Un fournisseur TI vous envoie une proposition. Dans la section « Pourquoi nous choisir », il énumère une demi-douzaine d'acronymes : CompTIA Security+, CISSP, CISM, SOC 2, ISO 27001, CyberSecure Canada. Ça fait sérieux. Mais qu'est-ce que ça signifie concrètement pour votre PME ?
Les certifications en sécurité informatique sont un vrai indicateur de compétence — à condition de comprendre ce qu'elles mesurent et ce qu'elles ne mesurent pas. Cet article les décortique en langage clair pour vous aider à poser les bonnes questions.
La distinction fondamentale : personne vs organisation
Avant tout, il faut séparer deux familles de certifications qui n'évaluent pas la même chose.
Les certifications individuelles valident les connaissances et l'expérience d'une personne. Un technicien passe un examen, démontre ses compétences et obtient un titre. Ce titre lui appartient personnellement — il le conserve même s'il change d'employeur.
Les certifications organisationnelles évaluent les processus, les contrôles et les pratiques d'une entreprise dans son ensemble. Un auditeur externe examine comment l'organisation gère la sécurité au quotidien. Le certificat appartient à l'entreprise, pas à un individu.
Les deux sont utiles. Les certifications individuelles vous disent que les gens qui touchent à vos systèmes ont les connaissances nécessaires. Les certifications organisationnelles vous disent que l'entreprise qui les emploie a mis en place des processus rigoureux.
Les certifications individuelles à connaître
CompTIA Security+
C'est le socle. Security+ est une certification de niveau fondamental délivrée par la Computing Technology Industry Association. Elle couvre les bases de la cybersécurité : identification des menaces, gestion des accès, cryptographie, sécurité des réseaux, réponse aux incidents.
Pour un technicien qui gère votre réseau et vos postes de travail au quotidien, Security+ est un minimum attendu. Elle ne fait pas de quelqu'un un expert en sécurité avancée, mais elle confirme qu'il comprend les principes essentiels et qu'il sait appliquer les bonnes pratiques de base.
L'examen est renouvelable tous les trois ans, ce qui oblige le détenteur à maintenir ses connaissances à jour — un point important dans un domaine qui évolue aussi vite.
CISSP
Le Certified Information Systems Security Professional, délivré par l'ISC2, est considéré comme la certification de référence mondiale en sécurité de l'information. Elle exige un minimum de cinq ans d'expérience professionnelle dans le domaine et couvre huit domaines allant de la gestion des risques à la sécurité du développement logiciel.
Un professionnel CISSP ne se contente pas de configurer un pare-feu. Il comprend comment la sécurité s'intègre dans la stratégie d'affaires, comment évaluer les risques de façon méthodique et comment concevoir une architecture de sécurité cohérente.
Si votre fournisseur TI a un ou plusieurs CISSP dans son équipe de direction technique, c'est un signal fort que la sécurité est prise au sérieux au niveau stratégique, pas seulement opérationnel.
CISM
Le Certified Information Security Manager, délivré par ISACA, se distingue du CISSP par son orientation vers la gestion. Là où le CISSP est plus technique, le CISM se concentre sur la gouvernance de la sécurité, la gestion des programmes de sécurité et l'alignement avec les objectifs d'affaires.
Pour une PME qui cherche un fournisseur capable de jouer un rôle de conseiller stratégique — pas seulement de technicien — la présence d'un CISM dans l'équipe est un atout pertinent.
CEH
Le Certified Ethical Hacker, délivré par EC-Council, forme les professionnels à penser comme un attaquant pour mieux défendre les systèmes. C'est la certification de référence pour les tests de pénétration.
Cette certification est surtout pertinente si votre fournisseur offre des services de « pentest ». Pour le support technique quotidien, elle est moins directement utile.
Certifications Microsoft en sécurité
Pour les PME québécoises — dont la grande majorité utilise Microsoft 365 et souvent Azure — les certifications Microsoft en sécurité sont directement opérationnelles. Elles valident que le professionnel connaît les outils de sécurité spécifiques à l'écosystème Microsoft : Defender, Entra ID (anciennement Azure AD), Purview, Intune.
Parmi les plus pertinentes : Microsoft Certified: Security, Compliance, and Identity Fundamentals (niveau de base) et Microsoft Certified: Security Operations Analyst Associate (niveau intermédiaire). Un technicien qui gère votre environnement Microsoft 365 au quotidien devrait idéalement détenir au moins la certification fondamentale.
Les certifications organisationnelles à comprendre
SOC 2
Le Service Organization Control 2, développé par l'American Institute of Certified Public Accountants (AICPA), est un cadre d'audit qui évalue les contrôles d'une organisation de services selon cinq « critères de confiance » : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée.
