Actions requises

À partir du 1er janvier 2023, tous les organismes de certification accrédités adhérant au programme CyberSécuritaire Canada doivent certifier les nouveaux clients conformément aux exigences de la norme CAN/CIOSC 104:2021 Contrôles de cybersécurité de base des petites et moyennes organisations. Cette norme remplace la version 1.2 des Contrôles de cybersécurité de base pour les petites et moyennes organisations du Centre de la sécurité des télécommunications. 

Les organismes concernés seront donc évalués en fonction de leur capacité de vérifier la conformité des clients à la norme CAN/CIOSC 104:2021 lors des prochaines évaluations de réaccréditation. 

Tous les organismes sollicitant une certification ou une recertification devront, dès le 1er janvier 2023, appliquer la norme CAN/CIOSC 104:2021 Contrôles de cybersécurité de base des petites et moyennes organisations.

Les nouvelles règles ne concernent pas immédiatement les clients ayant été certifiés ou ayant entamé les démarches vers la certification avant le 1er janvier 2023. Ils devront s’y conformer avant leur prochaine recertification.  

ISDE, qui encadre le programme CyberSécuritaire Canada, a adopté une procédure de dérogation aux nouvelles exigences. Les organismes de certification peuvent écrire directement à ISDE pour lui demander d’exempter des clients des exigences. 

Clients concernés

Les organismes de certification adhérant au programme CyberSécuritaire Canada. 

Renseignements généraux

En novembre 2021, le Conseil stratégique des DPI et le gouvernement du Canada ont publié la norme nationale CAN/CIOSC 104:2021 pour remplacer la version 1.2 des Contrôles de cybersécurité de base pour les petites et moyennes organisations. La nouvelle norme est consultable ici.

Nouvelles exigences

La norme CAN/CIOSC 104:2021 établit des contrôles de base pour encadrer la cybersécurité des petits et moyens organismes. Elle remplace la version 1.2 des Contrôles de cybersécurité de base pour les petites et moyennes organisations. 

Voici la liste des changements principaux :

Contrôles organisationnels

• Direction (nouveau)
• Responsabilité (nouveau)
• Évaluation des risques de cybersécurité (nouveau)
• Formation pour sensibiliser le personnel en matière de cybersécurité

Contrôles de base

• Plan d'intervention en cas d'incident
• Application automatique de correctifs aux applications et systèmes d'exploitation
• Activation des logiciels de sécurité
• Configuration des appareils pour assurer la sécurité
• Utilisation d'une authentification robuste des utilisateurs
• Sauvegarde et chiffrement des données
• Établissement de défenses de base sur le périmètre
• Contrôle et autorisation de l'accès
• Sécurité des services mobiles
• Sécurité des services infonuagiques et des services de TI externalisés
• Sécurité des sites Web
• Sécurité des supports amovibles
• Systèmes de points de vente et systèmes financiers (nouveau)
• Gestion des journaux de sécurité informatique (nouveau)

Date limite

Le 1er janvier 2023

Des questions?

Pour tout complément d’information, communiquer avec Abdel Kassou, gestionnaire, Service de la conformité et des évaluations (abdel.kassou@ccn.ca ou 1 613 238-3222).