En mars 2025, un cabinet comptable de Sainte-Foy a reçu un courriel qui semblait venir de l'Agence du revenu du Canada. L'objet : « Avis de vérification — pièces jointes requises ». L'assistante administrative a cliqué sur le lien, entré ses identifiants, et en moins de 48 heures, l'ensemble du réseau du cabinet était chiffré par un rançongiciel. Dix-sept ans de fichiers de clients, les déclarations de revenus de 340 entreprises, les états financiers — tout inaccessible. Le cabinet a fonctionné sur papier pendant trois semaines, perdu deux clients majeurs, et a dû aviser la Commission d'accès à l'information du Québec conformément à la Loi 25.
Ce n'est pas une histoire inventée pour faire peur. C'est le type d'incident qu'on entend de plus en plus souvent, de la part de PME québécoises de toutes les tailles et de tous les secteurs. La cybersécurité n'est plus une affaire réservée aux grandes entreprises qui ont des départements IT complets. Elle concerne la PME manufacturière de Lévis avec 22 employés, le cabinet dentaire de Beauport avec trois chaises, le consultant indépendant de Limoilou qui travaille de chez lui sur sa connexion Vidéotron.
Ce guide est un document de terrain. Il ne cherche pas à vous vendre de la peur ni à vous noyer dans du jargon technique. Il vous donne une image honnête de ce qu'on voit en pratique, de ce qui marche vraiment, et de ce que vous pouvez commencer à faire dès aujourd'hui.
Il y a quelque chose de particulier au contexte québécois qui aggrave l'exposition des PME. Ce n'est pas une question de compétence ou de négligence. C'est une combinaison de facteurs structurels.
D'abord, le virage télétravail de 2020 a été massif et brutal. Des dizaines de milliers d'employés ont commencé à travailler depuis leur domicile, souvent sur des appareils personnels, sur des connexions Bell ou Vidéotron résidentielles, sans VPN, sans politique de sécurité mise à jour. Trois ans plus tard, beaucoup de ces configurations existent encore, figées dans l'urgence de l'époque. Le réseau de l'entreprise s'est étendu dans des dizaines de maisons sans que personne n'ait pris le temps de sécuriser cette extension.
Ensuite, les PME québécoises ont une forte proportion de leur parc informatique acheté au Bureau en Gros ou chez des détaillants grand public. Ces appareils viennent avec des configurations par défaut pensées pour la maison, pas pour l'entreprise. Les routeurs fournis avec les forfaits Bell Fibre ou Vidéotron Affaires sont des modèles grand public rebaptisés : ils n'ont pas les fonctions de sécurité d'un équipement d'entreprise réel.
Enfin, la Loi 25 a changé la donne légale de façon significative. Avant, une PME victime d'une fuite de données pouvait gérer ça discrètement. Maintenant, elle a l'obligation légale de déclarer tout incident de confidentialité à la Commission d'accès à l'information, et d'aviser les personnes concernées si le risque est sérieux. La cybersécurité est devenue une obligation légale, pas seulement une bonne pratique.
Les menaces auxquelles font face les PME québécoises ne sont pas mystérieuses. Elles sont prévisibles, documentées, et dans la grande majorité des cas, évitables. Voici les cinq qu'on voit le plus souvent en pratique.
L'hameçonnage reste la porte d'entrée numéro un dans les réseaux de PME. Pas les courriels grossiers avec des fautes d'orthographe que tout le monde reconnaît : les attaques modernes sont sophistiquées. Un courriel qui imite parfaitement l'interface de Bell, de Desjardins ou de l'ARC. Un message de « votre collègue » qui demande un transfert urgent parce qu'il est en déplacement. Une notification LinkedIn qui mène à une page de connexion frauduleuse. Le degré de personnalisation des attaques a explosé depuis l'arrivée des outils d'IA générative, qui permettent de créer des courriels sans fautes, dans le bon contexte, avec le bon niveau de formalité.
Quand un rançongiciel frappe une PME, il ne chiffre pas qu'un fichier. Il parcourt systématiquement tout ce qu'il peut atteindre : le disque local, les lecteurs réseau partagés, les sauvegardes accessibles depuis le réseau, parfois les services cloud synchronisés. Une PME manufacturière de la région de Lévis qu'on a aidée à récupérer avait perdu ses gabarits de production, ses commandes en cours, ses listes de fournisseurs et ses archives comptables des cinq dernières années — tout ça en moins de 20 minutes. La restauration a pris 11 jours. Les clients n'ont pas tous attendu.