Il existe deux types de rapports. Le Type I évalue si les contrôles sont bien conçus à un moment donné. Le Type II — nettement plus exigeant — vérifie que ces contrôles fonctionnent réellement sur une période de six à douze mois.
Un fournisseur TI certifié SOC 2 Type II a démontré à un auditeur indépendant que ses pratiques de sécurité ne sont pas seulement documentées, mais effectivement appliquées au quotidien. C'est un indicateur de maturité opérationnelle significatif.
En pratique, peu de petits fournisseurs TI ont une certification SOC 2 formelle — le processus est coûteux et exigeant. Ce n'est pas automatiquement un défaut, mais si un fournisseur la détient, c'est un gage de sérieux indéniable.
ISO 27001
La norme internationale ISO/IEC 27001 définit les exigences pour un système de management de la sécurité de l'information (SMSI). C'est la référence mondiale en matière de gestion structurée de la sécurité.
La certification ISO 27001 implique la mise en place d'un processus complet d'évaluation des risques, de contrôles de sécurité documentés, de surveillance continue et d'amélioration systématique. Un audit externe par un organisme accrédité valide la conformité.
Pour une PME, la pertinence d'ISO 27001 chez un fournisseur dépend du contexte. Si vos clients ou partenaires l'exigent (c'est fréquent dans les contrats gouvernementaux et avec les grandes entreprises), c'est un critère important. Autrement, c'est un signal de maturité organisationnelle.
CyberSecure Canada
Ce programme de certification du gouvernement du Canada est spécifiquement conçu pour les petites et moyennes organisations. Il couvre 13 contrôles de sécurité de base : correctifs, authentification, sauvegardes, plan de réponse aux incidents, etc.
Moins exhaustif que SOC 2 ou ISO 27001, CyberSecure Canada a l'avantage d'être réaliste pour des organisations de taille modeste et adapté au contexte réglementaire canadien. C'est un bon point de départ pour un fournisseur qui veut formaliser ses pratiques sans entreprendre un processus de certification international.
Ce que les certifications ne disent pas
Il serait tentant de réduire l'évaluation d'un fournisseur à une liste de certifications. Ce serait une erreur.
Les certifications ne mesurent pas la qualité du service client. Un technicien brillamment certifié qui ne rappelle jamais et communique mal reste un mauvais partenaire.
Elles ne mesurent pas l'expérience terrain. Un professionnel qui a géré des incidents de sécurité réels chez des dizaines de PME pendant dix ans apporte une valeur que l'examen le plus exigeant ne peut pas vérifier.
Elles ne mesurent pas la compatibilité culturelle. Un fournisseur qui comprend la réalité d'une PME manufacturière à Granby n'aborde pas les choses de la même façon qu'un consultant qui travaille exclusivement avec des banques à Toronto.
Les certifications sont un filtre — pas un verdict.
Les bonnes questions à poser
Quand un fournisseur met ses certifications de l'avant, creusez un peu.
« Combien de personnes dans votre équipe détiennent cette certification ? » Si c'est une personne sur vingt, l'impact sur le service que vous recevrez est limité.
« La certification est-elle à jour ? » La plupart des certifications exigent un renouvellement périodique. Une certification expirée ne vaut plus rien.
« Pouvez-vous fournir une copie de votre rapport SOC 2 ou de votre certificat ISO 27001 ? » Un fournisseur certifié devrait être en mesure de partager ces documents avec un client potentiel, souvent sous accord de confidentialité.
« En quoi ces compétences se traduisent-elles dans le service que je recevrai ? » C'est la question la plus importante. Une certification n'a de valeur pour vous que si elle se reflète dans la qualité concrète du service.
En résumé : quoi prioriser
Pour une PME québécoise qui évalue un fournisseur TI, voici un ordre de priorité raisonnable.
Regardez d'abord les certifications Microsoft pertinentes à votre environnement (si vous utilisez Microsoft 365 ou Azure) et CompTIA Security+ pour les techniciens de première ligne.
Regardez ensuite la présence d'un CISSP ou CISM dans l'équipe de direction, ainsi que la structure organisationnelle du fournisseur en matière de sécurité (SOC 2, processus documentés, ou équivalent).
Considérez aussi les certifications spécialisées selon vos besoins : CEH pour les tests de pénétration, certifications sectorielles pour les industries réglementées.
Mais ne vous arrêtez jamais aux certifications seules. Demandez des références. Parlez à des clients existants. Évaluez la communication, la réactivité et la transparence. Ce sont ces éléments, combinés aux certifications, qui font la différence entre un fournisseur compétent et un vrai partenaire de confiance.
Adsum Technologies investit dans la formation continue de son équipe et maintient des certifications reconnues dans les domaines de la sécurité et de l'infrastructure Microsoft. Pour en savoir plus sur notre équipe et nos compétences, visitez adsumtech.ca.



