{"id":323,"date":"2026-04-14T07:04:00","date_gmt":"2026-04-14T07:04:00","guid":{"rendered":"https:\/\/blog.factero.ca\/?p=323"},"modified":"2026-05-02T18:12:12","modified_gmt":"2026-05-02T18:12:12","slug":"volet-securite-tgv-s01-s16-criteres","status":"publish","type":"post","link":"https:\/\/factero.ca\/blog\/volet-securite-tgv-s01-s16-criteres\/","title":{"rendered":"Le volet S\u00e9curit\u00e9 de la TGV : 104 crit\u00e8res en 16 sous-domaines (S01 \u00e0 S16) expliqu\u00e9s"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">R\u00e9ponse rapide <\/h2>\n\n\n\n<p><strong>Le volet S\u00e9curit\u00e9 de la TGV compte 104 crit\u00e8res r\u00e9partis en 16 sous-domaines num\u00e9rot\u00e9s S01 \u00e0 S16.<\/strong> C&rsquo;est le volet le plus volumineux du r\u00e9f\u00e9rentiel : il repr\u00e9sente <strong>40,9 % des 254 crit\u00e8res totaux<\/strong>.<\/p>\n\n\n\n<p>Cet article :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>d\u00e9crit chacun des 16 sous-domaines avec son <strong>libell\u00e9 officiel exact<\/strong>, son <strong>nombre de crit\u00e8res<\/strong> et des <strong>citations litt\u00e9rales<\/strong> des crit\u00e8res cl\u00e9s (issues du fichier source <code>liste-criteres-TGV_v2024-06-18.xls<\/code>);<\/li>\n\n\n\n<li>distingue clairement <strong>ce qu&rsquo;exige le crit\u00e8re<\/strong> (citation officielle) et <strong>les approches typiques de mise en \u0153uvre<\/strong> (recommandations);<\/li>\n\n\n\n<li>fournit une <strong>cartographie d\u00e9taill\u00e9e<\/strong> de chaque sous-domaine vers les contr\u00f4les ISO 27001:2022 (Annexe A);<\/li>\n\n\n\n<li>explique comment <strong>r\u00e9utiliser une SoA ISO 27001:2022<\/strong> pour structurer le dossier TGV;<\/li>\n\n\n\n<li>signale l&rsquo;<strong>anomalie de num\u00e9rotation S08.19<\/strong> dans le fichier officiel.<\/li>\n<\/ol>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Note pr\u00e9alable.<\/strong> Cet article reproduit des citations courtes des crit\u00e8res TGV \u00e0 des fins d&rsquo;illustration analytique. Le fichier officiel reste la r\u00e9f\u00e9rence pour toute pr\u00e9paration effective; consultez-le directement.<\/p>\n<\/blockquote>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Sommaire<\/h2>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"#1-position-du-volet-securite-dans-la-tgv\">Position du volet S\u00e9curit\u00e9 dans la TGV<\/a><\/li>\n\n\n\n<li><a href=\"#2-pourquoi-16-sous-domaines\">Pourquoi 16 sous-domaines? Une parent\u00e9 ISO 27001:2013<\/a><\/li>\n\n\n\n<li><a href=\"#3-comment-lire-les-sections\">Comment lire les sections par sous-domaine<\/a><\/li>\n\n\n\n<li><a href=\"#4-les-16-sous-domaines-en-detail\">Les 16 sous-domaines en d\u00e9tail<\/a><\/li>\n\n\n\n<li><a href=\"#5-cartographie-iso-270012022\">Cartographie d\u00e9taill\u00e9e S01-S16 \u2194 ISO 27001:2022<\/a><\/li>\n\n\n\n<li><a href=\"#6-reutiliser-soa-iso-27001\">Comment r\u00e9utiliser votre SoA ISO 27001:2022 dans le dossier TGV<\/a><\/li>\n\n\n\n<li><a href=\"#7-anomalie-s0819\">L&rsquo;anomalie du crit\u00e8re S08.19<\/a><\/li>\n\n\n\n<li><a href=\"#8-mecanisme-exception-msss\">Le m\u00e9canisme d&rsquo;exception MSSS<\/a><\/li>\n\n\n\n<li><a href=\"#9-trois-erreurs-structurelles\">Quelles sont les trois erreurs structurelles \u00e0 \u00e9viter en pr\u00e9paration TGV?<\/a><\/li>\n\n\n\n<li><a href=\"#10-glossaire\">Glossaire<\/a><\/li>\n\n\n\n<li><a href=\"#11-faq\">FAQ<\/a><\/li>\n\n\n\n<li><a href=\"#12-sources-et-methodologie\">Sources et m\u00e9thodologie<\/a><\/li>\n<\/ol>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">1. Position du volet S\u00e9curit\u00e9 dans la TGV<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> Le volet S\u00e9curit\u00e9 de la TGV regroupe 104 crit\u00e8res de cybers\u00e9curit\u00e9 organis\u00e9s en 16 sous-domaines cod\u00e9s S01 \u00e0 S16, ce qui en fait le volet le plus volumineux du r\u00e9f\u00e9rentiel (40,9 % des 254 crit\u00e8res). Selon l&rsquo;extraction directe du fichier officiel <code>liste-criteres-TGV_v2024-06-18.xls<\/code> du MSSS, les 5 autres volets \u2014 PRPS (75), Interop\u00e9rabilit\u00e9 (56), Technologie (9), Performance (7) et G\u00e9n\u00e9ral (3) \u2014 couvrent les 59,1 % restants.<\/p>\n<\/blockquote>\n\n\n\n<p>Le volet S\u00e9curit\u00e9 est l&rsquo;un des <strong>six volets<\/strong> de la TGV.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Volet<\/th><th>Code<\/th><th>Crit\u00e8res<\/th><th>%<\/th><\/tr><\/thead><tbody><tr><td><strong>S\u00e9curit\u00e9<\/strong><\/td><td><strong>S01-S16<\/strong><\/td><td><strong>104<\/strong><\/td><td><strong>40,9 %<\/strong><\/td><\/tr><tr><td>PRPS<\/td><td>P01-P11<\/td><td>75<\/td><td>29,5 %<\/td><\/tr><tr><td>Interop\u00e9rabilit\u00e9<\/td><td>I01-I57<\/td><td>56<\/td><td>22,0 %<\/td><\/tr><tr><td>Technologie<\/td><td>T01-T09<\/td><td>9<\/td><td>3,5 %<\/td><\/tr><tr><td>Performance<\/td><td>PF01-PF07<\/td><td>7<\/td><td>2,8 %<\/td><\/tr><tr><td>G\u00e9n\u00e9ral<\/td><td>G01-G02 et I10<\/td><td>3<\/td><td>1,2 %<\/td><\/tr><tr><td><strong>Total<\/strong><\/td><td><\/td><td><strong>254<\/strong><\/td><td>100 %<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Pour une vue comparative compl\u00e8te de la TGV avec les autres r\u00e9f\u00e9rentiels (Loi 25, <strong>Loi 5\/LRSSS<\/strong>, HIPAA, SOC 2, ISO 27001:2022), consultez l&rsquo;<a href=\"\/blog\/certification-tgv-quebec-comparaison-loi-25-hipaa-soc2-iso-27001\">article pilier sur la certification TGV<\/a>.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Contexte juridique applicable au volet S\u00e9curit\u00e9.<\/strong> Plusieurs crit\u00e8res du volet S interagissent d\u00e9sormais avec la <strong>Loi sur les renseignements de sant\u00e9 et de services sociaux (Loi 5 \/ LRSSS)<\/strong>, entr\u00e9e en vigueur graduellement \u00e0 compter du <strong>1er juillet 2024<\/strong> (certaines dispositions s&rsquo;appliquent ult\u00e9rieurement). Cette loi cr\u00e9e un cadre juridique exclusif pour les RSSS au Qu\u00e9bec. Trois sous-domaines du volet S\u00e9curit\u00e9 y sont particuli\u00e8rement reli\u00e9s :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S04.05<\/strong> (rappel des obligations post-emploi) \u2014 qui inclut d\u00e9sormais les obligations LRSSS pour le personnel ayant manipul\u00e9 des RSSS;<\/li>\n\n\n\n<li><strong>S10.07<\/strong> (r\u00e9tention des journaux selon les lois en vigueur) \u2014 la LRSSS introduit des obligations de tra\u00e7abilit\u00e9 suppl\u00e9mentaires sur les acc\u00e8s aux RSSS;<\/li>\n\n\n\n<li><strong>S14.02<\/strong> (notification d&rsquo;incident) \u2014 qui se conjugue avec les obligations de notification de la LRSSS et de la Loi 25.<\/li>\n<\/ul>\n\n\n\n<p>Les fournisseurs PST devraient consulter la communication la plus r\u00e9cente du MSSS et de la Commission d&rsquo;acc\u00e8s \u00e0 l&rsquo;information pour le statut applicable \u00e0 leur p\u00e9rim\u00e8tre.<\/p>\n<\/blockquote>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">2. Pourquoi 16 sous-domaines? Une parent\u00e9 ISO 27001:2013<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> La TGV organise son volet S\u00e9curit\u00e9 en 16 sous-domaines parce qu&rsquo;elle s&rsquo;inspire de la structure de l&rsquo;ISO\/IEC 27001:2013 (qui regroupait ses 114 contr\u00f4les en 14 domaines dans son Annexe A). La version actuelle ISO\/IEC 27001:2022 a r\u00e9organis\u00e9 l&rsquo;Annexe A en 4 th\u00e8mes regroupant 93 contr\u00f4les, dont 11 nouveaux. La TGV n&rsquo;a pas migr\u00e9 vers cette nouvelle structure, ce qui impose un travail de remappage pour les organisations certifi\u00e9es sur la version 2022.<\/p>\n<\/blockquote>\n\n\n\n<p>L&rsquo;organisation du volet S\u00e9curit\u00e9 en 16 sous-domaines refl\u00e8te une parent\u00e9 m\u00e9thodologique avec l&rsquo;<strong>ISO 27001:2013<\/strong> :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&rsquo;<strong>ISO\/IEC 27001:2013<\/strong> organisait son Annexe A en <strong>14 domaines<\/strong> (A.5 \u00e0 A.18) regroupant 114 contr\u00f4les.<\/li>\n\n\n\n<li>L&rsquo;<strong>ISO\/IEC 27001:2022<\/strong> a fondamentalement <strong>r\u00e9organis\u00e9<\/strong> l&rsquo;Annexe A en <strong>4 th\u00e8mes<\/strong> (A.5 Organisationnels, A.6 Personnes, A.7 Physiques, A.8 Technologiques) regroupant 93 contr\u00f4les, dont 11 nouveaux.<\/li>\n<\/ul>\n\n\n\n<p>La TGV conserve un d\u00e9coupage en 16 sous-domaines plus proche de la structure 2013, tout en int\u00e9grant la substance de la version 2022 (les contr\u00f4les existent dans les deux versions, \u00e0 11 exceptions pr\u00e8s).<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Note importante.<\/strong> La p\u00e9riode de transition entre ISO 27001:2013 et ISO 27001:2022 s&rsquo;est termin\u00e9e le <strong>31 octobre 2025<\/strong> (IAF Resolution 2021-22). Toutes les organisations certifi\u00e9es ISO 27001 doivent d\u00e9sormais l&rsquo;\u00eatre sur la version 2022. Pour la TGV, ceci implique un travail de remappage entre les 16 sous-domaines TGV et la nouvelle structure 4 th\u00e8mes \/ 93 contr\u00f4les d&rsquo;ISO 27001:2022 \u2014 voir la <a href=\"#5-cartographie-iso-270012022\">section 5<\/a>.<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\">Point conceptuel important : ISO 27001:2022 \u2260 Annexe A<\/h3>\n\n\n\n<p>L&rsquo;<strong>ISO 27001:2022 n&rsquo;est pas un r\u00e9f\u00e9rentiel de contr\u00f4les<\/strong>. C&rsquo;est un r\u00e9f\u00e9rentiel de <strong>syst\u00e8me de management de la s\u00e9curit\u00e9 de l&rsquo;information (SMSI)<\/strong> :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>les <strong>clauses 4 \u00e0 10<\/strong> d\u00e9finissent les exigences obligatoires sur le SMSI (contexte, leadership, planification, soutien, op\u00e9ration, \u00e9valuation, am\u00e9lioration);<\/li>\n\n\n\n<li>l&rsquo;<strong>Annexe A<\/strong> est un catalogue de contr\u00f4les parmi lesquels l&rsquo;organisation choisit selon son analyse de risques.<\/li>\n<\/ul>\n\n\n\n<p>La TGV, elle, <strong>ne v\u00e9rifie pas un syst\u00e8me de management<\/strong> : elle v\u00e9rifie qu&rsquo;\u00e0 un moment donn\u00e9, la version X d&rsquo;un PST satisfait les 254 crit\u00e8res. Cette diff\u00e9rence change la nature des comparaisons faites dans cet article.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">3. Comment lire les sections par sous-domaine<\/h2>\n\n\n\n<p>Pour chacun des 16 sous-domaines, vous trouverez :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>son <strong>libell\u00e9 officiel<\/strong> et son <strong>nombre de crit\u00e8res<\/strong> (extraits du fichier source);<\/li>\n\n\n\n<li>la <strong>port\u00e9e<\/strong> du sous-domaine en une ou deux phrases;<\/li>\n\n\n\n<li>des <strong>citations litt\u00e9rales<\/strong> des crit\u00e8res cl\u00e9s (entre guillemets, en italique);<\/li>\n\n\n\n<li>les <strong>approches typiques de mise en \u0153uvre<\/strong> : impl\u00e9mentations courantes pour d\u00e9montrer la conformit\u00e9, distingu\u00e9es clairement de la prescription officielle;<\/li>\n\n\n\n<li>les <strong>erreurs fr\u00e9quentes<\/strong> observ\u00e9es en pratique.<\/li>\n<\/ol>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Distinction importante.<\/strong> Les citations litt\u00e9rales (en italique entre guillemets) reproduisent le texte officiel des crit\u00e8res. Les approches typiques sont des recommandations Factero; le Bureau de certification du MSSS n&rsquo;impose pas une impl\u00e9mentation sp\u00e9cifique tant que le crit\u00e8re officiel est satisfait.<\/p>\n<\/blockquote>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">4. Les 16 sous-domaines en d\u00e9tail<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">S01 \u2014 Gestion des risques (3 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> \u00c9valuation des risques de s\u00e9curit\u00e9 r\u00e9alis\u00e9e \u00e0 la conception et maintenue tout au long du cycle de vie. C&rsquo;est le sous-domaine qui ouvre le volet S\u00e9curit\u00e9 \u2014 pas la politique de s\u00e9curit\u00e9 (qui vient en S02).<\/p>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S01.01<\/strong> : <em>\u00ab Une \u00e9valuation des risques de s\u00e9curit\u00e9 a \u00e9t\u00e9 r\u00e9alis\u00e9e lors de la conception de votre application et avant sa mise en production. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S01.02<\/strong> : <em>\u00ab Vous proc\u00e9dez \u00e0 des \u00e9valuations p\u00e9riodiques des risques et vuln\u00e9rabilit\u00e9s potentiels [\u2026]. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S01.03<\/strong> : <em>\u00ab L&rsquo;\u00e9valuation continue des risques est approuv\u00e9e par la direction [\u2026]. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>M\u00e9thodologie d&rsquo;analyse de risques document\u00e9e (souvent inspir\u00e9e d&rsquo;<strong>ISO\/IEC 27005<\/strong> ou <strong>EBIOS RM<\/strong>).<\/li>\n\n\n\n<li>Rapport d&rsquo;analyse de risques initial dat\u00e9 et sign\u00e9 par la direction.<\/li>\n\n\n\n<li>Proc\u00e9dure de mise \u00e0 jour de l&rsquo;analyse en cas de changement majeur.<\/li>\n\n\n\n<li>Registre des risques r\u00e9siduels accept\u00e9s.<\/li>\n<\/ul>\n\n\n\n<p><strong>Note d&rsquo;asym\u00e9trie avec ISO 27001:2022.<\/strong> Les 3 crit\u00e8res S01 sont un <strong>sous-ensemble<\/strong> des exigences ISO 27001:2022 sur la gestion des risques (clauses 6.1.2, 6.1.3, 8.2, 8.3). Pour un fournisseur partant d&rsquo;ISO 27001:2022, satisfaire S01 est trivial. Pour un fournisseur partant de la TGV uniquement, d\u00e9montrer l&rsquo;\u00e9quivalence ISO 27001:2022 demanderait un effort substantiel.<\/p>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Analyse de risques faite une fois, jamais mise \u00e0 jour.<\/li>\n\n\n\n<li>Acceptation tacite des risques r\u00e9siduels par la direction sans signature formelle.<\/li>\n\n\n\n<li>M\u00e9thodologie absente \u2014 l&rsquo;analyse existe mais on ne sait pas comment elle a \u00e9t\u00e9 faite.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S02 \u2014 Politique de s\u00e9curit\u00e9 (4 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> Existence, approbation, diffusion et mise \u00e0 jour des politiques de s\u00e9curit\u00e9 de l&rsquo;information.<\/p>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S02.01<\/strong> : <em>\u00ab Vous disposez de politique(s) de s\u00e9curit\u00e9 pr\u00e9sentant : vos objectifs; vos principes directeurs en la mati\u00e8re; les r\u00f4les et responsabilit\u00e9s; la gestion des d\u00e9rogations et des exceptions. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S02.03<\/strong> : <em>\u00ab Ces politiques sont approuv\u00e9es par la direction, communiqu\u00e9es aux personnes int\u00e9ress\u00e9es et sont maintenues \u00e0 jour. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Politique-cadre de s\u00e9curit\u00e9 sign\u00e9e par le plus haut dirigeant.<\/li>\n\n\n\n<li>Politiques sectorielles (gestion des acc\u00e8s, classification, t\u00e9l\u00e9travail).<\/li>\n\n\n\n<li>Proc\u00e9dure de r\u00e9vision document\u00e9e.<\/li>\n\n\n\n<li>Preuves de communication aux employ\u00e9s (intranet, courriel dat\u00e9, attestation de lecture).<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Politique g\u00e9n\u00e9rique t\u00e9l\u00e9charg\u00e9e sans adaptation au contexte du PST.<\/li>\n\n\n\n<li>Aucune trace de communication aux employ\u00e9s.<\/li>\n\n\n\n<li>Politiques contradictoires entre elles.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S03 \u2014 Organisation de la s\u00e9curit\u00e9 (6 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> R\u00f4les et responsabilit\u00e9s, s\u00e9paration des t\u00e2ches incompatibles, int\u00e9gration de la s\u00e9curit\u00e9 \u00e0 la gestion de projet, risques mobiles, t\u00e9l\u00e9travail.<\/p>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S03.01<\/strong> : <em>\u00ab Vous avez d\u00e9fini les responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 au sein de votre organisation. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S03.02<\/strong> : <em>\u00ab Votre application et les diff\u00e9rents actifs permettant son exploitation ont un responsable attitr\u00e9 charg\u00e9 de leur s\u00e9curit\u00e9. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S03.03<\/strong> : <em>\u00ab Les t\u00e2ches incompatibles relatives \u00e0 votre application ont \u00e9t\u00e9 identifi\u00e9es et des mesures ont \u00e9t\u00e9 prises pour en limiter son usage inappropri\u00e9. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S03.04<\/strong> : <em>\u00ab Vous disposez d&rsquo;une m\u00e9thode de gestion de projet int\u00e9grant la s\u00e9curit\u00e9 et permettant d&rsquo;identifier les risques et de les traiter ad\u00e9quatement. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S03.05<\/strong> : <em>\u00ab Vous g\u00e9rez les risques sp\u00e9cifiques li\u00e9s aux appareils mobiles. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S03.06<\/strong> : <em>\u00ab Vous disposez d&rsquo;une politique permettant de couvrir les risques li\u00e9s au t\u00e9l\u00e9travail. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Organigramme de la s\u00e9curit\u00e9 avec r\u00f4le d\u00e9di\u00e9 (RSSI ou \u00e9quivalent).<\/li>\n\n\n\n<li>Description de fonction du responsable s\u00e9curit\u00e9 r\u00e9f\u00e9renc\u00e9e dans S03.02.<\/li>\n\n\n\n<li>Matrice de s\u00e9paration des t\u00e2ches (S03.03) \u2014 qui peut faire quoi, qui ne peut pas cumuler.<\/li>\n\n\n\n<li>M\u00e9thode de gestion de projet avec checkpoints s\u00e9curit\u00e9 (S03.04) \u2014 souvent inspir\u00e9e de NIST SP 800-160 ou ISO\/IEC 27034.<\/li>\n\n\n\n<li>Politique BYOD et politique de t\u00e9l\u00e9travail sign\u00e9es (S03.05, S03.06).<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le m\u00eame d\u00e9veloppeur fait le code, les revues de s\u00e9curit\u00e9 et les d\u00e9ploiements en production.<\/li>\n\n\n\n<li>Aucun r\u00f4le s\u00e9curit\u00e9 formalis\u00e9.<\/li>\n\n\n\n<li>Politique t\u00e9l\u00e9travail r\u00e9dig\u00e9e pendant la pand\u00e9mie sans r\u00e9vision depuis.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S04 \u2014 S\u00e9curit\u00e9 des ressources humaines (5 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> Comp\u00e9tences, sensibilisation, formation, sanctions, obligations post-emploi. La sensibilisation et la formation <strong>ne forment pas un sous-domaine s\u00e9par\u00e9<\/strong> \u2014 elles sont int\u00e9gr\u00e9es ici.<\/p>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S04.02<\/strong> : <em>\u00ab Un programme de sensibilisation et de formation \u00e0 la s\u00e9curit\u00e9 est en place pour tous les membres du personnel de l&rsquo;entreprise (y compris la direction). \u00bb<\/em><\/li>\n\n\n\n<li><strong>S04.04<\/strong> : <em>\u00ab Des sanctions appropri\u00e9es sont approuv\u00e9es pour les membres du personnel qui ne respectent pas les politiques et proc\u00e9dures de s\u00e9curit\u00e9. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S04.05<\/strong> : <em>\u00ab \u00c0 l&rsquo;issue de la relation d&#8217;emploi, vous rappelez aux personnes concern\u00e9es les obligations qui restent valables. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Programme de formation annuel obligatoire avec taux de compl\u00e9tion suivi.<\/li>\n\n\n\n<li>Liste nominative des employ\u00e9s form\u00e9s (date pour chacun).<\/li>\n\n\n\n<li>Politique de sanctions disciplinaires (\u00e0 articuler avec la <em>Loi sur les normes du travail<\/em> du Qu\u00e9bec).<\/li>\n\n\n\n<li>Proc\u00e9dure de fin d&#8217;emploi avec rappel formel des obligations de confidentialit\u00e9.<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Formation faite \u00e0 l&#8217;embauche, jamais reprise.<\/li>\n\n\n\n<li>Aucune politique de sanctions document\u00e9e.<\/li>\n\n\n\n<li>D\u00e9part d&#8217;employ\u00e9s sans rappel formel.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S05 \u2014 Gestion des actifs (8 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> Inventaire des actifs, classification de sensibilit\u00e9, conditions d&rsquo;utilisation, retour des actifs en fin d&#8217;emploi, encadrement des supports amovibles, mise au rebut s\u00e9curis\u00e9e. Le sous-domaine traite des actifs en tant que tels (mat\u00e9riels, logiciels, infrastructures); la cartographie sp\u00e9cifique des renseignements personnels et des RSSS rel\u00e8ve principalement du volet PRPS \u2014 mais la classification de confidentialit\u00e9 (S05.05) recoupe n\u00e9cessairement la sensibilit\u00e9 des donn\u00e9es trait\u00e9es.<\/p>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S05.05<\/strong> : <em>\u00ab Votre application et les diff\u00e9rents actifs permettant son exploitation sont classifi\u00e9s (cat\u00e9goris\u00e9s) en mati\u00e8re de Disponibilit\u00e9, d&rsquo;Int\u00e9grit\u00e9 et de Confidentialit\u00e9. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S05.07<\/strong> : <em>\u00ab L&rsquo;utilisation des supports amovibles est encadr\u00e9e conform\u00e9ment aux exigences d\u00e9coulant de la classification de l&rsquo;information qui s&rsquo;y trouve. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S05.08<\/strong> : <em>\u00ab Vous disposez d&rsquo;une proc\u00e9dure formelle vous permettant de vous assurer d&rsquo;une mise au rebut s\u00e9curis\u00e9e des supports d&rsquo;information [\u2026]. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Inventaire des actifs avec propri\u00e9taire et classification DIC.<\/li>\n\n\n\n<li>Politique de classification de l&rsquo;information avec niveaux (public, interne, confidentiel, sensible).<\/li>\n\n\n\n<li>Politique d&rsquo;encadrement des supports amovibles. <em>L&rsquo;interdiction par d\u00e9faut des USB est une bonne pratique commune mais le crit\u00e8re S05.07 demande de l&rsquo;encadrement, pas une interdiction stricte.<\/em><\/li>\n\n\n\n<li>Proc\u00e9dure de mise au rebut (destruction physique des disques, certificats de destruction).<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Inventaire incomplet (oubli des serveurs de d\u00e9veloppement, des SaaS shadow IT).<\/li>\n\n\n\n<li>Classification th\u00e9orique mais jamais appliqu\u00e9e concr\u00e8tement.<\/li>\n\n\n\n<li>Aucune proc\u00e9dure de destruction des disques en fin de vie.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S06 \u2014 Contr\u00f4le des acc\u00e8s (23 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> <strong>Sous-domaine de loin le plus volumineux<\/strong> du volet S\u00e9curit\u00e9 (23 crit\u00e8res, 24 par cat\u00e9gorie en incluant l&rsquo;anomalie S08.19 \u2014 voir <a href=\"#7-anomalie-s0819\">section 7<\/a>). Couvre la gestion compl\u00e8te des identit\u00e9s et des acc\u00e8s (IAM) : politique, gestion des comptes, MFA, complexit\u00e9 de mots de passe, journalisation, comptes \u00e0 privil\u00e8ges, d\u00e9connexion automatique, comptes g\u00e9n\u00e9riques, mots de passe en dur, CAPTCHA, surveillance des attaques de type <em>credential stuffing<\/em>.<\/p>\n\n\n\n<p><strong>Citations cl\u00e9s.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S06.06<\/strong> : <em>\u00ab Tout acc\u00e8s \u00e0 votre application s&rsquo;effectuant via le r\u00e9seau public (Internet) doit se faire par le biais d&rsquo;une authentification multifacteurs. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S06.07<\/strong> : <em>\u00ab Votre application fournit un m\u00e9canisme d&rsquo;authentification utilisant des protocoles natifs s\u00e9curis\u00e9s et modernes (par exemple : LDAPS). Elle permet l&rsquo;utilisation de f\u00e9d\u00e9rations d&rsquo;identit\u00e9s modernes (par exemple : SAML ou OpenID). \u00bb<\/em><\/li>\n\n\n\n<li><strong>S06.11<\/strong> : <em>\u00ab Votre application et les syst\u00e8mes permettant son fonctionnement ne comportent aucun mot de passe dans des scripts automatis\u00e9s, des macros, le code source ou toute autre utilisation pouvant rendre complexes les mises \u00e0 jour des mots de passe. Dans le cas contraire, une demande d&rsquo;exception doit \u00eatre effectu\u00e9e aupr\u00e8s du MSSS. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S06.16<\/strong> : <em>\u00ab Votre application permet de d\u00e9sactiver un identifiant automatiquement apr\u00e8s un maximum de cinq tentatives de connexion \u00e9chou\u00e9es. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S06.18<\/strong> : <em>\u00ab Votre application n&rsquo;utilise aucun compte g\u00e9n\u00e9rique. \u00c0 d\u00e9faut, une demande d&rsquo;exception doit \u00eatre demand\u00e9e aupr\u00e8s du MSSS. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S06.21<\/strong> : <em>\u00ab L&rsquo;authentification aux services externes critiques de votre PST est prot\u00e9g\u00e9e par un dispositif CAPTCHA. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S06.23<\/strong> : <em>\u00ab L&rsquo;infrastructure qui h\u00e9berge votre PST permet la surveillance et la d\u00e9tection d&rsquo;attaques de type bourrage de justificatifs (credential stuffing) ou par dictionnaire [\u2026]. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Politique IAM compl\u00e8te couvrant MFA, complexit\u00e9 de mots de passe, cycle de vie des comptes.<\/li>\n\n\n\n<li>Configuration MFA. Approches modernes recommand\u00e9es : TOTP au minimum, FIDO2\/passkeys pr\u00e9f\u00e9r\u00e9s (NIST SP 800-63B d\u00e9conseille l&rsquo;authentification SMS pour les usages sensibles).<\/li>\n\n\n\n<li>Registre des comptes privil\u00e9gi\u00e9s avec justification.<\/li>\n\n\n\n<li>Captures de configuration : verrouillage \u00e0 5 tentatives (S06.16), d\u00e9connexion apr\u00e8s inactivit\u00e9 (S08.19\/S06.19).<\/li>\n\n\n\n<li>Preuve de revue p\u00e9riodique des acc\u00e8s.<\/li>\n\n\n\n<li>Pour S06.23 : description du dispositif de d\u00e9tection (rate limiting, g\u00e9olocalisation, behavior analytics, <em>bot management<\/em> type Cloudflare Turnstile, hCaptcha). Le crit\u00e8re ne nomme pas une technologie sp\u00e9cifique.<\/li>\n<\/ul>\n\n\n\n<p><strong>Notes sur le m\u00e9canisme d&rsquo;exception.<\/strong> S06.11 et S06.18 mentionnent explicitement la possibilit\u00e9 d&rsquo;une <strong>demande d&rsquo;exception au MSSS<\/strong> lorsque le crit\u00e8re ne peut \u00eatre strictement satisfait. Voir la <a href=\"#8-mecanisme-exception-msss\">section 8<\/a>.<\/p>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>MFA pour les utilisateurs r\u00e9guliers mais pas pour les comptes administrateurs.<\/li>\n\n\n\n<li>Comptes g\u00e9n\u00e9riques partag\u00e9s (<code>admin@<\/code>, <code>support@<\/code>) sans demande d&rsquo;exception.<\/li>\n\n\n\n<li>Mots de passe en dur dans le code (Git, scripts CI\/CD).<\/li>\n\n\n\n<li>Aucun m\u00e9canisme de d\u00e9tection des attaques de force brute.<\/li>\n\n\n\n<li>Revue d&rsquo;acc\u00e8s \u00ab annuelle th\u00e9orique \u00bb jamais r\u00e9ellement effectu\u00e9e.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S07 \u2014 Cryptographie (3 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> Chiffrement des donn\u00e9es sensibles, chiffrement et authentification des communications inter-composantes, gestion des cl\u00e9s.<\/p>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S07.01<\/strong> : <em>\u00ab L&rsquo;ensemble des donn\u00e9es sensibles dont les renseignements personnels et les renseignements personnels de sant\u00e9 font l&rsquo;objet d&rsquo;un chiffrement (lors de leur entreposage et de leurs communications). \u00bb<\/em><\/li>\n\n\n\n<li><strong>S07.02<\/strong> : <em>\u00ab Toutes les communications entre les composantes de votre application sont chiffr\u00e9es et font l&rsquo;objet d&rsquo;une authentification de part et d&rsquo;autre. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S07.03<\/strong> : <em>\u00ab La gestion des cl\u00e9s utilis\u00e9es par votre application et ses composantes fait l&rsquo;objet d&rsquo;une documentation formelle, et ce, tout au long de leur cycle de vie. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Politique cryptographique pr\u00e9cisant les algorithmes accept\u00e9s. Recommandations courantes (cf. <strong>NIST SP 800-52 Rev. 2<\/strong> sur TLS, <strong>NIST SP 800-131A<\/strong> sur les transitions cryptographiques) : TLS 1.3 pr\u00e9f\u00e9r\u00e9, TLS 1.2 acceptable (TLS 1.0\/1.1 d\u00e9sactiv\u00e9s), AES-256 pour le chiffrement sym\u00e9trique, SHA-256 minimum pour les fonctions de hachage.<\/li>\n\n\n\n<li>Pour S07.02 \u2014 <em>\u00ab authentification de part et d&rsquo;autre \u00bb<\/em> : plusieurs impl\u00e9mentations acceptables, dont <strong>mTLS<\/strong> (TLS mutuel), signatures HMAC, JWT mutuels, IPsec en mode mutuel. Le crit\u00e8re ne nomme pas une m\u00e9thode pr\u00e9cise.<\/li>\n\n\n\n<li>Pour S07.03 \u2014 gestion des cl\u00e9s : <strong>HSM<\/strong> (<em>Hardware Security Module<\/em>) ou <strong>KMS manag\u00e9<\/strong> (AWS KMS, Azure Key Vault, GCP KMS) avec <strong>FIPS 140-3<\/strong> pr\u00e9f\u00e9r\u00e9 (FIPS 140-2 acceptable pour les modules certifi\u00e9s avant la transition NIST de 2022; aucun nouveau module ne peut d\u00e9sormais \u00eatre valid\u00e9 sous FIPS 140-2).<\/li>\n\n\n\n<li>Inventaire des certificats avec dates d&rsquo;expiration.<\/li>\n\n\n\n<li>Preuve de configuration TLS sur les endpoints (rapport SSL Labs, qualys).<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>TLS 1.0 ou 1.1 encore accept\u00e9s sur certains endpoints (souvent endpoints de gestion).<\/li>\n\n\n\n<li>Certificats expir\u00e9s ou auto-sign\u00e9s en production.<\/li>\n\n\n\n<li>Cl\u00e9s stock\u00e9es dans le code source ou dans des variables d&rsquo;environnement non chiffr\u00e9es.<\/li>\n\n\n\n<li>Communications inter-microservices en clair sur le r\u00e9seau interne (S07.02 ignor\u00e9).<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S08 \u2014 S\u00e9curit\u00e9 physique et environnementale (4 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> Protection physique des locaux d&rsquo;h\u00e9bergement et de d\u00e9veloppement, entretien du mat\u00e9riel, politique de bureau propre.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Note sur l&rsquo;anomalie S08.19.<\/strong> Le fichier officiel contient un crit\u00e8re cod\u00e9 <code>S08.19<\/code> qui porte sur la d\u00e9connexion automatique de session apr\u00e8s inactivit\u00e9. Ce crit\u00e8re est en r\u00e9alit\u00e9 cat\u00e9goris\u00e9 \u00ab Contr\u00f4le des acc\u00e8s \u00bb et appartient probablement au sous-domaine S06 (notre interpr\u00e9tation, fond\u00e9e sur la cat\u00e9gorie et la position s\u00e9quentielle entre S06.18 et S06.20; non confirm\u00e9e par communication officielle MSSS). Voir la <a href=\"#7-anomalie-s0819\">section 7<\/a>.<\/p>\n<\/blockquote>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S08.01<\/strong> : <em>\u00ab Les locaux o\u00f9 sont h\u00e9berg\u00e9es les diff\u00e9rentes composantes permettant \u00e0 votre application de fonctionner font l&rsquo;objet d&rsquo;un contr\u00f4le d&rsquo;acc\u00e8s et de mesures de protection physiques appropri\u00e9es. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S08.03<\/strong> : <em>\u00ab Vous vous assurez que le mat\u00e9riel h\u00e9bergeant votre application fait l&rsquo;objet d&rsquo;un entretien appropri\u00e9 permettant de garantir sa disponibilit\u00e9 et son int\u00e9grit\u00e9. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S08.04<\/strong> : <em>\u00ab Vous avez adopt\u00e9 une politique du bureau propre et de l&rsquo;\u00e9cran vide applicable au personnel impliqu\u00e9 dans le d\u00e9veloppement et le soutien de votre application. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S08.19 (num\u00e9rot\u00e9 ainsi dans le fichier mais cat\u00e9goris\u00e9 \u00ab Contr\u00f4le des acc\u00e8s \u00bb)<\/strong> : <em>\u00ab Votre application dispose d&rsquo;une fonction permettant la d\u00e9connexion automatique d&rsquo;une session apr\u00e8s un d\u00e9lai d&rsquo;inactivit\u00e9 (configurable). \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si h\u00e9bergement on-premise : description des contr\u00f4les physiques (badge, cam\u00e9ras, registre des visiteurs, climatisation, d\u00e9tection incendie).<\/li>\n\n\n\n<li>Si h\u00e9bergement cloud : attestations SOC 2 \/ ISO 27001 du fournisseur (Microsoft, AWS, Google) avec sections pertinentes surlign\u00e9es et contrat de service-cadre.<\/li>\n\n\n\n<li>Politique de bureau propre sign\u00e9e par le personnel.<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Pour un cloud SaaS : aucune attestation du fournisseur fournie.<\/li>\n\n\n\n<li>Bureaux \u00e0 aire ouverte sans politique de bureau propre.<\/li>\n\n\n\n<li>Aucune politique applicable aux d\u00e9veloppeurs en t\u00e9l\u00e9travail.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S09 \u2014 S\u00e9curit\u00e9 li\u00e9e \u00e0 l&rsquo;exploitation (12 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> <strong>Deuxi\u00e8me sous-domaine le plus volumineux<\/strong> du volet S avec 12 crit\u00e8res. Proc\u00e9dures d&rsquo;exploitation document\u00e9es, guides, sauvegardes (avec exigence anti-ran\u00e7ongiciel), gestion des changements, gestion des vuln\u00e9rabilit\u00e9s et correctifs, technologies r\u00e9centes prises en charge, absence de portes d\u00e9rob\u00e9es, protection antimalware avec EDR.<\/p>\n\n\n\n<p><strong>Citations cl\u00e9s.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S09.04<\/strong> : <em>\u00ab L&rsquo;infrastructure permettant \u00e0 votre application de fonctionner ainsi que ses donn\u00e9es (lorsqu&rsquo;h\u00e9berg\u00e9es sous votre responsabilit\u00e9) b\u00e9n\u00e9ficient d&rsquo;un syst\u00e8me de sauvegarde \u00e0 l&rsquo;abri des ran\u00e7ongiciels. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S09.09<\/strong> : <em>\u00ab Vous appliquez dans les meilleurs d\u00e9lais les correctifs de s\u00e9curit\u00e9 de toute composante de votre application et de son environnement [\u2026]. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S09.10<\/strong> : <em>\u00ab L&rsquo;ensemble des composantes de votre application et de son environnement est document\u00e9 et s&rsquo;appuie sur des technologies r\u00e9centes prises en charge par leur fournisseur respectif. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S09.11<\/strong> : <em>\u00ab Votre application est exempte de porte d\u00e9rob\u00e9e permettant une connexion \u00e0 l&rsquo;insu de l&rsquo;acqu\u00e9reur et de l&rsquo;utilisateur. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S09.12<\/strong> : <em>\u00ab L&rsquo;ensemble des syst\u00e8mes permettant \u00e0 votre application de fonctionner dispose d&rsquo;une solution de protection antivirus r\u00e9cente avec fonction d&rsquo;EDR. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Pour S09.04 \u2014 <em>\u00ab \u00e0 l&rsquo;abri des ran\u00e7ongiciels \u00bb<\/em> : plusieurs approches acceptables, dont sauvegardes immuables (S3 Object Lock, Azure Immutable Blob Storage, <em>write-once read-many<\/em>), sauvegardes hors-ligne (<em>air-gapped<\/em>), sauvegardes chez un tiers logiquement s\u00e9par\u00e9. Le crit\u00e8re ne prescrit pas une approche sp\u00e9cifique.<\/li>\n\n\n\n<li>Pour S09.09 \u2014 <em>\u00ab dans les meilleurs d\u00e9lais \u00bb<\/em> : des cibles SLA bas\u00e9es sur la criticit\u00e9 CVSS sont une approche courante (cf. <strong>NIST SP 800-40 Rev. 4<\/strong> sur la gestion des correctifs et <strong>CIS Controls v8<\/strong> Safeguard 7.1) \u2014 par exemple : CVSS critique \u2265 9,0 en 7 jours ouvrables; \u00e9lev\u00e9 7,0-8,9 en 30 jours; moyen en 90 jours. Le crit\u00e8re TGV ne fixe pas de d\u00e9lai chiffr\u00e9.<\/li>\n\n\n\n<li>Pour S09.12 \u2014 EDR : solution <strong>EDR\/XDR<\/strong> distincte de l&rsquo;antivirus classique (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint Plan 2, etc.) avec console centralis\u00e9e. Le crit\u00e8re exige <em>\u00ab une fonction d&rsquo;EDR \u00bb<\/em>, ce qui exclut un antivirus de base.<\/li>\n\n\n\n<li>Proc\u00e9dure de gestion des changements avec workflow d&rsquo;approbation.<\/li>\n\n\n\n<li>Politique et proc\u00e9dure de sauvegarde avec preuves de restauration test\u00e9e.<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Antivirus install\u00e9 sans console de gestion centralis\u00e9e; aucune visibilit\u00e9 sur les agents en panne.<\/li>\n\n\n\n<li>EDR confondu avec antivirus classique.<\/li>\n\n\n\n<li>Sauvegardes effectu\u00e9es mais jamais test\u00e9es en restauration.<\/li>\n\n\n\n<li>Sauvegardes accessibles depuis le r\u00e9seau de production (compromission ran\u00e7ongiciel = compromission des sauvegardes).<\/li>\n\n\n\n<li>Composantes en fin de support en production (Windows Server 2012, anciennes versions de biblioth\u00e8ques tierces).