Boulet Stratégies TI
← Retour au blog

Cybersécurité: le minimum vital pour votre PME

Christian Boulet
PMECybersécurité
Cybersécurité: le minimum vital pour votre PME

73% des PME canadiennes ont déjà subi un incident de cybersécurité.

75% des PME disent qu'elles ne pourraient pas continuer à opérer si elles étaient frappées par un ransomware.

Et pourtant, seulement 14% des PME ont un plan de cybersécurité en place.

Ce n'est pas un problème de budget. C'est un problème de priorité.

Cet article fait partie de la série [Les 10 outils technologiques essentiels pour les PME](/blog/les-10-outils-technologiques-essentiels-pour-les-pme-en-2026).

Les chiffres qui font peur

  • 43% des cyberattaques ciblent les petites entreprises
  • 46% des PME ont été attaquées en 2025
  • 60% des PME attaquées ferment dans les 6 mois
  • $120,000 - coût moyen d'une brèche pour une PME
  • $2 millions - coût moyen d'une attaque ransomware au Canada

Les PME sont des cibles de choix. Moins de ressources, moins de protection, mais accès aux mêmes données sensibles.

Les 5 mesures essentielles

1. Authentification multi-facteurs (MFA) - Priorité #1

Microsoft estime que le MFA bloque 99,9% des tentatives de compromission de compte.

Ce que c'est: En plus de votre mot de passe, vous confirmez votre identité avec un deuxième facteur (code sur téléphone, empreinte, clé physique).

Où l'activer immédiatement:

  1. Courriel (Microsoft 365, Google Workspace)
  2. Systèmes financiers (banque, comptabilité)
  3. Applications cloud critiques

Coût: Gratuit. Inclus dans Microsoft 365 et Google Workspace.

Options recommandées:

  • Microsoft Authenticator (si vous êtes sur Microsoft 365)
  • Google Authenticator
  • Clé physique YubiKey (~50$) pour une sécurité maximale

Évitez: Les codes SMS. Ils peuvent être interceptés. Les applications d'authentification sont plus sécuritaires.

2. Gestionnaire de mots de passe - Stop au post-it

80% des brèches impliquent des mots de passe faibles ou volés.

Le problème: Personne ne peut mémoriser 50 mots de passe complexes et uniques. Alors on réutilise. Et quand un compte est compromis, tous les autres le sont aussi.

La solution: Un gestionnaire de mots de passe.

Options recommandées:

  • Outil: Bitwarden Entreprise • Prix/utilisateur/mois: ~6$ • Point clé: Plan familial inclus pour vos employés
  • Outil: 1Password Business • Prix/utilisateur/mois: ~8$ • Point clé: Plus de 175,000 entreprises
  • Outil: NordPass Business • Prix/utilisateur/mois: ~4$ • Point clé: Simple, bon rapport qualité-prix
  • Outil: LastPass Business • Prix/utilisateur/mois: ~7$ • Point clé: Populaire, mais historique de brèches

Ce que ça change:

  • Un seul mot de passe maître à mémoriser
  • Mots de passe uniques et complexes générés automatiquement
  • Partage sécurisé des accès en équipe
  • Alerte si un mot de passe est compromis

3. Sauvegardes automatiques - La règle 3-2-1

Si un ransomware chiffre tous vos fichiers, avez-vous une copie de sauvegarde qui n'est pas connectée à votre réseau?

La règle 3-2-1:

  • 3 copies de vos données
  • 2 types de supports différents (cloud + disque physique)
  • 1 copie hors site (cloud ou coffre-fort)

Le minimum:

  1. Activez la sauvegarde automatique de OneDrive ou Google Drive
  2. Un disque dur externe déconnecté après chaque backup hebdomadaire
  3. Solution cloud de backup (Backblaze Business à ~7$/mois/utilisateur)

Test critique: Essayez de restaurer un fichier de votre backup. Si vous n'avez jamais testé, vous n'avez pas de backup.

4. Formation anti-phishing - 10 minutes par mois

3,4 milliards de courriels de phishing sont envoyés chaque jour.

Les employés de PME reçoivent 350% plus d'attaques de social engineering que ceux des grandes entreprises.

