documente, pour chacun des 93 contrôles de l’Annexe A, si l’organisation l’applique, sa justification, et sa relation avec les risques identifiés. C’est un document vivant produit par l’organisation et révisé en continu.
1.3 Public visé
ISO 27001:2022 est agnostique en termes de taille et de secteur. Elle est utilisée aussi bien par des PME (moins de 50 employés) que par des multinationales. Sa flexibilité permet à chaque organisation de calibrer son SMSI à son niveau de risque et de maturité.
2. Qu’est-ce que CAN/DGSI 104:2021 Rév. 1:2024?
En bref : CAN/DGSI 104:2021 Rév. 1:2024 (anciennement CAN/CIOSC 104:2021) est une norme nationale du Canada publiée par l’Institut des normes de gouvernance numérique (INGN). Selon la documentation officielle de l’INGN, elle « spécifie un ensemble minimal de contrôles de cybersécurité destiné aux petites et moyennes organisations, qui comptent typiquement moins de 500 employés ». Elle constitue la base technique du programme CyberSécuritaire Canada, dont le Conseil canadien des normes (CCN) est l’autorité d’accréditation.
2.1 Genèse et gouvernance
CAN/DGSI 104 a été élaborée par le Comité technique TC 5 sur la cybersécurité de l’INGN, qui a réuni plus de 170 experts canadiens et internationaux. La norme a été publiée pour la première fois en 2021 sous le code CAN/CIOSC 104:2021 (CIOSC = Conseil consultatif canadien des normes, ancien acronyme). En décembre 2024, elle a été révisée et renommée CAN/DGSI 104:2021 / Rév. 1:2024 suite au changement institutionnel (DGSI = Digital Governance Standards Institute / INGN en français).
Le programme CyberSécuritaire Canada (en anglais CyberSecure Canada) utilise CAN/DGSI 104 comme référentiel de certification. Le CCN est l’unique organisme internationalement reconnu qui accrédite les organismes de certification du programme. L’INGN, en tant qu’organisme accrédité d’élaboration de normes, maintient la norme.
2.2 Structure du standard
Selon le rapport d’audit officiel CyberSécuritaire Canada (basé sur le référentiel CAN/DGSI 104:2021 / Rév. 1:2024), la norme contient 18 sections principales qui se déclinent en 90 sous-contrôles individuels auditables.
Les 18 sections sont organisées en trois grandes parties numérotées 4, 5 et 6 :
| Partie | Sections | Nb sous-contrôles | Domaine |
|---|---|---|---|
| Partie 4 — Gouvernance | 4 sections (4.1 à 4.4) | 26 | Leadership, accountability, training, risk assessment |
| Partie 5 — Contrôles de base obligatoires | 8 sections (5.1 à 5.8) | 37 | Incident response, patching, security software, configuration, authentification, sauvegardes, périmètre, contrôle d’accès |
| Partie 6 — Contrôles spécifiques au contexte | 6 sections (6.1 à 6.6) | 27 | Mobilité, cloud, sites Web, supports portables, POS, journaux |
| Total | 18 sections | 90 sous-contrôles |
La répartition fine selon l’audit officiel :
| Section | Nom | # sous-contrôles |
|---|---|---|
| 4.1 | Leadership | 5 |
| 4.2 | Accountability | 5 |
| 4.3 | Training | 5 |
| 4.4 | Cyber security risk assessment | 11 |
| 5.1 | Incident Response Plan | 5 |
| 5.2 | Automatically patch operating systems and applications | 3 |
| 5.3 | Enable security software | 1 |
| 5.4 | Securely configure devices | 3 |
| 5.5 | Use strong user authentication | 4 |
| 5.6 | Backup and encrypt data | 8 |
| 5.7 | Establish basic perimeter defences | 9 |
| 5.8 | Implement access control and authorization | 4 |
| 6.1 | Secure mobility | 12 |
| 6.2 | Secure cloud and outsourced IT services | 6 |
| 6.3 | Secure websites | 3 |
| 6.4 | Secure portable media | 4 |
| 6.5 | Point of sale (POS) and financial systems | 1 |
| 6.6 | Computer Security Log Management | 1 |
Note méthodologique sur les chiffres. Plusieurs sources tierces (consultants, sites d’organismes de certification) mentionnent « 18 contrôles principaux » et « 55 sous-contrôles » comme description structurelle. Cette information correspond au comptage des groupes de contrôles plutôt qu’au comptage des sous-contrôles individuels auditables. Le chiffre de 90 sous-contrôles individuels correspond aux items effectivement vérifiés lors d’un audit CyberSécuritaire Canada (vérifié sur un rapport d’audit officiel généré par un organisme de certification accrédité par le CCN). Selon le contexte d’usage (description marketing vs audit technique), les deux chiffres ont leur validité.
2.3 Architecture en deux niveaux
CAN/DGSI 104 introduit une distinction unique parmi les standards de cybersécurité : la séparation en deux niveaux d’exigences.
| Niveau | Public visé | Contenu |
|---|---|---|
| Niveau 1 (Fondamental) | Petites organisations qui abordent la cybersécurité pour la première fois | Protections de base, ressources TI limitées |
| Niveau 2 (Maturité) | Organisations plus matures qui consolident leur posture de cybersécurité | Renforce le Niveau 1 avec des exigences additionnelles |
La révision Rév. 1:2024 a clarifié les exigences distinctes entre Niveau 1 et Niveau 2 dans six domaines : formation en cybersécurité, évaluation des risques, plan d’intervention, configuration sécurisée, sauvegardes et sécurisation cloud/TI externalisé/sites Web.
2.4 Le contrôle 4.4.3.8 — la pierre angulaire
Selon la documentation officielle de l’INGN, le contrôle 4.4.3.8 stipule que « indépendamment des résultats de l’évaluation des risques de cybersécurité, l’organisation doit mettre en œuvre les contrôles de base de cybersécurité spécifiés aux Sections 5 et 6 de la norme ». Ce contrôle distingue CAN/DGSI 104 d’ISO 27001:2022, qui laisse à l’organisation le choix des contrôles applicables sur la base de son analyse des risques (via la SoA).
