En mars 2020, beaucoup de PME québécoises ont activé le télétravail en quarante-huit heures. On a sorti les portables du bureau, configuré des accès à distance à la va-vite, ouvert des ports sur les routeurs, et créé des comptes temporaires qui, pour plusieurs d'entre eux, sont encore actifs aujourd'hui. Ce n'était pas du mauvais travail — c'était de la survie. Mais six ans plus tard, ces configurations d'urgence sont devenues des configurations permanentes, avec tous les risques que ça implique.
Un notaire de Sainte-Foy nous a contactés en 2024 : ses deux associés travaillaient depuis leur domicile depuis la pandémie, accédant au système de gestion de dossiers par RDP directement exposé sur Internet, avec un mot de passe que tout le monde connaissait et qui n'avait jamais changé. Leur connexion Bell résidentielle passait par le même routeur que les tablettes de leurs enfants. Techniquement, rien n'avait planté. Mais leur exposition aux rançongiciels était maximale, et ils géraient des données parmi les plus sensibles qui soient.
Ce guide s'adresse aux PME québécoises qui veulent passer du télétravail subi au télétravail sécurisé — sans nécessairement tout rebâtir, mais en identifiant et corrigeant les risques réels.
Selon l'Institut de la statistique du Québec, le taux de télétravail au Québec est passé de moins de 5 % avant la pandémie à plus de 40 % pendant les confinements. En 2026, il se stabilise autour de 20 à 25 % pour l'ensemble de la main-d'œuvre, avec des variations importantes selon les secteurs : droit, comptabilité, consultation, marketing et technologies se situent bien au-dessus de la moyenne.
Ce qui a changé structurellement, c'est que le télétravail est passé d'une exception à une modalité normale de travail — ce qui signifie que les risques de sécurité associés ne sont plus temporaires, ils sont permanents. Et ces risques sont différents de ceux du bureau : le périmètre de sécurité, autrefois bien défini par les murs du bureau et le pare-feu de l'entreprise, s'est dissout. Chaque domicile d'employé est maintenant un point d'entrée potentiel dans votre réseau d'entreprise.
Les cyberattaques ont suivi le mouvement. Les groupes de rançongiciels ciblent délibérément les VPN mal configurés, les RDP exposés et les comptes Microsoft 365 sans MFA — parce qu'ils savent que les PME ont adopté le télétravail en urgence sans toujours sécuriser correctement les accès. Le Québec n'est pas épargné : des PME manufacturières de la Rive-Sud, des cabinets d'avocats de Québec, des cliniques médicales de la Beauce ont été touchés par des rançongiciels dans les deux dernières années.
La sécurité du bureau est imparfaite, mais elle bénéficie d'une infrastructure contrôlée. Le télétravail introduit des variables que l'entreprise ne contrôle pas directement. Voici les cinq risques qu'on voit le plus souvent dans les PME québécoises :
Le WiFi de Bell, Vidéotron ou Cogeco installé par le technicien il y a cinq ans, avec le mot de passe imprimé sur l'étiquette du routeur et partagé avec les voisins de palier lors d'une panne en 2022. La plupart des réseaux résidentiels au Québec sont en WPA2, ce qui est acceptable en théorie, mais en pratique ils ne sont pas segmentés : les appareils IoT (télé connectée, thermostats Ecobee, sonnettes Ring), les tablettes des enfants et l'ordinateur de travail sont tous sur le même réseau.
Cette absence de segmentation signifie qu'une télévision compromise peut observer le trafic réseau de l'ordinateur de travail. Ce n'est pas un scénario théorique : les routeurs résidentiels grand public sont régulièrement la cible de botnets qui cherchent exactement ce type de configuration.
La solution : créer un réseau WiFi invité séparé pour tous les appareils non professionnels, et connecter uniquement l'ordinateur de travail au réseau principal. Presque tous les routeurs Bell (Home Hub) et Vidéotron (Helix) supportent cette fonctionnalité — elle n'est simplement jamais activée par défaut.
