Services conseils Factero a obtenu la certification CAN\/DGSI 104:2021 R\u00e9v. 1:2024 \u2014 Niveau 2<\/strong> en 30 jours de bout en bout<\/strong>, de la d\u00e9cision initiale \u00e0 l’\u00e9mission du certificat. Cet article documente le parcours r\u00e9el : ce qui a fonctionn\u00e9, ce qui a \u00e9t\u00e9 surprenant, et \u2014 surtout \u2014 pourquoi nous consid\u00e9rons ce d\u00e9lai comme exceptionnel et non reproductible<\/strong> pour la majorit\u00e9 des organisations.<\/p>\n\n\n\n En une phrase :<\/strong> notre d\u00e9marche a \u00e9t\u00e9 rapide parce que nous \u00e9tions une firme de services-conseils en gouvernance TI et cybers\u00e9curit\u00e9 avec une stack technique mature pr\u00e9-existante, une seule ressource enti\u00e8rement d\u00e9di\u00e9e pendant 5 jours-personnes, et aucune dette technique \u00e0 r\u00e9sorber. Pour une organisation qui d\u00e9marre sa d\u00e9marche cybers\u00e9curit\u00e9, planifier 3 \u00e0 6 mois<\/strong> est plus r\u00e9aliste.<\/p>\n\n\n\n Pr\u00e9cision \u00e9ditoriale.<\/strong> Cet article est un retour d’exp\u00e9rience authentique. Les chiffres pr\u00e9sent\u00e9s (dur\u00e9e, co\u00fbt, effort) refl\u00e8tent notre parcours r\u00e9el; ils ne constituent pas une recommandation universelle. La majorit\u00e9 des organisations qui visent CAN\/DGSI 104 ont une trajectoire substantiellement diff\u00e9rente \u2014 et c’est pr\u00e9cis\u00e9ment ce que nous voulons \u00e9clairer.<\/p>\n<\/blockquote>\n\n\n\n En bref :<\/strong> Factero accompagne ses clients dans leurs d\u00e9marches de gouvernance et de certification. Se certifier nous-m\u00eames \u00e9tait un choix naturel : nous croyons fondamentalement en pr\u00eacher par l’exemple. Le d\u00e9clencheur n’a \u00e9t\u00e9 ni une pression client ni une exigence d’assureur \u2014 c’est une conviction interne renforc\u00e9e par la coh\u00e9rence \u00e9ditoriale de notre offre.<\/p>\n<\/blockquote>\n\n\n\n Quand on conseille des organisations sur leurs d\u00e9marches de conformit\u00e9, ne pas \u00eatre soi-m\u00eame certifi\u00e9 pose une question l\u00e9gitime de coh\u00e9rence. Comment recommander \u00e0 un client de s’investir dans CAN\/DGSI 104 si nous-m\u00eames ne sommes pas pass\u00e9s par le processus?<\/strong><\/p>\n\n\n\n Notre d\u00e9marche n’a pas \u00e9t\u00e9 d\u00e9clench\u00e9e par un client qui exigeait une preuve de notre maturit\u00e9, ni par un assureur qui imposait CAN\/DGSI 104 comme condition de couverture. C’est une d\u00e9cision de positionnement : nous voulions vivre le processus dans les m\u00eames conditions que nos clients pour mieux les accompagner ensuite.<\/p>\n\n\n\n Cette posture a influenc\u00e9 toute notre d\u00e9marche, notamment dans le choix du Niveau 2 (voir section 3<\/a>) et dans la production de tous nos templates en interne sans utiliser ceux fournis par les organismes de certification ou par l’INGN.<\/p>\n\n\n\n En bref :<\/strong> Nous avons choisi CAN\/DGSI 104 parce qu’elle est plus flexible qu’ISO 27001:2022 et plus adapt\u00e9e \u00e0 une PME. Elle apporte la rigueur des proc\u00e9dures sans la lourdeur administrative d’un SMSI complet. C’est, pour nous, le bon point d’entr\u00e9e pour une firme de notre taille.