Cette approche prescriptive sur les baselines rend CAN/DGSI 104 plus accessible aux PME : pas besoin d’analyse de risques sophistiquée pour déterminer quels contrôles techniques implémenter — la liste de base est imposée.
2.5 Statut de maintenance
Selon le bulletin officiel publié sur le site de l’INGN, une revue de maintenance périodique de la norme a été lancée le 10 décembre 2025 pour une durée de 90 jours, se terminant le 10 mars 2026. Cette revue examinait notamment les directives spécifiques aux environnements cloud, à la mobilité, aux sites Web et à la gestion des journaux. Une éventuelle nouvelle révision serait publiée à la suite de cette période de revue.
3. Comparaison directe : tableau synthétique
En bref : ISO 27001:2022 et CAN/DGSI 104 diffèrent sur tous les axes structurels : leur nature (système de management complet vs liste de contrôles de base), leur portée géographique (mondiale vs canadienne), leur public cible (toute organisation vs PME), leur structure (93 contrôles + clauses SMSI vs 90 sous-contrôles répartis en 18 sections), et leur architecture de confiance (chaîne IAF/CB vs CCN/CB). Elles partagent en revanche un fondement de cybersécurité commun et reconnaissent toutes deux la valeur d’une approche basée sur les risques.
| Critère | ISO/IEC 27001:2022 | CAN/DGSI 104:2021 Rév. 1:2024 |
|---|---|---|
| Type | Norme internationale du SMSI | Norme nationale canadienne de contrôles de base |
| Émetteur | ISO/IEC | INGN (Institut des normes de gouvernance numérique) |
| Programme associé | s.o. | CyberSécuritaire Canada |
| Autorité d’accréditation | IAF (via organismes nationaux : SCC, ANAB, UKAS, etc.) | CCN (Conseil canadien des normes) |
| Reconnaissance | Internationale via accords IAF MLA | Canadienne |
| Public visé | Toute organisation, toute taille, tout secteur | PME canadiennes (typiquement moins de 500 employés) |
| Approche | Système de management complet basé sur le risque | Contrôles de base prescriptifs en deux niveaux |
| Document central | Statement of Applicability (SoA) | Évaluation des risques + implémentation des baselines |
| Nb de contrôles | 93 contrôles Annexe A + clauses 4-10 | 18 sections principales (90 sous-contrôles auditables) |
| Niveaux | Un seul niveau (calibration via analyse de risque) | Deux niveaux : Fondamental et Maturité |
| Caractère | Volontaire, devenant exigence client/fournisseur | Volontaire |
| Audit | Stage 1 (revue documentaire) + Stage 2 (revue opérationnelle) | Audit Stage 1 + Stage 2 (selon les modalités CCN) |
| Cycle de certification | 3 ans + audits de surveillance annuels | 2 ans typiquement (voir section 8) |
| Coût relatif | Élevé (audit complet + maintien SMSI) | Modéré (conçu pour PME) |
| Caractère prescriptif | Flexibilité maximale via la SoA | Prescription forte des baselines techniques |
| Domaines couverts | Gouvernance, RH, physique, technologique (4 thèmes) | Gouvernance, formation, technique, sauvegarde, fournisseurs |
| Mention dans la norme | s.o. | Aligné avec NIST, ISO 27001 et PCI DSS |
| Maintenance en cours | Cycle de révision typique (5 ans) | Revue périodique 10 déc. 2025 → 10 mars 2026 |
4. SMSI complet vs baseline pratique : la différence d’approche
En bref : ISO 27001:2022 est un système de management complet : l’organisation définit son contexte, identifie ses risques, choisit ses contrôles via la SoA, et démontre l’amélioration continue. CAN/DGSI 104 est un référentiel de baselines : l’organisation implémente une liste prescrite de contrôles de base, plus une évaluation des risques pour déterminer les contrôles supplémentaires éventuels. La première laisse une liberté de calibration mais demande un effort organisationnel substantiel; la seconde est plus prescriptive mais plus rapide à mettre en place.
4.1 ISO 27001:2022 — le management plutôt que la liste
ISO 27001:2022 atteste qu’une organisation possède un système qui :
- identifie son contexte, ses parties prenantes et leurs exigences (clause 4);
- planifie ses risques de sécurité et choisit comment les traiter (clauses 6.1.2 et 6.1.3);
- opère ses contrôles documentés dans la SoA (clause 8);
- mesure la performance de son SMSI (clause 9);
- améliore en continu (clause 10).
L’Annexe A des 93 contrôles est une boîte à outils : chaque organisation choisit lesquels appliquer en fonction de ses risques. La justification des choix se fait via la SoA. Une boutique en ligne de 10 employés peut légitimement décider qu’A.7.4 (surveillance physique) est non-applicable parce qu’elle opère exclusivement dans le cloud — à condition de le justifier dans la SoA.
4.2 CAN/DGSI 104 — la prescription des baselines
CAN/DGSI 104 atteste qu’une organisation a implémenté une liste de contrôles qui :
- couvrent les 18 sections (90 sous-contrôles auditables) du standard;
- correspondent à son niveau de maturité (Niveau 1 ou Niveau 2);
- incluent tous les contrôles de base obligatoires des Sections 5 et 6 du standard, indépendamment du résultat de l’évaluation des risques (selon le contrôle 4.4.3.8).
L’évaluation des risques reste exigée mais elle ne sert pas à éliminer des contrôles — elle sert à identifier des contrôles additionnels au-delà des baselines.
