Cybersécurité : pourquoi la certification ne veut rien dire sans une vraie démarche

août 1, 2025
Partager 0
Tweet 0
Pin 0

Introduction : Et si on parlait de la démarche, pas juste de la certification? 

Quand on parle de cybersécurité, on pense souvent à des pare-feux, des mots de passe complexes, des audits techniques… Mais pour nous, chez Amisgest Technologie Inc., c’est bien plus que ça. C’est une démarche humaine, réfléchie et alignée avec nos valeurs

Avant même de penser à obtenir une certification, on s’est posé une question simple mais fondamentale : « Est-ce qu’on fait tout ce qu’on peut pour protéger les données de nos clients? » Et c’est cette réflexion qui nous a menés vers Cybersécuritaire Canada. Pas pour cocher une case, mais pour affirmer haut et fort que la cybersécurité est une priorité, une valeur, et une responsabilité. 

Une première tentative en 2020… freinée par la langue 

En 2020, on avait déjà commencé à mettre en place les mesures nécessaires pour obtenir la certification. On avait fait nos devoirs : politiques internes, sensibilisation du personnel, révision des outils… mais à ce moment-là, aucun auditeur francophone n’était disponible. Et pour nous, faire cette démarche dans notre langue, c’était essentiel. On a donc mis le projet sur pause, sans jamais l’abandonner. 

Le détour par le BNQ… puis l’Ontario 

Entre 2021 et 2024, le Bureau de normalisation du Québec (BNQ) a brièvement offert le service d’audit. On pensait pouvoir enfin avancer, mais malheureusement, ils ont cessé de l’offrir, jugeant que ça s’éloignait de leur mission. Et en 2025, aucune entreprise québécoise n’offre encore aujourd’hui le processus d’audit en français

C’est donc en 2024 qu’on a repris la démarche, cette fois avec une firme de l’Ontario. Oui, c’est un peu ironique… une entreprise 100?% québécoise qui doit aller en Ontario pour faire certifier sa cybersécurité en français. Mais bon, quand on est des gens de principe, on trouve des solutions. 

Certification en cybersécurité : une reconnaissance collaborative 

Dans le cadre d’une initiative collaborative avec le ministère de l’Éducation du Québec (MEQ), la Fédération des centres de services scolaires du Québec (FCSSQ) et l’Association Edteq, Amisgest Technologie a participé à une évaluation des exigences en matière de sécurité de l’information

En réussissant cette évaluation, nous avons non seulement démontré nos bonnes pratiques en cybersécurité, mais également notre engagement envers l’amélioration continue de ces pratiques. Cette reconnaissance vient appuyer notre démarche vers la certification officielle et confirme que nous sommes sur la bonne voie. 

Une réflexion profonde sur les données que nous collectons 

Tout au long de cette démarche, on a eu plusieurs réflexions importantes sur les données que nous collectons , autant à l’interne que dans nos applications. Et on a fait des choix clairs : aucune donnée sur les certificats de naissance, les numéros d’assurance maladie, les numéros d’assurance sociale ou toute autre information sensible qui n’est pas nécessaire à nos opérations n’est conservée. 

Les seules données que nous conservons sont strictement requises pour offrir nos services. Cette approche minimaliste est volontaire, réfléchie et alignée avec notre vision de la cybersécurité : ne pas exposer ce qui n’a pas besoin de l’être

Ce qu’on a mis en place pour se sécuriser 

La certification Cybersécuritaire Canada, soutenue par le gouvernement fédéral, s’adresse principalement aux PME de toutes tailles. Elle repose sur les normes ISO 17021-1, avec une approche plus accessible que pour ISO 27001 et mieux adaptée à notre réalité. 

Pour répondre aux exigences, on a dû : 

  • Mettre en place des politiques internes solides
  • Offrir des formations continues à notre personnel; 
  • Renforcer la sécurité applicative
  • Retirer tous les environnements désuets pour ne garder que des outils à jour; 
  • Revoir la sécurité physique et logique de nos installations; 
  • Et appliquer les bonnes pratiques et contrôles du programme. 

C’est exigeant, mais c’est faisable. Et surtout, c’est une démarche qui nous pousse à nous améliorer constamment. 

Où on en est aujourd’hui 

En 2025, nous avons complété une première étape de l’audit, et nous devrions finaliser très bientôt le processus complet. Ce n’est pas juste une fierté personnelle, c’est une preuve concrète de notre engagement envers la sécurité et la confiance. 

Un appel aux PME québécoises 

Si vous êtes une PME, je vous le dis franchement : faites la démarche. La cybersécurité, ce n’est pas réservé aux grandes entreprises. C’est une responsabilité que nous partageons tous. Et avec des programmes comme Cybersécuritaire Canada, vous pouvez le faire de manière structurée, réaliste et efficace. 

Conclusion : La cybersécurité, c’est une posture, pas une promesse 

Chez Amisgest, on ne prétend pas être invulnérables. Personne ne peut garantir une sécurité sans faille. Mais ce qu’on peut garantir, c’est qu’on est conscients, engagés et proactifs. Et qu’on fait tout ce qui est en notre pouvoir pour protéger les données de ceux qui nous font confiance. 

Et c’est ça, pour nous, la vraie cybersécurité. 

>