📌 Sécurité entreprise

Cybersécurité PME : la checklist de 12 points à faire cette semaine au Québec

Cybersécurité PME : la checklist de 12 points à faire cette semaine au Québec
9 min de lecture

Vous êtes propriétaire d'une PME au Québec. Vous avez entendu parler de ransomware, de la Loi 25, de hameçonnage. Vous savez que c'est important, mais vous ne savez pas par où commencer — ni ce qui s'applique réellement à votre situation. Ce guide est fait pour vous : 12 points concrets, classés par priorité, que vous pouvez cocher cette semaine. Pas de jargon inutile, pas de solutions à 50 000$. Du terrain.

Pourquoi maintenant? La Loi 25 est en vigueur depuis septembre 2023. Une violation de données non déclarée à la CAI peut entraîner des amendes jusqu'à 25 millions de dollars. Et en 2024, 43% des cyberattaques ciblaient des PME — pas par hasard, mais parce qu'elles sont plus faciles à compromettre que les grandes entreprises.

La checklist complète — 12 points à vérifier cette semaine

✅ 1. Authentification à deux facteurs (2FA) sur tous les comptes critiques

C'est la mesure la plus efficace par rapport au temps investi. Un mot de passe volé ne suffit plus à accéder à votre compte si le 2FA est activé. Un client comptable m'a contacté l'an dernier après avoir perdu l'accès à son compte Microsoft 365 — ses 8 ans de fichiers clients, de courriels, tout. Son compte avait été compromis depuis une fuite de données d'un autre site. Le 2FA l'aurait protégé.

Quoi activer en priorité :

  • Microsoft 365 / Outlook : Paramètres admin → Sécurité → Authentification multifacteur
  • Google Workspace / Gmail : myaccount.google.com → Sécurité → Validation en 2 étapes
  • Compte bancaire en ligne de l'entreprise
  • Accès VPN ou bureau à distance
  • Hébergeur web et registraire de domaine

Application recommandée pour générer les codes : Microsoft Authenticator ou Google Authenticator (gratuit, sur iOS et Android).

✅ 2. Sauvegardes : la règle 3-2-1 (et vérification qu'elles fonctionnent)

La sauvegarde est la seule vraie protection contre un ransomware. Si vos données sont chiffrées par un attaquant, une sauvegarde récente vous permet de tout restaurer sans payer la rançon. Sans sauvegarde : vous payez ou vous perdez tout.

La règle 3-2-1 :

  • 3 copies de vos données
  • sur 2 supports différents (ex: disque externe + cloud)
  • dont 1 hors site ou hors réseau (cloud, disque externe stocké ailleurs)

La vérification souvent oubliée : une sauvegarde dont vous n'avez jamais testé la restauration n'existe pas. Testez la restauration d'un fichier important au moins une fois par trimestre.

Solutions pratiques pour PME au Québec : Veeam Backup (Windows), Time Machine + disque externe rotatif (Mac), Acronis True Image, ou simplement Microsoft OneDrive Business avec versioning activé.

✅ 3. Mises à jour automatiques activées (Windows, macOS, applications)

70% des ransomwares exploitent des vulnérabilités connues pour lesquelles un correctif existe mais n'a pas été installé. Les mises à jour automatiques sont la mesure la plus simple et la plus négligée dans les petites entreprises.

Actions :

  • Windows : Paramètres → Windows Update → Mises à jour avancées → activer les mises à jour automatiques
  • macOS : Réglages Système → Général → Mise à jour de logiciel → tout activer
  • Navigateurs : Chrome, Firefox, Edge se mettent à jour automatiquement si vous redémarrez régulièrement
  • Routeur : vérifiez la version firmware dans l'interface d'administration (souvent 192.168.1.1)

✅ 4. Mots de passe : gestionnaire d'équipe et politique minimale

Un mot de passe fort utilisé sur plusieurs sites vaut zéro si l'un de ces sites est compromis. La solution n'est pas d'avoir des mots de passe plus compliqués à mémoriser — c'est d'utiliser un gestionnaire de mots de passe.

Solutions pour PME :

  • 1Password Teams : idéal pour partager des accès entre employés de façon sécurisée (~5$/mois/utilisateur)
  • Bitwarden for Business : option open source moins coûteuse (~3$/mois/utilisateur)
  • Politique minimale : 12 caractères, aucun mot de passe réutilisé entre sites, changement immédiat si un employé quitte

✅ 5. Formation hameçonnage : votre employé est votre première ligne de défense

95% des cyberattaques réussies commencent par une erreur humaine — un courriel de hameçonnage ouvert, une pièce jointe téléchargée, un mot de passe entré sur un faux site. Aucun antivirus ne protège contre un employé bien intentionné qui clique au mauvais endroit.

Un exercice concret à faire cette semaine : envoyez un courriel de simulation de hameçonnage à vos employés (Google Workspace et Microsoft 365 incluent des outils pour ça). Le résultat vous montrera où concentrer la formation.

