29+ définitions Microsoft, Loi 25, cybersécurité.

Les deux régions Microsoft Azure au Canada - Toronto (Canada Central) et Québec (Canada Est).

Canada Central a des Availability Zones (haute disponibilité), Canada Est non. Microsoft 365 par défaut héberge le tenant sur Canada Central pour les organisations canadiennes. Pour les renseignements de santé et certains organismes publics québécois, Canada Est est privilégié.

Système de règles d'accès dans Entra ID qui évalue le contexte (utilisateur, appareil, localisation, risque) avant d'autoriser une connexion.

Permet d'exiger MFA, de bloquer les protocoles legacy (POP/IMAP/SMTP basic auth), de restreindre par pays, d'exiger un appareil conforme Intune. C'est la fondation Zero Trust sur Microsoft 365.

Plateforme low-code Microsoft pour créer des agents IA personnalisés branchés sur Dataverse, SharePoint, API métier, accessibles depuis Teams ou un site web.

Tarification 2025 : 200 $ USD/pack/mois = 25 000 Copilot Credits, ou pay-as-you-go à 0,01 $/credit. Cas d'usage typiques : assistant RH, support TI N1, FAQ catalogue produit, accès données métier sans développement custom.

Assistant IA générative intégré à Word, Excel, Outlook, Teams et SharePoint, qui s'appuie sur Microsoft Graph pour accéder aux données de l'organisation.

Lancé en 2023, Microsoft 365 Copilot exige une licence à 30 $ USD/utilisateur/mois (engagement annuel) en plus d'une base Microsoft 365 E3/E5/Business Premium ou Office 365 E1/E3/E5. Une variante PME (Copilot Business) est proposée à 21 $ USD. L'outil exige un audit oversharing SharePoint préalable pour éviter qu'il ne révèle des contenus sur-partagés historiquement.

Plateforme de détection et réponse étendue (eXtended Detection and Response) qui corrèle automatiquement les signaux endpoint, identité, courriel et applications cloud.

Microsoft Defender XDR regroupe Defender for Endpoint, Defender for Identity, Defender for Office 365 et Defender for Cloud Apps. Inclus dans Microsoft 365 E5 et Business Premium (versions allégées). Microsoft analyse plus de 100 trillions de signaux par jour (Digital Defense Report 2025) qui alimentent la détection chez chaque client.

Le service d'identité cloud Microsoft (anciennement Azure Active Directory) qui gère authentification, accès conditionnel et gouvernance des identités.

Entra ID inclut Conditional Access, MFA, Privileged Identity Management (PIM, licence P2), Identity Protection et la fédération SSO. C'est la pierre angulaire de la posture sécurité Microsoft : MFA universel + blocage du legacy authentication via Conditional Access élimine plus de 99 % des compromissions de comptes selon Microsoft.

Plateforme analytique unifiée SaaS de Microsoft (GA fin 2023) combinant lakehouse, data warehouse, data science, real-time analytics et Power BI.

Construit autour d'un stockage commun OneLake (Delta Parquet). SKUs de capacity F2 à F2048. F8 ≈ 1 050 $ USD/mois, F16 ≈ 2 100 $ USD/mois (pay-as-you-go), réduction d'environ 40 % en réservation 1 an. Copilot for Power BI requiert F64+.

Plateforme de gouvernance des données Microsoft : classification, étiquetage (Sensitivity Labels), prévention de fuite (DLP), gestion du cycle de vie.

Purview est l'outil de référence pour la conformité Loi 25 sur Microsoft 365 : il permet d'étiqueter automatiquement les renseignements personnels, de bloquer leur envoi sortant via des politiques DLP, et de produire les rapports d'audit demandés par la CAI. Disponible dans M365 E5 et en add-on.

SIEM cloud de Microsoft, complément de Defender XDR pour les organisations qui ont des logs hors-Microsoft ou des exigences réglementaires de rétention longue.

Sentinel facture à l'ingestion (Go/jour). Pour la majorité des PME, Defender XDR seul suffit ; Sentinel devient pertinent en présence de firewalls/IoT/OT/applications maison ou pour PCI-DSS, ISO 27001.

