Cybersécurité pour PME au Québec : le guide simple
Vous dirigez une petite entreprise au Québec sans équipe informatique ? Voici les vrais risques, ce que la Loi 25 exige de vous, et les gestes simples pour vous protéger.
En résumé : une PME québécoise détient de vraies données clients et de vrais fonds, souvent avec moins de protections qu'une grande entreprise — c'est ce qui en fait une cible. La Loi 25 vous oblige désormais à protéger ces données et à déclarer toute fuite. Quelques mesures simples couvrent l'essentiel du risque.
Pourquoi les PME québécoises sont ciblées
Les fraudeurs ne visent pas que les grandes entreprises. Selon Statistique Canada, environ 16 % des entreprises ont déclaré un incident de cybersécurité. Une petite entreprise est souvent une cible plus facile : autant de données précieuses, mais moins de moyens pour se défendre.
Les 4 menaces les plus courantes
Hameçonnage (phishing) — un faux courriel qui pousse un employé à cliquer ou à donner un mot de passe. C'est la porte d'entrée numéro 1.
Usurpation de votre domaine — un fraudeur envoie des courriels au nom de votre entreprise (voir notre guide sur l'usurpation).
Fraude au président / fausse facture — on imite votre patron ou un fournisseur pour obtenir un virement (voir fraude au président).
Site web non sécurisé — pas de HTTPS, certificat expiré, en-têtes manquants (voir site « Non sécurisé »).
Ce que la Loi 25 exige de votre PME
Depuis 2023, la Loi 25 impose à toute entreprise québécoise de protéger les renseignements personnels qu'elle détient, de nommer un responsable, et de déclarer à la Commission d'accès à l'information (CAI) tout incident de confidentialité présentant un risque sérieux. Démontrer que vous aviez pris des mesures raisonnables (comme DMARC en « reject ») change complètement l'analyse en cas d'incident. Détails dans notre guide Loi 25 et courriels.
Fermez la porte de l'usurpation : SPF, DKIM et DMARC en « reject ».
Activez l'authentification à deux facteurs sur vos courriels et vos comptes importants.
Formez votre équipe à reconnaître un hameçonnage (une heure par an réduit fortement le risque).
Sécurisez votre site web (HTTPS, certificat à jour) et faites des sauvegardes régulières.
Par où commencer aujourd'hui
Le geste le plus rentable prend 15 secondes : entrez votre domaine dans le bilan gratuit ci-dessous. Vous saurez immédiatement si vos courriels peuvent être usurpés et quoi corriger en priorité — en français, sans jargon.
Vérifiez votre configuration gratuitement
Entrez votre domaine : on teste vos SPF, DKIM, DMARC et votre site, et on vous donne le plan d'action exact.