<\/p>\n\n\n\n
\nAuteur :<\/strong> S\u00e9bastien Robert \u2014 Associ\u00e9 principal, Services conseils Factero Publi\u00e9 le<\/strong> 20 avril 2026 Temps de lecture :<\/strong> environ 10 minutes<\/p>\n<\/blockquote>\n\n\n\n
\n\n\n\nEn une phrase<\/h2>\n\n\n\n
La gouvernance TI, c’est l’ensemble des r\u00e8gles et des d\u00e9cisions qui font que les ordinateurs, les logiciels et les donn\u00e9es de votre entreprise vous aident vraiment<\/strong> \u00e0 faire votre travail, sans causer de catastrophe ni gaspiller d’argent.<\/p>\n\n\n\n
C’est aussi simple que \u00e7a. Le reste de l’article explique pourquoi c’est important, comment \u00e7a se met en place, et ce que vous pouvez faire d\u00e8s aujourd’hui.<\/p>\n\n\n\n
\n\n\n\nUne comparaison qui parle<\/h2>\n\n\n\n
Vous savez comment fonctionne la comptabilit\u00e9<\/strong> dans votre entreprise. Il y a des r\u00e8gles : qui peut signer un ch\u00e8que, jusqu’\u00e0 quel montant, qui approuve les d\u00e9penses, qui v\u00e9rifie les comptes en fin d’ann\u00e9e. Sans ces r\u00e8gles, ce serait le chaos. Quelqu’un pourrait acheter une voiture avec la carte de cr\u00e9dit corporative, des factures pourraient se perdre, et impossible de savoir si l’entreprise fait du profit ou pas.<\/p>\n\n\n\n
La gouvernance TI, c’est exactement la m\u00eame chose, mais pour les ordinateurs et les donn\u00e9es.<\/strong><\/p>\n\n\n\n
Qui d\u00e9cide quels logiciels acheter? Qui a le droit d’acc\u00e9der aux dossiers RH? Qui s’assure que les sauvegardes fonctionnent? Que se passe-t-il si quelqu’un clique sur un mauvais lien dans un courriel? Comment l’entreprise prouve qu’elle prot\u00e8ge les renseignements personnels de ses clients?<\/p>\n\n\n\n
Sans r\u00e9ponse \u00e0 ces questions, c’est le chaos num\u00e9rique. Et le chaos num\u00e9rique, en 2026, \u00e7a co\u00fbte tr\u00e8s cher.<\/p>\n\n\n\n
\n\n\n\nPourquoi maintenant?<\/h2>\n\n\n\n
Il y a 20 ans, l’informatique d’une PME tenait dans un local avec un serveur et quelques ordinateurs. Aujourd’hui, c’est :<\/p>\n\n\n\n
\n
- Vos courriels<\/strong> dans le \u00ab nuage \u00bb (Microsoft 365 ou Google).<\/li>\n\n\n\n
- Vos comptes clients<\/strong> dans un logiciel comptable en ligne.<\/li>\n\n\n\n
- Vos dossiers RH<\/strong> dans un syst\u00e8me de paie.<\/li>\n\n\n\n
- Vos communications<\/strong> sur Teams, Zoom ou Slack.<\/li>\n\n\n\n
- Vos sauvegardes<\/strong> chez un fournisseur tiers.<\/li>\n\n\n\n
- Maintenant<\/strong>, des outils d’intelligence artificielle (ChatGPT, Copilot) que vos coll\u00e8gues utilisent peut-\u00eatre d\u00e9j\u00e0 sans vous le dire.<\/li>\n<\/ul>\n\n\n\n
Tout \u00e7a repr\u00e9sente une exposition aux risques que personne n’avait il y a 20 ans. Quatre raisons rendent la gouvernance TI urgente en 2026 :<\/p>\n\n\n\n
1. Les pirates informatiques.<\/strong> Ils ne ciblent plus seulement les grandes banques. Les PME qu\u00e9b\u00e9coises sont devenues des cibles de choix parce qu’elles sont moins bien d\u00e9fendues. Un ran\u00e7ongiciel<\/em> (un programme qui chiffre vos donn\u00e9es et exige une ran\u00e7on pour les rendre) peut paralyser une entreprise pendant des semaines.<\/p>\n\n\n\n
