Il y a quelques mois, on a reçu un appel d'un cabinet comptable de Sainte-Foy. Quinze employés, Microsoft 365, un NAS dans un placard, et un VPN que personne n'avait touché depuis que l'ancien responsable informatique était parti en 2022. « On pense qu'on s'est fait pirater, mais on n'est pas sûrs. » En regardant leur environnement, on a trouvé : RDP ouvert directement sur Internet, trois comptes sans authentification multifacteur, une sauvegarde qui tournait à vide depuis huit mois, et un Windows 7 encore actif sur un poste de secrétariat. Rien de spectaculaire. Rien qu'on ne voit pas régulièrement.
C'est ça, un audit de sécurité informatique dans une PME québécoise : pas une mission de James Bond avec des outils de hacker sophistiqués, mais une vérification méthodique de ce qui est en place, de ce qui manque, et de ce qui crée des risques réels pour vos données et vos opérations. Ce guide explique comment ça se déroule, ce qu'on cherche, et comment prioriser les correctifs sans tout refaire.
La terminologie dans le domaine de la cybersécurité est souvent utilisée de façon interchangeable, ce qui crée de la confusion. Clarifions d'abord les termes.
Un audit de sécurité est une évaluation structurée de votre posture de sécurité : on examine les configurations, les pratiques, les politiques et les procédures en place. C'est essentiellement une vérification — est-ce que ce qui devrait être là est là, et est-ce que ce qui est là est bien configuré ?
Un test d'intrusion (pentest) est différent : un spécialiste essaie activement de contourner vos défenses, comme le ferait un attaquant réel. C'est utile pour les organisations qui ont déjà un niveau de sécurité avancé et veulent tester sa résistance. Pour une PME de 10 à 50 employés qui n'a jamais fait d'audit, le pentest est prématuré — c'est l'équivalent de tester un système d'alarme sophistiqué dans une maison qui n'a pas encore de serrures sur les fenêtres.
Un scan de vulnérabilités est plus automatisé : des outils parcourent votre réseau et identifient les failles connues. C'est un sous-ensemble de l'audit, utile comme point de départ mais insuffisant seul, car il ne capture pas les problèmes de procédures ou de configuration qui ne sont pas des vulnérabilités techniques dans un sens classique.
Pour la très grande majorité des PME québécoises, l'audit de sécurité structuré couvre 80 % des besoins réels. À quelle fréquence ? Au minimum annuellement. Mais certains événements doivent déclencher un audit immédiat : changement d'un employé ayant eu accès aux systèmes critiques, adoption du télétravail ou d'outils en nuage, incident de sécurité passé (même mineur), ou mise en conformité Loi 25.
Un audit sérieux ne se contente pas de regarder le réseau. Voici les six domaines qu'on évalue systématiquement :
On commence par cartographier ce qui est exposé à Internet. Quels ports sont ouverts sur votre routeur ? Y a-t-il des services accessibles de l'extérieur qui ne devraient pas l'être ? Le RDP (Remote Desktop Protocol) est l'exemple le plus fréquent : on le trouve exposé directement sur Internet dans une proportion choquante de PME québécoises, alors qu'il devrait systématiquement passer par un VPN. On évalue aussi la segmentation réseau (les imprimantes, caméras et autres appareils IoT sont-ils séparés des postes de travail ?), la robustesse du WiFi d'entreprise, et la qualité du pare-feu utilisé.
Un point souvent négligé : les équipements réseau eux-mêmes. Le routeur fourni par Bell ou Vidéotron, configuré à l'installation il y a cinq ans et jamais mis à jour depuis, peut contenir des vulnérabilités connues. Chez plusieurs clients de la région de Québec, on a trouvé des routeurs avec le mot de passe par défaut encore actif — celui qui est collé sur l'étiquette du dessous de l'appareil.
Qui a accès à quoi ? C'est la question centrale. On audite les comptes utilisateurs dans Microsoft 365 (ou Google Workspace), les comptes locaux sur les postes de travail, les accès aux applications métier, et les comptes de service. On cherche les comptes d'anciens employés encore actifs (ça arrive bien plus souvent qu'on pense), les comptes sans authentification multifacteur sur des accès critiques, et les mots de passe partagés entre plusieurs personnes.
Le gestionnaire d'un bureau de notaires à Sainte-Foy en télétravail depuis 2020 nous a dit un jour : « On a mis le même mot de passe WiFi pour tout le monde, y compris les stagiaires. » Ce mot de passe n'avait pas changé depuis l'arrivée du dernier stagiaire — qui travaillait maintenant pour un concurrent. Ce n'est pas de la malveillance, c'est simplement de la négligence organisationnelle, et c'est exactement ce qu'un audit permet d'identifier.