<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S10 \u2014 Journalisation et surveillance (7 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> Collecte des journaux d&rsquo;activit\u00e9, exploitation, alertes, d\u00e9tection d&rsquo;intrusion, r\u00f4le d&rsquo;auditeur, protection des journaux, r\u00e9tention selon les lois en vigueur.<\/p>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S10.01<\/strong> : <em>\u00ab Toute activit\u00e9 effectu\u00e9e avec votre application (incluant l&rsquo;activit\u00e9 d&rsquo;un pilote ou d&rsquo;un administrateur) doit pouvoir \u00eatre journalis\u00e9e de mani\u00e8re \u00e0 pouvoir identifier l&rsquo;acteur (personne ou syst\u00e8me), les circonstances, le moment, la nature de cette activit\u00e9 et les informations concern\u00e9es. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S10.04<\/strong> : <em>\u00ab Votre application et son environnement sous votre responsabilit\u00e9 (incluant vos fournisseurs) b\u00e9n\u00e9ficient de syst\u00e8mes de d\u00e9tection d&rsquo;intrusion. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S10.07<\/strong> : <em>\u00ab L&rsquo;information journalis\u00e9e [\u2026] doit pouvoir \u00eatre conserv\u00e9e selon le calendrier \u00e9tabli en fonction des lois, normes et r\u00e8glements en vigueur. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Politique de journalisation pr\u00e9cisant les sources collect\u00e9es.<\/li>\n\n\n\n<li>Description du <strong>SIEM<\/strong> ou de la plateforme de centralisation (Splunk, Microsoft Sentinel, Elastic, Datadog).<\/li>\n\n\n\n<li>Configuration des r\u00e8gles de d\u00e9tection (corr\u00e9lations, seuils, alertes prioritaires).<\/li>\n\n\n\n<li>Politique de r\u00e9tention par type de journal, avec m\u00e9canisme de protection contre l&rsquo;alt\u00e9ration (write-once storage, hashing cha\u00een\u00e9, transfert temps r\u00e9el hors du serveur d&rsquo;origine).<\/li>\n\n\n\n<li>Tableau des dur\u00e9es de r\u00e9tention exig\u00e9es par la loi (LSSSS, Loi 25, exigences sectorielles RSSS).<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Journaux conserv\u00e9s sur le serveur d&rsquo;origine.<\/li>\n\n\n\n<li>Journaux applicatifs absents (seulement OS et r\u00e9seau collect\u00e9s).<\/li>\n\n\n\n<li>Aucune surveillance hors heures de bureau.<\/li>\n\n\n\n<li>R\u00e9tention insuffisante par rapport aux exigences sectorielles sant\u00e9.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S11 \u2014 S\u00e9curit\u00e9 des communications (5 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> S\u00e9curit\u00e9 des communications inter-composantes (incluant soutien \u00e0 distance), cloisonnement des environnements, s\u00e9curit\u00e9 du courriel, sensibilisation \u00e0 l&rsquo;hame\u00e7onnage, formation cybers\u00e9curit\u00e9 continue.<\/p>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S11.01<\/strong> : <em>\u00ab Toutes les communications entre les composantes de votre application et les composantes avec qui elle interagit comportent des m\u00e9canismes permettant d&rsquo;assurer la s\u00e9curit\u00e9 des informations qui y transitent (incluant le cas \u00e9ch\u00e9ant les m\u00e9canismes de soutien \u00e0 distance). \u00bb<\/em><\/li>\n\n\n\n<li><strong>S11.02<\/strong> : <em>\u00ab L&rsquo;environnement d&rsquo;ex\u00e9cution de votre application est cloisonn\u00e9 de mani\u00e8re \u00e0 compartimenter les \u00e9l\u00e9ments ne n\u00e9cessitant ni des m\u00eames droits ni des m\u00eames ressources (ex. : acc\u00e8s public, zone serveur). \u00bb<\/em><\/li>\n\n\n\n<li><strong>S11.03<\/strong> : <em>\u00ab Si votre application utilise le service de courrier \u00e9lectronique, il ne concerne pas d&rsquo;information confidentielle \u00e0 moins que des m\u00e9canismes de protection appropri\u00e9s soient mis en place. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S11.04<\/strong> : <em>\u00ab Vous planifiez en continu des campagnes de simulation \u00e0 l&rsquo;hame\u00e7onnage afin de sensibiliser les intervenants (sous votre responsabilit\u00e9) de l&rsquo;\u00e9cosyst\u00e8me de production de votre PST. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S11.05<\/strong> : <em>\u00ab Les intervenants sous votre responsabilit\u00e9 de l&rsquo;\u00e9cosyst\u00e8me de votre PST doivent b\u00e9n\u00e9ficier en continu d&rsquo;un plan de formation en cybers\u00e9curit\u00e9 sur : les menaces num\u00e9riques; la s\u00e9curit\u00e9 des appareils mobiles; l&rsquo;hame\u00e7onnage; les virus et les ran\u00e7ongiciels; l&rsquo;ing\u00e9nierie sociale ou l&rsquo;art de la manipulation. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Sch\u00e9ma de segmentation r\u00e9seau (zones, DMZ, s\u00e9paration Dev\/Prod, microsegmentation Zero Trust si applicable).<\/li>\n\n\n\n<li>Configuration des pare-feu et politiques de r\u00e9seau.<\/li>\n\n\n\n<li>Configuration de la s\u00e9curit\u00e9 du courriel : SPF, DKIM, DMARC (progression typique : <code>p=none<\/code> \u2192 <code>p=quarantine<\/code> \u2192 <code>p=reject<\/code>), avec MTA-STS, id\u00e9alement BIMI et TLS-RPT.<\/li>\n\n\n\n<li>Calendrier des simulations d&rsquo;hame\u00e7onnage avec r\u00e9sultats anonymis\u00e9s communiqu\u00e9s aux participants.<\/li>\n\n\n\n<li>Plan de formation cybers\u00e9curit\u00e9 avec modules r\u00e9guliers couvrant les cinq th\u00e8mes list\u00e9s en S11.05.<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>DMARC en <code>p=none<\/code> ind\u00e9finiment.<\/li>\n\n\n\n<li>Aucune segmentation r\u00e9seau (un seul VLAN plat o\u00f9 tout communique avec tout).<\/li>\n\n\n\n<li>Transferts de RSSS par courriel non chiffr\u00e9.<\/li>\n\n\n\n<li>Simulations d&rsquo;hame\u00e7onnage faites mais r\u00e9sultats jamais communiqu\u00e9s aux participants.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S12 \u2014 Acquisition, d\u00e9veloppement et maintenance (8 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> S\u00e9curit\u00e9 tout au long du cycle de d\u00e9veloppement.<\/p>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S12.01<\/strong> : <em>\u00ab Vous consid\u00e9rez la s\u00e9curit\u00e9 \u00e0 chacune des \u00e9tapes du d\u00e9veloppement de votre application. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S12.02<\/strong> : <em>\u00ab Vos environnements de d\u00e9veloppement, de test et d&rsquo;exploitation sont distincts. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S12.04<\/strong> : <em>\u00ab Les d\u00e9veloppeurs de votre application (ainsi que les \u00e9ventuels sous-traitants) respectent les principes d&rsquo;ing\u00e9nierie de la s\u00e9curit\u00e9 des syst\u00e8mes. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S12.05<\/strong> : <em>\u00ab Vous supervisez tout d\u00e9veloppement r\u00e9alis\u00e9 \u00e0 l&rsquo;externe. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S12.06<\/strong> : <em>\u00ab Aucune information confidentielle de production n&rsquo;est utilis\u00e9e dans le cadre du d\u00e9veloppement de votre application. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S12.07<\/strong> : <em>\u00ab Vous disposez d&rsquo;une strat\u00e9gie de tests applicatifs. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S12.08<\/strong> : <em>\u00ab Vous consid\u00e9rez les vuln\u00e9rabilit\u00e9s des composantes tierces sur lesquelles s&rsquo;appuie votre application et vous faites les mises \u00e0 jour en cons\u00e9quence. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Proc\u00e9dure SDLC s\u00e9curis\u00e9e (DevSecOps).<\/li>\n\n\n\n<li>Outillage de tests automatis\u00e9s int\u00e9gr\u00e9 au CI\/CD : <strong>SAST<\/strong> (SonarQube, Checkmarx, Semgrep), <strong>DAST<\/strong> (OWASP ZAP, Burp Suite Pro), <strong>SCA<\/strong> (Snyk, Dependabot, OWASP Dependency-Check).<\/li>\n\n\n\n<li>Proc\u00e9dure de masquage ou anonymisation des donn\u00e9es pour les environnements de test.<\/li>\n\n\n\n<li>Pratiques modernes de cha\u00eene d&rsquo;approvisionnement logicielle : <strong>SBOM<\/strong> (Software Bill of Materials) en SPDX ou CycloneDX, signature des artefacts (sigstore, SLSA).<\/li>\n\n\n\n<li>Proc\u00e9dure de revue de code avec crit\u00e8res s\u00e9curit\u00e9 explicites.<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Donn\u00e9es de production copi\u00e9es dans les environnements de test sans masquage.<\/li>\n\n\n\n<li>Biblioth\u00e8ques open source utilis\u00e9es sans aucune analyse de vuln\u00e9rabilit\u00e9s connues (CVE).<\/li>\n\n\n\n<li>Tests SAST\/DAST faits manuellement, jamais int\u00e9gr\u00e9s au pipeline.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S13 \u2014 Relation avec les fournisseurs (6 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Port\u00e9e.<\/strong> Gestion des risques fournisseurs.<\/p>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S13.01<\/strong> : <em>\u00ab Vous avez men\u00e9 toute \u00e9valuation des menaces et des risques ainsi que toute \u00e9valuation des facteurs relatifs \u00e0 la vie priv\u00e9e n\u00e9cessaires pour tout recours \u00e0 un fournisseur tiers impliqu\u00e9 dans le d\u00e9veloppement, l&rsquo;exploitation, la maintenance et l&rsquo;\u00e9volution de votre application. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S13.04<\/strong> : <em>\u00ab Vous avez \u00e9tabli les processus et les proc\u00e9dures permettant de surveiller la conformit\u00e9 des fournisseurs envers ces exigences. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S13.06<\/strong> : <em>\u00ab Vous \u00e9valuez sur une base r\u00e9guli\u00e8re la performance de vos fournisseurs. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Inventaire des sous-traitants critiques avec niveau de risque \u00e9valu\u00e9.<\/li>\n\n\n\n<li>Clauses de s\u00e9curit\u00e9 types dans les contrats fournisseurs (DPA, SLA, droit d&rsquo;audit, notification d&rsquo;incident).<\/li>\n\n\n\n<li>Attestations de conformit\u00e9 des fournisseurs critiques (SOC 2, ISO 27001, HITRUST).<\/li>\n\n\n\n<li>Proc\u00e9dure de revue annuelle des fournisseurs avec scorecard.<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Inventaire des fournisseurs absent ou tenu de m\u00e9moire.<\/li>\n\n\n\n<li>Contrats sans clause de notification d&rsquo;incident.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S14 \u2014 Gestion des incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 (3 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S14.02<\/strong> : <em>\u00ab Tout incident portant sur les donn\u00e9es des clients de votre application est port\u00e9 \u00e0 leur connaissance dans les meilleurs d\u00e9lais selon un processus \u00e9tabli. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S14.03<\/strong> : engagement \u00e0 collaborer avec les clients pour la prise en charge d&rsquo;un incident.<\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plan de r\u00e9ponse aux incidents (PRI) document\u00e9.<\/li>\n\n\n\n<li>Mod\u00e8les de communication client (SLA de notification, contenu, canaux).<\/li>\n\n\n\n<li>Articulation explicite avec les obligations de notification de la <strong>Loi 25<\/strong> (CAI) et du contexte sectoriel sant\u00e9.<\/li>\n\n\n\n<li>Registre des incidents survenus.<\/li>\n\n\n\n<li>Exercices de simulation (tabletop ou red team).<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>PRI existe en th\u00e9orie mais l&rsquo;\u00e9quipe ne l&rsquo;a jamais lu ni test\u00e9.<\/li>\n\n\n\n<li>Aucune simulation.<\/li>\n\n\n\n<li>Pas d&rsquo;articulation avec les obligations Loi 25.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S15 \u2014 Continuit\u00e9 de l&rsquo;activit\u00e9 (aspects s\u00e9curit\u00e9) (3 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S15.01<\/strong> : <em>\u00ab Vous disposez d&rsquo;un plan de continuit\u00e9 de vos activit\u00e9s (maintenance et exploitation de votre application). \u00bb<\/em><\/li>\n\n\n\n<li><strong>S15.02<\/strong> : <em>\u00ab Les infrastructures permettant l&rsquo;exploitation de votre application font l&rsquo;objet d&rsquo;un plan de recouvrement apr\u00e8s sinistre. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S15.03<\/strong> : <em>\u00ab Ce plan de reprise est test\u00e9 p\u00e9riodiquement afin de v\u00e9rifier son efficacit\u00e9. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Analyse d&rsquo;impact d&rsquo;affaires (BIA) avec RTO et RPO par processus.