Quel est le coût moyen d'une cyberattaque pour une PME au Québec ?

Selon le Centre canadien pour la cybersécurité, le coût moyen d'un incident pour une PME canadienne dépasse 200 000 $ en 2026 (temps d'arrêt, récupération, amendes réglementaires, perte de clients). Pour les PME québécoises assujetties à la Loi 25, s'ajoutent des amendes pouvant atteindre 25 M$ ou 4 % du chiffre d'affaires.

Quelles sont les obligations de cybersécurité des PME québécoises sous la Loi 25 ?

La Loi 25 (en vigueur depuis sept. 2023) oblige les PME à : désigner un responsable de la protection des renseignements personnels, établir une politique de confidentialité, évaluer les facteurs relatifs à la vie privée (EFVP) pour tout nouveau projet, et signaler toute violation dans les 72 heures à la CAI et aux personnes touchées.

Un pare-feu suffit-il pour protéger une PME contre les cyberattaques ?

Non. Le pare-feu est une couche nécessaire mais insuffisante. Les attaques modernes utilisent le phishing (contourne le pare-feu via email), le vol de credentials et les vulnérabilités applicatives. Une protection complète comprend : MFA sur tous les comptes, sauvegardes 3-2-1, formation employés, et gestion des mises à jour.

Faut-il une assurance cybersécurité pour les PME au Québec ?

De plus en plus recommandée. L'assurance cyber couvre : les coûts de récupération, les frais juridiques, les amendes réglementaires et parfois la rançon. Coût typique au Québec : 2 000-8 000 $/an pour une PME de 10-50 employés. Vérifier que la police couvre bien les incidents de ransomware et les violations Loi 25.

Combien coûte un test de pénétration pour une PME québécoise ?

Un pentest de base pour une PME québécoise (périmètre réseau interne + externe) coûte entre 3 000 $ et 15 000 $ selon la taille et la complexité. Un test d'ingénierie sociale (phishing simulé) coûte 1 500-5 000 $ supplémentaires. SEQUR.CA offre des évaluations adaptées aux PME — khalid@sequr.ca.

Loi 25 & Conformité

Cybersécurité PME Québec : guide complet 2026

25 mars 2026 8 min de lecture 0

Guide complet cybersécurité pour PME au Québec

La cybersécurité pour les PME au Québec est un domaine où le fossé entre le besoin réel et les ressources disponibles est immense. Les grandes entreprises ont des équipes dédiées, des budgets importants, et des processus établis. Les PME ont souvent une seule personne qui “gère l’informatique” en plus de ses autres responsabilités, un budget minimal, et des processus qui n’ont jamais été formalisés.

Pourtant, les PME sont des cibles de plus en plus fréquentes. Pas parce qu’elles sont les plus lucratives, mais parce qu’elles sont les moins défendues. Ce guide est le point de départ pour une PME québécoise qui veut bâtir une posture de sécurité sérieuse.

La réalité des menaces pour les PME québécoises

Les attaques qui touchent les PME en 2026

Ransomware : chiffrement de toutes tes données contre paiement. Les groupes ransomware ciblent spécifiquement les PME parce qu’elles paient plus souvent que les grandes entreprises (elles ont moins d’alternatives et plus de pression immédiate) et moins souvent que les particuliers (elles ont les moyens de payer davantage).

Compromission d’email professionnel (BEC — Business Email Compromise) : un attaquant prend le contrôle d’un compte email d’employé et initie des virements frauduleux ou collecte des informations confidentielles. Cette fraude a coûté 2,9 milliards USD aux organisations américaines en 2023 selon le FBI — et les PME canadiennes ne sont pas épargnées.

Phishing ciblé : des emails conçus spécifiquement pour ton entreprise, avec des références à des clients réels, des projets en cours, ou des collègues nommés — rendus possibles par l’IA.

Accès RDP exposé : Remote Desktop Protocol accessible directement depuis internet est la porte d’entrée préférée des gangs ransomware. Un scan automatisé trouve ces serveurs en quelques secondes.

Supply chain compromise : attaque via un de tes fournisseurs ou logiciels de tiers — une façon d’entrer chez des dizaines d’entreprises en compromettant un seul point.

