Projet phare #1 : Développement de programmes de cybersécurité pour les PME
Comment aider les petites et moyennes entreprises à bâtir un programme de cybersécurité réaliste, efficace, adapté à leurs moyens.
Introduction
Dans un monde hyperconnecté et globalisé, les petites et moyennes entreprises font face à un double défi : se démarquer dans un marché souvent très concurrentiel, tout en protégeant leurs actifs numériques contre des menaces en constante évolution. Longtemps perçues comme des cibles secondaires, les PME sont aujourd’hui au cœur des stratégies des cybercriminels — leur taille modeste ne les rend pas invisibles, elle les rend surtout plus vulnérables.
Avec l’émergence du télétravail, une dépendance toujours plus forte aux services infonuagiques, la multiplication des appareils connectés et l’avènement de l’intelligence artificielle, les possibilités d’exploitation d’une faille de sécurité sont maintenant démultipliées, et peuvent compromettre des années d’efforts, de réputation et de confiance client. Renforcer la cybersécurité des PME n’est par conséquent plus une option, mais constitue au contraire un levier essentiel de pérennité et de compétitivité.
Mais avant toute chose, commençons par déconstruire certains mythes.
« Je suis trop petit, je ne vois pas pourquoi les criminels me cibleraient »
Il s’agit là d’une idée reçue très répandue et très tenace : beaucoup de dirigeants de PME pensent qu’ils sont trop petits pour intéresser les cybercriminels. La réalité nous apprend pourtant que la fréquence des attaques contre les petites et moyennes structures est plus élevée que celles menées contre les compagnies de grande taille, comme le démontre cette étude publiée par Forbes en 2022.
L’attaquant ne connaît certes pas votre existence, et n’a par conséquent aucune raison de vous attaquer spécifiquement. Mais s’il découvre une opportunité de compromettre vos systèmes informatiques, au hasard d’une campagne d’envoi massif de courriels de hameçonnage ou d’un scan d’appareils connectés à Internet via des outils spécialisés (Ex: Censys ou Shodan), il y a peu de doute sur le fait qu’il cherchera à en tirer profit.
À la manière d’un cambrioleur dont la curiosité est attirée par vos portes et fenêtres laissées grandes ouvertes, le cybercriminel profitera de l’occasion laissée par vos systèmes non protégés pour lancer une attaque potentiellement dévastatrice.
À retenir
-
Un cybercriminel ne vous « cible » pas : il saisit les opportunités que vous lui offrez sans même le réaliser.
« Pourquoi se donneraient-ils la peine de m’attaquer, au lieu de se concentrer sur des cibles plus rentables ? »
Les petites structures constituent malheureusement une cible de choix pour un cybercriminel. Elles possèdent en effet :
- des données souvent précieuses et monnayables (données clients, informations bancaires, données personnelles des salariés, propriété intellectuelle) ;
- des systèmes informatiques ou industriels dont le fonctionnement optimal doit être garanti en tout temps, au risque de perturber gravement les opérations de l’entreprise.
En retour, elles ne disposent bien souvent que de peu de moyens pour se défendre. Pour un cybercriminel, il peut être beaucoup plus facile d’extorquer 50 000 $ à 20 PME que de collecter 1 million $ auprès d’une compagnie de grande taille, qui disposera souvent de moyens bien plus conséquents pour se défendre.
Quelques chiffres
- Selon une enquête de la BDC de février 2025, 73 % des PME canadiennes ont déjà vécu un incident de sécurité, allant de tentatives d’hameçonnage à des attaques par déni de service.
- Une étude de Mastercard (2025) couvrant quatre continents indiquait que 46 % des PME répondantes déclaraient avoir été victimes d’une cyberattaque, et qu’une sur cinq n’y avait pas survécu.
- Le Bureau d’Assurances du Canada (Insurance Bureau of Canada) nous apprend qu’environ 41 % des petites entreprises canadiennes ayant subi une cyberattaque ont déclaré un coût d’au moins 100 000 $ CAD.
À retenir
- Les attaques contre les petites et moyennes entreprises sont très majoritairement opportunistes.
- Pour un criminel, elles représentent des gains substantiels pour un effort relativement réduit.
- L’impact d’une attaque réussie sur une petite compagnie peut être dramatique (au moins 100 000 $ de pertes pour 41 % des PME canadiennes touchées).
- Une PME sur cinq victime de cyberattaque dans le monde doit déclarer faillite !
Activité
Comparez le profil de votre PME à ces victimes d’attaques par rançongiciel. La plupart des compagnies attaquées avaient-elles la moindre raison de croire qu’elles pourraient intéresser un cybercriminel ?