La règle 3-2-1 est le minimum absolu : trois copies des données importantes, sur deux types de supports différents, dont une copie hors site. En pratique, on évalue si les sauvegardes sont automatiques, si elles sont testées périodiquement (récupération réelle d'un fichier, pas juste vérifier que le voyant vert est allumé), et si elles sont protégées contre les rançongiciels — certains logiciels malveillants ciblent maintenant les sauvegardes NAS connectées au réseau local.
Une PME manufacturière de Lévis avec qui on a travaillé sauvegardait religieusement ses données sur un NAS depuis trois ans. Problème : la sauvegarde avait échoué silencieusement depuis neuf mois suite à une mise à jour de Windows Server. Il y avait bien un NAS, une routine de sauvegarde, et une lumière verte, mais plus aucune donnée récente depuis trois quarts d'année. L'audit a révélé le problème avant qu'un incident ne le découvre de façon coûteuse.
Quels systèmes d'exploitation tournent dans votre organisation ? Windows 10 perd son support de sécurité en octobre 2025 — des milliers de PME québécoises continueront de l'utiliser avec des vulnérabilités non corrigées. Windows 7 et 8, encore présents dans certaines PME, ne reçoivent plus aucune mise à jour depuis plusieurs années. On évalue aussi l'état des antivirus, le déploiement des mises à jour, et la présence de logiciels obsolètes (Adobe Flash, Java ancien, navigateurs non mis à jour).
Dans un cabinet dentaire de Beauport, on a trouvé un poste de réception sous Windows 8.1, connecté au réseau principal et utilisé pour gérer les prises de rendez-vous en ligne. Ce poste avait accès aux dossiers patients et à la messagerie professionnelle — avec un système qui n'avait pas reçu de correctif de sécurité depuis deux ans.
Un audit technique est incomplet sans évaluer les pratiques humaines. Est-ce qu'il existe une politique d'utilisation des systèmes ? Une procédure pour les nouveaux arrivants (provisioning des accès) et les départs (révocation) ? Un protocole pour signaler un incident de sécurité ? La gestion des BYOD (appareils personnels des employés utilisés pour le travail) ? Ces politiques n'ont pas besoin d'être longues ou complexes pour être efficaces — souvent une page claire vaut mieux que cinquante pages que personne ne lit.
La Loi 25 impose aux organisations québécoises des obligations spécifiques autour des renseignements personnels. L'audit évalue si vous avez désigné un responsable de la protection des renseignements personnels, si vous avez un registre des incidents de confidentialité, si vous savez où sont stockées vos données personnelles et qui y a accès, et si les contrats avec vos fournisseurs tiers incluent les clauses de protection requises.
Depuis l'entrée en vigueur progressive de la Loi 25 entre 2022 et 2023, les PME québécoises ont des obligations légales précises en matière de protection des renseignements personnels. Ces obligations ne concernent pas seulement les grandes entreprises : une PME de cinq employés qui gère des dossiers clients, des coordonnées ou des données de santé est pleinement assujettie.
Les incidents de confidentialité doivent être consignés dans un registre interne et, si le risque de préjudice sérieux est établi, signalés à la Commission d'accès à l'information (CAI) et aux personnes concernées. Un audit évalue si vous avez ce registre, si les employés savent comment signaler un incident, et si votre définition d'un « incident à risque sérieux » est correctement calibrée.
Les transferts à des tiers — que ce soit à un comptable externe, un service en nuage américain, ou un sous-traitant — doivent être encadrés par des ententes contractuelles assurant un niveau de protection équivalent à la loi québécoise. Beaucoup de PME utilisent des dizaines de services en nuage (Slack, Dropbox, Calendly, Zoom) sans avoir évalué la nature des données qui y transitent ni les clauses contractuelles applicables.
Les accès tiers sont un risque sous-estimé. Votre comptable a-t-il accès à votre Microsoft 365 pour faire la paie ? Votre consultant TI externe a-t-il un accès administrateur permanent qui n'est jamais révoqué entre les mandats ? L'audit cartographie ces accès et évalue leur nécessité, leur périmètre et leur surveillance.
L'évaluation des facteurs relatifs à la vie privée (EFVP), également appelée Privacy Impact Assessment (PIA), est obligatoire avant la mise en place de nouveaux systèmes impliquant des renseignements personnels ou avant certains transferts à l'extérieur du Québec. Si vous adoptez un nouveau logiciel de gestion clients cette année, une EFVP simplifiée devrait faire partie de votre processus d'adoption.