Signaux d'alarme à enseigner à vos employés :

  • Urgence exagérée : « Votre compte sera suspendu dans 24h »
  • Demande de cliquer sur un lien pour « vérifier » ses informations
  • Adresse courriel de l'expéditeur légèrement différente du vrai domaine (ex: informatique-ste-foy.ca vs informatique-ste-f0y.ca)
  • Pièce jointe non sollicitée, même de quelqu'un de connu (l'expéditeur peut être compromis)

✅ 6. Bureau à distance (RDP) sécurisé ou désactivé

Le bureau à distance Windows (RDP, port 3389) est l'une des portes d'entrée les plus exploitées par les ransomwares. Si votre équipe n'a pas besoin d'accès distant : désactivez-le complètement. Si elle en a besoin : utilisez un VPN et changez le port par défaut.

Pour les services de cybersécurité pour PME au Québec, nous recommandons systématiquement de remplacer RDP exposé directement sur Internet par une solution VPN + MFA. C'est la configuration qui a mis fin à des dizaines d'infections ransomware chez nos clients.

✅ 7. Wi-Fi d'entreprise séparé du Wi-Fi invité

Si vous avez un Wi-Fi accessible à vos clients, fournisseurs ou visiteurs, ils ne doivent pas être sur le même réseau que vos postes de travail et vos serveurs. Un appareil infecté sur le réseau invité pourrait autrement se propager à tous vos équipements.

La plupart des routeurs modernes (Ubiquiti, Meraki, même les Linksys et Asus récents) permettent de créer un réseau invité isolé. Si le vôtre n'offre pas cette option, c'est peut-être l'occasion de le remplacer.

✅ 8. Inventaire des accès — qui a accès à quoi?

Un principe de base en cybersécurité : le moindre privilège. Chaque employé ne devrait avoir accès qu'aux ressources dont il a besoin pour son travail. En pratique, les PME accumulent souvent des accès non révoqués : un ancien employé dont le compte Microsoft 365 est encore actif, un prestataire extérieur avec accès permanent à votre serveur, etc.

Actions :

  • Listez tous les comptes actifs dans votre Microsoft 365 ou Google Workspace
  • Désactivez immédiatement les comptes d'anciens employés
  • Révoquez les accès des prestataires dont le contrat est terminé
  • Vérifiez quels comptes ont les droits administrateurs — réduisez au minimum

✅ 9. Conformité Loi 25 — les 3 étapes obligatoires pour votre PME

La Loi 25 s'applique à toute entreprise qui collecte des renseignements personnels sur des résidents québécois — ce qui inclut la quasi-totalité des PME (vous collectez des noms, courriels, adresses de clients). Voici les obligations minimales :

  1. Nommer un responsable de la protection des renseignements personnels — dans une PME, c'est souvent le propriétaire. Son nom et ses coordonnées doivent être publiés sur votre site web.
  2. Publier une politique de confidentialité sur votre site, expliquant quelles données vous collectez, pourquoi et comment vous les protégez.
  3. Processus de déclaration d'incident — si des données personnelles sont compromises (vol, piratage, erreur d'envoi), vous devez le déclarer à la CAI et aux personnes concernées dans les 72 heures.

Pour les détails sur votre situation spécifique : cybersécurité PME Québec et consultez un avocat spécialisé si nécessaire.

✅ 10. Antivirus et pare-feu sur tous les postes

Windows Defender (inclus dans Windows 10/11) est suffisant pour une protection de base si les mises à jour sont activées. Sur Mac, le gatekeeping d'Apple offre une protection décente, mais un outil complémentaire comme Malwarebytes Business n'est pas superflu.

Ce qui est plus important que le choix de l'antivirus : s'assurer que l'antivirus est actif et à jour sur tous les postes, pas seulement ceux du bureau. Les ordinateurs portables des employés qui travaillent de la maison sont souvent les plus exposés et les moins bien protégés.

Pour protéger votre entreprise contre les ransomwares spécifiquement, consultez notre page sur la protection ransomware pour PME.

✅ 11. Plan de réponse aux incidents — que faire si vous êtes attaqué?

La majorité des PME n'ont aucun plan quand elles se font pirater. Résultat : panique, décisions précipitées, dommages amplifiés. Un plan simple, même d'une page, fait une différence énorme.

Votre plan minimal :

  • Qui contacter en premier? (technicien, assureur, avocat)
  • Isoler les postes infectés immédiatement (débrancher du réseau)
  • Ne pas éteindre les serveurs (conservation des preuves)
  • Documenter tout ce que vous observez (captures d'écran, horodatage)
  • Ne pas payer la rançon sans consultation préalable
  • Déclarer à la CAI si des données personnelles sont impliquées (72h)

✅ 12. Audit de sécurité professionnel — une fois par an

Les 11 points précédents vous donnent une base solide. Mais la cybersécurité évolue vite : de nouvelles vulnérabilités apparaissent, vos outils changent, votre réseau grossit. Un audit annuel par un technicien spécialisé permet d'identifier les failles que vous n'avez pas vues — avant qu'un attaquant les trouve.

Un audit de sécurité informatique pour une PME de 5 à 20 postes à Québec prend généralement une demi-journée et produit un rapport priorisé des vulnérabilités à corriger. C'est un investissement, mais nettement moins coûteux qu'une attaque ransomware.

