Une politique intégrale pour de meilleures pratiques informatiques
Histoire d’une petite entreprise et de sa boîte à outils magique
Il était une fois, sur une île pittoresque et exotique, une petite entreprise composée de personnes sympathiques qui travaillaient fort chaque jour. Au milieu de leurs bureaux se trouvait une boîte à outils magique. Ce n’était pas une boîte à outils ordinaire. Elle contenait tout ce dont l’entreprise avait besoin pour se développer : des ordinateurs portables étincelants, des téléphones intelligents brillants, un câble Internet lumineux les reliant au monde entier et un coffre au trésor rempli d’informations importantes. La boîte à outils magique aidait chacun à donner le meilleur de soi-même, à condition qu’ils en prennent soin.
Règle n° 1 : Utilisez les outils magiques avec sagesse
Les employés de cette petite entreprise pouvaient utiliser les outils magiques pour organiser des données, construire, communiquer, concevoir et produire toutes sortes de choses. Ils pouvaient même s’en servir pour s’amuser un peu, tant que ça ne les empêchait pas d’accomplir leurs tâches principales. Cependant, les outils magiques n’appréciaient pas d’être utilisés à des fins futiles ou dangereuses. Si quelqu’un essayait, ils se mettaient à clignoter et à briller en rouge.
Règle n° 2 : Méfiez-vous des créatures sournoises
À l’extérieur de la petite entreprise rôdaient des créatures sournoises appelées hameçonneurs et logiciels malveillants. Elles se dissimulaient sous des messages amicaux et des boutons brillants. Comme ces créatures sournoises cherchaient à s’infiltrer dans la boîte à outils magique et à semer le trouble, les employés ont appris les leçons suivantes : ne cliquez pas sur les liens hypertextes suspects, n’ouvrez pas les pièces jointes étranges et ne faites pas confiance aux messages provenant d’inconnus.
Règle n° 3 : Protégez vos clés d’or
Chaque employé avait une clé d’or qui ouvrait ses outils. Ces clés étaient uniques. Le gérant de cette petite entreprise avait dit à ses employés : « Ne partagez jamais votre clé d’or. Même pas avec quelqu’un qui semble être aimable et sympathique. » Si quelqu’un perdait sa clé d’or, il devait immédiatement en aviser les Personnes Aidantes désignées afin qu’une nouvelle puisse être fabriquée.
Règle n°4 : Rangez vos trésors au bon endroit
Le coffre au trésor de la petite entreprise contenait des renseignements importants : témoignages de clients et renseignements confidentiels, stratégies secrètes, plans de projets, données financières et plusieurs documents administratifs importants. Il a été dit aux employés : « Gardez les trésors dans le coffre, pas dans vos poches ni chez vous. » Cela signifiait stocker les fichiers uniquement dans les endroits sécuritaires et autorisés, et non dans des appareils personnels ou des serveurs quelconques d’infonuagique.
Règle n° 5 : Demandez de l’aide si quelque chose vous semble étrange
Un jour, alors qu’il travaillait à son poste, un employé consciencieux a remarqué un message violet lumineux qui lui semblait anormal. Au lieu de l’ignorer, il en avisa immédiatement les Personnes Aidantes. Ces dernières se sont précipitées, elles ont vérifié le message et ont protégé la boîte à outils magique d’une intrusion malveillante. La leçon a été retenue par tous : « Si quelque chose vous semble étrange, avertissez sans tarder les Personnes Aidantes. »
Règle n° 6 : Des Personnes Aidantes de confiance veillent sur la boîte à outils magique
Selon les instructions du Chef de la Direction, les Personnes Aidantes honnêtes et de confiance jetaient parfois un coup d’œil à l’intérieur de la boîte à outils magique, non pas pour espionner ou nuire, mais pour assurer la sécurité de tous. Elles vérifiaient notamment la présence d’outils brisés, de créatures anormales et de trésors manquants. Les employés comprenaient que cette surveillance contribuait à la sécurité et à la prospérité de la petite entreprise.
Règle n° 7 : Enfreindre les règles a des conséquences
Il est arrivé à plusieurs reprises que quelqu’un oublie une règle : quelqu’un a partagé sa clé d’or, un autre a apporté un fichier étrange, et un autre encore a rangé des trésors au mauvais endroit. À chaque fois, les Personnes Aidantes ont été forcées de consacrer beaucoup de temps à rectifier la situation, et les employés ont dû réapprendre les règles.
Règle n° 8 : Les règles évoluent avec l’entreprise
Avec la croissance de la petite entreprise, de nouveaux outils sont apparus : l’infonuagique, l’intelligence artificielle et le télétravail. Les Personnes Aidantes ont donc mis à jour les règles afin d’assurer la sécurité de tous dans ce nouvel environnement en constante évolution.
Morale de l’histoire de la petite entreprise et de la boîte à outils magique
La boîte à outils magique permet à la petite entreprise de briller et de réussir, mais seulement si chacun l’utilise avec soin, constance, honnêteté et sagesse. Lorsque les employés respectent scrupuleusement les règles, l’entreprise se développe, les outils restent performants et les personnes mal intentionnées sont tenues à distance.
Application moderne de l’histoire précédente
La plupart des PME ont souvent des difficultés avec les technologies de l’information (TI), car elles ont rarement une équipe de sécurité complète. C’est précisément pourquoi une politique d’utilisation acceptable des TI (PUATI) claire, exhaustive et applicable constitue la pierre angulaire d’une bonne hygiène numérique. Une PUATI est comparable à une boîte à outils magique, comme illustré dans la précédente Histoire d’une petite entreprise et de sa boîte à outils magique. Une PUATI est particulièrement importante pour les PME, car les petites structures sont confrontées aux mêmes risques cybernétiques, juridiques et opérationnels que les grandes entreprises, mais avec moins de ressources, des équipes informatiques réduites et une moindre tolérance aux interruptions.
Pourquoi une Politique d’utilisation acceptable des TI (PUATI) est-elle importante pour les PME? Voici 8 raisons principales :
- Elle protège l’entreprise des cybermenaces.
- Elle établit clairement les attentes en matière de comportement des employés.
- Elle protège les données de l’entreprise et les renseignements des clients.
- Elle garantit le respect des lois et règlements en vigueur.
- Elle réduit les interruptions opérationnelles.
- Elle réduit les risques juridiques et d’atteinte à la réputation.
- Elle favorise le télétravail sécuritaire et l’utilisation des appareils personnels (BYOD).
- Elle sert de base à toutes les autres politiques informatiques et de cybersécurité.
