Quand on pense cyberattaque, on imagine des hackers russes qui ciblent des banques ou des gouvernements. Mais la réalité est beaucoup plus banale — et beaucoup plus proche de chez nous. Au Québec, ce sont les PME qui se font attaquer le plus souvent. Pourquoi ? Parce qu’elles ont de l’argent, des données sensibles, et souvent aucune protection digne de ce nom.
L’ampleur du problème
Selon le Centre canadien pour la cybersécurité, une PME canadienne sur cinq a été victime d’une cyberattaque dans la dernière année. Au Québec, les rançongiciels (ransomware) sont la menace numéro un : un logiciel malveillant chiffre toutes les données de l’entreprise et les pirates exigent une rançon — souvent en cryptomonnaie — pour les déchiffrer.
Le coût moyen d’une cyberattaque pour une PME canadienne ? Environ 25 000$. Mais les cas les plus graves peuvent atteindre des centaines de milliers de dollars quand on additionne la rançon, les jours d’arrêt de production, la perte de données, les frais de récupération et les dommages à la réputation. Pour une petite entreprise, c’est souvent la différence entre survie et faillite.
La Commission d’accès à l’information du Québec rapporte une augmentation constante des déclarations d’incidents de confidentialité depuis l’entrée en vigueur de la Loi 25 sur la protection des renseignements personnels. Les entreprises qui ne protègent pas adéquatement les données de leurs clients s’exposent maintenant à des amendes qui peuvent atteindre 25 millions de dollars ou 4% du chiffre d’affaires mondial.
Pourquoi les PME sont vulnérables
La réponse est simple : budget et priorités. Une PME de 20 employés n’a généralement pas de département informatique dédié, encore moins d’expert en cybersécurité. L’informatique est souvent gérée par « le gars qui s’y connaît le plus » ou un fournisseur externe qui vient une fois par mois. C’est comme avoir un gardien de sécurité qui passe une heure par mois dans ton immeuble — c’est mieux que rien, mais c’est loin d’être suffisant.
Les mots de passe faibles restent le vecteur d’attaque le plus courant. « Motdepasse123 » et « Entreprise2026! » sont encore utilisés dans un nombre alarmant de PME québécoises. L’absence d’authentification à deux facteurs (2FA) sur les comptes de messagerie et les systèmes critiques est aussi un problème systémique.
L’hameçonnage (phishing) est l’autre grande porte d’entrée. Un courriel qui semble provenir du comptable, du patron ou d’un fournisseur demande de cliquer sur un lien ou d’ouvrir une pièce jointe. Un seul clic par un seul employé, et tout le réseau peut être compromis en quelques minutes.
Sur le même sujet : Découvre aussi TikTok banni au Canada ? Ce que ça changerait pour les créateurs québécois et L’IA va-t-elle vraiment voler ta job? Ce que les experts disent.
Les attaques les plus courantes
Le rançongiciel reste le roi des cybermenaces pour les PME. Le mode opératoire est devenu industriel : des groupes criminels organisés achètent des accès à des réseaux d’entreprises sur le dark web, déploient leur logiciel malveillant, et demandent une rançon. Certains groupes offrent même un « service client » pour aider les victimes à payer en cryptomonnaie. C’est du crime organisé à l’ère numérique.
La fraude au président (Business Email Compromise) est particulièrement sournoise. Le fraudeur se fait passer pour le PDG ou un cadre supérieur et envoie un courriel urgent au service comptable : « Effectue immédiatement un virement de 50 000$ à ce fournisseur, c’est urgent et confidentiel. » Dans le stress du moment, beaucoup d’employés obtempèrent sans vérifier. Au Québec, plusieurs cas ont fait perdre des centaines de milliers de dollars à des PME.
Le vol de données vise les informations clients — noms, adresses, numéros de carte de crédit, données de santé. Ces données se revendent sur le dark web et peuvent être utilisées pour du vol d’identité. Avec la Loi 25, les entreprises qui subissent un tel vol doivent maintenant informer la Commission d’accès à l’information ET toutes les personnes affectées.
Les mesures de protection essentielles
La bonne nouvelle, c’est que 80% des cyberattaques peuvent être prévenues avec des mesures relativement simples et peu coûteuses. Voici le minimum que chaque PME québécoise devrait mettre en place.
Les sauvegardes sont la police d’assurance numéro un. Sauvegarde tes données critiques quotidiennement, avec au moins une copie hors ligne (déconnectée du réseau) ou dans un cloud sécurisé. Teste régulièrement tes sauvegardes — une sauvegarde qu’on n’a jamais testée est une sauvegarde qui ne fonctionne probablement pas.
L’authentification à deux facteurs (2FA) devrait être activée sur TOUS les comptes professionnels sans exception : courriel, logiciels de comptabilité, accès VPN, plateformes cloud. C’est la mesure la plus efficace contre le vol de mots de passe.
La formation des employés est aussi cruciale que la technologie. Organise des séances de sensibilisation régulières sur l’hameçonnage, les mots de passe, et les bonnes pratiques de sécurité. Des plateformes comme Terranova Security (une entreprise québécoise) offrent des simulations d’hameçonnage et des formations en ligne adaptées aux PME.
Les mises à jour automatiques doivent être activées partout. Les logiciels non à jour sont des portes ouvertes pour les attaquants. Windows, Office, les navigateurs, les plugins — tout doit être à jour, tout le temps.
Ressources et aide disponibles
Le gouvernement du Québec a lancé plusieurs initiatives pour aider les PME. Le programme PCAN (Programme canadien d’adoption du numérique) offre jusqu’à 15 000$ aux PME pour leur transformation numérique, incluant la cybersécurité. In-Sec-M, la grappe de cybersécurité du Québec, offre des ressources et des événements de sensibilisation.
Pour les entreprises qui ont subi une attaque, le Centre canadien pour la cybersécurité offre une ligne d’aide. Et la Sûreté du Québec a une escouade spécialisée en cybercriminalité qui peut aider à l’enquête.
La cybersécurité, c’est pas sexy. C’est pas le genre de sujet qui fait tripper un propriétaire de PME. Mais dans un monde où une seule attaque peut mettre fin à des années de travail, c’est un investissement qui n’a pas de prix. Et comme dit le vieil adage informatique : il y a deux types d’entreprises — celles qui ont été piratées, et celles qui ne le savent pas encore.
