En 2025, 58 % des PME canadiennes ont été victimes d'au moins un incident de cybersécurité. Et pourtant, la majorité d'entre elles n'ont toujours pas de plan de protection adéquat. Au Québec, la situation est d'autant plus critique que la Loi 25 impose désormais des obligations strictes en matière de protection des données personnelles — avec des amendes pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.
Si vous dirigez une PME au Québec, ce guide est conçu pour vous. Pas de jargon technique inutile, pas de solutions à 100 000 $ — juste 10 mesures concrètes et abordables que vous pouvez mettre en place dès cette semaine pour protéger votre entreprise, vos employés et vos clients.
La réalité des chiffres
Le coût moyen d'une cyberattaque pour une PME canadienne est de 25 000 $ à 100 000 $. 60 % des petites entreprises victimes d'une attaque majeure ferment dans les 6 mois suivants. La prévention coûte une fraction de ces montants.
Les Menaces les Plus Courantes pour les PME Québécoises
| Menace | Fréquence | Impact moyen |
|---|---|---|
| Phishing (hameçonnage) | Très élevée (91 % des attaques commencent par un courriel) | Vol de données, accès au réseau |
| Ransomware (rançongiciel) | Élevée | Paralysie complète, rançon de 50 000 $+ |
| Compromission de comptes | Élevée | Accès aux courriels et données clients |
| Ingénierie sociale | Moyenne-Élevée | Fraude au président, transferts bancaires |
| Malware via téléchargements | Moyenne | Espionnage, vol de données |
| Attaques WiFi | Moyenne | Interception de communications |
Les 10 Mesures Essentielles
Mesure 1 : Former vos employés contre le phishing
Le maillon le plus faible de toute chaîne de sécurité, c'est l'humain. 91 % des cyberattaques réussies commencent par un courriel de phishing — un faux message qui semble provenir d'un fournisseur, d'un client ou même de votre banque, conçu pour voler vos identifiants ou installer un malware.
Ce que vous devez mettre en place :
- Sessions de sensibilisation régulières — au minimum trimestrielles, de 15 à 30 minutes
- Tests de phishing simulés — envoyez de faux courriels d'hameçonnage à vos employés pour mesurer leur vigilance. Des outils comme KnowBe4 ou Gophish (gratuit) facilitent cela
- Protocole de vérification — toute demande inhabituelle (changement de coordonnées bancaires, transfert urgent) doit être confirmée par téléphone via un numéro connu, jamais par courriel
- Signalement facile — un bouton « Signaler comme phishing » dans Outlook ou Gmail simplifie le processus
Astuce rapide
Apprenez à vos employés les 3 signaux d'un courriel de phishing : l'urgence artificielle (« Votre compte sera fermé dans 24 h »), les fautes d'orthographe, et les URL suspectes (survolez sans cliquer pour voir la vraie adresse).
Mesure 2 : Activer l'authentification à deux facteurs (2FA) partout
L'authentification à deux facteurs ajoute une couche de sécurité au-delà du mot de passe. Même si un pirate obtient le mot de passe d'un employé, il ne pourra pas se connecter sans le deuxième facteur (code SMS, application d'authentification, ou clé physique).
Où activer le 2FA en priorité :
- Courriels professionnels (Microsoft 365, Google Workspace) — c'est la porte d'entrée numéro un
- Accès VPN et bureau à distance
- Comptes bancaires et financiers
- Services cloud (Dropbox, OneDrive, SharePoint)
- Réseaux sociaux d'entreprise
Recommandation : Privilégiez une application d'authentification (Microsoft Authenticator, Google Authenticator, Authy) plutôt que les SMS, qui peuvent être interceptés par SIM swapping.
Mesure 3 : Mettre en place une politique de mots de passe robuste
Les mots de passe faibles restent la cause numéro un des compromissions de comptes. En 2026, un mot de passe de 8 caractères peut être craqué en moins de 30 minutes par une attaque par force brute moderne.
| Pratique | Mauvaise | Bonne |
|---|---|---|
| Longueur | 8 caractères | 14+ caractères (phrase de passe) |
| Réutilisation | Même mot de passe partout | Unique pour chaque service |
| Stockage | Post-it, fichier Excel | Gestionnaire de mots de passe |
| Changement | Forcé tous les 90 jours | Uniquement après compromission |
Gestionnaires de mots de passe recommandés pour PME : 1Password Business (6 $/utilisateur/mois), Bitwarden Teams (4 $/utilisateur/mois), ou Keeper Business (3,75 $/utilisateur/mois).
Mesure 4 : Sauvegardes automatisées — la règle 3-2-1
La sauvegarde est votre dernière ligne de défense contre le ransomware. Si vos données sont correctement sauvegardées, un ransomware perd tout son pouvoir de chantage.
3 copies de vos données
L'original + 2 sauvegardes. Une seule sauvegarde n'est pas suffisante — elle peut aussi être compromise.