4.3 Conséquence pratique pour les organisations
| Dimension | ISO 27001:2022 | CAN/DGSI 104 |
|---|---|---|
| Effort de scoping | Élevé (définir le contexte, le périmètre, les risques) | Modéré (le périmètre est l’organisation et son écosystème TI) |
| Effort d’analyse de risques | Élevé (méthodologie, évaluation, traitement) | Modéré (l’évaluation alimente les contrôles additionnels) |
| Effort d’implémentation | Variable selon la SoA | Plus prévisible (baselines prescrites) |
| Effort de maintien | Élevé (système vivant) | Modéré (revue annuelle des contrôles) |
| Documentation | SoA complète obligatoire | Documentation par contrôle, plus simple |
| Adaptation aux évolutions | Forte (le SMSI s’adapte) | Limitée par le caractère prescriptif |
5. Structures de contrôles : 93 contrôles ISO vs 90 sous-contrôles CAN/DGSI 104
En bref : ISO 27001:2022 organise ses 93 contrôles en 4 thèmes (organisationnel, humain, physique, technologique). CAN/DGSI 104 organise ses 90 sous-contrôles auditables en 18 sections groupées en 3 parties (Gouvernance, Contrôles de base, Contrôles spécifiques au contexte). Le ratio quantitatif est très proche (93 vs 90) — ce qui contredit l’image de simplicité que CAN/DGSI 104 projette parfois. La différence réelle ne se situe pas dans le nombre de contrôles mais dans leur calibrage pour les PME et dans l’absence d’exigences SMSI (clauses 4-10 d’ISO 27001 sans équivalent direct).
5.1 ISO 27001:2022 — les 4 thèmes de l’Annexe A
| Thème | Codes | Nb contrôles | Exemples typiques |
|---|---|---|---|
| Organisationnels | A.5 | 37 | A.5.1 Politiques, A.5.7 Threat intelligence, A.5.15 Access control, A.5.23 Cloud services |
| Personnes | A.6 | 8 | A.6.1 Screening, A.6.3 Awareness, A.6.7 Remote working |
| Physiques | A.7 | 14 | A.7.1 Perimeters, A.7.4 Physical monitoring, A.7.7 Clear desk |
| Technologiques | A.8 | 34 | A.8.5 Secure authentication, A.8.16 Monitoring, A.8.24 Cryptography, A.8.28 Secure coding |
| Total | — | 93 | + clauses 4-10 obligatoires (SMSI) |
5.2 CAN/DGSI 104 — 18 sections en 3 parties
Selon le référentiel officiel utilisé pour les audits CyberSécuritaire Canada, les 90 sous-contrôles auditables sont répartis en 18 sections, elles-mêmes regroupées en 3 parties :
Partie 4 — Gouvernance (4 sections, 26 sous-contrôles)
| Section | Nom | # sous-contrôles | Couverture typique |
|---|---|---|---|
| 4.1 | Leadership | 5 | Établissement de la politique, alignement stratégique, ressources, communication |
| 4.2 | Accountability | 5 | Programme de cybersécurité à l’échelle de l’entreprise, politiques, formation, ressources, conformité |
| 4.3 | Training | 5 | Formation et sensibilisation des employés |
| 4.4 | Cyber security risk assessment | 11 | Évaluation des risques, identification des actifs, contrôle 4.4.3.8 sur les baselines obligatoires |
Partie 5 — Contrôles de base obligatoires (8 sections, 37 sous-contrôles)
| Section | Nom | # sous-contrôles | Couverture typique |
|---|---|---|---|
| 5.1 | Incident Response Plan | 5 | Plan d’intervention documenté, équipe, tests |
| 5.2 | Automatically patch operating systems and applications | 3 | Application automatique des correctifs |
| 5.3 | Enable security software | 1 | Anti-malware, EDR, configuration |
| 5.4 | Securely configure devices | 3 | Hardening des configurations, désactivation des services inutiles |
| 5.5 | Use strong user authentication | 4 | MFA, gestion des mots de passe, secrets |
| 5.6 | Backup and encrypt data | 8 | Sauvegardes chiffrées, isolation, tests de restauration |
| 5.7 | Establish basic perimeter defences | 9 | Pare-feu, segmentation, Wi-Fi sécurisé (WPA2/WPA3-Enterprise) |
| 5.8 | Implement access control and authorization | 4 | Principe du moindre privilège, gestion des accès |
Partie 6 — Contrôles spécifiques au contexte (6 sections, 27 sous-contrôles)
| Section | Nom | # sous-contrôles | Couverture typique |
|---|---|---|---|
| 6.1 | Secure mobility | 12 | Encadrement des appareils mobiles, BYOD, télétravail |
| 6.2 | Secure cloud and outsourced IT services | 6 | Configuration cloud, contrôle d’accès, journalisation, tiers |
| 6.3 | Secure websites | 3 | Sécurité des applications publiques |
| 6.4 | Secure portable media | 4 | Clés USB, supports amovibles |
| 6.5 | Point of sale (POS) and financial systems | 1 | Conformité PCI DSS lorsque applicable |
| 6.6 | Computer Security Log Management | 1 | Gestion centralisée des journaux |
Particularité de la Partie 6. Les contrôles de la Partie 6 sont conditionnels : ils s’appliquent seulement si l’organisation utilise le service ou environnement concerné. Une organisation sans terminaux POS, par exemple, peut légitimement marquer le contrôle 6.5.2.1 comme « non applicable », pourvu que cette absence soit documentée et justifiée auprès de l’auditeur.
5.3 Comparaison qualitative
Sur le nombre de contrôles, les deux référentiels sont structurellement comparables (93 vs 90). Cela contredit l’image courante d’une CAN/DGSI 104 « simple » par rapport à ISO 27001:2022 « complexe ». La complexité d’ISO 27001 vient principalement des clauses 4-10 (système de management, analyse de risques, SoA, amélioration continue) qui n’ont pas d’équivalent direct dans CAN/DGSI 104.
