La cybersécurité, en langage clair
Les termes qui reviennent dans les soumissions, les questionnaires de sécurité, les polices d'assurance et les exigences de conformité — expliqués simplement, sans jargon, pour les dirigeants de PME.
Vie privée et conformité
- Loi 25 (Québec)
-
La loi québécoise sur la protection des renseignements personnels dans le secteur privé, issue du projet de loi 64 et entrée en vigueur par étapes de 2022 à 2024. Elle vise pratiquement toute entreprise qui recueille ou détient des renseignements personnels au Québec, sans exemption pour les petites entreprises. Le responsable désigné et la déclaration des incidents de confidentialité présentant un risque de préjudice sérieux sont exigés depuis septembre 2022; la gouvernance écrite, les évaluations des facteurs relatifs à la vie privée et les règles de consentement plus strictes ont suivi en septembre 2023. Les sanctions comptent parmi les plus sévères au Canada : les amendes peuvent atteindre 25 M$ ou 4 % du chiffre d'affaires mondial pour les infractions les plus graves, et la loi a aussi créé un droit privé d'action en dommages-intérêts.
- Évaluation des facteurs relatifs à la vie privée (EFVP)
-
Un examen structuré des risques qu'un projet fait peser sur la vie privée des personnes. La Loi 25 en exige une avant d'acquérir, de développer ou de refondre un système d'information qui traite des renseignements personnels, et avant de communiquer de tels renseignements à l'extérieur du Québec. Pour une PME, l'évaluation s'ajuste au projet : une petite initiative justifie un examen proportionné et documenté, pas un rapport lourd.
- Responsable de la protection des renseignements personnels (RPRP)
-
En vertu de la Loi 25, la personne que votre entreprise doit officiellement désigner comme responsable de la protection des renseignements personnels, et dont le titre et les coordonnées doivent être publiés pour que le public puisse la joindre. Au quotidien, le RPRP traite les demandes d'accès, évalue les incidents de confidentialité, tient le registre des incidents et veille à la gouvernance. Une PME qui préfère ne pas confier ce rôle à l'interne peut l'impartir.
- LPRPDE (PIPEDA)
-
L'acronyme français de la loi fédérale qui protège la vie privée dans le secteur privé : la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA, en anglais). Elle encadre la façon dont les entreprises recueillent, utilisent et communiquent des renseignements personnels dans le cadre d'activités commerciales et, comme la Loi 25, c'est une obligation légale, pas un cadre facultatif. Si vous servez des clients hors Québec ou faites circuler des renseignements personnels au-delà des frontières provinciales ou canadiennes, attendez-vous à ce que la LPRPDE s'applique en plus des règles québécoises.
- SOC 2
-
Une attestation plutôt qu'une certification : un comptable agréé (CPA) examine vos contrôles au regard des critères des services de confiance (sécurité, disponibilité, intégrité du traitement, confidentialité et protection de la vie privée) et émet un rapport indépendant que vous pouvez remettre à vos clients. Le rapport de Type I porte sur la conception de vos contrôles à une date précise; le Type II, plus exigeant mais plus convaincant, démontre qu'ils ont fonctionné de façon constante sur une période donnée. Quand un client nord-américain vous envoie un questionnaire de sécurité avant de signer, c'est généralement un rapport SOC 2 qu'il cherche.
- ISO 27001
-
La norme internationale qui encadre un système de gestion de la sécurité de l'information (SGSI) et, contrairement à SOC 2, une véritable certification : un organisme accrédité vérifie votre SGSI et délivre un certificat reconnu partout dans le monde, généralement valide trois ans avec des audits de surveillance annuels. La démarche consiste à définir la portée du SGSI, à apprécier et à traiter les risques, puis à bâtir une déclaration d'applicabilité au regard de l'annexe A de la norme. Elle pèse généralement davantage auprès des grands comptes et des clients internationaux; on la vise quand un contrat ou un client important l'exige expressément, pas par défaut.
- NIST CSF 2.0
-
Ni une attestation ni une certification : le cadre de cybersécurité du NIST est un socle de contrôles et un langage commun, organisé autour de six fonctions — Gouverner, Identifier, Protéger, Détecter, Répondre et Rétablir. On ne le « passe » pas; on s'en sert pour évaluer et améliorer sa posture de sécurité, et pour en rendre compte à la direction dans des mots que tout le monde comprend. Comme ses contrôles recoupent largement ceux de SOC 2 et d'ISO 27001, une évaluation de maturité NIST CSF est souvent un premier pas économique avant de viser l'un ou l'autre.
