Pourquoi les PME sont-elles ciblées par les cyberattaques ?

Les PME sont des cibles de choix pour les cybercriminels parce qu'elles ont moins de ressources en sécurité que les grandes entreprises, mais traitent quand même des données précieuses (données clients, informations financières, accès à des fournisseurs ou partenaires). De plus, elles servent souvent de portes d'entrée vers de plus grandes organisations dans leur chaîne d'approvisionnement.

Qu'est-ce que le MFA et pourquoi est-ce important ?

Le MFA (Multi-Factor Authentication ou authentification multifacteur) exige une deuxième vérification en plus du mot de passe — par exemple un code SMS, une application d'authentification ou une clé physique. Selon Microsoft, le MFA bloque plus de 99,9% des attaques par compromission de comptes. C'est l'une des mesures de cybersécurité les plus efficaces et les moins coûteuses à mettre en place.

Comment savoir si ma PME a été victime d'une cyberattaque ?

Signes d'une cyberattaque : ordinateurs ralentis inexplicablement, fichiers chiffrés ou inaccessibles, comptes verrouillés, courriels suspects envoyés depuis vos adresses, activité inhabituelle dans les logs de connexion, ou demande de rançon. En cas de doute, contactez immédiatement votre fournisseur TI et isolez les systèmes affectés du réseau.

Les 7 erreurs de cybersécurité les plus courantes dans les PME québécoises

67% des PME victimes d'une cyberattaque font faillite dans les 6 mois. Pourtant, la majorité des attaques réussies exploitent des erreurs de base — facilement évitables. Voici les 7 que nous voyons le plus souvent lors de nos audits TI.

#1 — Pas de MFA (authentification multifacteur)

C'est l'erreur la plus critique. Sans MFA, un mot de passe volé — via phishing, fuite de données ou force brute — donne accès direct à tous vos systèmes. Microsoft estime que le MFA bloque 99,9% des attaques par compromission de compte.

Correction : Activer le MFA sur tous les comptes Microsoft 365, RDP, VPN et applications critiques. Utilisez Microsoft Authenticator ou une clé physique FIDO2.

#2 — Comptes administrateurs utilisés au quotidien

Utiliser un compte admin pour lire ses courriels ou naviguer sur le web, c'est comme conduire avec un détonateur sur le siège passager. Un seul clic de phishing avec un compte admin donne au pirate un contrôle total de votre environnement.

Correction : Créer des comptes utilisateurs standards pour le travail quotidien. Les comptes administrateurs ne servent qu'à l'administration, avec MFA obligatoire et journalisation des accès.

#3 — Sauvegardes non testées (ou inexistantes)

«Nous avons des sauvegardes» — mais la dernière fois qu'elles ont été testées ? La majorité des PME découvrent que leurs sauvegardes sont corrompues ou incomplètes... lors d'un incident ransomware. Une sauvegarde non testée n'est pas une sauvegarde.

Correction : Appliquer la règle 3-2-1 (3 copies, 2 supports différents, 1 hors-site). Tester la restauration complète au moins une fois par trimestre. Utiliser des sauvegardes immuables pour protéger contre les ransomwares.

#4 — Logiciels et systèmes d'exploitation non mis à jour

Windows 7, Windows Server 2012, versions anciennes d'Office... Les systèmes non supportés sont criblés de vulnérabilités connues que les cybercriminels exploitent activement. La plupart des ransomwares exploitent des failles pour lesquelles des correctifs existaient depuis des mois.

Correction : Maintenir un inventaire des versions logicielles. Automatiser les mises à jour avec Microsoft Intune ou Windows Update for Business. Planifier le remplacement des systèmes en fin de support.

#5 — Mots de passe partagés entre employés

«Le mot de passe du serveur, c'est "entreprise2023"» — connu de 8 personnes dont 3 ont quitté l'entreprise. Les mots de passe partagés rendent l'audit d'accès impossible et transforment chaque départ d'employé en incident de sécurité potentiel.

Correction : Un compte nominatif par personne, sans exception. Utiliser un gestionnaire de mots de passe d'entreprise (Bitwarden, 1Password Teams). Révoquer immédiatement les accès lors des départs.

#6 — Aucune formation de sensibilisation au phishing

95% des incidents de cybersécurité commencent par un courriel de phishing. Un seul employé qui clique sur un lien malveillant peut compromettre toute l'organisation. La technologie seule ne peut pas tout arrêter — la formation humaine est indispensable.

Correction : Mettre en place des simulations de phishing régulières (KnowBe4, Microsoft Attack Simulator). Former tous les employés — y compris la direction. Établir un processus clair pour signaler les courriels suspects.

#7 — Pas de plan de réponse aux incidents

Quand une attaque survient — et c'est un «quand», pas un «si» — les 30 premières minutes sont critiques. Sans plan documenté, les entreprises perdent un temps précieux à décider quoi faire, aggravant la situation. La panique coûte cher.

Correction : Rédiger un plan de réponse aux incidents : qui appeler, quoi isoler, comment communiquer (incluant les obligations Loi 25 de déclaration à la CAI dans les 72h). Tester le plan annuellement.

Combien de ces erreurs avez-vous dans votre organisation ?

Un audit de cybersécurité Synéra vous donne une vue complète de vos vulnérabilités avec un plan de correction priorisé. Sans jargon, sans alarmisme — juste les faits.

Voir nos services de cybersécurité

Les 7 erreurs de cybersécuritéles plus courantes dansles PME québécoises

Combien de ces erreurs avez-vous dans votre organisation ?

Articles connexes

Les 7 erreurs de cybersécurité
les plus courantes dans
les PME québécoises