Couverture comparable :
- Les sections 4.1 à 4.4 de CAN/DGSI 104 couvrent un sous-ensemble des clauses 4-10 d’ISO 27001 (leadership, gouvernance, formation, gestion des risques) — mais sans la rigueur du SMSI complet.
- La Partie 5 de CAN/DGSI 104 correspond aux contrôles techniques A.5, A.7 et A.8 d’ISO 27001 — avec une approche plus prescriptive (les baselines sont obligatoires).
- La Partie 6 de CAN/DGSI 104 correspond à des contrôles spécifiques (cloud, mobilité) couverts dans ISO 27001 par A.5.23 (Cloud), A.6.7 (Remote working), A.8.1 (User end point devices).
ISO 27001:2022 inclut des contrôles sans équivalent direct dans CAN/DGSI 104 :
- A.5.7 Threat intelligence (renseignement sur les menaces)
- A.8.16 Monitoring activities au niveau d’ISO (CAN/DGSI 104 traite la journalisation en 6.6 mais de façon très succincte — un seul sous-contrôle)
- A.8.28 Secure coding (pratiques de développement sécurisé)
- A.8.34 Audit testing (audits techniques)
- A.5.35 Independent review of information security
CAN/DGSI 104 inclut des prescriptions opérationnelles plus explicites que la plupart des contrôles ISO :
- L’obligation de WPA2-AES minimum, WPA2/WPA3-Enterprise préféré dans le sous-contrôle 5.7.3.5 (vs A.8.20 ISO qui décrit le principe sans prescrire la technologie)
- L’obligation explicite de patching automatique en section 5.2 (vs A.8.8 ISO qui parle de « gestion des vulnérabilités » de façon plus ouverte)
- Des prescriptions de sauvegardes chiffrées et isolées en section 5.6 (vs A.8.13 ISO sur les sauvegardes en général)
- L’obligation explicite de PCI DSS pour les terminaux POS (sous-contrôle 6.5.2.1) — exigence qu’ISO 27001 laisse au jugement de l’organisation
6. Recouvrement entre les deux standards
En bref : Selon l’analyse Factero (basée sur le mappage qualitatif des libellés des deux standards), une organisation conforme à ISO 27001:2022 couvre la grande majorité des exigences techniques de CAN/DGSI 104 — l’inverse n’est pas vrai. CAN/DGSI 104 est conçue comme un sous-ensemble pratique d’ISO 27001 et de NIST, axé sur les contrôles les plus impactants pour les PME. Une organisation qui détient déjà ISO 27001:2022 peut typiquement obtenir la certification CAN/DGSI 104 avec un effort principalement documentaire de re-formatage, sans changement technique majeur.
6.1 ISO 27001:2022 → CAN/DGSI 104 : couverture forte
Une organisation qui possède un SMSI ISO 27001:2022 mature et bien documenté couvre substantiellement les 18 sections de CAN/DGSI 104 :
| Partie CAN/DGSI 104 | Couverture par ISO 27001:2022 | Notes |
|---|---|---|
| Partie 4 — Gouvernance | Couverture forte | Clauses 4-10 d’ISO 27001 (contexte, leadership, planification, support) couvrent la majorité des 26 sous-contrôles |
| Partie 5 — Contrôles de base | Couverture quasi-totale | Les 37 sous-contrôles correspondent aux contrôles A.5, A.7 et A.8 d’ISO 27001:2022 |
| Partie 6 — Contrôles spécifiques | Couverture partielle à forte | Cloud (A.5.23), mobilité (A.6.7, A.8.1) bien couverts; PCI DSS (6.5) hors champ ISO |
L’effort résiduel pour une organisation ISO 27001 visant CAN/DGSI 104 consiste principalement à :
- Re-formater la documentation existante selon la structure CAN/DGSI 104 (les artefacts SoA d’ISO 27001 sont indexés par contrôle Annexe A; pour CAN/DGSI 104, ils doivent être indexés par sous-contrôle CSC).
- Vérifier la couverture explicite des baselines prescrites en Sections 5 et 6 (cf. contrôle 4.4.3.8) — certains baselines CAN/DGSI 104 sont plus prescriptifs que ce qu’autorise la SoA d’ISO 27001 (par exemple : 5.7.3.5 sur le Wi-Fi WPA2-AES minimum).
- Choisir le niveau (Niveau 1 ou Niveau 2) approprié selon la maturité.
- Engager un organisme de certification accrédité par le CCN.
6.2 CAN/DGSI 104 → ISO 27001:2022 : couverture partielle
L’inverse est moins direct. Une organisation certifiée CAN/DGSI 104 a une base technique solide mais devrait, pour ISO 27001:2022 :
- Bâtir un SMSI complet selon les clauses 4 à 10 (contexte, leadership, planification, support, amélioration continue).
- Produire une SoA qui couvre les 93 contrôles de l’Annexe A.
- Étendre le périmètre à des contrôles ISO non couverts par CAN/DGSI 104 (threat intelligence, secure coding, audit testing, etc.).
- Établir des processus de mesure et d’amélioration plus formels.
L’effort résiduel pour une organisation CAN/DGSI 104 visant ISO 27001:2022 est substantiellement plus important — il s’agit de monter en niveau de maturité organisationnelle, pas seulement de re-formater la documentation.
6.3 Recouvrement avec d’autres référentiels
Selon la documentation publique de l’INGN et des organismes de certification accrédités, CAN/DGSI 104 est alignée avec les référentiels suivants :
- NIST Cybersecurity Framework (CSF 2.0) et NIST SP 800-53
- ISO/IEC 27001 et 27002
- PCI DSS (Payment Card Industry Data Security Standard)
Cet alignement signifie que les organisations qui adoptent l’un de ces référentiels bénéficient d’une couverture partielle de CAN/DGSI 104 — sans toutefois en remplacer la certification.