2. Les nouvelles lois.<\/strong> La Loi 25<\/strong> au Qu\u00e9bec (entr\u00e9e en vigueur progressivement en septembre 2022, 2023 et 2024) oblige toutes les organisations \u00e0 mieux prot\u00e9ger les renseignements personnels. La Loi 5<\/strong> (entr\u00e9e en vigueur en juillet 2024) ajoute des r\u00e8gles sp\u00e9ciales pour les renseignements de sant\u00e9. Si vous g\u00e9rez des donn\u00e9es de clients ou d’employ\u00e9s, ces lois s’appliquent \u00e0 vous.<\/p>\n\n\n\n
3. L’intelligence artificielle.<\/strong> ChatGPT et ses cousins sont arriv\u00e9s dans nos vies en deux ans. Vos coll\u00e8gues utilisent peut-\u00eatre ces outils pour r\u00e9sumer des documents, r\u00e9diger des courriels, ou analyser des chiffres. Le probl\u00e8me : si quelqu’un copie-colle un document confidentiel dans un outil personnel, ces donn\u00e9es sortent de l’entreprise. Une bonne gouvernance TI cadre l’utilisation de ces outils.<\/p>\n\n\n\n
4. Les assureurs.<\/strong> Les assurances en cybers\u00e9curit\u00e9 existaient \u00e0 peine en 2018. Aujourd’hui, presque toute entreprise s\u00e9rieuse en a une. Les assureurs posent des questions pr\u00e9cises : \u00ab Avez-vous l’authentification \u00e0 deux facteurs? \u00bb \u00ab Vos sauvegardes sont-elles test\u00e9es? \u00bb \u00ab Avez-vous un plan en cas d’attaque? \u00bb Sans bonnes r\u00e9ponses, votre prime augmente, ou pire, vous n’\u00eates pas couvert.<\/p>\n\n\n\n
\n\n\n\nLes questions qu’une bonne gouvernance TI vous aide \u00e0 r\u00e9pondre<\/h2>\n\n\n\n
Pour comprendre concr\u00e8tement, voici ce qu’une organisation avec une bonne gouvernance TI<\/strong> sait r\u00e9pondre rapidement, et ce qu’une organisation sans gouvernance TI<\/strong> ne sait pas r\u00e9pondre.<\/p>\n\n\n\n
Question<\/th> Avec gouvernance TI<\/th> Sans gouvernance TI<\/th><\/tr><\/thead> Si un employ\u00e9 quitte demain, qui r\u00e9voque ses acc\u00e8s aux 23 logiciels de l’entreprise?<\/td> Proc\u00e9dure document\u00e9e, RH et TI alert\u00e9s ensemble<\/td> Quelques acc\u00e8s oubli\u00e9s pendant des mois<\/td><\/tr> Combien d\u00e9pensons-nous en logiciels et services TI au total?<\/td> Inventaire \u00e0 jour, contrats centralis\u00e9s<\/td> Personne ne sait vraiment, des doublons existent<\/td><\/tr> Si un ran\u00e7ongiciel frappe ce soir, qui appelle qui \u00e0 3h du matin?<\/td> Plan de r\u00e9ponse document\u00e9, contacts \u00e0 jour<\/td> Panique, improvisation, pertes maximales<\/td><\/tr> Que se passe-t-il si la Commission d’acc\u00e8s \u00e0 l’information demande une preuve de conformit\u00e9 Loi 25?<\/td> Documentation produite en quelques heures<\/td> Plusieurs semaines d’efforts, risque d’amende<\/td><\/tr> Combien de temps faut-il pour restaurer les donn\u00e9es apr\u00e8s un incident?<\/td> Test\u00e9 chaque mois, on conna\u00eet la r\u00e9ponse<\/td> On le d\u00e9couvre le jour de l’incident<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Si vous lisez la colonne de droite et que vous reconnaissez votre entreprise, vous n’\u00eates pas seul<\/strong>. La majorit\u00e9 des PME qu\u00e9b\u00e9coises sont dans cette situation. C’est pr\u00e9cis\u00e9ment pourquoi la gouvernance TI est devenue un enjeu prioritaire.<\/p>\n\n\n\n
