ISO\/IEC 27001:2022<\/strong> est la norme internationale du syst\u00e8me de management de la s\u00e9curit\u00e9 de l’information (SMSI)<\/strong>, publi\u00e9e par ISO\/IEC. Elle compte 93 contr\u00f4les dans son Annexe A organis\u00e9s en 4 th\u00e8mes, plus les clauses 4 \u00e0 10 qui d\u00e9finissent les exigences du SMSI lui-m\u00eame. Sa certification dure 3 ans avec audits de surveillance annuels. Sa reconnaissance est mondiale via les accords IAF MLA.<\/p>\n\n\n\n CAN\/DGSI 104:2021 \/ R\u00e9v. 1:2024<\/strong> est une norme nationale du Canada<\/strong> publi\u00e9e par l’Institut des normes de gouvernance num\u00e9rique (INGN, en anglais Digital Governance Standards Institute \/ DGSI). Elle d\u00e9finit des contr\u00f4les de base de cybers\u00e9curit\u00e9 con\u00e7us sp\u00e9cifiquement pour les petites et moyennes organisations<\/strong> (typiquement moins de 500 employ\u00e9s) et compte 18 sections principales (90 sous-contr\u00f4les individuels selon la structure officielle), organis\u00e9e en deux niveaux (Niveau 1 \u2014 Fondamental, Niveau 2 \u2014 Maturit\u00e9). Elle constitue la base technique du programme CyberS\u00e9curitaire Canada<\/strong>, dont l’autorit\u00e9 est le Conseil canadien des normes (CCN, en anglais Standards Council of Canada \/ SCC)<\/strong>.<\/p>\n\n\n\n En une phrase :<\/strong> ISO 27001:2022 est un cadre complet de gestion organisationnelle de la s\u00e9curit\u00e9, internationalement reconnu et flexible; CAN\/DGSI 104 est un r\u00e9f\u00e9rentiel canadien de contr\u00f4les de base, plus pratique et accessible pour les PME, mais moins \u00e9tendu et de port\u00e9e g\u00e9ographique limit\u00e9e.<\/p>\n\n\n\n Cet article :<\/p>\n\n\n\n En bref :<\/strong> ISO\/IEC 27001:2022 est la norme internationale qui sp\u00e9cifie les exigences pour \u00e9tablir, mettre en \u0153uvre, maintenir et am\u00e9liorer continuellement un syst\u00e8me de management de la s\u00e9curit\u00e9 de l’information (SMSI). Publi\u00e9e par l’Organisation internationale de normalisation (ISO) et la Commission \u00e9lectrotechnique internationale (CEI), elle est reconnue mondialement gr\u00e2ce aux accords IAF MLA. Sa version 2022 contient 93 contr\u00f4les dans l’Annexe A, plus les clauses 4 \u00e0 10 qui d\u00e9finissent les exigences obligatoires du SMSI.<\/p>\n<\/blockquote>\n\n\n\n ISO\/IEC 27001:2022 est la norme internationale de r\u00e9f\u00e9rence pour les syst\u00e8mes de management de la s\u00e9curit\u00e9 de l’information (SMSI). Elle a \u00e9t\u00e9 publi\u00e9e le 25 octobre 2022, en remplacement de la version 2013. La transition entre les deux versions s’est termin\u00e9e le 31 octobre 2025<\/strong> selon la r\u00e9solution IAF 2021-22.