Notre expérience
distinctive
Notre expérience
distinctive
Portés par la collaboration entre ses membres, les projets de Cybereco s’attaquent concrètement aux enjeux de la cybersécurité. En misant sur l’intelligence collective, l’organisation favorise la co-création de solutions novatrices, le développement d’outils concrets et une influence positive sur les orientations du secteur.
Son approche agile et axée sur l’impact permet d’anticiper les défis émergents et de renforcer durablement la résilience numérique des organisations canadiennes.
Communauté Cybertrousse
La communauté Cybertrousse a été créée pour répondre à un besoin criant : offrir aux petites et moyennes entreprises (PME) des ressources concrètes pour renforcer leur posture en cybersécurité. Trop souvent laissées à elles-mêmes face à des menaces croissantes, les PME manquent d’outils accessibles et adaptés à leur réalité. Cette communauté réunit des expert·es, des praticien·nes et des partenaires engagés à co-construire une trousse de sensibilisation claire, utile et directement applicable.
Objectif et livrable principal
Le livrable phare de la communauté est une trousse de sensibilisation à la cybersécurité, conçue spécifiquement pour les PME. Cette trousse vise à :
• Sensibiliser les entreprises aux principaux risques numériques ;
• Les guider dans l’adoption de bonnes pratiques ;
• Offrir des outils simples pour entamer ou structurer leur démarche de cybersécurité ;
• Favoriser une montée en maturité graduelle, réaliste et durable.
Pourquoi cette démarche
La cybersécurité n’est plus un luxe réservé aux grandes organisations. Dans un contexte où les PME deviennent des cibles de choix pour les cybercriminels, il est essentiel de leur fournir des ressources concrètes, compréhensibles et actionnables. La communauté Cybertrousse s’inscrit dans cette volonté de démocratiser la cybersécurité et de favoriser une culture de vigilance et de résilience numérique au sein des PME québécoises.
Contenu de la trousse
La trousse regroupe plusieurs volets clés, chacun abordant un enjeu fondamental :
Hameçonnage
Reconnaître et réagir aux tentatives de fraude par courriel ou messagerie
Mot de passe
Adopter des pratiques de gestion sécurisée des accès
Protection des données
Assurer la confidentialité et l’intégrité des données sensibles
Fraude par personnification
Se prémunir contre l’usurpation d’identité numérique
Travail en mobilité
Encadrer l’usage sécuritaire des appareils mobiles et du télétravail
Rançongiciel
Comprendre la menace et mettre en place des mesures préventives
Communauté Menaces internes
La communauté Menaces internes a été mise sur pied pour outiller les organisations face à un risque trop souvent sous-estimé : celui provenant de l’intérieur. Alors que les outils de détection (SIEM, DLP, IA comportementale, etc.) se multiplient, les enjeux de gouvernance, de conformité et de respect de la vie privée deviennent centraux. Cette communauté vise à offrir un espace de réflexion et de co-construction pour mieux comprendre, encadrer et mitiger les risques liés aux menaces internes.
Livrable principal
La communauté travaille actuellement à la mise à jour et à l’enrichissement du guide de protection contre les menaces internes. Ce guide a pour objectif de :
• Présenter les types de mécanismes de détection utilisés dans les organisations ;
• Dresser un panorama des enjeux éthiques, juridiques et opérationnels associés à leur déploiement ;
• Offrir des recommandations concrètes, applicables dans différents contextes organisationnels.
Pourquoi cette démarche
La menace interne est un phénomène complexe et multidimensionnel qui touche toutes les organisations, peu importe leur taille ou leur secteur. Sa gestion implique une coordination étroite entre les équipes de sécurité, les services juridiques, les ressources humaines et la direction. En mettant en commun les expertises au sein de la communauté, nous cherchons à :
- Favoriser une compréhension partagée du phénomène ;
- Définir un cadre d’action équilibré, à la fois efficace sur le plan de la sécurité et respectueux des droits ;
- Outiller les organisations pour mettre en place des stratégies de prévention adaptées à leur réalité.
Ce sur quoi on travaille
Le guide structuré autour des axes suivants :
Contexte et définition
Comprendre la nature des menaces internes, leur manifestation concrète et les impacts sur les organisations.
Technologies de détection
Exploration des outils comme les SIEM, DLP, solutions IA, et leur intégration dans les environnements TI
Vie privée et surveillance
Equilibre entre sécurité et respect des droits fondamentaux, principes de proportionnalité, consentements et minimisation
Cadres réglementaires
Conformité avec la Loi 25 (QC), le RGPD (UE), le CCPA (Californie), etc.
Gouvernance
Rôles et responsabilités des RSSI, DPO, directions et partenaires dans la mise en œuvre d’un programme efficace.
