Checklist cybersécurité PME — mesures essentielles Gouvernance & Conformité

Checklist cybersécurité PME : 15 mesures essentielles

28 février 2026 9 min de lecture Par ServiTIQ

Protéger son entreprise contre les cybermenaces peut sembler complexe, surtout quand on est une PME avec des ressources limitées. Pourtant, la majorité des incidents de sécurité pourraient être évités en mettant en place des mesures fondamentales. Voici une checklist de 15 mesures essentielles de cybersécurité que toute PME québécoise devrait implanter pour se protéger efficacement.

1. Authentification multifacteur (MFA)

Le MFA ajoute une couche de vérification supplémentaire au-delà du simple mot de passe. En exigeant un deuxième facteur (application d’authentification, notification push ou clé physique), vous bloquez plus de 99 % des attaques par compromission de compte. Activez le MFA sur tous vos services critiques : courriel, VPN, applications infonuagiques et outils d’administration.

2. Solution EDR (Endpoint Detection and Response)

L’antivirus traditionnel ne suffit plus face aux menaces modernes. Une solution EDR surveille en continu le comportement des postes de travail et des serveurs pour détecter les activités suspectes, même celles qui utilisent des techniques inconnues. L’EDR permet également d’isoler automatiquement un poste compromis pour empêcher la propagation d’une attaque sur l’ensemble du réseau.

3. Sauvegardes selon la règle 3-2-1

La règle 3-2-1 est le standard de l’industrie en matière de sauvegarde : conservez 3 copies de vos données, sur 2 types de supports différents, dont 1 copie hors site (idéalement dans le cloud avec chiffrement). Testez vos restaurations régulièrement — une sauvegarde qui n’a jamais été testée ne vaut rien le jour où vous en avez besoin. Assurez-vous également que vos sauvegardes sont protégées contre les rançongiciels par un mécanisme d’immuabilité.

4. Sécurité du courriel (DMARC, SPF, DKIM)

Le courriel reste le vecteur d’attaque numéro un. Les protocoles SPF, DKIM et DMARC empêchent les cybercriminels d’usurper votre nom de domaine pour envoyer des courriels frauduleux en votre nom. Configurez ces trois protocoles sur votre domaine et activez une politique DMARC en mode « reject » pour bloquer les courriels non authentifiés. Ajoutez une solution de filtrage avancé qui analyse les pièces jointes et les liens en temps réel.

5. Formation des employés en cybersécurité

Vos employés sont à la fois votre maillon le plus faible et votre première ligne de défense. Une formation régulière en cybersécurité, combinée à des simulations d’hameçonnage mensuelles, réduit de façon significative le risque qu’un employé tombe dans le piège d’une attaque. La formation doit couvrir la reconnaissance des courriels suspects, la gestion sécuritaire des mots de passe et les bonnes pratiques en télétravail.

6. Gestion des correctifs (patch management)

Les vulnérabilités logicielles non corrigées sont l’une des portes d’entrée les plus exploitées par les cybercriminels. Mettez en place un processus de gestion des correctifs qui applique les mises à jour de sécurité critiques dans un délai de 48 heures après leur publication. Cela inclut non seulement le système d’exploitation, mais aussi les navigateurs web, les lecteurs PDF, les outils de bureautique et toutes les applications métier.

7. Segmentation du réseau

La segmentation consiste à diviser votre réseau en zones distinctes pour limiter la propagation d’une attaque. Si un poste de travail est compromis, l’attaquant ne devrait pas pouvoir accéder directement à vos serveurs critiques ou à vos données sensibles. Séparez minimalement votre réseau en zones : postes de travail, serveurs, appareils IoT et réseau invités. Utilisez des règles de pare-feu pour contrôler le trafic entre ces zones.

8. Plan de réponse aux incidents

Un plan de réponse aux incidents documente les procédures à suivre en cas de cyberattaque : qui contacter, comment isoler les systèmes affectés, comment communiquer avec les parties prenantes et comment restaurer les opérations. Rédigez ce plan, distribuez-le aux personnes clés et testez-le au moins une fois par année avec un exercice de simulation. En situation de crise, ce n’est pas le moment d’improviser.

9. Assurance cyberrisque

L’assurance cyberrisque couvre les coûts liés à un incident de sécurité : frais de réponse, restauration des données, pertes d’exploitation, responsabilité civile et frais juridiques. En 2026, les assureurs exigent des mesures de sécurité minimales (MFA, sauvegardes, EDR) pour accorder une couverture. Considérez l’assurance comme un filet de sécurité financier, et non comme un substitut à de bonnes pratiques de sécurité.

10. Révision régulière des accès

Appliquez le principe du moindre privilège : chaque utilisateur ne doit avoir accès qu’aux ressources strictement nécessaires à son travail. Révisez les droits d’accès au moins une fois par trimestre, désactivez immédiatement les comptes des employés qui quittent l’entreprise et limitez le nombre de comptes administrateurs au strict minimum. Les comptes orphelins ou avec des privilèges excessifs sont une mine d’or pour les attaquants.

11. Chiffrement des données

Chiffrez les données sensibles au repos (sur les disques durs et dans les sauvegardes) et en transit (lors de la transmission sur le réseau). Activez BitLocker sur tous les postes de travail Windows, utilisez le chiffrement TLS pour les communications et assurez-vous que vos sauvegardes infonuagiques sont chiffrées avec des clés que vous contrôlez. En cas de vol d’un ordinateur portable, le chiffrement empêche l’accès aux données.

12. Filtrage DNS

Le filtrage DNS bloque l’accès aux sites web malveillants connus avant même que la connexion ne soit établie. C’est une couche de protection simple mais redoutablement efficace qui fonctionne sur l’ensemble du réseau, y compris pour les appareils mobiles et les postes en télétravail. Le filtrage DNS bloque également les tentatives de communication entre un poste compromis et le serveur de commande de l’attaquant.