Récapitulatif — Priorisation par impact

Point Impact Temps requis Coût
Authentification 2FA🔴 Critique30-60 minGratuit
Sauvegardes vérifiées🔴 Critique2-4h pour mettre en place20-60$/mois
Mises à jour auto🔴 Critique15 minGratuit
Gestionnaire mots de passe🟠 Élevé2-3h3-5$/utilisateur/mois
Formation hameçonnage🟠 Élevé1-2hGratuit à faible
RDP sécurisé🟠 Élevé30 minGratuit
Wi-Fi séparé🟠 Élevé30 minGratuit si routeur compatible
Inventaire des accès🟠 Élevé1-2hGratuit
Conformité Loi 25🟠 Élevé (légal)2-4hFaible à moyen
Antivirus à jour🔵 Moyen30 minGratuit (Defender)
Plan de réponse🔵 Moyen1hGratuit
Audit professionnel🔵 PréventifDemi-journée500-2 000$

Par où commencer si vous n'avez que 2 heures cette semaine?

Faites les 3 premiers points de la liste : 2FA sur vos comptes critiques, vérification de vos sauvegardes, et activation des mises à jour automatiques. Ces trois mesures couvrent environ 80% des vecteurs d'attaque les plus courants sur les PME. Tout le reste peut attendre la semaine prochaine.

🔒
Besoin d'un audit de sécurité pour votre PME à Québec?

Nos techniciens évaluent votre infrastructure, identifient vos vulnérabilités et vous remettent un rapport priorisé. 540 avis ★ 4.7/5 — Informatique Ste-Foy.

Demander un audit — 979 Av. de Bourgogne, Québec

Ou appelez : 418-255-8998

FAQ — Cybersécurité PME Québec

Qu'est-ce que la Loi 25 impose concrètement aux PME québécoises?

La Loi 25 oblige les entreprises à nommer un responsable de la protection des renseignements personnels (dont le nom est public), à publier une politique de confidentialité, à obtenir un consentement explicite pour la collecte de données, et à déclarer tout incident à la CAI dans les 72 heures. Les amendes atteignent 25 millions de dollars ou 4% du chiffre d'affaires mondial.

Une PME de 5 employés doit-elle se préoccuper de cybersécurité?

Absolument. Les PME de moins de 10 employés sont les cibles privilégiées des attaques automatisées parce qu'elles ont des données précieuses mais des défenses moins solides. En 2024, 43% des cyberattaques ciblaient des PME. Le coût moyen d'une attaque ransomware pour une PME canadienne était de 170 000$ en perte d'exploitation et coûts de récupération.

Qu'est-ce qu'un ransomware et comment s'en protéger?

Un ransomware chiffre tous vos fichiers et exige une rançon pour les déchiffrer. Il arrive typiquement par courriel piégé ou via un bureau à distance non sécurisé. La seule vraie protection : des sauvegardes hors ligne récentes et fonctionnelles. Sans sauvegarde, vous payez ou vous perdez tout.

Combien coûte un audit de sécurité pour une PME à Québec?

Entre 500$ et 2 000$ pour une PME de 5 à 20 postes, selon la complexité du réseau. L'audit identifie les vulnérabilités critiques, les failles de configuration et les équipements obsolètes — et vous indique exactement où investir en sécurité.

Par où commencer en cybersécurité PME quand on n'y connaît rien?

Trois actions immédiates : (1) activer le 2FA sur tous les comptes courriel et cloud, (2) vérifier que vos sauvegardes fonctionnent et sont stockées hors site, (3) activer les mises à jour automatiques sur tous les postes. Ces trois mesures éliminent environ 80% des vecteurs d'attaque courants.

Voir aussi : Loi 25 et PME québécoise — guide pratique · Protection contre les ransomwares sur Mac · Sécuriser le réseau de votre PME

ISF
Informatique Ste-Foy
Blog informatique local — Québec

Conseils, guides et tutoriels en informatique pour particuliers et entreprises à Québec. Réparation Mac & PC, sécurité, vie privée numérique. 540+ avis Google (4.7/5). — Pour la cybersécurité : blog.sequr.ca

Articles similaires

🪟 Windows

Écran bleu Windows 11 : 8 causes expliquées et comment les régler soi-même

Votre PC Windows 11 affiche un écran bleu (BSOD)? Découvrez les 8 causes les plus fréquentes avec des solutions concrètes à appliquer vous-même. Guide terrain, Québec.

8 min de lecture 🍎 Réparation Mac

MacBook qui chauffe trop : causes réelles et solutions qui marchent vraiment

Votre MacBook Pro ou Air brûle, le ventilateur tourne à fond? Causes réelles (kernel_task, pâte thermique, poussière) et solutions concrètes. Guide terrain Québec 2026.

8 min de lecture 🔒 Sécurité Mac

Les 5 apps macOS qui accèdent à votre micro en arrière-plan

Slack, Chrome, Notion, Zoom et une app que vous avez oubliée. Ces 5 catégories d'apps accèdent régulièrement au microphone Mac en arrière-plan. Les preuves et les solutions.

7 min de lecture