Ce que nos clients demandent avant de commencer

La cybersécurité, c'est l'ensemble des mesures qui protègent vos systèmes informatiques, vos données et votre capacité à opérer contre les menaces numériques. Pour une PME, ça veut dire : s'assurer que vos courriels ne sont pas interceptés, que vos données clients ne sont pas accessibles à n'importe qui, que vos sauvegardes fonctionnent, et qu'une panne ou une attaque ne paralyse pas votre production pendant des jours.

Oui. La taille ne protège pas. Les PME sont ciblées précisément parce qu'elles ont souvent moins de défenses en place que les grandes organisations. Une attaque par rançongiciel ne vérifie pas votre chiffre d'affaires avant de chiffrer vos fichiers. De plus, si vous travaillez avec de plus grandes entreprises ou le secteur public, vos clients commencent à exiger des preuves de sécurité.

Trois étapes concrètes : (1) Savoir où vous en êtes — un diagnostic de vulnérabilité ou un audit de maturité donne une photographie factuelle de votre posture. (2) Prioriser — tout ne se corrige pas en même temps, il faut identifier ce qui présente le plus grand risque pour vos opérations. (3) Agir sur les fondamentaux — activer le MFA, vérifier vos sauvegardes, sécuriser vos courriels, documenter vos accès.

Non. C'est un enjeu d'affaires. Une cyberattaque affecte la production, les contrats, la réputation, les obligations légales et les assurances. C'est pour ça que la direction générale doit être impliquée, pas seulement l'équipe TI ou le fournisseur informatique.

Pas nécessairement. La plupart des PME n'ont ni le budget ni le volume pour justifier un poste dédié à temps plein. Un accompagnement externe structuré (quelques heures par mois) combiné à une bonne hygiène de base couvre les besoins de la majorité des PME.

Les impacts les plus fréquents : arrêt de production (quelques heures à plusieurs semaines), perte de données clients ou internes, coûts de restauration et d'expertise d'urgence, perte de contrats (clients qui exigent des garanties de sécurité), atteinte à la réputation, et amendes potentielles en cas de fuite de renseignements personnels sous la Loi 25.

Ça dépend de l'ampleur, mais pour une PME canadienne, les coûts peuvent rapidement atteindre plusieurs dizaines de milliers de dollars : restauration des systèmes, perte de revenus pendant l'arrêt, expertise d'urgence, notification des personnes touchées, et parfois rançon. Sans compter les coûts indirects (perte de clients, hausse des primes d'assurance).

Oui. Les attaques automatisées (rançongiciels, hameçonnage de masse) ne discriminent pas par taille. Elles exploitent les failles disponibles. Une PME avec des systèmes non à jour, pas de MFA et des sauvegardes non testées est une cible facile, quel que soit son secteur.

Votre fournisseur TI (MSP) gère généralement l'infrastructure : réseau, postes, serveurs, mises à jour. Mais la cybersécurité va plus loin : gestion des accès, politique de mots de passe, sauvegardes testées, sensibilisation des employés, conformité réglementaire, préparation aux incidents. Un regard complémentaire spécialisé en cybersécurité permet de valider ce qui est couvert et ce qui ne l'est pas.

C'est une analyse technique de votre environnement informatique (serveurs, postes, réseau, équipements) qui identifie les failles de sécurité connues : logiciels non à jour, mauvaises configurations, services exposés, ports ouverts. Le résultat est un rapport qui classe les vulnérabilités par niveau de criticité avec des recommandations de correction.

En trois temps : (1) Collecte d'information — on recueille les données de base sur votre infrastructure (nombre de postes, serveurs, type d'environnement). (2) Scan — une sonde analyse votre réseau interne (2 à 3 heures sur place ou via machine virtuelle) et votre exposition externe (24 heures). (3) Rapport — en 72 heures, vous recevez un rapport avec les vulnérabilités classées par criticité et les recommandations de correction.

Non. Le scan de vulnérabilité est non intrusif. Il ne modifie rien dans votre environnement, ne supprime aucune donnée et ne provoque pas de pannes. Il observe et analyse, sans intervenir sur vos systèmes.

Le diagnostic identifie les failles connues de façon automatisée et les classe par criticité. Le test d'intrusion va plus loin : un expert tente activement d'exploiter les failles pour démontrer ce qu'un attaquant pourrait réellement faire. Le diagnostic est le point de départ recommandé — il donne une vue d'ensemble. Le pentest intervient ensuite sur des cibles précises.

Au minimum une fois par an, et après tout changement majeur dans votre infrastructure (nouveau serveur, migration cloud, changement de fournisseur TI). Certains assureurs et clients exigent un scan annuel comme preuve de diligence.

