Cybersécurité pour PME Arrêtez de croire que ça n’arrive qu’aux autres
  • novembre 26, 2025


Je commence toujours mes audits de la même façon : « Quand avez-vous testé votre plan de relève après une cyberattaque ? » Le silence qui suit en dit long. La plupart des dirigeants pensent encore que les ransomwares, c’est pour les grandes banques ou les hôpitaux. Spoiler : vous êtes exactement la cible préférée des cybercriminels.

Pourquoi ? Parce que vous avez des données de valeur (paie, clients, propriété intellectuelle) mais rarement les moyens de protection d’une multinationale. Et les chiffres sont brutaux : 60 % des PME canadiennes touchées par une cyberattaque ferment dans les 6 mois. Pas dans 5 ans. Dans 6 mois.

Voici les 7 menaces que je vois tous les jours sur le terrain. Pas de théorie, juste ce qui se passe réellement dans les entreprises québécoises.





1. La Loi 25 : quand l’amende arrive avant l’attaque





On parle beaucoup des ransomwares, mais laissez-moi vous raconter ce qui réveille vraiment les PDG la nuit : l’appel de la CAI (Commission d’accès à l’information). En octobre 2024, Cryptomus (Xeltox Enterprises), une entreprise enregistrée en Colombie-Britannique, a écopé d’une amende record de 176 M$ de FINTRAC pour n’avoir pas signalé plus de 7 500 transactions suspectes liées à l’Iran.

La Loi 25 au Québec, c’est du sérieux. Vous devez :
• Notifier la CAI ET vos clients dans les 48 heures en cas de fuite
• Démontrer que vous avez pris des mesures de protection « raisonnables »
• Tenir un registre des incidents (oui, même ceux que vous croyez mineurs)
• Chiffrer les données sensibles

La vraie question : si vous avez une fuite demain matin, avez-vous la documentation pour prouver votre conformité ? Parce que « on faisait de notre mieux » ne passera pas devant un juge.





2. Les ransomwares : bienvenue dans l’économie de l’extorsion





En avril 2024, London Drugs – une chaîne de 79 magasins en Colombie-Britannique – a été paralysée pendant une semaine complète par LockBit. Demande de rançon : 25 M$. London Drugs a refusé de payer. Résultat : données d’employés (incluant dossiers médicaux et RH) publiées sur le dark web.

Ce qui me frappe à chaque fois, c’est la banalité du point d’entrée. Pas de hackers en cagoule, pas de zero-day exotique. Dans 95 % des cas, c’est un clic sur un PDF vérolé ou un mot de passe faible. Le ransomware chiffre tout, y compris vos sauvegardes si elles sont connectées au réseau.

Les statistiques 2024-2025 montrent une augmentation de 47 % des attaques de ransomware aux États-Unis. Les PME sont les premières cibles parce que :
• Vous payez plus vite (moins de bureaucratie)
• Vous avez moins de redondance système
• Vous sous-estimez la menace jusqu’au jour J





3. Vol de données : l’attaque silencieuse





Indigo Books, février 2023. L’attaque ransomware LockBit a compromis les données d’employés actuels et anciens. Site e-commerce hors ligne pendant des jours. Mais voici ce qu’on oublie : les pirates avaient accès depuis janvier, presque un mois avant la détection.

C’est ça, une intrusion moderne. L’attaquant ne veut pas faire de bruit. Il veut :
• Cartographier votre réseau
• Identifier vos systèmes critiques
• Exfiltrer vos données progressivement
• Vendre l’accès à d’autres groupes criminels

Comment ça arrive ? Mot de passe d’admin partagé sur un Post-it. Ancien employé dont l’accès VPN n’a jamais été révoqué. Serveur non patché depuis 2 ans. La cybersécurité, ce n’est pas de la magie – c’est de l’hygiène numérique.





4. La clé USB : le cheval de Troie d’aujourd’hui





Vous savez ce qui me sidère à chaque audit ? Les clés USB qui traînent. Celle du technicien externe. Celle « trouvée » dans le stationnement. Selon le rapport 2024 de Honeywell, 51 % des malwares industriels utilisent les clés USB comme vecteur d’attaque – une augmentation de 6 fois depuis 2019.

Le scénario classique :
• Employé branche une clé USB personnelle « juste pour transférer un fichier »
• Le malware se propage silencieusement dans le réseau
• Il établit une backdoor pour un accès permanent
• Des mois plus tard, les attaquants activent le ransomware

Les secteurs manufacturiers et énergétiques sont particulièrement vulnérables parce que leurs équipements OT (operational technology) nécessitent souvent des mises à jour par clé USB. Solution : stations de scan dédiées avant toute connexion.





5. Télétravail : la surface d’attaque infinie





Septembre 2025. L’agence de cybersécurité canadienne (CSE) et CISA émettent une alerte urgente : des vulnérabilités critiques dans les équipements VPN Cisco sont activement exploitées. Les attaquants, probablement liés à la Chine (UAT4356), ont implanté des malwares persistants permettant l’exfiltration de données via les connexions VPN.

