Le déclic nécessaire

Imaginez que vous dirigez une entreprise en pleine croissance. Vos équipes sont engagées, vos clients sont fidèles, et vos activités s’accélèrent. Tout roule, jusqu’à ce que tout s’arrête.

Un mot de passe trop simple, utilisé à plusieurs endroits. Il suffit d’une faille pour qu’un pirate s’infiltre, chiffre vos données, coupe l’accès à vos outils. En quelques heures, tout est figé : vos opérations sont à l’arrêt, et votre crédibilité commence à vaciller.

Ce scénario est plus courant qu’on ne le croit. Et le plus souvent, le point d’entrée, c’est un mot de passe qu’on a sous-estimé. On pense avoir sécurisé ses TI avec un bon antivirus, un pare-feu solide, un système de sauvegarde infonuagique. Mais tout ça peut s’écrouler à cause d’un mot de passe réutilisé ou exposé.

Aujourd’hui, aucune entreprise n’est trop petite ou trop discrète pour être ciblée. Et pourtant, bien des organisations hésitent encore à structurer leur approche, simplement parce qu’elles ne savent pas par où commencer.

Ce que révèle le terrain

Dans les PME, la gestion des accès est souvent improvisée. Non par négligence, mais par manque de temps, de ressources, ou tout simplement d’accompagnement. Voici ce qu’on observe encore trop souvent :

• Des mots de passe partagés par courriel ou via Teams
• Des listes d’identifiants conservées dans des fichiers Excel accessibles à tous
• Des post-it collés sur les écrans avec le mot de passe du Wi-Fi ou du compte principal
• Aucun changement de mot de passe après le départ d’un employé

Ces pratiques, bien que répandues, représentent un risque réel. Un seul compte compromis peut permettre à un attaquant de progresser dans le système, de rebondir vers d’autres accès, et de provoquer des dommages considérables.

Il ne s’agit pas de cas isolés, les chiffres parlent d’eux-mêmes : la majorité des brèches de sécurité en entreprise commencent par des identifiants volés ou trop faibles.

• 49% des failles sont dues à des identifiants volés 
• 86% des attaques réussies impliquent l’usage de coordonnées volées
• 77 % des utilisateurs américains ont admis partager leurs mots de passe de façon non sécurisée. 

Et une fois qu’une porte est ouverte il est souvent trop tard pour réagir.

Ce que dit la Loi 25 au Québec

Au-delà du bon sens, il y a aussi le cadre légal. Depuis l’entrée en vigueur de la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé), les entreprises québécoises ont l’obligation légale de mieux protéger les informations qu’elles détiennent.

Cela inclut notamment :

• La nomination obligatoire d’un responsable de la protection des renseignements personnels ;
• La documentation des politiques internes de sécurité ;
• La notification obligatoire des incidents à la Commission d’accès à l’information (CAI) ;
• L’implantation de mesures concrètes comme le chiffrement, l’authentification multifactorielle et des politiques de mot de passe renforcées.

Les sanctions prévues par le RGPD peuvent atteindre 25 millions d’euros ou 4 % du chiffre d’affaires mondial, selon la gravité de l’infraction (article 83). Pour les violations moins graves, les amendes peuvent aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Et ce n’est donc plus simplement une bonne pratique : c’est un devoir réglementaire incontournable.

Au-delà des sanctions administratives, certaines juridictions , comme le Québec (Loi 25) ou le Canada (LPRPDE), prévoient également des amendes pénales. Celles-ci peuvent aller jusqu’à 500 $ à 50 000 $ pour un dirigeant en cas de manquement, et encore davantage si la négligence est jugée grave ou intentionnelle. Les responsables d’entreprise peuvent donc aussi être tenus personnellement redevables.

Les erreurs les plus fréquentes dans les PME

Certaines erreurs reviennent presque systématiquement :

• Le nom d’un employé comme mot de passe (ex : « Sophie2025 »)
• La réutilisation du même mot de passe pour plusieurs outils internes
• Aucun changement prévu de mot de passe, même après plusieurs années
• Des accès non révoqués pour d’anciens collaborateurs ou fournisseurs

La cause ? Pas la mauvaise foi, mais un manque de ressources ou de clarté sur ce qui doit concrètement être mis en place.