7. Architectures de confiance : DGSI/SCC vs IAF/CB
En bref : ISO 27001:2022 repose sur une chaîne internationale (IAF → organismes d’accréditation nationaux → Certification Bodies). CAN/DGSI 104 repose sur une chaîne canadienne (CCN → organismes de certification accrédités, dont plusieurs sont également CB ISO 27001 — comme Complade, Cyber Security Canada, et d’autres). Le CCN est lui-même signataire des accords IAF MLA, ce qui rend les accréditations canadiennes reconnues internationalement, mais la portée du programme CyberSécuritaire Canada reste canadienne.
7.1 Chaîne ISO 27001:2022 (rappel)
ISO 27001:2022 repose sur :
- L’IAF (International Accreditation Forum) qui maintient les accords multilatéraux de reconnaissance (IAF MLA) entre organismes d’accréditation nationaux.
- Les organismes d’accréditation nationaux (au Canada : SCC/CCN; aux É.-U. : ANAB; au Royaume-Uni : UKAS; etc.) qui accréditent les Certification Bodies (CB) selon ISO/IEC 27006:2015 et ISO/IEC 17021-1:2015.
- Les Certification Bodies (CB) qui auditent les organisations et délivrent les certificats.
Mécanique d’audit ISO 27001:2022 :
- Stage 1 (revue documentaire) : le CB évalue la documentation du SMSI, le périmètre, la SoA.
- Stage 2 (revue opérationnelle) : le CB évalue la mise en œuvre effective, observe les processus, examine les preuves d’efficacité.
7.2 Chaîne CAN/DGSI 104 / CyberSécuritaire Canada
CAN/DGSI 104 repose sur :
- L’INGN (Institut des normes de gouvernance numérique / Digital Governance Standards Institute) qui maintient la norme en tant qu’organisme accrédité d’élaboration de normes par le CCN.
- Le CCN (Conseil canadien des normes / Standards Council of Canada) qui accrédite les organismes de certification du programme CyberSécuritaire Canada via le Programme d’accréditation des systèmes de management (MSAP).
- Les organismes de certification accrédités qui auditent les organisations canadiennes et délivrent les certificats CyberSécuritaire Canada selon CAN/DGSI 104:2021 Rév. 1:2024.
Selon le bulletin officiel publié par le CCN, les organismes de certification accrédités du programme CyberSécuritaire Canada ont reçu pour consigne, dès la publication de la révision 1:2024 (décembre 2024), de mettre à jour leurs systèmes de management de la qualité (SMQ) pour refléter le nouveau document.
7.3 Reconnaissance internationale
Le CCN est lui-même signataire des accords IAF MLA. Cela signifie que les accréditations qu’il délivre sont reconnues internationalement. Toutefois :
- L’accréditation du CCN est reconnue internationalement.
- Le programme CyberSécuritaire Canada lui-même est canadien : les certificats sont émis dans le cadre national canadien et leur portée commerciale est principalement canadienne.
- Les CB accrédités par le CCN pour CyberSécuritaire Canada sont également souvent CB accrédités pour ISO 27001:2022 (cas de Complade et de Cyber Security Canada notamment), ce qui simplifie la vie d’une organisation visant les deux certifications.
8. Cycles de certification
En bref : ISO 27001:2022 utilise un cycle de 3 ans avec audits de surveillance annuels et re-certification complète au terme du cycle. CyberSécuritaire Canada (basé sur CAN/DGSI 104) utilise typiquement un cycle de 2 ans, avec des modalités d’audit définies par les organismes de certification accrédités par le CCN. Les durées et modalités précises varient selon les CB; consulter directement le CB choisi pour les modalités applicables.
8.1 Cycle ISO 27001:2022
| Étape | Durée typique |
|---|---|
| Préparation initiale | 6 à 18 mois (selon maturité initiale) |
| Audit de certification (Stage 1 + Stage 2) | 1 à 4 mois |
| Surveillance annuelle 1 | À 12 mois |
| Surveillance annuelle 2 | À 24 mois |
| Re-certification complète | À 36 mois |
Chaque audit de surveillance couvre typiquement environ un tiers du SMSI par année, selon la programmation du CB. Le cycle total est de 3 ans entre deux re-certifications complètes.
8.2 Cycle CyberSécuritaire Canada / CAN/DGSI 104
Le programme CyberSécuritaire Canada utilise un cycle plus court et adapté aux PME :
- Audit initial : Stage 1 (revue documentaire) + Stage 2 (audit de conformité opérationnelle).
- Cycle typique : 2 ans, avec modalités de surveillance définies par le CB.
- Re-certification : audit complet au terme du cycle.
Selon les informations publiques disponibles auprès de plusieurs CB accrédités (Complade, Cyber Security Canada, etc.), le processus type comporte :
- Application initiale et estimation par le CB.
- Réunion de cadrage et signature du contrat de certification.
- Audit Stage 1 (politiques, procédures, évaluation des risques, rapport OWASP Top 10, rapport de formation).
- Audit Stage 2 (vérification opérationnelle).
- Délivrance du certificat CyberSécuritaire Canada.
- Surveillance et re-certification selon le cycle convenu.
Les modalités précises (durée, fréquence des audits de surveillance, coûts) varient selon les CB. Une organisation candidate devrait consulter directement plusieurs CB accrédités par le CCN pour obtenir des estimations comparables.
9. Comment choisir : stratégie de séquencement
En bref : Pour une PME canadienne sans expérience préalable en cybersécurité formelle, CAN/DGSI 104 est typiquement le point d’entrée optimal : moins coûteux, plus rapide, prescriptif sur les baselines techniques, et reconnu par le marché canadien (clients, partenaires, assureurs). ISO 27001:2022 devient pertinent ensuite quand l’organisation grandit, sert des clients internationaux, ou doit répondre à des exigences contractuelles spécifiques. Pour une organisation déjà certifiée ISO 27001:2022, l’ajout de CAN/DGSI 104 est principalement un travail de re-formatage.
