Cybersécurité: 10 recommandations pour sécuriser votre entreprise

En 2025, la cybersécurité représente un enjeu stratégique majeur pour les organisations. Trop souvent perçue comme une responsabilité exclusivement réservée aux technologies de l’information (TI), elle est reléguée au second plan, alors même que les menaces évoluent et se complexifient. Les cyberattaques actuelles ne ciblent pas uniquement des systèmes, mais exploitent des vulnérabilités humaines, organisationnelles et culturelles.

Dans un contexte où les entreprises investissent massivement dans la transformation numérique, l’automatisation et l’interconnectivité, la sécurité ne peut plus être un simple sous-produit des TI. Elle doit faire l’objet d’une approche structurée, transversale et proactive.

Les TI jouent un rôle essentiel dans l’efficacité et la performance des entreprises: elles connectent, automatisent, optimisent. Toutefois, leur mission diffère fondamentalement de celle de la cybersécurité, qui vise à protéger, détecter, auditer et réagir aux incidents. Confondre les deux peut engendrer des angles morts majeurs.

Le rapport 2025 sur les violations de données de Verizon [1] examine les incidents de cybersécurité, en mettant l’accent sur les entreprises de petite et moyenne taille (PME) et les menaces auxquelles elles sont confrontées. Selon cette analyse, les violations de données ont atteint un niveau record et les PME sont particulièrement touchées, avec 88% des violations liées aux ransomwares. Les acteurs externes représentent 98% des violations dans les PME, avec des motivations principalement financières. Les méthodes d’attaque incluent l’exploitation de vulnérabilités (20%) et l’ingénierie sociale (60%).

Les erreurs diverses et les vulnérabilités des systèmes sont des causes fréquentes de violations. Au Canada, 82% des violations de données sont dues à des erreurs de configuration dans les systèmes IoT et cloud, selon le rapport sur l’état de la cybersécurité au Canada en 2025 [2]. Les dispositifs IoT sont souvent expédiés avec des identifiants par défaut, rendant leur exploitation facile pour les attaquants. Les erreurs de livraison, de configuration et de publication sont les plus courantes.

Les cybercriminels utilisent de plus en plus des tactiques d’ingénierie sociale pour infiltrer les organisations canadiennes via des mises à jour de navigateur falsifiées, incitant les employés à télécharger des malwares. Ces attaques, basées sur les navigateurs, représentent 70% de toutes les menaces observées.

Ces défaillances, souvent évitables, ne résultent pas d’un manque de compétence, mais d’un manque de mandat et de culture de sécurité.

Malgré une prise de conscience croissante, plusieurs idées reçues continuent de freiner l’adoption de bonnes pratiques. Voici quelques erreurs courantes observées dans les entreprises, selon le dernier rapport de Secur01 [3], une firme québécoise spécialisée en cybersécurité, en réponse aux incidents, en audits et en accompagnement stratégique:

Les outils seuls ne suffisent pas. Sans stratégie claire ni politique d’usage, même les meilleurs logiciels de protection sont inefficaces.

Une approche indépendante est nécessaire. Par exemple, un technicien TI en congé au moment d’une attaque peut laisser l’entreprise sans capacité de réaction immédiate, en l’absence d’un plan d’urgence structuré.

Ce n’est pas le cas. Un accès non révoqué à un ancien employé ou des droits trop permissifs sur des dossiers critiques peuvent engendrer des pertes importantes sans être détectés.

Encore faut-il qu’elles soient testées régulièrement, isolées des systèmes en production, et accessibles en cas de sinistre. Plusieurs entreprises ne découvrent qu’au moment critique que leurs copies de sécurité sont inutilisables.

Les attaques automatisées n’établissent aucune distinction. Une PME peut être compromise parce qu’un port réseau non sécurisé était exposé. Des cas concrets montrent que de faux courriels envoyés via un compte piraté peuvent entraîner des pertes financières substantielles.

Selon le rapport sur l’état de la cybersécurité au Canada en 2025, les cyberattaques et les violations de données sont en augmentation, entraînant des coûts financiers significatifs pour les entreprises. En 2024, le coût moyen d’une violation de données était de 6,32 M$ au Canada. À cela s’ajoutent des pertes de revenus, des coûts de réponse et des dommages à la réputation.

La cybersécurité ne peut plus être réduite à une ligne budgétaire ou à une fonction technique. Elle doit être pensée comme un pilier de la gestion des risques et de la résilience organisationnelle. Voici quelques recommandations inspirées du rapport sur l’état de la cybersécurité au Canada en 2025:

1. Construire une culture de cybersécurité résiliente: la cybersécurité doit être perçue comme un catalyseur de progrès plutôt qu’un simple défi. La formation des employés est essentielle pour identifier les attaques d’hameçonnage et les comportements suspects.
2. Renforcer la collaboration intersectorielle: la collaboration entre les secteurs doit être mise de l’avant pour renforcer la résilience en cybersécurité, en mettant l’accent sur la culture de la sécurité et l’adoption de normes.
3. Adopter une stratégie proactive de gestion des cyberincidents: considérant les violations liées aux ransomwares, il est essentiel d’adopter une stratégie pour atténuer ces risques. Cela comprend l’évaluation continue des risques, les tests réguliers de sauvegardes et la mise en place de procédures de réponse rapide.
4. Mettre en place une gouvernance structurée de la cybersécurité: appuyée sur un système de gestion de la sécurité et de l’information (SGSI) (ex. : ISO 27001), une gouvernance efficace repose sur des rôles bien définis, des audits réguliers et une documentation rigoureuse des décisions.
5. Développer une approche centrée sur les données pour la cybersécurité: une approche centrée sur les données est nécessaire pour protéger les informations critiques des organisations. Cela implique la découverte, l’analyse, la protection et la validation des données.
6. Établir une stratégie de gestion des risques de la chaîne d’approvisionnement: 93% des organisations canadiennes ont été touchées par une violation de cybersécurité dans leur chaîne d’approvisionnement.
7. Tirer parti de l’intelligence artificielle et de la surveillance active: L’IA et les outils de détection en temps réel permettent d’identifier rapidement les menaces et de gérer efficacement les accès.
8. Adopter le Software Bill of Materials (SBOM) pour la transparence: le SBOM est essentiel pour améliorer la transparence de la chaîne d’approvisionnement logicielle. Il permet aux organisations d’identifier rapidement les vulnérabilités et de renforcer la collaboration entre fournisseurs et clients.
9. Cartographier et protéger les actifs informationnels critiques: identifier clairement les informations sensibles et leur emplacement permet de mieux orienter les efforts de protection et de surveillance.
10. Auditer régulièrement et indépendamment les pratiques de cybersécurité: un audit indépendant permet d’identifier les angles morts et de valider l’efficacité des mesures en place, au-delà des contrôles TI internes.

Vous avez un projet de cybersécurité ou souhaitez réaliser un diagnostic préliminaire? Contactez-nous pour découvrir comment nous pouvons vous aider! Chez ESM, nos conseillers en innovation peuvent vous accompagner et vous référer vers les experts appropriés selon les besoins de votre entreprise.

Sources : 

[1] Verizon. 2025. 2025 DBIR SMB Snapshot. New York: Verizon Business. https://www.verizon.com/business/resources/infographics/2025-dbir-smb-snapshot.pdf

[2] Canadian Cybersecurity Network and Security Architecture Podcast. 2025. The State of Cybersecurity in Canada 2025. Janvier 2025. https://canadiancybersecuritynetwork.com/hubfs/CS-Report-CCN-2025-All-v10.pdf

[3] Bernard, Frédérik. 2025. État de la cybersécurité 2025.