L'ordinateur portable de travail utilisé par le conjoint pour regarder des vidéos YouTube, les enfants pour faire leurs devoirs, et l'employé pour accéder aux dossiers clients. C'est une pratique courante, particulièrement dans les ménages avec un seul ordinateur performant.
Le risque : un téléchargement imprudent par un membre de la famille peut installer un logiciel malveillant sur un appareil qui contient des données d'entreprise ou des sessions actives vers des systèmes internes. Le phishing visant un adolescent (fausses mises à jour de jeux, offres gratuites) peut compromettre un poste de travail professionnel.
La solution idéale est un appareil dédié au travail, jamais utilisé à des fins personnelles. Si ce n'est pas possible, des profils Windows séparés avec des droits d'administrateur réservés au compte professionnel constituent un minimum. La politique BYOD de l'entreprise (si elle existe) doit adresser ce point explicitement.
Deux situations problématiques : l'employé qui accède aux ressources internes de l'entreprise directement par RDP ou un autre protocole exposé sur Internet (risque maximal), et l'employé qui utilise un VPN personnel grand public (NordVPN, ExpressVPN, Surfshark) en pensant que ça protège son accès aux systèmes de l'entreprise.
Le VPN personnel chiffre votre connexion vers Internet — il protège contre l'espionnage sur un WiFi public. Mais il ne crée pas de connexion sécurisée vers les ressources internes de votre entreprise, et il ne valide pas l'identité de l'utilisateur auprès des systèmes de l'entreprise. C'est un outil différent, conçu pour un usage différent.
Le VPN d'entreprise (WireGuard, OpenVPN, ou les solutions intégrées dans Microsoft Azure) crée un tunnel chiffré entre le domicile de l'employé et le réseau de l'entreprise, avec authentification. C'est ce qui remplace un RDP exposé directement sur Internet.
En télétravail, les employés passent plus de temps sur leur messagerie professionnelle, souvent depuis des environnements moins formels (salon, cuisine) et avec moins de vigilance que dans un bureau. Les attaques de phishing se sont sophistiquées : les courriels qui usurpent l'identité de Microsoft (« votre accès Teams expire dans 24 heures »), de Bell ou Vidéotron (« votre facture est disponible »), ou de la direction de l'entreprise (fraude au président) sont conçus pour créer de l'urgence et contourner le jugement critique.
Un comptable d'une PME de Lévis a cliqué sur un faux lien Microsoft 365 en croyant réactiver sa licence. Il a saisi ses identifiants Microsoft sur une page de phishing. Résultat : les attaquants ont eu accès à sa boîte courriel professionnelle et à tous les fichiers SharePoint de l'entreprise pendant une semaine avant que quelqu'un remarque des connexions inhabituelles. Le MFA aurait stoppé l'attaque même après la saisie du mot de passe.
En télétravail, les employés développent leurs propres habitudes de travail — souvent avec des outils que l'entreprise n'a pas approuvés et dont elle n'a pas conscience. WhatsApp pour partager des documents clients avec des collègues, Dropbox personnel pour transférer des fichiers trop lourds pour la messagerie, ChatGPT pour traiter des données d'appels clients, Google Drive personnel parce que « c'est plus rapide ».
Chacun de ces outils peut traiter, stocker ou transférer des données d'entreprise dans des environnements non contrôlés, avec des conditions d'utilisation qui peuvent inclure des droits d'accès aux données pour le fournisseur. La Loi 25 impose de connaître où sont stockées vos données personnelles — difficile à documenter quand elles se retrouvent dans des dizaines de services non approuvés.
La question la plus fréquente qu'on reçoit des PME québécoises en matière de télétravail : « On utilise RDP pour accéder au serveur depuis la maison, est-ce que c'est correct ? » La réponse courte : ça dépend de comment c'est configuré. La réponse longue :
RDP (Remote Desktop Protocol, port 3389) exposé directement sur Internet est le vecteur d'attaque le plus exploité par les groupes de rançongiciels. Des outils automatisés scannent en permanence l'ensemble des adresses IP mondiales à la recherche de ce port ouvert. Une fois trouvé, des attaques par force brute tentent des milliers de combinaisons identifiant/mot de passe par heure. Si votre mot de passe est dans une liste courante, c'est une question de temps.