<\/p>\n<\/blockquote>\n\n\n\n ISO 27001:2022 est une norme remarquable \u2014 internationalement reconnue, conceptuellement solide, et indispensable pour les organisations qui visent des march\u00e9s internationaux ou r\u00e9pondent \u00e0 des contraintes contractuelles sp\u00e9cifiques. Mais elle introduit une lourdeur administrative consid\u00e9rable<\/strong> via ses clauses 4-10 sur le syst\u00e8me de management : contexte, leadership, planification formelle, m\u00e9thodologie d’analyse de risques document\u00e9e, SoA exhaustive, audit interne, revue de direction, am\u00e9lioration continue formalis\u00e9e.<\/p>\n\n\n\n Pour une PME, ce poids organisationnel peut \u00eatre disproportionn\u00e9 par rapport \u00e0 la valeur cybers\u00e9curit\u00e9 ajout\u00e9e.<\/p>\n\n\n\n CAN\/DGSI 104 fait un choix diff\u00e9rent : elle prescrit des baselines techniques obligatoires<\/strong> (Sections 5 et 6) qui couvrent l’essentiel des contr\u00f4les d\u00e9fensifs, compl\u00e9t\u00e9es par une gouvernance plus l\u00e9g\u00e8re (Section 4). On y gagne :<\/p>\n\n\n\n Pour nous, c’\u00e9tait le bon point d’entr\u00e9e. Nous garderions ISO 27001:2022 pour une \u00e9tape ult\u00e9rieure si la croissance de l’organisation le justifie (voir section 12<\/a>).<\/p>\n\n\n\n En bref :<\/strong> Nous avons choisi le Niveau 2 (Maturit\u00e9) plut\u00f4t que le Niveau 1 (Fondamental) pr\u00e9cis\u00e9ment parce que nous voulions passer par tout le processus. Si nous accompagnons des clients sur le Niveau 2, il fallait l’avoir v\u00e9cu.<\/p>\n<\/blockquote>\n\n\n\n CAN\/DGSI 104 distingue deux niveaux d’exigences :<\/p>\n\n\n\n Pour une firme comme Factero, le Niveau 1 aurait \u00e9t\u00e9 suffisant en termes de protection. Mais notre objectif n’\u00e9tait pas seulement d\u00e9fensif \u2014 c’\u00e9tait \u00e9ditorial et op\u00e9rationnel. Pour pouvoir conseiller pertinemment un client qui vise le Niveau 2, il fallait l’avoir nous-m\u00eames travers\u00e9.<\/strong><\/p>\n\n\n\n Ce choix a modifi\u00e9 l’effort de pr\u00e9paration (plus exigeant) sans changer fondamentalement la dur\u00e9e totale, parce que les \u00e9carts entre les deux niveaux portent sur la rigueur des preuves et certains d\u00e9tails techniques, pas sur l’architecture documentaire g\u00e9n\u00e9rale.<\/p>\n\n\n\n En bref :<\/strong> Au d\u00e9marrage de la d\u00e9marche, nous avions des sauvegardes, un antivirus, et une baseline minimale de configurations. Pas de politiques formelles, pas de proc\u00e9dures document\u00e9es, pas de SIEM, pas d’EDR. Ce qui nous a sauv\u00e9s : la stack technologique pr\u00e9-existante a \u00e9t\u00e9 enrichie pendant la pr\u00e9paration avec les \u00e9l\u00e9ments manquants que nous savions d\u00e9j\u00e0 d\u00e9ployer.<\/p>\n<\/blockquote>\n\n\n\n Quand nous avons d\u00e9cid\u00e9 de viser CAN\/DGSI 104, notre posture cybers\u00e9curit\u00e9 r\u00e9elle \u00e9tait modeste pour un cabinet de conseil en gouvernance TI :<\/p>\n\n\n\n Nous avions:<\/p>\n\n\n\n Nous n’avions pas :<\/p>\n\n\n\n Pendant la pr\u00e9paration<\/strong>, nous avons enrichi la stack avec : avec du MFA physique g\u00e9n\u00e9ralis\u00e9. Cet ajout n’ont pas \u00e9t\u00e9 une d\u00e9couverte, comme firme de conseil, nous savions d\u00e9j\u00e0 identifier les bons outils et les configurer. C’est ce qui rend notre parcours non reproductible pour une organisation hors du domaine technique<\/strong> : la dette technique typique d’une PME se r\u00e9sorbe en mois ou trimestres, pas en jours.