Risques juridiques
Etudes de cas, jurisprudence, conséquences d’une non-conformité.
Recommandations pratiques
Outils concrets (listes de vérification, exemples de clauses contractuelles, bonnes pratiques de formation).
Communauté Gestion des tiers
La communauté Gestion des tiers a été créée pour répondre à un besoin grandissant : aider les organisations en particulier les PME à structurer et renforcer leur gestion des fournisseurs, sous-traitants et partenaires numériques dans une perspective de cybersécurité. Dans un contexte où les chaînes d’approvisionnement sont de plus en plus interconnectées, les tiers représentent désormais un vecteur majeur de risques. Des incidents comme SolarWinds ou MOVEit ont démontré à quel point une faille externe peut avoir des conséquences internes graves. Pourtant, les PME manquent souvent de ressources, de temps ou d’expertise pour mettre en place des pratiques robustes.
Livrable principal
La communauté travaille à la rédaction d’un livre blanc stratégique et pragmatique, spécifiquement adapté au contexte des PME québécoises. Ce document visera à :
- Dresser un état des lieux des pratiques actuelles en matière de gestion des tiers ;
- Analyser les obligations légales applicables (ex. : Loi 25) ;
- Intégrer les standards internationaux (ISO, NIST, etc.) de façon contextualisée ;
- Proposer des recommandations concrètes et actionnables.
Pourquoi cette démarche
Parce que la gestion des tiers est désormais un pilier de la sécurité organisationnelle, et que sans accompagnement, les PME risquent de rester les maillons faibles de la chaîne. Cette communauté souhaite :
- Offrir une référence crédible, applicable et localisée au Québec ;
- Outiller concrètement les PME pour qu’elles puissent passer à l’action sans lourdeur ni jargon ;
- Éventuellement, poser les bases de mécanismes de certification simplifiée ou d’initiatives sectorielles concertées.
Ce sur quoi on travaille
La communauté mobilise son expertise collective autour des axes suivants :
Identification des enjeux spécifiques aux PME québécoises
Analyse réglementaire : Loi 25, RGPD, obligations sectorielles
Adaptation des bonnes pratiques internationales (ISO 27036, NIST SP 800-161, etc.)
Production de contenu pédagogique et opérationnel : modèles, grilles, outils
Définition d’un parcours de mise en œuvre progressif pour des organisations à faibles ressources
Contenu prévu du livre blanc
- Outils d’autoévaluation de maturité ;
- Clauses contractuelles types pour encadrer les relations avec les tiers ;
- Catalogues de menaces selon les types de fournisseurs ;
- Grilles de maturité pour guider la progression organisationnelle.
Communauté Cryptographie post-quantique
La communauté Cryptographie post-quantique a été créée dans le but d’accompagner les organisations membres de Cybereco face à une transformation technologique majeure : l’arrivée imminente de l’informatique quantique et les risques qu’elle pose pour la cryptographie actuelle.
L’objectif est clair : mettre en place un cadre de transition structuré et adapté pour permettre aux organisations de se préparer dès maintenant à cette révolution, et ainsi mitiger les risques liés à la compromission future des algorithmes cryptographiques classiques.
Livrable principal
La communauté travaille à l’élaboration d’un cadre d’accompagnement stratégique et opérationnel pour faciliter la migration vers une cryptographie résistante aux attaques quantiques.
Ce cadre inclura :
- Un inventaire des risques liés à l’émergence de l’ordinateur quantique ;
- Des mesures d’atténuation concrètes (crypto-agilité, gestion des actifs, priorisation) ;
- Des outils de planification de la transition ;
- Des exemples d’implémentation progressive (feuille de route, bonnes pratiques, plan de migration pluriannuel).
Pourquoi cette démarche
La cryptographie est la fondation de la sécurité numérique moderne. Mais cette fondation sera fragilisée dès que les calculateurs quantiques atteindront un seuil de puissance critique.
Attendre que la menace devienne réalité, c’est s’exposer à des attaques rétroactives sur des données sensibles conservées aujourd’hui.
En structurant dès maintenant la transition, cette communauté permet aux organisations de :
- Anticiper les impacts technologiques et réglementaires ;
- Éviter des décisions précipitées sous pression ;
- Protéger durablement leurs actifs, leurs clients et leur réputation.
Ce sur quoi on travaille
Le guide structuré autour des axes suivants :
Compréhension de la menace
Explication de l’impact de la quantique sur RSA, ECC et autres algorithmes classiques ; scénario « store now, decrypt later ».
Cartographie des actifs cryptographiques
Identification des systèmes, données et fournisseurs à risque.
