Les cyberattaques ne sont plus un "problème des grandes entreprises". Le Centre canadien pour la cybersécurité rapporte que les petites entreprises représentent maintenant 43 % de toutes les cibles de cyberattaques au Canada. L'ACEI a constaté que 25 % des entreprises canadiennes ont subi une attaque par rançongiciel en 2024 — et pour celles qui ont payé la rançon, le paiement moyen était de 280 000 $ CA. 60 % des petites entreprises qui subissent une cyberattaque significative ferment dans les 6 mois.
La bonne nouvelle : le Centre canadien pour la cybersécurité estime que 80 % des cyberattaques réussies pourraient être évitées par des mesures d'hygiène cybernétique de base. Voici votre liste de contrôle complète en 15 étapes.
Niveau 1 — Contrôles fondamentaux (complétez-les en premier)
1. Activez l'authentification multifacteur (AMF) sur chaque compte
L'AMF est le contrôle de sécurité le plus impactant disponible pour une petite entreprise. Les données propres de Microsoft montrent que l'AMF bloque 99,9 % des attaques automatisées de compromission de compte. Activez-la sur : Microsoft 365 / Google Workspace, portails bancaires, CRM et logiciel de comptabilité, bureau d'enregistrement de domaine et panneaux d'hébergement, stockage en nuage, et tous les comptes d'affaires sur les médias sociaux.
Utilisez une application d'authentification (Microsoft Authenticator, Google Authenticator ou Duo) plutôt que l'AMF par SMS, qui peut être interceptée par des attaques de substitution de carte SIM. Temps de configuration : 30 minutes pour une entreprise de 5 personnes. Coût : gratuit.
2. Déployez un gestionnaire de mots de passe professionnel
L'employé moyen gère 85 mots de passe. Sans gestionnaire, la réutilisation des mots de passe est inévitable. Un gestionnaire génère un mot de passe unique et cryptographiquement fort pour chaque compte.
Outils recommandés : 1Password Teams (~5 $ USD/utilisateur/mois), Bitwarden Business (3 $/utilisateur/mois, open-source, hébergement EU disponible pour la conformité LPRPDE), ou Dashlane Business (8 $/utilisateur/mois, inclut la surveillance du dark web).
3. Maintenez tous les logiciels rigoureusement à jour
60 % des violations exploitent des vulnérabilités connues ayant déjà des correctifs disponibles. La fenêtre entre la divulgation d'une vulnérabilité et la première exploitation active est maintenant de quelques heures à quelques jours. Activez les mises à jour automatiques pour Windows/macOS, tous les navigateurs, votre CMS de site web et tous les plugins, et toutes les applications métier.
4. Déployez une protection des points de terminaison de niveau professionnel
Le logiciel antivirus grand public gratuit n'est pas adéquat pour les environnements d'affaires. Options pour les PME canadiennes :
- Microsoft Defender for Business : ~3 $/appareil/mois. Inclus dans Microsoft 365 Business Premium.
- SentinelOne Singularity Core : ~4 $/appareil/mois. Excellente détection comportementale par IA.
- Malwarebytes for Teams : ~4 $/appareil/mois. Significativement meilleur que les outils grand public gratuits.
5. Sécurisez votre réseau Wi-Fi professionnel
- Utilisez le chiffrement WPA3. Si votre routeur ne supporte que WPA2, remplacez-le.
- Créez un réseau invité séparé pour les visiteurs, clients et appareils IoT, isolé de votre réseau principal.
- Changez le mot de passe administrateur par défaut du routeur immédiatement. Les mots de passe par défaut pour les modèles de routeurs courants sont publiés publiquement.
- Désactivez WPS (Wi-Fi Protected Setup) — il présente des faiblesses cryptographiques connues.
Niveau 2 — Contrôles de protection des données
6. Implémentez la stratégie de sauvegarde 3-2-1
3 copies de vos données, sur 2 types de supports différents, avec 1 copie hors site (nuage). Testez vos sauvegardes trimestriellement — une sauvegarde non testée est une sauvegarde qui échouera quand vous en aurez le plus besoin. Utilisez des sauvegardes immuables pour la protection contre les rançongiciels.
7. Chiffrez les données sensibles au repos et en transit
Activez le chiffrement complet du disque : BitLocker sur Windows (intégré, gratuit), FileVault sur Mac (intégré, gratuit). Chiffrez tous les lecteurs portables contenant des données clients. Sous la LPRPDE, le chiffrement est la norme acceptée pour la protection des renseignements personnels numériques.
