SYS::STATUS SOC · OPÉRATIONNEL
FR / EN
cl
CostLink Systèmes
v.2026.05 · soc·mtl
portail
~ / conformité
[ROOT] · CINQ CADRES · COUVERTURE COURANTE

La preuve.
Signée. Datée.
Audit-ready.

Cinq cadres couverts en pratique courante. Chaque mandat livre le dossier documentaire qui passe l'audit — politiques, procédures, registres, preuves opérationnelles, plan de remédiation des écarts. Pas de copier-coller de gabarits, pas de PDF de cinquante pages que personne ne lira.

frameworks · summary
Loi 25
96%
SOC 2 II
100%
PCI-DSS v4
91%
ISO 27001
87%
NIST CSF 2
79%
COUVERTURE OPÉRATIONNELLE · MOYENNE RÉSEAU CLIENT
[01] · LOI 25 · QUÉBEC

Renseignements personnels.
Le cadre québécois.

Modernisation des dispositions législatives en matière de protection des renseignements personnels — entrée en vigueur progressive 2022–2024. Le cadre s'applique à toute organisation québécoise qui détient des renseignements personnels, sans seuil de taille. Sanctions jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial.

// EXIGENCES COUVERTES PAR LE MANDAT
art. 3.1 Désignation d'un responsable de la protection des renseignements personnels livré
art. 3.2 Politique de gouvernance des renseignements personnels (publique) livré
art. 3.3 Évaluation des facteurs relatifs à la vie privée (EFVP) — projets affectant RPI livré
art. 3.5 Registre des incidents de confidentialité · notification CAI · < 72 h livré
art. 3.7 Évaluation des risques de fuites — transferts hors-Québec livré
art. 7 Droits des personnes concernées · accès · rectification · cessation livré
art. 12 Consentement explicite · finalités · durée · communications à des tiers livré
art. 23 Mesures de sécurité — confidentialité, intégrité, disponibilité livré

Couverture : 17 articles / 18 (art. 4 — biométrie spécifique — sur demande).

loi25.scope
PARAMÈTRES MANDAT
Cadrage initial3 — 4 sem.
Première posture conforme8 — 12 sem.
Maintientrimestriel
Mandats actifs14
Notifications CAI · 24 mois3 (toutes acceptées)
Audit interneannuel inclus
Sanctions évitées · ROIdocumenté
// LIVRABLE TYPE

Dossier Loi 25 complet : politique de gouvernance publique, mandat du responsable signé, gabarit EFVP, gabarit registre incidents, modèles de consentement, procédure de réponse aux demandes d'accès, formation employés certifiée.

~42 documents · signés · datés · maintenus
[02] · ISO 27001 · SMSI

Système de management.
Norme internationale.

ISO/IEC 27001:2022 — la norme de référence pour la gestion de la sécurité de l'information. Reconnue par les acheteurs corporatifs, exigée fréquemment en appel d'offres internationaux, signal de maturité de gouvernance auprès de votre auditeur cyber.

// COUVERTURE ANNEXE A · CONTRÔLES
A.5 · ORGANISATIONNELS
Contrôles couverts37 / 37
Maturité moyenne4.2 / 5
A.6 · PERSONNES
Contrôles couverts8 / 8
Maturité moyenne3.9 / 5
A.7 · PHYSIQUES
Contrôles couverts14 / 14
Maturité moyenne4.0 / 5
A.8 · TECHNOLOGIQUES
Contrôles couverts35 / 35
Maturité moyenne4.4 / 5

Couverture totale : 94 / 114 contrôles applicables après SoA · 87 % moyenne réseau.

iso27001.scope
CHEMIN DE CERTIFICATION
Gap assessment2 sem.
Construction SMSI3 — 6 mois
Période d'observation3 mois min.
Audit Stage 12 — 3 j
Audit Stage 23 — 5 j
Mandats actifs9
Certifications obtenues7 / 7
// ORGANISMES PARTENAIRES

BSI · BV · DNV · SAI Global
— accompagnement audit-side neutre

[03] · SOC 2 TYPE II · CPA

Trust Service Criteria.
Période d'observation.

Cadre AICPA / CPA Canada le plus courant pour démontrer la maturité opérationnelle à des clients institutionnels et à des investisseurs. Type II prouve que les contrôles sont non seulement conçus mais effectivement opérés sur une période de 6 à 12 mois.

