On audite vos TI,
on clarifie vos options,
on vous aide à décider.

Un audit informatique indépendant est une évaluation structurée de votre infrastructure TI, de votre posture de cybersécurité et de vos pratiques de gouvernance. Mené par un consultant certifié CISA selon les cadres NIST-CSF, COBIT et ISO 27001, il produit un sommaire direction et un détail technique avec des recommandations priorisées. Factero travaille avec votre équipe TI, pas à sa place. Environnements couramment audités : Microsoft 365, Azure, Entra ID, Google Workspace, AWS, Fortinet, SonicWall, Cisco Meraki, VMware, Hyper-V, Proxmox, Veeam, Acronis, Datto.

Un audit de budget TI est une revue indépendante de vos factures, contrats et dépenses technologiques. Factero analyse vos coûts réels, identifie les surcoûts, les doublons et les renouvellements non justifiés, puis produit des recommandations concrètes de renégociation ou de rationalisation. Indépendante de vos fournisseurs, l'analyse n'est dictée par aucun intérêt commercial. La plupart des organisations paient trop — ou paient mal — sans avoir la visibilité pour le détecter.

Le vCIO (Virtual Chief Information Officer) est un service de direction TI à temps partiel, récurrent et côté client. Factero assure la gouvernance technologique, la préparation des décisions et l'encadrement de vos fournisseurs TI — sans embauche permanente. Ce service s'adresse aux organisations sans directeur TI en poste, mais il peut aussi compléter une ressource interne sur le volet gouvernance.

La direction TI intérimaire est une prise en charge temporaire et complète de la fonction TI de votre organisation. Factero intervient quand le poste de directeur TI est vacant — départ, congé, restructuration — pour assurer la continuité opérationnelle, encadrer les fournisseurs et préparer les décisions technologiques. C'est exactement pour ça que le mandat intérimaire existe : éviter que l'organisation perde de l'altitude en l'absence de leadership TI.

La contre-expertise TI est un avis indépendant sur un devis, une recommandation ou une proposition technologique que vous avez reçue. Factero analyse le document, vérifie la cohérence technique et financière, et vous donne un avis indépendant : Factero n'a aucun intérêt dans le fournisseur évalué ni dans la solution proposée. Quand quelque chose ne colle pas dans ce qu'on vous propose, la contre-expertise sert exactement à ça.

Un test de sauvegardes est une vérification concrète et documentée de la capacité de votre organisation à récupérer ses données en cas d'incident. Factero exécute une restauration réelle dans un environnement isolé, mesure les RPO et RTO réels, et produit un rapport détaillé. Pour les organisations qui veulent aller plus loin, le mandat peut être étendu à la préparation à la relève (BCP/DRP) : analyse d'impact sur les affaires, stratégies de continuité, procédures de bascule, exercices de simulation. La plupart des organisations font confiance au tableau de bord de leur fournisseur — mais le « tout vert » ne dit rien sur ce qui se passe le matin où vous devez réellement reprendre vos opérations.

La reprise après incident TI est un accompagnement structuré qui intervient après la stabilisation technique d'un incident cyber ou TI. Factero valide que la récupération est complète, que la cause racine a été identifiée et que les correctifs ont réellement été appliqués — selon le cadre NIST Incident Response. La pression de revenir à la « normale » est forte, mais « normale » est souvent ce qui a permis l'incident.

La planification stratégique TI est une feuille de route qui aligne vos investissements technologiques sur les objectifs de votre organisation. Factero produit un plan réaliste sur 3 à 5 ans — priorisation des projets, budgets prévisionnels, calendrier de déploiement — basé sur l'état réel de votre infrastructure, pas sur un modèle générique. Sans feuille de route, les achats TI se font au coup par coup et la technologie finit par freiner l'organisation plutôt que la soutenir.

La gestion de la relation fournisseur TI est un accompagnement indépendant pour évaluer, encadrer ou renégocier vos relations avec vos prestataires technologiques. Factero intervient quand la relation ne fonctionne plus — ou avant qu'elle ne dérape — pour analyser les contrats, les niveaux de service et les coûts, puis recommander la meilleure avenue : changer, rester ou réparer. L'analyse est indépendante : Factero ne revend rien et ne reçoit aucune commission d'un éditeur, d'un MSP ou d'un intégrateur.

Le témoin expert en TI et cybersécurité est un professionnel indépendant qui intervient dans un contexte de litige pour rendre les enjeux techniques compréhensibles et vérifiables devant un tribunal. Factero produit des rapports d'expertise structurés, analyse les preuves numériques et témoigne à la cour au besoin. L'associé principal de Factero détient la certification CISA (ISACA), reconnue internationalement pour l'audit des systèmes d'information.