Synthétiquement circonscrit, une PUATI protège les PME des cybermenaces, des risques juridiques, des interruptions opérationnelles et des violations de données en définissant clairement comment les employés doivent utiliser les TI de manière sécuritaire et responsable.
De quoi les PME ont-elles besoin? Toutes les PME ont besoin d’une PUATI qui soit :
- Logique et clairement défini pour que chaque employé puisse le suivre.
- Assez complet pour réduire les risques.
- Assez opérationnel pour modifier les comportements.
- Adapté aux réalités actuelles des PME (priorité à l’infonuagique, télétravail, outils d’IA, BYOD, prolifération des solutions SaaS).
Par conséquent, quelles sont les pratiques informatiques acceptables que les PME peuvent mettre en œuvre au quotidien pour améliorer leurs pratiques numériques? Notre Infolettre sur la cybersécurité (ILCS) a été rédigé avec soin pour répondre à cette question.
Les ressources et références 1 à 12, indiquées à la fin de ce document, ont été consultées, analysées, synthétisées et adaptées méthodiquement pour la rédaction des 10 sections et sous-sections de ce manuscrit sur la cybersécurité.
SECTION I → ÉCHANTILLON SUCCINCT D’UNE POLITIQUE D’UTILISATION DES TI POUR LES PME
Vous trouverez ci-dessous un échantillon d’une Politique d’utilisation des TI (PUATI) adaptée aux PME. Après cet échantillon succinct, nous fournirons des explications plus détaillées sur chaque section.
| POLITIQUE D’UTILISATION ACCEPTABLE DES TI (PUATI)
Échantillon d’une Politique pour une petite et moyenne entreprise (PME) |
| 1. Objectifs
La présente PUATI définit la manière dont les employés, les fournisseurs, les sous-traitants et les partenaires doivent utiliser les ressources et les données informatiques de l’organisation. Ses objectifs sont les suivants :
|
| 2. Portée
Cette Politique s’applique à :
|
| 3. Utilisations acceptables des ressources informatiques |
| 3.1 Responsabilités générales
Les utilisateurs doivent :
Responsabilités de sensibilisation des utilisateurs Les utilisateurs doivent suivre la formation requise de sensibilisation à la sécurité, rester au courant des politiques et des meilleures pratiques pertinentes et les appliquer lorsqu’ils utilisent les ressources informatiques de l’organisation. |
| 3.2 Utilisation des appareils
Autorisé :
Non autorisé :
|
| 3.3 Utilisation du réseau et d’Internet
Autorisé :
Non autorisé : Accéder à du contenu illégal, nuisible ou inapproprié Contourner les mesures de sécurité du réseau Utiliser des serveurs, des points d’accès ou des équipements réseau non autorisés |
| 3.4 Courriel et outils de communication
Autorisé :
Non autorisé :
Politique d’utilisation des médias sociaux Les utilisateurs doivent utiliser les médias sociaux de manière responsable et de manière à protéger la réputation et les renseignements de l’Organisation. Il est interdit de partager des renseignements confidentiels, personnels ou exclusifs sur les plateformes de médias sociaux. Les utilisateurs ne doivent pas publier de contenu trompeur, offensant ou susceptible de nuire à l’Organisation, et toute référence à l’Organisation doit être exacte et appropriée. |
| Clause relative à l’utilisation et au contenu des courriels
Les utilisateurs doivent utiliser les systèmes de messagerie de l’entreprise à des fins professionnelles légitimes et s’assurer que toutes les communications sont professionnelles, exactes et appropriées. Les renseignements confidentiels ou sensibles doivent être traités de manière sécurisée et partagés uniquement avec les destinataires autorisés. Les utilisateurs ne doivent pas envoyer de contenu nuisible, trompeur, offensant ou non autorisé et doivent faire preuve de prudence lors de la manipulation de pièces jointes ou de liens afin de prévenir les risques de sécurité. |
| 3.5 Protection et stockage des données
Les utilisateurs doivent :
Les utilisateurs ne doivent pas :
|
| 3.6 Mots de passe et authentification
Les utilisateurs doivent :
Les utilisateurs ne doivent pas :
Les utilisateurs sont responsables de toutes les activités effectuées avec leurs identifiants et ils doivent signaler immédiatement tout soupçon de compromission de leur compte. |
| 3.7 Outils d’intelligence artificielle (IA)
Autorisé :
Non autorisé :
|
| 3.8 Télétravail et appareils personnels (BYOD)
Télétravail
Appareils personnels (BYOD)
Les utilisateurs doivent :
Les utilisateurs ne doivent pas :
|
| 4. Exigences de cybersécurité |
| 4.1 Signalement des incidents de cybersécurité
Tous les utilisateurs doivent signaler sans délai au service de sécurité informatique tout incident de sécurité, violation ou utilisation abusive, avéré ou suspecté, impliquant les ressources informatiques de l’organisation. Les utilisateurs ne doivent en aucun cas tenter d’enquêter sur l’incident, de le résoudre ou de le divulguer de leur propre initiative, sauf autorisation expresse. Un signalement rapide et précis est essentiel pour assurer une réponse et une atténuation appropriées, ainsi que le respect des obligations légales et organisationnelles. Les utilisateurs doivent signaler immédiatement les problèmes suivants :
|
| 4.2 Surveillance
L’Organisation recueille, utilise et traite les données générées sur ses réseaux et systèmes exclusivement à des fins opérationnelles légitimes. Ces fins comprennent la protection des actifs de cybersécurité de l’entreprise, la protection des données sensibles, l’assurance du rendement du système, la vérification de la présence au travail et la gestion des relations de travail. L’Organisation limite sa collecte de données à ce qui est raisonnable, proportionné et minimalement intrusif pour atteindre ces objectifs. Bien que l’Organisation autorise une utilisation personnelle raisonnable et ponctuelle des systèmes de l’entreprise (à condition qu’elle n’interfère pas avec les fonctions et ne viole pas les protocoles de sécurité), les utilisateurs doivent être conscients que les communications personnelles ou les données transmises via l’infrastructure de l’entreprise sont assujetties aux pratiques de surveillance décrites ci-dessus. Les données recueillies dans le cadre de ces pratiques de surveillance seront conservées, sécurisées et détruites conformément aux politiques de l’Organisation et aux lois applicables en matière de protection de la vie privée. L’accès aux journaux et aux données capturées par la surveillance électronique est strictement limité, selon le principe du « besoin d’en connaître », au personnel autorisé des services de sécurité informatique, des ressources humaines et juridiques. Des mesures de protection internes sont mises en place pour empêcher tout accès interne non autorisé aux données des employés ou leur consultation. Les renseignements obtenus par le biais de la surveillance électronique ne seront utilisés qu’aux fins mentionnées ci-dessus. Ces renseignements peuvent être divulgués à l’interne à des fins disciplinaires ou d’évaluation du rendement, ou à l’externe aux forces de l’ordre, aux services juridiques ou aux organismes de réglementation lorsque cela est strictement nécessaire ou requis par la loi. L’Organisation peut surveiller :
Cette surveillance est effectuée de manière éthique et conformément à la législation en vigueur. |
5. Bureau bien rangé
|
| 6. Écran de verrouillage
6.1 Verrouillez votre écran dès que vous vous éloignez Prévient les accès non autorisés lorsque vous n’êtes pas à votre bureau.