Selon le forfait : un rapport technique détaillé (liste des vulnérabilités avec scores de criticité), un rapport exécutif (synthèse pour la direction, en langage clair), et potentiellement un plan d'action priorisé avec recommandations de remédiation classées par urgence et effort.

Le diagnostic couvre l'infrastructure qui peut être scannée : serveurs (physiques ou virtuels), postes, équipements réseau, environnements on-premise et hybrides. Pour Microsoft 365 spécifiquement, c'est plutôt un audit de configuration qui s'applique (vérification des réglages de sécurité, des accès, du MFA, etc.).

Ce n'est pas obligatoire, mais c'est recommandé. Votre fournisseur TI peut fournir les informations techniques nécessaires (adresses IP, architecture réseau) et sera ensuite le mieux placé pour appliquer les corrections identifiées. Le diagnostic est un outil de collaboration, pas de remplacement.

C'est une évaluation structurée de votre posture de sécurité. On regarde vos pratiques, vos outils, vos politiques, votre gestion des accès, vos sauvegardes, votre conformité réglementaire, et on les compare à un référentiel reconnu. Le résultat : un état des lieux avec des recommandations priorisées et un plan d'action.

Le diagnostic de vulnérabilité est technique : il scanne vos systèmes pour trouver des failles. L'audit est plus large : il évalue aussi vos processus, vos politiques, votre gestion des accès, votre conformité, votre préparation aux incidents. Les deux sont complémentaires — le diagnostic donne les faits techniques, l'audit donne le portrait global.

Pour une PME typique, comptez quelques jours à quelques semaines selon le périmètre. La collecte d'information et les entrevues prennent le plus de temps. L'audit n'immobilise pas vos équipes — il demande principalement la disponibilité d'une personne-ressource (DG, responsable TI ou fournisseur).

C'est justement le bon moment. L'audit sert à établir votre point de départ et à prioriser les actions. Si vous n'avez rien en place, chaque dollar investi aura un impact maximal — à condition de savoir où le mettre. L'audit vous donne cette visibilité.

Oui. Les résultats d'un audit appartiennent au client. Rien n'est partagé avec des tiers sans votre autorisation. Le rapport contient des informations sensibles sur votre infrastructure — il est traité avec le même niveau de confidentialité qu'un dossier financier.

Un bon rapport contient deux niveaux de lecture : un résumé exécutif (en langage clair, avec les risques principaux et les actions recommandées) et un rapport technique (détail des vulnérabilités pour l'équipe TI). En tant que dirigeant, concentrez-vous sur le résumé exécutif : combien de vulnérabilités critiques, quel impact potentiel, et quelles sont les 3 à 5 premières actions à prendre.

Ça dépend de votre organisation. Si vous avez un fournisseur TI (MSP), c'est généralement lui qui exécute les corrections techniques. Si vous avez une équipe TI interne, elle prend le relais. Le rôle du consultant en cybersécurité est de vous dire quoi corriger, dans quel ordre et pourquoi — pas nécessairement de le faire lui-même.

La criticité est basée sur le score CVSS (Common Vulnerability Scoring System), un standard de l'industrie. Critique (9.0-10.0) : exploitable à distance, sans authentification, avec un impact majeur — à corriger immédiatement. Élevée (7.0-8.9) : risque sérieux, à corriger dans les jours qui suivent. Moyenne (4.0-6.9) : risque modéré, à planifier. Faible (0.1-3.9) : risque limité, à corriger quand l'occasion se présente.

Non. L'objectif n'est pas la perfection, c'est la réduction du risque. On commence par les vulnérabilités critiques et élevées qui ont le plus d'impact sur vos opérations. Ensuite, on planifie le reste sur quelques semaines ou mois. Un plan d'action structuré vous permet d'avancer sans paralyser vos activités.

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est une loi québécoise entrée en vigueur progressivement depuis septembre 2022. Elle impose aux organisations qui collectent, utilisent ou conservent des renseignements personnels de mettre en place des mesures de protection, de nommer un responsable, de signaler les incidents de confidentialité et de respecter de nouvelles obligations de transparence.

Oui, si vous collectez, utilisez ou conservez des renseignements personnels au Québec — ce qui inclut pratiquement toutes les entreprises (noms de clients, courriels, numéros de téléphone, adresses, informations de paiement, données d'employés). La loi s'applique peu importe la taille de l'entreprise.

La Commission d'accès à l'information du Québec (CAI) peut imposer des sanctions administratives pécuniaires. Pour les entreprises, les amendes peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial. En pratique, la CAI n'a pas encore imposé de sanctions majeures aux PME à ce jour, mais les obligations légales sont en vigueur et les plaintes sont traitées.