La solution : fermer le port 3389 sur votre routeur et accéder à RDP uniquement via un VPN. L'employé se connecte d'abord au VPN de l'entreprise (qui authentifie l'utilisateur), puis ouvre RDP vers un serveur sur le réseau interne. De l'extérieur, le port 3389 n'est plus visible.
Pour les PME avec un seul bureau et des employés en télétravail, le VPN client (aussi appelé Remote Access VPN) est la solution appropriée. Chaque employé installe un client VPN sur son ordinateur (WireGuard est aujourd'hui la référence en termes de performance et de simplicité) et se connecte au pare-feu ou serveur VPN de l'entreprise.
Le VPN site-à-site relie deux réseaux fixes — par exemple deux bureaux de l'entreprise dans deux villes. Il n'est pas adapté pour les employés en télétravail depuis leur domicile.
Le MFA (aussi appelé 2FA ou vérification en deux étapes) exige qu'un utilisateur prouve son identité avec deux éléments distincts : quelque chose qu'il connaît (mot de passe) et quelque chose qu'il possède (téléphone, clé de sécurité physique). Même si un mot de passe est volé par phishing ou fuite de données, l'attaquant ne peut pas se connecter sans le deuxième facteur.
Dans Microsoft 365, l'activation du MFA pour tous les utilisateurs est la mesure de sécurité avec le meilleur ratio impact/effort disponible. Microsoft estime qu'elle bloque plus de 99 % des attaques automatisées sur les comptes. Elle est incluse dans tous les abonnements M365, y compris les plans de base, et ne coûte rien à activer.
Microsoft 365 est l'environnement de travail de la grande majorité des PME québécoises, et c'est aussi là que se concentrent les risques en télétravail. Voici les paramètres que très peu d'organisations configurent correctement :
Le piège classique : « On a activé le MFA pour les administrateurs. » Les administrateurs ne représentent qu'une fraction des comptes. Un attaquant qui compromet le compte d'une assistante administrative a accès à des années de courriels, à tous les fichiers SharePoint partagés avec elle, à l'annuaire de l'entreprise, et parfois aux informations de facturation. Le MFA doit être obligatoire pour tous les utilisateurs, sans exception.
Disponibles dans Microsoft Entra ID (anciennement Azure AD), les politiques d'accès conditionnel permettent de définir des conditions précises pour les connexions : bloquer les connexions depuis des pays où vous n'avez pas d'employés, exiger un appareil conforme (géré par l'entreprise) pour accéder à certaines ressources, ou déclencher une vérification supplémentaire depuis une nouvelle adresse IP. Ces politiques sont incluses dans Microsoft 365 Business Premium.
Par défaut, Microsoft 365 permet aux utilisateurs de partager n'importe quel fichier SharePoint ou OneDrive avec n'importe qui par courriel, sans expiration. En pratique, des données sensibles peuvent se retrouver accessibles indéfiniment à d'anciens clients, partenaires ou prestataires. La politique de partage externe devrait être revue et restreinte : partage limité aux domaines approuvés, liens avec expiration automatique, notification à l'administrateur pour les partages extérieurs à l'organisation.
Un employé perd son téléphone personnel sur lequel Teams est installé. Par défaut, sa session Teams reste active. Depuis le portail d'administration M365, un administrateur peut révoquer toutes les sessions actives d'un compte — y compris celles sur les appareils mobiles — en moins de deux minutes. Mais encore faut-il connaître cette procédure et l'avoir testée avant qu'un incident ne survienne.
Dans le portail d'administration Microsoft 365, le Microsoft Secure Score donne une note globale à votre configuration de sécurité et liste les actions recommandées en ordre d'impact. C'est un point de départ excellent pour identifier les lacunes sans audit externe. La plupart des PME obtiennent un score inférieur à 40 % lors de leur première vérification.
