SOC 2 Type 2 et ISO 27001 pour les PME canadiennes

Mardi, 7 avril 2026

Comprendre et choisir entre un cadre de référence en cybersécurité et une norme internationale

Comment un grand nombre d’entrepreneurs au sein d’organisations et de petites et moyennes entreprises (PME) canadiennes peuvent-ils naviguer dans les options de SOC 2 Type 2 et d’ISO 27001 pour sélectionner le cadre de cybersécurité et la norme internationale les plus adaptés à leurs activités quotidiennes ? Notre Infolettre de cyberconnaissance du mois de mars 2026 – divisée en 4 sections principales – a fait l’objet de recherches, de documentations, d’analyses, d’études, d’examens, d’évaluations et de rédactions méticuleuses afin de répondre à cette question fondamentale. Pour plus de clarté, il convient de préciser que, bien que SOC 2 Type 2 et ISO 27001 proviennent d’origines administratives différentes et impliquent des approches distinctes de gestion de la cybersécurité, elles sont en réalité interdépendantes. De nombreuses organisations à travers le monde, y compris des PME canadiennes, cherchent à adopter les deux, car elles se renforcent mutuellement et répondent aux besoins croissants des clients et des fournisseurs en matière de cybersécurité. En bref, SOC 2 Type 2 et ISO 27001 sont les deux faces d’une même médaille : ISO 27001 fournit la structure de gouvernance normative internationale de manière continuelle, tandis que SOC 2 Type 2 valide que votre cadre de contrôles pour la cybersécurité fonctionne efficacement pendant une période de temps déterminée.

D’une part, en tant que composante essentielle du référentiel SOC (Systems and Organization Controls – Contrôles des systèmes et de l’organisation) conçu par l’AICPA (American Institute of Certified Public Accountants – Institut américain des comptables professionnels agréés), le rapport SOC 2 Type 2 atteste de l’engagement d’une organisation à protéger les données de ses clients. Elle revêt une importance particulière pour les fournisseurs de services d’infonuagique, dont la croissance est constante. Le processus d’audit SOC 2 Type 2 fait appel à des vérificateurs CPA indépendants qui évaluent l’efficacité des contrôles mis en place par l’organisation sur une période donnée, généralement de six mois à un an. Cette attestation rassure les clients quant à l’engagement de l’entreprise – qu’il s’agisse d’une grande société ou d’une PME – à protéger les données confidentielles contre les accès non autorisés, les fuites et les violations de données, garantissant ainsi la mise en œuvre de contrôles appropriés. L’obtention de la certification SOC 2 Type 2 constitue une étape importante pour les entreprises de toutes tailles et de tous secteurs, car elle renforce la confiance des clients, des fournisseurs et des parties prenantes, et confère aux entreprises un avantage concurrentiel dans les secteurs où la sécurité de l’information et la protection des données sont primordiales.

D’autre part, la norme ISO/CEI 27001 est la norme internationale relative aux Systèmes de gestion de la sécurité de l’information (SGSI). Elle fournit un cadre structuré pour la protection des informations à plusieurs niveaux – numériques, physiques et humaines – contre les cybermenaces, telles que les accès non autorisés, les fuites et violations de données, les interruptions de service et les utilisations abusives. Publié par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI), la norme ISO 27001 n’est pas une simple liste de contrôle, mais un système de gestion intégrant la cybersécurité au fonctionnement de l’organisation. Elle repose sur un principe essentiel : les organisations doivent identifier systématiquement les risques reliés à l’information et mettre en œuvre des mesures de contrôle afin de les ramener à des niveaux acceptables. Au cœur de la norme ISO 27001, en tant que SGSI fonctionnel, se trouvent sept composantes essentielles : (i) les politiques et procédures, (ii) les rôles et responsabilités, (iii) l’évaluation et le traitement des risques, (iv) la surveillance continuelle, (v) les vérifications internes, (vi) les examens de la direction et (vii) les mesures d’amélioration. En tant que SGSI efficace, la norme ISO 27001 assure la continuité des pratiques de cybersécurité et évite qu’elles ne se limitent à un projet ponctuel. Les références et ressources (1 à 18) mentionnées à la fin de cette Infolettre de cyberconnaissance ont été dûment consultées, analysées en profondeur, synthétisées et adaptées avec soin pour la rédaction de plusieurs sections et sous-sections de ce manuscrit sur la cybersécurité.

SECTION I – EXPLICATIONS EXPLORATOIRES DE SOC 2 TYPE 2

Dans cette première section de notre Infolettre de cyberconnaissance, nous allons décortiquer brièvement quelques explications indispensables explorant les multiples facettes de SOC 2 Type 2.

Définition succincte de SOC 2 Type 2

Le rapport d’audit SOC 2 Type 2 est une évaluation indépendante qui vérifie si les contrôles d’une entreprise de services correspondent aux critères de fiabilité des services de l’AICPA (sécurité, disponibilité, intégrité du traitement, confidentialité et protection de la vie privée). Cela signifie que l’audit examine si les contrôles sont bien conçus et fonctionnent efficacement pendant une période donnée. Autrement dit, il s’agit d’un audit indépendant qui évalue non seulement la conception des contrôles de cybersécurité, mais aussi leur bon fonctionnement au fil du temps, généralement sur une période de 6 à 12 mois.

Contrairement à SOC 2 Type 2 : courte définition de SOC 2 Type 1

Contrairement à la certification SOC 2 Type 2, un rapport SOC 2 Type 1 est une attestation qui évalue si les contrôles d’une organisation de services sont conçus de manière appropriée pour satisfaire aux critères de services de confiance (CSC) à un moment précis. Il ne confirme pas l’efficacité des contrôles sur une période donnée. Par ailleurs, la certification SOC 2 Type 1 n’offre pas le niveau d’assurance et de surveillance requis pour la plupart des évaluations des risques des fournisseurs d’entreprise. Les organisations choisissent la certification SOC 2 Type 1 pour les raisons suivantes : au début de leur lancement comme entreprise, c’est-à-dire au début de leur démarche de conformité; lorsqu’elles doivent démontrer la mise en place de contrôles avant de disposer de plusieurs mois de données opérationnelles; comme étape intermédiaire vers la mise en œuvre de la certification SOC 2 Type 2.

