Skip to main content
Après de nombreuses années de discussions et une première tentative échouée avec le projet de loi C-26, le gouvernement du Canada a finalement réintroduit une législation longtemps attendue sur la cybersécurité avec le projet de loi C-8 – Loi concernant la cybersécurité. En tant que professionnel ayant passé trois décennies dans l’industrie de la cybersécurité, je félicite le gouvernement pour avoir franchi cette étape cruciale afin de protéger notre infrastructure numérique.
Mais soyons honnêtes : il est regrettable qu’il faille une loi pour inciter à l’action. D’après mon expérience, les organisations investissent rarement de manière proactive dans la cybersécurité — elles n’investissent que lorsqu’elles y sont obligées par la conformité. Cela doit changer.
Pourquoi le projet de loi C-8 est important
Le projet de loi C-8 vise à protéger les infrastructures critiques et le secteur des télécommunications contre les cybermenaces en exigeant des mesures de cybersécurité de base, la déclaration rapide des incidents, et la mise en place de processus de gouvernance. Il donne également aux régulateurs de véritables moyens d’action pour faire respecter la loi, y compris des sanctions financières sévères en cas de non-conformité.
Soyons clairs : les exigences de ce projet de loi ne sont ni excessives ni irréalistes. Elles représentent une hygiène cybernétique de base — les mêmes pratiques que je recommande depuis des décennies :
-
Mise en œuvre de politiques de cybersécurité et de programmes de gestion des risques
-
Protocoles de détection et de réponse aux incidents
-
Contrôle des accès et segmentation du réseau
-
Mises à jour des systèmes et correctifs de vulnérabilités
-
Journalisation, surveillance et évaluations régulières
Ce ne sont pas des « options intéressantes » — ce sont des fondamentaux. Le simple fait qu’une loi doive les imposer en dit long.
Nous le faisons déjà à grande échelle — et d’autres peuvent s’en inspirer
En tant que membre de Bell Canada, le plus grand fournisseur de télécommunications du pays, nos équipes chez Stratejm ont déjà opérationnalisé ces bonnes pratiques dans des environnements complexes d’infrastructures critiques. Nos clients incluent des services publics, hôpitaux, aéroports et gouvernements — des organisations où les interruptions ou violations ont des conséquences potentiellement vitales.
L’expertise de Stratejm repose sur des déploiements concrets, pas seulement sur des cadres théoriques. Notre solution Cybersecurity-as-a-Service (SECaaS) est conçue pour fournir les résultats exigés par le projet de loi C-8 — de manière abordable, évolutive et gérable.
Ne vous contentez pas d’acheter — gérez et maintenez
L’une des plus grandes idées reçues que je rencontre est la croyance que l’achat d’outils équivaut à la sécurité. C’est faux. La sécurité ne se coche pas comme une tâche unique — c’est un programme vivant et continu.
C’est pourquoi des lois comme Sarbanes-Oxley ou PCI DSS nous ont appris que la gouvernance et la surveillance comptent plus que la technologie elle-même.
Avec le projet de loi C-8, il ne suffira pas d’avoir les bons outils en place — vous devrez prouver que vous les gérez, surveillez et maintenez activement. Il s’agit d’un tout autre niveau de responsabilité.
Au-delà des infrastructures critiques — et si on allait plus loin ?
Bien que le projet de loi cible actuellement des secteurs comme les télécommunications, la banque, l’énergie et les transports, les cybermenaces ne s’arrêtent pas aux frontières sectorielles.
Dans un monde de plus en plus interconnecté, il est logique d’étendre ces exigences à un plus grand nombre d’organisations.
Pourquoi ? Parce que les attaquants n’attendent pas que les réglementations évoluent.
Chaque organisation — publique ou privée — fait désormais partie d’un paysage de menaces global. Il faut bâtir une culture de préparation cyber, pas seulement de conformité réglementaire.
Préparez-vous dès maintenant — ne vous attendez pas à un audit
Si votre organisation est concernée par le projet de loi C-8, le moment d’agir, c’est maintenant. Les sanctions pour non-conformité seront sévères, mais plus encore : les conséquences d’une attaque réussie peuvent être catastrophiques.
Chez Stratejm, notre plateforme Security-as-a-Service est conçue pour simplifier la conformité et offrir une véritable tranquillité d’esprit.
Nous ne faisons pas que déployer des outils — nous devenons votre partenaire pour concevoir et exécuter un programme de cybersécurité complet, aligné sur les exigences réglementaires et les meilleures pratiques de l’industrie.
En conclusion
Le projet de loi C-8 est une avancée positive et nécessaire — mais ne le réduisons pas à une simple liste de contrôle de conformité.
Prenons-le pour ce qu’il est réellement : un signal d’alarme.
Une occasion de faire les choses correctement, avant que les régulateurs — ou les attaquants — ne frappent.
La cybersécurité n’est pas un projet.
C’est un programme.
Et les organisations qui comprennent cela ne seront pas seulement conformes — elles seront résilientes.
John Menezes
Président et chef de la direction, Stratejm
Une entreprise de Bell Canada
