Les 5 erreurs fatales en cybersécurité
  • décembre 17, 2025


(et comment je sais que vous en faites au moins 3)





Il y a quelques jours, j’ai écrit sur les 7 menaces qui guettent votre PME. Aujourd’hui, on parle des erreurs que JE vois dans 90 % des audits. Pas des hypothèses, pas de la théorie : les vraies décisions qui transforment votre entreprise en cible facile.





Vous faites probablement au moins 3 de ces erreurs en ce moment. Et le pire ? Vous ne le savez même pas.





Erreur #1 : « On est trop petits pour être ciblés »





C’est la phrase que j’entends le plus souvent. Juste avant « On n’a rien d’intéressant à voler ».





Laissez-moi vous raconter l’histoire de Mario (nom changé), propriétaire d’une entreprise de plomberie de 12 employés à Laval. Mario pensait exactement comme vous. Jusqu’au matin où il a ouvert son ordinateur et vu l’écran rouge : « Vos fichiers sont chiffrés. Payez 15 000 $ en Bitcoin dans 72 heures ou on les supprime. »





Mario n’avait « rien d’intéressant » ? Faux. Il avait :





    

  • Les coordonnées bancaires de 300 clients
    • 




  • 8 ans de données comptables
    • 




  • Les dossiers de paie de ses employés
    • 




  • Ses soumissions et contrats en cours
    • 






Résultat : 3 semaines d’arrêt complet. Des clients perdus. Une facture finale de 45 000 $ (oui, il a payé la rançon ET dû reconstruire ses systèmes).





La vérité brutale : les cybercriminels adorent les PME. Pourquoi ? Parce que vous payez vite, vous avez moins de défenses, et vous êtes des milliers à penser « ça n’arrive qu’aux autres ». Vous êtes littéralement la cible parfaite.





Rappelez-vous les chiffres : 60 % des PME canadiennes touchées ferment dans les 6 mois. Pas parce qu’elles sont grandes. Justement parce qu’elles sont petites et vulnérables.





Erreur #2 : Donner les clés du château à tout le monde





« Mon gars de TI a besoin d’accès complet pour faire son travail. »





Non. Juste non.





L’accès administrateur global, c’est comme donner une carte de crédit illimitée à un employé en lui disant « fais-moi confiance ». Peut-être qu’il est honnête. Peut-être qu’il ne fera jamais d’erreur. Peut-être que son compte ne sera jamais compromis.





Mais dans le monde réel, voici ce qui se passe :





Scénario 1 – L’ex-employé vengeur
Julie, votre administratrice système, démissionne un vendredi après-midi. Relation tendue. Le lundi, elle a toujours accès à tout : serveurs, emails, sauvegardes, comptes bancaires. Pensez-vous vraiment qu’elle va résister à l’envie de « regarder » ce qui se dit sur elle ? Ou pire ?





Scénario 2 – Le phishing qui passe
Marc, votre technicien, a un accès global admin. Un mardi matin, il clique sur un faux email de Microsoft. Les attaquants ont maintenant ses identifiants. Et devinez quoi ? Ils ont maintenant accès à TOUT votre réseau.





La réalité du terrain : dans chaque audit que je fais, je trouve en moyenne 4 à 7 comptes avec des privilèges démesurés. Des comptes « admin » créés il y a 3 ans pour un besoin ponctuel. Des accès jamais révoqués. Des techniciens externes qui peuvent encore se connecter des mois après la fin du contrat.





Ce qu’il faut faire :





    

  • Principe du moindre privilège : chacun a JUSTE ce dont il a besoin
    • 




  • Comptes administrateurs séparés des comptes quotidiens
    • 




  • MFA (authentification multifacteur) obligatoire sur tous les accès privilégiés
    • 




  • Revue trimestrielle des accès (oui, tous les 3 mois)
    • 




  • Révocation immédiate lors d’un départ
    • 






Votre TI vous dira que ça complique son travail ? Tant mieux. La sécurité, c’est justement un peu de friction pour éviter le chaos total.





Erreur #3 : « On a un antivirus, on est corrects »





J’ai une mauvaise nouvelle : votre antivirus, c’est comme une serrure de porte d’entrée sur une maison sans fenêtres, sans porte de derrière, et avec un trou dans le toit.