En contraste avec SOC 2 Type 2 : démarcation concise de SOC 3

Comparativement à la certification SOC 2 Type 2, un rapport SOC 3 est une attestation publique de haut niveau relative à la cybersécurité et aux contrôles. Ce rapport repose sur les mêmes critères de services de confiance (CSC) que ceux utilisés pour la certification SOC 2 Type 2, mais sans les informations confidentielles qu’il contient. Les organisations optent pour la certification SOC 3 pour les raisons suivantes : démontrer publiquement qu’elles ont fait l’objet d’une vérification reconnue; établir un climat de confiance avec leurs clients sans exposer leur architecture de cybersécurité interne; et compléter la certification SOC 2 Type 2, sans la remplacer.

SOC 2 Type 2 et ses différences avec SOC 2 Type 1 et SOC 3

Les rapports SOC 2 Type 2 diffèrent des rapports SOC 2 Type 1 et SOC 3 principalement par l’objet des tests (conception contre efficacité opérationnelle), la période couverte (ponctuelle contre périodique) et les personnes autorisées à consulter le rapport (accès restreint contre accès public).

FIGURE 1: Tableau comparatif différenciant SOC 2 Type 1, SOC 2 Type 2 et SOC 3

Caractéristiques fondamentales SOC 2 Type 1 SOC 2 Type 2 SOC 3
Que contient le rapport? Conception des contrôles à une date précise Efficacité de la conception et du fonctionnement des contrôles sur une période donnée Affirmation générale concernant les contrôles et les critères des services de confiance
Échéanciers Date précise (à un moment donné) Périodique (habituellement de 6 à 12 mois) Périodique (relative au niveau du résumé)
Niveau de détails des tests Un vérificateur indépendant vérifie si les contrôles sont adaptés. Un vérificateur indépendant vérifie si les contrôles ont fonctionné efficacement tout au long de la période. Aucun résultat détaillé n’est fourni; seulement un résumé est inclus.
Publics cibles ou canaux de diffusion Généralement réservé aux clients et partenaires reliés par une entente de confidentialité. Généralement réservé aux clients établis, clients éventuels et partenaires reliés par une entente de confidentialité. Diffusion publique; destiné à un usage général.
Contenu des rapports Descriptions détaillées des contrôles et de l’opinion du vérificateur sur la conception. Descriptions détaillées des contrôles, procédures de test et résultats; opinion du vérificateur sur leur efficacité. Rapport succinct ou certification confirmant la conformité aux critères des services de confiance (CSC). Le rapport SOC 3 est issu d’une évaluation SOC 2 Type 2.
Cas d’utilisation Garanties dès la création de l’entreprise; démonstration de l’existence de contrôles. Garantie solide des fournisseurs pour les vérifications préalables en matière de sécurité et de conformité. Garantie de marketing et de marque auprès d’un large public.
Exigences types des acheteurs Intervenants internes ou premiers clients Clients d’affaires, équipes de sécurité, organismes de réglementation. Clients potentiels nécessitant une garantie publique.

Que signifie concrètement le tableau comparatif susmentionné?

  • Si vous avez besoin d’une preuve de l’existence des contrôles à l’heure actuelle (présente): choisissez SOC 2 Type 1. Il atteste que les contrôles sont conçus et mis en œuvre à une date précise.
  • Si vos clients exigent une preuve de l’efficacité des contrôles dans le temps (à long terme): choisissez le SOC 2 Type 2. Il offre la plus forte assurance opérationnelle, car les vérificateurs testent la performance des contrôles sur une période donnée.
  • Si vous souhaitez une étiquette de confiance publique et facile à diffuser : utilisez SOC 3. Moins détaillée, elle ne convient pas lorsque les clients exigent des preuves de tests précises. Le rapport SOC 3 est issu d’une évaluation SOC 2 Type 2.

Considérations pratiques à prendre en compte pour la prise de décisions

  • Ventes et achats : les acheteurs d’entreprise demandent généralement une certification SOC 2 de type 2 lors des évaluations des risques fournisseurs.
  • Temps et coût : les audits SOC 2 Type 2 sont plus longs et plus coûteux, car ils nécessitent un suivi et des tests sur une période donnée (généralement de 6 à 12 mois).
  • Confidentialité : les rapports SOC 2 Type 2 contiennent des informations confidentielles sur les contrôles et sont généralement partagés dans le cadre d’une entente de non-divulgation (END). Les rapports SOC 3 peuvent être publiés publiquement en toute sécurité pour usage général.

Importance de la certification SOC 2 Type 2 pour les PME canadiennes

Voici un sommaire des principales questions que les PME canadiennes devraient se poser :

  1. Exigences des clients : vos clients cibles (entreprises, les secteurs financiers, de la santé, du transport, manufacturier, etc.) demandent-ils des attestations de tiers?
  2. Portée et coût : quels services, types de données et critères de services de confiance allez-vous inclure ? De quel budget et de quelles ressources internes disposez-vous?
  3. Horizon temporel : avez-vous besoin d’un instantané rapide (SOC 2 Type 1) ou d’une preuve plus complète (SOC 2 Type 2) sur une période de 3 à 12 mois?
  4. Impact sur les activités d’affaires : la certification SOC 2 Type 2 améliorera-t-elle considérablement vos ventes, votre succès en matière d’approvisionnement ou votre gestion des cyberrisques?

FIGURE 2: Attributs de prise de décision pour SOC 2 Type 2 et pourquoi sont-ils importants?

Attributs de prise de décision Pourquoi ces attributs sont-ils importants?
Confiance de la clientèle Démontre l’efficacité des contrôles dans le temps; utilisé par les acheteurs pour évaluer les fournisseurs.
Accès aux marchés publics De nombreux contrats et appels d’offres (demandes de proposition) d’entreprises exigent la certification SOC 2 Type 2.
Conformité avec la réglementation Permet de répondre aux attentes contractuelles et sectorielles, même si elle n’est pas obligatoire au Canada.
Réduction des cyberrisques Impose des contrôles, une journalisation et des processus de gestion des incidents reproductibles, réduisant ainsi le risque de violation de données.
 

Coûts et efforts

 Nécessite plusieurs mois de preuves et une maturité des processus internes; prévoir le budget en conséquence.

Pourquoi la certification SOC 2 Type 2 est-elle particulièrement conséquente pour les PME canadiennes?