La conformité Loi 25 est un accompagnement structuré pour mettre en œuvre les obligations de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, côté TI et gouvernance. Factero réalise la cartographie des données, met en place les processus de gestion des incidents et de demande d'accès, et sécurise vos systèmes. Important : ce service couvre le volet TI — on ne remplace pas un avis juridique, mais on travaille en collaboration avec vos conseillers juridiques.

L'offre PME est un diagnostic TI structuré conçu pour les petites et moyennes entreprises qui ont besoin d'un avis clair sur une ou deux questions précises — sans lancer un mandat complet. Factero structure la rencontre, analyse votre situation et livre un avis concret en moins de 2 heures. Prix unique : 399 $. Important : ce service est un avis, pas une intervention. Les seules actions techniques sont des observations — lire une configuration, analyser un environnement, évaluer un devis. Aucune action corrective n'est incluse. Vous repartez avec un avis clair pour prendre votre décision, pas avec un technicien qui a modifié vos systèmes. Votre problème est déjà bien cadré? Écrivez-nous directement — pas besoin d'un appel préalable pour démarrer.

Le service Ressources humaines de Factero est un accompagnement qui coordonne les enjeux RH et TI au sein d'un même mandat — conformité Loi 25 côté employés, politiques TI-RH, équité salariale et Loi 27 sur la langue française. Nos partenaires RH (30+ ans d'expérience) travaillent en tandem avec notre équipe TI pour éliminer les incohérences entre vos systèmes et vos politiques. Un seul point de contact, zéro mandat parallèle à gérer. Trois volets disponibles selon votre situation : conformité RH (Loi 25, politiques, télétravail, BYOD), conformité linguistique (Loi 27) et équité salariale.

La conformité RH est un accompagnement qui couvre le volet employés de la Loi 25, les politiques internes (télétravail, BYOD, confidentialité) et la désignation du responsable de la protection des renseignements personnels (RPP). Factero coordonne nos partenaires RH et notre équipe TI pour s'assurer que vos politiques tiennent compte de votre infrastructure réelle — pas seulement des exigences légales abstraites. Le résultat : des politiques applicables, un mandat RPP documenté, un plan de formation et une conformité Loi 25 qui ne s'arrête pas à la théorie.

La conformité Loi 27 est un accompagnement qui couvre les obligations linguistiques imposées par la Charte de la langue française sur les outils TI, les logiciels, les communications internes et les contrats de travail. Factero pilote la conformité du côté TI : inventaire des outils assujettis, évaluation des écarts, plan de mise en conformité et suivi des correctifs. Nos partenaires RH contribuent au volet communications et politiques internes. Ce service s'adresse aux entreprises de 25 employés et plus au Québec — que vous anticipiez une vérification de l'OQLF ou que vous souhaitiez simplement vous conformer proactivement.

L'équité salariale est un exercice obligatoire pour toute organisation québécoise de 10 employés et plus, encadré par la Loi sur l'équité salariale et la CNESST. Le premier exercice est requis dès l'atteinte du seuil, le maintien est dû tous les 5 ans, et les délais courent dès la date de création de l'organisation — pas à partir du moment où vous l'apprenez. Les partenaires RH de Factero réalisent l'exercice avec vous : évaluation des catégories d'emplois, comparaison des rémunérations, rapport de conformité et affichage obligatoire. L'équipe TI intervient lorsque des systèmes de paie ou des outils RH sont en jeu pour assurer la cohérence entre les données et les conclusions.

Le recrutement de directeur TI est un service d'accompagnement qui commence par la définition du bon profil — construit à partir de votre réalité TI, pas d'un modèle générique. Valérie Gravel (CRHA), partenaire RH de Factero spécialisé en recrutement de cadres TI, pilote le processus de bout en bout : audit du contexte technologique, rédaction du profil, recherche de candidats, évaluation et intégration. Ce service est particulièrement adapté aux organisations qui sortent d'un mandat intérimaire ou vCIO Factero — le profil est défini à partir d'une connaissance concrète de votre environnement, pas d'une description de poste théorique.

Un accompagnement à la certification ISO 27001 est un mandat structuré qui mène votre organisation du point de départ jusqu'à la recommandation de certification par un organisme accrédité tiers. Factero pilote la démarche : analyse d'écart, construction du Système de gestion de la sécurité de l'information (SGSI), rédaction des politiques, implémentation des 93 contrôles de l'Annexe A, audit interne, et revue de direction. Nous préparons — nous ne certifions pas. L'organisme certificateur (BSI, DNV, Bureau Veritas, SGS, Intertek, etc.) reste un tiers accrédité, comme il se doit. Démarche conduite par un associé principal certifié CISA, avec les référentiels ISO 27001:2022, ISO 27002:2022 et NIST-CSF en appui.