Les principales : (1) Nommer un responsable de la protection des renseignements personnels (par défaut, c'est la personne ayant la plus haute autorité dans l'entreprise). (2) Publier vos politiques de confidentialité. (3) Tenir un registre des incidents de confidentialité. (4) Signaler tout incident présentant un risque sérieux à la CAI et aux personnes concernées. (5) Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) pour certains projets.

Non. Il vaut mieux se mettre en mouvement maintenant que d'attendre une plainte ou un incident. Les étapes de base (nommer un responsable, publier une politique de confidentialité, documenter vos pratiques de collecte) peuvent être mises en place rapidement. L'important, c'est de démontrer une démarche de bonne foi.

Ce sont trois protocoles qui protègent votre domaine de courriel contre l'usurpation (spoofing). SPF indique quels serveurs ont le droit d'envoyer des courriels au nom de votre domaine. DKIM ajoute une signature cryptographique à vos courriels pour prouver qu'ils n'ont pas été altérés. DMARC combine les deux et définit quoi faire avec les courriels qui échouent la vérification. Sans ces configurations, n'importe qui peut envoyer des faux courriels depuis votre domaine.

Vous pouvez vérifier gratuitement vos enregistrements SPF, DKIM et DMARC avec des outils en ligne comme MXToolbox (mxtoolbox.com). Si le résultat montre des enregistrements manquants ou mal configurés, c'est un signal que votre domaine est vulnérable au spoofing.

C'est souvent un signe que vos enregistrements SPF, DKIM ou DMARC sont absents ou mal configurés. Les fournisseurs de messagerie (Google, Microsoft, etc.) vérifient ces protocoles pour décider si un courriel est légitime. Sans eux, vos messages sont traités comme suspects.

C'est une police d'assurance qui couvre les coûts liés à un incident de cybersécurité : restauration des systèmes, perte de revenus pendant l'arrêt, frais juridiques, notification des personnes touchées, et parfois les rançons. Elle ne remplace pas la sécurité — elle couvre le risque résiduel.

Les exigences varient selon l'assureur, mais les plus fréquentes : MFA activé sur les accès critiques (courriel, VPN, admin), sauvegardes régulières et testées, antivirus/EDR sur les postes, gestion des mises à jour, formation des employés à l'hameçonnage, et parfois un scan ou audit de vulnérabilité récent.

Parce que l'assureur veut évaluer votre niveau de risque avant de vous couvrir (ou de fixer votre prime). C'est le même principe qu'une inspection de bâtiment avant une assurance incendie. Un audit favorable peut aussi vous aider à négocier de meilleures conditions ou une prime plus basse.

Non, ce n'est pas une obligation légale. Mais de plus en plus de clients, de partenaires et de contrats l'exigent comme condition de faire affaire. Et en cas d'incident sans assurance, les coûts sont entièrement à votre charge.

C'est un logiciel malveillant qui chiffre vos fichiers et vos systèmes, les rendant inaccessibles. Les attaquants demandent ensuite une rançon (souvent en cryptomonnaie) en échange de la clé de déchiffrement. Même si vous payez, il n'y a aucune garantie de récupérer vos données.

Étapes immédiates : (1) Isoler les machines touchées du réseau (débrancher le câble réseau, couper le Wi-Fi) pour limiter la propagation. (2) Ne pas éteindre les machines (des preuves en mémoire peuvent être utiles). (3) Contacter votre fournisseur TI et un spécialiste en réponse aux incidents. (4) Ne pas payer la rançon sans avis d'expert. (5) Signaler l'incident au Centre canadien pour la cybersécurité et, si des renseignements personnels sont touchés, à la CAI.

La recommandation générale est de ne pas payer. Payer ne garantit pas la récupération de vos données, finance les criminels, et peut vous marquer comme cible pour de futures attaques. La meilleure protection reste la prévention : des sauvegardes testées et hors ligne, un plan de reprise, et des mesures de base en place.

L'hameçonnage est un courriel ou un message qui imite une source légitime (fournisseur, banque, collègue) pour vous inciter à cliquer sur un lien, ouvrir une pièce jointe ou fournir des identifiants. Signaux d'alerte : adresse d'expéditeur suspecte, ton urgent ou menaçant, lien qui ne correspond pas au domaine affiché, demande inhabituelle (transfert d'argent, mot de passe). En cas de doute, vérifiez directement avec l'expéditeur par un autre canal.

