Accueil Blog
Services
Audit informatique
Audit Budget TI
vCIOIntérim Direction TIContre-ExpertiseTest de sauvegardes et préparation à la relèveReprise après incidentPlanification StratégiqueGestion des relations avec les fournisseursTémoin ExpertConformité Loi 25Offre PMERessources humainesConformité RH et politiques TIConformité Loi 27Équité salariale et rémunérationPlacement-ressourceAccompagnement ISO 27001Accompagnement CAN/DGSI 104Accompagnement SOC 2Accompagnement PCCCAccompagnement certification TGVAccompagnement Edtech QuébecAccompagnement cyberassuranceExercice de crise (tabletop)Accompagnement ISO/IEC 42001
ContactPrendre rendez-vousNotre équipeÀ propos
English
AccueilBlogServicesContactPrendre rendez-vousNotre équipeÀ propos
English

Accompagnement à la certification CAN/DGSI 104 (CyberSécuritaire Canada)

La norme canadienne pour les PME. Sans les pièges.

Niveau 1 ou Niveau 2 — on vous aide à choisir, puis on vous mène à la certification.

Un accompagnement à la certification CAN/DGSI 104 est un mandat structuré qui mène votre organisation de l'évaluation initiale jusqu'à la recommandation de certification par un organisme accrédité tiers, dans le cadre du programme CyberSécuritaire Canada (CyberSecure Canada). La norme spécifie 18 contrôles de cybersécurité principaux (55 sous-contrôles) répartis dans les Sections 5 et 6 du standard, avec deux niveaux d'exigences (Niveau 1 et Niveau 2). La révision Rev 1:2024 a clarifié la distinction entre Niveau 1 et Niveau 2 sur six domaines : formation cybersécurité, évaluation des risques, plan de réponse aux incidents, configuration sécurisée, sauvegardes, et services infonuagiques / TI externalisés. Factero pilote la démarche : choix du niveau (1 ou 2), analyse d'écart, implémentation des contrôles, documentation, audit interne, accompagnement pendant l'audit de certification, et préparation de l'audit de maintien à 12 mois. Nous préparons — nous ne certifions pas. L'organisme certificateur, accrédité par le Conseil canadien des normes (SCC/CCN) selon ISO/IEC 17021-1, reste un tiers indépendant. Démarche conduite par un associé principal certifié CISA, avec CAN/DGSI 104:2021 Rev 1:2024 comme norme cible et NIST-CSF en appui pour la priorisation des risques.
Parler à un expert

Pour qui ?

PME canadiennes de moins de 500 employés qui veulent une certification cyber adaptée à leur taille — sans viser ISO 27001 tout de suite.

Entreprises qui reçoivent des questionnaires de sécurité de leurs clients corporatifs et qui veulent y répondre avec un cadre reconnu au fédéral, sans porter le coût d'ISO 27001.

Fournisseurs de services professionnels (comptables, avocats, consultants, agences) qui gèrent de l'information client sensible et veulent démontrer une posture cyber mesurable.

Cliniques, cabinets médicaux et organismes de santé qui détiennent des renseignements de santé et veulent une certification pragmatique alignée avec leur niveau de maturité.

Organisations qui font affaire avec le gouvernement fédéral ou qui veulent se positionner sur des appels d'offres où la certification CyberSécuritaire Canada devient un critère d'admissibilité.

PME qui envisagent ISO 27001 à moyen terme et cherchent une première étape concrète — CAN/DGSI 104 Niveau 2 est une rampe de lancement logique.

Quand est-ce utile ?