Tests et évaluations
- Test d'intrusion
-
Une cyberattaque simulée et autorisée contre vos systèmes, vos applications ou vos réseaux, menée par un spécialiste qui agit comme le ferait un vrai attaquant. Contrairement à un balayage automatisé, un véritable test d'intrusion comprend une exploitation manuelle : il démontre ce qu'un intrus pourrait réellement faire avec vos données, pas seulement ce qui serait possible en théorie. Vous en ressortez avec un rapport priorisé sur lequel votre équipe peut agir — le genre de preuve que demandent les assureurs, les contrats clients et les cadres de conformité, souvent une fois par année.
- Analyse de vulnérabilités
-
Un outil automatisé passe vos serveurs, postes, applications et environnements infonuagiques au peigne fin à la recherche de failles connues : logiciels désuets, correctifs manquants, configurations à risque. L'analyse est rapide et facile à répéter (un balayage mensuel est une base solide pour la plupart des PME), mais elle ne fait qu'énumérer des problèmes potentiels; elle ne confirme pas ce qu'un attaquant pourrait réellement en tirer. C'est pourquoi elle complète un test d'intrusion sans le remplacer.
- Gestion des vulnérabilités
-
La discipline qui consiste à trouver, classer et corriger en continu les failles de sécurité de vos systèmes : un cycle (découvrir, prioriser, corriger, vérifier, recommencer) plutôt qu'un exercice ponctuel. De nouvelles failles sont divulguées chaque semaine; le vrai travail consiste à repérer les quelques-unes qui vous exposent réellement et à confirmer qu'elles sont corrigées, au lieu de noyer votre équipe dans une liste brute de milliers d'alertes. Les assureurs et des cadres comme SOC 2 exigent de plus en plus la preuve que ce processus est bel et bien en place.
- Évaluation de cybersécurité
-
C'est l'exercice grand angle : une revue de l'ensemble de votre posture de sécurité — identités, appareils, réseau, infonuagique, sauvegardes et politiques — faite au moyen d'entretiens et d'un examen en lecture seule de vos configurations, qui aboutit à un plan en langage clair, classé par impact réel. Rien n'est exploité, rien n'est interrompu : c'est le point de départ le moins dérangeant. Là où le test d'intrusion prouve en profondeur ce qui est exploitable sur des cibles précises, l'évaluation montre où sont les écarts dans l'ensemble et par quoi commencer, pour éviter d'investir au mauvais endroit.
- Admissibilité à la cyberassurance
-
La mesure dans laquelle votre organisation répond aux contrôles de sécurité que les assureurs cyber exigent désormais avant de vous couvrir : l'authentification multifacteur (MFA) sur le courriel et les accès à distance, une protection EDR sur vos appareils, des sauvegardes testées et un plan de réponse aux incidents, entre autres. L'absence de MFA est, de loin, la première cause de refus d'une demande. Et l'exigence ne s'arrête pas à la signature : si vous avez déclaré un contrôle sur le formulaire et qu'il n'était pas réellement en place au moment d'un incident, l'assureur peut réduire ou refuser la réclamation — les contrôles doivent donc être réels et démontrables, pas de simples cases cochées une fois.
Défense et opérations
- Authentification multifacteur (MFA)
-
Votre mot de passe à lui seul ne devrait pas suffire à entrer. La MFA ajoute une deuxième preuve d'identité, généralement un code ou une approbation sur votre téléphone, pour qu'un mot de passe volé ou réutilisé ne suffise pas non plus à un attaquant. La plupart des intrusions qui touchent les PME commencent exactement là : un courriel d'hameçonnage, un mot de passe réutilisé, un compte sans deuxième facteur. Dans Microsoft 365, la fonction est souvent déjà comprise dans votre licence; encore faut-il l'activer et l'imposer.
- Accès conditionnel
-
Des règles dans Microsoft 365 (Entra ID) qui déterminent si une connexion est permise selon la personne, l'appareil, le lieu et le niveau de risque de la tentative. Plutôt que de traiter chaque ouverture de session de la même façon, on peut bloquer une connexion depuis un portable non géré ou exiger une preuve supplémentaire lors d'une tentative inhabituelle. La fonction vient avec Entra ID P1, compris dans des forfaits comme Microsoft 365 Business Premium, mais elle ne fait rien tant que personne ne configure les politiques.