C'est un document qui décrit comment votre entreprise va remettre ses systèmes en marche après un incident majeur (cyberattaque, panne, sinistre). Il définit : quels systèmes sont prioritaires, dans quel ordre les rétablir, qui fait quoi, quels sont les délais acceptables, et où sont les sauvegardes.

Le PRA (Plan de reprise d'activité) se concentre sur la remise en marche après un incident. Le PCA (Plan de continuité des activités) est plus large : il couvre aussi comment maintenir un minimum d'activité pendant l'incident. En pratique pour une PME, les deux sont souvent combinés dans un seul document.

Non. Avoir des sauvegardes est une condition nécessaire, mais pas suffisante. Il faut aussi : savoir combien de temps prend une restauration complète, avoir testé la restauration au moins une fois, s'assurer que les sauvegardes ne sont pas accessibles depuis le réseau principal (sinon un rançongiciel peut les chiffrer aussi), et documenter la procédure pour que n'importe qui puisse l'exécuter en urgence.

Ça dépend du secteur. Une entreprise manufacturière qui dépend d'un ERP peut perdre sa capacité de production en quelques heures. Un bureau de services professionnels peut tenir quelques jours. La vraie question à se poser : combien de temps VOTRE entreprise peut-elle opérer sans accès à ses courriels, ses fichiers et ses systèmes de gestion ? Ce délai définit votre objectif de reprise (RTO).

RTO (Recovery Time Objective) : le délai maximal acceptable pour remettre vos systèmes en marche après un incident. RPO (Recovery Point Objective) : la quantité maximale de données que vous pouvez vous permettre de perdre, mesurée en temps (ex. : RPO de 24h = vous acceptez de perdre au maximum les données de la dernière journée). Ces deux indicateurs guident les choix techniques de votre PRA.

C'est l'ensemble des pratiques qui définissent qui a accès à quoi dans votre entreprise : comptes utilisateurs, droits d'accès aux fichiers, aux applications, aux systèmes. L'objectif est de s'assurer que chaque personne n'a accès qu'à ce dont elle a besoin pour travailler, et que les accès sont retirés quand ils ne sont plus nécessaires.

MFA (authentification multifacteur) ajoute une deuxième vérification en plus du mot de passe : un code envoyé par SMS, une application d'authentification, ou une clé physique. Même si un mot de passe est volé (hameçonnage, fuite), l'attaquant ne peut pas se connecter sans le deuxième facteur. C'est l'une des mesures les plus efficaces et les moins coûteuses en cybersécurité, et c'est exigé par la quasi-totalité des assureurs.

À la sortie : (1) Désactiver les comptes (courriel, VPN, applications) dans les heures qui suivent le départ. (2) Changer les mots de passe des comptes partagés auxquels la personne avait accès. (3) Révoquer les accès aux outils cloud et aux dossiers partagés. (4) Récupérer le matériel (laptop, téléphone, clés USB, badges). Un simple checklist documenté suffit — l'important est qu'il soit systématiquement appliqué.

La plateforme elle-même est sécurisée, mais la configuration par défaut n'est pas suffisante pour une entreprise. Le MFA n'est pas forcément activé partout, les partages de fichiers peuvent être trop permissifs, les journaux d'audit ne sont pas toujours activés, et les politiques de mots de passe sont souvent trop faibles. Un durcissement de la configuration est nécessaire.

Microsoft garantit la disponibilité de la plateforme, pas la récupération de vos données. La corbeille a une durée limitée, et en cas de suppression malveillante ou de rançongiciel, vous pouvez perdre des données. Une solution de sauvegarde tierce pour Microsoft 365 (courriels, SharePoint, OneDrive, Teams) est fortement recommandée.

Oui, parce que la majorité des incidents commencent par une erreur humaine : un clic sur un lien malveillant, un mot de passe réutilisé, un fichier partagé au mauvais destinataire. Une formation ciblée et régulière (pas un PowerPoint annuel de 200 diapositives) réduit significativement ce risque.

Courte (1 à 2 heures), concrète (basée sur des exemples réels adaptés au contexte de l'entreprise), interactive (pas un monologue), et répétée (au moins une fois par an, idéalement avec des rappels trimestriels). Les sujets essentiels : reconnaître l'hameçonnage, gérer ses mots de passe, signaler un incident, comprendre les règles de base (verrouillage, partage, supports amovibles).

Le coût dépend de la taille de votre infrastructure, du périmètre couvert et du niveau de livrables. Contactez-nous pour obtenir une estimation adaptée à votre réalité. L'investissement est généralement une fraction de ce que coûterait un seul incident.

Pour un diagnostic de vulnérabilité : le scan prend quelques heures (interne) à 24h (externe), et le rapport est livré en 72 heures. Pour un audit de maturité : quelques jours à quelques semaines selon la taille et la complexité. L'accompagnement stratégique est continu (mensuel).