Engagement 1 ou 3 ans sur une VM ou un service Azure stable, en échange d'une réduction allant jusqu'à 72 % sur le tarif pay-as-you-go.

1 an : 30-40 % de réduction typique. 3 ans : 55-72 %. Inadapté aux charges qui vont migrer dans moins de 12 mois. Pour les charges variables, préférer Azure Savings Plans (jusqu'à 65 % de réduction, plus flexibles, introduits en oct. 2022).

Disposition de la Loi 25 (en vigueur depuis le 22 septembre 2023) qui encadre les décisions prises exclusivement par un système automatisé concernant une personne.

Si une décision est prise à 100 % par un système (incluant Copilot ou un agent Copilot Studio) sans intervention humaine significative, l'organisation doit : informer la personne, lui permettre de connaître les facteurs, lui permettre de demander la révision par un humain dans les 30 jours. Cas concrets : tri automatisé de candidatures, scoring de leads, personnalisation de prix.

Disposition de la Loi 25 (en vigueur depuis sept. 2023) qui impose une évaluation préalable avant tout transfert de renseignements personnels hors du Québec.

L'évaluation porte sur : caractère adéquat de la protection juridique dans la juridiction de destination, mesures contractuelles imposées au destinataire, mesures techniques (chiffrement, contrôles d'accès). Microsoft Azure Canada Central (Toronto) est considéré comme un transfert hors-Québec, et doit donc être documenté.

Autorité de surveillance québécoise chargée d'appliquer la Loi 25 ; elle peut imposer des sanctions administratives jusqu'à 10 M$ sans procès.

Adresse : 2045 rue Stanley bureau 900, Montréal QC H3A 2V4. Téléphone : 1 888 528-7741. Les organisations doivent notifier la CAI sans délai en cas d'incident de confidentialité présentant un risque de préjudice sérieux.

Droit accordé depuis le 22 septembre 2024 à toute personne de recevoir ses renseignements personnels dans un format technologique structuré et couramment utilisé.

Format attendu : JSON, CSV, XML - exigible dans les 30 jours. L'organisation peut aussi être tenue de transférer directement les renseignements à un tiers désigné par la personne, sous réserve de faisabilité technique.

Analyse obligatoire (art. 3.3 Loi 25) à réaliser avant tout nouveau projet impliquant des renseignements personnels - déploiement Copilot, migration CRM, nouvelle application RH.

L'EFVP documente : nature du projet, types de RP traités, finalités, durée de conservation, mesures de sécurité, transferts éventuels, risques résiduels. Elle doit être présentable à la CAI sur demande lors d'un contrôle.

Loi du Québec modernisant la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1), entrée en vigueur en 3 vagues : septembre 2022, 2023 et 2024.

Anciennement projet de loi 64. Impose 11 obligations principales : RPRP désigné, politique publique, EFVP, registre des incidents, droits d'accès/rectification/portabilité, transferts hors-Québec, consentement granulaire, décisions automatisées. Sanctions administratives jusqu'à 10 M$ ou 2 % du CA mondial. Sanctions pénales jusqu'à 25 M$ ou 4 %. Recours civils privés depuis sept. 2023.

Disposition de la Loi 25 (en vigueur depuis sept. 2023) qui permet à toute personne lésée de poursuivre directement une organisation devant les tribunaux civils.

Dommages punitifs minimum de 1 000 $ par personne lésée, sans plafond supérieur. Cumulable avec les sanctions administratives de la CAI et les sanctions pénales. Risque significatif pour les organisations victimes d'incident de confidentialité non géré.

Personne désignée formellement par l'organisation comme garante de la conformité à la Loi 25 ; obligation depuis le 22 septembre 2022 (art. 3.1).

Par défaut, le RPRP est le plus haut dirigeant. Il peut déléguer à un employé désigné, mais reste imputable. Son nom et ses coordonnées doivent être publiés (généralement dans la politique de confidentialité). C'est l'obligation la plus simple et pourtant la plus souvent oubliée par les PME.

Technique d'attaque qui intercepte les jetons d'authentification post-MFA via un proxy reverse, contournant ainsi le MFA traditionnel.

En forte hausse en 2024-2025. Contremesures : MFA résistant au phishing (clés FIDO2, Windows Hello), Conditional Access avec sign-in risk, Defender for Office 365 anti-AiTM, surveillance ITDR. Microsoft 365 Business Premium fournit déjà la base nécessaire.