- Zéro confiance (Zero Trust)
-
Un modèle de sécurité qui cesse de présumer que tout ce qui se trouve à l'intérieur du réseau est fiable : chaque utilisateur et chaque appareil doivent être vérifiés, l'accès se limite à ce dont chacun a réellement besoin, et on planifie comme si une compromission allait survenir. Pour une PME, ça se traduit surtout par des gestes concrets comme la MFA, l'accès conditionnel et le moindre privilège, pas par l'achat d'un gros produit. Moins de portes d'entrée pour les attaquants, et ceux qui passent quand même sont plus faciles à repérer.
- EDR / XDR
-
La détection et réponse sur les postes (EDR) surveille le comportement de vos ordinateurs et serveurs pour attraper ce qu'un antivirus classique laisse passer, et peut isoler une machine compromise. Le XDR (détection et réponse étendues) élargit cette vue au-delà des postes, vers les identités, le courriel et l'infonuagique, en corrélant les signaux pour qu'une vraie attaque ressorte du bruit. Pour les entreprises déjà sur Microsoft 365, Microsoft Defender XDR en est l'exemple courant, souvent compris dans les forfaits que vous payez peut-être déjà.
- Détection et réponse gérées (MDR)
-
Une surveillance continue de vos postes, identités, courriels et services infonuagiques, offerte sous forme de service, avec une vraie intervention quand quelque chose cloche : isoler un appareil compromis, désactiver un compte détourné. La veille en tout temps repose sur une plateforme de SOC géré bâtie sur Microsoft Sentinel et Defender, pendant qu'un expert en sécurité enquête sur les alertes qui comptent vraiment. Pour la plupart des PME, c'est la solution de rechange réaliste à une équipe de sécurité interne, qui coûte facilement plusieurs fois un salaire de cadre avant même de détecter la moindre menace.
- SIEM
-
SIEM signifie « gestion des informations et des événements de sécurité » : la plateforme où les journaux de vos postes, serveurs, pare-feu, de Microsoft 365 et de l'infonuagique se rejoignent pour être analysés ensemble. C'est ce qui permet de repérer qu'une suite d'événements anodins forme en réalité une attaque, et de conserver la trace de ce qui s'est passé — une rétention qu'exigent des cadres comme SOC 2 et NIST CSF ainsi que bien des assureurs en cyberrisque. Le SIEM fournit la visibilité; le MDR y ajoute la surveillance et l'intervention, assurées par un SOC géré. Pour les organisations déjà sur Microsoft 365, Microsoft Sentinel est un SIEM infonuagique naturel.
- Plan de réponse aux incidents
-
Un document préparé d'avance qui précise qui fait quoi lors d'une intrusion ou d'une attaque par rançongiciel : qui décide, qui communique, qui appeler en premier, et quelles sont les étapes techniques. Le pire moment pour concevoir un plan, c'est en pleine crise; les organisations qui se sont exercées à l'avance contiennent les incidents plus vite et reprennent leurs activités plus tôt, et les assureurs en cyberrisque l'exigent de plus en plus. Au Québec, la Loi 25 ajoute des obligations que le plan devrait couvrir : évaluer tout incident de confidentialité, tenir un registre, et aviser la Commission d'accès à l'information et les personnes touchées en cas de risque de préjudice sérieux.
- Sauvegarde immuable
-
Une copie de sauvegarde verrouillée pendant une période donnée : personne ne peut la modifier, la chiffrer ni la supprimer, même avec un accès administrateur. Bien des entreprises découvrent seulement le jour de la restauration que leurs sauvegardes ont été chiffrées avec le reste; une copie immuable ou hors ligne demeure hors de portée d'un rançongiciel, ce qui permet de restaurer plutôt que de payer. C'est d'ailleurs devenu une exigence courante des assureurs en cyberrisque.
- RTO / RPO (délai et point de reprise)
-
Les deux chiffres qui définissent votre plan de reprise. Le RTO (objectif de temps de reprise) répond à « dans combien de temps doit-on être de nouveau opérationnel? »; le RPO (objectif de point de reprise) répond à « combien de données peut-on se permettre de perdre? ». Les fixer de façon réfléchie évite de surpayer pour une reprise instantanée dont vous n'avez pas besoin, ou de découvrir après une panne qu'une semaine de travail s'est envolée. La conception des sauvegardes devrait découler de ces cibles, pas l'inverse.