  1. Qualification des fournisseurs et des acheteurs : les acheteurs canadiens et les clients internationaux exigent de plus en plus d’attestations indépendantes avant de conclure des contrats; la certification SOC 2 Type 2 constitue une preuve courante et reconnue de cette conformité.
  2. Avantage concurrentiel : pour les entreprises SaaS, les services d’infonuagiques, les fournisseurs de services gérés et les entreprises de traitement de données, un rapport SOC 2 Type 2 témoigne de leur maturité opérationnelle et peut raccourcir les cycles d’approvisionnement.
  3. Gestion des risques pour les petites équipes : les PME sont souvent ciblées en raison de leurs ressources de sécurité limitées; la certification SOC 2 Type 2 permet de mettre en place des contrôles reproductibles (revues d’accès, journalisation, gestion des changements) qui réduisent l’exposition aux risques.
  4. Activités transfrontalières : les clients et partenaires américains reconnaissent généralement la certification SOC 2 Type 2 comme équivalente à d’autres référentiels, facilitant ainsi les transactions internationales.

Approches tangibles et faciles à mettre en œuvre par une PME canadienne

  1. Définir la portée minimale : commencer par la gamme de produits ou de services générant le plus de revenus ou contenant les données les plus confidentielles.
  2. Effectuer une évaluation de la préparation : identifier les lacunes en matière de politiques, de journalisation, de contrôle d’accès et de conservation des preuves.
  3. Mettre en œuvre des contrôles de base et la collecte des preuves : authentification multifactorielle (AMF), contrôle d’accès fondé sur les rôles, gestion des demandes de changement, journaux centralisés, plan d’intervention en cas d’incident de cybersécurité.
  4. Opérer sur une courte période du rapport : généralement de 3 à 6 mois pour des premiers engagements relatifs au SOC 2 Type 2.
  5. Faire appel rapidement à un auditeur : utiliser un cabinet d’expertise comptable spécialisé dans la norme SOC 2 Type 2 pour valider la portée et la méthode d’échantillonnage.
  6. Utiliser le rapport de manière proactive : partager une lettre de présentation SOC 2 Type 2 (résumé ou expurgé) avec les clients potentiels et l’inclure dans les réponses aux appels d’offres.

Considérations relatives aux risques, aux compromis et aux coûts reliés à SOC 2 Type 2

  1. Coûts initiaux et récurrents : SOC 2 Type 2 est plus coûteux que SOC 2 Type 1, car les auditeurs vérifient les éléments probants sur une période de 3 à 12 mois; il faut prévoir un budget pour le temps consacré par le personnel interne, les outils (journalisation, gestion des identités et des accès) et les honoraires des auditeurs.
  2. Charge opérationnelle : elle exige une mise en œuvre méticuleuse et une tenue rigoureuse des registres; des processus immatures peuvent entraîner un échec d’audit, même si les contrôles sont bien conçus.
  3. Dérive du périmètre : couvrir un trop grand nombre de systèmes augmente les coûts et la complexité; un périmètre restreint, axé sur les activités essentielles, est généralement plus efficace.
  4. Absence de protection juridique : la certification SOC 2 Type 2 réduit les risques et atteste de l’efficacité des contrôles, mais n’exonère pas des obligations réglementaires et ne garantit pas l’immunité en cas de violation.

SECTION II – EXPLICATIONS EXPLORATOIRES : ISO 27001

Dans cette Section II de notre Infolettre sur la cyberconnaissance, nous allons examiner quelques clarifications de base en explorant les caractéristiques multicouches de la norme ISO 27001.

Démarcation abrégée de la norme ISO 27001

La norme ISO/CEI 27001 est une norme internationale qui précise les exigences relatives à l’établissement, la mise en œuvre, l’entretien et l’amélioration continuelle d’un Système de gestion de la sécurité de l’information (SGSI). Les organisations qui satisfont aux exigences de la norme peuvent obtenir une certification auprès d’un organisme de certification accrédité à la suite d’un audit indépendant.

Systèmes de gestion ISO

Un système de gestion fournit un cadre structuré permettant à une organisation de définir ses processus, de gérer les risques et d’améliorer continuellement ses performances. La philosophie des systèmes de gestion modernes repose sur la cohérence, la responsabilité et la prise de décision fondée sur des preuves, assurant ainsi l’alignement des activités avec les objectifs stratégiques. Les normes de systèmes de gestion ISO – telles que l’ISO 27001 pour la cybersécurité, l’ISO 9001 pour la qualité, l’ISO 42001 pour l’intelligence artificielle et l’ISO 27701 pour la protection des données – partagent une structure commune de haut niveau (SHN), ce qui les rend intrinsèquement compatibles. Ce cadre harmonisé permet aux organisations d’intégrer plusieurs normes de manière transparente, de rationaliser la documentation, de réduire les doublons et de créer un système opérationnel unifié, efficace et cohérent.

ISO 27001 et résumé de ses composantes structurelles essentielles

  1. Périmètre et contexte du SGSI : définir les informations, les systèmes et les sites couverts par le SGSI.
  2. Évaluation et traitement des cyberrisques : identifier les risques reliés à la sécurité de l’information et sélectionner les mesures de contrôle pour les atténuer.
  3. Contrôles de l’annexe A : catalogue des objectifs et des contrôles que les organisations peuvent appliquer dans le cadre de leur gestion des risques.
  4. Leadership et gouvernance : engagement de la direction, rôles et politiques documentées.
  5. Amélioration continuelle : surveillance, audits internes, examen de la direction et mesures correctives.

FIGURE 3: Composantes structurelles détaillées de la norme ISO 27001 et implications pour les organisations y compris les PME

ISO 27001 : composantes structurelles détaillées Quelles sont les implications pour les organisations, en particulier les PME? Objectifs Exemples et remarques
Contexte de l’organisation Compréhension des facteurs internes et externes, des parties prenantes et du périmètre. Garantie de l’adéquation du SGSI aux réalités de l’entreprise. Définition de la portée du SGSI, identification des parties prenantes
Leadership Engagement, rôles et responsabilités de la direction. Assure la gouvernance, la responsabilisation et l’orientation stratégique. Politique de sécurité de l’information, supervision par la direction.
Planification Évaluation des risques, traitement des cyberrisques, objectifs. Établit une approche structurée de la gestion des cyberrisques. Méthodologie de gestion des risques, registre des cyberrisques, plan de traitement.
Soutien informatique Ressources, compétences, sensibilisation, communication, documentation informatique. Constitution des fondements du fonctionnement du SGSI. Formation en informatique, documentation, plans de communication.
Opérations commerciales Mise en œuvre et gestion des processus de sécurité. Garantie du bon fonctionnement des contrôles et des processus. Gestion du changement, gestion des incidents, gestion des fournisseurs.
Évaluation du rendement Suivi, mesure, audit interne, examen de la direction. Confirme que le SGSI fonctionne et s’améliore. Indicateurs clés de performance (ICP), programmes d’audit, comptes rendus de revue de direction.
Améliorations Mesures correctives, amélioration continue. Assure l’évolution du SGSI en fonction des menaces et des besoins de l’entreprise. Analyse des causes profondes, suivi des mesures correctives.
Annexe A : Contrôles (93 contrôles dans la version 2022) Mesures de cybersécurité normatives regroupées en 4 thèmes. Fournit le référentiel de contrôles de cybersécurité. Veuillez consulter la Figure 4 ci-après pour les thèmes de contrôles de l’Annexe A de la norme ISO 27001.