Évaluation des impacts organisationnels
Aspects juridiques (Loi 25, RGPD), technologiques (matériel, logiciels) et opérationnels (chaînes d’approvisionnement).
Plan de migration vers la cryptographie post-quantique (CPQ)
Définition des priorités, intégration de la crypto-agilité, alignement sur les recommandations du NIST.
Sensibilisation des directions et des parties prenantes
Faire reconnaître le sujet comme un risque stratégique à traiter dès maintenant.
Communauté Protection des données
La communauté Protection des données a été créée pour répondre aux défis croissants liés à la gestion des données non structurées, qui représentent aujourd’hui une part importante et souvent négligée du patrimoine informationnel des organisations. Ces données (documents, courriels, images, vidéos, messages, etc.) sont difficiles à inventorier, à classer et à protéger, ce qui en fait un vecteur de risque majeur sur les plans juridique, opérationnel et stratégique.
Livrable principal
La communauté travaille à l’élaboration d’un guide pratique sur la protection des données non structurées, avec un accent particulier sur l’étiquetage, la gouvernance, la conformité (Loi 25, RGPD) et les outils technologiques.
Ce guide s’adresse à un public multidisciplinaire : CIO, DPO, responsables sécurité, architectes TI, gestionnaires de données et équipes opérationnelles.
Pourquoi cette démarche
Les obligations réglementaires (notamment la Loi 25 au Québec) exigent un contrôle rigoureux des renseignements personnels, y compris dans les formats non structurés. Pourtant, la majorité des organisations sous-estiment le volume et la sensibilité de ces données.
Cette communauté vise à :
- Renforcer l’expertise collective sur ces enjeux techniques, juridiques et organisationnels ;
- Outiller les organisations avec des pratiques applicables et des modèles concrets ;
- Favoriser l’innovation en sécurité de l’information, en s’appuyant sur une approche collaborative et évolutive.
Ce sur quoi on travaille
Compréhension des données non structurées
- Définition, cas d’usage, distinctions avec les données structurées et semi-structurées ;
- Problèmes spécifiques : absence de schéma, formats variés, accessibilité, stockage dispersé.
Pourquoi étiqueter les données ?
Raisons juridiques (Loi 25, RGPD, NIST) et enjeux de conformité ;
Sécurité de l’information : classification, protection, chiffrement ;
Efficacité : automatisation, archivage, cycle de vie, réduction des risques.
Taxonomie et systèmes d’étiquetage
Étiquettes de sensibilité, de conformité et métier ;
Standards reconnus (Microsoft Purview, ISO/IEC 27001/27002) ;
Intégration dans les environnements Microsoft 365, DLP, SIEM, etc.
Étapes d’un projet de classification
Identification des sources, périmètre et objectifs ;
Sélection des outils (manuels, automatisés, IA de classification) ;
Déploiement, formation, adoption et gouvernance continue.
Bonnes pratiques et écueils à éviter
Éviter la sous/sur-classification ;
Maintenir une classification vivante et pertinente ;
Aligner les politiques avec les besoins métier et les exigences légales.
Communauté DevSecOps & AppSec
Cette communauté vise à intégrer la cybersécurité à toutes les étapes du cycle de développement logiciel. En combinant les approches DevSecOps et AppSec, elle a pour mission de renforcer la sécurisation des applications et des infrastructures, tout en adaptant les pratiques aux réalités des organisations québécoises.
Objectifs
- Créer un espace d’échange entre praticien·nes pour partager les défis, outils et bonnes pratiques ;
- Favoriser l’adoption de la sécurité « by design » dès la conception logicielle ;
- Identifier des partenaires, outils et cadres de référence pertinents au sein de l’écosystème canadien ;
- Évaluer collectivement les stratégies de centralisation, les modèles RACI et les approches de remédiation ;
- Promouvoir une culture de sécurité chez les développeurs, avec un appui structurant de l’équipe AppSec.
Pourquoi c’est important
À l’heure où les vulnérabilités logicielles représentent une part croissante des incidents de sécurité, cette communauté permet de :
- Aligner les pratiques de développement et de cybersécurité dans une approche collaborative ;
- Tirer profit des retours d’expérience terrain d’organisations de toutes tailles ;
- Faire évoluer les pratiques de manière pragmatique, en phase avec les contraintes et réalités opérationnelles des équipes TI.
Livrables et travaux en cours
Le guide structuré autour des axes suivants :
Sessions thématiques autour de cas réels et de feuilles de route AppSec
Analyse comparative des approches centralisées vs décentralisées de la sécurité dans le développement
Discussions sur l’intégration de modèles de sécurité dans les pipelines CI/CD, incluant la détection de secrets, la gestion du WAF « as code » et les SBOM
Élaboration de recommandations sur les outils de formation ciblée, la modélisation des menaces, l’automatisation partielle de la remédiation et les CTF internes comme levier de culture.