9.1 Trois constats stratégiques
Premier constat : CAN/DGSI 104 et ISO 27001 ne sont pas substituables, ils sont complémentaires.
Les deux standards ont des publics et des objectifs différents :
- CAN/DGSI 104 = base de cybersécurité accessible aux PME canadiennes, reconnaissance canadienne, coût modéré.
- ISO 27001:2022 = système de management complet, reconnaissance internationale, coût plus élevé, flexibilité maximale.
Une organisation peut légitimement avoir besoin des deux si elle sert un marché mixte canadien/international.
Deuxième constat : CAN/DGSI 104 est conçue comme un point d’entrée.
Selon la documentation officielle de l’INGN, CAN/DGSI 104 vise à fournir aux PME un cadre pratique, accessible et abordable pour aborder la cybersécurité. C’est un excellent point de départ pour une PME qui n’a jamais formalisé sa posture de cybersécurité. ISO 27001:2022 devient pertinent ensuite, en consolidation, quand la maturité organisationnelle le justifie.
Troisième constat : la transition CAN/DGSI 104 → ISO 27001:2022 est unidirectionnelle.
Pour une organisation qui détient déjà CAN/DGSI 104 et qui vise ISO 27001:2022, le travail consiste à bâtir un SMSI complet au-dessus de la base technique existante. Pour une organisation qui détient déjà ISO 27001:2022 et qui vise CAN/DGSI 104, le travail est principalement documentaire (re-formatage de la SoA selon la structure CAN/DGSI 104, vérification de la couverture explicite des baselines).
9.2 Combinaison optimale
Pour une PME canadienne ambitieuse :
- An 1 — CAN/DGSI 104 Niveau 1. Établir la base de cybersécurité, documenter les premières politiques, mettre en place les baselines techniques (MFA, sauvegardes, configuration sécurisée), former les employés. Coût modéré, audit rapide, gain de crédibilité immédiat auprès des clients et partenaires canadiens.
- An 2-3 — CAN/DGSI 104 Niveau 2. Renforcer la posture, formaliser l’évaluation des risques, étendre les contrôles de surveillance et de gestion des fournisseurs. C’est le bon moment pour préparer le terrain ISO.
- An 3-5 — ISO 27001:2022. Bâtir le SMSI complet par-dessus la base existante. Engager un CB qui est aussi accrédité pour CAN/DGSI 104 (Complade, Cyber Security Canada, etc.) pour bénéficier de la continuité d’audit. Cibler la reconnaissance internationale et les contrats internationaux.
9.3 Cas particulier : organisations québécoises visant la TGV
Pour une organisation québécoise du secteur santé qui vise également la certification TGV (Trousse globale de vérification du MSSS), le séquencement optimal n’est pas CAN/DGSI 104 → ISO 27001 → TGV mais plutôt ISO 27001:2022 → TGV, parce que la TGV (104 critères dans son volet Sécurité) se cartographie principalement vers les 93 contrôles de l’Annexe A d’ISO 27001:2022. Voir notre article comparatif sur la certification TGV pour le détail.
CAN/DGSI 104 reste néanmoins pertinente pour les PME québécoises hors secteur santé qui veulent une première étape accessible avant ISO 27001:2022.
10. Glossaire
- ANAB — ANSI National Accreditation Board (organisme d’accréditation américain).
- CB — Certification Body (organisme de certification).
- CAN/CIOSC 104 — Ancien code de la norme CAN/DGSI 104 (CIOSC = Conseil canadien des normes).
- CAN/DGSI 104 — Norme nationale du Canada « Contrôles de base de la cybersécurité pour les petites et moyennes organisations », publiée par l’INGN.
- CCN — Conseil canadien des normes (en anglais Standards Council of Canada / SCC). Autorité d’accréditation canadienne, signataire des accords IAF MLA.
- CSF — Cybersecurity Framework (NIST).
- CyberSécuritaire Canada — Programme de certification canadien dont le référentiel technique est CAN/DGSI 104. Autorité du programme : CCN.
- DGSI — Digital Governance Standards Institute (en français INGN). Organisme accrédité d’élaboration de normes, division indépendante du Digital Governance Council.
- IAF — International Accreditation Forum. Maintient les accords MLA entre organismes d’accréditation nationaux.
- INGN — Institut des normes de gouvernance numérique (en anglais DGSI).
- ISO/IEC 17021-1 — Norme définissant les exigences pour les organismes procédant à l’audit et à la certification de systèmes de management.
- ISO/IEC 27001:2022 — Norme internationale du SMSI.
- ISO/IEC 27002:2022 — Code de pratique des contrôles de sécurité (lignes directrices).
- ISO/IEC 27006:2015 — Exigences pour les organismes d’audit et de certification de SMSI.
- MLA — Multilateral Recognition Arrangement (accords IAF d’accréditation).
- MSAP — Management Systems Accreditation Program (programme d’accréditation des systèmes de management du CCN).
- NIST — National Institute of Standards and Technology (États-Unis).
- NIST CSF — NIST Cybersecurity Framework (cadre de cybersécurité du NIST).
- PCI DSS — Payment Card Industry Data Security Standard.
- PME — Petites et moyennes entreprises (en anglais SME).
- SCC — Standards Council of Canada (en français CCN).
- SoA — Statement of Applicability (Déclaration d’applicabilité; document central d’ISO 27001:2022).
- SMQ — Système de management de la qualité.
- SMSI — Système de management de la sécurité de l’information (ISO 27001:2022).
- TC 5 — Comité technique de l’INGN sur la cybersécurité, qui maintient la norme CAN/DGSI 104.
11. FAQ
Quelle est la différence principale entre ISO 27001:2022 et CAN/DGSI 104?