Si vous vous reconnaissez dans l'une de ces situations, ce service est conçu pour vous.
  • Un client corporatif exige une certification cyber reconnue — mais ISO 27001 est hors budget ou hors délai.
  • Vous remplissez régulièrement des questionnaires de sécurité clients et vous voulez une certification qui réponde à 80 % des questions une fois pour toutes.
  • Vous hésitez entre Niveau 1 et Niveau 2 et vous voulez un regard externe pour trancher — pas un vendeur qui vous pousse vers le plus cher.
  • Vous avez vu le nom « CyberSécuritaire Canada » dans un appel d'offres ou un contrat fédéral et vous voulez comprendre ce qui est réellement demandé.
  • Votre assureur cyber commence à demander plus qu'un simple questionnaire — il veut voir une certification ou une attestation formelle.
  • Vous êtes déjà conforme à la Loi 25 et vous voulez capitaliser sur ce travail pour obtenir CAN/DGSI 104 sans repartir à zéro.
  • Vous voulez une certification valide 2 ans, avec un effort proportionné à votre taille — pas un projet qui monopolise l'organisation pendant 18 mois.
  • Vous confondez CAN/DGSI 104 (CyberSécuritaire Canada) avec le CPCSC (Programme canadien de certification en cybersécurité pour les fournisseurs de la Défense) — et vous voulez savoir laquelle s'applique à vous.

Qu'est-ce que vous obtenez ?

Checkbox icon

Une recommandation claire Niveau 1 ou Niveau 2, justifiée par votre réalité opérationnelle, vos clients, vos obligations contractuelles — pas par une préférence commerciale.

Checkbox icon

Une analyse d'écart complète entre votre posture actuelle et les exigences du niveau retenu, avec un plan priorisé par niveau de risque.

Checkbox icon

Les politiques, procédures et enregistrements requis par la norme, rédigés et adaptés à votre réalité — pas un lot de gabarits génériques copiés-collés.

Checkbox icon

L'implémentation des contrôles techniques manquants, en collaboration avec votre équipe TI ou votre MSP : MFA, sauvegardes testées, gestion des accès, surveillance, etc.

Checkbox icon

Un audit interne documenté avant l'audit de certification — pour éviter les mauvaises surprises le jour J.

Checkbox icon

Un dossier de preuve organisé, structuré selon les attentes de l'organisme certificateur — vos documents prêts au bon endroit, pas une course le jour de l'audit.

Checkbox icon

Un accompagnement pendant l'audit de certification conduit par l'organisme accrédité de votre choix : préparation des équipes, traduction des questions, gestion des éventuelles non-conformités.

Checkbox icon

Un plan de maintien sur le cycle de 2 ans : surveillance des changements de la norme, préparation de la recertification, ajustements si votre environnement évolue.

Pas un bon fit ?

  • CAN/DGSI 104 est la bonne norme pour une majorité de PME canadiennes. Mais il y a quelques cas où un autre chemin est plus approprié.
  • Si votre client exige explicitement ISO 27001 — pas une certification « équivalente » ou « reconnue » — alors l'accompagnement ISO 27001 est le bon service. CAN/DGSI 104 n'est pas accepté comme substitut d'ISO 27001 dans la plupart des contrats internationaux.
  • Si vous êtes un fournisseur de la Défense canadienne et qu'on vous parle de « certification cyber pour contrats militaires », il s'agit probablement du CPCSC (Canadian Program for Cyber Security Certification), basé sur NIST 800-171, et non de CyberSécuritaire Canada. Ces deux programmes sont distincts — on clarifie rapidement à l'appel découverte.
  • Si votre maturité actuelle est très faible et que même le Niveau 1 semble hors d'atteinte dans les 6 prochains mois, l'offre PME ou un audit indépendant Factero sont souvent le bon point de départ — pour bâtir les fondations avant de viser une certification formelle.
  • Et si votre besoin est ponctuel — répondre à un questionnaire client unique, rassurer un investisseur ponctuel — une attestation ciblée peut suffire à un coût nettement inférieur. On en discute franchement.

Comment fonctionne le processus ?