<\/li>\n\n\n\n<li>Plan de continuit\u00e9 d&rsquo;affaires (PCA) sign\u00e9 par la direction.<\/li>\n\n\n\n<li>Plan de reprise informatique (DRP) avec proc\u00e9dures op\u00e9rationnelles d\u00e9taill\u00e9es.<\/li>\n\n\n\n<li>Calendrier d&rsquo;exercices de rel\u00e8ve. <em>Le crit\u00e8re S15.03 dit \u00ab p\u00e9riodiquement \u00bb sans imposer une fr\u00e9quence sp\u00e9cifique; la fr\u00e9quence devrait \u00eatre justifi\u00e9e par l&rsquo;analyse de risques.<\/em><\/li>\n\n\n\n<li>Documentation de l&rsquo;infrastructure de redondance.<\/li>\n<\/ul>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>BIA jamais valid\u00e9e par les responsables d&rsquo;affaires.<\/li>\n\n\n\n<li>DRP bas\u00e9 sur l&rsquo;hypoth\u00e8se que les sauvegardes existeront \u2014 sans test r\u00e9el de restauration.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">S16 \u2014 Gestion de la conformit\u00e9 (3 crit\u00e8res)<\/h3>\n\n\n\n<p><strong>Citations.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S16.01<\/strong> : <em>\u00ab Vous disposez d&rsquo;une strat\u00e9gie de validation de la conformit\u00e9 technique [\u2026]. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S16.02<\/strong> : <em>\u00ab Votre application a fait l&rsquo;objet d&rsquo;un test d&rsquo;intrusion par un prestataire ind\u00e9pendant et reconnu par le MSSS. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S16.03<\/strong> : garantie sur la propri\u00e9t\u00e9 intellectuelle du code conform\u00e9ment \u00e0 la Loi sur les droits d&rsquo;auteur.<\/li>\n<\/ul>\n\n\n\n<p><strong>Approches typiques.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Strat\u00e9gie de validation continue (audits internes, scans automatis\u00e9s, tests de p\u00e9n\u00e9tration).<\/li>\n\n\n\n<li>Rapport de test d&rsquo;intrusion avec mention de la firme et de sa reconnaissance par le MSSS. <em>Le crit\u00e8re S16.02 ne fixe pas de fr\u00e9quence chiffr\u00e9e; le test doit \u00eatre en coh\u00e9rence avec le cycle de certification.<\/em><\/li>\n\n\n\n<li>Plan de rem\u00e9diation des vuln\u00e9rabilit\u00e9s identifi\u00e9es avec dates et statuts.<\/li>\n\n\n\n<li>Pour S16.03 : registre des composantes logicielles avec licences explicit\u00e9es (MIT, GPL, Apache, propri\u00e9taire).<\/li>\n<\/ul>\n\n\n\n<p><strong>Note importante.<\/strong> Pour les modalit\u00e9s pr\u00e9cises du test d&rsquo;intrusion (bo\u00eete blanche\/grise\/noire, p\u00e9rim\u00e8tre, livrables), consultez le document <em>Orientation sur les tests d&rsquo;intrusion<\/em> publi\u00e9 par le Bureau de certification du MSSS.<\/p>\n\n\n\n<p><strong>D\u00e9lais de rem\u00e9diation pentest officiellement attendus<\/strong> (selon le document <em>Certification \u2014 Trousse globale de v\u00e9rification (TGV)<\/em> du MSSS, juin 2024) :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>\u00ab le fournisseur doit apporter les correctifs n\u00e9cessaires ou mettre en place des mesures de mitigation dans un d\u00e9lai maximal de 15 jours ouvrables suivant la r\u00e9ception du rapport de test \u00bb<\/em>;<\/li>\n\n\n\n<li><em>\u00ab le fournisseur doit informer le BCH de toute vuln\u00e9rabilit\u00e9 critique d\u00e8s qu&rsquo;il en a \u00e9t\u00e9 inform\u00e9 et il doit pr\u00e9senter un plan de mise en place des mesures de mitigation dans les trois jours ouvrables suivants \u00bb<\/em>.<\/li>\n<\/ul>\n\n\n\n<p><strong>Comparaison avec ISO 27001:2022.<\/strong> Le standard ISO 27001:2022 ne mandate pas explicitement de test d&rsquo;intrusion, mais le contr\u00f4le <strong>A.8.29 (Security testing in development and acceptance)<\/strong> couvre cette exigence quand l&rsquo;organisation l&rsquo;impl\u00e9mente effectivement. La majorit\u00e9 des organisations certifi\u00e9es ISO 27001:2022 conduisent des tests d&rsquo;intrusion r\u00e9guliers, soit dans le cadre d&rsquo;A.8.29, soit pour r\u00e9pondre \u00e0 des exigences clients. La sp\u00e9cificit\u00e9 du crit\u00e8re TGV S16.02 n&rsquo;est pas l&rsquo;existence du test \u2014 qui est une pratique ISO courante \u2014 mais la <strong>prescription d&rsquo;une firme reconnue par le MSSS<\/strong> assortie de d\u00e9lais de rem\u00e9diation impos\u00e9s.<\/p>\n\n\n\n<p><strong>Erreurs fr\u00e9quentes.<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Test d&rsquo;intrusion r\u00e9alis\u00e9 par une firme non reconnue par le MSSS \u2014 refus en v\u00e9rification.<\/li>\n\n\n\n<li>Aucune analyse SCA des composantes tierces.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">5. Cartographie d\u00e9taill\u00e9e S01-S16 \u2194 ISO 27001:2022<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> Sur les 16 sous-domaines du volet S\u00e9curit\u00e9 TGV, 11 sont en couverture directe avec ISO 27001:2022 (55 crit\u00e8res, \u2248 53 % du volet S), 4 en couverture partielle o\u00f9 la TGV est plus prescriptive (45 crit\u00e8res, \u2248 43 %), et 1 en couverture inverse o\u00f9 ISO 27001:2022 d\u00e9passe les exigences TGV (S01, 3 crit\u00e8res). Cette cartographie mesure la r\u00e9utilisabilit\u00e9 documentaire des artefacts SoA pour le dossier TGV, pas une \u00e9quivalence conceptuelle.<\/p>\n<\/blockquote>\n\n\n\n<p>Voici la cartographie haut niveau des 16 sous-domaines TGV vers les contr\u00f4les de l&rsquo;<strong>Annexe A d&rsquo;ISO 27001:2022<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">M\u00e9thodologie<\/h3>\n\n\n\n<p>Cette cartographie est construite par croisement entre :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>les <strong>libell\u00e9s des 104 crit\u00e8res TGV<\/strong> extraits du fichier source;<\/li>\n\n\n\n<li>les <strong>93 contr\u00f4les<\/strong> d&rsquo;ISO 27001:2022 (Annexe A);<\/li>\n\n\n\n<li>les <strong>clauses 4-10<\/strong> d&rsquo;ISO 27001:2022 lorsque pertinentes (notamment pour S01).<\/li>\n<\/ul>\n\n\n\n<p><strong>Dimension mesur\u00e9e :<\/strong> la \u00ab couverture \u00bb telle qu&rsquo;utilis\u00e9e dans cette cartographie d\u00e9signe la <strong>r\u00e9utilisabilit\u00e9 documentaire et de preuves<\/strong> \u2014 c&rsquo;est-\u00e0-dire la mesure dans laquelle les artefacts produits pour satisfaire un contr\u00f4le ISO 27001:2022 (politiques, proc\u00e9dures, captures, journaux, registres) peuvent \u00eatre r\u00e9utilis\u00e9s pour d\u00e9montrer un crit\u00e8re TGV moyennant un re-formatage. Cette dimension n&rsquo;est pas une \u00e9quivalence conceptuelle entre les deux r\u00e9f\u00e9rentiels (qui attestent des objets diff\u00e9rents \u2014 voir <a href=\"#2-pourquoi-16-sous-domaines\">section 2<\/a>), mais une mesure pratique de transfert d&rsquo;investissement documentaire.<\/p>\n\n\n\n<p><strong>Niveaux de couverture :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Directe<\/strong> : un contr\u00f4le ISO 27001:2022 satisfait substantiellement l&rsquo;exigence TGV moyennant production de la preuve \u00e9quivalente, sans travail technique additionnel significatif.<\/li>\n\n\n\n<li><strong>Partielle<\/strong> : couverture conceptuelle, mais TGV est plus prescriptive et demande un travail d&rsquo;adaptation documentaire ou technique pour certains crit\u00e8res du sous-domaine.<\/li>\n\n\n\n<li><strong>Inverse<\/strong> : ISO 27001:2022 d\u00e9passe largement les exigences TGV. Le fournisseur ISO couvre TGV automatiquement, mais l&rsquo;inverse demanderait un effort substantiel.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Tableau de cartographie<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Sous-domaines en couverture directe (11 sous-domaines, 55 crit\u00e8res)<\/h4>\n\n\n\n<p>Les artefacts produits pour la SoA ISO 27001:2022 peuvent \u00eatre r\u00e9utilis\u00e9s directement moyennant un re-formatage documentaire.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Sous-domaine TGV<\/th><th># crit\u00e8res<\/th><th>Contr\u00f4les ISO 27001:2022 (Annexe A)<\/th><th>Notes<\/th><\/tr><\/thead><tbody><tr><td><strong>S02<\/strong> Politique de s\u00e9curit\u00e9<\/td><td>4<\/td><td>A.5.1 Information security policies; A.5.4 Management responsibilities; Clause 5.2 (Politique)<\/td><td>Mappage tr\u00e8s direct.<\/td><\/tr><tr><td><strong>S03<\/strong> Organisation de la s\u00e9curit\u00e9<\/td><td>6<\/td><td>A.5.2 Roles; A.5.3 Segregation of duties; A.5.8 Project management; A.6.7 Remote working; A.8.1 User end point devices<\/td><td>A.6.7 nouveau en 2022, parfait pour S03.06.<\/td><\/tr><tr><td><strong>S04<\/strong> S\u00e9curit\u00e9 des RH<\/td><td>5<\/td><td>A.6.1 Screening; A.6.2 Terms; A.6.3 Awareness; A.6.4 Disciplinary; A.6.5 Post-employment; Clause 7.2 (Comp\u00e9tence)<\/td><td>Couverture quasi-totale.<\/td><\/tr><tr><td><strong>S05<\/strong> Gestion des actifs<\/td><td>8<\/td><td>A.5.9 Inventory; A.5.10 Acceptable use; A.5.11 Return; A.5.12 Classification; A.5.13 Labelling; A.7.10 Storage media; A.7.14 Secure disposal; A.8.10 Information deletion<\/td><td>A.8.10 nouveau en 2022.<\/td><\/tr><tr><td><strong>S07<\/strong> Cryptographie<\/td><td>3<\/td><td>A.8.24 Use of cryptography<\/td><td>Un seul contr\u00f4le ISO couvre les 3 crit\u00e8res TGV.<\/td><\/tr><tr><td><strong>S08<\/strong> S\u00e9curit\u00e9 physique<\/td><td>4<\/td><td>A.7.1 Perimeters; A.7.2 Entry; A.7.3 Securing offices; A.7.4 Physical monitoring; A.7.5 Threats; A.7.7 Clear desk; A.7.13 Maintenance<\/td><td>A.7.4 nouveau en 2022.<\/td><\/tr><tr><td><strong>S11<\/strong> S\u00e9curit\u00e9 des communications<\/td><td>5<\/td><td>A.8.20 Networks; A.8.21 Network services; A.8.22 Segregation; A.8.23 Web filtering; A.5.14 Information transfer; A.6.3 Awareness<\/td><td>A.8.23 nouveau en 2022.<\/td><\/tr><tr><td><strong>S12<\/strong> D\u00e9veloppement<\/td><td>8<\/td><td>A.8.25 SDLC; A.8.26 App security; A.8.27 Architecture; A.8.28 Secure coding; A.8.29 Testing; A.8.30 Outsourced; A.8.31 Separation Dev\/Test\/Prod; A.8.33 Test info; A.5.21 ICT supply chain<\/td><td>A.8.28 nouveau en 2022. Tr\u00e8s bon recouvrement.<\/td><\/tr><tr><td><strong>S13<\/strong> Fournisseurs<\/td><td>6<\/td><td>A.5.19 \u00e0 A.5.23 (Supplier relationships)<\/td><td>Mappage tr\u00e8s direct, A.5.23 (Cloud) nouveau en 2022.<\/td><\/tr><tr><td><strong>S14<\/strong> Incidents<\/td><td>3<\/td><td>A.5.24 Planning; A.5.25 Assessment; A.5.26 Response; A.5.27 Learning; A.5.28 Evidence<\/td><td>Couverture compl\u00e8te.<\/td><\/tr><tr><td><strong>S15<\/strong> Continuit\u00e9<\/td><td>3<\/td><td>A.5.29 Disruption; A.5.30 ICT readiness; A.8.13 Backup; A.8.14 Redundancy<\/td><td>A.5.30 nouveau en 2022.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\">Sous-domaines en couverture partielle (4 sous-domaines, 45 crit\u00e8res)<\/h4>\n\n\n\n<p>ISO 27001:2022 couvre la majorit\u00e9 des crit\u00e8res de ces sous-domaines, mais quelques crit\u00e8res TGV sont plus prescriptifs et requi\u00e8rent des compl\u00e9ments documentaires ou techniques.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Sous-domaine TGV<\/th><th># crit\u00e8res<\/th><th>Contr\u00f4les ISO 27001:2022 (Annexe A)<\/th><th>Crit\u00e8res TGV-sp\u00e9cifiques<\/th><\/tr><\/thead><tbody><tr><td><strong>S06<\/strong> Contr\u00f4le des acc\u00e8s<\/td><td>23<\/td><td>A.5.15 Access control; A.5.16 Identity management; A.5.17 Authentication info; A.5.18 Access rights; A.8.2 Privileged access; A.8.3 Information access restriction; A.8.4 Access to source code; A.8.5 Secure authentication<\/td><td>Verrouillage \u00e0 5 essais (S06.16); MFA universelle Internet (S06.06); CAPTCHA (S06.21); credential stuffing (S06.23)<\/td><\/tr><tr><td><strong>S09<\/strong> S\u00e9curit\u00e9 de l&rsquo;exploitation<\/td><td>12<\/td><td>A.5.37 Documented procedures; A.8.6 Capacity; A.8.7 Malware; A.8.8 Vulnerabilities; A.8.9 Configuration; A.8.13 Backup; A.8.19 Software installation; A.8.32 Change management<\/td><td>Sauvegardes anti-ran\u00e7ongiciels (S09.04); EDR explicite (S09.12); exemption de portes d\u00e9rob\u00e9es (S09.11)<\/td><\/tr><tr><td><strong>S10<\/strong> Journalisation<\/td><td>7<\/td><td>A.8.15 Logging; A.8.16 Monitoring; A.8.17 Clock sync; A.5.7 Threat intelligence<\/td><td>Dur\u00e9es de r\u00e9tention sectorielles RSSS d\u00e9passant l&rsquo;attente ISO<\/td><\/tr><tr><td><strong>S16<\/strong> Conformit\u00e9<\/td><td>3<\/td><td>A.5.31 Legal; A.5.32 IPR; A.5.35 Independent review; A.5.36 Compliance; A.8.34 Audit testing<\/td><td>Test d&rsquo;intrusion par firme reconnue par le MSSS (S16.02), avec d\u00e9lais de rem\u00e9diation impos\u00e9s<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\">Sous-domaine en couverture inverse (1 sous-domaine, 3 crit\u00e8res)<\/h4>\n\n\n\n<p>ISO 27001:2022 d\u00e9passe largement les exigences TGV. Le fournisseur ISO couvre TGV automatiquement, mais l&rsquo;inverse demanderait un effort substantiel.