En 2024, une PME québécoise sur six a été victime d'une cyberattaque. Parmi celles-ci, plus de 40 % ont subi une interruption d'activité de plus de 48 heures — et 18 % n'ont jamais pleinement repris leurs opérations. Ce n'est pas une statistique abstraite : c'est la réalité des cabinets comptables de Lévis, des cliniques de Trois-Rivières et des distributeurs de Laval que nous accompagnons quotidiennement.
Pourquoi les PME sont visées en priorité
Les cybercriminels organisés n'attaquent plus au hasard. Ils utilisent des outils automatisés de reconnaissance (Shodan, Censys) pour identifier les entreprises exposant des ports RDP ouverts, des VPN sans MFA ou des routeurs avec les mots de passe par défaut. Une PME de 50 employés sans équipe TI interne représente une cible idéale : la valeur des données est réelle, mais les défenses sont généralement absentes.
Trois facteurs aggravent la situation pour les PME québécoises :
- Le recours massif aux applications SaaS non gérées — Dropbox personnel, comptes Gmail partagés, OneDrive sans politique de rétention — qui créent des angles morts dans la posture de sécurité.
- L'absence de sauvegardes testées — 62 % des PME pensent avoir des sauvegardes fonctionnelles ; lors des tests de restauration, moins d'un tiers récupère ses données intégralement en moins de 4 heures.
- Le manque de formation des employés — 91 % des attaques commencent par un courriel de phishing ; un seul clic suffit.
Le scénario type d'une attaque en 2026
Le processus est désormais industrialisé. Les groupes criminels comme LockBit 3.0, Black Basta ou Play opèrent comme de véritables entreprises : support client 24/7, négociation de rançons via portail web, programmes d'affiliation pour recruter des intermédiaires locaux.
Une attaque typique se déroule en trois temps :
- Accès initial (J-14 à J-1) — Vol de crédentiels via phishing ou achat sur le dark web. L'attaquant reste silencieux, cartographie le réseau, identifie les sauvegardes.
- Mouvement latéral — Escalade de privilèges vers les comptes administrateurs, désactivation des antivirus, suppression ou chiffrement des sauvegardes locales.
- Déploiement du rançongiciel (Jour J) — Chiffrement simultané de tous les fichiers accessibles, dépôt d'une note de rançon. La demande moyenne en 2024 : 285 000 $ USD pour une PME de 100 employés.
Les cinq mesures qui font réellement la différence
Après des centaines d'audits de cybersécurité réalisés dans toutes les régions du Québec, voici les contrôles qui ont le plus d'impact, classés par rapport coût-efficacité :
- MFA sur tous les accès distants et comptes Microsoft 365 — Bloque 99,9 % des tentatives de connexion non autorisées selon Microsoft.
- Sauvegardes immuables hors site — Une copie de vos données dans un environnement que l'attaquant ne peut pas atteindre, même avec un accès administrateur à vos systèmes.
- Segmentation réseau — Isoler les postes utilisateurs des serveurs critiques et des équipements IoT empêche la propagation latérale.
- Gestion des correctifs en moins de 72 h — 85 % des exploits utilisés ciblent des vulnérabilités connues pour lesquelles un correctif existe depuis plus de 30 jours.
- Plan de réponse aux incidents testé — Savoir quoi faire dans les 30 premières minutes réduit de 60 % les coûts de reprise.
Ce que vous devriez faire cette semaine
Commencez par une vérification simple : ouvrez haveibeenpwned.com et entrez votre domaine d'entreprise. Si des adresses courriel de vos employés apparaissent dans des fuites de données, des attaquants ont probablement déjà ces crédentiels. C'est le point de départ d'une compromission.
La bonne nouvelle : un audit de cybersécurité réalisé par nos équipes prend généralement 5 à 10 jours ouvrables pour une PME de taille standard. Le rapport vous donne un plan d'action priorisé par niveau de risque — sans jargon, compréhensible par votre direction.