La plupart des conseils en cybersécurité sont soit trop vagues pour agir dessus, soit écrits pour des équipes TI d'entreprises avec des budgets de sécurité à six chiffres. C'est ni l'un ni l'autre. Ce qui suit, c'est le vrai minimum que toute PME montréalaise de 10 à 200 employés devrait avoir en place. C'est aussi ce que ton assureur cyber vérifie quand il évalue ton dossier — et ce que la Loi 25 du Québec attend de toi.

Passe ça en revue avec ton équipe TI ou ton fournisseur. Tout ce qui est pas coché, c'est un risque qui dort présentement dans tes livres.

Identité

Authentification multifacteur sur tous les comptes qui comptent. Ça veut dire Microsoft 365, Google Workspace, tes portails bancaires, ton VPN, tes outils de sauvegarde en ligne et tes outils de gestion TI. Le MFA sur Microsoft 365 seul bloque la grande majorité des attaques par vol d'identifiants. Si quelqu'un utilise les SMS pour le MFA plutôt qu'une application d'authentification — c'est pas assez bon. Les SMS se contournent régulièrement avec le SIM swapping. Corrige ça en premier.

Zéro mot de passe partagé. Des identifiants de connexion partagés, c'est un échec d'audit et de sécurité. Quand quelqu'un part de l'entreprise, tu sais plus à quoi il a encore accès. Chaque personne a son propre compte. Point final.

Gestion des accès privilégiés. Les comptes admin TI doivent pas être les mêmes que les comptes utilisés au quotidien. Les admins devraient avoir un compte séparé utilisé seulement pour les tâches administratives — jamais pour lire des courriels ou naviguer sur le web. Dans Microsoft 365, ça veut dire un compte standard pour le quotidien et un compte Global Admin distinct, en infonuagique seulement, avec MFA obligatoire.

Un processus de départ qui est suivi. Quand un employé part, ses comptes doivent être désactivés le jour même — pas "cette semaine quelque part". Définis qui est responsable de ça et documente les étapes. Chaque compte actif d'un ex-employé, c'est une porte ouverte.

Terminaux

La gestion des mises à jour est automatisée et vérifiée. Les mises à jour Windows, macOS, et des applications tierces (Chrome, Adobe, Java, Office si c'est pas 365) doivent être appliquées automatiquement et confirmées chaque mois. Les systèmes non patchés sont le point d'entrée le plus fréquent pour les ransomwares. Des outils comme NinjaRMM, Intune ou WSUS automatisent ça à l'échelle.

Tu as un EDR — pas juste un antivirus. L'antivirus traditionnel basé sur des signatures manque la plupart des menaces modernes. Les outils de détection et réponse aux incidents (EDR) comme Microsoft Defender for Business (inclus dans Microsoft 365 Business Premium à environ 26 $/utilisateur/mois), SentinelOne ou CrowdStrike Falcon Go détectent les comportements anormaux et peuvent isoler des machines infectées avant que les dommages se propagent.

Le chiffrement des disques est activé. BitLocker sur Windows, FileVault sur Mac. Chaque portable, tout le temps. Si un laptop est perdu ou volé et que le disque est pas chiffré, tout ce qu'il y a dessus est lisible par n'importe qui. C'est aussi une exigence de la Loi 25 si tu stockes des renseignements personnels.

Réseau

Pare-feu avec journalisation activée. Un pare-feu qui journalise pas, c'est à moitié utile. T'as besoin de pouvoir regarder en arrière ce qui s'est passé quand quelque chose va mal. Les routeurs grand public de ton FAI sont rarement suffisants pour un usage commercial. Un pare-feu Sophos, Fortinet, ou basé sur pfSense avec journalisation surveillée, c'est le standard.

Le WiFi invité est séparé de ton réseau principal. Ton réseau invité devrait avoir zéro accès aux systèmes internes, aux partages de fichiers ou aux imprimantes. Si un client ou un visiteur se connecte à ton WiFi et que son appareil est compromis, cette compromission devrait pas pouvoir atteindre tes serveurs.

VPN pour le télétravail. Les employés en télétravail ou à distance devraient se connecter aux ressources de l'entreprise via VPN — pas via des ports RDP exposés ou des outils d'accès à distance laissés ouverts sur internet. Le RDP exposé (port 3389) est activement scanné et attaqué à journée longue. Si t'as ça ouvert, ferme-le.

Données

La règle 3-2-1 est en place. Trois copies de tes données, sur deux types de supports différents, avec une copie hors site. En pratique pour la plupart des PME : tes données en production, une sauvegarde locale (NAS ou disque externe), et une sauvegarde en infonuagique (Backblaze B2, Azure Backup, ou Veeam Cloud). La copie hors site, c'est ce qui te sauve quand un ransomware cible tes sauvegardes locales.

Des tests de restauration se font chaque mois. Une sauvegarde qu'on a jamais restaurée, c'est une hypothèse — pas un filet de sécurité. Quelqu'un dans ton équipe, ou ton fournisseur TI, devrait sortir un fichier ou un dossier de la sauvegarde chaque mois et confirmer que ça fonctionne vraiment. Documente-le.

Les données sensibles traînent pas sur des appareils personnels. Les appareils personnels utilisés pour le travail, c'est un problème de gouvernance des données. Si le laptop personnel d'un employé contient des contrats clients, des renseignements personnels sur la santé ou des données financières, et que ce laptop est perdu, volé ou compromis — c'est potentiellement un incident à notifier en vertu de la Loi 25.

Conformité (Loi 25)

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels est pleinement en vigueur depuis septembre 2023. Les obligations qui s'appliquent à la plupart des PME montréalaises :

La cartographie des données est faite. Tu devrais savoir quels renseignements personnels tu collectes, où ils vivent, qui y a accès et combien de temps tu les gardes. Ça doit pas être compliqué — un tableur suffit — mais ça doit exister.

Tu as un responsable de la protection des renseignements personnels. Toute organisation visée par la Loi 25 doit désigner quelqu'un responsable de la protection des renseignements personnels. C'est souvent le propriétaire, le gestionnaire de bureau ou le responsable TI. Son nom devrait être publié sur ton site web.

Tu as un plan de notification en cas d'incident. Si un incident de confidentialité survient, t'as 72 heures pour le signaler à la Commission d'accès à l'information (CAI) si y'a un "risque sérieux de préjudice". T'as besoin d'un processus documenté pour détecter, évaluer et signaler les incidents. Improviser ça après un bris, c'est significativement plus dur.

Ce que ton assureur cyber vérifie

La plupart des polices d'assurance cyber pour PME exigent maintenant — au minimum — le MFA sur le courriel et les accès à distance, une protection des terminaux au-delà de l'antivirus de base, et des procédures de sauvegarde documentées avant de payer une réclamation. Si t'as pas tout ça et que tu fais une réclamation, les assureurs vont chercher des raisons de la refuser.

La liste ci-dessus couvre ce qu'ils regardent.

Si tu veux qu'on passe ça en revue par rapport à ton environnement actuel, c'est exactement ce qu'on fait. Contacte IPCONNEX pour un audit d'infrastructure sans pression — on va te dire où t'en es.

Liste de vérification cybersécurité pour les entreprises de Montréal en 2026