6.2 Activer le verrouillage automatique de l’écran L’appareil se verrouille automatiquement si vous oubliez de le faire manuellement.
6.3 Utilisez une authentification forte pour le déverrouillage. Les méthodes de déverrouillage faibles compromettent l’efficacité de la politique de verrouillage de l’écran.
6.4 Désactivation de la connexion automatique et du démarrage sans mot de passe Cela empêche de contourner complètement l’écran de verrouillage.
6.5 Sécurisation des appareils externes Les appareils non verrouillés peuvent être exploités par des ports non surveillés.
6.6 Verrouillage des sessions à distance et des machines virtuelles Les bureaux à distance demeurent vulnérables s’ils sont laissés ouverts.
6.7 Respectez la procédure de verrouillage de fin de journée. Assurez la sécurité des appareils après les heures de travail.
|
7. Activités interdites (résumé)
|
| 8. Application = Mise en vigueur
Toute violation de la présente politique pourrait entraîner des mesures disciplinaires conformément aux politiques de l’organisation et aux lois applicables. Ces mesures pourraient inclure, sans toutefois s’y limiter, la suspension ou la révocation de l’accès aux actifs, systèmes et ressources informatiques, des avertissements officiels ou toute autre mesure administrative ou judiciaire jugée appropriée. L’Organisation se réserve le droit d’enquêter sur toute violation présumée et de prendre les mesures nécessaires pour protéger ses systèmes, ses données et ses opérations. Les utilisateurs sont tenus de collaborer pleinement à toute enquête relative à d’éventuelles violations de la présente PUATI. Les violations de la présente Politique pourraient entraîner :
|
| 9. Révision de la Politique
Cette Politique sera révisée annuellement ou lorsque :
|
| 10. Imputabilité
Le Directeur des technologies de l’information (DTI) est responsable de la supervision, de la mise en œuvre et du respect de la présente Politique. Il veille à ce que la Politique demeure à jour, soit conforme aux objectifs de l’Organisation et soit communiquée et appliquée efficacement au sein de celle-ci. Pour toute question ou pour signaler une infraction, veuillez communiquer avec le : Responsable de la sécurité informatique [Nom du PME] [Adresse courriel] [Numéro de téléphone] |
| 9. Acceptation des utilisateurs
Tous les utilisateurs doivent confirmer qu’ils : • Ont lu et compris cette PUATI • Ont accepté de se conformer à toutes les exigences • Ont compris les conséquences des violations Je, soussigné, [prénom et nom de famille], confirme par les présentes avoir lu attentivement et bien compris la présente PUATI. De plus, je m’engage à respecter TOUTES les exigences de la présente PUATI et à les appliquer au mieux de ma conscience et de mes capacités professionnelles. Je comprends aussi ENTIÈREMENT TOUTES les conséquences relatives aux violations de cette PUATI. Prénom & Nom de famille Signature de l’utilisateur Date d’acceptation de la Politique |
EXPLICATIONS DÉTAILLÉES pour chaque section de l’échantillon ci-dessus d’une PUATI
Une politique d’utilisation acceptable des technologies de l’information (PITA) pour les PME vise à établir des règles claires concernant l’utilisation des technologies de l’entreprise par les employés, à protéger l’entreprise contre les cyber-risques et les risques juridiques, et à garantir que les ressources informatiques soutiennent, et non entravent, les opérations commerciales.
Les principaux objectifs ci-dessous synthétisent les pratiques pertinentes en matière de gouvernance informatique et d’utilisation acceptable des technologies de l’information au sein des PME.
Cette politique établit les règles d’utilisation acceptable des ressources informatiques au sein de l’organisation. Ses objectifs sont les suivants :
- Protéger les données, les systèmes informatiques et les utilisateurs de l’entreprise
- Assurer une utilisation sécuritaire et responsable des actifs informatiques
- Réduire les risques opérationnels, de cybersécurité, juridiques et de réputation
- Permettre aux employés de travailler efficacement tout en maintenant la sécurité et la conformité
1. Protéger l’entreprise des cybermenaces
Une PUATI garantit que les employés adoptent des comportements sécuritaires (par exemple : éviter les liens suspects, ne pas installer de logiciels non vérifiés), réduisant ainsi les risques de logiciels malveillants, de violations de données et d’interruptions de système.
2. Définir les comportements acceptables et inacceptables
Elle établit des limites claires quant à l’utilisation des appareils, réseaux, courriels, accès Internet et données de l’entreprise par les employés, prévenant ainsi tout abus susceptible de nuire aux opérations ou à la réputation de l’entreprise.
3. Préciser les responsabilités des employés
Les employés comprennent ce qui est attendu d’eux lorsqu’ils utilisent les ressources informatiques, notamment le signalement des incidents de sécurité, la protection des mots de passe et le respect de la propriété intellectuelle.
4. Assurer la conformité aux lois et règlements
La PUATI aide les PME à respecter leurs obligations légales, comme la protection des données, les lois sur la protection de la vie privée et les exigences de conformité propres à leur secteur (par exemple : RGPD, lois canadiennes sur la protection de la vie privée, Loi 25 du Québec, etc.).
5. Protéger les données et les ressources informatiques de l’entreprise
La politique définit les règles de stockage, de transfert et d’accès aux données de l’entreprise, y compris les restrictions relatives à l’utilisation d’appareils personnels (BYOD) et à l’accès à distance.
6. Maintenir la continuité opérationnelle et l’intégrité du système
En prévenant les activités qui dégradent les performances du réseau (par exemple : le visionnage excessif de contenu personnel en continu) ou qui introduisent des vulnérabilités, la politique de sécurité informatique garantit la disponibilité et la fiabilité des systèmes informatiques.