ISO 27001:2022 est une norme internationale qui définit un système de management complet de la sécurité de l’information (93 contrôles Annexe A + clauses 4-10), reconnue mondialement via les accords IAF MLA. CAN/DGSI 104 est une norme nationale canadienne qui définit des contrôles de base de cybersécurité spécifiquement conçus pour les PME (18 sections groupées en 3 parties, totalisant 90 sous-contrôles auditables), reconnue principalement au Canada via le programme CyberSécuritaire Canada.
CAN/DGSI 104 est-elle obligatoire au Canada?
Non. La norme CAN/DGSI 104 elle-même n’est pas obligatoire. Le programme CyberSécuritaire Canada qui l’utilise comme référentiel est volontaire. De nombreuses organisations adoptent toutefois la norme volontairement pour répondre aux attentes des clients, partenaires et assureurs canadiens.
Une certification ISO 27001:2022 dispense-t-elle de CAN/DGSI 104?
Pas formellement. Les deux certifications sont distinctes et peuvent toutes deux être visées. Cependant, une organisation certifiée ISO 27001:2022 couvre substantiellement les exigences de CAN/DGSI 104 et peut typiquement obtenir la certification CAN/DGSI 104 avec un effort principalement documentaire de re-formatage et de vérification des baselines prescrites en Sections 5 et 6 de la norme.
Combien coûte une certification CAN/DGSI 104 par rapport à ISO 27001:2022?
Les coûts varient selon la taille de l’organisation, le niveau visé (Niveau 1 ou Niveau 2 pour CAN/DGSI 104) et le CB retenu. De manière générale, CAN/DGSI 104 est nettement moins coûteuse qu’ISO 27001:2022, notamment parce qu’elle est conçue pour les PME et que le périmètre d’audit est plus restreint. Pour une estimation chiffrée, consulter directement plusieurs CB accrédités par le CCN.
Combien de temps faut-il pour obtenir la certification CAN/DGSI 104?
La préparation typique pour une PME varie de 3 à 9 mois, selon la maturité initiale. L’audit lui-même (Stage 1 + Stage 2) est plus court qu’un audit ISO 27001:2022 et peut être réalisé en quelques semaines à quelques mois. C’est l’un des avantages structurels de CAN/DGSI 104 par rapport à ISO 27001:2022.
Qu’est-ce que le Niveau 1 vs le Niveau 2 dans CAN/DGSI 104?
Le Niveau 1 (Fondamental) s’adresse aux petites organisations qui abordent la cybersécurité pour la première fois. Le Niveau 2 (Maturité) s’adresse aux organisations plus matures et renforce le Niveau 1 avec des exigences additionnelles. La révision 2024 a clarifié les exigences distinctes entre les deux niveaux dans six domaines (formation, évaluation des risques, plan d’intervention, configuration, sauvegardes, sécurisation cloud/TI externalisé/sites Web).
Qui maintient CAN/DGSI 104?
La norme est maintenue par l’Institut des normes de gouvernance numérique (INGN) via son Comité technique TC 5 sur la cybersécurité, qui réunit plus de 170 experts. L’INGN est une division indépendante du Digital Governance Council et un organisme accrédité d’élaboration de normes par le CCN. Une revue de maintenance périodique est en cours du 10 décembre 2025 au 10 mars 2026.
Quelle est la différence entre CAN/CIOSC 104 et CAN/DGSI 104?
C’est la même norme, renommée. Elle a été initialement publiée en 2021 sous le code CAN/CIOSC 104:2021 (CIOSC = Conseil canadien des normes — ancienne dénomination). Suite à l’évolution institutionnelle et à la révision de décembre 2024, elle est désormais publiée sous le code CAN/DGSI 104:2021 / Rév. 1:2024.
CAN/DGSI 104 remplace-t-elle ISO 27001:2022 pour une PME?
Non, mais elle peut être un point de départ optimal. Pour une PME canadienne sans expérience préalable en cybersécurité formelle, CAN/DGSI 104 offre un cadre plus accessible et plus pratique qu’ISO 27001:2022. Elle ne remplace cependant pas ISO 27001:2022 pour les organisations qui visent une reconnaissance internationale ou qui doivent répondre à des exigences contractuelles spécifiques. La progression CAN/DGSI 104 → ISO 27001:2022 est une stratégie cohérente.
CAN/DGSI 104 couvre-t-elle la protection des renseignements personnels?
Partiellement. CAN/DGSI 104 couvre les contrôles techniques qui protègent les données (chiffrement, contrôle d’accès, sauvegardes, MFA, etc.). Elle ne couvre pas les obligations légales spécifiques de protection des renseignements personnels, qui relèvent de la Loi 25 au Québec, de la PIPEDA au fédéral, et désormais de la Loi 5 (LRSSS) pour le secteur santé québécois. Pour une couverture complète des obligations privacy, ISO 27001:2022 + ISO 27701 (Privacy Information Management System) ou d’autres approches sont nécessaires.