FIGURE 4: ISO 27001 – Thèmes de contrôles de l’Annexe A (2022)

Thèmes

Courtes descriptions

Exemples des contrôles

A.5 Contrôles organisationnels

Gouvernance, politiques, rôles, risques, gestion des fournisseurs.

Politique de sécurité de l’information, séparation des tâches, ententes avec les fournisseurs.

A.6 Contrôles reliés au personnel

Mesures de sécurité axées sur l’humain.

Vérifications des antécédents, formation de sensibilisation à la sécurité.

 

A.7 Contrôles physiques

Protection des environnements physiques.

Contrôles d’accès physiques, sécurité des équipements.

A.8 Contrôles technologiques

Mesures de protection techniques.

Contrôle d’accès, cryptographie, journalisation, sauvegarde, développement sécurisé.

Quel est le processus de certification ISO 27001?

Voici un résumé du processus de certification ISO 27001 :

  1. Préparation : définir la portée, évaluer les risques, réaliser une analyse des écarts, mettre en œuvre les normes du système de gestion ISO, ainsi que les contrôles et la documentation requis.
  2. Effectuer un audit interne.
  3. Audit de phase 1 : l’auditeur examine la documentation et l’état de préparation.
  4. Audit de phase 2 : l’auditeur évalue la mise en œuvre et l’état de préparation; les non-conformités doivent être corrigées.
  5. Certification et surveillance : en cas de succès, un certificat est délivré; les vérifications de certification sont annuelles et la recertification a lieu tous les trois ans.

Quels sont les principaux avantages de la certification ISO 27001?

  1. Une sécurité structurée et fondée sur les risques qui aligne les personnes, les processus et les technologies.
  2. Un avantage concurrentiel et contractuel : une certification reconnue internationalement et souvent exigée par les partenaires et les clients du monde entier.
  3. Une résilience et une gouvernance renforcées grâce à des contrôles documentés, des audits et une démarche d’amélioration continue. Cependant, cela ne garantit pas l’immunité contre les violations.

Utilité de la norme ISO 27001 pour les PME canadiennes

La norme ISO 27001 offre aux petites et moyennes entreprises un système de gestion de la sécurité de l’information (SGSI) formel qui réduit les risques, renforce la confiance des clients et ouvre de nouvelles perspectives commerciales. La certification atteste auprès des clients et des partenaires que votre organisation gère la sécurité de l’information de manière systématique et non ponctuelle.

FIGURE 5: Avantages importants de la norme ISO 27001 pour les PME canadiennes

Avantages significatifs de la norme ISO 27001 pour les PME canadiennes Quels sont les bénéfices de la norme ISO 27001 pour les PME partout au Canada?
Renforcement de la confiance de la clientèle Validation par un tiers de votre capacité à protéger les données de vos clients et partenaires.
Différenciation concurrentielle Aide à gagner des appels d’offres et des contrats auprès de fournisseurs certifiés.
Conformité réglementaire Assurer la conformité aux lois canadiennes sur la protection des renseignements personnels, comme la LPRPDE, et aux exigences provinciales.
Résilience opérationnelle Des pratiques formelles d’évaluation des risques, de réponse aux incidents et de continuité des activités réduisent les temps d’arrêt et les pertes.
Programme de cybersécurité évolutif Un système de gestion de la sécurité de l’information (SGSI) reproductible simplifie et rentabilise les audits, certifications et investissements futurs en cybersécurité.

Facteurs de marché et quotients réglementaires au Canada concernant la norme ISO 27001

  • Attentes des clients : les clients canadiens, américains et internationaux exigent de plus en plus la certification ISO 27001 ou une preuve équivalente lors de leurs achats.
  • Conformité à la législation sur la protection des données : les contrôles fondés sur les risques de la norme ISO 27001 s’intègrent bien avec les obligations de la LPRPDE et les régimes provinciaux de protection des données au Canada, ce qui contribue à démontrer la diligence raisonnable.
  • Assurance et transfert des risques : les assureurs et les partenaires peuvent considérer la certification comme un atout lors de l’évaluation des primes d’assurance cybernétique ou des risques contractuels.

Coûts, efforts et attentes réalistes

  • Délai : la mise en œuvre pour les PME prend généralement de 3 à 12 mois, selon la portée opérationnelle et la maturité de l’entreprise.
  • Investissement : les coûts comprennent le temps du personnel interne, le soutien éventuel de consultants, les outils (registres des cyberrisques, plateformes de documentation de gestion informatique et commerciale) et les frais d’audit de certification. Il faut s’attendre à un effort initial plus important, mais à un coût marginal moindre pour les re-certifications futures.
  • Travaux en cours : la norme ISO 27001 exige une amélioration continue, des audits internes et des revues de direction – des engagements récurrents.

Feuille de route pratique pour la mise en œuvre à l’intention des PME canadiennes envisageant la certification ISO 27001

  1. Définir la portée et l’engagement de la direction. Identifier les actifs, les services et les limites à inclure.
  2. Procéder à une évaluation et au traitement des risques. Prioriser les mesures de contrôle en fonction des risques opérationnels.
  3. Documenter le SGSI : politiques, procédures, registre des risques et rôles.
  4. Mettre en œuvre les mesures de contrôle et la formation de sensibilisation à la cybersécurité. Privilégier d’abord les mesures de contrôle à fort impact et à faible coût.
  5. Effectuer des vérifications internes et un examen de la direction. Combler les lacunes avant l’audit de certification.
  6. Se soumettre à la vérification de certification. Corriger les non-conformités et entretenir le SGSI.

