Sécurité
Les 10 cyberattaques les plus fréquentes au Québec
Le Québec n’est pas à l’abri des cybermenaces. En fait, le Centre canadien pour la cybersécurité signale une augmentation constante des incidents visant les entreprises canadiennes, et les PME québécoises figurent parmi les cibles les plus vulnérables. Connaître les types d’attaques les plus fréquents est la première étape pour s’en protéger. Voici les 10 cyberattaques les plus répandues au Québec, accompagnées de conseils pratiques pour s’en prémunir.
1. Hameçonnage (phishing)
L’hameçonnage demeure la cyberattaque la plus répandue au Canada. Elle consiste à envoyer des courriels frauduleux qui imitent des communications légitimes (banque, fournisseur, collègue) pour inciter la victime à cliquer sur un lien malveillant ou à divulguer ses identifiants. Selon le rapport 2025 du Centre antifraude du Canada, les pertes liées à la fraude en ligne ont dépassé 600 millions de dollars au pays.
Comment se protéger : Déployez une solution de filtrage avancé du courriel, activez l’authentification multifacteur (MFA) sur tous les comptes, et formez régulièrement vos employés à reconnaître les tentatives d’hameçonnage grâce à des simulations réalistes.
2. Rançongiciel (ransomware)
Le rançongiciel chiffre les données de l’entreprise et exige une rançon pour les déchiffrer. Les attaques par rançongiciel ont explosé ces dernières années. En 2024, une entreprise manufacturière de la Montérégie a vu l’ensemble de ses opérations paralysé pendant deux semaines après une attaque par le groupe LockBit, entraînant des pertes estimées à plus de 500 000 $.
Comment se protéger : Maintenez des sauvegardes selon la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site), déployez une solution EDR, segmentez votre réseau et ayez un plan de réponse aux incidents documenté et testé.
3. Fraude par compromission de courriel d’affaires (BEC)
Le BEC (Business Email Compromise) est une attaque ciblée où le cybercriminel se fait passer pour un dirigeant ou un fournisseur pour demander un virement bancaire frauduleux ou un changement de coordonnées de paiement. C’est l’une des attaques les plus coûteuses : le FBI estime les pertes mondiales à plus de 50 milliards de dollars US entre 2013 et 2024.
Comment se protéger : Mettez en place des procédures de validation à double approbation pour tout changement de coordonnées bancaires, configurez les protocoles d’authentification de courriel (SPF, DKIM, DMARC) et sensibilisez les employés en comptabilité et en direction à ce type de fraude.
4. Bourrage d’identifiants (credential stuffing)
Les cybercriminels utilisent des listes d’identifiants volés lors de brèches précédentes pour tenter de se connecter à d’autres services. Comme beaucoup de gens réutilisent les mêmes mots de passe, cette technique est redoutablement efficace. Des entreprises québécoises du secteur du commerce en ligne et des services professionnels en sont régulièrement victimes.
Comment se protéger : Imposez l’utilisation de mots de passe uniques et complexes via un gestionnaire de mots de passe d’entreprise, activez le MFA sur tous les services et surveillez les tentatives de connexion inhabituelles.
5. Attaque de la chaîne d’approvisionnement (supply chain)
Plutôt que d’attaquer directement leur cible, les cybercriminels compromettent un fournisseur ou un logiciel tiers utilisé par l’entreprise. L’attaque contre SolarWinds en 2020 en est l’exemple le plus connu : un seul fournisseur compromis a affecté plus de 18 000 organisations dans le monde, y compris des entreprises canadiennes.
Comment se protéger : Évaluez la posture de sécurité de vos fournisseurs critiques, limitez les accès accordés aux logiciels tiers, maintenez un inventaire à jour de tous vos outils et surveillez les comportements anormaux dans votre environnement.
6. Menace interne (insider threat)
La menace interne provient d’employés, de sous-traitants ou de partenaires qui, de façon intentionnelle ou accidentelle, compromettent la sécurité de l’entreprise. Selon le rapport Verizon DBIR 2025, environ 20 % des brèches de données impliquent un acteur interne. Un employé mécontent qui copie des données clients avant de quitter l’entreprise ou un comptable qui clique par mégarde sur un lien malveillant — les scénarios sont multiples.
Comment se protéger : Appliquez le principe du moindre privilège (chaque employé n’a accès qu’aux données nécessaires à son travail), effectuez des révisions d’accès régulières, surveillez les activités inhabituelles et mettez en place des procédures de départ sécurisées.
7. Attaque par déni de service distribué (DDoS)
Une attaque DDoS submerge un serveur ou un site web avec un volume massif de requêtes, le rendant inaccessible aux utilisateurs légitimes. En 2025, des attaques DDoS ont ciblé plusieurs sites gouvernementaux et commerciaux canadiens, causant des heures d’indisponibilité. Pour une entreprise qui dépend de son site web pour ses ventes ou ses services, chaque minute d’indisponibilité représente une perte directe de revenus.