Une approche rigoureuse et transparente, étape par étape.
Évaluation et choix du niveau
On commence par déterminer quel niveau vise juste pour votre organisation. Le Niveau 1 est un socle fondamental — idéal pour une PME qui structure sa cybersécurité pour la première fois. Le Niveau 2 est plus exigeant et généralement requis quand vos clients (ou le gouvernement fédéral) demandent une assurance plus robuste. On regarde votre contexte d'affaires, vos obligations contractuelles, et votre maturité actuelle pour trancher. Parfois, la bonne réponse est de viser le Niveau 1 maintenant et le Niveau 2 dans un second cycle, après l'audit de maintien de 12 mois.
Analyse d'écart
On cartographie votre posture actuelle contre les exigences du niveau retenu. On identifie ce qui est déjà en place (et documentable), ce qui manque, et ce qui nécessite un réalignement. Livrable : rapport d'écart priorisé, estimation réaliste du chemin à parcourir, et recommandation claire sur le délai atteignable.
Implémentation des contrôles
On implémente les contrôles manquants avec votre équipe TI ou votre MSP. Le principe directeur : chaque contrôle doit être vécu, pas seulement documenté. Un contrôle MFA qui existe sur papier mais qui n'est pas activé sur les comptes critiques n'est pas un contrôle. On utilise le cadre NIST-CSF pour structurer l'évaluation des risques et prioriser les correctifs par impact réel.
Documentation et audit interne
On rédige les politiques, procédures et enregistrements requis par la norme. On conduit un audit interne formel avant l'audit de certification — un regard externe indépendant qui identifie les angles morts que l'auto-audit ne voit pas. L'audit interne est un prérequis de la certification Niveau 2, et c'est souvent là que les démarches non accompagnées dérapent.
Accompagnement audit
On vous accompagne pendant l'audit conduit par l'organisme de certification accrédité par le SCC/CCN que vous aurez choisi. Notre rôle : traduire, structurer les réponses, gérer les non-conformités éventuelles. Pour le Niveau 1, l'audit est généralement plus léger (revue documentaire principale). Pour le Niveau 2, l'audit inclut une vérification approfondie de la mise en œuvre. Le choix de l'organisme certificateur reste le vôtre — nous pouvons vous présenter plusieurs options accréditées, sans aucun lien commercial avec elles.
Maintien sur cycle de 2 ans
La certification CAN/DGSI 104 est valide 2 ans. On reste disponible pour préparer la recertification, ajuster le dispositif si votre environnement évolue (nouveaux systèmes, nouveaux employés, nouveaux contrats), et intégrer les mises à jour de la norme. Sans vous enfermer dans un contrat récurrent.