\n\n\n\nLes cinq piliers, expliqu\u00e9s simplement<\/h2>\n\n\n\n
Les experts parlent souvent de cinq piliers<\/strong> de la gouvernance TI. Voici ce qu’ils veulent dire, sans jargon :<\/p>\n\n\n\n
Pilier 1 \u2014 La technologie sert l’entreprise (pas l’inverse)<\/h3>\n\n\n\n
Si la direction d\u00e9cide de viser un march\u00e9 am\u00e9ricain, la TI doit s’aligner. Si l’entreprise veut acc\u00e9l\u00e9rer sa facturation, la TI doit fournir l’outil. La technologie doit servir la strat\u00e9gie d’affaires, pas devenir une fin en soi.<\/strong><\/p>\n\n\n\n
C’est exactement comme la comptabilit\u00e9 : vos chiffres servent \u00e0 comprendre l’entreprise et prendre des d\u00e9cisions, pas \u00e0 cr\u00e9er de la complexit\u00e9 pour le plaisir.<\/p>\n\n\n\n
Pilier 2 \u2014 On d\u00e9montre que \u00e7a vaut la peine<\/h3>\n\n\n\n
Quand votre entreprise ach\u00e8te un nouveau logiciel \u00e0 50 000 $, qu’est-ce qu’on en obtient en retour? Du temps gagn\u00e9? Des clients mieux servis? Des erreurs \u00e9vit\u00e9es? Il faut mesurer<\/strong>.<\/p>\n\n\n\n
C’est comme demander \u00e0 un fournisseur : \u00ab Combien \u00e7a va me co\u00fbter, et qu’est-ce que \u00e7a va me rapporter? \u00bb Vous le faites pour les machines, pour les contrats, pour les locations. Il faut le faire aussi pour l’informatique.<\/p>\n\n\n\n
Pilier 3 \u2014 On g\u00e8re les risques avant qu’ils arrivent<\/h3>\n\n\n\n
Une bonne gouvernance TI identifie les risques \u00e0 l’avance<\/strong> : un employ\u00e9 qui ouvre un faux courriel, un serveur qui plante, un mot de passe qui fuit, un fournisseur qui se fait pirater. Pour chaque risque important, on a un plan.<\/p>\n\n\n\n
C’est comme l’assurance habitation : vous payez chaque mois pour ne pas<\/em> avoir besoin de l’utiliser, mais si votre maison br\u00fble, vous \u00eates content de l’avoir.<\/p>\n\n\n\n
Pilier 4 \u2014 On utilise les ressources intelligemment<\/h3>\n\n\n\n
Combien de logiciels payez-vous chaque mois? Combien sont vraiment utilis\u00e9s? Combien de licences tra\u00eenent depuis le d\u00e9part d’un employ\u00e9? Combien de doublons (deux outils qui font la m\u00eame chose)?<\/p>\n\n\n\n
C’est de la gestion<\/strong>, simplement appliqu\u00e9e aux ressources informatiques. Comme on rationalise les fournisseurs en comptabilit\u00e9.<\/p>\n\n\n\n
Pilier 5 \u2014 On mesure pour s’am\u00e9liorer<\/h3>\n\n\n\n
Sans chiffres, impossible d’am\u00e9liorer. Combien de fois nos syst\u00e8mes ont-ils plant\u00e9 ce trimestre? Combien de courriels d’hame\u00e7onnage ont \u00e9t\u00e9 d\u00e9tect\u00e9s? Quelle est la satisfaction des employ\u00e9s avec les outils?<\/strong><\/p>\n\n\n\n