<\/p>\n\n\n\n ISO 27001:2022 se compose de deux grandes parties :<\/p>\n\n\n\n Les clauses 4 \u00e0 10<\/strong> d\u00e9finissent les exigences obligatoires du SMSI<\/strong> :<\/p>\n\n\n\n L’Annexe A<\/strong> liste 93 contr\u00f4les<\/strong> organis\u00e9s en 4 th\u00e8mes :<\/p>\n\n\n\n L’Annexe A inclut 11 contr\u00f4les nouveaux<\/strong> par rapport \u00e0 la version 2013 (notamment A.5.7 Threat intelligence, A.5.23 Cloud services, A.8.16 Monitoring, A.8.23 Web filtering, A.8.28 Secure coding).<\/p>\n\n\n\n La SoA (Statement of Applicability \/ D\u00e9claration d’applicabilit\u00e9)<\/strong> est l’artefact unique d’ISO 27001:2022. Elle documente, pour chacun des 93 contr\u00f4les de l’Annexe A, si l’organisation l’applique, sa justification, et sa relation avec les risques identifi\u00e9s. C’est un document vivant produit par l’organisation et r\u00e9vis\u00e9 en continu.<\/p>\n\n\n\n ISO 27001:2022 est agnostique en termes de taille et de secteur<\/strong>. Elle est utilis\u00e9e aussi bien par des PME (moins de 50 employ\u00e9s) que par des multinationales. Sa flexibilit\u00e9 permet \u00e0 chaque organisation de calibrer son SMSI \u00e0 son niveau de risque et de maturit\u00e9.<\/p>\n\n\n\n En bref :<\/strong> CAN\/DGSI 104:2021 R\u00e9v. 1:2024 (anciennement CAN\/CIOSC 104:2021) est une norme nationale du Canada publi\u00e9e par l’Institut des normes de gouvernance num\u00e9rique (INGN). Selon la documentation officielle de l’INGN, elle \u00ab sp\u00e9cifie un ensemble minimal de contr\u00f4les de cybers\u00e9curit\u00e9 destin\u00e9 aux petites et moyennes organisations, qui comptent typiquement moins de 500 employ\u00e9s \u00bb. Elle constitue la base technique du programme CyberS\u00e9curitaire Canada<\/strong>, dont le Conseil canadien des normes (CCN) est l’autorit\u00e9 d’accr\u00e9ditation.<\/p>\n<\/blockquote>\n\n\n\n CAN\/DGSI 104 a \u00e9t\u00e9 \u00e9labor\u00e9e par le Comit\u00e9 technique TC 5 sur la cybers\u00e9curit\u00e9<\/strong> de l’INGN, qui a r\u00e9uni plus de 170 experts canadiens et internationaux. La norme a \u00e9t\u00e9 publi\u00e9e pour la premi\u00e8re fois en 2021 sous le code CAN\/CIOSC 104:2021<\/strong> (CIOSC = Conseil consultatif canadien des normes, ancien acronyme). En d\u00e9cembre 2024, elle a \u00e9t\u00e9 r\u00e9vis\u00e9e et renomm\u00e9e CAN\/DGSI 104:2021 \/ R\u00e9v. 1:2024<\/strong> suite au changement institutionnel (DGSI = Digital Governance Standards Institute \/ INGN en fran\u00e7ais).<\/p>\n\n\n\n Le programme CyberS\u00e9curitaire Canada<\/strong> (en anglais CyberSecure Canada) utilise CAN\/DGSI 104 comme r\u00e9f\u00e9rentiel de certification. Le CCN<\/strong> est l’unique organisme internationalement reconnu qui accr\u00e9dite les organismes de certification du programme. L’INGN, en tant qu’organisme accr\u00e9dit\u00e9 d’\u00e9laboration de normes, maintient la norme.<\/p>\n\n\n\n Selon le rapport d’audit officiel CyberS\u00e9curitaire Canada (bas\u00e9 sur le r\u00e9f\u00e9rentiel CAN\/DGSI 104:2021 \/ R\u00e9v. 1:2024), la norme contient 18 sections principales<\/strong> qui se d\u00e9clinent en 90 sous-contr\u00f4les individuels<\/strong> auditables.