Les attaques par vol d'identifiants fonctionnent souvent par une méthode simple : l'attaquant achète sur un forum illégal une liste de combinaisons courriel/mot de passe provenant d'une fuite d'un autre service (LinkedIn, Dropbox, Adobe), et essaie ces combinaisons sur votre messagerie d'entreprise, votre VPN ou votre portail de gestion. Si votre employé utilise le même mot de passe partout — ce que font la majorité des gens — l'accès est immédiat. C'est pour ça que l'authentification à deux facteurs n'est pas optionnelle.
Depuis 2020, les accès à distance se sont multipliés dans toutes les PME. Bureau à distance (RDP) exposé directement sur Internet, VPN avec une version ancienne non patchée, logiciels d'accès à distance installés à la va-vite pendant la pandémie et jamais vraiment sécurisés. Un VPN Fortinet ou Cisco non mis à jour peut contenir des failles critiques connues depuis des mois. Les attaquants scannent l'Internet en continu pour les identifier. Une PME avec un VPN vulnérable est une cible visible.
La fraude au virement bancaire (aussi appelée BEC — Business Email Compromise) est particulièrement rentable pour les attaquants. Le scénario classique : l'attaquant compromet ou imite le courriel du propriétaire ou du directeur financier, et envoie une demande urgente à la comptable pour effectuer un virement vers un nouveau fournisseur. Ou le faux fournisseur qui avise que ses coordonnées bancaires ont changé et demande à mettre à jour le fichier de paiement. Ces fraudes coûtent des dizaines de milliers de dollars aux PME québécoises chaque année.
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (communément appelée Loi 25) a été adoptée en 2021 et est entrée en vigueur par phases entre 2022 et 2023. Elle change fondamentalement la relation des entreprises québécoises avec la sécurité informatique.
Voici ce que la Loi 25 impose concrètement à votre PME, même si vous n'avez que quelques employés :
Désigner un responsable de la protection des renseignements personnels (RPRP). Il n'a pas besoin d'être un expert technique — dans une petite PME, c'est souvent le propriétaire lui-même. Mais son rôle doit être formellement attribué et documenté, et ses coordonnées doivent être publiées sur votre site web.
Effectuer une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant tout projet impliquant des renseignements personnels. Nouveau système CRM, nouveau logiciel de paie, nouveau portail client — tous ces projets doivent passer par une évaluation des risques avant d'être déployés.
Déclarer tout incident de confidentialité à la Commission d'accès à l'information (CAI). Si votre réseau est compromis et que des renseignements personnels ont pu être accessibles à des personnes non autorisées, vous avez l'obligation légale de le déclarer. La CAI peut imposer des amendes administratives importantes en cas de manquement.
Tenir un registre des incidents de confidentialité. Même les incidents mineurs doivent être documentés. Ce registre peut être demandé par la CAI lors d'une vérification.
Un cabinet dentaire de Beauport qu'on a accompagné après un incident avait collecté des renseignements de santé de ses patients dans un logiciel de gestion de cabinet non chiffré, accessible depuis le réseau Wi-Fi de la salle d'attente. Trois obligations Loi 25 violées simultanément. La déclaration à la CAI a été une obligation légale, pas un choix. Le processus a duré six mois et a mobilisé un avocat spécialisé.
La Loi 25 n'est pas optionnelle. Elle s'applique à vous, et l'ignorance de la loi n'est pas une défense acceptée.
Il y a une confusion très répandue chez les propriétaires de PME : l'idée que Bell, Vidéotron ou Cogeco s'occupent de la sécurité réseau quand vous prenez un forfait Affaires. Ce n'est pas le cas.
Ce que votre fournisseur Internet fait : acheminer vos données entre votre bureau et Internet, vous fournir un routeur de base configuré par défaut, et maintenir l'infrastructure de leur côté du câble. C'est tout.
Ce que votre fournisseur Internet ne fait pas : segmenter votre réseau pour séparer les postes de travail des serveurs, filtrer le trafic malveillant entrant ou sortant, détecter les comportements anormaux sur votre réseau, protéger vos appareils contre les logiciels malveillants, gérer vos mises à jour de sécurité, ou vous alerter si un de vos employés tente d'accéder à un site de phishing connu.
Le routeur fourni par Bell ou Vidéotron avec la majorité des forfaits Affaires est un appareil grand public avec un logo different. Il n'a pas de pare-feu applicatif, pas de système de détection d'intrusion, pas de filtrage DNS avancé, pas de gestion centralisée des accès. Pour une PME qui gère des données clients, c'est insuffisant.
Les 8 mesures suivantes ne sont pas théoriques. Ce sont les points qu'on vérifie en premier lors de chaque audit de sécurité. Une PME qui met tout ça en place élimine la grande majorité des risques courants.