Encore une fois, c’est comme la comptabilit\u00e9 : vous ne dirigez pas une entreprise sans tableau de bord. La TI m\u00e9rite le m\u00eame traitement.<\/p>\n\n\n\n
\n\n\n\nLes certifications : des \u00ab notes officielles \u00bb pour votre cybers\u00e9curit\u00e9<\/h2>\n\n\n\n
Vous savez que les comptables professionnels passent des examens (CPA) pour d\u00e9montrer leur comp\u00e9tence. La cybers\u00e9curit\u00e9 a ses \u00e9quivalents \u2014 sauf que ces certifications s’appliquent \u00e0 l’organisation<\/strong>, pas aux personnes.<\/p>\n\n\n\n
Les six certifications principales en 2026 pour les entreprises canadiennes :<\/p>\n\n\n\n
1. CAN\/DGSI 104<\/strong> \u2014 la certification canadienne pour les PME. Con\u00e7ue sp\u00e9cifiquement pour les organisations de moins de 500 employ\u00e9s. Co\u00fbt mod\u00e9r\u00e9 (3 000 $ \u00e0 10 000 $ pour l’audit lui-m\u00eame), dur\u00e9e raisonnable (3 \u00e0 6 mois de pr\u00e9paration). C’est g\u00e9n\u00e9ralement le meilleur point d’entr\u00e9e<\/strong> pour une PME qu\u00e9b\u00e9coise.<\/p>\n\n\n\n
2. ISO 27001<\/strong> \u2014 la certification internationale. Reconnue partout dans le monde. Plus exigeante (15 000 $ \u00e0 75 000 $ pour une PME, 8 \u00e0 18 mois de pr\u00e9paration). Recommand\u00e9e si votre entreprise a des clients internationaux.<\/p>\n\n\n\n
3. SOC 2<\/strong> \u2014 la certification am\u00e9ricaine. Tr\u00e8s demand\u00e9e par les clients am\u00e9ricains. Si vous vendez du logiciel aux \u00c9tats-Unis, ils vont probablement vous la demander.<\/p>\n\n\n\n
4. TGV<\/strong> \u2014 la certification qu\u00e9b\u00e9coise pour la sant\u00e9. Obligatoire pour toute entreprise qui vend un produit ou un service technologique au r\u00e9seau de la sant\u00e9 qu\u00e9b\u00e9cois (cliniques, h\u00f4pitaux, CIUSSS). Tr\u00e8s exigeante : 254 crit\u00e8res \u00e0 respecter.<\/p>\n\n\n\n
5. NIST CSF 2.0<\/strong> \u2014 pas vraiment une certification mais un cadre de r\u00e9f\u00e9rence<\/em> nord-am\u00e9ricain tr\u00e8s respect\u00e9. C’est une feuille de route pour structurer votre cybers\u00e9curit\u00e9.<\/p>\n\n\n\n
6. ISO 42001<\/strong> \u2014 la nouvelle certification (2023) pour les entreprises qui utilisent l’intelligence artificielle de mani\u00e8re significative.<\/p>\n\n\n\n
La bonne nouvelle :<\/strong> ces certifications ne sont pas exclusives. Une entreprise mature peut viser plusieurs d’entre elles, en commen\u00e7ant par celle qui correspond \u00e0 son march\u00e9.<\/p>\n\n\n\n
\n\n\n\nComment commencer : 7 \u00e9tapes pratiques<\/h2>\n\n\n\n
Si votre direction d\u00e9cide de prendre la gouvernance TI au s\u00e9rieux, voici les \u00e9tapes typiques :<\/p>\n\n\n\n
\u00c9tape 1 \u2014 Faire le portrait de la situation actuelle.<\/strong> O\u00f9 en sommes-nous?<\/em> On regarde les ordinateurs, les logiciels, les contrats, les politiques (s’il y en a), les pratiques. C’est comme un \u00e9tat des lieux avant r\u00e9novation.<\/p>\n\n\n\n