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Sous-domaine TGV<\/th><th># crit\u00e8res<\/th><th>Contr\u00f4les ISO 27001:2022<\/th><th>Notes<\/th><\/tr><\/thead><tbody><tr><td><strong>S01<\/strong> Gestion des risques<\/td><td>3<\/td><td>Clauses 6.1.2, 6.1.3, 8.2, 8.3 (SMSI)<\/td><td>TGV \u2282 ISO. ISO va beaucoup plus loin avec la SoA et le plan de traitement.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Synth\u00e8se de couverture<\/h3>\n\n\n\n<p>Sur les <strong>16 sous-domaines<\/strong> du volet S\u00e9curit\u00e9 TGV (104 crit\u00e8res au total) :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>11 sous-domaines en couverture directe<\/strong> : S02, S03, S04, S05, S07, S08, S11, S12, S13, S14, S15. Total : <strong>55 crit\u00e8res<\/strong> (\u2248 53 % du volet S).<\/li>\n\n\n\n<li><strong>4 sous-domaines en couverture partielle<\/strong> : S06 (23), S09 (12), S10 (7), S16 (3). Total : <strong>45 crit\u00e8res<\/strong> (\u2248 43 % du volet S). Dans ces sous-domaines, la majorit\u00e9 des crit\u00e8res correspond directement \u00e0 des contr\u00f4les Annexe A; un sous-ensemble est plus prescriptif que ce que demande ISO 27001:2022 \u2014 notamment :<\/li>\n\n\n\n<li>S06 : verrouillage \u00e0 5 essais (S06.16), MFA universelle pour acc\u00e8s Internet (S06.06), CAPTCHA obligatoire (S06.21), d\u00e9tection de credential stuffing (S06.23).<\/li>\n\n\n\n<li>S09 : sauvegardes anti-ran\u00e7ongiciels (S09.04), EDR explicite (S09.12), absence de portes d\u00e9rob\u00e9es (S09.11).<\/li>\n\n\n\n<li>S10 : dur\u00e9es de r\u00e9tention sectorielles d\u00e9passant l&rsquo;attente ISO.<\/li>\n\n\n\n<li>S16 : test d&rsquo;intrusion par firme reconnue par le MSSS (S16.02).<\/li>\n\n\n\n<li><strong>1 sous-domaine en couverture inverse<\/strong> : S01. Total : <strong>3 crit\u00e8res<\/strong> (\u2248 3 % du volet S). ISO 27001:2022 d\u00e9passe largement les exigences TGV S01 gr\u00e2ce aux clauses 6.1.2, 6.1.3, 8.2 et 8.3 et \u00e0 la production de la SoA.<\/li>\n<\/ul>\n\n\n\n<p><strong>Distribution des crit\u00e8res par niveau de couverture :<\/strong><\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Niveau<\/th><th>Sous-domaines<\/th><th>Crit\u00e8res<\/th><th>% du volet S<\/th><\/tr><\/thead><tbody><tr><td>Directe<\/td><td>11<\/td><td>55<\/td><td>\u2248 53 %<\/td><\/tr><tr><td>Partielle<\/td><td>4<\/td><td>45<\/td><td>\u2248 43 %<\/td><\/tr><tr><td>Inverse<\/td><td>1<\/td><td>3<\/td><td>\u2248 3 %<\/td><\/tr><tr><td><strong>Total<\/strong><\/td><td><strong>16<\/strong><\/td><td><strong>103<\/strong><\/td><td>\u2248 99 %*<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>* <em>L&rsquo;\u00e9cart d&rsquo;un crit\u00e8re par rapport au total de 104 vient de l&rsquo;anomalie S08.19 (cat\u00e9goris\u00e9 en S08 par code Num mais en S06 par cat\u00e9gorie r\u00e9elle); il bascule dans S06 \u00ab partielle \u00bb par cat\u00e9gorie r\u00e9elle ou dans S08 \u00ab directe \u00bb par code Num.<\/em><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Limites de cette cartographie.<\/strong> Cette analyse est conduite <strong>au niveau sous-domaine<\/strong>, pas crit\u00e8re par crit\u00e8re. Une cartographie exhaustive crit\u00e8re-par-crit\u00e8re (104 lignes individuelles avec leurs contr\u00f4les ISO 27001:2022 correspondants sp\u00e9cifiques, leurs preuves typiques et leur niveau de couverture pr\u00e9cis) est un travail substantiel \u00e0 venir et fera l&rsquo;objet d&rsquo;un article ou d&rsquo;un livrable distinct.<\/p>\n\n\n\n<p><strong>Note importante sur l&rsquo;h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 interne des sous-domaines \u00ab Partielle \u00bb.<\/strong> L&rsquo;\u00e9tiquette \u00ab Partielle \u00bb au niveau du sous-domaine peut donner une impression trompeuse. <strong>Au sein d&rsquo;un sous-domaine partiel, la majorit\u00e9 des crit\u00e8res est en r\u00e9alit\u00e9 directement couverte par des contr\u00f4les Annexe A ISO 27001:2022 :<\/strong> seul un sous-ensemble (typiquement 5 \u00e0 7 crit\u00e8res selon le sous-domaine) introduit des prescriptions sectorielles sp\u00e9cifiques au TGV. Par exemple, dans S06 (23 crit\u00e8res), la majorit\u00e9 correspond directement \u00e0 A.5.15-A.5.18 et A.8.2-A.8.5 (politique IAM, gestion des identit\u00e9s, comptes privil\u00e9gi\u00e9s, etc.); seuls quelques-uns (S06.06 MFA universelle, S06.16 verrouillage \u00e0 5 essais, S06.21 CAPTCHA, S06.23 credential stuffing, S06.18 comptes g\u00e9n\u00e9riques) sont vraiment \u00ab TGV-sp\u00e9cifiques \u00bb. La m\u00eame h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 se retrouve dans S09, S10 et S16. Une cartographie au niveau crit\u00e8re ferait probablement appara\u00eetre une distribution plus favorable encore au transfert depuis ISO 27001:2022.<\/p>\n<\/blockquote>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">6. Comment r\u00e9utiliser votre SoA ISO 27001:2022 dans le dossier TGV<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> Pour un fournisseur certifi\u00e9 ISO 27001:2022, la Statement of Applicability (SoA) est l&rsquo;actif documentaire le plus pr\u00e9cieux \u00e0 r\u00e9utiliser pour la TGV. La m\u00e9canique consiste \u00e0 indexer chaque contr\u00f4le Annexe A applicable et ses preuves par les crit\u00e8res TGV correspondants. L&rsquo;op\u00e9ration est principalement documentaire (re-formatage), pas technique. Les \u00e9carts r\u00e9siduels concernent les exigences sectorielles sant\u00e9 et les contr\u00f4les ISO exclus de la SoA.<\/p>\n<\/blockquote>\n\n\n\n<p>Pour un fournisseur certifi\u00e9 ISO 27001:2022, la <strong>Statement of Applicability (SoA)<\/strong> est l&rsquo;actif documentaire le plus pr\u00e9cieux pour la pr\u00e9paration TGV.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">6.1 Qu&rsquo;est-ce que la SoA?<\/h3>\n\n\n\n<p>La SoA est un document obligatoire de la certification ISO 27001:2022. Elle :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>liste les 93 contr\u00f4les de l&rsquo;Annexe A;<\/li>\n\n\n\n<li>indique pour chacun s&rsquo;il est applicable ou non au p\u00e9rim\u00e8tre du SMSI;<\/li>\n\n\n\n<li>justifie les exclusions;<\/li>\n\n\n\n<li>r\u00e9f\u00e9rence les politiques, proc\u00e9dures et preuves de mise en \u0153uvre pour les contr\u00f4les applicables;<\/li>\n\n\n\n<li>indique le statut d&rsquo;impl\u00e9mentation.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">6.2 De la SoA au dossier TGV : la m\u00e9canique<\/h3>\n\n\n\n<p>L&rsquo;op\u00e9ration principale est <strong>documentaire<\/strong> (pas technique). Pour chaque contr\u00f4le Annexe A applicable et impl\u00e9ment\u00e9 dans la SoA :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Identifier les <strong>crit\u00e8res TGV correspondants<\/strong> en utilisant le tableau de cartographie de la <a href=\"#5-cartographie-iso-270012022\">section 5<\/a>.<\/li>\n\n\n\n<li>R\u00e9utiliser les <strong>m\u00eames preuves<\/strong> (politiques, proc\u00e9dures, captures, journaux) avec une nouvelle indexation par crit\u00e8re TGV.<\/li>\n\n\n\n<li>Pour les contr\u00f4les ISO <strong>exclus de la SoA<\/strong> (par exemple physiques pour un \u00e9diteur SaaS pur cloud) : r\u00e9cup\u00e9rer les attestations du fournisseur cloud (SOC 2, ISO 27001 du fournisseur) qui couvrent l&rsquo;exclusion.<\/li>\n\n\n\n<li>Pour les <strong>9 % de crit\u00e8res TGV sans \u00e9quivalent direct ISO<\/strong> : produire les artefacts sp\u00e9cifiques (exigence anti-ran\u00e7ongiciel, attestation de pentest par firme reconnue MSSS, cartographie RSSS, etc.).<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">6.3 Les pi\u00e8ges du re-formatage<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Format diff\u00e9rent.<\/strong> La SoA produit une vue par contr\u00f4le ISO; le Bureau de certification du MSSS attend une vue par crit\u00e8re TGV. Un m\u00eame artefact peut servir 4-5 crit\u00e8res TGV. Une matrice de correspondance \u00e9vite de dupliquer la documentation.<\/li>\n\n\n\n<li><strong>P\u00e9rim\u00e8tre.<\/strong> Le p\u00e9rim\u00e8tre du SMSI ISO 27001:2022 (qui peut inclure plusieurs produits ou services) n&rsquo;est pas n\u00e9cessairement align\u00e9 avec le p\u00e9rim\u00e8tre TGV (qui est la version X d&rsquo;un PST). Les preuves doivent \u00eatre pertinentes pour le PST sp\u00e9cifique.<\/li>\n\n\n\n<li><strong>Niveau de d\u00e9tail.<\/strong> ISO 27001:2022 demande un <em>\u00ab comment \u00bb<\/em> (le contr\u00f4le est en place); la TGV demande souvent un <em>\u00ab quoi exactement \u00bb<\/em> (la configuration technique pr\u00e9cise, le d\u00e9lai, la fr\u00e9quence). Combler cet \u00e9cart demande des artefacts compl\u00e9mentaires.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">6.4 Estimation d&rsquo;effort<\/h3>\n\n\n\n<p>Pour un SMSI ISO 27001:2022 mature et bien document\u00e9, le re-formatage vers le format TGV demande, <strong>selon l&rsquo;exp\u00e9rience d&rsquo;accompagnement de Factero, un effort substantiel de plusieurs mois<\/strong>, incluant :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>la production de la matrice de correspondance crit\u00e8re-par-crit\u00e8re (1-2 semaines),<\/li>\n\n\n\n<li>le compl\u00e9ment documentaire pour les \u00e9carts identifi\u00e9s (variable selon le PST),<\/li>\n\n\n\n<li>la production des artefacts sectoriels sant\u00e9 (cartographie RSSS, arrimage DSQ si applicable, contrats d&rsquo;h\u00e9bergement).<\/li>\n<\/ul>\n\n\n\n<p>L&rsquo;effort exact d\u00e9pend de facteurs nombreux (taille du SMSI, qualit\u00e9 documentaire de d\u00e9part, complexit\u00e9 d&rsquo;arrimage sectoriel, nombre d&rsquo;environnements cloud, etc.) \u2014 un fournisseur souhaitant une estimation chiffr\u00e9e devrait consulter directement plusieurs firmes v\u00e9rificatrices ou consultants sp\u00e9cialis\u00e9s.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">7. L&rsquo;anomalie du crit\u00e8re S08.19<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> Le fichier officiel TGV contient une anomalie de num\u00e9rotation : le crit\u00e8re cod\u00e9 <code>S08.19<\/code> (sur la d\u00e9connexion automatique de session) est en r\u00e9alit\u00e9 cat\u00e9goris\u00e9 \u00ab Contr\u00f4le des acc\u00e8s \u00bb et appartient probablement \u00e0 S06 (typo possible pour S06.19). Notre interpr\u00e9tation se fonde sur la cat\u00e9gorie et la position s\u00e9quentielle entre S06.18 et S06.20; elle n&rsquo;est pas confirm\u00e9e par communication officielle MSSS. Le total de 104 crit\u00e8res au volet S\u00e9curit\u00e9 reste inchang\u00e9 dans les deux interpr\u00e9tations.<\/p>\n<\/blockquote>\n\n\n\n<p>Le fichier officiel <code>liste-criteres-TGV_v2024-06-18.xls<\/code> contient une anomalie de num\u00e9rotation qui m\u00e9rite mention :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le crit\u00e8re cod\u00e9 <strong><code>S08.19<\/code><\/strong> porte sur la <em>\u00ab d\u00e9connexion automatique d&rsquo;une session apr\u00e8s un d\u00e9lai d&rsquo;inactivit\u00e9 (configurable) \u00bb<\/em>.<\/li>\n\n\n\n<li>Sa <strong>cat\u00e9gorie<\/strong> dans le fichier est <em>\u00ab Contr\u00f4le des acc\u00e8s \u00bb<\/em>, et non <em>\u00ab S\u00e9curit\u00e9 physique et environnementale \u00bb<\/em>.<\/li>\n\n\n\n<li>Sa <strong>position<\/strong> dans la s\u00e9quence est entre les crit\u00e8res S06.18 et S06.20.<\/li>\n<\/ul>\n\n\n\n<p>L&rsquo;interpr\u00e9tation comme <strong>typo de S06.19<\/strong> est notre lecture, fond\u00e9e sur la cat\u00e9gorie \u00ab Contr\u00f4le des acc\u00e8s \u00bb et la position s\u00e9quentielle. <strong>\u00c0 notre connaissance, le MSSS n&rsquo;a publi\u00e9 aucun correctif officiel ni communication confirmant cette interpr\u00e9tation.<\/strong> Toute correspondance officielle clarifiant ce point sera int\u00e9gr\u00e9e \u00e0 une mise \u00e0 jour de cet article.