Foire aux questions

Les réponses aux questions que nos clients posent avant de nous contacter.
Est-ce que Factero est elle-même certifiée CAN/DGSI 104 ?
Oui. Factero détient la certification CyberSécuritaire Canada (CAN/DGSI 104:2021 Rev 1:2024), vérifiable publiquement au registre IAF CertSearch et via notre Trust Center. Nous avons traversé le processus que nous vous proposons d'accompagner — depuis l'évaluation initiale jusqu'à la délivrance du certificat par un organisme accrédité tiers. Cela signifie deux choses concrètes pour vous : (1) nous savons précisément où sont les pièges, les choix qui font gagner du temps et les questions que l'organisme certificateur posera ; (2) nous appliquons à notre propre organisation les standards que nous évaluons chez vous — pas un discours commercial, une réalité documentée et vérifiable. Un cabinet qui accompagne vers une certification reconnue devrait, par cohérence professionnelle, en détenir une lui-même.
Niveau 1 ou Niveau 2 — comment on choisit ?
La réponse dépend de ce que vos clients (ou le gouvernement) exigent réellement, pas du niveau qui sonne le plus rassurant. Le Niveau 1 est un socle fondamental : gouvernance de base, sensibilisation, gestion des incidents, sauvegardes, authentification. Il convient à une PME qui structure sa cybersécurité pour la première fois et dont les clients ne demandent pas un niveau plus élevé. Le Niveau 2 ajoute des exigences sur la gestion des risques, la gestion formelle des tiers, la surveillance active, et requiert un audit interne documenté. Il est généralement attendu quand vos clients corporatifs, le gouvernement fédéral, ou votre assureur cyber demandent une assurance plus forte. Factero regarde avec vous vos contrats, vos questionnaires clients récents, et votre secteur pour trancher — pas par défaut, pas par préférence commerciale.
Combien de temps ça prend ?
Pour le Niveau 1, comptez 3 à 6 mois selon votre point de départ. Pour le Niveau 2, 6 à 12 mois est un délai réaliste. Si vous partez d'une situation très mature (par exemple déjà conforme Loi 25 et déjà aligné NIST-CSF), le Niveau 1 peut être atteint en 2-3 mois. Si vous partez de zéro et que votre organisation est très décentralisée, même le Niveau 1 peut prendre 6 mois. Les délais très courts annoncés ailleurs (« certifié en 30 jours ») s'appliquent uniquement à des organisations qui ont déjà tout en place — et dans ce cas, la prestation n'est plus un accompagnement mais une revue documentaire. Factero donne une estimation réaliste dès l'analyse d'écart, pas une fourchette marketing.
Est-ce que c'est obligatoire ?
Non — CAN/DGSI 104 / CyberSécuritaire Canada est une certification volontaire. Elle n'est pas imposée par une loi canadienne. Mais elle devient de facto nécessaire dans plusieurs contextes : clients corporatifs qui l'exigent dans leurs contrats, appels d'offres fédéraux ou provinciaux qui la demandent en critère d'admissibilité, assureurs cyber qui la reconnaissent comme preuve de maturité, et certains secteurs réglementés qui l'attendent. Il y a aussi la Loi 25 au Québec, qui est une obligation légale distincte — l'une ne remplace pas l'autre, mais elles partagent une partie des contrôles techniques.
Combien ça coûte — et qu'est-ce qui n'est pas inclus ?
L'accompagnement Factero couvre la préparation jusqu'à la certification — évaluation, analyse d'écart, implémentation des contrôles avec vos équipes, documentation, audit interne (pour le Niveau 2), accompagnement pendant l'audit de certification. Les coûts non inclus et payés directement par vous : les honoraires de l'organisme de certification (l'audit lui-même, la délivrance du certificat, la recertification à 2 ans), les éventuels investissements techniques identifiés pendant la démarche (licences MFA, solutions de sauvegarde, outils de gestion des accès, etc.), et le temps de vos équipes internes. On vous remet une estimation complète des trois postes dès l'analyse d'écart, pour éviter les surprises budgétaires.
Est-ce que CAN/DGSI 104 est équivalent à ISO 27001 ?
Non, et il ne faut pas présenter les deux comme équivalents à un client. CAN/DGSI 104 est une norme de base (baseline) — l'objectif est d'offrir un socle pragmatique aux PME canadiennes avec un effort proportionné. ISO 27001 est une norme de système de gestion (SGSI) — beaucoup plus exigeante, reconnue internationalement, et dont le nombre de contrôles et la profondeur documentaire sont d'un autre ordre de grandeur. Les deux sont complémentaires, pas substituables : un client international qui exige ISO 27001 ne sera pas satisfait d'un certificat CAN/DGSI 104. En revanche, CAN/DGSI 104 Niveau 2 est une rampe de lancement logique vers ISO 27001 — beaucoup de travail est réutilisable. Factero est transparent sur ce point dès la première conversation.
