Combien coûte une bonne protection cybersécurité pour une PME de 10 employés?

Pour 10 employés, les mesures de base coûtent environ 200-300 $ CAD par mois : gestionnaire de mots de passe (~50 $/mois), sauvegardes hors site (~9 $/mois), VPN télétravail (~30 $/mois), formation anti-hameçonnage (~60-100 $/mois). Le MFA et le plan d'intervention sont gratuits. C'est nettement moins cher qu'une attaque par rançongiciel, dont le coût moyen dépasse 200 000 $ pour une PME.

Cybersécurité pour les PME québécoises : guide pratique 2026

Q: Ma PME est-elle vraiment visée par des cyberattaques?

Oui. Selon diverses études, plus de 60 % des cyberattaques ciblent des entreprises de moins de 50 employés. Les PME sont attrayantes pour les pirates parce qu'elles détiennent des données de valeur (infos clients, paiements) mais disposent de moins de ressources en cybersécurité que les grandes entreprises.

Vous gérez une PME au Québec — une boutique, un cabinet, un atelier, un bureau de services. La cybersécurité vous semble peut-être réservée aux grandes entreprises avec des équipes TI dédiées. C'est précisément ce que pensent aussi vos pirates potentiels — et c'est pourquoi ils vous ciblent.

Ce guide vous donne un portrait réaliste des risques pour les PME québécoises, ce que la Loi 25 exige concrètement, et une liste d'actions priorisées avec les coûts en dollars canadiens.

Pourquoi les PME sont-elles ciblées?

La réponse courte : les pirates font des calculs. Une grande banque ou un hôpital a des équipes de sécurité, des systèmes de détection sophistiqués et des budgets de millions de dollars. Votre PME, elle, possède des données de valeur — numéros de cartes de crédit de clients, renseignements fiscaux, contrats, données personnelles — mais sans les mêmes défenses.

Selon des données issues de plusieurs études de l'industrie, plus de 60 % des cyberattaques visent des entreprises de moins de 50 employés. Les rançongiciels automatisés ne font pas de distinction : ils s'attaquent à tout système vulnérable, peu importe la taille de l'organisation.

Le coût d'une attaque réussie est dévastateur à l'échelle d'une PME : le coût moyen d'un incident de rançongiciel pour une petite entreprise au Canada dépasse 200 000 $ CAD quand on additionne la rançon, les temps d'arrêt, la récupération des données et les impacts sur la réputation. La majorité des PME qui subissent une cyberattaque majeure ferment leurs portes dans les 18 mois.

⚠️ Les PME québécoises : une cible de choix Le Québec compte plus de 250 000 PME. Les secteurs les plus ciblés : cabinets comptables et juridiques (données financières confidentielles), cliniques de santé (données médicales), entreprises de construction (nombreux sous-traitants = portes d'entrée multiples) et commerces de détail (données de cartes de crédit).

Les 5 risques prioritaires pour une PME québécoise

🔒

1. Rançongiciel (ransomware)

Un logiciel malveillant chiffre tous vos fichiers et exige une rançon pour les déchiffrer. Une seule pièce jointe malveillante ouverte par un employé peut paralyser toute l'entreprise. Les sauvegardes hors site sont la seule vraie défense.

🎣

2. Hameçonnage ciblant les employés

Des courriels frauduleux se font passer pour votre banque, l'ARC, Microsoft 365 ou un fournisseur. Un clic suffit pour installer un logiciel malveillant ou voler des identifiants. La formation des employés est cruciale.

🗝️

3. Vol d'identifiants

Des listes de mots de passe volés lors de brèches chez des tiers circulent sur le dark web. Si vos employés réutilisent leurs mots de passe personnels au travail, leurs comptes d'entreprise sont vulnérables.

📧

4. Compromission de courriel professionnel (BEC)

Aussi appelée « fraude du président » : un fraudeur se fait passer pour un dirigeant ou un fournisseur et demande un virement bancaire urgent. Des PME ont perdu des dizaines de milliers de dollars en une seule transaction.