7. Réduire les risques juridiques, financiers et réputationnels
Des règles claires aident à prévenir les actions susceptibles d’exposer la PME à des poursuites, des sanctions réglementaires ou une atteinte à sa réputation, comme le harcèlement, les violations de droits d’auteur ou les fuites de données.
8. Favoriser la préparation à la réponse aux incidents
Les employés savent comment signaler rapidement les activités suspectes ou les violations de données, ce qui permet un confinement plus rapide et limite les dommages.
9. Fournir une base pour une gouvernance informatique plus étendue
Pour de nombreuses PME, la politique de sécurité informatique est la première et la plus essentielle, servant de référence pour les politiques de sécurité, de protection des données, de télétravail et de gestion des appareils.
10. Imputabilité/coordonnées
Pour toute question ou pour signaler une violation, veuillez contacter le Responsable de la sécurité informatique : [Nom de l’entreprise], [Adresse courriel] et [Numéro de téléphone].
FIGURE 1 : Tableau récapitulatif – Objectifs d’une PUATI pour les PME
|
Objectifs |
Pourquoi est-ce important? |
|
Protection en cybersécurité |
Réduit les risques de logiciels malveillants, d’hameçonnage et de violation de données |
|
Lignes directrices comportementales |
Prévient les abus et établit des attentes claires |
|
Responsabilisation des employés |
Garantit une utilisation responsable et cohérente des technologies de l’information |
|
Conformité juridique et réglementaire |
Évite les amendes et les poursuites |
|
Protection des données et des biens |
Protège les renseignements personnels |
|
Continuité opérationnelle |
Assure la stabilité et la disponibilité des systèmes |
|
Réduction des risques |
Minimise les dommages à la réputation et les pertes financières |
|
Préparation à la réponse aux incidents |
Permet un signalement et une réponse rapides |
|
Fondements de la gouvernance informatique |
Compatible avec toutes les autres politiques informatiques |
|
Imputabilité/coordonnées |
Facilite la réponse aux questions et le signalement des infractions |
SECTION II → PORTÉES D’UNE POLITIQUE CONVENABLE DES PROCÉDURES INFORMATIQUES
Une Politique convenable des procédures informatiques (PCPI) pour les PME doit être suffisamment étendue pour couvrir tous les risques opérationnels significatifs, mais suffisamment pratique pour que les petites équipes puissent réellement la suivre.
Vous trouverez ci-dessous les champs d’application abrégés mais structurés qui fonctionnent le mieux pour les PME, c’est-à-dire les domaines essentiels que chaque PCPI doit couvrir pour être considérée comme complète et justifiable.
Principaux domaines d’application d’une PCPI pour les PME
1. Gouvernance et rôles
Définit les responsabilités de chacun.
- Propriété informatique (interne, fournisseur de services gérés, hybride)
- Pouvoir décisionnel concernant les systèmes, les achats et les changements
- Procédures d’escalade des incidents et d’approbation
- Responsabilité en matière de conformité, de documentation et d’audits
2. Gestion des actifs et des stocks
Contrôle de tous les actifs technologiques.
- Cycle de vie du matériel (acquisition → déploiement → élimination)
- Licences logicielles, renouvellements et gestion des versions
- Gestion des appareils mobiles (BYOD vs appareils professionnels)
- Étiquetage, suivi et vérifications périodiques des actifs
3. Contrôle d’accès et gestion des identités
Règles d’accès
- Procédures d’intégration et de désactivation des utilisateurs
- Normes relatives aux mots de passe et exigences en matière d’authentification multifactorielle (MFA)
- Gestion des accès privilégiés (administrateurs, comptes de service)
- Contrôle des accès à distance et des VPN
4. Gestion et protection des données
Assure la sécurité et la cohérence du traitement des données.
- Classification des données (publiques, internes, confidentielles)
- Règles de conservation et de suppression des données
- Planification des sauvegardes, emplacements de stockage et tests de restauration
- Exigences de chiffrement (au repos, en transit)
5. Cybersécurité et protection contre les menaces
Niveaux de sécurité de base
- Déploiement et surveillance des solutions antivirus/EDR
- Gestion des correctifs pour le système d’exploitation, les applications et les microprogrammes
- Normes de pare-feu et de segmentation du réseau
- Sécurité du courriel (filtres anti-hameçonnage, DMARC/SPF/DKIM)
- Risques relatifs à l’IA (utilisation abusive des modèles, fuites de données, IA fantôme)
6. Utilisation acceptable des technologies de l’information
- Définition des actions permises et interdites aux employés
- Utilisation d’Internet et du courriel
- Utilisation d’appareils personnels
- Activités interdites (téléchargement via torrenting, logiciels non autorisés)
- Restrictions relatives aux médias sociaux et aux applications infonuagiques
7. Procédures d’intervention en cas d’incident
Étapes claires pour la gestion des incidents informatiques et de sécurité.
- Détection, signalement et triage
- Mesures de confinement et de rétablissement
- Protocoles de communication (internes, externes)
- Analyse et documentation post-incident
8. Gestion des changements
- Contrôles pour prévenir les interruptions accidentelles ou les failles de sécurité.
- Processus d’approbation des modifications du système
- Procédures de test et de restauration
- Fenêtres de maintenance planifiées
- Documentation des modifications
9. Continuité des activités et reprise après cyber-incident
Assure la continuité des opérations en cas de perturbation.
- Définitions des objectifs de temps de reprise (RTO) et de point de reprise (RPO) pour les systèmes critiques
- Critères d’activation du plan de reprise après sinistre
- Procédures de basculement vers un site de secours ou le nuage
- Essais périodiques de reprise après cyber-incident
10. Gestion des fournisseurs et des tiers
Protège la PME des risques reliés à la chaîne d’approvisionnement.
- Évaluations des risques relatifs aux fournisseurs
- Exigences de sécurité contractuelles
- Surveillance des fournisseurs de services gérés (MSP), des fournisseurs SaaS et des services infonuagiques
- Désengagement sécurisé des fournisseurs
11. Sécurité physique
Souvent négligée, mais essentielle.
- Contrôle d’accès à la salle des serveurs
- Pratiques de sécurité des postes de travail
- Gestion des visiteurs
- Contrôles environnementaux (température, protection incendie)
12. Conformité et exigences légales
Assure la conformité aux lois et aux normes de l’industrie.
- Lois sur la protection des données (LPRPDE, Loi 25 du Québec, RGPD, le cas échéant)
- Exigences sectorielles (santé, finances, défense)
- Exigences en matière de journalisation et d’audit
- Conservation des preuves pour les enquêtes
13. Formation et sensibilisation
Le facteur humain dans la protection des données et des actifs.