Notre MSP gère déjà notre infrastructure. Peut-il aussi piloter notre certification CAN/DGSI 104 ?
Votre MSP est un acteur clé de la mise en œuvre technique — mais piloter la certification est un rôle distinct. CAN/DGSI 104 Niveau 2 exige un audit interne — si votre MSP gère votre infrastructure et pilote votre certification, il auditera sa propre livraison. L'organisme de certification peut soulever ce conflit d'intérêts, et certains refusent carrément de commencer l'audit dans ces conditions. Factero n'a aucun lien commercial avec votre MSP : nous auditons la réalité, pas la version officielle du fournisseur. Cela dit, la relation avec votre MSP reste essentielle — il est un acteur clé de l'implémentation technique. On travaille avec lui, pas à sa place, exactement comme pour un audit indépendant. C'est exactement la même logique que pour ISO 27001.
On a déjà fait le travail pour la Loi 25. Est-ce que ça accélère CAN/DGSI 104 ?
Oui, significativement. Selon nos mandats récents, une mise en conformité Loi 25 bien faite couvre une partie importante des exigences de CAN/DGSI 104 — notamment sur la gestion des incidents, la désignation d'un responsable, les accès, et la documentation des traitements. Le recouvrement est plus élevé avec le Niveau 1 qu'avec le Niveau 2, qui ajoute des exigences propres (gestion formelle des tiers, surveillance active, audit interne). L'analyse d'écart identifie précisément ce qui est déjà transposable, ce qui doit être adapté, et ce qui reste à construire. Vous ne repartez pas de zéro.
Est-ce que CAN/DGSI 104 est la même chose que le CPCSC ?
Non — ce sont deux programmes canadiens distincts qu'on confond souvent. CAN/DGSI 104 (CyberSécuritaire Canada) est une norme de cybersécurité générale pour les PME canadiennes, administrée par le Conseil canadien des normes. Le CPCSC (Canadian Program for Cyber Security Certification / Programme canadien de certification en cybersécurité) est un programme spécifique aux fournisseurs de la Défense nationale, basé sur la norme ITSP.10.171 (elle-même alignée sur NIST SP 800-171, donc sur le CMMC américain). Les deux programmes ont des niveaux (Niveau 1, 2, 3), des processus d'accréditation distincts, et des audiences différentes. Si un appel d'offres de la Défense vous demande une « certification cyber », il s'agit presque certainement du CPCSC — pas de CyberSécuritaire Canada. On clarifie ça à l'appel découverte : il serait frustrant d'obtenir la mauvaise certification.
Qui délivre la certification ?
La certification est délivrée exclusivement par un organisme de certification (OC) accrédité par le Conseil canadien des normes (SCC/CCN). L'accréditation du SCC est basée sur la norme internationale ISO/IEC 17021-1, ce qui donne au certificat une reconnaissance au-delà du Canada. Aucun consultant ne peut « délivrer » la certification — ce serait un conflit d'intérêts que le programme interdit explicitement. Factero vous prépare, vous accompagne pendant l'audit, et vous aide à choisir l'organisme certificateur le plus approprié parmi ceux accrédités. Notre charte d'indépendance interdit tout lien commercial ou commission avec les OC.
Quelle méthodologie utilisez-vous ?
Factero s'appuie sur la norme CAN/DGSI 104:2021 Rev 1:2024 comme cible (version en vigueur publiée par le Digital Governance Standards Institute, révisée en 2024), complétée par le NIST Cybersecurity Framework (NIST-CSF) pour structurer l'évaluation des risques et prioriser les recommandations. Le principal associé détient la certification CISA (Certified Information Systems Auditor) délivrée par l'ISACA — la référence internationale en audit des systèmes d'information. En pratique, la démarche est adaptée à la taille et à la réalité de chaque organisation : on ne construit pas le même dispositif pour une agence de 15 employés et pour une PME industrielle de 300 employés. Chaque contrôle est évalué selon son applicabilité réelle.
La norme va-t-elle changer bientôt ?