Ce que devrait contenir une stratégie simple de sécurité

Pas besoin de transformer votre organisation pour améliorer vos pratiques. Voici quelques éléments fondamentaux :

1. Des mots de passe uniques et solides

Un bon mot de passe est :

• Long (12 caractères minimum)
• Complexe (majuscules, minuscules, chiffres, symboles)
• Totalement distinct pour chaque outil

Évitez les informations personnelles comme un prénom, le nom de l’entreprise ou une date d’anniversaire. C’est tentant, mais aussi très prévisible.

2. Un gestionnaire de mots de passe

C’est un outil simple, qui :

• Génère automatiquement des mots de passe forts
• Les stocke de façon chiffrée
• Permet un partage sécurisé avec les membres d’une équipe

Il élimine le besoin de retenir 30 mots de passe différents et limite le risque d’utiliser des combinaisons faibles ou redondantes.

3. L’authentification multifactorielle (2FA)

Même avec un bon mot de passe, il est fortement recommandé d’ajouter un second facteur d’identification :

• Code SMS
• Application mobile
• Clé de sécurité physique

C’est ce qui empêche un accès non autorisé en cas de vol de mot de passe.

Intégrer la sécurité dès l’arrivée des employés

L’un des moments les plus stratégiques pour instaurer de bonnes pratiques c’est à l’entrée d’un nouvel employé. Trop souvent les identifiants sont créés dans l’urgence avec un mot de passe générique qui n’est jamais changé.

Voici ce que vous pouvez faire dès le premier jour :

• Fournir un gestionnaire de mots de passe
• Créer des accès à durée limitée
• Former sur les risques de l’entreprise
• Rappeler les responsabilités de chacun

Un bon départ évite bien des rattrapages par la suite.

Sensibiliser, pas imposer

Et si la cybersécurité devenait un réflexe naturel ? Il ne s’agit pas seulement d’imposer des règles techniques mais plutôt d’installer une vraie culture numérique. Comme on apprend à verrouiller une porte ou à attacher sa ceinture, protéger ses accès doit devenir un automatisme.

Le but n’est pas de créer de la peur mais de favoriser un environnement de travail où chacun comprend son rôle et agit en conséquence. Plus la cybersécurité est abordée de manière simple, plus elle devient accessible à tous même à ceux qui n’ont pas de rôle technique dans l’entreprise.

Les outils ne suffisent pas. Si vos équipes ne comprennent pas pourquoi on leur demande un mot de passe plus long, elles finiront par contourner le système.

Ce qu’on recommande, c’est une approche continue :

• Des rappels clairs et réguliers
• Des courtes formations intégrées au calendrier
• Des échanges entre collègues pour partager les bons réflexes
• Des exemples concrets d’attaques (sans dramatiser) pour renforcer l’attention

Aller plus loin : auditer ses accès

Une bonne habitude consiste à revoir, une fois par an, qui a accès à quoi.

• Est-ce que les droits sont toujours à jour ?
• Est-ce que certains comptes sont inutilisés ?
• Est-ce que des accès critiques sont partagés entre plusieurs personnes ?
• Y a-t-il des comptes fantômes qui ne sont plus utilisés ?

Effectuer cet exercice régulièrement vous donne une vision claire de votre surface d’exposition. C’est souvent lors de ces vérifications qu’on découvre des points faibles facilement corrigeables.

Des gestes simples, des résultats concrets

Renforcer la sécurité autour des mots de passe n’est ni compliqué, ni coûteux. Il s’agit de prendre le temps d’implanter des pratiques simples, de sensibiliser ses équipes, et de s’appuyer sur des outils accessibles.

Alors, que peut-on faire aujourd’hui, concrètement ?

• Mettre en place un gestionnaire de mots de passe
• Activer le 2FA sur tous les comptes sensibles
• Former ses employés, même brièvement
• Créer une mini-politique interne claire
• Et surtout : rester curieux, alerte, et prêt à s’adapter

Vous ne contrôlez pas l’existence des menaces mais vous pouvez rendre chaque porte d’entrée plus difficile à forcer. N’attendez pas d’être la prochaine cible, la meilleure protection commence aujourd’hui ! Et si on en discutait ?

Contactez-nous dès maintenant pour discuter de vos enjeux en cybersécurité et recevoir des recommandations concrètes.