« Pourquoi agir, si aucun spécialiste en cybersécurité ne peut me garantir un risque zéro ? »
C’est vrai : en cybersécurité, le risque zéro n’existe pas. Mais c’est aussi vrai dans tous les domaines de la vie. Aucune ceinture de sécurité ne garantit que vous sortirez indemne d’un accident. Aucune alarme ne garantit à 100 % que votre entreprise ne sera jamais cambriolée.
Et pourtant, vous bouclez votre ceinture et vous installez une alarme, parce que ces actions réduisent considérablement les conséquences si le pire devait arriver. C’est exactement la même logique en cybersécurité.
L’objectif n’est pas d’éradiquer totalement les risques, mais de réduire la probabilité d’incidents et d’atténuer leur impact dans des proportions suffisantes pour qu’ils soient considérés comme acceptables. Une PME bien préparée sera capable de détecter plus vite une intrusion, de réagir plus efficacement et de reprendre ses activités plus rapidement.
« Je comprends mieux la nécessité d’un programme, mais j’ai d’autres priorités pour l’instant. »
Deux éléments conspirent contre la bonne santé de nos systèmes informatiques :
- L'évaluation du retour sur investissement en cybersécurité est un exercice délicat, dont le résultat peut sembler moins évocateur pour un décideur qu’un revenu de ventes, un nombre de clients, ou le taux de fréquentation d’une boutique ou d’un site web. S’il est relativement simple de calculer un chiffre d’affaires, il sera en revanche bien plus difficile de quantifier un gain réputationnel ou l’absence de pertes financières en raison de la présence d’un programme de cybersécurité efficace.
- Notre cerveau est plus réactif que préventif : les sciences sociales démontrent que l’anticipation (gestion du court terme) et la prospective (examen des tendances futures pour anticiper les menaces) ne sont pas des traits forts de l’esprit humain, surtout lorsqu’il est sur-sollicité par les défis opérationnels du quotidien (pression financière, concurrence, perturbations de la chaîne d’approvisionnement, etc.).
Conséquence : l’humain tend naturellement à réagir à une catastrophe déjà survenue, plutôt qu’à agir de manière préventive avant qu’elle ne se produise.
Ce réflexe naturel a malheureusement une conséquence parfaitement mesurable : le coût nécessaire pour réparer un environnement compromis est souvent très supérieur à ce qu’aurait coûté la mise en place et le maintien d’un programme pour le protéger.
Au coût de réparation des équipements touchés, il conviendra d’ajouter des coûts potentiels supplémentaires :
- perte de chiffre d’affaires pour chaque minute d’indisponibilité des systèmes ;
- amendes réglementaires (en lien notamment avec la protection des renseignements personnels) ;
- dommages causés à l’image de la compagnie ;
- augmentation des primes d’assurance liées aux risques cyber.
Nous rappellerons à ce titre l’information mentionnée précédemment : 41 % des petites entreprises canadiennes ayant subi une cyberattaque ont déclaré un coût d’au moins 100 000 $ CAD, en sachant que les moins chanceuses en vivront plusieurs par année.
Le calcul du coût d’un programme de cybersécurité d’une PME dépendra quant à lui de nombreux facteurs, incluant la taille de la compagnie, le type d’industrie, ou encore la nature de l’infrastructure TI à protéger. La description détaillée des nombreux éléments participant à son évaluation dépasse largement le cadre de cet article.
Retenons toutefois ces chiffres, proposés par le réseau de décideurs en cybersécurité Execweb :
- le coût d’un programme de protection, pour une petite ou moyenne entreprise de moins de 50 employés, varie en moyenne de 5 000 $ USD à 50 000 $ USD par année ;
- une recommandation courante suggère de consacrer entre 7 % et 12 % de votre budget TI à la cybersécurité.
Cet article offre une vision d’ensemble très complète sur le thème du Retour sur Investissement en Sécurité (‘Return Of Security Investment’ - ROSI)
Quels bénéfices puis-je attendre de la mise en place d’un programme de défense ?
Une compagnie qui se dote d’un programme de défense sera :
- Moins vulnérable aux attaques : la surface d’attaque étant réduite, l’attaquant devra produire plus d’efforts pour un résultat incertain. Plus l’effort à fournir sera important, moins la cible sera rentable. S’il constate que les lignes de défense de la victime sont robustes, il se tournera vers des cibles plus simples à compromettre.
-
Moins impactée financièrement :
- les ressources les plus monnayables pour un attaquant (bases de données corporatives, propriété intellectuelle, données financières, informations personnelles) lui seront très difficilement accessibles ;
- les risques de propagation d’une attaque à l’ensemble de l’infrastructure informatique seront réduits, diminuant d’autant les coûts liés au nombre de systèmes à réparer et les pertes de revenus liées à l’indisponibilité des systèmes ;
- le montant des primes d’assurance couvrant vos risques de cybersécurité diminuera en présence d’un programme de défense ;
- les risques de devoir payer des amendes réglementaires en cas de brèches seront réduits.