Une révision périodique de CAN/DGSI 104 a été lancée en décembre 2025 par le Digital Governance Standards Institute. La version actuellement en vigueur reste CAN/DGSI 104:2021 Rev 1:2024, et les certifications émises selon cette version restent valides. La révision en cours vise à intégrer les évolutions du paysage des menaces et à clarifier certains contrôles (cloud, mobilité, gestion des journaux). Factero suit activement ces évolutions — si une nouvelle version est publiée pendant votre mandat, on ajuste la démarche sans vous relancer à zéro.
Est-ce que c'est confidentiel ?
Oui, chaque mandat d'accompagnement mené par Factero est encadré par un engagement de confidentialité formel en faveur du client, signé avant le début des travaux. Aucune information — constats, documents analysés, résultats d'audit interne — n'est partagée avec un tiers, un fournisseur ou un partenaire sans votre autorisation écrite explicite, conformément à notre politique de protection des renseignements personnels et aux exigences de la Loi 25. Les éléments remis à l'organisme certificateur le sont sous votre contrôle et avec votre validation. Cette rigueur s'applique à l'ensemble de nos mandats, sans exception.
Est-ce qu'on s'engage dans un suivi récurrent ?
Non. L'accompagnement se termine naturellement à l'obtention de la certification. La certification étant valide 2 ans, certaines organisations préfèrent nous garder sur une cadence légère pour préparer la recertification et absorber les évolutions de la norme. D'autres préfèrent internaliser — et c'est souvent un bon résultat. Notre charte d'indépendance interdit la création de dépendance artificielle. On ne recommande jamais un suivi dont vous n'avez pas besoin.
Pourquoi Factero pour ce mandat — qu'est-ce qui vous différencie ?
Avant de signer avec un cabinet d'accompagnement, vérifiez quelques éléments fondamentaux. Un cabinet sérieux les démontre sans hésitation et par écrit. Cabinet lui-même certifiéFactero détient la certification CyberSécuritaire Canada (CAN/DGSI 104:2021 / Rev 1:2024), vérifiable publiquement au registre IAF CertSearch et via notre Trust Center. Nous appliquons à notre propre organisation les standards que nous accompagnons chez nos clients. Un cabinet qui vous accompagne vers une certification reconnue devrait, par cohérence, en détenir une lui-même. Entreprise incorporée et établie depuis 2022Factero Service Conseil est dûment incorporée au Registre des entreprises du Québec (REQ) depuis 2022, sans procédure d'insolvabilité ni de faillite. Le statut juridique de tout cabinet candidat se vérifie gratuitement au REQ ; les procédures d'insolvabilité et de faillite figurent au registre du Bureau du surintendant des faillites Canada (osb-bsf.ic.gc.ca). Équipe complète et continuité opérationnelleFactero s'appuie sur une équipe interdisciplinaire couvrant les technologies de l'information, les ressources humaines et la comptabilité — les trois dimensions qui se croisent dans la plupart des mandats de gouvernance. Un mandat de certification CAN/DGSI 104 s'étend sur 3 à 6 mois selon la maturité organisationnelle, suivi d'un audit de maintien à 12 mois ; le cabinet qui vous accompagne doit avoir la profondeur d'équipe pour tenir la distance, pas seulement la disponibilité d'une seule personne. Assurance responsabilité professionnelle et cyberassuranceFactero détient une couverture responsabilité professionnelle (E&O) et une cyberassurance actives, adaptées à ses activités de conseil en gouvernance TI et en cybersécurité. Un cabinet qui vous recommande une cyberassurance devrait, par cohérence, en détenir une lui-même. Demandez l'attestation avant de signer. Indépendance écrite et publique — Nos engagements sont encadrés par une Charte d'Indépendance publique qui interdit commissions, rétrocessions et arrangements commerciaux avec les fournisseurs, courtiers et marchés. Inscription aux marchés publicsFactero est inscrit au SEAO (Québec) et au Ontario Tenders Portal — démarche qui implique vérifications réglementaires et attestations fiscales à jour. Ces critères ne sont pas des arguments commerciaux. Ce sont les conditions minimales à demander à tout cabinet candidat. L'absence de réponse claire à l'une de ces questions est, en soi, une réponse.
Nos conseils restent indépendants. Consultez notre Charte d'indépendance.

Services complémentaires

Audit informatique Conformité Loi 25 Accompagnement ISO 27001 Voir plus

Besoin d'avancer sur ce sujet ?

Discutons de votre situation spécifique. Sans engagement, juste des conseils d'expert.
Parler à un expert