- Formation obligatoire en intégration
- Formations annuelles de recyclage en cybersécurité
- Simulations d’hameçonnage
- Formation sur la sécurité de l’IA et la gestion des données
SECTION III → PRINCIPES DIRECTEURS D’UNE POLITIQUE INFORMATIQUE APPLICABLE
Les Principes directeurs d’une politique informatique applicable (PDPIA) constituent les fondements qui sous-tendent toute politique informatique, indépendamment de la taille, du secteur ou du niveau de maturité de la PME. Ils représentent le cadre de référence de l’ensemble des procédures, des contrôles et des normes.
1. Sécurité dès la conception
Chaque système, processus et décision doit privilégier la confidentialité, l’intégrité et la disponibilité des informations. La sécurité n’est pas un ajout, elle est intégrée dès le départ.
2. Principe du moindre privilège et du besoin d’en connaître
Les utilisateurs ne reçoivent que les accès minimaux nécessaires à l’exercice de leurs fonctions. Cela réduit les risques internes, les utilisations abusives accidentelles et la surface d’attaque.
3. Normalisation et cohérence
Les opérations informatiques suivent des procédures documentées et reproductibles. La cohérence réduit les erreurs, améliore la fiabilité et favorise la conformité.
4. Responsabilité et traçabilité
Chaque action doit être attribuable à une personne ou à un système. Les pistes d’audit, les journaux et les approbations assurent la transparence et la responsabilité.
5. Protection et confidentialité des données
Toutes les données sont traitées conformément à leur classification et aux exigences légales. Cela inclut la conservation, le chiffrement, le partage sécurisé et le traitement licite.
6. Fiabilité et continuité des activités
Les systèmes doivent être conçus et exploités de manière à minimiser les interruptions de service. Les sauvegardes, la redondance et les plans de reprise des activités assurent la résilience.
7. Responsabilisation et sensibilisation des utilisateurs
Les utilisateurs constituent la première ligne de défense. La formation, une communication claire et des politiques accessibles favorisent des comportements sécuritaires.
8. Responsabilité des fournisseurs et des tiers
Les fournisseurs externes doivent respecter les mêmes normes de sécurité et d’exploitation que les équipes internes. Les risques liés à la chaîne d’approvisionnement sont gérés de manière proactive.
9. Maîtrise des changements et sensibilisation à leur impact
Les modifications apportées aux systèmes doivent être évaluées, approuvées, testées et documentées. Cela permet d’éviter les pannes, les conflits et les failles de sécurité.
10. Amélioration continuelle
Les politiques évoluent en fonction :
- Des nouvelles menaces
- Des nouvelles technologies
- De la croissance de l’entreprise
- Des changements réglementaires
La gouvernance informatique est un cadre vivant et non un document statique.
11. Utilisation éthique et responsable des technologies
Les technologies doivent être utilisées de manière à :
- Respecter la vie privée
- Éviter tout préjudice
- Assurer l’équité
- Prévenir les utilisations abusives (y compris les risques relatifs à l’IA)
Ce principe est de plus en plus crucial pour les PME qui adoptent des outils d’IA.
12. Rentabilité et faisabilité
Les contrôles doivent être proportionnels à la taille, au profil de risque et aux ressources de la PME. Les politiques doivent être réalistes, applicables et alignées sur les objectifs commerciaux.
SECTION IV → EXIGENCES D’UTILISATION DES TECHNOLOGIES APPROPRIÉES DES TI POUR 8 OPÉRATIONS INFORMATIQUES SPÉCIFIQUES
1. Utilisation des appareils
Les employés doivent :
- Utiliser les appareils de l’entreprise principalement à des fins professionnelles
- Maintenir les systèmes à jour (système d’exploitation, applications, correctifs de sécurité)
- Activer le chiffrement complet du disque lorsque possible
- Verrouiller l’écran en cas d’absence
- Signaler immédiatement toute perte ou vol d’appareil
INTERDICTIONS :
- Installer des logiciels non autorisés
- Désactiver l’antivirus, l’EDR ou les contrôles de sécurité
- Débrider ou rooter les appareils
- Utiliser des logiciels piratés ou sans licence
2. Utilisation du réseau et d’Internet
Les employés doivent :
- Utiliser des réseaux sécurisés (VPN requis sur les réseaux Wi-Fi publics)
- Accéder uniquement aux services infonuagiques approuvés
- Respecter les règles de classification des données lors de la transmission de renseignements
INTERDICTIONS :
- Accéder à du contenu illégal, nuisible ou inapproprié
- Contourner les pares-feux, les filtres ou les systèmes de surveillance
- Utiliser des serveurs, des points d’accès ou des équipements réseau non autorisés
3. Courriel et outils de communication
Les employés doivent :
- Utiliser la messagerie professionnelle pour les communications professionnelles
- Vérifier l’identité de l’expéditeur avant d’ouvrir les pièces jointes ou de cliquer sur les liens
- Utiliser les outils de messagerie et de collaboration approuvés pour le travail
INTERDICTIONS :
- Utiliser sa messagerie personnelle pour les affaires de l’entreprise
- Envoyer des données sensibles sans chiffrement
- Usurper l’identité d’autrui ou présenter l’organisation de manière trompeuse
4. Gestion et stockage des données
Les employés doivent :
- Stocker les données uniquement dans les emplacements autorisés (SharePoint, OneDrive, Teams, SaaS approuvés)
- Respecter les règles de conservation et de suppression des données
- Classer les données (publiques, internes, confidentielles, à accès restreint)
- Utiliser l’authentification multifactorielle (MFA) pour tous les services infonuagiques
INTERDICTIONS :
- Copier les données de l’entreprise sur des disques personnels ou des clés USB
- Partager des données confidentielles avec des personnes non autorisées
- Téléverser des données sensibles vers des outils d’IA ou des applications infonuagiques non approuvés
5. Mots de passe et authentification
Les employés doivent :
- Utiliser des mots de passe robustes et uniques
- Activer l’authentification multi-facteur (MFA) lorsque possible
- Utiliser un gestionnaire de mots de passe approuvé par l’entreprise
INTERDICTIONS :
- Partager ses mots de passe
- Réutiliser les mêmes mots de passe dans différents systèmes
- Stocker ses mots de passe dans les navigateurs, les notes ou des fichiers non chiffrés
6. Utilisation des logiciels et des applications
Obligation des employés :
- Utiliser uniquement les applications approuvées
- Demander l’approbation du service des TI avant d’adopter de nouveaux outils SaaS
- Assurer la conformité des permis
INTERDICTIONS :
- Informatique parallèle (logiciels SaaS non approuvés, outils d’IA, applications de partage de fichiers)
- Téléchargement de logiciels provenant de sources non fiables
7. Outils d’intelligence artificielle (IA)
Obligation des employés :
- Utiliser uniquement les systèmes d’IA approuvés
- Éviter de saisir des données confidentielles, personnelles ou exclusives dans des outils d’IA publics
- Valider les résultats générés par l’IA avant utilisation
INTERDICTIONS :
- Utiliser l’IA pour générer du contenu trompeur, discriminatoire ou nuisible
- Automatiser les décisions ayant un impact sur les personnes (embauche, licenciement, crédit, tarification) sans supervision humaine
8. Télétravail et BYOD
Obligation des employés :
- Sécuriser leurs appareils personnels avec des mots de passe, le chiffrement et un antivirus
- Garder leurs appareils personnels à jour
- Utiliser un VPN pour l’accès à distance
- Séparer les données personnelles et professionnelles
INTERDICTIONS :
- Permettre aux membres de la famille ou aux amis d’utiliser des appareils contenant des données de l’entreprise
- Stocker des données de l’entreprise dans des comptes infonuagiques personnels
SECTION V → OBLIGATIONS DE CYBERSÉCURITÉ RELATIVES À LA POLITIQUE D’UTILISATION DES TECHNOLOGIES DE L’INFORMATION
Résumées ci-dessous, les Obligations de cybersécurité relatives à la politique d’utilisation des technologies de l’information (OCPUTI) définissent les obligations de l’organisation et les règles auxquelles les employés doivent se conformer afin d’assurer la sécurité des systèmes et infrastructures informatiques, la protection des données et la résilience des opérations.