Après des dizaines d'évaluations de sécurité dans des PME de la région de Québec — cabinets professionnels, petits manufacturiers, commerces en ligne, firmes de services — certains patterns reviennent de façon quasi-systématique :
Remote Desktop Protocol, port 3389, accessible directement depuis l'extérieur sans passer par un VPN. C'est le vecteur d'attaque numéro un pour les rançongiciels qui ciblent les PME. Des groupes cybercriminels scannent en permanence Internet à la recherche de ces ports ouverts. La correction est simple — un VPN correctement configuré — mais l'erreur est d'une fréquence déconcertante.
Pas métaphoriquement. Littéralement collés sur les moniteurs, sous les claviers, ou dans un fichier texte non chiffré nommé « mot-de-passe-final-v3.txt » sur le bureau. Ce n'est pas une question d'éducation — c'est une conséquence directe de politiques de mots de passe trop contraignantes sans solution de gestion adaptée. La réponse n'est pas de blâmer les employés, c'est de déployer un gestionnaire de mots de passe d'entreprise comme Bitwarden Teams ou 1Password Business.
Un NAS (serveur de stockage réseau) dans le bureau, sauvegardant les postes de travail — c'est une bonne pratique. Mais si ce NAS est la seule copie des données, et qu'il est connecté en permanence au réseau local, un rançongiciel peut l'atteindre. Ou un dégât d'eau au bureau. Ou un vol. La sauvegarde hors site — sur un service en nuage chiffré ou un disque physique conservé ailleurs — est non négociable pour une protection réelle.
L'abonnement antivirus acheté il y a trois ans, dont personne ne se souvient qu'il nécessite un renouvellement annuel. La licence a expiré, le logiciel continue de tourner mais ne reçoit plus de mises à jour des définitions — il est donc aveugle aux nouvelles menaces. Windows Defender, intégré à Windows 10 et 11 et mis à jour automatiquement, est souvent plus fiable qu'un antivirus tiers mal entretenu.
Présents dans les environnements que personne n'a « osé » toucher depuis des années. Souvent sur des postes dédiés à un logiciel spécialisé (comptabilité, contrôle de machine, impression d'étiquettes) qui « ne fonctionne que sur Windows 7 ». Ces postes, s'ils sont connectés au réseau principal, représentent une surface d'attaque permanente. La solution n'est pas toujours de les mettre à jour (le logiciel peut être incompatible) — mais de les isoler du réseau principal.
Un responsable TI interne compétent peut réaliser une bonne partie d'un audit de sécurité. Mais il y a des avantages structurels à faire appel à un regard externe.
L'angle mort interne : quelqu'un qui a mis en place un système le voit rarement avec le regard d'un attaquant. Les configurations qu'on a soi-même choisies paraissent logiques — même quand elles sont problématiques. Un auditeur externe n'a pas ce biais.
La crédibilité : une direction qui reçoit un rapport interne signalant « notre sécurité est insuffisante » peut avoir tendance à minimiser. Le même message d'un professionnel externe avec un rapport documenté est plus facilement entendu.
La conformité : pour la Loi 25, les assureurs cyber, ou certains donneurs d'ordres dans des secteurs réglementés (santé, finance, juridique), un audit externe documenté peut être requis ou fortement recommandé.
Pour les PME sans ressource TI interne dédiée — ce qui représente la majorité des entreprises de moins de vingt employés au Québec — un audit externe annuel est le minimum. Pour les organisations avec un responsable TI interne, un audit externe tous les deux ou trois ans, combiné à un audit interne annuel, est un équilibre raisonnable.
Avant de mandater un professionnel — ou en complément — plusieurs outils gratuits permettent d'obtenir une première image de votre exposition :
Nmap est un scanner réseau libre qui permet de voir quels appareils sont connectés à votre réseau local et quels ports sont ouverts. Exécuter nmap -sV 192.168.1.0/24 (en adaptant à votre plage d'adresses) donne une liste des appareils et des services qu'ils exposent. Ça peut surprendre : des imprimantes qui exposent des services web non sécurisés, des appareils IoT dont vous aviez oublié l'existence, des postes avec des ports ouverts inattendus.
La version gratuite de Nessus permet de scanner jusqu'à 16 adresses IP pour identifier des vulnérabilités connues. C'est l'outil de référence dans l'industrie. L'interface est accessible même pour quelqu'un sans formation approfondie en sécurité — les résultats sont classés par sévérité avec des explications en clair.