// CINQ TSC COUVERTS
SEC Sécurité — protection contre accès non autorisé (obligatoire) 100%
AVA Disponibilité — système accessible selon engagements 100%
CON Confidentialité — protection des données désignées confidentielles 100%
PRI Vie privée — collecte, utilisation, conservation, divulgation 100%
INT Intégrité des traitements — exactitude, complétude, validité 100%
soc2.scope
PARAMÈTRES TYPIQUES
Readiness assessment3 sem.
Remédiation pré-audit3 — 4 mois
Période d'observation6 mois (min.)
Mandats actifs6
Audits sans qualification6 / 6
Préparation auditeurinclus
// CITATION CLIENT

« En préparation SOC 2 II, l'auditeur a demandé treize preuves opérationnelles. CostLink avait déjà les treize prêtes. »

— directrice conformité · cabinet comptable · 2025
[04] · PCI-DSS v4.0.1 · CARTES

Données de paiement.
v4 · 64 nouvelles exigences.

PCI-DSS v4.0.1 — applicable à toute organisation qui stocke, traite ou transmet des données de cartes. Les détaillants multi-sites, plateformes e-commerce, restaurants franchisés, sont presque tous concernés. La version 4 introduit l'approche personnalisée et 64 nouvelles exigences pleinement actives depuis le 31 mars 2025.

// COUVERTURE PAR EXIGENCE
Req 1Installer et maintenir des contrôles de sécurité du réseaucomplet
Req 2Configurations sécurisées par défaut · paramètres durciscomplet
Req 3Protection des données carte stockées · chiffrement · key mgmtcomplet
Req 4Chiffrement en transit · TLS 1.2+ obligatoirecomplet
Req 5Anti-malware sur tous les systèmes du CDEcomplet
Req 6Développement et maintien systèmes sécurisés · SAST / DASTcomplet
Req 7Restriction d'accès — besoin d'en connaître + moindre privilègecomplet
Req 8Identification + authentification · MFA obligatoire CDEcomplet
Req 9Sécurité physique · accès et médiascomplet
Req 10Journalisation + monitoring · 12 mois rétentioncomplet
Req 11Tests de sécurité réguliers · pentest annuel · scans trimestrielscomplet
Req 12Politique de sécurité de l'information · TPRM · IRen cours
pci.scope
PROFIL TYPIQUE
SAQ / AOCselon volume
Niveau merchant2 — 4
Cadrage périmètre2 — 4 sem.
Segmentation réseauincluse
Pentest annuelinclus
Scans externestrimestriels ASV
Mandats actifs4
[05] · NIST CSF 2.0 · CADRE

Govern · Identify ·
Protect · Detect ·
Respond · Recover.

NIST Cybersecurity Framework 2.0 — révision majeure publiée en février 2024 avec l'ajout formel de la fonction « Govern ». Cadre de référence non-certifiable mais largement utilisé en cadrage initial, en réponse à appels d'offres (notamment fédéraux Canada et US) et en alignement avec assureurs cyber.

// SIX FONCTIONS · COUVERTURE
GOVERN (GV)
nouveau

Stratégie · politique · supervision. Nouvelle fonction en v2 — couverture 82 %.

IDENTIFY (ID)
actif

Inventaire d'actifs · évaluation des risques · gestion fournisseurs. Couverture 78 %.

PROTECT (PR)
actif

Contrôles d'accès · formation · données · maintenance · plateforme. Couverture 84 %.

DETECT (DE)
actif

Surveillance continue · analyse · détection des anomalies. Couverture 91 % (MDR au cœur).

RESPOND (RS)
actif

Plan d'intervention · communication · analyse · mitigation · améliorations. Couverture 88 %.

RECOVER (RC)
en cours

Plan de reprise · communication · améliorations. Couverture 72 % (BCP client-dépendant).

nist.scope
PROFIL D'USAGE
Cadrage initial2 sem.
Maturité cible · médianetier 3 (repeatable)
Évaluation continuetrimestriel
Mandats actifs11
Usage en RFPfréquent
[06] · CHEVAUCHEMENTS

$ matrix --overlap

Beaucoup de cadres partagent des contrôles. Un mandat bien cadré couvre simultanément 3 à 4 cadres avec un seul corpus documentaire. Voici les chevauchements typiques.

CONTRÔLE
LOI 25
ISO 27001
SOC 2
PCI-DSS
NIST CSF
Politique de sécurité écrite
Inventaire d'actifs maintenu
Évaluation des risques annuelle
Contrôle d'accès logique (MFA)
Chiffrement données au repos
Journalisation + monitoring
Plan de réponse aux incidents
Notification de brèche obligatoire
Test d'intrusion régulier
Formation employés cyber
Audit externe annuel
Évaluation fournisseurs (TPRM)
exigence formelle exigence partielle / contextuelle non requis directement
[07] · CADRAGE

Quel cadre
vous concerne ?

L'évaluation initiale identifie les cadres applicables à votre contexte, votre secteur, vos clients, vos exigences contractuelles. La feuille de route remise à la fin priorise par effort et par valeur.

demander l'évaluation retour services