Cybersécurité et protection des données en conformité à la Loi 25 du Québec

72 % des dirigeants de PME canadiennes déclarent avoir subi une cyberattaque au cours de la dernière année, selon KPMG Canada (2024). Pas parce que les PME sont plus intéressantes que les grandes entreprises, mais parce qu'elles sont moins protégées.

Trois facteurs exposent particulièrement les PME québécoises en termes de cybersécurité

Aucune ressource TI dédiée à la sécurité et la surveillance.

La majorité des PME de moins de 50 employés gèrent leur sécurité informatique en réaction, pas en prévention. Les mises à jour sont retardées, les accès ne sont pas revus, les employés ne sont pas formés.

La messagerie est le vecteur d'attaque numéro un.

Plus de 90 % des cyberattaques commencent par un courriel. Le hameçonnage (phishing) et les courriels d'affaires compromis (BEC) n'ont pas besoin de compromettre votre réseau : ils trompent vos employés.

La loi 25 impose des obligations légales que peu de PME respectent encore.

Depuis septembre 2024, toutes les entreprises qui collectent des données sur des résidents du Québec sont soumises à la Loi 25. Les amendes peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

Nos services de cybersécurité pour les PME du Québec

Découvrez nos solutions pour solopreneurs    Découvrez nos solutions pour PME

Protection des postes de travail avec détection et réponse aux incidents (EDR)

Un antivirus traditionnel bloque les menaces connues. Un EDR (Endpoint Detection and Response) surveille le comportement de chaque poste en temps réel et détecte les attaques inconnues avant qu'elles ne se propagent. C'est la norme dans l'industrie pour les environnements à risque.

Nous déployons et gérons une solution EDR sur l’ensemble de vos appareils, avec une surveillance active et une réponse aux incidents intégrées.

Sécurité de la messagerie et de Microsoft 365

Microsoft 365 est l'environnement le plus ciblé en milieu d’entreprise. La configuration par défaut ne suffit pas à bloquer les attaques avancées. Nous sécurisons votre environnement avec des couches de protection supplémentaires, sans affecter votre productivité.

Protection contre les rançongiciels et sauvegardes sécurisées et immuables

Un rançongiciel chiffre vos données et exige une rançon pour les récupérer. La seule défense fiable est une sauvegarde récente, stockée dans un environnement inaccessible à l'attaquant. Les sauvegardes immuables ne peuvent ni être chiffrées ni supprimées, même si votre réseau principal est compromis.

Audit de cybersécurité et évaluation des vulnérabilités de votre entreprise

Avant de mettre en place des mesures de protection, il faut savoir ce qui est exposé. Un audit de sécurité identifie les failles dans votre infrastructure : accès non sécurisés, logiciels non mis à jour, configurations à risque, données sensibles mal protégées.

Nous livrons un rapport clair, avec les risques classés par ordre de priorité, et un plan d'action concret, pas un document technique de 80 pages que personne ne lira.


Formation et sensibilisation des employés à la cybersécurité

Vos employés sont à la fois votre première ligne de défense et votre plus grande vulnérabilité. Un seul clic sur un lien de hameçonnage peut compromettre l'ensemble de votre réseau. La formation n'est pas un luxe : c'est la mesure de sécurité la moins coûteuse et la plus efficace.

Nous offrons des sessions de formation adaptées au niveau de vos équipes, sans jargon, avec des exemples tirés de situations réelles.


Des forfaits adaptés à votre entreprise et à son infrastructure!

Eosium protège votre infrastructure, vos données et votre réputation grâce à des mesures concrètes adaptées à la taille de votre entreprise.

 

Solutions pour solopreneurs       Solutions pour PME

Conformité à la Loi 25 du Québec : obligations et mise en conformité

Ce que la Loi 25 exige concrètement de votre entreprise

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) s'applique à toute entreprise qui collecte, utilise ou communique des renseignements personnels sur des résidents du Québec, quelle que soit sa taille. Elle est pleinement en vigueur depuis le 22 septembre 2024.