<\/p>\n\n\n\n<p><strong>Cons\u00e9quence sur les d\u00e9comptes :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Par <strong>code Num strict<\/strong> tel que publi\u00e9 : S06 = 23 crit\u00e8res, S08 = 5 crit\u00e8res.<\/li>\n\n\n\n<li>Par <strong>cat\u00e9gorie r\u00e9elle<\/strong> : S06 = 24 crit\u00e8res, S08 = 4 crit\u00e8res.<\/li>\n<\/ul>\n\n\n\n<p>Le total de <strong>104 crit\u00e8res au volet S\u00e9curit\u00e9<\/strong> reste inchang\u00e9 dans les deux interpr\u00e9tations.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">8. Le m\u00e9canisme d&rsquo;exception MSSS<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> Plusieurs crit\u00e8res du volet S\u00e9curit\u00e9 TGV (notamment S06.11 sur les mots de passe en dur et S06.18 sur les comptes g\u00e9n\u00e9riques) pr\u00e9voient explicitement une demande d&rsquo;exception au MSSS lorsque le crit\u00e8re ne peut \u00eatre strictement satisfait. Ce m\u00e9canisme requiert une demande explicite et une acceptation explicite \u2014 il n&rsquo;est pas \u00e9quivalent \u00e0 la SoA d&rsquo;ISO 27001:2022 qui est unilat\u00e9rale et bas\u00e9e sur l&rsquo;analyse de risques.<\/p>\n<\/blockquote>\n\n\n\n<p>Plusieurs crit\u00e8res du volet S\u00e9curit\u00e9 pr\u00e9voient explicitement la possibilit\u00e9 d&rsquo;une <strong>demande d&rsquo;exception<\/strong> lorsque le crit\u00e8re ne peut \u00eatre strictement satisfait pour des raisons techniques ou op\u00e9rationnelles. C&rsquo;est le cas notamment de :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S06.11<\/strong> : mots de passe en dur dans le code source \u2014 <em>\u00ab Dans le cas contraire, une demande d&rsquo;exception doit \u00eatre effectu\u00e9e aupr\u00e8s du MSSS. \u00bb<\/em><\/li>\n\n\n\n<li><strong>S06.18<\/strong> : comptes g\u00e9n\u00e9riques \u2014 <em>\u00ab \u00c0 d\u00e9faut, une demande d&rsquo;exception doit \u00eatre demand\u00e9e aupr\u00e8s du MSSS. \u00bb<\/em><\/li>\n<\/ul>\n\n\n\n<p>Ce m\u00e9canisme est important parce qu&rsquo;il introduit une certaine <strong>flexibilit\u00e9<\/strong> dans un r\u00e9f\u00e9rentiel par ailleurs prescriptif. Une exception accord\u00e9e par le MSSS permet de poursuivre la certification avec une documentation de la justification et, g\u00e9n\u00e9ralement, des contr\u00f4les compensatoires.<\/p>\n\n\n\n<p>Le m\u00e9canisme d&rsquo;exception n&rsquo;est pas \u00e9quivalent \u00e0 la SoA d&rsquo;ISO 27001:2022 (qui est unilat\u00e9rale et bas\u00e9e sur l&rsquo;analyse de risques). L&rsquo;exception TGV n\u00e9cessite une <strong>demande explicite aupr\u00e8s du MSSS<\/strong> et une <strong>acceptation explicite<\/strong>.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">9. Quelles sont les trois erreurs structurelles \u00e0 \u00e9viter en pr\u00e9paration TGV?<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> Les trois erreurs structurelles les plus fr\u00e9quentes en pr\u00e9paration TGV : (1) confondre l&rsquo;existence d&rsquo;un document sign\u00e9 et la d\u00e9monstration d&rsquo;un contr\u00f4le effectivement appliqu\u00e9 \u2014 le Bureau de certification cherche les preuves d&rsquo;application, pas la documentation seule; (2) sous-estimer le volume de preuves op\u00e9rationnelles \u00e0 accumuler dans la dur\u00e9e (plusieurs mois minimum); (3) traiter le volet S\u00e9curit\u00e9 ind\u00e9pendamment des volets PRPS, Technologie et Interop\u00e9rabilit\u00e9 avec lesquels il interagit \u00e9troitement.<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\">Erreur 1 \u2014 Confondre \u00ab avoir un document \u00bb et \u00ab d\u00e9montrer un contr\u00f4le \u00bb<\/h3>\n\n\n\n<p>Le Bureau de certification du MSSS et les firmes v\u00e9rificatrices ne se contentent pas de v\u00e9rifier qu&rsquo;un document existe. Ils cherchent la <strong>preuve d&rsquo;application<\/strong>. Une politique sign\u00e9e mais que les employ\u00e9s ne connaissent pas (S02.03), une proc\u00e9dure document\u00e9e mais jamais ex\u00e9cut\u00e9e, un PCA dat\u00e9 mais jamais test\u00e9 (S15.03) : autant d&rsquo;\u00e9carts qui se transforment en non-conformit\u00e9s.<\/p>\n\n\n\n<p><strong>Correctif<\/strong> : pour chaque document, pr\u00e9voir au moins une preuve d&rsquo;application op\u00e9rationnelle (capture, journal, attestation, exercice).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Erreur 2 \u2014 Sous-estimer le volume de preuves op\u00e9rationnelles<\/h3>\n\n\n\n<p>Les fournisseurs pr\u00e9parent souvent un dossier impressionnant de politiques et proc\u00e9dures, mais arrivent en v\u00e9rification avec tr\u00e8s peu de <strong>traces op\u00e9rationnelles<\/strong> : registres d&rsquo;acc\u00e8s, captures de configuration, journaux d&rsquo;incidents, listes de pr\u00e9sence aux formations.<\/p>\n\n\n\n<p><strong>Correctif<\/strong> : d\u00e9marrer la collecte d&rsquo;artefacts op\u00e9rationnels plusieurs mois avant la soumission.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Erreur 3 \u2014 Traiter le volet S\u00e9curit\u00e9 ind\u00e9pendamment des autres volets<\/h3>\n\n\n\n<p>Plusieurs crit\u00e8res du volet S\u00e9curit\u00e9 interagissent \u00e9troitement avec PRPS, Technologie ou Interop\u00e9rabilit\u00e9 :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S05<\/strong> (Gestion des actifs) chevauche <strong>P03.03<\/strong> (Inventaire des renseignements personnels).<\/li>\n\n\n\n<li><strong>S07.01<\/strong> (Chiffrement) chevauche <strong>P08.01<\/strong> (S\u00e9curit\u00e9 des RP).<\/li>\n\n\n\n<li><strong>S13<\/strong> (Fournisseurs) chevauche <strong>P01.09<\/strong> (Conformit\u00e9 des partenaires PRP).<\/li>\n\n\n\n<li><strong>S11<\/strong> (Communications) chevauche <strong>I01-I09<\/strong> (Standards d&rsquo;interop\u00e9rabilit\u00e9).<\/li>\n<\/ul>\n\n\n\n<p><strong>Correctif<\/strong> : construire une <strong>vue int\u00e9gr\u00e9e<\/strong> des artefacts d\u00e8s le d\u00e9part, avec des documents con\u00e7us pour servir simultan\u00e9ment plusieurs volets.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">10. Glossaire<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>BCH<\/strong> \u2014 Bureau de certification et d&rsquo;homologation (ancien nom du Bureau de certification du MSSS).<\/li>\n\n\n\n<li><strong>BCM<\/strong> \u2014 <em>Business Continuity Management<\/em>.<\/li>\n\n\n\n<li><strong>BIA<\/strong> \u2014 <em>Business Impact Analysis<\/em>.<\/li>\n\n\n\n<li><strong>CAI<\/strong> \u2014 Commission d&rsquo;acc\u00e8s \u00e0 l&rsquo;information du Qu\u00e9bec.<\/li>\n\n\n\n<li><strong>CB<\/strong> \u2014 <em>Certification Body<\/em> (organisme de certification ISO 27001:2022).<\/li>\n\n\n\n<li><strong>DIC<\/strong> \u2014 Disponibilit\u00e9, Int\u00e9grit\u00e9, Confidentialit\u00e9.<\/li>\n\n\n\n<li><strong>DPO<\/strong> \u2014 <em>Data Protection Officer<\/em> (r\u00f4le GDPR; \u00e0 comparer au Responsable PRP du Qu\u00e9bec).<\/li>\n\n\n\n<li><strong>DRP<\/strong> \u2014 <em>Disaster Recovery Plan<\/em> (plan de reprise informatique).<\/li>\n\n\n\n<li><strong>DSN<\/strong> \u2014 Dossier sant\u00e9 num\u00e9rique (cadre pr\u00e9vu par la Loi 5).<\/li>\n\n\n\n<li><strong>DSQ<\/strong> \u2014 Dossier sant\u00e9 Qu\u00e9bec.<\/li>\n\n\n\n<li><strong>EBIOS RM<\/strong> \u2014 <em>Expression des Besoins et Identification des Objectifs de S\u00e9curit\u00e9 \u2014 Risk Manager<\/em> (m\u00e9thode d&rsquo;analyse de risques publi\u00e9e par l&rsquo;ANSSI).<\/li>\n\n\n\n<li><strong>EDR<\/strong> \u2014 <em>Endpoint Detection and Response<\/em>.<\/li>\n\n\n\n<li><strong>EFVP<\/strong> \u2014 \u00c9valuation des facteurs relatifs \u00e0 la vie priv\u00e9e.<\/li>\n\n\n\n<li><strong>FIDO2<\/strong> \u2014 Standard moderne d&rsquo;authentification sans mot de passe (passkeys).<\/li>\n\n\n\n<li><strong>GIU<\/strong> \u2014 Gestion de l&rsquo;identification des usagers (services communs provinciaux).<\/li>\n\n\n\n<li><strong>HSM<\/strong> \u2014 <em>Hardware Security Module<\/em>.<\/li>\n\n\n\n<li><strong>IAM<\/strong> \u2014 <em>Identity and Access Management<\/em>.<\/li>\n\n\n\n<li><strong>IPM\u00c9<\/strong> \u2014 Identifiant patient ma\u00eetre d&rsquo;\u00e9tablissement.<\/li>\n\n\n\n<li><strong>KMS<\/strong> \u2014 <em>Key Management Service<\/em> (AWS, Azure, GCP).<\/li>\n\n\n\n<li><strong>Loi 5<\/strong> \u2014 <em>Loi sur les renseignements de sant\u00e9 et de services sociaux<\/em> (LRSSS), entr\u00e9e en vigueur le 1er juillet 2024.<\/li>\n\n\n\n<li><strong>LRSSS<\/strong> \u2014 voir Loi 5.<\/li>\n\n\n\n<li><strong>LSSSS<\/strong> \u2014 Loi sur les services de sant\u00e9 et les services sociaux (Qu\u00e9bec).<\/li>\n\n\n\n<li><strong>MLA<\/strong> \u2014 <em>Multilateral Recognition Arrangement<\/em> (accords IAF d&rsquo;accr\u00e9ditation).<\/li>\n\n\n\n<li><strong>mTLS<\/strong> \u2014 TLS mutuel (authentification mutuelle de part et d&rsquo;autre).<\/li>\n\n\n\n<li><strong>MSSS<\/strong> \u2014 Minist\u00e8re de la Sant\u00e9 et des Services sociaux du Qu\u00e9bec.<\/li>\n\n\n\n<li><strong>NAM<\/strong> \u2014 Num\u00e9ro d&rsquo;assurance maladie (RAMQ).<\/li>\n\n\n\n<li>*<em>NIST SP 800-<\/em> ** \u2014 <em>Special Publications<\/em> du NIST (s\u00e9ries de publications techniques de r\u00e9f\u00e9rence en cybers\u00e9curit\u00e9).<\/li>\n\n\n\n<li><strong>NIU<\/strong> \u2014 Num\u00e9ro d&rsquo;identification unique (provincial).<\/li>\n\n\n\n<li><strong>PCA<\/strong> \u2014 Plan de continuit\u00e9 d&rsquo;affaires.<\/li>\n\n\n\n<li><strong>PIMS<\/strong> \u2014 <em>Privacy Information Management System<\/em> (ISO 27701).<\/li>\n\n\n\n<li><strong>PRI<\/strong> \u2014 Plan de r\u00e9ponse aux incidents.<\/li>\n\n\n\n<li><strong>PRP \/ PRPS<\/strong> \u2014 Protection des renseignements personnels \/ et de sant\u00e9.<\/li>\n\n\n\n<li><strong>PST<\/strong> \u2014 Produit ou service technologique.<\/li>\n\n\n\n<li><strong>RPO<\/strong> \u2014 <em>Recovery Point Objective<\/em>.<\/li>\n\n\n\n<li><strong>RSSS<\/strong> \u2014 Renseignements de sant\u00e9 et de services sociaux.<\/li>\n\n\n\n<li><strong>RTO<\/strong> \u2014 <em>Recovery Time Objective<\/em>.<\/li>\n\n\n\n<li><strong>SaaS<\/strong> \u2014 <em>Software as a Service<\/em>.<\/li>\n\n\n\n<li><strong>SAST \/ DAST \/ SCA<\/strong> \u2014 <em>Static \/ Dynamic \/ Software Composition<\/em> Application Security Testing.<\/li>\n\n\n\n<li><strong>SBOM<\/strong> \u2014 <em>Software Bill of Materials<\/em>.<\/li>\n\n\n\n<li><strong>SIEM<\/strong> \u2014 <em>Security Information and Event Management<\/em>.<\/li>\n\n\n\n<li><strong>SMSI<\/strong> \u2014 Syst\u00e8me de management de la s\u00e9curit\u00e9 de l&rsquo;information.<\/li>\n\n\n\n<li><strong>SoA<\/strong> \u2014 <em>Statement of Applicability<\/em> (ISO 27001:2022).<\/li>\n\n\n\n<li><strong>SSAE 18<\/strong> \u2014 <em>Statement on Standards for Attestation Engagements 18<\/em> (norme AICPA encadrant les missions d&rsquo;attestation).<\/li>\n\n\n\n<li><strong>SSSS<\/strong> \u2014 Sant\u00e9 et services sociaux (le r\u00e9seau qu\u00e9b\u00e9cois).<\/li>\n\n\n\n<li><strong>TGV<\/strong> \u2014 Trousse globale de v\u00e9rification (MSSS Qu\u00e9bec).<\/li>\n\n\n\n<li><strong>TOTP<\/strong> \u2014 <em>Time-based One-Time Password<\/em>.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">11. FAQ<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Combien de crit\u00e8res y a-t-il dans le volet S\u00e9curit\u00e9 de la TGV?<\/h3>\n\n\n\n<p>Le volet S\u00e9curit\u00e9 (S01 \u00e0 S16) compte <strong>104 crit\u00e8res<\/strong> sur les 254 crit\u00e8res totaux du r\u00e9f\u00e9rentiel TGV, soit <strong>40,9 %<\/strong> du r\u00e9f\u00e9rentiel.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quel est le sous-domaine le plus volumineux du volet S\u00e9curit\u00e9 TGV?<\/h3>\n\n\n\n<p>Le sous-domaine <strong>S06 (Contr\u00f4le des acc\u00e8s)<\/strong> avec <strong>23 crit\u00e8res<\/strong> (24 par cat\u00e9gorie r\u00e9elle, en incluant l&rsquo;anomalie S08.19). Le deuxi\u00e8me plus volumineux est <strong>S09 (S\u00e9curit\u00e9 li\u00e9e \u00e0 l&rsquo;exploitation)<\/strong> avec <strong>12 crit\u00e8res<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Une certification ISO 27001:2022 couvre-t-elle enti\u00e8rement le volet S\u00e9curit\u00e9 TGV?