<\/p>\n\n\n\n Les 18 sections sont organis\u00e9es en trois grandes parties<\/strong> num\u00e9rot\u00e9es 4, 5 et 6 :<\/p>\n\n\n\n La r\u00e9partition fine selon l’audit officiel :<\/p>\n\n\n\n Note m\u00e9thodologique sur les chiffres.<\/strong> Plusieurs sources tierces (consultants, sites d’organismes de certification) mentionnent \u00ab 18 contr\u00f4les principaux \u00bb et \u00ab 55 sous-contr\u00f4les \u00bb comme description structurelle. Cette information correspond au comptage des groupes de contr\u00f4les<\/strong> plut\u00f4t qu’au comptage des sous-contr\u00f4les individuels auditables<\/strong>. Le chiffre de 90 sous-contr\u00f4les individuels<\/strong> correspond aux items effectivement v\u00e9rifi\u00e9s lors d’un audit CyberS\u00e9curitaire Canada (v\u00e9rifi\u00e9 sur un rapport d’audit officiel g\u00e9n\u00e9r\u00e9 par un organisme de certification accr\u00e9dit\u00e9 par le CCN). Selon le contexte d’usage (description marketing vs audit technique), les deux chiffres ont leur validit\u00e9.<\/p>\n<\/blockquote>\n\n\n\n CAN\/DGSI 104 introduit une distinction unique parmi les standards de cybers\u00e9curit\u00e9 : la s\u00e9paration en deux niveaux d’exigences<\/strong>.<\/p>\n\n\n\n La r\u00e9vision R\u00e9v. 1:2024 a clarifi\u00e9 les exigences distinctes entre Niveau 1 et Niveau 2 dans six domaines : formation en cybers\u00e9curit\u00e9, \u00e9valuation des risques, plan d’intervention, configuration s\u00e9curis\u00e9e, sauvegardes et s\u00e9curisation cloud\/TI externalis\u00e9\/sites Web.<\/p>\n\n\n\n Selon la documentation officielle de l’INGN, le contr\u00f4le 4.4.3.8 stipule que \u00ab ind\u00e9pendamment des r\u00e9sultats de l’\u00e9valuation des risques de cybers\u00e9curit\u00e9, l’organisation doit mettre en \u0153uvre les contr\u00f4les de base de cybers\u00e9curit\u00e9 sp\u00e9cifi\u00e9s aux Sections 5 et 6 de la norme \u00bb<\/strong>. Ce contr\u00f4le distingue CAN\/DGSI 104 d’ISO 27001:2022, qui laisse \u00e0 l’organisation le choix des contr\u00f4les applicables sur la base de son analyse des risques (via la SoA).<\/p>\n\n\n\n Cette approche prescriptive sur les baselines<\/strong> rend CAN\/DGSI 104 plus accessible aux PME : pas besoin d’analyse de risques sophistiqu\u00e9e pour d\u00e9terminer quels contr\u00f4les techniques impl\u00e9menter \u2014 la liste de base est impos\u00e9e.<\/p>\n\n\n\n Selon le bulletin officiel publi\u00e9 sur le site de l’INGN, une revue de maintenance p\u00e9riodique<\/strong> de la norme a \u00e9t\u00e9 lanc\u00e9e le 10 d\u00e9cembre 2025<\/strong> pour une dur\u00e9e de 90 jours, se terminant le 10 mars 2026<\/strong>. Cette revue examinait notamment les directives sp\u00e9cifiques aux environnements cloud, \u00e0 la mobilit\u00e9, aux sites Web et \u00e0 la gestion des journaux. Une \u00e9ventuelle nouvelle r\u00e9vision serait publi\u00e9e \u00e0 la suite de cette p\u00e9riode de revue.