Liste de vérification sommaire pour déterminer si la norme ISO 27001 vous convient

  1. Traitez-vous des données clients ou des données personnelles confidentielles pour vos acheteurs ? Si oui, la certification est un atout.
  2. Envisagez-vous de conclure des contrats d’entreprise ou d’opérer dans des secteurs réglementés au Canada et à l’étranger (marchés internationaux)? Une certification est souvent exigée ou fortement recommandée.
  3. Pouvez-vous consacrer du temps à la mise en place initiale et à l’entretien continuel? Sinon, envisagez une approche par étapes ou le recours à un consultant.

SECTION III – PRINCIPALES DIFFÉRENCES SOC 2 TYPE 2 & ISO 27001

Dans la présente Section III de notre Infolettre sur la cyberconnaissance, nous allons examiner en détail quelques explications fondamentales explorant les différences multidimensionnelles entre SOC 2 Type 2 et ISO 27001.

FIGURE 6: Tableau contrastif des différences détaillées entre SOC 2 Type 2 et ISO 27001

Caractéristiques Contrastives SOC 2 Type 2 ISO 27001
Nature Rapport d’attestation indépendante d’un cabinet d’expertise comptable

Norme internationale certifiable
Principaux résultats attendus Rapport d’audit décrivant l’efficacité des contrôles sur une période donnée Certification officielle délivrée par un organisme de certification accrédité
Délimitation du périmètre de vérification Service ou système visé par l’engagement Périmètre du SGSI défini par l’organisation
Cadres de contrôle Conformément aux critères de services de confiance de l’AICPA, eux-mêmes alignés sur le cadre de référence du Committee of Sponsoring Organizations of the Treadway Commission (COSO). Sélection des contrôles en fonction des risques parmi ceux de l’Annexe A et autres contrôles pertinents
Périodes de référence Tests de contrôles sur une période de référence (généralement 12 mois) Nécessite un fonctionnement continu du SGSI avec des vérifications périodiques
Reconnaissances géographiques Largement utilisé et attendu en Amérique du Nord Reconnue internationalement et de plus en plus largement adoptée dans le monde entier, avec une forte préférence en Europe et à travers les marchés mondiaux.
Fréquence des vérifications/audits Le rapport couvre une période écoulée; un nouvel engagement est nécessaire pour les mises à jour. Les clients demandent généralement des rapports annuels. Certification initiale, surveillance annuelle continue, recertification tous les trois ans
Clients types Clients : entreprises nord-américaines, fournisseurs de services SaaS et de services d’infonuagiques. Tous les intervenants, y compris les entités gouvernementales, les partenaires internationaux, les industries réglementées et les chaînes mondiales d’approvisionnement.
Le plus convenable pour Démonstration de l’efficacité des contrôles opérationnels auprès des clients. Mise en place d’un système de gestion formel et auditable/vérifiable, et amélioration continue

Aperçu du cadre de cybersécurité et de la norme internationale

En tant que cadre de cybersécurité, SOC 2 Type 2 est un engagement d’attestation au cours de laquelle un cabinet d’expertise comptable vérifie si les contrôles relatifs aux critères de services de confiance sélectionnés sont à la fois correctement conçus et opérationnels efficacement sur une période définie de rapport d’audit. En tant que norme internationale, la norme ISO 27001 exige d’une organisation qu’elle établisse, mette en œuvre, maintienne et améliore continuellement un système de gestion de la sécurité de l’information. La certification est délivrée par un organisme de certification accrédité après un processus d’audit en deux étapes et entretenue par des audits de surveillance.

Différences intégrales entre SOC 2 Type 2 et ISO 27001

1. Objectif et rôle juridique ou commercial

  • La certification SOC 2 Type 2 fournit une attestation indépendante adaptée aux organisations de services afin de répondre aux exigences de leurs clients en matière d’assurance et d’approvisionnement. Il s’agit principalement d’un rapport destiné aux acheteurs.
  • ISO 27001 et SOC 2 Type 2 présentent les mêmes exigences. Le système de gestion défini par la norme ISO 27001 doit être présent dans un environnement SOC 2 Type 2, mais il n’est pas intégré à la norme. De plus, la norme ISO 27001 établit un système de gestion de la sécurité de l’information, et elle témoigne de l’engagement de l’organisation envers l’amélioration continuelle et la gestion des risques. Elle est à la fois axée sur la gouvernance interne et reconnue en externe.

2. Nature de l’évaluation et livrables

  • La certification SOC 2 Type 2 produit un rapport d’audit documentant les tests des contrôles sur une période historique et pouvant inclure des résultats des tests détaillés et les exceptions.
  • La certification ISO 27001 délivre un certificat lorsque le SGSI satisfait aux exigences de la norme; ce certificat est entretenu par des audits de surveillance planifiés et une recertification périodique.

3. Périmètre et sélection des contrôles

  • La portée de la certification SOC 2 Type 2 est définie autour des services, systèmes ou processus spécifiques, et l’organisation choisit les critères de services de confiance à inclure. Les contrôles sont évalués selon ces critères.
  • La certification ISO 27001 exige une évaluation formelle des risques et la sélection des contrôles à partir de l’Annexe A et d’autres contrôles pertinents en fonction des risques identifiés. Le périmètre du SGSI peut être large ou restreint, mais il doit être documenté et justifié.

4. Preuves et méthodes de test

  • La certification SOC 2 Type 2 effectue un audit d’un échantillon de preuves opérationnelles sur la période de référence, telles que les journaux d’entrée, les revues d’accès, les tickets de changement et les enregistrements d’incidents, afin de tester l’efficacité opérationnelle.
  • Les auditeurs/vérificateurs d’ISO 27001 évaluent la mise en œuvre du SGSI, les preuves de traitement des risques, les audits internes, la revue de la direction et les activités d’amélioration continue. Les preuves démontrent que les processus du SGSI sont intégrés et efficaces.

5. Gouvernance et amélioration continuelle

  • La certification SOC 2 Type 2 est axée sur le fonctionnement des contrôles et peut ne pas exiger les mêmes artefacts de système de gestion formalisé que la norme ISO 27001.
  • La norme ISO 27001 impose des éléments de gouvernance, notamment l’engagement de la direction, des politiques documentées, des audits internes, des mesures correctives et un examen de la direction, dans le cadre de l’amélioration continuelle.