Communauté de pratique Protection contre la perte de données (DLP)
La communauté DLP Data Loss Prevention réunit des expert·es techniques du secteur public et privé souhaitant renforcer collectivement la posture de sécurité des organisations face aux risques d’exfiltration, de fuite ou de mauvaise manipulation des données sensibles.
Elle vise à créer un espace collaboratif pour partager des configurations, tester des approches innovantes, résoudre des défis communs et s’entraider autour des plateformes de prévention des pertes de données.
Objectifs
- Créer un lieu d’échange pratique sur les outils de DLP ;
- Documenter et comparer les stratégies d’étiquetage, de chiffrement, de configuration de politiques ;
- Partager les apprentissages des grandes organisations ;
- Mutualiser les connaissances pour éviter les erreurs récurrentes ;
- Favoriser l’adoption de meilleures pratiques techniques au sein des équipes cybersécurité.
Pourquoi c’est important
Alors que les données sensibles sont de plus en plus dispersées dans des environnements hybrides (cloud, local, mobile), les outils de DLP doivent être finement configurés et adaptés au contexte métier.
Cette communauté permet aux organisations de :
- Partager leurs bons coups et leurs échecs, pour éviter les redondances d’efforts ;
- Co-construire une base commune de configurations utiles, adaptées à leurs réalités ;
- Soutenir l’innovation et l’agilité opérationnelle, tout en maintenant une conformité stricte avec les obligations réglementaires (Loi 25, normes ISO, etc.).
Volets de travail
La communauté s’organise autour de plusieurs sous-thématiques et ateliers collaboratifs :
Volet Microsoft Purview & AIP
Volet RegEx & détection
Volet OCR & surveillance de l’exfiltration
Volet EDM / IRM (gestion des droits à l’information)
Volet SASE & nouvelles technologies
Communauté de pratique GIA
La communauté GIA a été créée pour outiller les organisations dans l’un des fondements critiques de leur posture de cybersécurité : la gestion des identités et des accès. Alors que les environnements numériques deviennent plus complexes et distribués utilisateurs distants, accès cloud, fournisseurs tiers le contrôle des accès devient un enjeu stratégique, autant pour prévenir les intrusions que pour se conformer aux exigences réglementaires (Loi 25, RGPD, etc.).
Cette communauté vise à rassembler des expert·es, des architectes, des gestionnaires TI et des professionnel·les de la gouvernance autour de solutions concrètes, adaptées aux réalités organisationnelles québécoises.
Objectifs
- Favoriser le partage de pratiques, modèles et architectures en matière de gestion des identités et des accès ;
- Clarifier les rôles, responsabilités et processus liés au cycle de vie des identités (création, modification, suppression) ;
- Explorer les technologies clés (IAM, IGA, MFA, SSO, RBAC, etc.) et leurs intégrations dans divers contextes ;
- Soutenir l’alignement entre les équipes TI, les services RH, les équipes de sécurité et les directions ;
- Outiller les organisations à bâtir une gouvernance GIA cohérente, durable et conforme.
Pourquoi cette démarche
Une mauvaise gestion des identités et des accès est à l’origine d’un grand nombre d’incidents de sécurité. Pourtant, elle reste un défi majeur, notamment pour les organisations aux ressources limitées ou aux environnements hétérogènes.
Cette communauté permet aux organisations de :
- Développer une approche structurée, basée sur des cas d’usage réels ;
- Améliorer la résilience face aux menaces internes et externes ;
- Simplifier les audits et renforcer la conformité ;
- Réduire les frictions pour les utilisateurs finaux, tout en augmentant le niveau de sécurité.
Travaux en cours
La communauté structure ses échanges et livrables autour des axes suivants :
Modèles de gouvernance GIA
- Définition des rôles (propriétaires d’identité, approbateurs, opérateurs, auditeurs) ;
- Cartographie des parties prenantes et des processus.
Cycle de vie des identités
- Onboarding, mobilité interne, gestion des accès temporaires, offboarding ;
- Intégration avec les systèmes RH, ERP, CRM, etc.
Contrôle des accès
- Modèles RBAC, ABAC, principes de moindre privilège, séparation des tâches ;
- Gestion des accès à privilèges (PAM).
Authentification et fédération
- Mise en œuvre de l’authentification multifactorielle (MFA) ;
- SSO et fédération des identités (SAML, OAuth, OpenID Connect).
Audits et conformité
- Suivi des accès, revues périodiques, alertes sur anomalies ;
- Alignement avec les obligations réglementaires (Loi 25, ISO 27001, etc.).