Voici ce qu'elle exige concrètement :

  • Désigner un responsable de la protection des renseignements personnels et publier ses coordonnées sur votre site web
  • Documenter vos pratiques : quelles données vous collectez, pourquoi, combien de temps vous les conservez, et avec qui vous les partagez
  • Obtenir un consentement clair et distinct avant de collecter des données à des fins de marketing ou de partage avec des tiers
  • Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant de lancer un projet qui implique des renseignements personnels
  • Déclarer tout incident de confidentialité à la Commission d'accès à l'information (CAI) et aux personnes concernées si le risque est sérieux
  • Permettre l'accès, la correction et la portabilité des données à toute personne qui en fait la demande

Les amendes pour non-conformité peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial, selon la gravité de l'infraction.

Ce qu'Eosium met en place pour votre conformité à la Loi 25

La conformité à la Loi 25 n'est pas uniquement une question juridique : elle repose largement sur des mesures techniques et organisationnelles que votre prestataire TI doit mettre en œuvre.

Ce qui faut pour la conformité à la Loi 25 :

  • Inventaire des renseignements personnels stockés dans vos systèmes
  • Cartographie des flux de données : qui y accède, depuis où, pour quoi
  • Mise en place ou révision de votre politique de confidentialité
  • Configuration des droits d'accès selon le principe du moindre privilège
  • Procédure documentée de gestion des incidents de confidentialité
  • Désignation d'un responsable Loi 25
  • Accompagnement pour la rédaction ou mise à jour des mentions de consentement

Évaluons votre niveau de protection actuel

Discutez avec un expert en cybersécurité pour évaluer votre infrastructure : ce qui est en place, ce qui manque et ce qui est prioritaire.

Demander votre évaluation gratuite

Questions fréquentes sur la cybersécurité PME et la conformité Loi 25

Mon entreprise est-elle vraiment exposée à un risque de cyberattaque ?

Oui. Les PME représentent environ 20 % des victimes de cyberattaques au Canada. Les attaquants automatisent leurs recherches de cibles vulnérables : votre taille ne vous protège pas, elle vous rend plus accessible. Les secteurs juridiques, médicaux, comptables et manufacturiers sont particulièrement visés à cause des données sensibles qu'ils traitent.

La Loi 25 s'applique-t-elle à ma petite entreprise ?

La Loi 25 s'applique à toute organisation qui collecte des renseignements personnels sur des résidents du Québec, peu importe sa taille. Avoir un seul employé ou un seul client québécois suffit pour être assujetti. Les entreprises qui font affaire au Québec depuis une autre province ou un autre pays sont également concernées.

Quelle est la différence entre la Loi 25 et le RGPD européen ?

Les deux lois visent la protection des données personnelles, mais la Loi 25 est propre au Québec et s'applique aux entreprises qui traitent des données de résidents québécois. Elles partagent plusieurs principes (consentement, droit d'accès, notification des incidents), mais leurs exigences spécifiques et leurs instances de surveillance diffèrent. Si votre entreprise a des clients en Europe, vous pouvez être soumis aux deux à la fois.

Mon entreprise a déjà un antivirus. Est-ce suffisant ?

Non. Un antivirus classique bloque les menaces connues à partir d'une base de données de signatures. Les attaques actuelles utilisent des techniques inconnues (zero-day), du code légitime détourné, ou la manipulation humaine (hameçonnage). Un EDR, une protection de la messagerie, des sauvegardes immuables et une formation des employés constituent les couches minimales de sécurité pour une entreprise en 2026.

Que dois-je faire si je détecte une fuite de données dans mon entreprise ?

Sous la Loi 25, vous avez l'obligation de documenter l'incident, d'évaluer le risque pour les personnes concernées, et de notifier la Commission d'accès à l'information (CAI) si le risque est considéré sérieux. Vous devez également aviser les personnes dont les données ont été compromises. Ces étapes doivent être effectuées dans les meilleurs délais.

Est-ce qu'Eosium peut agir comme responsable officiel de la protection des renseignements personnels pour mon entreprise ?

Oui. Dans le cadre de certaines offres de service, Eosium peut être désigné formellement comme responsable de la protection des renseignements personnels de votre organisation, comme l'exige la Loi 25. Ce mandat inclut généralement la documentation des pratiques, la gestion des demandes d'accès et l'accompagnement en cas d'incident.