6. Reconnaissance géographique et perception du marché

  • La certification SOC 2 Type 2 est fréquemment exigée par les clients nord-américains et elle est particulièrement répandue dans le secteur des services SaaS et d’infonuagique.
  • La norme ISO 27001 jouit d’une forte reconnaissance internationale et elle est souvent privilégiée par les acheteurs européens et mondiaux, ainsi que par les organisations internationales qui exigent un système de gestion formel.

7. Coût, échéancier et charge opérationnelle

  • La certification SOC 2 Type 2 nécessite généralement une période de préparation, suivie d’une période de rapport de plusieurs mois durant laquelle les contrôles doivent être opérationnels et les preuves conservées; les frais de vérification varient selon la portée et la complexité; une surveillance continuelle et des vérifications annuelles sont nécessaires.
  • La certification ISO 27001 exige un investissement dans la mise en place d’un SGSI, la documentation, les audits internes, ensuite un audit de certification en deux étapes; les audits continuels de surveillance entraînent des coûts récurrents.

Chevauchement, cartographie et stratégie combinée

  • De nombreux contrôles requis par la certification SOC 2 Type 2 et la norme ISO 27001 se recoupent, comme le contrôle d’accès, la gestion des changements, la journalisation et la réponse aux incidents. Les organisations peuvent faire correspondre les critères de services de confiance aux contrôles de l’Annexe A de la norme ISO 27001 afin de réutiliser les preuves et de réduire les doublons.
  • Il est courant de faire les deux démarches en parallèle. La mise en œuvre d’un Système de gestion de la sécurité de l’information (SGSI) conforme à la norme ISO 27001 fournit des processus de gouvernance et de gestion des risques qui facilitent la réalisation des tests SOC 2 Type 2. Réciproquement, les preuves de SOC 2 Type 2 peuvent alimenter les audits de surveillance ISO, et inversement.

Guide de prise de décision pour les organisations y compris les PME

  • Privilégiez la certification SOC 2 Type 2 si vos principaux clients sont des entreprises nord-américaines exigeant explicitement une attestation prouvant l’efficacité des contrôles sur une période donnée.
  • Optez pour la certification ISO 27001 si vous avez besoin d’un système de gestion formel et global, si vous prévoyez de commercialiser vos produits à l’international ou si vous exigez une certification reconnue dans plusieurs juridictions.
  • Envisagez les deux certifications si vous avez besoin d’une garantie de satisfaction de la clientèle en Amérique du Nord, et d’un Système formel de gestion de la sécurité de l’information (SGSI) pour les marchés internationaux ou pour la mise en conformité réglementaire. La cartographie des contrôles permet de réduire les efforts supplémentaires.

Étapes pratiques pour la mise en œuvre de la norme ISO 27001

  1. Définir les enjeux commerciaux et identifier les clients ou les marchés nécessitant des preuves spécifiques.
  2. Effectuer une analyse des écarts en comparant les contrôles existants aux critères de services de confiance et à l’Annexe A de la norme ISO 27001.
  3. Limiter la portée du premier engagement afin de contrôler les coûts et la complexité.
  4. Mettre en œuvre la collecte des preuves et appliquer les contrôles de manière cohérente pendant la période requise.
  5. Solliciter rapidement des auditeurs/vérificateurs ou des organismes de certification pour valider la portée et la méthode d’échantillonnage.

SECTION IV – SOC 2 TYPE 2 vs ISO 27001 : LISTE PROACTIVE DE CONTRÔLES POUR UNE PRISE DE DÉCISION PAR UNE PME CANADIENNE

  1. Profil de votre clientèle et de votre marché
  • Demandez à vos clients établis et à vos clients potentiels de faire connaître leurs besoins respectifs. La plupart de vos clients sont-ils situés au Canada ou aux États-Unis? La certification SOC 2 Type 2 est le principal mécanisme d’assurance pour les acheteurs de services SaaS et d’infonuagique en Amérique du Nord.
  • Vendez-vous à des organisations européennes ou à des entreprises internationales? La norme ISO 27001 est reconnue internationalement et souvent privilégiée par les acheteurs européens et multinationaux.
  • Vos clients potentiels demandent-ils explicitement une norme dans leurs appels d’offres? Choisissez celle qui apparaît le plus souvent; si les deux sont mentionnées, prévoyez un chevauchement.
  1. Vos besoins réglementaires et contractuels
  • Traitez-vous des données confidentielles (santé, finances, gouvernement)? Les deux référentiels renforcent la sécurité; la norme ISO 27001 propose un système de gestion de la sécurité de l’information (SGSI) plus formalisé et basé sur les risques.
  • Vos clients exigent-ils un rapport d’attestation plutôt qu’un certificat? SOC 2 Type 2 et ISO 27001 fournissent tous les deux un rapport établi par un auditeur/vérificateur présentant des tests de contrôle détaillés.
  1. Votre maturité et vos ressources internes
  • Souhaitez-vous un système de gestion de la sécurité structuré à l’échelle de l’organisation? La norme ISO 27001 exige un Système complet de gestion de la sécurité de l’information (SGSI), y compris la gouvernance, les audits internes et l’amélioration continue. En termes de rapidité, si l’on exclut la période d’observation de 3 à 12 mois requise pour l’obtention de SOC 2 Type 2, la norme ISO 27001 est l’option la plus rapide.
  • Avez-vous besoin d’une démarche de certification pour assurer la conformité auprès de vos clients? SOC 2 Type 2 et ISO 27001 peuvent être précisément axés sur un produit ou un service et elle constitue souvent la première étape pour les PME de type SaaS.
  1. Considérations budgétaires et temporelles
  • SOC 2 Type 2
    • Nécessite l’élaboration de politiques et de procédures écrites.
    • Collecte de preuves sur 3 à 12 mois
    • Des preuves solides à présenter aux acheteurs en Amérique du Nord
    • Le coût dépend de la portée et du niveau de préparation
    • Nécessite une documentation et des audits annuels.
  • ISO 27001
    • Exige la mise en place, la documentation et la certification d’un Système de gestion de la sécurité de l’information (SGSI)
    • Vérifications annuelles de surveillance
    • Responsabilités de gouvernance plus importantes, mais crédibilité internationale accrue
  1. Mesures stratégiques pour une PME canadienne – il ne s’agit pas de choisir le bon ou le mauvais cadre de référence, mais plutôt de cibler sa clientèle.
  • Choisissez la certification SOC 2 Type 2 si :
    • Vos clients ou futurs clients l’exigent.
    • Vous vendez principalement à des entreprises canadiennes et américaines dans le secteur des finances.
    • Vous avez besoin rapidement d’une certification reconnue pour conclure des affaires (SOC 2 Type 1).
    • Vous souhaitez commencer par un périmètre d’intervention restreint et l’étendre ultérieurement.
  • Choisissez la norme ISO 27001 si :
    • Vous ciblez les marchés européens et internationaux.
    • Vous voulez un Système formel de gestion de la sécurité de l’information (SGSI) et basé sur les risques.
    • Vous avez besoin d’une certification reconnue mondialement.
  • Choisissez les deux si :
    • Vous servez à la fois des clients nord-américains (Canada, États-Unis et Mexique) et des acheteurs internationaux.
    • Vous souhaitez simplifier la conformité en faisant correspondre les contrôles de la norme ISO 27001 aux critères de la certification SOC 2 Type 2.
    • Vous voulez une gouvernance à long terme (ISO 27001) et une assurance client (SOC 2 Type 2).
  1. Questions finales pour la prise de décision
  • Quelle norme est la plus fréquemment mentionnée dans les 10 principaux appels d’offres de vos clients?
  • Avez-vous besoin d’une certification (ISO 27001) ou d’une attestation (SOC 2 Type 2)?
  • Avez-vous la maturité interne requise pour maintenir un Système de gestion de la sécurité de l’information (SGSI) et un ensemble de contrôles tout au long de l’année?
  • L’expansion internationale est-elle une priorité à court terme pour votre PME?
  • Avez-vous besoin d’un soutien commercial rapide en Amérique du Nord?