\u00c9tape 2 \u2014 D\u00e9cider ce qu’on veut accomplir.<\/strong> Veut-on r\u00e9duire les co\u00fbts? Renforcer la s\u00e9curit\u00e9? Se conformer \u00e0 la Loi 25? Pr\u00e9parer une certification?<\/em> Sans objectif clair, on s’\u00e9parpille.<\/p>\n\n\n\n
\u00c9tape 3 \u2014 Choisir un cadre de r\u00e9f\u00e9rence.<\/strong> Une des certifications mentionn\u00e9es plus haut, ou un cadre maison adapt\u00e9 \u00e0 la taille de l’entreprise.<\/p>\n\n\n\n
\u00c9tape 4 \u2014 Cr\u00e9er un comit\u00e9 ou d\u00e9signer un responsable.<\/strong> Pour une PME, c’est souvent une personne (le directeur des op\u00e9rations, le contr\u00f4leur, ou un consultant externe en mode vCISO<\/em> \u2014 un genre de directeur cybers\u00e9curit\u00e9 \u00e0 temps partiel). Pour une organisation plus grande, c’est un comit\u00e9 avec la direction g\u00e9n\u00e9rale, la finance, la TI et les op\u00e9rations.<\/p>\n\n\n\n
\u00c9tape 5 \u2014 \u00c9crire les politiques importantes.<\/strong> Politique de mots de passe, politique d’utilisation des appareils mobiles, politique de r\u00e9ponse aux incidents, politique d’utilisation de l’intelligence artificielle. Ces documents cadrent ce qui est permis et ce qui ne l’est pas.<\/p>\n\n\n\n
\u00c9tape 6 \u2014 Former les employ\u00e9s et d\u00e9ployer les outils.<\/strong> C’est l’\u00e9tape la plus importante.<\/strong> La meilleure politique au monde ne sert \u00e0 rien si personne ne la conna\u00eet. La formation continue (pas juste un module annuel ennuyeux), les simulations d’hame\u00e7onnage, les rappels r\u00e9guliers \u2014 tout \u00e7a change la culture.<\/p>\n\n\n\n
\u00c9tape 7 \u2014 Mesurer et am\u00e9liorer.<\/strong> Tous les trimestres, on regarde ce qui fonctionne et ce qui ne fonctionne pas. La gouvernance TI n’est jamais \u00ab finie \u00bb \u2014 c’est un processus continu, comme la comptabilit\u00e9.<\/p>\n\n\n\n
\n\n\n\nQue se passe-t-il si on ne fait rien?<\/h2>\n\n\n\n
Cette question est l\u00e9gitime. Beaucoup de PME ont surv\u00e9cu sans gouvernance TI formelle pendant des ann\u00e9es. Pourquoi commencer maintenant?<\/p>\n\n\n\n
Trois cons\u00e9quences possibles si on ne fait rien :<\/p>\n\n\n\n
1. Un incident cyber qui co\u00fbte cher.<\/strong> Une PME qu\u00e9b\u00e9coise qui subit un ran\u00e7ongiciel en 2025-2026 paie en moyenne entre 50 000 $ et 500 000 $ en co\u00fbts directs (ran\u00e7on, perte d’op\u00e9rations, restauration, communication, conseillers). Sans compter la perte de clients qui apprennent que leurs donn\u00e9es ont \u00e9t\u00e9 expos\u00e9es.<\/p>\n\n\n\n
2. Une non-conformit\u00e9 \u00e0 la Loi 25.<\/strong> Les amendes pr\u00e9vues vont jusqu’\u00e0 25 millions de dollars ou 4 % du chiffre d’affaires mondial pour les pires cas. La Commission d’acc\u00e8s \u00e0 l’information du Qu\u00e9bec peut imposer des amendes administratives bien moins \u00e9lev\u00e9es (ordre de 50 000 $ \u00e0 250 000 $) qui restent significatives pour une PME.<\/p>\n\n\n\n