Elle améliorera par ailleurs son image de marque et le niveau de confiance de ses clients et partenaires, en montrant son engagement concret pour la sécurité et la confidentialité des données.
Vous m’avez convaincu. Par où dois-je commencer ?
Treize contrôles de base sont proposés par le Centre Canadien de la Cybersécurité en vue de renforcer la cybersécurité des petites et moyennes organisations.
Ces contrôles vous permettront de réduire considérablement votre surface d’attaque, et de rendre votre infrastructure aussi peu attrayante que possible pour un cybercriminel.
Un programme de cybersécurité efficace, répondant à votre contexte spécifique, n’a pas besoin d’être excessivement complexe ni coûteux. Dans la grande majorité des cas, il conviendra de concentrer vos efforts sur les applications et systèmes dont la compromission serait catastrophique pour la pérennité de l’entreprise, et de corriger d’autre part toute faille représentant un « low hanging fruit », c’est-à-dire toute faille aisément accessible et exploitable par un attaquant.
Ceci fait, les éléments résiduels pourront être corrigés au fil du temps. La loi de Pareto s’applique aussi en cybersécurité : 20 % d’efforts doivent permettre de couvrir 80 % des objectifs.
Le programme débutera nécessairement par un inventaire matériel et logiciel exhaustif de vos technologies informatiques (TI), opérationnelles (TO), Internet des Objets (IdO/IoT), Internet des Objets Industriels (IDOI/IIoT), toutes susceptibles d’être compromises par un criminel.
L’inventaire sera le point de départ incontournable de votre programme de cybersécurité, puisqu’il ne vous sera possible de bien défendre que ce que vous connaissez!
Nous n’oublierons bien évidemment pas l’humain : une étude de la société Proofpoint, citée dans cet article d’IBM publié en 2024, rappelle que la dimension humaine est prédominante dans l’évaluation des risques de cybersécurité. Selon 74 % des CISO (Chief Information Security Officers) interrogés dans cette enquête, l’erreur humaine représente le risque de cybersécurité le plus important pour une compagnie.
La formation des employés sera donc un élément central de votre programme de cyberdéfense, qu’il conviendra de réactualiser régulièrement pour tenir compte des dernières techniques utilisées par les criminels.
Vous êtes prêt à franchir le pas ?
Actif en technologies de l’information depuis plus de 25 ans, spécialisé en cybersécurité depuis 2022, diplômé du programme de cybersécurité du MIT et titulaire de la certification CompTIA Security+, je conseille les PME de la région du grand Montréal en tant que vCiso (virtual Chief Information Security Officer).
Mon approche : à votre écoute, à votre rythme, selon votre budget.
- Écoute : je prends avec vous le temps nécessaire pour dresser un portrait précis de votre environnement et de vos réalités, afin d’en bien comprendre les enjeux.
- Rigueur et méthode : j’établis avec vous une liste de priorités et d’actions concrètes en vue d’améliorer votre posture cyberdéfensive aussi tôt que possible. Nous évaluons les contraintes techniques, les moyens à mettre en œuvre, et suivons l’avancement des tâches via un tableau de bord détaillé et des rapports d’activité à fréquence déterminée.
- Implication et exigence : toujours à l’affût des derniers développements de l’actualité en cybersécurité, je recherche en permanence les meilleures solutions pour mes clients. Chaque proposition est personnalisée afin de convenir au mieux à votre contexte, et non une recette appliquée indistinctement à chaque client quelles que soient ses réalités.
- Transparence : je prends le temps de clarifier les points que vous souhaiterez mieux comprendre, et de m’assurer de notre compréhension commune des problèmes à résoudre et des solutions proposées. Mon objectif est de créer avec vous un lien de confiance mutuel propice à une collaboration fructueuse.
- Accompagnement technique (installation, configuration, suivi) : je vous accompagne dans la mise en œuvre technique des solutions proposées, en tant que conseiller ou maître d’œuvre, selon vos besoins.
- Accompagnement humain : j’offre une formation « Cybersécurité 101, hameçonnage et ingénierie sociale », pour initier vos collaborateurs aux grands enjeux de la cybersécurité en 2025. Cette formation inclut une présentation, des activités ludiques, et un espace de discussion où partager interrogations et connaissances sur les thèmes abordés. Elle aidera vos collaborateurs à développer une culture de cybersécurité et à acquérir des réflexes de défense applicables au travail comme à la maison (durée : environ 1 h).
- Adaptation à votre budget : après évaluation initiale, je vous proposerai la solution qui convient le mieux à vos capacités budgétaires (forfait, livrable, consultations ponctuelles).
Par une approche transparente et adaptée à vos contraintes, je m’engage à vous aider à sécuriser votre PME, un pas à la fois.