Conclusion

Pour terminer notre Infolettre consacrée à la cyberconnaissance, une question demeure en suspens : quelles sont les tendances actuelles et les perspectives d’avenir qui façonneront le cadre de cybersécurité SOC 2 Type 2 et la norme internationale ISO 27001? Voici un aperçu de ces tendances et perspectives.

Tendances actuelles qui influencent SOC 2 Type 2

  • Évolution vers une surveillance continuelle. La norme SOC 2 Type 2 délaisse l’audit annuel au profit de la collecte de preuves en temps réel et d’une assurance continue, répondant ainsi aux attentes des clients en matière de visibilité permanente sur l’efficacité des contrôles de cybersécurité.
  • Exigences accrues en matière d’automatisation. Les organisations s’appuient de plus en plus sur la collecte automatisée de preuves et les intégrations pour réduire la charge d’audit et assurer un niveau de préparation optimal tout au long de l’année.
  • Demande croissante reliée à l’expansion des services d’infonuagique. Avec la migration croissante des services vers les plateformes d’infonuagique, la certification SOC 2 Type 2 demeure le principal mécanisme d’assurance en Amérique du Nord pour les fournisseurs de services SaaS et d’infonuagique.

Tendances actuelles déterminant l’adoption de la norme ISO 27001

  • Adoption comme référentiel mondial de gouvernance de la cybersécurité. ISO 27001 demeure la norme internationale de référence pour les organisations ayant besoin d’un système de gestion de la sécurité de l’information (SMSI) formel et fondé sur les risques. Elle est de plus en plus utilisée comme base pour la conformité à plusieurs référentiels.
  • Intégration aux écosystèmes de gestion des risques et de conformité. Les entreprises alignent ISO 27001 avec les exigences de sécurité de la chaîne d’approvisionnement, notamment celles du NIST CSF et du SOC 2 Type 2, afin de réduire les efforts redondants.
  • Importance croissante dans les achats des multinationales. Compte tenu du resserrement des exigences envers les fournisseurs au sein des entreprises internationales, la certification ISO 27001 est en train de devenir une attente normalisée pour les fournisseurs internationaux.

Perspectives d’avenir pour SOC 2 Type 2

  • L’assurance continuelle devient la nouvelle norme. La norme SOC 2 Type 2 devrait évoluer vers une validation continue des contrôles, grâce à des outils de surveillance automatisés et aux exigences des auditeurs en matière de visibilité en temps réel.
  • Des exigences plus normatives malgré des critères flexibles. Face à la demande croissante de preuves plus solides de la part des autorités réglementaires et des clients, les rapports SOC 2 Type 2 pourraient tendre vers des interprétations plus normalisées des critères de services de confiance.
  • Opérations de conformité pilotées par l’IA. La collecte de preuves, la détection des anomalies et les tests de contrôle seront de plus en plus automatisés, réduisant ainsi les cycles d’audit manuels.

Perspectives d’avenir pour ISO 27001

  • Extension du modèle de SGSI à des domaines connexes. La norme ISO 27001 s’intègre déjà plus étroitement avec la protection des données (ISO 27701), la sécurité de l’infonuagique (ISO 27017/27018) et la sécurité de la chaîne d’approvisionnement (ISO 27036).
  • Accent accru sur la chaîne d’approvisionnement et les risques reliés aux tiers. Les incidents mondiaux et la pression réglementaire incitent les organisations à adopter la norme ISO 27001 comme fondement de la gouvernance des risques fournisseurs.
  • Gestion du SGSI optimisée par l’IA. Les organisations utiliseront de plus en plus l’IA pour tenir à jour les registres des risques, suivre les mesures correctives et faciliter les audits internes.

Quelles sont les implications de ces tendances et perspectives pour tous les types d’organisations, y compris les PME?

  • La certification SOC 2 Type 2 restera le principal mécanisme d’assurance en Amérique du Nord, notamment pour les entreprises de services SaaS et d’infonuagique.
  • La norme ISO 27001 continuera de s’imposer comme norme de gouvernance mondiale, en particulier pour les entreprises ayant des clients au sein de l’Union européenne ou des multinationales.
  • Ces deux référentiels convergent vers l’automatisation, la surveillance continuelle et la gestion intégrée des cyberrisques.