12. Sources et méthodologie
12.1 Sources officielles
Documents INGN / DGSI :
- Page produit officielle CAN/DGSI 104:2021 / Rév. 1:2024 — dgc-cgn.org/product/can-dgsi-1042021-rev-12024
- Annonce de la révision 1:2024 (10 décembre 2024) — dgc-cgn.org/dgsi-publishes-new-revision-of-can-dgsi-104-baseline-cyber-security-controls-for-smes
- Annonce francophone (INGN) — dgc-cgn.org/fr/lingn-publie-une-version-revisee-de-la-norme-can-dgsi-104
- Annonce de la revue de maintenance (10 décembre 2025) — dgc-cgn.org/periodic-maintenance-begins-for-can-dgsi-104-baseline-cyber-security-controls-for-small-and-medium-organizations
Documents CCN / SCC :
- Bulletin officiel sur la mise à jour CyberSécuritaire Canada — scc-ccn.ca/accreditation/bulletins/update-cybersecure-canada-candgsi-1042021-rev-1-2024-0
Documents ISO :
- ISO/IEC 27001:2022 — iso.org/standard/27001
- ISO/IEC 27002:2022 (lignes directrices)
- ISO/IEC 27006:2015 (exigences pour organismes d’audit et de certification de SMSI)
- ISO/IEC 27007:2020 (lignes directrices pour l’audit du SMSI)
- ISO/IEC 27008:2019 (lignes directrices pour l’audit des contrôles de l’Annexe A)
- ISO/IEC 17021-1:2015 (exigences pour les organismes d’audit et de certification de systèmes de management)
- IAF Resolution 2021-22 (transition ISO 27001:2013 → 2022, échéance 31 octobre 2025)
Sources tierces consultées :
- Sites publics d’organismes de certification accrédités par le CCN pour CyberSécuritaire Canada (Cyber Security Canada, Complade, allCare IT, Birmingham Consulting, Équipe Microfix, WatchDog Security)
- Sites de référence sur CAN/DGSI 104 (candgsi104.ca)
12.2 Méthodologie
Comparaison structurelle. La comparaison entre les deux standards est conduite par croisement entre les libellés officiels publiés par ISO/IEC (pour ISO 27001:2022) et l’INGN (pour CAN/DGSI 104).
Origine des chiffres structurels. Les chiffres précis utilisés pour CAN/DGSI 104 (18 sections principales, 90 sous-contrôles auditables répartis en 3 parties — 4 sections en Partie 4, 8 en Partie 5, 6 en Partie 6) proviennent de l’analyse d’un rapport d’audit officiel CyberSécuritaire Canada généré par un organisme de certification accrédité par le CCN. Ce rapport reflète la liste exacte des sous-contrôles vérifiés lors d’un audit réel. Le chiffre alternatif de « 55 sous-contrôles » mentionné dans plusieurs sources tierces (consultants, sites d’organismes de certification) correspond probablement à un comptage de groupes intermédiaires plutôt qu’aux sous-contrôles individuels auditables; les deux chiffres ont leur validité selon le contexte d’usage. Pour ISO 27001:2022, les chiffres (93 contrôles Annexe A, 11 nouveaux contrôles, 4 thèmes de répartition 37/8/14/34) proviennent directement de la norme.
Estimations de couverture. Les évaluations qualitatives de recouvrement (couverture forte ISO → CAN/DGSI 104, couverture partielle CAN/DGSI 104 → ISO) sont issues de l’analyse Factero, fondée sur le mappage qualitatif des libellés et sur l’expérience de certification CAN/DGSI 104 de la firme. Une cartographie exhaustive sous-contrôle par sous-contrôle CAN/DGSI 104 ↔ contrôle ISO 27001:2022 est un livrable identifié comme à venir.
Limites éditoriales. Le texte intégral des 90 sous-contrôles CAN/DGSI 104 n’est pas reproduit dans cet article par respect du droit d’auteur de l’INGN sur le texte officiel de la norme. Les organisations qui souhaitent consulter le texte intégral peuvent acquérir le document directement auprès de l’INGN ou demander à un organisme de certification accrédité par le CCN un échantillon de la grille d’audit.
12.3 Mises à jour de l’article
- 20 avril 2026 : publication initiale.
- 20 avril 2026 (v1.1) : correction structurelle majeure suite à l’analyse d’un rapport d’audit officiel CyberSécuritaire Canada de Factero. La structure réelle de CAN/DGSI 104 comporte 18 sections regroupées en 3 parties (4 sections de Gouvernance, 8 sections de Contrôles de base, 6 sections de Contrôles spécifiques au contexte) totalisant 90 sous-contrôles individuels auditables, et non « 18 contrôles principaux et 55 sous-contrôles » comme rapporté dans plusieurs sources tierces. Sections 2.2, 3, 5.1, 5.2, 5.3, 6.1 mises à jour. Méthodologie renforcée. Déclaration de transparence enrichie (source primaire interne).
À propos de l’auteur
Sébastien Robert est associé principal chez Services conseils Factero, une firme indépendante de services-conseils en gouvernance TI, cybersécurité et conformité, établie à Saint-Jean-sur-Richelieu (Québec). Il pratique en TI depuis 2002, avec une spécialisation en gouvernance, audit, cybersécurité et conformité.
Déclaration de transparence. Services conseils Factero est elle-même certifiée CAN/DGSI 104:2021 (Rév. 1:2024) dans le cadre du programme CyberSécuritaire Canada. Une partie des données structurelles précises présentées dans cet article (notamment la répartition exacte des 90 sous-contrôles auditables en 18 sections regroupées en 3 parties) provient de l’analyse du rapport d’audit officiel généré par l’organisme de certification accrédité par le CCN lors de la certification de Factero. La firme accompagne par ailleurs des organisations dans leur préparation à ISO 27001:2022, à CAN/DGSI 104 et à la certification TGV du MSSS. Cette double position — utilisatrice du standard et accompagnatrice d’autres organisations — constitue à la fois un avantage (connaissance terrain confirmée par audit réel) et un possible biais en faveur des standards mentionnés. Cet article est rédigé à des fins informatives et éducatives. Il ne constitue pas un avis juridique ni une garantie de conformité. Les organisations qui visent l’une ou l’autre certification devraient consulter directement plusieurs organismes de certification accrédités.
Articles connexes
- Certification TGV au Québec : 254 critères en 6 volets — l’article pilier sur la TGV, avec comparaison à ISO 27001:2022.
- Le volet Sécurité de la TGV : 104 critères en 16 sous-domaines (S01 à S16) — guide détaillé du volet Sécurité de la TGV.
À venir dans la grappe Conformité Canada :
- Cartographie sous-contrôle par sous-contrôle CAN/DGSI 104 ↔ ISO 27001:2022
- Comment se préparer à la certification CyberSécuritaire Canada : guide en 5 phases
- Niveau 1 vs Niveau 2 de CAN/DGSI 104 : comment choisir