🔗

5. Attaques via les fournisseurs

Vos fournisseurs et partenaires ont accès à vos systèmes? Si leur sécurité est défaillante, ils deviennent une porte d'entrée chez vous. C'est ainsi que de nombreuses PME ont été compromises sans être directement visées.

Loi 25 et les PME : ce que ça change concrètement

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) s'applique à toute entreprise qui collecte des données personnelles de résidents du Québec — peu importe si vous avez 3 ou 3 000 employés. Si votre boutique en ligne conserve des adresses courriel, si votre cabinet garde des dossiers clients, si vous tenez une liste de clients : vous êtes assujetti.

Ce que la Loi 25 exige de votre PME

Nommer un responsable de la protection des informations personnelles (RPIP) — dans une PME, c'est souvent le propriétaire ou le directeur général. Ce responsable est le point de contact officiel en cas d'incident et doit s'assurer de la conformité.
Tenir un registre des incidents de confidentialité — tout incident impliquant des données personnelles (même un courriel envoyé au mauvais destinataire) doit être consigné dans un registre interne.
Aviser la CAI et les personnes concernées en cas d'incident sérieux — si une brèche présente un risque réel pour les personnes touchées, vous avez l'obligation d'en informer la Commission d'accès à l'information (CAI) du Québec et les personnes dont les données ont été compromises.
Obtenir un consentement valide pour la collecte de données et documenter à quoi elles servent.
Évaluer les facteurs relatifs à la vie privée (ÉFVP) avant de lancer tout nouveau projet impliquant des données personnelles.

🚨 Les sanctions peuvent être sévères La Loi 25 prévoit des amendes allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les violations les plus graves. Même pour les PME, des amendes administratives significatives peuvent être imposées. La non-conformité volontaire ou négligente est traitée plus sévèrement.

Bonne nouvelle : la conformité à la Loi 25 et une bonne cybersécurité vont de pair. Les mesures décrites dans ce guide vous aident simultanément à réduire votre risque de cyberattaque et à respecter vos obligations légales.

Les 7 actions concrètes pour protéger votre PME

Voici un plan d'action priorisé, classé du plus impactant au plus avancé, avec les coûts estimés en dollars canadiens :

Action	Coût estimé (CAD)	Impact
1. MFA sur tous les comptes professionnels Microsoft 365, Google Workspace, logiciels comptables. L'authentification multifacteur bloque plus de 99 % des tentatives de piratage de compte automatisées.	GRATUIT	🔴 Critique
2. Gestionnaire de mots de passe entreprise Bitwarden Business permet à tous vos employés d'utiliser des mots de passe forts et uniques sans les mémoriser. Inclut l'audit de mots de passe compromis.	~5 $/employé/mois (Bitwarden Business)	🔴 Critique
3. Sauvegardes hors site chiffrées La règle du 3-2-1 : 3 copies, 2 supports différents, 1 hors site. Backblaze Business Backup sauvegarde automatiquement tous vos postes de travail. Testez vos restaurations régulièrement.	~9 $/mois/poste (Backblaze Business)	🔴 Critique
4. Formation anti-hameçonnage KnowBe4 ou Proofpoint Security Awareness envoient de faux courriels d'hameçonnage à vos employés pour les entraîner à reconnaître les vraies menaces. Les employés formés cliquent 90 % moins sur les liens malveillants.	~6-10 $/employé/mois	🟠 Élevé
5. VPN pour le télétravail Si vos employés travaillent à distance, un VPN chiffre leur connexion et empêche l'interception de données sensibles sur les réseaux WiFi non sécurisés. Windscribe Teams offre un bon rapport qualité-prix.	~3-5 $/utilisateur/mois (Windscribe Teams)	🟠 Élevé
6. Segmentation du réseau WiFi Séparez votre réseau invité de votre réseau interne. Un client ou un livreur qui se connecte à votre WiFi ne doit pas avoir accès à vos serveurs et imprimantes internes. La plupart des routeurs modernes permettent cette configuration gratuitement.	GRATUIT (configuration routeur)	🟡 Moyen
7. Plan d'intervention en cas d'incident Quoi faire si vous êtes attaqué? Qui appeler? Qui aviser? Avoir un plan écrit avant l'incident réduit drastiquement les dommages. Pense-cybersécurité.gc.ca offre des gabarits gratuits adaptés aux PME.	GRATUIT (template disponible)	🟡 Moyen