Les secteurs les plus ciblés au Québec

Santé et services médicaux (données sensibles, systèmes critiques)
Services professionnels (avocats, comptables, consultants)
Construction et immobilier (gros flux de paiements)
Commerce de détail en ligne
PME sous-traitantes de grandes organisations gouvernementales ou privées

La posture de sécurité de base : ce qu’il faut avoir

Niveau 1 : Fondations (toute PME)

Mises à jour systématiques

Tout système, logiciel et appareil doit être à jour. Plus de 60% des compromissions exploitent des vulnérabilités pour lesquelles des correctifs existaient depuis des mois. Activer les mises à jour automatiques là où c’est possible.

Gestion des mots de passe

Politique de mots de passe forts et uniques dans toute l’organisation. Gestionnaire de mots de passe d’équipe (1Password Teams, Bitwarden for Business). Pas de mots de passe partagés, pas de mots de passe sur des Post-its.

Authentification multi-facteurs (MFA)

MFA sur absolument tout ce qui est accessible depuis internet :

Email d’entreprise (Microsoft 365, Google Workspace)
VPN
Panneaux d’administration (hébergement, DNS, cloud)
Logiciels comptables et ERP cloud
Accès SSH

Sauvegardes

La règle 3-2-1 :

3 copies des données
2 supports différents
1 copie hors site ou isolée du réseau

Critère souvent oublié : teste la restauration régulièrement. Une sauvegarde non testée est une fausse assurance.

Firewall et filtrage réseau

Un pare-feu correctement configuré à la périphérie du réseau. Pour la plupart des PME, le routeur fourni par le FAI avec les paramètres par défaut ne suffit pas — il faut au minimum un routeur avec des capacités de filtrage configurées.

Protection des endpoints

Un antivirus/EDR (Endpoint Detection and Response) sur tous les postes de travail et serveurs. Les produits modernes comme SentinelOne, CrowdStrike ou Microsoft Defender for Endpoint (inclus dans Microsoft 365 Business Premium) vont au-delà de l’antivirus classique.

Niveau 2 : Sécurité intermédiaire (PME avec données sensibles ou clients B2B)

Segmentation réseau

Séparer les réseaux pour limiter la propagation en cas de compromission :

Réseau de production (serveurs, données)
Réseau utilisateurs (postes de travail)
Réseau IoT (imprimantes, caméras, appareils connectés)
Réseau invité

Principe du moindre privilège

Chaque employé n’a accès qu’aux systèmes et données nécessaires à son rôle. Les comptes administrateurs sont séparés des comptes utilisateurs quotidiens. L’accès administrateur local est limité ou désactivé sur les postes de travail.

Gestion des accès et identités (IAM)

Un répertoire centralisé (Active Directory, Azure AD, Google Workspace Admin) qui gère les accès de tous les employés. Quand un employé quitte, tous ses accès sont révoqués en un seul endroit.

Protection des emails

DMARC, DKIM, SPF configurés correctement — empêche l’usurpation de ton domaine
Filtres anti-spam et anti-phishing robustes (Microsoft Defender for Office 365 ou équivalent)
Formation anti-phishing pour les employés

Politique de télétravail sécurisée

Si tes employés travaillent à domicile ou en déplacement :

VPN obligatoire pour accéder aux ressources internes
Chiffrement du disque sur les portables (BitLocker sur Windows, FileVault sur Mac)
Politique de verrouillage automatique des écrans
Interdiction de travailler sur des WiFi publics sans VPN

Niveau 3 : Sécurité avancée (PME avec réglementation ou données hautement sensibles)

SIEM et monitoring de sécurité

Un système de gestion des informations et des événements de sécurité (SIEM) centralise les logs de tous tes systèmes et alerte en cas d’activité suspecte. Solutions adaptées aux PME : Microsoft Sentinel, LogRhythm, ou des services gérés (MSSP).

Tests de pénétration annuels

Un professionnel tente d’entrer dans tes systèmes de la même façon qu’un attaquant. Identifie les failles réelles avant que quelqu’un de malveillant ne le fasse.

Plan de réponse aux incidents

Un document qui définit exactement quoi faire en cas d’incident de sécurité : qui appelle qui, dans quel ordre, comment isoler les systèmes, comment communiquer avec les parties prenantes. Un plan non documenté = improvisation pendant la panique.

Programme de conformité formel

Si tu es soumis à la Loi 25, au PIPEDA, au PCI-DSS (paiements par carte), ou à d’autres réglementations, un programme de conformité formel avec documentation, revues régulières et audits.

