Rédigé par Eric Stephen SIGNE
le 24 octobre 2025

Entre conformité et complexité : la nouvelle loi canadienne sur la cybersécurité décryptée

(Projet de loi sur la Cybersécurité Loi C-26)

Loi sur la Cybersécurité au Canada en 2025

Pourquoi la loi sur la cybersécurité est-elle utile?

Ne plus se contenter des recommandations techniques ou des politiques dispersées
Nécessité d’adopter une approche légale et proactive d’où la naissance de la Loi C-26 (Loi sur la cybersécurité)

Problématique: aujourd’hui, quel est le niveau d’adoption de la Loi surla Cybersécurité?

Cadre légal, tendances et statistiques canadiennes

Énoncé en 2022, la Loi C-26 vise à renforcer la Cybersécurité des Infrastructures critiques car introduit des obligation pour des entreprises dites stratégiques et vient modifier:

Les lois sur la communication, sur la gestion des urgences

Objectifs clés de la Loi C-26:

Contraindre à appliquer les mesures de protection minimales pour les systèmes critiques
Solliciter les rapports d’incidents de cybersécurité (Délai de réclamation 24h de manière générale)
Exiger les correctifs immédiats en cas de vulnérabilités critiques

Entités concernées: Télécommunication – Énergie (électricité, pétrole, gaz) – Transport (ferroviaire, maritime, aérien) – Service financiers – Santé – etc.

Selon le CCC (Centre Canadien pour la Cybersécurité), plus de 40% des entités visées n’ont pas encore mis en œuvre les mesures du programme de la cybersécurité conformément aux exigences minimales.

Risques, cas réels, conséquences

Nous avons enregistré plusieurs incidents majeurs ces dernière années:

Rançongiciel contre la Régie de la santé de Terre-Neuve (2021)
Tentatives d’infiltration dans les réseaux de Télécommunications (2022- 2023)
Piratage de la base de données d’un fournisseur de transport ferroviaire (2024)

-Ces incidents ont révélés:

Un manque de coordination intersectorielle
Des délais dans la détection et la réponse
Une méconnaissance du cadre légal par de nombreuses PME sous-traitantes by many subcontracting SMEs

Conséquences: Avec la loi C-26, le non-respect des exigences peut entrainer des sanctions, des ordonnances judiciaires, voire l’interruption de certaines opérations.

Recommandations clés

Pour les Grandes entreprises / les Infrastructures critiques:

Élaborer une procédure de déclaration d’incident claire, concis et rapide
Effectuer un audit de conformité C-26 chaque année
Nommer un responsable cybersécurité (CISO) et mettre en œuvre une gouvernance adaptée
Se conformer aux Directives du Centre Canadien pour la Cybersécurité (Cadre CCC)

Pour les PME ou Sous-traitant:

Mettre à jour les politiques de sécurité interne
Mettre en place un registre d’incidents et un plan de réponse
Se rassurer que les systèmes patchés, segmentés et surveillés en continue
Solliciter régulièrement l’expertise conseil au besoin

La loi C-26 marque virage stratégique dans la posture du paysage numérique au Canada en imposant un niveau de vigilance, de traçabilité et de préparation inédit accru.

Plus d'articles

Nouvelles Frontières de la Défense

le 24 octobre 2025

L’IA progresse rapidement et s’intègre dans tous les domaines technologiques, y compris la cybersécurité

Lire plus

Protection des Renseignements Personnels

le 24 octobre 2025

En 2025, toutes les dispositions de la Loi 25 sont pleinement en vigueur. Enfreindre cette loi, c’est s’exposer à des sanctions sévères, mais surtout à une perte de confiance des clients.

Lire plus

Cybersécurité et les Infrastructures Critiques Canadiennes

le 24 octobre 2025

Au cours des dernières années, le Canada a continué de déployer des efforts importants en matière de cybersécurité grâce à une transformation numérique importante.

Lire plus