La MFA doit être activée sur votre messagerie (Microsoft 365, Google Workspace), votre VPN, votre logiciel de comptabilité, votre service bancaire en ligne, et tout portail qui contient des données sensibles. La MFA n'est pas parfaite, mais elle empêche l'immense majorité des tentatives d'accès non autorisé par vol d'identifiants. Un attaquant qui a votre mot de passe sans avoir votre téléphone ne peut pas entrer. C'est la mesure avec le meilleur rapport effort/protection qui existe.
Chaque ordinateur, téléphone et appareil réseau de votre PME doit recevoir ses mises à jour de sécurité de façon systématique. Les failles exploitées par les rançongiciels sont presque toujours connues et corrigées — mais seulement pour les systèmes à jour. Un Windows 10 non mis à jour est une porte ouverte. Un routeur avec un firmware de 2021 idem. La gestion centralisée des mises à jour via un outil comme Microsoft Intune ou un équivalent évite de dépendre de chaque employé pour mettre à jour son poste.
La règle 3-2-1 : trois copies de vos données, sur deux supports différents, dont une hors site. En pratique pour une PME : vos données sont sur le serveur local (1), sur un disque externe au bureau (2), et dans un service cloud chiffré comme Backblaze B2 ou Azure Backup (3, hors site). La partie qu'on oublie toujours : tester la restauration. Une sauvegarde dont on n'a jamais testé la restauration n'est pas une sauvegarde, c'est un espoir.
Votre réseau Wi-Fi pour les visiteurs et clients ne doit pas être le même que celui de vos postes de travail. Vos serveurs ne doivent pas être sur le même segment réseau que les postes des employés. Cette séparation — la segmentation réseau — est ce qui empêche un rançongiciel qui s'introduit par le poste d'un employé de se propager à tout le réseau en quelques minutes. C'est une configuration de base sur un équipement réseau professionnel.
Interdire les mots de passe réutilisés entre différents comptes. Exiger des mots de passe longs (16 caractères minimum). La seule façon réaliste d'y arriver sans que vos employés écrivent leurs mots de passe sur des Post-it : un gestionnaire de mots de passe d'entreprise comme Bitwarden Teams ou 1Password Business. Ces outils génèrent, stockent et remplissent automatiquement des mots de passe uniques et complexes pour chaque service. La formation prend 30 minutes.
Si votre réseau tombait maintenant, qui appelle qui ? Quels systèmes récupère-t-on en premier ? Combien de temps peut-on opérer sans accès à vos fichiers ? Où sont les copies des contrats d'assurance ? Ces questions doivent avoir des réponses écrites avant l'incident. Un PRA n'a pas besoin d'être un document de 100 pages — une feuille plastifiée avec les contacts d'urgence, les priorités de restauration et l'emplacement des sauvegardes suffit pour commencer.
La majorité des incidents de sécurité commencent par une action humaine : un clic sur un lien, un mot de passe partagé, un accès accordé à la mauvaise personne. La formation n'a pas besoin d'être longue ou complexe. Une heure par an pour montrer à vos employés à reconnaître un courriel d'hameçonnage, à ne pas cliquer sur les pièces jointes non sollicitées, à signaler les comportements suspects — c'est l'investissement avec le meilleur retour en sécurité. Des simulations d'hameçonnage (envoyer de faux courriels de phishing à vos propres employés pour voir qui clique) sont encore plus efficaces.
L'antivirus gratuit sur chaque poste géré individuellement n'est pas suffisant pour une PME. Une solution d'antivirus d'entreprise gérée centralement (Microsoft Defender for Business, ESET Protect, Malwarebytes for Teams) vous donne une visibilité sur tous les postes depuis une console unique, des alertes en temps réel, et une capacité de réponse coordonnée si un incident se produit. Vous savez si un poste n'est pas protégé. Vous pouvez forcer une analyse à distance. Vous recevez une alerte si une menace est détectée quelque part dans le réseau.
En travaillant avec des PME de la région de Québec depuis des années, on a vu les mêmes erreurs se répéter. Les voici sans détour.
« Notre informaticien s'en occupe. » Ça veut souvent dire qu'un ami ou un proche qui s'y connaît « un peu » gère les problèmes quand ils surviennent. Réactif, pas proactif. La sécurité, ça ne se gère pas en mode urgence.
« On est trop petits pour être ciblés. » Les petites PME sont précisément ciblées parce qu'elles sont moins protégées. Les rançongiciels sont automatisés : ils scannent l'Internet à la recherche de cibles vulnérables sans discriminer par taille. Un réseau non patché dans un petit cabinet d'avocats est aussi attrayant qu'un grand réseau d'entreprise — souvent plus, parce que les défenses sont moindres.