Les obligations légales des PME québécoises

Loi 25 : si tu collectes des données personnelles de clients ou employés (ce que fait pratiquement toute PME), tu es soumis à des obligations de protection, de consentement, de notification d’incidents et de conformité. Les sanctions peuvent aller jusqu’à 25 millions de dollars.

PIPEDA : si tu opères en dehors du Québec également, ou si tu travailles avec des sous-traitants dans d’autres provinces.

PCI-DSS : si tu traites des paiements par carte de crédit, les standards PCI-DSS s’appliquent (niveaux variables selon le volume de transactions).

Le coût d’une PME non protégée

Coût d’une attaque ransomware

Rançon si payée : 50 000$ à 200 000$ pour une PME
Temps d’arrêt : 2 à 4 semaines en moyenne
Coût du temps d’arrêt (productivité, clients perdus) : souvent 5-10x la rançon
Récupération et reconstruction des systèmes : 20 000$ à 100 000$
Notification des clients et gestion de la réputation
Sanctions réglementaires potentielles

Total pour une PME de taille moyenne : 200 000$ à 500 000$

Coût d’une compromission de compte email

Virement frauduleux : 20 000$ à 200 000$ (récupéré rarement)
Perte de données client
Amendes Loi 25
Perte de clients et de réputation

Par où commencer : le plan 90 jours

Mois 1 : Évaluation et fondations

Semaine 1-2 :

Inventaire de tous les actifs informatiques (ordinateurs, serveurs, logiciels, services cloud)
Inventaire des accès (qui a accès à quoi)
Identification des données sensibles (clients, finances, informations personnelles)

Semaine 3-4 :

Activer MFA sur email et services cloud
Implémenter un gestionnaire de mots de passe d’équipe
Vérifier et activer les mises à jour automatiques
Tester les sauvegardes existantes (restauration réelle, pas juste vérification)

Mois 2 : Couche de sécurité

Configurer DMARC, DKIM, SPF sur ton domaine email
Vérifier la configuration du firewall
Implémenter ou améliorer la protection des endpoints
Élaborer une politique de télétravail sécurisée
Former les employés au phishing et à l’ingénierie sociale

Mois 3 : Conformité et documentation

Nommer un RPRP (si Loi 25 applicable)
Mettre à jour la politique de confidentialité
Documenter un plan de réponse aux incidents (même simplifié)
Évaluer les besoins en test de pénétration
Planifier une révision de sécurité annuelle

Faire appel à un spécialiste : quand et pourquoi

Certaines choses peuvent être gérées en interne. D’autres nécessitent un expert.

À gérer soi-même (avec les bons outils) :

Activation du MFA
Gestionnaire de mots de passe
Mises à jour
Sauvegardes de base

À confier à un spécialiste :

Configuration du firewall et de la segmentation réseau
Configuration DMARC/DKIM/SPF
Test de pénétration
Plan de réponse aux incidents
Évaluation de conformité Loi 25
Investigation post-incident

Ressources au Canada et au Québec

Centre canadien pour la cybersécurité — Guide PME
Commission d’accès à l’information (CAI) — Loi 25
CyberSecure Canada — certification de cybersécurité pour les PME canadiennes
CISA Critical Infrastructure — ressources en anglais, utiles pour les bonnes pratiques

Tu veux un diagnostic de la posture de sécurité de ta PME ? J’évalue tes systèmes actuels, identifie les lacunes prioritaires et te donne un plan d’action réaliste adapté à ta taille et ton budget. Écris-moi à khalid@sequr.ca.

Voir aussi : Loi 25 Québec : ce que chaque PME doit savoir — PIPEDA et Loi 25 : guide de conformité — Test de pénétration au Québec — Ransomware : que faire si tu es touché

Khalid Mokrini

Cyber Security Specialist

Fondateur d'Informatique Ste-Foy (depuis 2014) et de Sequr.ca. Certifié en cybersécurité des réseaux informatiques par l'École Polytechnique de Montréal. Plus de 1 000 clients servis au Québec.

540+ avis (4.7/5) Québec, Canada

Consultation personnalisée

Votre appareil est-il vraiment protégé ?

Un expert certifié analyse votre situation et vous propose un plan d'action concret, adapté à votre appareil et vos habitudes.

Demander une consultation

100 % à distance — Québec