Une politique de sécurité pour le télétravail n'a pas besoin d'être un document de cinquante pages rédigé par un juriste. Elle doit être courte, claire et compréhensible par tout le monde. Voici les huit points qui doivent absolument y figurer :
La gestion des départs est l'une des lacunes les plus fréquentes dans les PME en télétravail. Au bureau, quand quelqu'un part, c'est visible — il rend ses clés, vide son bureau, et les collègues peuvent physiquement constater qu'il est parti. En télétravail, les accès numériques peuvent rester actifs des semaines ou des mois après le départ, parfois par oubli, parfois parce que personne n'a une liste centralisée des accès à révoquer.
Voici la procédure que toute PME devrait avoir documentée et testée avant qu'elle ne soit nécessaire :
Jour J — à effectuer avant ou en même temps que la communication à l'employé :
Dans les 48 heures :
Dans les 30 jours :
La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) ne traite pas spécifiquement du télétravail, mais ses obligations générales s'appliquent pleinement au contexte du travail à distance.
Les renseignements personnels accessibles depuis le domicile d'un employé bénéficient des mêmes protections légales que s'ils étaient traités au bureau. Si un comptable accède depuis son domicile de Beauport aux données personnelles de vos clients, votre organisation est responsable de ces données — même si elles transitent par le WiFi Bell de l'employé et son ordinateur personnel.
Les journaux d'accès sont un élément clé. La Loi 25 exige que vous puissiez documenter qui a accédé à quels renseignements personnels, et idéalement depuis où. En télétravail, cela signifie avoir des journaux de connexion centralisés : les accès Microsoft 365, les VPN, et les applications métier doivent conserver des logs suffisamment détaillés pour retracer un incident. Si votre environnement ne génère pas ces journaux, c'est une lacune à corriger.
Les incidents de confidentialité en contexte de télétravail sont couverts par les mêmes obligations que n'importe quel autre incident. Un employé en télétravail dont le compte est compromis par phishing constitue potentiellement un incident à risque sérieux si des renseignements personnels ont été exposés. L'organisation doit l'évaluer, le consigner dans son registre, et le signaler à la Commission d'accès à l'information si le critère de préjudice sérieux est atteint.
Le transfert de données vers des services en nuage utilisés par les employés en télétravail (même des outils approuvés comme Microsoft 365) peut constituer un transfert de renseignements personnels à l'extérieur du Québec si les serveurs sont situés aux États-Unis ou ailleurs. Microsoft 365 permet de configurer la résidence des données en Canada — une option que très peu de PME activent, mais qui simplifie la conformité Loi 25.
On évalue votre posture de sécurité à distance — sans déplacement, sans perturber vos opérations :
Téléphone : (418) 255-8998
Les cinq plus fréquents dans les PME québécoises : le WiFi résidentiel non segmenté, le partage d'appareil avec la famille, l'absence de VPN pour accéder aux ressources internes, le phishing visant les adresses professionnelles, et le shadow IT (applications non approuvées utilisées pour stocker ou transférer des données d'entreprise).
Si vos employés accèdent à des ressources internes (serveur de fichiers, logiciel de gestion, base de données) depuis leur domicile, oui. Si vos employés utilisent uniquement des outils en nuage comme Microsoft 365 avec le MFA activé, le VPN est moins critique mais toujours recommandé pour les accès à des données sensibles.
Les mesures prioritaires : MFA pour tous les comptes sans exception, politiques d'accès conditionnel, restriction du partage externe dans SharePoint et OneDrive, surveillance des connexions suspectes via le centre de sécurité M365. Ces paramètres sont accessibles dans le portail d'administration M365 sans coût supplémentaire.
Déclencher la procédure le jour du départ : désactiver le compte M365, révoquer toutes les sessions actives, récupérer l'appareil ou effacer les données d'entreprise sur BYOD, changer les mots de passe partagés, et retirer l'accès VPN. Ne pas attendre la fin du préavis pour les accès aux systèmes critiques.
Oui. Les renseignements personnels traités depuis un domicile bénéficient des mêmes protections légales que s'ils étaient traités au bureau. Les journaux d'accès, le registre d'incidents, et les obligations de signalement à la CAI s'appliquent pleinement, quel que soit le lieu physique du traitement.