<\/p>\n\n\n\n Nous avons consult\u00e9 les 4 organismes de certification accr\u00e9dit\u00e9s par le CCN pour le programme CyberS\u00e9curitaire Canada. Chacun a sa propre approche, son propre tempo, et sa propre culture de service.<\/p>\n\n\n\n Notre crit\u00e8re principal n’\u00e9tait pas le prix.<\/strong> Sur une fourchette de 3 000 $ \u00e0 10 000 $ pour le processus de certification lui-m\u00eame, l’\u00e9cart est r\u00e9el mais pas d\u00e9terminant pour une firme qui investit dans son positionnement. Le crit\u00e8re qui a prim\u00e9 : la dynamique relationnelle et l’alignement de tempo<\/strong>. Nous voulions un partenaire qui pouvait s’adapter \u00e0 notre cadence et \u00e0 notre style de communication.<\/p>\n\n\n\n Le vrai co\u00fbt<\/strong> d’une d\u00e9marche CAN\/DGSI 104 n’est pas l’audit. C’est ce qu’il faut faire pour passer l’audit. Pour une organisation avec de la dette technique, les co\u00fbts d’outillage (SIEM, EDR, RMM, MFA, EMM, sauvegardes immutables, gestionnaire de mots de passe d’entreprise, etc.) peuvent largement d\u00e9passer<\/strong> le co\u00fbt de la certification elle-m\u00eame.<\/p>\n\n\n\n C’est l’une des raisons pour lesquelles je recommande \u00e0 toute organisation qui n’a pas d’expertise technique interne de ne pas se lancer aveugl\u00e9ment dans le processus sans accompagnement.<\/strong> Voir section 11<\/a> pour les le\u00e7ons apprises.<\/p>\n\n\n\n Dans notre cas, 2 semaines pour les ajustements techniques + 1 semaine pour l’audit<\/strong> ont suffi. Mais c’est exceptionnel \u2014 nous \u00e9tions techniquement pr\u00eats \u00e0 80 %, et l’organisme de certification choisi avait de la disponibilit\u00e9 imm\u00e9diate. Pour une organisation typique, pr\u00e9voir plusieurs semaines de cadrage<\/strong> entre la prise de contact et la signature du contrat est plus r\u00e9aliste.<\/p>\n\n\n\n En bref :<\/strong> Notre pr\u00e9paration a dur\u00e9 2 semaines \u00e0 temps plein avec une seule ressource d\u00e9di\u00e9e, suivies de 3 jours \u00e0 temps plein pour la collecte de preuves et de 2 jours pour le Stage 1 ou la ressource r\u00e9pondais dans la minute a l’auditeur . Total pr\u00e9paration + audit : environ 15 jours homme<\/strong>. Nous avons construit tous nos templates en interne plut\u00f4t que d’utiliser ceux fournis par l’INGN ou par l’organisme de certification.<\/p>\n<\/blockquote>\n\n\n\n\n
Sommaire<\/h2>\n\n\n\n
\n
1. Le d\u00e9clencheur : pourquoi nous nous sommes certifi\u00e9s <\/a><\/h2>\n\n\n\n
\n
2. Pourquoi CAN\/DGSI 104 plut\u00f4t qu’ISO 27001:2022 <\/a><\/h2>\n\n\n\n
\n
\n
3. Niveau 1 ou Niveau 2 : pourquoi nous avons vis\u00e9 Niveau 2 <\/a><\/h2>\n\n\n\n
\n
\n
4. Notre maturit\u00e9 initiale <\/a><\/h2>\n\n\n\n
\n
\n
\n
5. Le choix de l’organisme de certification <\/a><\/h2>\n\n\n\n
Les organismes consult\u00e9s<\/h3>\n\n\n\n
Les crit\u00e8res de choix<\/h3>\n\n\n\n
Le co\u00fbt cach\u00e9 : les changements techniques<\/h3>\n\n\n\n
La rapidit\u00e9 de la prise de contact<\/h3>\n\n\n\n
6. La pr\u00e9paration interne en 2 semaines <\/a><\/h2>\n\n\n\n
\n
Effort total<\/h3>\n\n\n\n