Le problème: La technologie ne peut pas tout bloquer. Le maillon faible, c'est l'humain qui clique.

La solution: Formation courte mais régulière.

Ce qu'il faut enseigner:

  1. Vérifier l'adresse de l'expéditeur (pas juste le nom affiché)
  2. Ne jamais cliquer sur un lien urgent demandant une action immédiate
  3. Appeler directement pour confirmer les demandes de paiement inhabituelles
  4. Signaler les courriels suspects à l'IT

Ressource gratuite: Le gouvernement du Canada offre des ressources sur pensezcybersecurite.gc.ca

5. Mises à jour automatiques - La base négligée

33% des PME utilisent des technologies de cybersécurité obsolètes. 20% n'ont aucune technologie de cybersécurité.

Le problème: Les failles de sécurité sont découvertes régulièrement. Les mises à jour les corrigent. Reporter les mises à jour = laisser la porte ouverte.

Ce qu'il faut activer:

  • Mises à jour automatiques Windows/macOS
  • Mises à jour automatiques des navigateurs
  • Mises à jour automatiques de Microsoft 365 / Google Workspace
  • Mises à jour du firmware de votre routeur (souvent oublié)

Conseil: Planifiez les mises à jour la nuit pour ne pas interrompre le travail.

L'IA: nouvelle menace

83% des PME disent que l'IA augmente le niveau de menace pour leur organisation.

81% des cybercriminels utilisent maintenant des outils alimentés par l'IA.

Ce que ça change:

  • Courriels de phishing plus convaincants (meilleur français, personnalisés)
  • Deepfakes audio pour des fraudes du président
  • Attaques automatisées plus rapides et plus nombreuses

La bonne nouvelle: Les mêmes 5 mesures de base restent efficaces. Le MFA bloque les tentatives même si le phishing est plus convaincant.

Ce que les gens oublient

L'assurance cyber

91% des PME n'ont pas d'assurance responsabilité cyber.

Ce n'est pas cher (~1000-3000$/an pour une PME) et ça peut sauver votre entreprise. Parlez-en à votre courtier.

Les anciens employés

Quand quelqu'un quitte, désactivez ses accès immédiatement. Pas demain. Pas la semaine prochaine. Aujourd'hui.

Le WiFi invité

Séparez votre réseau WiFi invité de votre réseau d'entreprise. Un visiteur ne devrait jamais avoir accès à vos systèmes internes.

Plan d'action: cette semaine

Jour 1: Activez le MFA sur tous les comptes Microsoft 365 ou Google Workspace

Jour 2: Choisissez et déployez un gestionnaire de mots de passe

Jour 3: Vérifiez que vos sauvegardes fonctionnent (testez une restauration)

Jour 4: Envoyez un rappel anti-phishing à votre équipe

Jour 5: Vérifiez que les mises à jour automatiques sont activées partout

Total: 5 heures de travail. Impact: blocage de 90%+ des attaques courantes.

Le verdict

La cybersécurité pour PME n'est pas compliquée ni coûteuse.

MFA + Gestionnaire de mots de passe + Backups + Formation + Mises à jour = protection contre la grande majorité des menaces.

Le vrai risque, c'est de ne rien faire.

Prochain article: Messagerie d'équipe - Slack vs Teams pour la communication interne.

Christian Boulet Fractional CTO, Boulet Stratégies TI

Sources:

  • [7 SMB Cybersecurity Statistics for 2025](https://www.ninjaone.com/blog/smb-cybersecurity-statistics/) - NinjaOne
  • [51 Small Business Cyber Attack Statistics 2025](https://www.getastra.com/blog/security-audit/small-business-cyber-attack-statistics/) - Astra
  • [35 Alarming Small Business Cybersecurity Statistics for 2025](https://www.strongdm.com/blog/small-business-cyber-security-statistics) - StrongDM
  • [Multi-Factor Authentication Guide for Businesses](https://www.business.com/articles/what-is-multifactor-authentication/) - Business.com
  • [Multi-Factor Authentication Best Practices for SMBs](https://kybersecure.com/multi-factor-authentication-best-practices-for-smbs/) - Kyber Secure
  • [NIST Multi-Factor Authentication Guidance](https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/multi-factor-authentication) - NIST