1. Protection des données de l’entreprise
Les employés doivent protéger tous les renseignements de l’entreprise (numériques ou physiques) contre tout accès, divulgation, altération ou perte non autorisés. Cela inclut :
- Le traitement des données selon leur niveau de classification
- L’utilisation exclusive d’emplacements de stockage approuvés (aucun stockage infonuagique personnel)
- Le chiffrement des données sensibles lors de leur stockage ou de leur transmission
- Le signalement immédiat de tout soupçon de fuite de données
2. Utilisation sécuritaire des appareils
Tous les appareils utilisés à des fins professionnelles (appareils professionnels ou personnels) doivent respecter les exigences de sécurité suivantes :
- Mot de passe/NIP obligatoire et verrouillage automatique de l’écran
- Logiciel antivirus/EDR à jour, installé et actif
- Système d’exploitation et applications mis à jour
- Interdiction d’installer des logiciels non approuvés ou piratés
- Tout appareil perdu ou volé doit être signalé dans un délai d’une heure
3. Conformité à la gestion des identités et des accès
Les utilisateurs doivent respecter des règles strictes de contrôle d’accès :
- Utilisation d’identificateurs uniques; Le partage de mots de passe est interdit.
- Activez et utilisez l’authentification multifactorielle (MFA) lorsque requis.
- Accédez uniquement aux systèmes nécessaires à l’exercice de vos fonctions.
- Signalez immédiatement tout accès non autorisé ou toute activité de connexion suspecte.
- Suivez les procédures de départ appropriées en cas de changement de rôle.
4. Utilisation sécuritaire des courriels, d’Internet et des outils de communication
Les employés doivent utiliser les canaux de communication de manière responsable et sécuritaire :
- Ne pas ouvrir les hyperliens ou les pièces jointes suspects.
- Vérifier l’identité de l’expéditeur avant de partager des renseignements sensibles.
- Utiliser les outils de communication approuvés par l’entreprise pour les communications professionnelles.
- Éviter d’accéder à des sites Web à risque ou de télécharger des fichiers non fiables.
- Signaler immédiatement toute tentative d’hameçonnage.
5. Obligations de signalement des incidents
Tous les employés doivent signaler rapidement :
- Les incidents de sécurité.
- Infections par des logiciels malveillants.
- Les tentatives d’hameçonnage.
- Les accès non autorisés.
- Les pertes ou la corruption de données.
- Les mauvais fonctionnements du système pouvant indiquer une compromission.
Les signalements doivent être effectués immédiatement, et non « à un moment opportun ».
6. Respect des règles d’utilisation acceptables
Les utilisateurs doivent respecter la politique d’utilisation acceptable de l’organisation, notamment :
- Interdiction de toute utilisation personnelle présentant un risque
- Prohibition de contourner les contrôles de sécurité (VPN, pare-feu, filtres)
- Interdiction d’utiliser des applications infonuagiques non autorisées (« informatique fantôme »)
- Prohibition de modifier les journaux, les outils de surveillance ou les paramètres de sécurité
7. Protection des identifiants et des facteurs d’authentification
Les employés doivent :
- Assurer la confidentialité de leurs mots de passe
- Utiliser des mots de passe forts et uniques
- Changer leurs mots de passe en cas de suspicion de compromis
- Protéger les jetons d’authentification multi-facteur (MFA), les authentificateurs mobiles et les clés de sécurité
8. Utilisation responsable des outils d’IA et d’automatisation
Les employés doivent :
- Éviter de saisir des données confidentielles ou personnelles dans des outils d’IA publics
- Utiliser uniquement les systèmes d’IA approuvés pour les opérations commerciales
- Suivre les directives pour prévenir les fuites de données, les erreurs dues à des hallucinations et l’automatisation non autorisée
- Signaler toute anomalie ou utilisation abusive reliée à l’IA
9. Obligations en matière de sécurité physique
Les employés doivent :
- Sécuriser leurs postes de travail lorsqu’ils sont sans surveillance
- Protéger leurs badges et clés d’accès
- Empêcher tout accès non autorisé Empêcher l’accès aux zones restreintes
- Appliquer les pratiques de bureau bien rangé pour les documents confidentiels
10. Conformité aux exigences légales, réglementaires et contractuelles
Les employés doivent respecter toutes les obligations applicables, notamment :
- Lois sur la protection des renseignements personnels (LPRPDE, Loi 25 du Québec, RGPD, le cas échéant)
- Règlements propres à chaque secteur (santé, finances, défense)
- Clauses contractuelles de cybersécurité avec les clients ou les partenaires
- Exigences en matière de conservation des preuves et d’audit
11. Participation à la formation de sensibilisation à la sécurité
Tous les employés doivent :
- Suivre la formation obligatoire en cybersécurité
- Participer aux simulations d’hameçonnage
- Se tenir au courant des nouvelles menaces et des politiques mises à jour
- Appliquer les bonnes pratiques acquises dans leur travail quotidien
12. Collaboration avec les équipes TI et de sécurité
Les employés doivent :
- Suivre les instructions lors d’incidents de sécurité
- Soutenir les enquêtes en fournissant des renseignements exacts
- Autoriser les TI à installer les outils de sécurité requis
- Éviter d’interférer avec les systèmes de surveillance, de journalisation ou de protection
SECTION VI → LISTE DE CONTRÔLE DES EXIGENCES ACCEPTABLES EN MATIÈRE DE POLITIQUE D’UTILISATION DES TI
| Conformité accomplie (✓) | Liste de contrôle des exigences acceptables reliées à une PUATI |