Comment se protéger : Utilisez un service de protection DDoS (comme Cloudflare ou AWS Shield), configurez des limites de taux (rate limiting) sur vos serveurs web et ayez un plan de basculement vers une infrastructure de secours.
8. Exploitation de vulnérabilités zero-day
Les vulnérabilités zero-day sont des failles de sécurité inconnues du fabricant du logiciel et pour lesquelles aucun correctif n’existe encore. En 2024, Google a documenté 97 vulnérabilités zero-day exploitées activement. Ces failles sont particulièrement dangereuses car elles peuvent être exploitées avant même que les entreprises ne sachent qu’elles existent.
Comment se protéger : Maintenez tous vos logiciels à jour avec les derniers correctifs, déployez une solution EDR capable de détecter des comportements suspects même sans signature connue, et segmentez votre réseau pour limiter la propagation en cas de compromission.
9. Attaque de l’homme du milieu (Man-in-the-Middle)
Dans une attaque MitM, le cybercriminel s’interpose entre deux parties qui communiquent (par exemple, un employé et un site web bancaire) pour intercepter ou modifier les données en transit. Cette attaque est particulièrement fréquente sur les réseaux Wi-Fi publics non sécurisés — un risque concret pour les employés en télétravail ou en déplacement qui se connectent depuis un café ou un hôtel.
Comment se protéger : Imposez l’utilisation d’un VPN d’entreprise pour toute connexion à distance, assurez-vous que tous vos sites et services utilisent le chiffrement HTTPS/TLS, et sensibilisez vos employés aux risques des réseaux Wi-Fi publics.
10. Ingénierie sociale
L’ingénierie sociale englobe toutes les techniques de manipulation psychologique utilisées pour amener une personne à divulguer des informations confidentielles ou à poser un geste compromettant. Appels téléphoniques frauduleux (vishing), messages textes (smishing), faux profils LinkedIn — les méthodes sont de plus en plus sophistiquées, surtout avec l’intelligence artificielle qui permet de créer des contenus audio et vidéo hyperréalistes (deepfakes).
Comment se protéger : La formation continue des employés est la meilleure défense contre l’ingénierie sociale. Mettez en place des protocoles de vérification pour les demandes sensibles (rappeler la personne sur un numéro connu, confirmer par un deuxième canal) et encouragez une culture où les employés se sentent à l’aise de signaler les tentatives suspectes.
Le portrait des cybermenaces au Québec en chiffres
- Plus de 70 000 signalements de fraude en ligne au Canada en 2024 (Centre antifraude du Canada)
- 60 % des PME canadiennes victimes d’une cyberattaque cessent leurs activités dans les 6 mois suivants (Chambre de commerce du Canada)
- Le coût moyen d’une brèche de données au Canada atteint 6,9 millions de dollars CA en 2025 (IBM Cost of a Data Breach)
- Moins de 40 % des PME québécoises ont un plan de réponse aux incidents documenté
Foire aux questions
Quelle est la cyberattaque la plus dangereuse pour une PME ?
Le rançongiciel est généralement considéré comme la menace la plus destructrice pour les PME, car il peut paralyser complètement les opérations pendant des jours ou des semaines. Cependant, la fraude par compromission de courriel d’affaires (BEC) est souvent la plus coûteuse financièrement, car elle entraîne des pertes directes en argent.
Mon entreprise est petite, suis-je vraiment une cible ?
Absolument. Les cybercriminels ciblent de plus en plus les PME justement parce qu’elles sont souvent moins bien protégées. Les attaques automatisées ne font pas de distinction entre une entreprise de 10 ou de 10 000 employés — elles exploitent les vulnérabilités partout où elles les trouvent.
Que faire si mon entreprise est victime d’une cyberattaque ?
Isolez immédiatement les systèmes affectés pour limiter la propagation, contactez votre fournisseur TI ou votre MSP, ne payez pas de rançon sans consulter des experts, et signalez l’incident au Centre canadien pour la cybersécurité. Si des renseignements personnels sont compromis, vous avez l’obligation légale de notifier la Commission d’accès à l’information du Québec en vertu de la Loi 25.
Est-ce que l’assurance cyberrisque couvre toutes les cyberattaques ?
L’assurance cyberrisque couvre généralement les coûts de réponse aux incidents, la restauration des données, les pertes d’exploitation et la responsabilité civile. Cependant, les assureurs exigent de plus en plus que les entreprises aient des mesures de sécurité de base en place (MFA, sauvegardes, EDR) pour maintenir leur couverture. Vérifiez attentivement les exclusions de votre police.
À quelle fréquence devrais-je former mes employés en cybersécurité ?
Au minimum, une formation annuelle avec des rappels trimestriels et des simulations d’hameçonnage mensuelles. La cybersécurité évolue rapidement, et les employés doivent être exposés régulièrement aux nouvelles techniques utilisées par les cybercriminels pour rester vigilants.