Trois priorités qui coûtent peu et réduisent fortement le risque : (1) Activer le MFA sur tous les comptes critiques (courriel, VPN, admin). (2) Vérifier que vos sauvegardes fonctionnent et sont hors réseau. (3) Faire un diagnostic de vulnérabilité pour savoir exactement où sont vos failles. Ensuite, on priorise le reste en fonction de l'impact et du budget disponible.

On classe les actions selon deux critères : l'impact (que se passe-t-il si on ne fait rien ?) et l'effort (combien ça coûte et combien de temps ça prend ?). Les actions à fort impact et faible effort passent en premier. Un plan d'action structuré après un diagnostic ou un audit vous donne exactement cette priorisation.

C'est un suivi régulier (mensuel) où un expert en cybersécurité travaille avec vous pour maintenir et améliorer votre posture de sécurité dans le temps : suivi des recommandations, veille sur les menaces pertinentes pour votre secteur, soutien à la prise de décision, préparation aux audits ou exigences clients, et accompagnement en cas d'incident.

Non. On travaille avec votre fournisseur TI ou votre équipe interne, pas à la place. Le rôle est complémentaire : votre fournisseur gère l'infrastructure et les opérations, nous apportons un regard spécialisé en cybersécurité. Le diagnostic et les recommandations servent d'outil de travail commun.

Oui. Beaucoup de PME n'ont pas d'équipe TI interne et fonctionnent avec un fournisseur externe ou même sans soutien technique structuré. L'accompagnement s'adapte à cette réalité : on identifie les besoins, on priorise, et on vous guide dans les décisions, que vous ayez un fournisseur en place ou non.

Non. L'approche est flexible : ponctuel (diagnostic, audit) ou mensuel (accompagnement), sans contrat rigide à long terme. Vous payez pour la valeur livrée, pas pour un engagement forcé.

Principalement auprès des PME, tous secteurs : manufacturier, construction, transport, aérospatiale, défense, services professionnels, commerce. L'approche s'adapte aux réalités de chaque secteur — les risques d'une PME manufacturière ne sont pas les mêmes que ceux d'un cabinet comptable.

Oui. Pour le diagnostic de vulnérabilité, une intervention sur site est souvent nécessaire (installation de la sonde sur le réseau). Pour les audits, formations et accompagnement, le travail peut se faire en personne ou à distance selon les besoins.

Quelques informations de base : le nombre de postes et serveurs, le type d'environnement (physique, virtuel, cloud, hybride), votre adresse IP publique, votre plage d'adresses IP internes, et une date d'analyse qui convient. Un formulaire de collecte vous est fourni pour simplifier la démarche.

Non. Le scan de vulnérabilité fonctionne de manière non intrusive — il scanne le réseau sans nécessiter d'identifiants administrateur. La sonde est branchée sur votre réseau (physiquement ou via une machine virtuelle) et analyse ce qui est visible et accessible.

La technologie utilisée est certifiée SOC 2 Type II et ISO 27001. Les données du scan sont traitées de façon sécurisée. Aucune donnée d'entreprise (fichiers, courriels, documents) n'est collectée — le scan analyse la configuration et les vulnérabilités des systèmes, pas leur contenu.

Les forfaits se distinguent par le niveau de livrables et d'accompagnement. Le niveau de base donne la visibilité (rapport technique + exécutif). Les niveaux supérieurs ajoutent la mise en contexte des risques, les recommandations priorisées, et un plan d'action structuré avec arbitrage effort/impact. Contactez-nous pour identifier le forfait adapté à votre besoin.

Le CMMC (Cybersecurity Maturity Model Certification) est un cadre de certification américain imposé par le département de la Défense des États-Unis (DoD) à ses fournisseurs et sous-traitants. Il exige un niveau de maturité en cybersécurité vérifié par un tiers. La Phase 2, prévue pour novembre 2026, élargit l'obligation à davantage de contrats.

Oui, si votre PME est fournisseur ou sous-traitant (même indirect) d'une entreprise qui fait affaire avec le DoD américain. C'est particulièrement pertinent pour les secteurs aérospatiale, défense et manufacturier avancé au Québec. Si un de vos clients vous demande une conformité CMMC, il faudra vous préparer.

La préparation commence par un gap analysis basé sur les contrôles NIST SP 800-171 (qui forment la base du CMMC Niveau 2). Ensuite : identifier les écarts, mettre en place un plan de remédiation, documenter les pratiques, et se préparer à un audit par un organisme tiers certifié (C3PAO). C'est un projet qui prend plusieurs mois.