8. Renforcez la sécurité de votre courriel
Selon le DBIR de Verizon, plus de 90 % des cyberattaques commencent par un courriel d'hameçonnage. Configurez immédiatement :
- SPF (Sender Policy Framework) : Spécifie quels serveurs sont autorisés à envoyer des courriels au nom de votre domaine.
- DKIM (DomainKeys Identified Mail) : Signature cryptographique ajoutée aux courriels sortants permettant aux destinataires de vérifier l'authenticité.
- DMARC : Indique aux serveurs de messagerie destinataires quoi faire quand un courriel échoue la vérification SPF ou DKIM.
9. Sécurisez votre site web professionnel
- Certificat SSL (HTTPS) — non négociable.
- Maintenez WordPress (ou tout CMS), thèmes et plugins à jour hebdomadairement. La majorité des compromissions WordPress exploitent des plugins non mis à jour.
- Utilisez un pare-feu d'application web (WAF) : Le niveau gratuit de Cloudflare offre une excellente protection.
- Implémentez la limitation de débit sur les pages de connexion pour bloquer les attaques par force brute.
10. Appliquez le principe du moindre privilège
Chaque employé doit avoir accès uniquement aux systèmes et données dont il a besoin pour son travail spécifique. Effectuez une révision trimestrielle des droits d'accès. Révoquez immédiatement tous les accès quand un employé quitte l'organisation.
Niveau 3 — Préparation à la réponse
11. Construisez un plan de réponse aux incidents cyber
Votre plan doit couvrir : détection, confinement, évaluation, notification au CPVP (obligatoire en vertu de la LPRPDE si risque réel de préjudice grave), notification des individus concernés, récupération, et révision post-incident. Testez votre plan avec un exercice de simulation annuellement.
12. Organisez une formation régulière de sensibilisation à la sécurité
Vos employés sont simultanément votre plus grande vulnérabilité de sécurité et votre meilleure défense potentielle. Outils : KnowBe4 (~15 $ CA/utilisateur/an) pour des simulations d'hameçonnage et des formations courtes. Créez une culture "sans blâme" pour le signalement — récompensez, ne punissez pas, ceux qui signalent immédiatement les incidents.
13. Sécurisez votre personnel à distance
- Exigez un VPN pour tout accès à distance aux systèmes d'affaires.
- Implémentez la Gestion des appareils mobiles (MDM) pour tous les appareils utilisés pour le travail. Microsoft Intune (inclus dans Microsoft 365 Business Premium) ou Jamf pour les environnements Mac/iOS.
- Établissez une politique BYOD (Bring Your Own Device) si des appareils personnels sont utilisés pour le travail.
14. Effectuez des évaluations de sécurité annuelles
LocalHost Digital fournit des évaluations de cybersécurité alignées sur la LPRPDE pour les PME canadiennes à partir de 1 200 $, avec un rapport écrit, une feuille de route de remédiation priorisée et une révision de suivi à 30 jours.
15. Souscrivez une assurance cyber
L'assurance cyber canadienne pour les PME coûte généralement 800 à 3 000 $ CA/an et couvre : les coûts de réponse aux incidents, les honoraires juridiques, les coûts de notification de violation, les paiements de rançon et les pertes d'interruption d'activité. Principaux fournisseurs canadiens : Intact Assurance (Intact Cyber), Aviva Canada (Protection Cyber), Chubb Canada.
Votre score de santé cybernétique
Évaluez-vous honnêtement : 0–4 contrôles = Risque critique | 5–9 = Risque élevé | 10–12 = Risque modéré | 13–14 = Bonne posture | 15 = Posture solide. Priorisez les contrôles de Niveau 1 en premier, puis progressez vers les Niveaux 2 et 3.
Chez LocalHost Digital, nous fournissons des évaluations de cybersécurité alignées sur la LPRPDE, des services d'implémentation et un support de sécurité géré pour les PME canadiennes. Réservez votre évaluation de cybersécurité gratuite — nous vous noterons par rapport à cette liste de contrôle, identifierons vos lacunes à risque le plus élevé et vous donnerons un plan de remédiation priorisé sur lequel vous pourrez commencer à agir immédiatement.