2 types de supports différents
Par exemple : serveur local (NAS) + cloud. Ou disque externe + cloud. Deux supports différents réduisent le risque de perte simultanée.
1 copie hors site
Au minimum une sauvegarde dans un emplacement géographiquement différent (cloud canadien, coffre-fort bancaire, ou bureau secondaire). Protège contre les incendies, les inondations et le vol.
Important : Testez vos sauvegardes régulièrement. Une sauvegarde que vous n'avez jamais restaurée peut très bien être corrompue sans que vous le sachiez. Consultez notre guide complet de sauvegarde pour les détails.
Mesure 5 : Installer et configurer un pare-feu (firewall)
Un pare-feu contrôle le trafic réseau entrant et sortant de votre entreprise. Pour une PME, deux niveaux de protection sont nécessaires :
- Pare-feu réseau (matériel) : Un appareil dédié entre votre réseau et Internet. Pour les PME, des solutions comme Fortinet FortiGate, Sophos XG ou Ubiquiti Dream Machine sont abordables (300 $ à 1 500 $)
- Pare-feu logiciel (sur chaque poste) : Windows Defender Firewall est suffisant pour la majorité des cas, à condition d'être correctement configuré
Assurez-vous que le pare-feu bloque les connexions entrantes non sollicitées et que les règles sont régulièrement révisées.
Audit de Cybersécurité pour PME
IT Cares offre un audit complet de sécurité informatique pour les PME québécoises. Identification des vulnérabilités, recommandations concrètes, et mise en place des protections.
Mesure 6 : Utiliser un VPN pour les connexions à distance
Avec le télétravail devenu la norme pour beaucoup de PME québécoises, un VPN (Virtual Private Network) est indispensable. Il chiffre les communications entre l'ordinateur de l'employé et le réseau de l'entreprise, empêchant l'interception des données sur les réseaux WiFi publics ou domestiques.
- VPN d'entreprise (recommandé) : WireGuard, OpenVPN, ou les solutions intégrées aux pare-feu Fortinet/Sophos
- VPN commercial (alternative) : NordVPN Teams, Perimeter 81 ou Cloudflare WARP for Teams
- Configuration critique : Forcez tout le trafic par le VPN (split tunneling désactivé) et activez le kill switch
Pour plus de détails, consultez notre guide de sécurité du télétravail.
Mesure 7 : Maintenir tous les logiciels à jour
Les mises à jour de sécurité corrigent des vulnérabilités que les pirates exploitent activement. Le tristement célèbre ransomware WannaCry, qui a paralysé des centaines de milliers d'ordinateurs en 2017, exploitait une faille pour laquelle Microsoft avait publié un correctif deux mois avant l'attaque.
- Système d'exploitation : Activez les mises à jour automatiques sur tous les postes
- Navigateurs web : Chrome, Firefox et Edge se mettent à jour automatiquement — ne désactivez jamais cette fonction
- Logiciels tiers : Java, Adobe Reader, Zoom — mettez-les à jour dès qu'une notification apparaît
- Firmware : Routeurs, pare-feu, imprimantes — ces appareils sont souvent oubliés et deviennent des points d'entrée
Mesure 8 : Planifier un processus de réponse aux incidents
Même avec toutes les protections du monde, un incident peut arriver. Ce qui fait la différence entre une entreprise qui survit et une qui ferme, c'est la rapidité et la qualité de la réponse.
Votre plan de réponse devrait inclure :
- Détection : Comment savez-vous qu'un incident est en cours ? (Alertes antivirus, comportement anormal, signalement employé)
- Confinement : Isoler immédiatement le ou les postes compromis du réseau
- Évaluation : Déterminer l'étendue de la compromission
- Éradication : Supprimer la menace et corriger la vulnérabilité exploitée
- Récupération : Restaurer les systèmes à partir des sauvegardes
- Communication : Informer les parties prenantes (clients, CAI si données personnelles touchées — obligation Loi 25)
- Post-mortem : Analyser ce qui s'est passé et renforcer les défenses
Mesure 9 : Se conformer à la Loi 25 du Québec
La Loi 25 (anciennement projet de loi 64) est pleinement en vigueur depuis septembre 2024 et s'applique à toutes les entreprises québécoises, quelle que soit leur taille. Les obligations principales :
- Nommer un responsable de la protection des renseignements personnels (par défaut, c'est la personne ayant la plus haute autorité dans l'entreprise)
- Politique de confidentialité publiée sur votre site web
- Consentement explicite pour la collecte et l'utilisation des données personnelles
- Signalement obligatoire des incidents de confidentialité à la CAI (Commission d'accès à l'information) dans les 72 heures
- Évaluation des facteurs relatifs à la vie privée (EFVP) avant tout nouveau projet impliquant des données personnelles
- Droit à la portabilité des données pour vos clients
Amendes Loi 25
Les amendes pour non-conformité peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour une entreprise. Pour un individu, jusqu'à 100 000 $. La CAI a commencé à auditer et sanctionner activement en 2025.