Les ransomwares modernes contournent les antivirus dans 70 % des cas. Comment ? Ils évoluent plus vite. Ils utilisent des techniques de chiffrement légitimes. Ils se cachent dans des fichiers apparemment normaux.





L’histoire de Diane, propriétaire d’une clinique dentaire. Elle avait un « bon » antivirus. Payé. À jour. Tout était « vert » dans le tableau de bord. Un jeudi après-midi, une réceptionniste ouvre une facture par email. Boom. 48 heures plus tard, tous les dossiers patients sont chiffrés. L’antivirus n’a rien vu.





Pourquoi ? Parce que l’antivirus cherche des signatures connues. Mais les attaquants modifient constamment leur code. C’est comme essayer d’arrêter des voleurs en ayant seulement des photos de criminels d’il y a 5 ans.





Ce qu’il vous faut vraiment :





    

  • Un EDR (Endpoint Detection & Response) : il analyse les comportements suspects, pas juste les signatures connues
    • 




  • Un firewall nouvelle génération (pas celui de 2015)
    • 




  • Une segmentation réseau : si un poste est compromis, l’attaque ne se propage pas partout
    • 




  • Des sauvegardes hors ligne et TESTÉES (on y revient)
    • 




  • Une surveillance 24/7 des comportements anormaux
    • 






L’antivirus, c’est le minimum syndical. C’est la ceinture de sécurité. Mais vous ne conduiriez pas sur l’autoroute sans freins, sans airbags et avec des pneus lisses juste parce que vous avez une ceinture, non ?





Erreur #4 : « On fait des sauvegardes, on est protégés »





Ah, les fameuses sauvegardes. Je pose toujours les mêmes questions en audit :





Moi : « Vous faites des sauvegardes ? »
Client : « Oui, tous les jours ! »
Moi : « Parfait. Quand avez-vous testé la restauration pour la dernière fois ? »
Client : « … »
Moi : « Où sont stockées vos sauvegardes ? »
Client : « Sur le serveur, dans un dossier. »
Moi : « Et si le ransomware chiffre le serveur ET le dossier de sauvegardes ? »
Client : « … merde. »





Voilà le problème. Faire des sauvegardes, ce n’est pas cocher une case. C’est un processus complet.





Les 5 questions qui tuent :





    

  1. Vos sauvegardes sont-elles hors ligne ? Si elles sont connectées au réseau, le ransomware les chiffrera aussi.
    2. 




  2. Testez-vous les restaurations ? Une sauvegarde qui ne se restaure pas, c’est une illusion de sécurité.
    3. 




  3. À quelle fréquence ? Si vous sauvegardez une fois par semaine et que l’attaque arrive le vendredi, vous perdez 6 jours de travail.
    4. 




  4. Combien de temps pour restaurer ? 24 heures ? 3 jours ? Une semaine ? Votre entreprise peut-elle survivre cet arrêt ?
    5. 




  5. Êtes-vous conformes à la Loi 25 ? Vos sauvegardes doivent être chiffrées et protégées. Sinon, vous êtes en infraction.
    6. 






L’histoire réelle : une firme comptable à Montréal. Sauvegardes quotidiennes depuis 5 ans. Ransomware en mars 2024. Ils lancent la restauration… qui échoue. Pourquoi ? Le serveur de sauvegarde n’avait jamais été testé. Les fichiers étaient corrompus depuis 8 mois. Personne ne l’avait remarqué.





Coût final : 90 000 $ pour tenter de récupérer les données (échec partiel), reconstituer manuellement 3 mois de comptabilité, et gérer la crise avec les clients.





Ce qu’il faut faire :





    

  • Règle du 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site
    • 




  • Sauvegardes immutables (qui ne peuvent pas être modifiées ou supprimées)
    • 




  • Tests de restauration mensuels (oui, MENSUELS)
    • 




  • Documentation du RTO (Recovery Time Objective) : combien de temps pour redémarrer ?
    • 




  • Sauvegarde hors ligne, déconnectée, dans un emplacement physique différent
    • 






Une sauvegarde non testée, c’est comme un extincteur jamais vérifié. Vous le découvrirez quand l’incendie aura déjà tout brûlé.