1. Fondements de la Politique
|
|
2. Sécurité technique de base
|
|
3. Contrôles d’accès et d’identité
|
|
4. Contrôles d’utilisation acceptables
|
|
5. Formation et sensibilisation des employés
|
|
6. Surveillance et conformité
|
|
7. Signalement et réponse aux incidents
|
|
8. Cadre de contrôle/mise en vigueur
|
|
9. Conformité des fournisseurs et des tiers
|
|
10. Cycle de révision et de mise à jour
|
Conclusion
L’avenir des Politiques d’utilisation acceptable des TI (PUATI) pour les PME s’oriente vers l’automatisation de la gouvernance, les contrôles pilotés par l’IA, la conformité continuelle et une intégration plus étroite aux cadres de cybersécurité. La PUATI n’est plus un simple document de règles; elle devient un système de gouvernance évolutif qui s’adapte aux menaces, aux outils et à la réglementation. Vous trouverez ci-dessous une perspective structurée et prospective de l’évolution de la PUATI au cours des 3 à 5 prochaines années, adaptée aux PME canadiennes et aux environnements réglementaires similaires.
L’AVENIR DES PUATI POUR LES PME (2026-2030)
1. Gouvernance axée sur l’IA et application automatisée
La PUATI passera de documents statiques à des systèmes d’application dynamiques assistés par l’IA.
- L’IA surveillera la conformité aux politiques en temps réel (par exemple : blocage des téléchargements risqués vers les outils d’IA).
- Des alertes automatisées informeront les TI en cas de violation des règlements par les employés.
- Les politiques comprendront des clauses spécifiques à l’IA qui définissent :
- Quelles données peuvent être utilisées dans l’IA générative
- Quand une vérification humaine est obligatoire
- Comment le contenu généré par l’IA doit être validé
- Les PME adopteront des règles de « prévention de l’IA fantôme » semblables aux contrôles actuels du Shadow IT.
POURQUOI EST-CE IMPORTANT? L’utilisation abusive de l’IA devient une cause majeure de fuites de données.
2. Le principe de confiance zéro comme fondement par défaut des politiques
La PUATI intégrera les principes de confiance zéro comme règles de fonctionnement standard.
- Vérification continue
- Contrôle de l’état des appareils avant accès
- Contrôle d’accès basé sur l’identité
- Aucune confiance implicite envers les réseaux internes
Les politiques stipuleront explicitement que tout accès est conditionnel, même pour les employés.
POURQUOI EST-CE IMPORTANT? Les PME sont aujourd’hui des cibles de choix pour les attaques par vol d’identifiants.
3. BYOD 2.0 — Appareils personnels avec contrôles de niveau entreprise
La prochaine génération de politiques BYOD exigera :
- L’inscription obligatoire à MDM/Intune
- Le chiffrement obligatoire
- Les profils professionnels/personnels segmentés
- La possibilité d’effacement à distance
La PUATI inclura également des clauses de transparence en matière de confidentialité expliquant ce que le service informatique peut et ne peut pas voir sur les appareils personnels.
POURQUOI EST-CE IMPORTANT? Le travail hybride est devenu la norme et les employés s’attendent à de la flexibilité.
4. Les politiques d’utilisation infonuagique deviendront des outils de maîtrise des coûts
La PUATI évoluera pour inclure la responsabilité des coûts relatifs à l’infonuagique.
- Règles pour une utilisation responsable du stockage dans l’infonuagique
- Restrictions sur le déploiement d’outils SaaS non approuvés
- Alertes de coûts automatisées liées aux violations de la politique
POURQUOI EST-CE IMPORTANT? Le gaspillage relatif à l’infonuagique représente maintenant l’une des principales dépenses cachées des PME.
5. Souveraineté des données et exigences de protection de la vie privée dès la conception
L’avenir des PUATI intégrera directement les cadres de protection de la vie privée dans ses opérations quotidiennes.
- Classification obligatoire des données avant leur partage
- Restrictions sur l’exportation de données à l’extérieur du Canada
- Règles automatisées de conservation et de suppression
- Exigences de consentement explicite pour le traitement assisté par l’IA
POURQUOI EST-CE IMPORTANT? Les PME canadiennes font l’objet d’une surveillance croissante en vertu des lois sur la protection de la vie privée.
6. Intégration aux cadres de cybersécurité (NIST, ISO, CyberSecure Canada, etc.)
La PUATI ne sera plus un outil isolé : elle sera directement alignée avec :
- Le NIST CSF 2.0
- Les contrôles de la norme ISO 27001
- Les exigences de certification de CyberSecure Canada
Le PUATI devient ainsi un outil de conformité, et non plus un simple document RH.
POURQUOI EST-CE IMPORTANT? De plus en plus de PME doivent prouver leur maturité en matière de cybersécurité pour remporter des contrats.
7. Gestion des risques humains et surveillance comportementale
La PUATI intégrera l’évaluation des risques humains et l’analyse comportementale.
- Détection des comportements à risque des utilisateurs (par exemple : clics répétés sur des sites d’hameçonnage)
- Micro-formations obligatoires déclenchées par les violations
- Accès hiérarchisé en fonction du niveau de risque de l’utilisateur
POURQUOI EST-CE IMPORTANT? L’erreur humaine demeure la principale cause de violations des données.
8. Mise à jour continuelle des politiques et automatisation continuelle des versions
La PUATI deviendra un document évolutif, mis à jour trimestriellement ou automatiquement.
- L’IA proposera des mises à jour des politiques en fonction des nouvelles menaces.
- Les PME adopteront des modèles de « politique en tant que code ».
- Les employés reconnaîtront les mises à jour numériquement, avec des pistes d’audit.