Mesure 10 : Faire appel à un expert en cybersécurité
Vous n'avez pas besoin d'un département TI de 10 personnes pour protéger votre PME. Un partenaire informatique externe peut gérer votre sécurité à une fraction du coût d'un employé à temps plein.
Ce que devrait inclure un contrat de service cybersécurité PME :
- Surveillance continue des menaces (monitoring 24/7)
- Gestion des mises à jour et des correctifs
- Gestion des sauvegardes et tests de restauration
- Formation continue des employés
- Réponse aux incidents en cas d'attaque
- Audit de conformité Loi 25
Chez IT Cares, nous offrons des forfaits de cybersécurité adaptés aux PME québécoises à partir de 299 $/mois. Consultez notre page services aux entreprises pour les détails.
Protégez Votre PME Maintenant
Ne devenez pas une statistique. Contactez IT Cares pour un audit de cybersécurité gratuit et découvrez les vulnérabilités de votre entreprise avant les pirates.
Budget Cybersécurité : Combien Investir ?
| Mesure | Coût approximatif | Priorité |
|---|---|---|
| Formation employés (trimestrielle) | Gratuit à 499 $/session | Critique |
| Gestionnaire de mots de passe | 4-6 $/utilisateur/mois | Critique |
| 2FA (Microsoft Authenticator) | Gratuit | Critique |
| Sauvegardes cloud | 10-50 $/mois | Critique |
| Pare-feu matériel | 300-1 500 $ (achat unique) | Haute |
| VPN d'entreprise | 5-15 $/utilisateur/mois | Haute |
| Antivirus d'entreprise | 3-8 $/poste/mois | Haute |
| Conformité Loi 25 | 500-3 000 $ (mise en place) | Obligatoire |
| Audit de sécurité annuel | 500-2 000 $ | Recommandé |
Pour une PME de 10 à 25 employés, un budget cybersécurité de 500 $ à 1 500 $ par mois couvre les mesures essentielles. Comparé au coût moyen d'une cyberattaque (25 000 $ à 100 000 $+), c'est un investissement très rentable.
Questions Fréquentes — Cybersécurité PME
Combien coûte une cyberattaque pour une PME québécoise ?
Le coût moyen est de 25 000 $ à 100 000 $, incluant la perte de revenus, la restauration des systèmes, les frais juridiques et les dommages à la réputation. Les rançons de ransomware demandées aux PME sont en moyenne de 50 000 $ à 200 000 $, sans compter les coûts indirects comme la perte de confiance des clients.
Qu'est-ce que la Loi 25 et comment affecte-t-elle ma PME ?
La Loi 25 oblige toutes les entreprises québécoises à protéger les données personnelles qu'elles collectent. Depuis septembre 2024, vous devez avoir un responsable de la protection des données, des politiques de confidentialité, un processus de signalement des incidents, et obtenir le consentement explicite pour la collecte de données.
Mon entreprise de 5 employés a-t-elle vraiment besoin de cybersécurité ?
Absolument. 43 % des cyberattaques visent les petites entreprises, justement parce qu'elles ont moins de protections. Les mesures de base (mots de passe forts, 2FA, sauvegardes, formation) coûtent très peu et préviennent la grande majorité des attaques.
Comment former mes employés sans gros budget ?
Le Centre canadien pour la cybersécurité offre des ressources gratuites en français. Organisez des sessions mensuelles de 15 minutes sur un sujet précis. IT Cares offre des formations en entreprise à partir de 499 $ par session. Appelez-nous au (581) 398-1270.
Quel antivirus pour une PME ?
En 2026, les meilleures options sont Microsoft Defender for Business (inclus dans Microsoft 365 Business Premium), Bitdefender GravityZone, et SentinelOne. Le choix dépend de votre infrastructure existante.
À quelle fréquence faire des sauvegardes d'entreprise ?
Au minimum quotidiennement pour les données critiques. Suivez la règle 3-2-1 et testez vos sauvegardes régulièrement. Une sauvegarde jamais testée peut être corrompue sans que vous le sachiez.
Commentaires (2)
Article excellent et très pertinent pour les PME. J'ai fait appel à IT Cares pour un audit de sécurité de mon cabinet comptable (12 employés). Ils ont trouvé des failles que je n'aurais jamais identifiées seul, notamment des postes sans 2FA et des sauvegardes non testées depuis 2 ans. Investissement très rentable quand on pense aux données sensibles de nos clients.
La section sur la Loi 25 m'a ouvert les yeux. On collecte des données de clients pour notre boutique en ligne et on n'avait même pas de politique de confidentialité. On a tout corrigé grâce à vos recommandations. Merci !
Laisser un commentaire