Conformité · Gatineau & Ottawa

Conformité en cybersécurité pour les entreprises de Gatineau et d’Ottawa

SOC 2, ISO 27001, NIST CSF 2.0 et la Loi 25 du Québec — devenez prêt pour l’audit et réussissez les exigences de vos clients et assureurs. Nous jumelons l’accompagnement pratique à l’automatisation de la conformité (Drata) pour une préparation plus rapide et une surveillance continue. Mené en français comme en anglais.

Les cadres que nous couvrons

La conformité, traduite en gestes concrets

SOC 2

L’attestation que vos clients et prospects exigent. Nous vous menons de l’analyse d’écarts à la préparation complète de l’audit : choix des bons critères des services de confiance (sécurité, disponibilité, confidentialité et autres), rédaction des politiques, mise en place des contrôles et constitution des preuves — puis nous vous accompagnons auprès de votre auditeur CPA, pour le Type I comme pour le Type II.

ISO 27001

La norme internationale pour un système de gestion de la sécurité de l’information (SGSI). Nous vous aidons à définir la portée du SGSI, à mener l’appréciation et le plan de traitement des risques, à bâtir la déclaration d’applicabilité selon l’annexe A et à préparer vos équipes aux audits de certification (étapes 1 et 2) — un titre qui ouvre des portes auprès des grands comptes et des clients internationaux.

NIST CSF 2.0

Une évaluation de maturité concrète selon les six fonctions du cadre NIST — Gouverner, Identifier, Protéger, Détecter, Répondre et Rétablir. Vous obtenez un portrait clair de votre situation, une feuille de route priorisée indiquant quoi corriger et dans quel ordre, ainsi qu’un langage commun pour rendre compte de votre posture de sécurité à votre direction et à votre conseil.

Loi 25 (Québec)

La loi québécoise sur la protection des renseignements personnels impose de véritables obligations — et de véritables sanctions. Nous vous aidons à désigner et à épauler votre responsable de la protection des renseignements personnels, à cartographier vos flux de données, à réaliser vos évaluations des facteurs relatifs à la vie privée (EFVP), à resserrer le consentement et la conservation, et à mettre en place un processus de réponse aux incidents de confidentialité — le tout mené en français, par une firme qui connaît la réalité québécoise.

Automatisation de la conformité avec Drata

Nous utilisons Drata, une plateforme d’automatisation de la conformité, pour éliminer le travail manuel de la préparation aux audits. Elle se connecte à votre environnement infonuagique et à vos applications SaaS pour collecter les preuves automatiquement, surveille vos contrôles en continu au regard de SOC 2, d’ISO 27001 et du cadre NIST, et signale tout écart dès qu’il survient — vous atteignez ainsi l’état « prêt pour l’audit » plus rapidement et vous le maintenez entre les audits, au lieu de tout reprendre une fois par année.

Quel cadre vous faut-il?

Vous ne savez pas par où commencer? Nous vous aidons à choisir. SOC 2 est généralement ce qu’exigent vos clients nord-américains par contrat; ISO 27001 a plus de poids auprès des grands comptes et à l’international; le cadre NIST est la façon pratique d’évaluer et d’améliorer votre posture globale; la Loi 25 et la LPRPDE, elles, sont des obligations légales, pas des options. Nous établissons la portée en fonction de vos clients, de vos contrats et de votre budget — et comme plusieurs de ces cadres partagent des contrôles, les efforts se cumulent.

Comment ça se passe

De l’écart à l’attestation

Nous partons d’une analyse d’écarts claire, puis nous bâtissons les politiques, les contrôles et les preuves — sans jargon, à votre rythme et à votre budget.

  • Analyse d’écarts. Où vous en êtes vs le cadre visé.
  • Feuille de route priorisée. Quoi corriger, dans quel ordre.
  • Politiques & contrôles. Rédigés et mis en place.
  • Preuves & surveillance continue. Automatisées avec Drata, prêtes pour l’auditeur.
Pourquoi Sincennes TI

La Loi 25, menée en français

Peu de firmes de la région mènent la conformité Loi 25, SOC 2 et ISO 27001 en français comme en anglais. La nôtre le fait — appuyée par des certifications Microsoft de niveau expert (SC-100) et plus de 20 ans d’expérience.

  • Bilingue. Conformité québécoise en français.
  • Certifié. Microsoft Cybersecurity Architect Expert (SC-100).
  • Automatisé. Preuves et surveillance en continu avec Drata.
  • Ottawa & Gatineau. Un partenaire local.
Outils gratuits

Faites le point en 2 minutes

Des bilans gratuits et confidentiels — tout se passe dans votre navigateur.

FAQ

Questions fréquentes

SOC 2 ou ISO 27001 — lequel nous faut-il?

Cela dépend de qui le demande. SOC 2 est l’attestation que la plupart des clients nord-américains réclament dans les contrats et les questionnaires de sécurité, et c’est souvent la voie la plus rapide vers un rapport utilisable. ISO 27001 est une certification internationale formelle qui pèse généralement davantage auprès des grands comptes et des clients étrangers. Les deux partagent une grande part de leurs contrôles : si vous risquez d’avoir besoin des deux, nous planifions le travail pour que le premier effort alimente le second. Nous vous aidons à choisir selon vos clients et vos contrats réels.

Nous avons déjà SOC 2 — avons-nous tout de même besoin d’ISO 27001?

Pas nécessairement. Si vos clients se satisfont d’un rapport SOC 2, vous n’avez peut-être pas besoin d’ISO 27001. Cette certification devient pertinente lorsqu’un contrat l’exige expressément, ou lorsque vous vendez à des grands comptes ou à des clients internationaux qui la considèrent comme un prérequis. Comme vos contrôles SOC 2 couvrent déjà une bonne partie de l’annexe A d’ISO 27001, l’effort supplémentaire est moindre que de tout reprendre à zéro — nous délimitons précisément ce qu’il reste à faire pour que vous ne payiez pas deux fois le même travail.

Combien de temps faut-il pour être prêt pour l’audit?

Cela dépend du cadre visé, de la taille de votre environnement et de la maturité actuelle de vos contrôles — nous évitons donc les échéanciers génériques. Ce que nous pouvons affirmer, c’est que nous commençons par une analyse d’écarts afin de vous fournir d’emblée un calendrier réaliste, et que des outils d’automatisation comme Drata raccourcissent sensiblement le parcours en collectant les preuves et en surveillant les contrôles à votre place. Nous établissons la portée de chaque mandat selon votre environnement et votre échéance, avec des forfaits à prix fixe lorsque cela s’y prête.

Que fait Drata, concrètement, pour notre conformité?

Drata est une plateforme d’automatisation de la conformité que nous utilisons pour retirer le travail manuel de la préparation aux audits. Elle se connecte à vos systèmes infonuagiques et SaaS pour collecter les preuves automatiquement, relie ces preuves aux contrôles de SOC 2, d’ISO 27001 et du cadre NIST, et surveille votre environnement en continu afin de signaler tout contrôle qui dérive vers la non-conformité. Résultat : une préparation à l’audit plus rapide et une surveillance continue tout au long de l’année, plutôt qu’une course contre la montre annuelle. Nous la configurons, interprétons les constats et les traduisons en gestes concrets qui vous font réellement avancer.

Prêt pour votre prochain audit ou questionnaire?

Discutons de votre échéance de conformité et d’un plan clair pour y arriver.

Nous joindre