Cybersécurité 2025: les 10 contrôles essentiels pour les PME au Québec

Une liste d’actions prioritaires, concrètes et abordables pour réduire 80 % des risques, répondre aux exigences des assureurs et respecter la Loi 25.

Les attaques ciblant les PME augmentent, et les exigences des assureurs se resserrent. Voici 10 contrôles essentiels, pragmatiques et applicables rapidement, pour renforcer votre posture au Québec. 1) MFA partout Activez l'authentification multifactorielle pour courriels, VPN, CRM/ERP, accès à distance et comptes administrateurs. Privilégiez des applications d'authentification plutôt que les SMS. 2) Gestion des correctifs Automatisez les mises à jour de Windows/macOS, navigateurs et applications tierces. Établissez un calendrier mensuel de patching avec rapports de conformité. 3) Sauvegardes 3-2-1 et tests Règle 3-2-1: 3 copies, 2 supports, 1 hors ligne/immuable. Testez la restauration trimestriellement, pas seulement la réussite des sauvegardes. Documentez les RPO/RTO. 4) EDR/antivirus moderne Déployez une solution EDR avec détection comportementale et réponse automatisée. Surveillez serveurs, postes et appareils mobiles gérés. 5) Gestion des identités et accès Principes de moindre privilège, séparation des comptes admin, revue trimestrielle des accès. Désactivez rapidement les comptes lors des départs (offboarding automatisé). 6) Sécurisation Microsoft 365/Google Workspace Activez la protection de base: MFA, politiques de partage, DLP, Safe Links/Attachments, audit et journaux. Configurez l'archivage légal selon vos obligations. 7) Sensibilisation et simulations d'hameçonnage Formations courtes et régulières, en français, suivies de campagnes de phishing simulé. Mesurez le taux de clics et récompensez les signalements. 8) Plan de réponse aux incidents Rédigez un plan simple: qui contacter, comment isoler, qui décide, procédures de communication. Faites un exercice table-top annuel. 9) Journalisation et surveillance Centralisez les journaux critiques (authentification, M365/Google, pare-feu, EDR) et définissez des alertes. Externalisez vers un service de SOC si vous n'avez pas d'équipe interne. 10) Gestion des tiers et cyberassurance Inventoriez fournisseurs et acc

English version · Infogérance MSP · Cybersécurité · Solutions Cloud · Intégration TI · Audit de sécurité