Erreur #5 : « Les politiques et procédures, c’est juste de la paperasse inutile »





Je garde la pire pour la fin. Celle qui me fait grincer des dents à chaque fois.





« Olivier, on n’a pas le temps pour de la paperasse. On a une business à faire tourner ! »





OK. Maintenant, imaginez ce scénario :





3 h du matin. Vous recevez un appel. Ransomware. Vos systèmes sont down. Vos employés arrivent dans 5 heures. Vous avez des clients qui attendent des livraisons. Votre comptable a besoin d’accéder aux dossiers pour la paie de demain.





Question simple : qui fait quoi ? Dans quel ordre ? Qui appelle les clients ? Qui contacte les assurances ? Qui parle (ou pas) aux médias ? Qui notifie la CAI dans les 48 heures comme l’exige la Loi 25 ?





Sans procédure, vous êtes en panique. Vous improvisez. Vous faites des erreurs. Vous perdez du temps précieux. Vous aggravez la situation.





Les politiques et procédures ne sont pas de la paperasse. Ce sont vos instructions de survie.





Ce que vous devez avoir :





    

  1. Politique de mots de passe : longueur minimale, complexité, changement obligatoire en cas de compromission (ou de suspiscion), interdiction de réutilisation
    2. 




  2. Procédure d’embauche/départ : création et révocation des accès, récupération du matériel
    3. 




  3. Plan de réponse aux incidents : qui fait quoi quand ça pète, avec numéros de téléphone et checklist
    4. 




  4. Politique d’utilisation acceptable : ce que les employés peuvent/ne peuvent pas faire (clés USB, cloud personnel, etc.)
    5. 




  5. Procédure de gestion des correctifs : quand et comment on met à jour les systèmes
    6. 




  6. Formation obligatoire : sensibilisation cybersécurité minimum 2 fois par an
    7. 






Le bonus caché : quand la CAI ou votre assureur vous demande de prouver que vous avez fait preuve de « diligence raisonnable », ces documents sont votre bouclier juridique. Sans eux, vous êtes en tort automatiquement.





L’histoire de Pierre, entrepreneur en construction. Pas de politiques. Un employé utilise sa clé USB personnelle sur l’ordinateur de chantier. Malware. Infection du réseau. Fuite de soumissions confidentielles vers un concurrent. Procès. Perte du contrat.





Pendant le procès, l’avocat adverse a demandé : « Aviez-vous une politique interdisant l’utilisation de clés USB personnelles ? » Réponse : Non. « Aviez-vous formé vos employés aux risques ? » Réponse : Non. Cas fermé.





Les procédures, c’est pas sexy. Mais elles vous sauvent la peau quand tout s’effondre.





Le bonus qui tue (littéralement) : vos outils de gestion de crise doivent être SÉPARÉS de vos outils quotidiens.





Je vois votre tête d’ici : « Quoi ? Pourquoi ? »





Imaginez : ransomware détecté à 6 h du matin. Vous devez réunir votre cellule de crise d’urgence. Vous ouvrez Teams pour créer le canal d’urgence… sauf que vos comptes Microsoft 365 sont compromis. Le tenant entier est verrouillé. Vos emails ne fonctionnent pas. Votre SharePoint est inaccessible.





Comment vous coordonnez-vous maintenant ?





C’est exactement ce qui est arrivé à une entreprise de Québec en septembre dernier. Plan de crise impeccable… stocké sur SharePoint. Liste de contacts d’urgence… dans Teams. Procédures détaillées… sur OneDrive. Tout inaccessible.





Résultat : 4 heures perdues à essayer de rejoindre tout le monde par téléphone personnel, à recréer des listes de mémoire, à improviser des canaux de communication. 4 heures où le ransomware continuait à se propager.