Un accompagnement à la certification CAN/DGSI 104 est un mandat structuré qui mène votre organisation de l'évaluation initiale jusqu'à la recommandation de certification par un organisme accrédité tiers, dans le cadre du programme CyberSécuritaire Canada (CyberSecure Canada). La norme spécifie 18 contrôles de cybersécurité principaux (55 sous-contrôles) répartis dans les Sections 5 et 6 du standard, avec deux niveaux d'exigences (Niveau 1 et Niveau 2). La révision Rev 1:2024 a clarifié la distinction entre Niveau 1 et Niveau 2 sur six domaines : formation cybersécurité, évaluation des risques, plan de réponse aux incidents, configuration sécurisée, sauvegardes, et services infonuagiques / TI externalisés. Factero pilote la démarche : choix du niveau (1 ou 2), analyse d'écart, implémentation des contrôles, documentation, audit interne, accompagnement pendant l'audit de certification, et préparation de l'audit de maintien à 12 mois. Nous préparons — nous ne certifions pas. L'organisme certificateur, accrédité par le Conseil canadien des normes (SCC/CCN) selon ISO/IEC 17021-1, reste un tiers indépendant. Démarche conduite par un associé principal certifié CISA, avec CAN/DGSI 104:2021 Rev 1:2024 comme norme cible et NIST-CSF en appui pour la priorisation des risques.

Un accompagnement SOC 2 (readiness) est un mandat structuré qui prépare votre organisation à l'examen conduit par un cabinet CPA indépendant et à l'obtention d'un rapport SOC 2 conforme aux Trust Services Criteria (TSC) 2017 de l'AICPA (avec les points of focus révisés en 2022). Factero pilote la démarche côté client : sélection du type de rapport (Type 1 ou Type 2) et des critères (Sécurité obligatoire, Disponibilité, Intégrité du traitement, Confidentialité, Protection de la vie privée), analyse d'écart, implémentation des contrôles, rédaction de la description du système, audit interne, accompagnement pendant l'examen du CPA. Nous préparons — nous n'émettons pas le rapport. Le rapport SOC 2 est émis exclusivement par un cabinet CPA indépendant, conformément aux normes SSAE No. 23 de l'AICPA. C'est ce qui lui donne sa valeur. Démarche conduite par un associé principal certifié CISA, avec les TSC 2017 comme cible et NIST-CSF en appui.

Un accompagnement à la certification PCCC (Programme canadien de certification en cybersécurité, en anglais CPCSC) est un mandat structuré qui prépare votre organisation à répondre aux exigences cyber imposées par Services publics et Approvisionnement Canada (SPAC) sur les contrats de défense. Le programme a été annoncé le 12 mars 2025 par SPAC, et son document technique de référence ITSP.10.171 (Protection de l'information désignée dans les organisations et systèmes ne relevant pas du gouvernement du Canada) a été publié par le Centre canadien pour la cybersécurité avec entrée en vigueur le 2 avril 2025. Le programme prévoit trois niveaux de certification : Niveau 1 (autoévaluation, 13 exigences de sécurité fondamentales), Niveau 2 (évaluation par tiers, 97 contrôles complets), et Niveau 3 (conduit par le gouvernement canadien, réservé aux scénarios à très haut risque). Factero pilote la démarche : choix du niveau, analyse d'écart contre la norme ITSP.10.171, implémentation des contrôles manquants, documentation, autoévaluation (Niveau 1) ou préparation à la certification (Niveau 2) par un organisme accrédité par le Conseil canadien des normes (SCC/CCN). Nous préparons — nous ne certifions pas. La certification de Niveau 2 est délivrée par un organisme d'évaluation tiers, accrédité selon ISO/IEC 17020. Démarche conduite par un associé principal certifié CISA, avec ITSP.10.171 comme cible et NIST SP 800-171 Rev. 3 en référence directe (à distinguer du CMMC américain qui est basé sur Rev. 2 — voir la FAQ dédiée). Factero est lui-même certifié PCCC niveau 1 selon ITSP.10.171 (attestation valide du 2026-05-19 au 2027-05-19) — nous appliquons à notre organisation le même référentiel fédéral de cybersécurité que celui vers lequel nous accompagnons nos clients, selon la même logique que pour notre propre certification d'entreprise CyberSécuritaire Canada (CAN/DGSI 104:2021 / Rev 1: 2024). Preuves disponibles sur demande via notre Trust Center.