Qualys FreeScan scanne vos systèmes depuis l'extérieur, comme le ferait un attaquant distant. Il évalue l'exposition de votre site web et de vos services publics. C'est complémentaire à Nessus, qui fonctionne de l'intérieur. Ensemble, ils donnent une image interne et externe de votre exposition.
Rendez-vous sur haveibeenpwned.com et vérifiez les adresses courriel de vos domaines d'entreprise. Si vos adresses apparaissent dans des fuites de données connues, les mots de passe associés sont probablement dans des bases de données criminelles. C'est une information immédiatement actionnable : forcer la réinitialisation des mots de passe pour les comptes concernés et activer le MFA.
Si vous utilisez Microsoft 365, le Secure Score dans le portail d'administration donne une note sur votre configuration de sécurité et liste les améliorations recommandées par ordre d'impact. C'est un outil Microsoft, donc orienté vers leurs propres recommandations, mais c'est un point de départ excellent et entièrement gratuit dans votre abonnement existant.
Un audit produit typiquement une liste de découvertes. La tentation est de vouloir tout corriger immédiatement — ce qui mène soit à l'épuisement, soit à la paralysie. La bonne approche est de prioriser selon deux axes : le risque réel (probabilité d'exploitation × impact potentiel) et l'effort requis pour corriger.
Priorité absolue — corriger dans les 48 heures : RDP ouvert sur Internet, comptes avec accès critique sans MFA, sauvegardes inexistantes ou non fonctionnelles depuis plus de 30 jours, postes Windows 7/8 connectés au réseau principal avec accès à des données sensibles.
Priorité haute — corriger dans les deux semaines : Mises à jour critiques manquantes sur les postes de travail, antivirus expiré ou désactivé, mots de passe partagés sur des comptes de service, routeur avec firmware obsolète ou mot de passe par défaut.
Priorité moyenne — planifier dans les 30 jours : Politique de mots de passe à définir ou renforcer, déploiement d'un gestionnaire de mots de passe, documentation des accès tiers, mise en place d'un registre d'incidents Loi 25.
Amélioration continue — dans les 90 jours : Formation des employés aux pratiques de base (phishing, signalement d'incident), segmentation réseau pour les appareils IoT, politique BYOD formalisée, tests de restauration des sauvegardes.
Ce qui ressort souvent, et qui surprend les dirigeants, c'est que les corrections les plus critiques sont rarement les plus complexes ou les plus coûteuses. Activer le MFA sur Microsoft 365, fermer le RDP et configurer un VPN correctement, vérifier que les sauvegardes fonctionnent vraiment : ce sont des actions à portée de n'importe quelle PME, et elles éliminent la très grande majorité des risques réels.
On évalue votre posture de sécurité à distance — sans déplacement, sans perturber vos opérations :
Téléphone : (418) 255-8998
C'est une évaluation structurée de votre environnement informatique : réseau, accès utilisateurs, sauvegardes, appareils des employés, politiques internes et conformité réglementaire. L'objectif est d'identifier les vulnérabilités avant qu'un attaquant — ou un incident — ne le fasse à votre place. Contrairement à un test d'intrusion (pentest), un audit ne cherche pas activement à briser le système : il vérifie les configurations, les pratiques et les procédures.
Au minimum une fois par an pour la grande majorité des PME. Mais certains événements déclencheurs justifient un audit immédiat : changement d'employé dans un rôle clé, ajout d'un accès à distance, migration vers le nuage, incident de sécurité passé, ou obligation de conformité Loi 25. Une PME qui n'a jamais fait d'audit devrait en faire un maintenant.
Oui, dans la très grande majorité des cas. L'évaluation du réseau, des accès, des configurations Microsoft 365, des sauvegardes et des politiques peut se faire à distance via connexion sécurisée. Pour la cybersécurité PME, le mode à distance est particulièrement adapté — et permet d'intervenir rapidement sans déplacement.
La Loi 25 n'impose pas un audit annuel au sens strict, mais elle exige que les organisations évaluent les risques liés aux renseignements personnels et documentent leurs mesures de protection. Un audit de sécurité s'inscrit naturellement dans cette démarche et peut constituer une preuve de diligence raisonnable en cas d'incident.
Un audit examine les configurations, les pratiques et les procédures. Un pentest tente activement de contourner ces mesures. Pour la majorité des PME québécoises, un audit structuré suffit. Le pentest est pertinent pour les organisations qui ont déjà un niveau de sécurité mature et veulent tester sa résistance sous conditions réelles.