13. Gestion des risques fournisseurs

Vos fournisseurs ont souvent accès à vos systèmes ou à vos données. Une brèche chez un fournisseur peut devenir votre brèche. Évaluez la posture de sécurité de vos fournisseurs critiques, exigez des engagements contractuels en matière de sécurité et limitez les accès accordés au strict nécessaire. Maintenez un registre de tous les tiers qui ont accès à vos données et révisez-le régulièrement.

14. Journalisation et surveillance (logging et monitoring)

Si vous ne surveillez pas vos systèmes, vous ne saurez pas que vous avez été compromis — parfois pendant des mois. Activez la journalisation sur tous vos systèmes critiques (serveurs, pare-feu, services infonuagiques) et centralisez les journaux dans un outil de surveillance. Idéalement, faites appel à un service de surveillance de sécurité géré (SOC) qui analyse les alertes en continu et réagit rapidement aux menaces détectées.

15. Conformité à la Loi 25

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est pleinement en vigueur au Québec. Toute entreprise qui collecte, utilise ou communique des renseignements personnels doit se conformer à ses obligations : nommer un responsable de la protection des renseignements personnels, publier une politique de confidentialité, tenir un registre des incidents de confidentialité, réaliser des évaluations des facteurs relatifs à la vie privée et obtenir un consentement valide pour la collecte de données.

Par où commencer ?

Implanter ces 15 mesures d’un coup peut sembler intimidant. Voici un ordre de priorité suggéré pour les PME qui partent de zéro :

  • Semaine 1-2 : Activez le MFA sur tous les comptes critiques et déployez un gestionnaire de mots de passe.
  • Semaine 3-4 : Mettez en place les sauvegardes 3-2-1 et vérifiez leur fonctionnement.
  • Mois 2 : Déployez une solution EDR et configurez la sécurité du courriel (SPF, DKIM, DMARC).
  • Mois 3 : Lancez le programme de formation des employés et mettez en place le filtrage DNS.
  • Mois 4-6 : Travaillez sur la segmentation réseau, la gestion des correctifs, le plan de réponse aux incidents et la conformité à la Loi 25.

L’important est de commencer. Chaque mesure implantée réduit significativement votre surface d’attaque et augmente votre résilience face aux cybermenaces.

Foire aux questions

Est-ce que ces mesures sont suffisantes pour être conforme à la Loi 25 ?

Ces mesures couvrent les aspects techniques de la conformité, mais la Loi 25 exige également des éléments organisationnels : politique de confidentialité publiée, registre des incidents, processus de traitement des plaintes et évaluations des facteurs relatifs à la vie privée. Un accompagnement professionnel est recommandé pour s’assurer que tous les aspects sont couverts.

Combien coûte l’implantation de ces 15 mesures ?

Le coût varie selon la taille de l’entreprise et l’état actuel de son infrastructure. Pour une PME de 15 à 50 employés, comptez entre 1 500 $ et 5 000 $ par mois pour un forfait de services gérés qui inclut la majorité de ces mesures. C’est nettement moins cher que le coût moyen d’une brèche de données, qui atteint 6,9 millions de dollars au Canada.

Puis-je implanter ces mesures moi-même sans expertise TI ?

Certaines mesures de base comme le MFA et la formation des employés peuvent être mises en place sans expertise approfondie. Cependant, des mesures comme l’EDR, la segmentation réseau, la configuration DMARC et la journalisation centralisée requièrent une expertise technique spécialisée. Un fournisseur de services gérés (MSP) peut implanter et gérer l’ensemble de ces mesures pour vous.

À quelle fréquence dois-je réviser ma posture de cybersécurité ?

Révisez votre posture de sécurité au moins une fois par année avec un audit complet. Les révisions d’accès devraient être trimestrielles, les tests de sauvegarde mensuels, et la surveillance des menaces continue (24/7). Après tout changement majeur dans votre environnement (nouveau logiciel, nouvelle intégration, croissance de l’équipe), une révision supplémentaire est recommandée.

Quelle est la première mesure à implanter si je ne fais rien actuellement ?

L’authentification multifacteur (MFA). C’est la mesure la plus efficace par rapport à son coût et sa facilité d’implantation. Elle bloque la grande majorité des attaques par compromission de compte et peut être activée en quelques heures sur la plupart des services infonuagiques comme Microsoft 365 et Google Workspace.

→ Nos services de cybersécurité → Voir nos forfaits
Articles connexes

Continuez votre lecture

Faux support technique — arnaque au pop-up et accès à distance
Sécurité

Faux support technique : la seule chose qu'ils réparent, c'est votre compte bancaire

Un employé reçoit un pop-up alarmant : « Votre système Windows est infecté ! Appelez le support technique immédiatement. »…
Cyberattaques fréquentes au Québec — sécurité informatique
Sécurité

Les 10 cyberattaques les plus fréquentes au Québec

Le Québec n’est pas à l’abri des cybermenaces. En fait, le Centre canadien pour la cybersécurité signale une augmentation constante…
Windows 10 : fin de support en 2025 — faut‑il passer à Windows 11 (et quelles alternatives) ?
Sécurité

Windows 10 : fin de support en 2025 — faut‑il passer à Windows 11 (et quelles alternatives) ?

Après la fin du support de Windows 10 le 14 octobre 2025, votre PC fonctionnera toujours mais sera vulnérable aux…

Votre infrastructure. Notre expertise.

Audit gratuit de votre infrastructure. Aucun engagement requis. Réponse sous 24h.

Obtenir ma soumission gratuite Nous appeler