Le télétravail a explosé la périphérie de sécurité traditionnelle. Maintenant, vous avez :
• Des employés sur des réseaux Wi-Fi publics non sécurisés
• Des appareils personnels (BYOD) sans contrôle
• Des VPN mal configurés ou non patchés
• Des Shadow IT (outils SaaS non approuvés)

Mon conseil : si vous permettez le télétravail sans MFA (authentification multifacteur) et sans EDR (Endpoint Detection & Response), vous jouez à la roulette russe.





6. Systèmes non patchés : l’autoroute vers la compromission





Equifax, 2017. 147 millions de personnes compromises (numéros d’assurance sociale, dates de naissance, adresses). La cause ? Une vulnérabilité Apache Struts connue depuis mars, non corrigée. Equifax a détecté l’intrusion en juillet – 4 mois trop tard. Coût total : plus de 700 M$ en règlements et pénalités.

Les cybercriminels n’ont pas besoin d’inventer de nouvelles attaques. Ils exploitent les failles connues que personne ne corrige. Pourquoi ? Parce que patcher est chiant. Ça demande :
• De la planification (identifier les systèmes critiques)
• Des tests (pour ne pas casser la production)
• Des fenêtres de maintenance (= downtime)
• Une discipline continue (pas juste une fois par an)

Mais voici ce qui coûte vraiment cher : ne PAS patcher.





7. IoT non sécurisés : vos imprimantes vous espionnent





Octobre 2016. L’attaque Mirai botnet paralyse des services majeurs en Amérique du Nord (Netflix, Twitter, GitHub) en exploitant des centaines de milliers de caméras IP, routeurs et DVR avec des mots de passe par défaut. Ampleur : 1 Tbps de trafic malveillant.

Dans vos bureaux, combien d’appareils IoT avez-vous ? Imprimantes réseau. Caméras de surveillance. Thermostats intelligents. Systèmes de contrôle d’accès. Chacun est un point d’entrée potentiel si :
• Le mot de passe par défaut n’a jamais été changé
• Le firmware n’est jamais mis à jour
• L’appareil est directement accessible depuis Internet
• Vous ne savez même pas qu’il existe (Shadow IoT)

La vraie question : avez-vous un inventaire complet de tous les appareils connectés à votre réseau ? Si non, c’est votre premier chantier.





Pourquoi ça vous arrivera (statistiquement parlant)





Les chiffres sont clairs :
• 43 % des cyberattaques mondiales ciblent les PME
• 78 % des PME nord-américaines craignent qu’une attaque les mette en faillite
• Coût moyen d’une attaque pour une PME : 15 000 $ (peut grimper à 230 000 $ pour les cas graves)

Mais le vrai coût n’est pas financier. C’est :
• La perte de confiance des clients
• L’interruption des opérations pendant des semaines
• Les poursuites potentielles
• Le temps de direction monopolisé par la gestion de crise
• La réputation ternie pour des années





Ce qu’on fait concrètement chez SecuAAS





On ne vend pas de la peur. On vend de la tranquillité d’esprit. Voici comment :

1. Audit sans bullshit
On identifie vos vrais risques, pas une liste générique de 50 pages. On teste vos défenses. On vous dit exactement où vous êtes vulnérables.

2. Conformité Loi 25/PIPEDA
Documentation, procédures, formation. Tout ce qu’il faut pour ne pas avoir de sueurs froides si la CAI appelle.

3. Protection en couches
EDR sur tous les endpoints. MFA obligatoire. Segmentation réseau. Sauvegardes hors ligne testées régulièrement. Monitoring 24/7.

4. Formation des équipes
Parce que 95 % des incidents démarrent par une erreur humaine. Vos employés sont votre première ligne de défense – ou votre maillon faible.

5. Plan de réponse aux incidents
Quand (pas si) ça arrive, vous avez un playbook. Qui fait quoi. Dans quel ordre. Avec quels outils. On le teste ensemble régulièrement.





Checklist : par où commencer ?





☐ Audit de conformité Loi 25 (avez-vous un registre des incidents ?)
☐ Inventaire complet de vos assets (incluant IoT)
☐ MFA activée partout (VPN, email, systèmes critiques)
☐ EDR installé et monitoré (pas juste un antivirus)
☐ Sauvegardes hors ligne testées mensuellement
☐ Politique de gestion des correctifs documentée
☐ Formation de sensibilisation à la cybersécurité (minimum 2x par an)
☐ Plan de réponse aux incidents écrit et testé





La question n’est plus « est-ce que ça va m’arriver ? »





La question, c’est : « Quand ça arrivera, est-ce que je survivrai ? »

On a aidé des dizaines de PME québécoises à :
• Bloquer des ransomwares avant qu’ils ne chiffrent la production
• Se conformer à la Loi 25 sans s’arracher les cheveux
• Sécuriser le télétravail pour de vrai
• Dormir sur leurs deux oreilles

Contactez-nous pour un audit gratuit. On vous dira exactement où vous en êtes. Sans vente agressive. Juste les faits.

Parce que le meilleur moment pour installer un parachute, c’est avant de sauter de l’avion.


     
       
Catégories

			

			
     
            
Social Media
   
Share article
Vous ne savez pas si on peut vous aider ?
Contactez-nous, c'est sans frais, et nous vous offrons votre état des lieux / audit !
Copyright © Les entreprises Secuaas All rights Reserved | Politique de confidentialité