Menaces, données et courriel
- Hameçonnage
-
Des courriels ou des messages frauduleux conçus pour amener quelqu'un à cliquer sur un lien, à ouvrir une pièce jointe ou à donner son mot de passe. La grande majorité des intrusions qui frappent les PME commencent exactement là : par une personne, pas par une défaillance de pare-feu. Comme un seul clic suffit à l'attaquant, une formation régulière et des simulations d'hameçonnage demeurent la défense la plus concrète.
- Rançongiciel
-
Un logiciel malveillant qui chiffre vos fichiers et vos systèmes, puis exige un paiement pour les débloquer. Pour une PME, la vraie question est de savoir si vous pourriez reprendre vos activités sans payer — c'est pourquoi les assureurs cyber exigent maintenant des sauvegardes immuables ou hors ligne, avec une restauration testée. C'est aussi le genre d'incident où un plan de réponse documenté et mis à l'épreuve prouve toute sa valeur.
- Formation de sensibilisation à la sécurité
-
Un programme récurrent qui apprend aux employés à reconnaître et à signaler l'hameçonnage, l'ingénierie sociale et la manipulation risquée des données — des modules courts et concrets, accompagnés de simulations d'hameçonnage réalistes, pas une vidéo annuelle. Les résultats se mesurent : on établit un taux de clic de départ, puis on suit les progrès au fil des campagnes. Une formation documentée aide aussi à répondre aux attentes de la Loi 25 et de la LPRPDE en matière de sensibilisation du personnel, en plus de figurer parmi les contrôles que vérifient les assureurs cyber.
- Résidence des données
-
L'endroit où vos données sont physiquement stockées — par exemple dans des régions infonuagiques canadiennes comme Azure Canada Central (Toronto), Canada Est (ville de Québec) ou AWS ca-central-1 (Montréal). C'est concret et vérifiable : on peut nommer la région, la documenter et le démontrer. Mais la résidence ne répond qu'à une partie de la question : elle dit où vivent vos données, pas qui peut légalement en exiger l'accès.
- Souveraineté des données
-
Une question de contrôle et de juridiction : quelles lois régissent vos données et qui peut être contraint de les remettre. Des données peuvent résider au Canada tout en restant à la portée d'une loi étrangère si l'entreprise qui les contrôle répond à une juridiction étrangère — le CLOUD Act américain, par exemple, contraint à la divulgation selon qui contrôle les données, et non selon l'emplacement des serveurs. Pour une PME canadienne, c'est la souveraineté qui décide si garder ses données au pays les protège réellement.
- CLOUD Act
-
Une loi américaine qui peut contraindre une entreprise sous juridiction américaine à divulguer les données qu'elle détient, peu importe le pays où ces données sont stockées. Elle s'applique selon qui contrôle les données, et non selon l'emplacement des serveurs — un fournisseur sous propriété américaine qui héberge dans un centre de données canadien peut donc quand même être sommé de remettre vos données. Faire affaire avec un fournisseur à propriété canadienne réduit cette exposition.
- Authentification des courriels (SPF, DKIM, DMARC)
-
Trois normes — SPF, DKIM et DMARC — configurées sur votre domaine pour que les serveurs de courriel destinataires puissent vérifier qu'un message qui prétend venir de vous en provient vraiment. Sans elles, un attaquant peut plus facilement usurper votre domaine et hameçonner vos clients, vos fournisseurs et vos employés en votre nom. Elles comptent aussi parmi les contrôles que les assureurs cyber exigent couramment, avec un filtrage avancé du courriel.
Un terme vous concerne directement?
Parlons de ce que ça signifie concrètement pour votre organisation — en français ou en anglais.
Nous joindre
La famille d'attaques qui manipule les gens plutôt que la technologie : l'hameçonnage en est l'exemple le plus connu, mais un appel téléphonique convaincant qui soutire un mot de passe à un employé en fait partie aussi. Les attaquants misent sur l'urgence, l'autorité ou la familiarité pour amener quelqu'un à poser un geste qu'il ne devrait pas. Les tests d'intrusion comportent souvent un volet d'ingénierie sociale, justement parce qu'il mesure la résistance réelle de vos équipes face à une vraie tentative.
Formation de sensibilisation →