POURQUOI EST-CE IMPORTANT? Les menaces évoluent trop rapidement pour des révisions annuelles des politiques.
9. Variantes des PUATI spécifiques à chaque secteur
Les PME adopteront des modules de PUATI spécifiques à leur secteur, notamment :
- La santé (règles de gestion des données de santé protégées)
- Les finances (surveillance des transactions, pistes d’audit)
- La production (séparation OT/TI)
- Le services professionnels (clauses de confidentialité des clients)
POURQUOI EST-CE IMPORANT? Les politiques uniformes ne répondent plus aux exigences réglementaires.
10. Intégration de la gestion des incidents
Dans l’avenir, la PUATI intégrera les responsabilités des employés en matière de gestion des incidents.
- Que faire en cas de perte d’un appareil?
- Comment signaler un comportement suspect de l’IA?
- Délais de signalement obligatoires
- Procédures d’escalade
POURQUOI EST-CE IMPORTANT? Un signalement plus rapide = des violations de données moins importantes.
Ressources et références
- U.S. National Institute of Standards and Technology (NIST) – Computer Security Resource Center (CSRC). NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. 1st Edition, NIST Publication, 2023, 492 pages. Hyperlien 1: Amazon.com: NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations: 9798425754639: NIST: Books Hyperlien 2: SP 800-53 Rev. 5, Security and Privacy Controls for Information Systems and Organizations | CSRC *
- Gouvernement du Canada. Comment le gouvernement fonctionne. Politiques, directives, normes et lignes directrices. Ligne directrice sur l’utilisation acceptable des dispositifs et des réseaux. Ligne directrice sur l’utilisation acceptable des dispositifs et des réseaux
- Gouvernement du Canada – Conseil du Trésor du Canada. Politique relative à l’utilisation acceptable du réseau et des appareils. Hyperlien 1: Policy on acceptable network and device use . : BT22-144/2014E-PDF – Publications du gouvernement du Canada – Canada.ca Hyperlien 2: Ligne directrice sur l’utilisation acceptable des dispositifs et des réseaux
- Douglas J. Landoll. Information Security Policies, Procedures, and Standards: A Practitioner’s Reference. 2nd Edition, Taylor & Francis Group, 2023, 254 pages. Information Security Policies, Procedures, and Standards | A Practitioner’s Reference *
- Robert Johnson & Chuck Easttom, Ph.D., D.Sc., M.Ed. Security Policies and Implementation Issues. 3rd Edition, Jones & Bartlett Learning Inc., 2024, 476 pages. Security Policies and Implementation Issues: 9781284199840 *
- Michael Wallace & Lawrence J. Webber. IT Governance: Policies and Procedures. 2026 Edition, Wolters Kluwer Law & Business, 1546 pages. Hyperlink 1: IT Governance: Policies & Procedures, 2026 Edition | Wolters Kluwer Legal & Regulatory Hyperlink 2: Amazon.com: It Governance: Policies and Procedures, 2024 Edition: 9781543880014: Michael Wallace, Lawrence J Webber: Books *
- Anastasios Papathanasiou et al. Cybersecurity Guide for SMEs: Protecting Small and Medium-Sized Enterprises in the Digital Era. Scientific Research Publishing, Journal of Information Security, 2025, Volume 16 (1), pages 1-43. Cybersecurity Guide for SMEs: Protecting Small and Medium-Sized Enterprises in the Digital Era *
- SANS Institute. Cybersecurity/Information Technology Security Policies and Standards. Hyperlink 1: Cybersecurity Policies and Standards | SANS Institute Hyperlink 2: NCSR-SANS-Policy-Templates.pdf *
- U.S.A. Center for Internet Security (CIS). Multi-State Information Sharing and Analysis Center (MS-ISAC). NIST Cybersecurity Framework: SANS Policy Templates. NCSR-SANS-Policy-Templates.pdf *
- Steve Mummery. LinkedIn Corporation Article 2025: Employment-Oriented Social Networking Service. IT Policy Every SME Should Have… (And Why They Matter!). IT Policies every SME should have (and why they matter!) *
- Ethan Andrew, Sultan Ibrahim Aletein & Michelle Vivian. The Future of Digital Transformation in SMEs: Trends, Opportunities, and Policy Implications for 2030. ResearchGate Publishing. The Future of Digital Transformation in SMEs: Trends, Opportunities, and Policy Implications for 2030 | Request PDF *
- Fédération canadienne des entreprises indépendantes (FCEI). Parcours de transformation numérique des PME à l’horizon 2025 : Comment les PME canadiennes exploitent l’IA et les technologies pour stimuler leur croissance et leur productivité. Document technique de 27 pages avec Annexe et Méthodologie. Parcours de transformation numérique des PME à l’horizon 2025 rapport-FR-2025 1.pdf
Contributions
Nous souhaitons remercier tout particulièrement le Conseil national de recherches du Canada (CNRC) pour son appui financier, accordé par l’entremise de son Programme d’aide à la recherche industrielle (PARI), un programme qui contribue activement au développement des PME innovantes dans l’ensemble des 10 provinces et des 3 territoires du Canada.
Les PME canadiennes innovantes admissibles peuvent répondre à leurs exigences en cybersécurité en obtenant un soutien financier pour la préparation à la conformité et les audits de certification. Pour en savoir plus sur le PARI du CNRC, veuillez consulter : À propos du Programme d’aide à la recherche industrielle ou communiquez avec votre conseiller en technologies industrielles du PARI du CNRC.
Éditeur-en-chef de l’infolettre :
Alan Bernardi, SSCP, PMP, auditeur principal pour ISO 27001, ISO 27701 et ISO 42001
B.Sc. Informatique et Mathématiques, Université McGill, Canada
Diplôme d’études supérieures en gestion, Université McGill, Canada
Auteur-Amazon USA, informaticien, rédacteur & traducteur professionnel certifié :
Ravi Jay Gunnoo, C.P.W. ISO 24495-1:2023 & C.P.T. ISO 17100:2015
B.Sc. Informatique et Cybersécurité, Université McGill, Canada
B.Sc. & M.A. Traduction Professionnelle, Université de Montréal, Canada
Ce contenu a été préparé au meilleur de nos connaissances. Bien que tous les efforts aient été déployés pour en assurer l’exactitude et la clarté, nous ne pouvons garantir que toutes les informations soient complètes, exemptes d’erreurs ou à jour. Les points de vue et les informations présentés le sont uniquement à des fins générales.
Ce contenu est publié sous licence Creative Commons Attribution (CC BY-NC).