<\/h3>\n\n\n\n<p>Non, mais elle couvre l&rsquo;essentiel. Sur les 16 sous-domaines : 11 en couverture directe (55 crit\u00e8res, \u2248 53 % du volet S), 4 en couverture partielle (45 crit\u00e8res, \u2248 43 %, o\u00f9 certains crit\u00e8res TGV sont plus prescriptifs qu&rsquo;ISO 27001:2022), et 1 en couverture inverse (S01, 3 crit\u00e8res, o\u00f9 ISO 27001:2022 d\u00e9passe largement TGV gr\u00e2ce \u00e0 ses clauses sur la gestion des risques).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quelle diff\u00e9rence entre la TGV et l&rsquo;ISO 27001:2022 sur le volet S\u00e9curit\u00e9?<\/h3>\n\n\n\n<p>La TGV est <strong>prescriptive<\/strong> (liste de crit\u00e8res \u00e0 d\u00e9montrer) alors qu&rsquo;ISO 27001:2022 est <strong>bas\u00e9e sur le risque<\/strong> (l&rsquo;organisation justifie ses choix de contr\u00f4les via l&rsquo;analyse de risques et la SoA). De plus, ISO 27001:2022 atteste un syst\u00e8me de management (SMSI) tandis que la TGV v\u00e9rifie l&rsquo;\u00e9tat d&rsquo;un PST \u00e0 un moment donn\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Peut-on demander une exception pour un crit\u00e8re qu&rsquo;on ne peut pas satisfaire?<\/h3>\n\n\n\n<p>Oui pour certains crit\u00e8res qui pr\u00e9voient explicitement ce m\u00e9canisme (notamment S06.11 et S06.18). La demande d&rsquo;exception doit \u00eatre adress\u00e9e au MSSS et accept\u00e9e explicitement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Pourquoi le S04 ne s&rsquo;appelle-t-il pas \u00ab Sensibilisation \u00bb?<\/h3>\n\n\n\n<p>Parce que la sensibilisation et la formation, dans la TGV, ne forment pas un sous-domaine s\u00e9par\u00e9 : elles sont int\u00e9gr\u00e9es dans S04 \u00ab S\u00e9curit\u00e9 des ressources humaines \u00bb avec les autres aspects RH.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Y a-t-il des erreurs ou anomalies dans le fichier officiel TGV?<\/h3>\n\n\n\n<p>Oui, une anomalie identifiable : le crit\u00e8re cod\u00e9 <code>S08.19<\/code> est en r\u00e9alit\u00e9 cat\u00e9goris\u00e9 \u00ab Contr\u00f4le des acc\u00e8s \u00bb et appartient logiquement au sous-domaine S06. Voir la <a href=\"#7-anomalie-s0819\">section 7<\/a>.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">12. Sources et m\u00e9thodologie<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">12.1 Sources officielles<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Fichier officiel des crit\u00e8res TGV<\/strong> : <code>liste-criteres-TGV_v2024-06-18.xls<\/code> publi\u00e9 par le MSSS \u2014 accessible via la page <a href=\"https:\/\/msss.gouv.qc.ca\/professionnels\/technologies-information\/certification-produits-et-services-technologiques\/orientations-procedures-documents-utiles-certification\/\" rel=\"nofollow noopener\" target=\"_blank\">Orientations, proc\u00e9dures et documents utiles<\/a> du Bureau de certification.<\/li>\n\n\n\n<li><strong>Page principale du Bureau de certification<\/strong> : <a href=\"https:\/\/msss.gouv.qc.ca\/professionnels\/certification-produits-et-services-technologiques\/\" rel=\"nofollow noopener\" target=\"_blank\">msss.gouv.qc.ca\/professionnels\/certification-produits-et-services-technologiques<\/a>.<\/li>\n\n\n\n<li><strong>Document d&rsquo;orientation TGV<\/strong> : <em>Certification \u2013 Trousse globale de v\u00e9rification (TGV)<\/em>, MSSS, juin 2024 \u2014 <a href=\"https:\/\/publications.msss.gouv.qc.ca\/msss\/document-003757\/\" rel=\"nofollow noopener\" target=\"_blank\">publications.msss.gouv.qc.ca\/msss\/document-003757<\/a>.<\/li>\n\n\n\n<li><strong>Orientation sur les tests d&rsquo;intrusion<\/strong>, Bureau de certification du MSSS.<\/li>\n\n\n\n<li><strong>ISO\/IEC 27001:2022<\/strong> et <strong>ISO\/IEC 27002:2022<\/strong>.<\/li>\n\n\n\n<li><strong>ISO\/IEC 27006:2015<\/strong> (exigences pour organismes d&rsquo;audit et de certification de SMSI).<\/li>\n\n\n\n<li><strong>ISO\/IEC 27007:2020<\/strong> (lignes directrices pour l&rsquo;audit du SMSI).<\/li>\n\n\n\n<li><strong>ISO\/IEC 27008:2019<\/strong> (lignes directrices pour l&rsquo;audit des contr\u00f4les de l&rsquo;Annexe A).<\/li>\n\n\n\n<li><strong>IAF Resolution 2021-22<\/strong> sur la fin de la transition ISO 27001:2013 \u2192 2022.<\/li>\n\n\n\n<li><strong>NIST FIPS 140-3<\/strong> (norme actuelle pour la validation des modules cryptographiques, en remplacement de FIPS 140-2 depuis 2019).<\/li>\n\n\n\n<li><strong>NIST SP 800-52 Rev. 2<\/strong> (TLS).<\/li>\n\n\n\n<li><strong>NIST SP 800-63B<\/strong> (authentification, dont SMS-OTP d\u00e9pr\u00e9ci\u00e9).<\/li>\n\n\n\n<li><strong>NIST SP 800-40 Rev. 4<\/strong> (gestion des correctifs).<\/li>\n\n\n\n<li><strong>NIST SP 800-115<\/strong> (security testing technique).<\/li>\n\n\n\n<li><strong>NIST SP 800-131A<\/strong> (transitions cryptographiques).<\/li>\n\n\n\n<li><strong>CIS Controls v8<\/strong> (r\u00e9f\u00e9rentiel de contr\u00f4les industriels, notamment Safeguard 7.1 sur la gestion des correctifs).<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">12.2 M\u00e9thodologie<\/h3>\n\n\n\n<p>L&rsquo;analyse pr\u00e9sent\u00e9e dans cet article est issue d&rsquo;une <strong>extraction programmatique du fichier officiel<\/strong> des crit\u00e8res TGV au 27 avril 2026 :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le d\u00e9compte de <strong>104 crit\u00e8res au volet S\u00e9curit\u00e9<\/strong> et la r\u00e9partition par sous-domaine (3, 4, 6, 5, 8, 23, 3, 4, 12, 7, 5, 8, 6, 3, 3, 3) refl\u00e8tent le contenu exact du fichier source.<\/li>\n\n\n\n<li>Les <strong>libell\u00e9s des sous-domaines<\/strong> ont \u00e9t\u00e9 extraits tels quels des cellules \u00ab Cat\u00e9gorie \u00bb du fichier officiel.<\/li>\n\n\n\n<li>Les <strong>citations litt\u00e9rales<\/strong> sont des extraits directs du contenu du fichier officiel.<\/li>\n\n\n\n<li>L&rsquo;<strong>anomalie de num\u00e9rotation S08.19<\/strong> a \u00e9t\u00e9 identifi\u00e9e par le croisement des codes Num et des cat\u00e9gories.<\/li>\n<\/ul>\n\n\n\n<p><strong>Cartographie TGV \u2194 ISO 27001:2022.<\/strong> La cartographie de la section 5 est conduite <strong>au niveau sous-domaine<\/strong> par croisement entre les libell\u00e9s des crit\u00e8res TGV et les libell\u00e9s des contr\u00f4les d&rsquo;ISO 27001:2022 (Annexe A et clauses pertinentes). La dimension mesur\u00e9e est la <strong>r\u00e9utilisabilit\u00e9 documentaire et de preuves<\/strong> (capacit\u00e9 \u00e0 transf\u00e9rer les artefacts SoA vers le format TGV moyennant re-formatage), pas une \u00e9quivalence conceptuelle. Une cartographie crit\u00e8re-par-crit\u00e8re exhaustive demeure un livrable \u00e0 venir.<\/p>\n\n\n\n<p><strong>Estimations qualitatives.<\/strong> Les pourcentages de couverture (\u2248 53 % directe, \u2248 43 % partielle, \u2248 3 % inverse) sont calcul\u00e9s \u00e0 partir du nombre de crit\u00e8res contenus dans chaque sous-domaine selon la qualification haut niveau du tableau de la section 5. Ils servent \u00e0 orienter une d\u00e9cision strat\u00e9gique de s\u00e9quencement, pas \u00e0 fonder un argument contractuel.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">12.3 Mises \u00e0 jour de l&rsquo;article<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>28 avril 2026<\/strong> : publication initiale.<\/li>\n\n\n\n<li><strong>29 avril 2026 (v3.1)<\/strong> : pr\u00e9cisions m\u00e9thodologiques sur la dimension mesur\u00e9e; reformulation de la synth\u00e8se cartographique au niveau sous-domaine; mise \u00e0 jour FIPS 140-2 \u2192 FIPS 140-3; cadrage de l&rsquo;anomalie S08.19 comme inf\u00e9rence non confirm\u00e9e par le MSSS; ajout de citations litt\u00e9rales pour S08, S13 et S08.19; pr\u00e9cision sur la pratique du test d&rsquo;intrusion en ISO 27001:2022 (A.8.29); ajout d&rsquo;ISO 27007:2020 et 27008:2019 aux sources; compl\u00e9ment du glossaire.<\/li>\n\n\n\n<li><strong>29 avril 2026 (v3.2)<\/strong> : nom institutionnel mis \u00e0 jour (\u00ab Bureau de certification \u00bb, anciennement \u00ab BCH \u00bb); ajout de la <strong>note explicite sur l&rsquo;h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 interne des sous-domaines \u00ab Partielle \u00bb<\/strong>; ajout des <strong>d\u00e9lais officiels de rem\u00e9diation pentest<\/strong> (15 jours ouvrables \/ 3 jours pour vuln\u00e9rabilit\u00e9 critique) cit\u00e9s du document MSSS de juin 2024; sources NIST SP 800-* cit\u00e9es inline pour les recommandations TLS, patch SLAs, security testing; ajout de SaaS, Loi 5\/LRSSS, DSN, SSAE 18 au glossaire; d\u00e9sactivation des liens \u00ab \u00e0 venir \u00bb dans la section Articles connexes.<\/li>\n\n\n\n<li><strong>29 avril 2026 (v3.3)<\/strong> : ajout d&rsquo;une <strong>section contextuelle sur la Loi 5 (LRSSS)<\/strong> au d\u00e9but de l&rsquo;article, identifiant les sous-domaines du volet S\u00e9curit\u00e9 directement concern\u00e9s (S04.05, S10.07, S14.02); qualification de l&rsquo;estimation de re-formatage SoA \u2192 TGV comme <strong>\u00ab selon l&rsquo;exp\u00e9rience d&rsquo;accompagnement de Factero \u00bb<\/strong>; coh\u00e9rence \u00e9ditoriale renforc\u00e9e avec l&rsquo;article pilier de la grappe.<\/li>\n\n\n\n<li><strong>30 avril 2026 (v3.4)<\/strong> : optimisations AIO. Ajout d&rsquo;encadr\u00e9s <strong>\u00ab En bref \u00bb<\/strong> au d\u00e9but de chaque section H2. Reformulation du titre de la section 9 en question utilisateur. <strong>Tableau de cartographie scind\u00e9 en trois blocs<\/strong> (couverture directe \/ partielle \/ inverse) pour faciliter le retrieval par les LLM. Citations litt\u00e9rales \u00e9tendues pour les sous-domaines <strong>S03, S11, S12<\/strong> (alignement sur le patron S06).<\/li>\n<\/ul>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">\u00c0 propos de l&rsquo;auteur<\/h2>\n\n\n\n<p><strong>S\u00e9bastien Robert<\/strong> est l&rsquo;associ\u00e9 principal chez Services conseils Factero. Il pratique en TI depuis 2002, avec une sp\u00e9cialisation en gouvernance, audit, cybers\u00e9curit\u00e9 et conformit\u00e9. Il accompagne des organisations qu\u00e9b\u00e9coises dans leur pr\u00e9paration \u00e0 des certifications r\u00e9glementaires et volontaires.<\/p>\n\n\n\n<p><strong>Services conseils Factero<\/strong> est une firme ind\u00e9pendante de services-conseils en gouvernance TI, cybers\u00e9curit\u00e9 et conformit\u00e9, \u00e9tablie \u00e0 Saint-Jean-sur-Richelieu (Qu\u00e9bec). Factero est elle-m\u00eame certifi\u00e9e <strong>CAN\/DGSI 104:2021 (R\u00e9v. 1 : 2024)<\/strong> dans le cadre du programme CyberS\u00e9curitaire Canada.<\/p>\n\n\n\n<p><strong>Coordonn\u00e9es :<\/strong> 900, du S\u00e9minaire Nord, suite 320, Saint-Jean-sur-Richelieu (Qu\u00e9bec) J2W 1C9 \u2014 <a href=\"https:\/\/factero.ca\">factero.ca<\/a>.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>D\u00e9claration de transparence.<\/strong> Services conseils Factero offre un service d&rsquo;accompagnement \u00e0 la pr\u00e9paration TGV. Cet article est r\u00e9dig\u00e9 \u00e0 des fins informatives et \u00e9ducatives. Il ne constitue pas un avis juridique. Les fournisseurs visant la certification TGV devraient consulter directement le <strong>Bureau de certification du MSSS<\/strong> (<code>certification@sante.quebec<\/code>) pour valider l&rsquo;applicabilit\u00e9 et le p\u00e9rim\u00e8tre exact de leur d\u00e9marche.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>R\u00e9ponse rapide Le volet S\u00e9curit\u00e9 de la TGV compte 104 crit\u00e8res r\u00e9partis en 16 sous-domaines num\u00e9rot\u00e9s S01 \u00e0 S16. C&rsquo;est le volet le plus volumineux du r\u00e9f\u00e9rentiel : il repr\u00e9sente 40,9 % des 254 crit\u00e8res totaux. Cet article : Note pr\u00e9alable. Cet article reproduit des citations courtes des crit\u00e8res TGV \u00e0 des fins d&rsquo;illustration analytique. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-323","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/323","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/comments?post=323"}],"version-history":[{"count":11,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/323\/revisions"}],"predecessor-version":[{"id":474,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/323\/revisions\/474"}],"wp:attachment":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/media?parent=323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/categories?post=323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/tags?post=323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}