Référentiels clés : NIST, ISO, Loi 25 — Sensibilisation Essentielle

Objectifs d'apprentissage

NIST CSF et ISO 27001 : complémentaires, pas concurrents
Loi 25, PCI-DSS, SOC 2 : obligations spécifiques
Choisir le bon référentiel selon le contexte

NIST CSF et ISO 27001 : complémentaires, pas concurrents

Le NIST Cybersecurity Framework (CSF 2.0) est un cadre américain gratuit, orienté résultat, organisé en 6 fonctions : Gouverner, Identifier, Protéger, Détecter, Répondre, Récupérer. ISO 27001 est une norme internationale certifiable, plus prescriptive, couvrant 93 contrôles. Les deux peuvent coexister : NIST CSF pour la stratégie, ISO 27001 pour la certification.

🔔 À retenir : 🔔 Au Canada, le CCCS recommande le NIST CSF comme cadre de référence pour les PME. ISO 27001 est plutôt demandée par les grandes entreprises ou les marchés européens.

Loi 25, PCI-DSS, SOC 2 : obligations spécifiques

La Loi 25 (Québec) impose depuis 2023 : évaluation des facteurs relatifs à la vie privée, déclaration des incidents dans les 72h, politiques de conservation et destruction, registre des fournisseurs. PCI-DSS v4 (paiement) exige 12 exigences techniques strictes. SOC 2 (cloud, SaaS) couvre sécurité, disponibilité, confidentialité, intégrité des traitements.

⚠ Attention : ⚠ La non-conformité à la Loi 25 peut entraîner des sanctions de la CAI jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial. Ne pas traiter la conformité comme optionnelle.

Choisir le bon référentiel selon le contexte

PME générale au Québec : commencer par Loi 25 + CIS IG1 + NIST CSF. Fournisseur de services cloud : viser SOC 2 Type II. Partenaire de paiement : PCI-DSS obligatoire. Entreprise avec clients européens : RGPD. Partenaire du gouvernement fédéral canadien : ITSG-33 (CCCS). Choisir en fonction des exigences contractuelles et réglementaires, pas de la renommée du référentiel.

✓ Bonne pratique : ✓ Un tableau de correspondance entre référentiels (NIST-ISO-CIS) permet d'éviter de travailler deux fois le même contrôle. CIS publie des mappings gratuits sur cisecurity.org.

Checklist pratique

Je peux expliquer la différence entre NIST CSF et ISO 27001

Je connais les obligations de la Loi 25 applicables à mon organisation

Je sais choisir le bon référentiel selon le contexte (secteur, clients, région)

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

NIST CSF : cadre stratégique gratuit, 6 fonctions (Gouverner, Identifier, Protéger, Détecter, Répondre, Récupérer)
ISO 27001 : certification internationale, 93 contrôles, adaptée aux marchés exigeants
Loi 25 : obligations dès 2023 pour toute organisation au Québec traitant des données personnelles
Choisir le référentiel selon les exigences contractuelles et réglementaires réelles

Pour aller plus loin — Loi 25

Ce module positionne la Loi 25 parmi les référentiels. Notre guide dédié (15 chapitres) couvre les obligations concrètes, gabarits RPRP/ÉFVP et plan de conformité 90j/6m/12m.

📜 Obligations → 📋 Plan 90j → 🛠️ Gabarits →

Guide Loi 25 →