<\/p>\n\n\n\n En bref :<\/strong> ISO 27001:2022 et CAN\/DGSI 104 diff\u00e8rent sur tous les axes structurels : leur nature (syst\u00e8me de management complet vs liste de contr\u00f4les de base), leur port\u00e9e g\u00e9ographique (mondiale vs canadienne), leur public cible (toute organisation vs PME), leur structure (93 contr\u00f4les + clauses SMSI vs 90 sous-contr\u00f4les r\u00e9partis en 18 sections), et leur architecture de confiance (cha\u00eene IAF\/CB vs CCN\/CB). Elles partagent en revanche un fondement de cybers\u00e9curit\u00e9 commun et reconnaissent toutes deux la valeur d’une approche bas\u00e9e sur les risques.<\/p>\n<\/blockquote>\n\n\n\n En bref :<\/strong> ISO 27001:2022 est un syst\u00e8me de management complet : l’organisation d\u00e9finit son contexte, identifie ses risques, choisit ses contr\u00f4les via la SoA, et d\u00e9montre l’am\u00e9lioration continue. CAN\/DGSI 104 est un r\u00e9f\u00e9rentiel de baselines : l’organisation impl\u00e9mente une liste prescrite de contr\u00f4les de base, plus une \u00e9valuation des risques pour d\u00e9terminer les contr\u00f4les suppl\u00e9mentaires \u00e9ventuels. La premi\u00e8re laisse une libert\u00e9 de calibration mais demande un effort organisationnel substantiel; la seconde est plus prescriptive mais plus rapide \u00e0 mettre en place.<\/p>\n<\/blockquote>\n\n\n\n ISO 27001:2022 atteste qu’une organisation poss\u00e8de un syst\u00e8me<\/strong> qui :<\/p>\n\n\n\n L’Annexe A des 93 contr\u00f4les est une bo\u00eete \u00e0 outils<\/strong> : chaque organisation choisit lesquels appliquer en fonction de ses risques. La justification des choix se fait via la SoA. Une boutique en ligne de 10 employ\u00e9s peut l\u00e9gitimement d\u00e9cider qu’A.7.4 (surveillance physique) est non-applicable parce qu’elle op\u00e8re exclusivement dans le cloud \u2014 \u00e0 condition de le justifier dans la SoA.<\/p>\n\n\n\n CAN\/DGSI 104 atteste qu’une organisation a impl\u00e9ment\u00e9 une liste de contr\u00f4les<\/strong> qui :<\/p>\n\n\n\n L’\u00e9valuation des risques reste exig\u00e9e mais elle ne sert pas \u00e0 \u00e9liminer des contr\u00f4les \u2014 elle sert \u00e0 identifier des contr\u00f4les additionnels<\/strong> au-del\u00e0 des baselines.<\/p>\n\n\n\n\n
Sommaire<\/h2>\n\n\n\n
\n
1. Qu’est-ce qu’ISO 27001:2022? <\/h2>\n\n\n\n
\n
1.1 Structure du standard<\/h3>\n\n\n\n
\n
\n
1.2 Document central : la Statement of Applicability (SoA)<\/h3>\n\n\n\n
1.3 Public vis\u00e9<\/h3>\n\n\n\n
2. Qu’est-ce que CAN\/DGSI 104:2021 R\u00e9v. 1:2024?<\/h2>\n\n\n\n
\n
2.1 Gen\u00e8se et gouvernance<\/h3>\n\n\n\n
2.2 Structure du standard<\/h3>\n\n\n\n