💡 Par où commencer si votre budget est serré? Priorisez dans cet ordre : (1) MFA sur Microsoft 365/Google — gratuit, impact maximal. (2) Sauvegardes hors site — une attaque par rançongiciel sans sauvegardes = perte totale des données. (3) Gestionnaire de mots de passe — élimine les mots de passe réutilisés qui sont la cause no 1 des compromissions de compte.

La « fraude du président » : comment s'en protéger

La compromission de courriel professionnel (BEC) mérite une attention particulière car elle ne nécessite aucun logiciel malveillant. Un fraudeur envoie un courriel depuis une adresse qui ressemble à celle de votre patron (« [email protected] » au lieu de « [email protected] ») et demande un virement urgent à un nouveau fournisseur, souvent en dehors des heures normales.

Protections simples : Établissez une politique interne selon laquelle tout virement au-dessus d'un certain seuil (ex. 1 000 $) nécessite une confirmation verbale (appel téléphonique — pas de réponse au courriel). Vérifiez l'adresse courriel réelle de l'expéditeur, pas seulement le nom affiché.

Ressources québécoises et canadiennes

cai.quebec.ca — Commission d'accès à l'information du Québec : obligations Loi 25, formulaires de déclaration d'incident, guides de conformité.
pensez-cybersécurité.gc.ca — Programme fédéral avec gabarits gratuits de plan d'intervention, guides pratiques pour PME, évaluation de risque.
cyberaide.ca — Signalement d'exploitation en ligne; utile si votre entreprise est victime d'extorsion numérique.
Centre antifraude du Canada — 1-888-495-8501 — Pour signaler toute fraude commerciale, tentative d'hameçonnage ou BEC.
Cyber Centre canadien (cccs.gc.ca) — Alertes de sécurité, bulletins d'information sur les menaces actives, outils d'évaluation.

🔗 Un dernier conseil : ne faites pas cavalier seul Pour une PME de 5 à 20 employés, engager un consultant en cybersécurité pour une évaluation de base (environ 1 000-3 000 $ pour un audit initial) peut vous éviter des pertes considérablement plus importantes. Certains programmes gouvernementaux subventionnent partiellement ces évaluations pour les PME québécoises.

Questions fréquentes

Ma PME est-elle vraiment visée par des cyberattaques?

Oui. Plus de 60 % des cyberattaques ciblent des entreprises de moins de 50 employés. Les PME sont attrayantes pour les pirates parce qu'elles détiennent des données de valeur (infos clients, paiements) mais disposent de moins de ressources en cybersécurité que les grandes entreprises.

La Loi 25 s'applique-t-elle à ma petite entreprise?

Oui, la Loi 25 s'applique à toute entreprise qui collecte des renseignements personnels sur des résidents du Québec, peu importe la taille. Une boutique en ligne, un cabinet comptable ou un salon de coiffure qui conserve des noms et adresses courriel est assujetti.

Combien coûte une bonne protection pour une PME de 10 employés?

Les mesures de base coûtent environ 200-300 $ CAD par mois : gestionnaire de mots de passe (~50 $/mois), sauvegardes hors site (~90 $/mois), VPN télétravail (~30-50 $/mois), formation anti-hameçonnage (~60-100 $/mois). Le MFA et le plan d'intervention sont gratuits. C'est nettement moins cher qu'une attaque par rançongiciel, dont le coût moyen dépasse 200 000 $ pour une PME.

Cybersécurité pour les PME québécoises :guide pratique 2026