×

Message d'avertissement

La version installée du navigateur que vous utilisez est obsolète et n'est plus prise en charge par Konveio. Veuillez mettre à jour votre navigateur vers la dernière version.

CAN/DGSI 104:2021 / Rev 1 : 2024, Contrôles de base de la cybersécurité pour les petites et moyennes organisations

Periodic Maintenance Review
Nom du fichier :

-

Taille du fichier :

-

Titre :

-

Auteur :

-

Sujet :

-

Mots-clés :

-

Date de création :

-

Date de modification :

-

Créateur :

-

Producteur de PDF :

-

Version PDF :

-

Nombre de pages :

-

Taille de la page :

-

Affichage rapide sur le Web :

-
Choisir une option Le texte Alt (texte alternatif) est utile lorsque les gens ne peuvent pas voir l'image ou lorsqu'elle ne se charge pas.
Visez 1 à 2 phrases qui décrivent le sujet, le cadre ou les actions.
Cette option est utilisée pour les images ornementales, comme les bordures ou les filigranes.
Préparation du document pour l'impression...
0%

Cliquez n'importe où dans le document pour ajouter un commentaire. Sélectionnez un bulle pour voir les commentaires.
Le document est en cours de chargement Chargement du glossaire...
Propulsé par Konveio

Commentaires

Voir tous Annuler

Ajouter un commentaire

Jacques Sauve, le 30 décembre 2025 à 14 h 45, page 25.

Technique
5.7.3.9 is fundamentally broken.

“The organization should ensure that their users join a separate network that is independent of the home network (e.g. guest network)…”

This fails on three levels: technical, operational, and auditability.
1. It assumes control the organization does not have: most organizations do not own or manage employee home routers.

2.“Ensure” implies enforcement, not guidance.

3. You cannot verify compliance without invading privacy.

This is unenforceable for SMBs, especially with a WFH setup.

Modern best practice assumes:
- networks are hostile
- security lives on:
- the endpoint
- identity
- encrypted access

This control is trying to fix endpoint risk with network topology, which is backward.

Jacques Sauve, le 30 décembre 2025 à 14 h 39, page 25.

Éditorial
The real security objective is to prevent public, customer, or third-party access from having implicit or lateral access to internal corporate resources. Segmentation is one method, not the requirement itself.

This control is not about employee home networks at all. It’s about:
- trust boundaries
- exposure surfaces
- preventing pivot paths

Jacques Sauve, le 30 décembre 2025 à 14 h 01, page 25.

Éditorial
Same as my comment for 5.7.3.1: what about WFH businesses?

Wi-Fi is no longer the right boundary: in a remote model, the “Wi-Fi control” is not the core control — the endpoint is.

You cannot guarantee home Wi-Fi security. Even if Wi-Fi is secure, compromise can still happen. A managed device with strong endpoint controls survives insecure networks much better than an unmanaged device on “secure” Wi-Fi.

The control must distinguish between corporate-managed Wi-Fi and remote employee Wi-Fi.

Home routers should not be assumed compliant unless the organization provides and manages them.

For remote work, the right approach is:
- publish minimum Wi-Fi requirements,
- enforce strong device and access controls (VPN/ZTNA, endpoint protections and compliance, DNS filtering),
- optionally use device posture checks to restrict access if the device is unsafe.

Jacques Sauve, le 30 décembre 2025 à 13 h 35, page 24.

Technique
What's the expectation for SMBs that have no office, where everyone works from home? They all have their ISP router, so does that address this control? What "proof" would an auditor be looking for?

Don Waugh, le 15 décembre 2025 à 16 h 05, page 25.

define basic lifecycle procedures

Don Waugh, le 15 décembre 2025 à 16 h 04, page 28.

phishing-resistant f

Don Waugh, 15 décembre 2025 à 16 h 03, page 24.

phishing-resistant

Don Waugh, 15 décembre 2025 à 16 h 02, page 23

phishing-resistant

don waugh, le 15 décembre 2025 à 16 h 01, page 22

Éditorial
phishing resistant

Don Waugh, le 15 décembre 2025 à 16 h, page 22.

Technique
“phishing-resistant authentication

Don Waugh, le 15 décembre 2025 à 15 h 57, page 18.

Technique
“b. Identification of malicious communications and phishing including AI-enabled social engineering (e.g., deepfake voice/video, synthetic email style, and ‘CEO fraud’ impersonation);”

don waugh, le 15 décembre 2025 à 15 h 55, page 11

Technique
“NOTE 4: Where an organization supports consequential services (see 3 Terms and definitions) or administers digital credentials, remote identity proofing, or high-risk transactions, the organization should consider adopting authentication controls that are resistant to phishing and impersonation, and applying stronger credential lifecycle controls (issuance, recovery, revocation) appropriate to the risk.”

Jacques Sauve, le 10 décembre 2025 à 14 h 27, page 20.

Éditorial
I never understood why this was a "control". It's just a suggestion that the template provided could be used. When working with customers, I provide my own template, so we never use this. I always set this control to "Not applicable". Perhaps just mention this in the "Context" section?
Voir tous