3. Une perte d’opportunit\u00e9s d’affaires.<\/strong> De plus en plus de clients (gouvernement, grandes entreprises, m\u00eame certaines PME exigeantes) demandent des certifications avant de signer un contrat. Sans certification, vous \u00eates \u00e9limin\u00e9 d’office.<\/p>\n\n\n\n
\u00c0 l’inverse, une entreprise qui a une bonne gouvernance TI :<\/p>\n\n\n\n
\n
- R\u00e9cup\u00e8re plus vite si un incident arrive (et un incident finit toujours par arriver).<\/li>\n\n\n\n
- D\u00e9montre sa maturit\u00e9 aux clients, partenaires, investisseurs.<\/li>\n\n\n\n
- R\u00e9duit ses primes d’assurance cyber.<\/li>\n\n\n\n
- Peut innover plus vite (l’intelligence artificielle, par exemple) parce qu’elle a un cadre pour le faire en s\u00e9curit\u00e9.<\/li>\n<\/ul>\n\n\n\n
\n\n\n\nCe que vous pouvez faire d\u00e8s cette semaine<\/h2>\n\n\n\n
Vous n’avez pas besoin d’attendre une grande d\u00e9cision pour faire avancer la gouvernance TI. Voici cinq actions concr\u00e8tes que n’importe quel employ\u00e9<\/strong> peut amorcer :<\/p>\n\n\n\n
1. Activer l’authentification \u00e0 deux facteurs partout o\u00f9 vous le pouvez.<\/strong> Sur votre courriel professionnel, votre logiciel comptable, vos acc\u00e8s bancaires d’entreprise. C’est la mesure la plus simple et la plus efficace pour r\u00e9duire les compromissions.<\/p>\n\n\n\n
2. Tester votre derni\u00e8re sauvegarde.<\/strong> Quand a-t-elle \u00e9t\u00e9 test\u00e9e? Pouvez-vous vraiment restaurer un fichier important? Si la r\u00e9ponse est \u00ab je ne sais pas \u00bb, c’est le signal de tester.<\/p>\n\n\n\n
3. Faire un inventaire des logiciels que vous payez.<\/strong> Vous serez surpris du nombre. Beaucoup de PME d\u00e9couvrent qu’elles paient pour 3 ou 4 outils qui font essentiellement la m\u00eame chose.<\/p>\n\n\n\n
4. Demander qui est le responsable de la protection des renseignements personnels<\/strong> dans votre organisation. Si la r\u00e9ponse est \u00ab personne \u00bb ou \u00ab je ne sais pas \u00bb, c’est un probl\u00e8me \u2014 c’est une obligation de la Loi 25.<\/p>\n\n\n\n
5. Parler \u00e0 la direction de la cybers\u00e9curit\u00e9.<\/strong> Ce n’est plus un sujet de sp\u00e9cialistes \u2014 c’est un sujet de gestion. Aborder le sujet en r\u00e9union de direction, demander un \u00e9tat de la situation, c’est d\u00e9j\u00e0 un grand pas.<\/p>\n\n\n\n
\n\n\n\nFoire aux questions<\/h2>\n\n\n\n
Est-ce que c’est juste pour les grandes entreprises?<\/h3>\n\n\n\n
Non, surtout pas.<\/strong> Les grandes entreprises ont des \u00e9quipes compl\u00e8tes pour ces sujets. Les PME, qui n’en ont pas, sont les plus vuln\u00e9rables. CAN\/DGSI 104 a \u00e9t\u00e9 con\u00e7ue sp\u00e9cifiquement pour les PME canadiennes.<\/p>\n\n\n\n
Combien \u00e7a co\u00fbte?<\/h3>\n\n\n\n
Pour une PME, comptez entre 10 000 $ et 50 000 $<\/strong> la premi\u00e8re ann\u00e9e si vous d\u00e9marrez de z\u00e9ro et visez une certification CAN\/DGSI 104 (incluant l’audit, les outils techniques de base et l’accompagnement). Les ann\u00e9es suivantes, le co\u00fbt r\u00e9current est plus bas (5 000 $ \u00e0 15 000 $). Pour ISO 27001, multipliez par 2 ou 3.<\/p>\n\n\n\n