Ressources et références

  1. AICPA – American Institute of Certified Public Accountants. Guide: SOC 2 Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy – Monograph Also Covering SOC 2 Type 1. Document disponible uniquement en anglais. Il s’agit d’une source faisant autorité pour la norme SOC 2 Type 2 et elle couvre également la norme SOC 2 Type 1. John Wiley & Sons Publishers Ltd. 496-page book available via Amazon. Guide: SOC 2 Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy: AICPA: 9781945498602: Books – Amazon.ca
  2. AICPA (American Institute of Certified Public Accountants) & CIMA (Chartered Institute of Management Accountants). Document disponible uniquement en anglais. SOC 3 – SOC for Service Organizations: Trust Services Criteria for General Use Report. SOC 3® – SOC for Service Organizations: Trust Services Criteria for General Use Report | AICPA & CIMA
  3. Ben Pournader & Behzad Saei. Practical Introduction to ISO 27001: Based on the Latest Version of ISO/IEC 27001:2022 and Its 2024 Amendment. Livre de 178 pages publié par Amazon USA Publishing.Practical Introduction to ISO 27001: Based On The Latest Version of ISO/IEC 27001:2022 And Its 2024 Amendment: Pournader, Ben, Saei, Behzad: 9798336206838: Books – Amazon.ca
  4. Cees van der Wens. ISO 27001 ISMS Handbook: Implementing and Auditing an Information Security Management System in Small and Medium-Sized Businesses. Livre de 264 pages publié par Amazon USA Publishing. ISO 27001 ISMS Handbook: Implementing and auditing an Information Security Management System in small and medium-sized businesses: Wens, Cees van der: 9798852486288: Books – Amazon.ca
  5. DRATA – Security without Compromise. SOC 2 Type 2: A Beginner’s Guide. Document disponible seulement en anglais. SOC 2 Type 2: A Beginner’s Guide
  6. SecureFrame – Build Trust. Unlock Growth. SOC 1 vs SOC 2 vs SOC 3: What’s the Difference? Document disponible uniquement en anglais. SOC 1 vs SOC 2 vs SOC 3: What’s the Difference? | Secureframe
  7. SGS Canada – Testing, Certification and Inspection Company. The Differences Between SOC 1, 2 and 3. Document disponible seulement en anglais. The Differences Between SOC 1, 2 and 3 | SGS Canada
  8. RIPPLING Inc.: Cloud-Based Software Platform Company for Workforce Management System. SOC 1 vs. SOC 2 vs. SOC 3: Key Differences and 2025 Guide. Document disponible uniquement en anglais. SOC 1 vs. SOC 2 vs SOC 3: Key Differences & 2025 Guide
  9. Cyber Sierra: AI-Powered Cybersecurity Platform Company. Detailed Comparison of SOC 1, SOC 2 & SOC 3: Which Do You Need? Document disponible seulement en anglais. Detailed Comparison of SOC 1, SOC 2 & SOC 3 – And Which Do You Need?
  10. Canon Canada – Leading provider of business, consumer and professional digital imaging innovation. The Importance of SOC 2 Compliance. Document disponible uniquement en anglais. The Importance of SOC 2 Compliance | Canon Canada
  11. BDC – Banque de développement du Canada: la banque pour les entrepreneurs canadiens. Contrôles des systèmes et des organisations 2 (SOC 2)Qu’est-ce que la norme SOC 2?
  12. CanadianCyber – Secure. Innovate. Canadian. Protect Your Business Today. SOC 2 for Small Businesses: Cybersecurity Basics. Document disponible seulement en anglais. SOC 2 for Small Businesses: Cybersecurity Basics
  13. ISO – Organisation Internationale de Normalisation. Sécurité de l’information, cybersécurité et protection de la vie privée — Systèmes de gestion de la sécurité de l’information — Exigences ISO/IEC 27001:2022 – Systèmes de gestion de la sécurité de l’information
  14. IBM – International Business Machines. Worldwide American Technology Company. What is ISO/IEC 27001? Document disponible uniquement en anglais. What is ISO/IEC 27001? | IBM
  15. DEEPLOI: All-in-One IT Management Software. Why the ISO 27001 Certification Matters for SMEs? Documentation disponible uniquement en anglais. Why the ISO 27001 Certification Matters for SMEs
  16. TUCU – Managed IT Services Inc. ISO 27001 Guide for Canadian Small Businesses. Document disponible seulement en anglais. ISO 27001 Guide For Canadian Small Business
  17. CYBERCREST – Information Security and Compliance Services. ISO 27001 vs SOC 2 Type 2: Key Differences and Which to Choose. Documentation disponible uniquement en anglais. ISO 27001 vs SOC 2: Key Differences & Which to Choose – CyberCrest
  18. GRC Thunders – Governance, Risk and Compliance Solutions Company. SOC 2 vs ISO 27001: Full Comparison Table, Timeline and Cost 2025. Document disponible seulement en anglais. SOC 2 vs ISO 27001 Full Comparison Table, Timeline & Cost 2025

Contributions

Nous souhaitons remercier tout particulièrement le Conseil national de recherches du Canada (CNRC) pour son appui financier, accordé par l’entremise de son Programme d’aide à la recherche industrielle (PARI), un programme qui contribue activement au développement des PME innovantes dans l’ensemble des 10 provinces et des 3 territoires du Canada.

Les PME canadiennes innovantes admissibles peuvent répondre à leurs exigences en cybersécurité en obtenant un soutien financier pour la préparation à la conformité et les audits de certification. Pour en savoir plus sur le PARI du CNRC, veuillez consulter : À propos du Programme d’aide à la recherche industrielle ou communiquez avec votre conseiller en technologies industrielles du PARI du CNRC.

Éditeur-en-chef de l’infolettre :

Alan Bernardi, SSCP, PMP, auditeur principal pour ISO 27001, ISO 27701 et ISO 42001
B.Sc. Informatique et Mathématiques, Université McGill, Canada
Diplôme d’études supérieures en gestion, Université McGill, Canada

Auteur-Amazon USA, informaticien, rédacteur & traducteur professionnel certifié :

Ravi Jay Gunnoo, C.P.W. ISO 24495-1:2023 & C.P.T. ISO 17100:2015
B.Sc. Informatique et Cybersécurité, Université McGill, Canada
B.Sc. & M.A. Traduction Professionnelle, Université de Montréal, Canada

Ce contenu a été préparé au meilleur de nos connaissances. Bien que tous les efforts aient été déployés pour en assurer l’exactitude et la clarté, nous ne pouvons garantir que toutes les informations soient complètes, exemptes d’erreurs ou à jour. Les points de vue et les informations présentés le sont uniquement à des fins générales.

Ce contenu est publié sous licence Creative Commons Attribution (CC BY-NC).

In-Sec-M

283 Boul. Alexandre-Taché Suite F3006,
Gatineau (Québec)
J9A 1L8

info@insecm.ca