Politiques techniques qui bloquent l'envoi sortant de données sensibles (NIM, NAS, cartes de crédit) par courriel, partage, ou impression.

Sur Microsoft 365, configuré dans Purview. Démarrage type : politique 'Canada Financial Data' préconfigurée pour bloquer numéros de cartes et NAS. Mode 'audit' 30 jours pour calibrer les faux positifs avant le mode 'block'.

Solution de détection et réponse sur les postes de travail et serveurs. Microsoft Defender for Endpoint est l'EDR de référence pour les organisations Microsoft.

Activé en EDR in block mode, Defender confine automatiquement un poste compromis sans intervention humaine. Inclus dans Microsoft 365 Business Premium et E5.

Détection des menaces ciblant les identités : impossible travel, MFA fatigue, élévation de privilèges anormale, compromission de comptes.

Couvert par Microsoft Defender for Identity (anciennement Azure ATP) et Entra ID Identity Protection. Combiné à Defender for Endpoint pour former Defender XDR.

Mean Time To Respond (MTTR) et Mean Time To Detect (MTTD) : indicateurs clés d'un SOC. Plus c'est court, mieux c'est.

Industrie : MTTD médian d'environ 204 jours sans SOC managé (rapport IBM 2024), MTTR environ 73 jours pour un confinement complet. Avec Defender XDR + SOC managé io4 : MTTR ~8 minutes sur incident critique grâce à la corrélation automatique XDR et l'action humaine 24/7.

Note Microsoft de 0 à 100 mesurant la posture cybersécurité d'une organisation Microsoft 365, devenue référence des cyber-assureurs canadiens en 2026.

Une PME non durcie démarre typiquement à environ 40/100. Avec 12 réglages prioritaires (MFA universel, blocage legacy auth, Defender for Office Preset, EDR in block mode, Sensitivity Labels), passage à 80+ en 30-45 jours. Au-delà de 85, les marginaux coûtent en friction utilisateur sans vraie valeur sécurité.

Managed Detection and Response : service externalisé de surveillance 24/7 des incidents de sécurité, avec triage humain et confinement actif.

Contrairement à un EDR seul (qui détecte sans humain), un SOC managé fournit des analystes qui traitent les alertes 24/7, écartent les faux positifs et exécutent les actions de remédiation prédéfinies. io4 SOC opère sur Microsoft Defender XDR avec un MTTR moyen de ~8 minutes sur incident critique.

Autorité des marchés publics : organisme québécois qui délivre les autorisations de contracter avec les organismes publics du Québec.

L'autorisation AMP est obligatoire pour les contrats de services égaux ou supérieurs à 1 M$ et les contrats de construction égaux ou supérieurs à 5 M$. Processus de 3 à 6 mois, exige des déclarations détaillées sur la propriété, les antécédents, les structures. Sans AMP, un fournisseur est inéligible aux gros contrats publics.

Loi 14 (anciennement projet de loi 96) renforçant les obligations linguistiques en français au Québec depuis 2022.

Pour un site web : la version française doit être au moins équivalente en contenu et accessibilité à toute autre version linguistique. Pour les documents légaux (politique de confidentialité, mentions), la version française fait foi. Pas d'obligation de publier une version anglaise - mais si elle existe, le français doit dominer.

Secrétariat québécois qui publie les conditions générales applicables aux contrats publics, suivies par tous les organismes assujettis.

Les conditions générales du SCT couvrent : garantie de soumission, conformité linguistique (Bill 96), accessibilité (WCAG 2.1 AA), résidence des données, clauses de confidentialité. La quasi-totalité des fournisseurs signent ces conditions sans modification - les négociations sont rares.

Système Électronique d'Appel d'Offres : portail unique du gouvernement du Québec pour publier et déposer les offres aux marchés publics.

Tous les organismes publics québécois (ministères, municipalités, sociétés d'État, réseaux santé/éducation) publient leurs RFP sur SEAO. Les fournisseurs doivent y déposer leur réponse au format prescrit avec garantie de soumission, attestation Revenu Québec valide, et - au-delà de 1 M$ - autorisation AMP.