Partie<\/th> Sections<\/th> Nb sous-contr\u00f4les<\/th> Domaine<\/th><\/tr><\/thead> Partie 4 \u2014 Gouvernance<\/strong><\/td> 4 sections (4.1 \u00e0 4.4)<\/td> 26<\/td> Leadership, accountability, training, risk assessment<\/td><\/tr> Partie 5 \u2014 Contr\u00f4les de base obligatoires<\/strong><\/td> 8 sections (5.1 \u00e0 5.8)<\/td> 37<\/td> Incident response, patching, security software, configuration, authentification, sauvegardes, p\u00e9rim\u00e8tre, contr\u00f4le d’acc\u00e8s<\/td><\/tr> Partie 6 \u2014 Contr\u00f4les sp\u00e9cifiques au contexte<\/strong><\/td> 6 sections (6.1 \u00e0 6.6)<\/td> 27<\/td> Mobilit\u00e9, cloud, sites Web, supports portables, POS, journaux<\/td><\/tr> Total<\/strong><\/td> 18 sections<\/strong><\/td> 90 sous-contr\u00f4les<\/strong><\/td> <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Section<\/th> Nom<\/th> # sous-contr\u00f4les<\/th><\/tr><\/thead> 4.1<\/td> Leadership<\/td> 5<\/td><\/tr> 4.2<\/td> Accountability<\/td> 5<\/td><\/tr> 4.3<\/td> Training<\/td> 5<\/td><\/tr> 4.4<\/td> Cyber security risk assessment<\/td> 11<\/td><\/tr> 5.1<\/td> Incident Response Plan<\/td> 5<\/td><\/tr> 5.2<\/td> Automatically patch operating systems and applications<\/td> 3<\/td><\/tr> 5.3<\/td> Enable security software<\/td> 1<\/td><\/tr> 5.4<\/td> Securely configure devices<\/td> 3<\/td><\/tr> 5.5<\/td> Use strong user authentication<\/td> 4<\/td><\/tr> 5.6<\/td> Backup and encrypt data<\/td> 8<\/td><\/tr> 5.7<\/td> Establish basic perimeter defences<\/td> 9<\/td><\/tr> 5.8<\/td> Implement access control and authorization<\/td> 4<\/td><\/tr> 6.1<\/td> Secure mobility<\/td> 12<\/td><\/tr> 6.2<\/td> Secure cloud and outsourced IT services<\/td> 6<\/td><\/tr> 6.3<\/td> Secure websites<\/td> 3<\/td><\/tr> 6.4<\/td> Secure portable media<\/td> 4<\/td><\/tr> 6.5<\/td> Point of sale (POS) and financial systems<\/td> 1<\/td><\/tr> 6.6<\/td> Computer Security Log Management<\/td> 1<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n \n
2.3 Architecture en deux niveaux<\/h3>\n\n\n\n
Niveau<\/th> Public vis\u00e9<\/th> Contenu<\/th><\/tr><\/thead> Niveau 1 (Fondamental)<\/strong><\/td> Petites organisations qui abordent la cybers\u00e9curit\u00e9 pour la premi\u00e8re fois<\/td> Protections de base, ressources TI limit\u00e9es<\/td><\/tr> Niveau 2 (Maturit\u00e9)<\/strong><\/td> Organisations plus matures qui consolident leur posture de cybers\u00e9curit\u00e9<\/td> Renforce le Niveau 1 avec des exigences additionnelles<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 2.4 Le contr\u00f4le 4.4.3.8 \u2014 la pierre angulaire<\/h3>\n\n\n\n
2.5 Statut de maintenance<\/h3>\n\n\n\n
3. Comparaison directe : tableau synth\u00e9tique<\/h2>\n\n\n\n
\n
Crit\u00e8re<\/th> ISO\/IEC 27001:2022<\/th> CAN\/DGSI 104:2021 R\u00e9v. 1:2024<\/th><\/tr><\/thead> Type<\/strong><\/td> Norme internationale du SMSI<\/td> Norme nationale canadienne de contr\u00f4les de base<\/td><\/tr> \u00c9metteur<\/strong><\/td> ISO\/IEC<\/td> INGN (Institut des normes de gouvernance num\u00e9rique)<\/td><\/tr> Programme associ\u00e9<\/strong><\/td> s.o.<\/td> CyberS\u00e9curitaire Canada<\/td><\/tr> Autorit\u00e9 d’accr\u00e9ditation<\/strong><\/td> IAF (via organismes nationaux : SCC, ANAB, UKAS, etc.)