Un accompagnement à la certification TGV (Trousse globale de vérification) est un mandat structuré qui mène votre produit ou service technologique de l'autodéclaration jusqu'à l'attestation de conformité délivrée par le Bureau de certification et d'homologation (BCH) du MSSS / Santé Québec. Factero pilote la démarche côté fournisseur : lecture et priorisation des 254 critères au moment d'écrire ces lignes répartis en 4 domaines (sécurité, protection des renseignements personnels, performance, technologie), préparation de la documentation, implémentation des contrôles manquants, coordination du test d'intrusion, revue avant dépôt, et accompagnement pendant la vérification par la firme externe spécialisée (30 jours ouvrables). La TGV évolue régulièrement — Factero suit activement les travaux du MSSS et anticipe les prochaines versions afin que les dispositifs construits avec nos clients tiennent dans le temps. Nous préparons — nous ne certifions pas. La certification est délivrée exclusivement par le BCH, après vérification indépendante. Démarche conduite par un associé principal certifié CISA, avec la LPRPSP (Loi 25), la LADOPPRP, le cadre normatif GIU du MSSS et le NIST-CSF comme référentiels d'appui.

Un accompagnement à la conformité Edtech est un mandat structuré qui prépare votre produit ou service technologique destiné au secteur scolaire québécois à répondre aux exigences de sécurité de l'information imposées par les centres de services scolaires (CSS), le ministère de l'Éducation du Québec (MEQ) et leurs cadres de référence. Factero pilote la démarche côté fournisseur : lecture des cadres réglementaires applicables (LGGRI, Directive sur la sécurité de l'information gouvernementale, Loi 25, exigences spécifiques des CSS), analyse d'écart, rédaction des pièces probantes, accompagnement pendant les évaluations des CSS clients. Notre rôle n'est pas de remplacer une certification — il n'existe pas, à ce jour, de certification Edtech officielle équivalente à la TGV en santé. Notre rôle est de structurer votre dispositif de sécurité et votre documentation pour répondre honnêtement et efficacement aux exigences contractuelles qui se sont durcies depuis 2023. Démarche conduite par un associé principal certifié CISA, avec NIST-CSF, ISO 27002 et les cadres provinciaux applicables comme référentiels d'appui.

Un accompagnement cyberassurance est un mandat structuré qui prépare votre organisation à répondre correctement aux exigences de souscription ou de renouvellement d'une police de cyberassurance. Factero lit les questionnaires d'assureurs avec vous, identifie les écarts entre votre posture réelle et ce que vous êtes tentés de déclarer, propose des correctifs avant la soumission, et vous accompagne dans les échanges avec votre courtier ou votre assureur. Nous ne vendons pas d'assurance. Nous ne touchons pas de commission. Notre seul intérêt est que votre police vous protège vraiment quand vous en aurez besoin — et qu'elle ne soit pas annulée pour fausse déclaration le matin de l'incident.

Un exercice de crise tabletop est une simulation animée d'un incident majeur — rançongiciel, sinistre, perte d'un fournisseur critique, fraude interne, fuite de données — joué autour d'une table avec votre direction, votre équipe TI et vos partenaires clés. Factero conçoit un scénario réaliste adapté à votre secteur, l'anime heure par heure, documente les décisions prises et les angles morts révélés, et vous remet un rapport, un plan d'action priorisé, une lecture de direction et une attestation formelle directement transmissible à votre assureur cyber. L'exercice peut être autonome ou s'intégrer à un mandat plus large (BCP/DRP, certification ISO 27001 / CAN/DGSI 104 / SOC 2, accompagnement cyberassurance). Aucun plan ne survit au premier contact avec un vrai incident sans avoir été testé — l'idée du tabletop est de provoquer les surprises en salle de réunion, pas en plein chaos.

ISO/IEC 42001:2023 est la première norme internationale de système de management de l'intelligence artificielle (AIMS — Artificial Intelligence Management System), publiée en décembre 2023. Elle s'applique aux organisations qui développent, fournissent ou utilisent des systèmes d'IA, et exige un dispositif structuré pour gérer la transparence, la responsabilité, les biais, la sécurité et la vie privée tout au long du cycle de vie des systèmes d'IA. Factero accompagne deux profils d'organisations : celles qui visent la certification ISO 42001 comme démarche autonome, et celles qui veulent l'aborder en continuité naturelle d'une démarche ISO 27001 existante. La structure des deux normes est délibérément alignée (annex SL identique, approche risk-based, Statement of Applicability), ce qui permet de réutiliser une grande partie du dispositif déjà en place. (Source : ISO/IEC 42001:2023, publiée par l'ISO et l'IEC.)