Ce qu’il vous faut :





    

  • Plan de crise papier : oui, PAPIER. Dans un classeur rouge sur votre bureau et chez vos cadres clés
    • 




  • Liste de contacts hors système : numéros de cellulaire personnels, pas juste les extensions de bureau
    • 




  • Outil de communication externe : un groupe Signal, WhatsApp ou Slack GRATUIT créé à l’avance, juste pour les crises
    • 




  • Accès alternatifs : comptes emails personnels pré-autorisés pour les communications d’urgence
    • 




  • Documentation hors ligne : clés USB chiffrées avec les procédures essentielles (gardées dans un endroit sûr)
    • 




  • Numéros d’urgence imprimés : assureur, partenaires critiques, CAI, forces de l’ordre, expert en réponse aux incidents
    • 






Pensez-y : si votre maison brûle, vous n’allez pas chercher le numéro des pompiers dans le tiroir qui est en train de brûler. C’est pareil pour votre infrastructure numérique.





La checklist réaliste :





    

  • Avez-vous un canal de communication de crise HORS de vos systèmes actuels ?
    • 




  • Votre plan d’intervention existe-t-il en format papier ?
    • 




  • Pouvez-vous contacter votre équipe critique sans utiliser vos systèmes compromis ?
    • 




  • Avez-vous les numéros d’urgence (assureur, expert forensique, CAI) imprimés et accessibles ?
    • 






Si vous avez répondu non à l’une de ces questions, vous n’avez pas un plan de crise. Vous avez une wishlist qui deviendra inutile au pire moment.





Les procédures, c’est pas sexy. Mais elles vous sauvent la peau quand tout s’effondre. À condition qu’elles soient accessibles quand tout le reste ne l’est plus.





Le quiz qui fait mal (soyez honnête)





Répondez par oui ou non :





    

  • Vous avez au moins un compte avec accès global admin actif en permanence
    • 




  • Vous n’avez pas testé vos sauvegardes dans les 30 derniers jours
    • 




  • Votre “solution de sécurité” se limite à un antivirus
    • 




  • Vous n’avez pas de plan écrit de réponse aux incidents
    • 




  • Vous pensez que votre entreprise est trop petite pour être ciblée
    • 






Résultat :





    

  • 0 oui : Appelez-moi, je veux voir ça de mes yeux (ou vous êtes déjà client)
    • 




  • 1-2 oui : Vous êtes dans la moyenne, mais ça reste dangereux
    • 




  • 3-5 oui : Vous êtes une cible facile. On doit parler rapidement.
    • 






Ce qu’on fait différemment chez Secuaas





On ne vend pas des produits. On ne vous bombarde pas de jargon technique. On ne vous fait pas peur pour rien.





On vous dit la vérité : où vous êtes vulnérables, ce que ça coûterait si ça arrive, et comment corriger le tir sans vous ruiner.





Notre approche :





    

  1. Audit sans bullshit : on identifie les VRAIES failles, pas une liste de 147 recommandations dont 90 % ne s’appliquent pas à vous
    2. 




  2. Roadmap réaliste : on priorise selon votre budget et vos vrais risques
    3. 




  3. Implémentation concrète : on ne vous laisse pas seuls avec un rapport de 60 pages
    4. 




  4. Formation terrain : vos employés apprennent à reconnaître les menaces dans LEUR contexte quotidien
    5. 




  5. Support continu : parce que la cybersécurité, c’est pas un projet avec une date de fin
    6. 






La vraie question





Je vais être direct : vous faites probablement au moins 3 de ces 5 erreurs en ce moment même. Statistiquement, c’est quasi certain.





La question n’est pas « est-ce que je fais des erreurs ? » Vous en faites.





La question, c’est : « Est-ce que je vais les corriger avant ou après l’attaque ? »





Parce que l’attaque, elle, ne vous demandera pas si vous êtes prêt.










Besoin d’un état des lieux honnête ?
On vous offre un audit gratuit. Pas de vente aggressive. Juste un diagnostic clair de où vous en êtes vraiment.





Contactez-nous





Parce qu’entre « on pensait qu’on était corrects » et « on EST corrects », il y a un audit qui change tout.










Article précédent : Cybersécurité pour PME : Arrêtez de croire que ça n’arrive qu’aux autres


     
       
Catégories

			

			
     
            
Social Media
   
Share article
Vous ne savez pas si on peut vous aider ?
Contactez-nous, c'est sans frais, et nous vous offrons votre état des lieux / audit !
Copyright © Les entreprises Secuaas All rights Reserved | Politique de confidentialité