<\/td> CCN (Conseil canadien des normes)<\/td><\/tr> Reconnaissance<\/strong><\/td> Internationale via accords IAF MLA<\/td> Canadienne<\/td><\/tr> Public vis\u00e9<\/strong><\/td> Toute organisation, toute taille, tout secteur<\/td> PME canadiennes (typiquement moins de 500 employ\u00e9s)<\/td><\/tr> Approche<\/strong><\/td> Syst\u00e8me de management complet bas\u00e9 sur le risque<\/td> Contr\u00f4les de base prescriptifs en deux niveaux<\/td><\/tr> Document central<\/strong><\/td> Statement of Applicability (SoA)<\/td> \u00c9valuation des risques + impl\u00e9mentation des baselines<\/td><\/tr> Nb de contr\u00f4les<\/strong><\/td> 93 contr\u00f4les Annexe A + clauses 4-10<\/td> 18 sections principales (90 sous-contr\u00f4les auditables)<\/td><\/tr> Niveaux<\/strong><\/td> Un seul niveau (calibration via analyse de risque)<\/td> Deux niveaux : Fondamental et Maturit\u00e9<\/td><\/tr> Caract\u00e8re<\/strong><\/td> Volontaire, devenant exigence client\/fournisseur<\/td> Volontaire<\/td><\/tr> Audit<\/strong><\/td> Stage 1 (revue documentaire) + Stage 2 (revue op\u00e9rationnelle)<\/td> Audit Stage 1 + Stage 2 (selon les modalit\u00e9s CCN)<\/td><\/tr> Cycle de certification<\/strong><\/td> 3 ans + audits de surveillance annuels<\/td> 2 ans typiquement (voir section 8)<\/td><\/tr> Co\u00fbt relatif<\/strong><\/td> \u00c9lev\u00e9 (audit complet + maintien SMSI)<\/td> Mod\u00e9r\u00e9 (con\u00e7u pour PME)<\/td><\/tr> Caract\u00e8re prescriptif<\/strong><\/td> Flexibilit\u00e9 maximale via la SoA<\/td> Prescription forte des baselines techniques<\/td><\/tr> Domaines couverts<\/strong><\/td> Gouvernance, RH, physique, technologique (4 th\u00e8mes)<\/td> Gouvernance, formation, technique, sauvegarde, fournisseurs<\/td><\/tr> Mention dans la norme<\/strong><\/td> s.o.<\/td> Align\u00e9 avec NIST, ISO 27001 et PCI DSS<\/td><\/tr> Maintenance en cours<\/strong><\/td> Cycle de r\u00e9vision typique (5 ans)<\/td> Revue p\u00e9riodique 10 d\u00e9c. 2025 \u2192 10 mars 2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 4. SMSI complet vs baseline pratique : la diff\u00e9rence d’approche<\/h2>\n\n\n\n
\n
4.1 ISO 27001:2022 \u2014 le management plut\u00f4t que la liste<\/h3>\n\n\n\n
\n
4.2 CAN\/DGSI 104 \u2014 la prescription des baselines<\/h3>\n\n\n\n
\n
4.3 Cons\u00e9quence pratique pour les organisations<\/h3>\n\n\n\n
Dimension<\/th> ISO 27001:2022<\/th> CAN\/DGSI 104<\/th><\/tr><\/thead> Effort de scoping<\/strong><\/td> \u00c9lev\u00e9 (d\u00e9finir le contexte, le p\u00e9rim\u00e8tre, les risques)<\/td> Mod\u00e9r\u00e9 (le p\u00e9rim\u00e8tre est l’organisation et son \u00e9cosyst\u00e8me TI)<\/td><\/tr> Effort d’analyse de risques<\/strong><\/td> \u00c9lev\u00e9 (m\u00e9thodologie, \u00e9valuation, traitement)<\/td> Mod\u00e9r\u00e9 (l’\u00e9valuation alimente les contr\u00f4les additionnels)<\/td><\/tr> Effort d’impl\u00e9mentation<\/strong><\/td> Variable selon la SoA<\/td> Plus pr\u00e9visible (baselines prescrites)<\/td><\/tr> Effort de maintien<\/strong><\/td>