C’est important de comprendre que ne rien faire co\u00fbte aussi de l’argent<\/strong> \u2014 sous forme d’incidents, de primes d’assurance plus \u00e9lev\u00e9es, et d’opportunit\u00e9s perdues.<\/p>\n\n\n\n
Combien de temps?<\/h3>\n\n\n\n
Pour une PME qui d\u00e9marre, comptez 3 \u00e0 6 mois<\/strong> pour atteindre une certification CAN\/DGSI 104. Plus long pour ISO 27001 (8 \u00e0 18 mois). Une fois en place, le maintien demande quelques heures par semaine.<\/p>\n\n\n\n
Doit-on engager quelqu’un?<\/h3>\n\n\n\n
Pas n\u00e9cessairement \u00e0 temps plein. Beaucoup de PME utilisent un vCISO<\/strong> (un directeur de la cybers\u00e9curit\u00e9 \u00e0 temps partiel) ou un consultant externe. Cette approche co\u00fbte typiquement 1 500 $ \u00e0 5 000 $ par mois selon le besoin et est beaucoup plus \u00e9conomique qu’un poste \u00e0 temps plein (100 000 $+ par ann\u00e9e).<\/p>\n\n\n\n
Qu’est-ce qu’on fait avec ChatGPT et l’intelligence artificielle?<\/h3>\n\n\n\n
On ne fait pas semblant que \u00e7a n’existe pas.<\/strong> Vos employ\u00e9s l’utilisent d\u00e9j\u00e0. La bonne approche : cr\u00e9er une politique simple qui explique ce qui est permis (utiliser ChatGPT pour r\u00e9diger un courriel g\u00e9n\u00e9rique) et ce qui ne l’est pas (copier-coller des informations confidentielles de clients ou d’employ\u00e9s). Id\u00e9alement, fournir un outil approuv\u00e9 (Microsoft Copilot Enterprise, Claude Pro pour entreprise) qui prot\u00e8ge mieux les donn\u00e9es.<\/p>\n\n\n\n
Qui prend les d\u00e9cisions?<\/h3>\n\n\n\n
Pour une PME, c’est typiquement la direction g\u00e9n\u00e9rale<\/strong> qui d\u00e9cide, sur recommandation d’un responsable interne ou d’un consultant. Le conseil d’administration (s’il y en a un) doit \u00eatre inform\u00e9 des grandes orientations et des incidents importants.<\/p>\n\n\n\n
\n\n\n\nEn r\u00e9sum\u00e9<\/h2>\n\n\n\n
La gouvernance TI, ce n’est pas un sujet r\u00e9serv\u00e9 aux experts en informatique. C’est un sujet de gestion<\/strong>, comme la comptabilit\u00e9, les ressources humaines, la qualit\u00e9.<\/p>\n\n\n\n
Quatre choses \u00e0 retenir :<\/p>\n\n\n\n
\n
- C’est devenu incontournable<\/strong> en 2026 \u00e0 cause des cybermenaces, des nouvelles lois, de l’intelligence artificielle et des exigences des assureurs.<\/li>\n\n\n\n
- \u00c7a commence par des questions simples<\/strong> : qui d\u00e9cide quoi? Comment se prot\u00e8ge-t-on? Comment mesure-t-on?<\/li>\n\n\n\n
- Il existe des certifications<\/strong> adapt\u00e9es \u00e0 toutes les tailles d’organisation. CAN\/DGSI 104 est typiquement le meilleur point d’entr\u00e9e pour une PME qu\u00e9b\u00e9coise.<\/li>\n\n\n\n
- On peut commencer petit<\/strong> \u2014 l’authentification \u00e0 deux facteurs, les sauvegardes test\u00e9es, l’inventaire des logiciels. Pas besoin d’attendre la grande d\u00e9cision pour faire avancer les choses.<\/li>\n<\/ol>\n\n\n\n