Comptes administrateurs utilisés au quotidien. Si chaque employé travaille avec un compte administrateur Windows, un rançongiciel qui prend le contrôle de ce compte a des droits illimités sur le système. Les comptes utilisateurs du quotidien devraient être des comptes standards, sans privilèges d'installation ou de modification système.
Partage de mots de passe entre employés. Le mot de passe du serveur partagé sur un Post-it dans le tiroir du bureau. Le mot de passe du logiciel de paie connu de tout le département RH. C'est commode, et c'est catastrophique quand un employé quitte l'entreprise — ou quand il est la cible d'une attaque.
Sauvegardes non testées ou accessibles depuis le réseau. Une sauvegarde connectée en permanence au réseau est chiffrée par le rançongiciel exactement comme les données originales. La sauvegarde hors ligne — disque déconnecté après la sauvegarde, ou service cloud avec versionnement — est ce qui permet de récupérer sans payer de rançon.
Ignorer les alertes de sécurité. Le navigateur qui dit que le certificat du site est expiré. L'antivirus qui signale un fichier suspect. Windows qui demande de redémarrer pour installer des mises à jour depuis trois semaines. Ces alertes existent pour une raison.
Toutes les PME n'ont pas les ressources pour un responsable IT dédié. Et c'est correct. Il existe un niveau de sécurité raisonnable qu'une PME peut atteindre avec de l'aide externe ponctuelle, plutôt qu'un employé à temps plein.
Voici les situations où faire appel à un expert est la bonne décision :
Lors d'un audit initial. Si vous n'avez jamais fait auditer votre sécurité informatique, c'est la première étape. Un audit identifie les failles, documente ce qui existe, et donne une feuille de route claire. Il vaut toujours mieux payer pour trouver vos vulnérabilités vous-même que de les laisser trouver par quelqu'un d'autre.
Avant un projet sensible. Nouveau logiciel de gestion, migration vers le cloud, ouverture d'un accès à distance pour des travailleurs hybrides — chaque changement significatif à votre infrastructure devrait être évalué sous l'angle de la sécurité avant d'être déployé.
En réponse à un incident. Si vous pensez être victime d'une attaque, si vous voyez des comportements anormaux sur votre réseau, si un employé a cliqué sur un lien suspect — appelez avant de toucher à quoi que ce soit. Les premières heures après un incident sont critiques, et les mauvaises actions dans cet intervalle peuvent compliquer sérieusement la récupération.
Pour former vos employés. Une formation annuelle de sensibilisation à la cybersécurité, conduite par quelqu'un qui connaît les vraies menaces actuelles et peut répondre aux questions de vos employés, vaut infiniment plus qu'un PDF envoyé par courriel.
Pour répondre aux exigences Loi 25. La désignation d'un RPRP, l'évaluation des facteurs relatifs à la vie privée, le registre des incidents — si vous ne savez pas par où commencer, un accompagnement externe vous économise du temps et vous évite des erreurs coûteuses.
On évalue votre posture de sécurité à distance — sans déplacement, sans perturber vos opérations :
Téléphone : (418) 255-8998
Oui. La Loi 25 s'applique à toute organisation qui collecte, utilise ou communique des renseignements personnels au Québec, peu importe sa taille. Un cabinet de 3 personnes qui garde des noms de clients dans un fichier Excel est soumis à la loi. L'obligation de désigner un responsable de la protection des renseignements personnels et de déclarer tout incident de confidentialité s'applique à tous.
Non. Les routeurs grand public fournis par Bell, Vidéotron et Cogeco avec leurs forfaits de base ne sont pas configurés pour la sécurité d'entreprise. Ils n'offrent pas de segmentation réseau, pas de filtrage de contenu avancé, pas de détection d'intrusion. La sécurisation réelle passe par un pare-feu d'entreprise configuré par-dessus.
Oui, surtout sans VPN d'entreprise obligatoire. Un employé sur son réseau résidentiel, sur son propre ordinateur, sans politique de sécurité — c'est une porte ouverte. Les attaques ciblant les travailleurs à domicile ont augmenté depuis la pandémie.
Oui, en grande partie. L'analyse des configurations réseau, des politiques de mot de passe, des journaux système et de la posture de sécurité globale se fait très bien à distance via une connexion sécurisée. Le mode à distance permet d'intervenir rapidement et sans contrainte géographique.
Un audit initial et la mise en place des 8 mesures de base prennent généralement entre 4 et 12 heures selon la taille du réseau. C'est sans commune mesure avec le temps perdu lors d'un incident — une PME touchée par un rançongiciel met en moyenne 3 à 5 semaines à reprendre une activité normale.