Si vous lisez cet article et que vous reconnaissez votre entreprise dans les vuln\u00e9rabilit\u00e9s d\u00e9crites, ce n’est pas un probl\u00e8me \u2014 c’est une opportunit\u00e9 de faire quelque chose \u00e0 ce sujet, avant qu’un incident ne d\u00e9cide pour vous.<\/p>\n\n\n\n
\n\n\n\nPour aller plus loin<\/h2>\n\n\n\n
Si cet article vous a int\u00e9ress\u00e9 et que vous voulez approfondir, nous avons des articles plus d\u00e9taill\u00e9s sur des sujets sp\u00e9cifiques :<\/p>\n\n\n\n
\n
- Diff\u00e9rence entre ISO 27001 et CAN\/DGSI 104<\/a><\/li>\n\n\n\n
- Notre propre exp\u00e9rience de certification CAN\/DGSI 104<\/a><\/li>\n\n\n\n
- Tout savoir sur la certification TGV (sant\u00e9 Qu\u00e9bec)<\/a><\/li>\n<\/ul>\n\n\n\n
\n\n\n\n\u00c0 propos de l’auteur<\/h2>\n\n\n\n
S\u00e9bastien Robert<\/strong> est associ\u00e9 principal chez Services conseils Factero<\/strong>, une firme ind\u00e9pendante de conseils en gouvernance des technologies, en cybers\u00e9curit\u00e9 et en conformit\u00e9, \u00e9tablie \u00e0 Saint-Jean-sur-Richelieu (Qu\u00e9bec). Il pratique en TI depuis 2002 et se sp\u00e9cialise \u00e0 rendre les sujets techniques accessibles aux gestionnaires.<\/p>\n\n\n\n
\n\u00c0 propos de Factero.<\/strong> Notre firme est elle-m\u00eame certifi\u00e9e CAN\/DGSI 104 (Niveau 2). Nous accompagnons les organisations qu\u00e9b\u00e9coises et canadiennes dans leurs d\u00e9marches de gouvernance TI et de certification \u2014 sans jargon inutile.<\/p>\n<\/blockquote>\n\n\n\n
\n\n\n\n\nUne question? Une situation \u00e0 comprendre?<\/strong> Nous offrons une consultation initiale sans frais<\/strong> pour \u00e9valuer o\u00f9 en est votre organisation. Pas d’engagement, pas de pression \u2014 une conversation honn\u00eate entre gestionnaires.<\/p>\n<\/blockquote>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Auteur : S\u00e9bastien Robert \u2014 Associ\u00e9 principal, Services conseils Factero Publi\u00e9 le 20 avril 2026 Temps de lecture : environ 10 minutes En une phrase La gouvernance TI, c’est l’ensemble des r\u00e8gles et des d\u00e9cisions qui font que les ordinateurs, les logiciels et les donn\u00e9es de votre entreprise vous aident vraiment \u00e0 faire votre travail, […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-9","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/9","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/comments?post=9"}],"version-history":[{"count":2,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/9\/revisions"}],"predecessor-version":[{"id":345,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/9\/revisions\/345"}],"wp:attachment":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/media?parent=9"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/categories?post=9"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/tags?post=9"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}