Cybersécurité d'entreprise pour PME
Durcir, chiffrer, auditer — et savoir comparer une soumission

Module 1 · Référentiels cybersécurité accessibles aux PME

CIS Controls, NIST CSF 2.0, baseline canadienne — vue d'ensemble pour parler à un contractuel

Trois référentiels couvrent 90 % des besoins PME et structurent toute prestation cybersécurité sérieuse :

• CIS Controls v8.1 — 18 contrôles, Implementation Group 1 pensé pour petites organisations (Center for Internet Security)
• NIST CSF 2.0 — 6 fonctions (Govern / Identify / Protect / Detect / Respond / Recover) — cadre international
• Baseline du Centre canadien pour la cybersécurité (CCC) — ITSAP.10.300 conçu pour PME canadiennes

Pas une certification visée — juste le vocabulaire opérationnel pour décoder ce qu'un prestataire propose et exiger une cartographie sur l'un de ces cadres.

⭐ Module 2 · Protéger les surfaces exposées : domaine, messagerie, site web

Ce qu'un attaquant scanne en premier — et ce que la Commission d'accès à l'information regarde aussi

Avant de durcir les postes internes, il faut protéger ce qui est déjà visible depuis l'extérieur. Trois surfaces se durcissent en quelques heures, à coût quasi nul, avec un gain de posture immédiat — et démontrable.

Domaine (Domain Name System, DNS) — authentification multifacteur et verrouillage du compte au bureau d'enregistrement de domaine, activation du DNSSEC (Domain Name System Security Extensions), surveillance des journaux publics de transparence des certificats.

Messagerie — SPF (Sender Policy Framework) en politique stricte -all, DKIM (DomainKeys Identified Mail) pour la signature sortante, DMARC (Domain-based Message Authentication, Reporting and Conformance) en quarantaine ou rejet, puis MTA-STS et TLS-RPT pour forcer le chiffrement en transit.

Site web — HTTPS forcé avec redirection automatique, certificats Let's Encrypt renouvelés automatiquement via le protocole ACME (Automatic Certificate Management Environment), en-têtes HTTP de sécurité (HSTS, Content Security Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy).

Articulation directe avec les services Contrôle qualité — ce module enseigne ce que le Contrôle qualité Numérique (domaine et courriel) et le Contrôle qualité Site web (HTTPS et en-têtes) évaluent côté technique. Formation et services se nourrissent mutuellement.

Module 3 · Durcir le poste de travail et le serveur

Windows 11, macOS, Linux — checklist concrète par système

Windows 11 — Microsoft Security Baselines (gratuit), BitLocker activé automatiquement avec TPM 2.0 sur installation fraîche, comptes utilisateur sans droits admin, Defender activé, journaux activés.

macOS — FileVault à activer manuellement (pas par défaut), SIP (System Integrity Protection) + Gatekeeper + TCC restent activés, mises à jour automatiques.

Linux (serveurs PME) — LUKS pour le chiffrement disque, Lynis pour l'audit automatique, mises à jour automatiques activées, journaux centralisés.

Outil clé transmis : CIS-CAT Lite (version gratuite du CIS Configuration Assessment Tool) — évalue votre poste contre les benchmarks CIS en quelques minutes, identifie les écarts prioritaires.

Volet navigateur d'entreprise — souvent oublié dans le durcissement. On couvre le choix du navigateur d'entreprise (Firefox / Brave configurés vs Chrome / Edge, avantages/inconvénients sans parti pris), la désactivation de la synchronisation des comptes personnels par politique (sinon transferts hors Québec automatiques au sens de la Loi 25 art. 17), la désactivation des fonctions d'IA intégrées (Copilot, Gemini, Leo) qui envoient le contenu des pages au cloud du fournisseur, et la gestion centralisée des extensions autorisées (chaque extension est un sous-traitant qui voit tout ce qui passe sur les pages).

Module 4 · Chiffrement, authentification, sécurisation des accès

Quoi installer, pour qui, comment

Chiffrement :

• Au repos : BitLocker (Windows), FileVault (macOS), LUKS (Linux) — disque entier
• Volumes sensibles spécifiques : VeraCrypt (multi-plateforme, libre)
• Fichiers et courriels : GnuPG (signature + chiffrement)
• En transit : TLS / HTTPS partout, SSH pour serveurs, VPN si justifié

Authentification 2026 :

• Passkeys et phishing-resistant MFA : standard NIST SP 800-63B-4 (juillet 2025)
• SMS OTP officiellement déconseillé pour comptes critiques
• Clés FIDO2 pour comptes admin : YubiKey, Token2, Nitrokey
• Gestionnaire de mots de passe d'entreprise (lien avec formation Gouvernance numérique)

Contrôle d'accès : comptes admin séparés des comptes utilisateur, principe du moindre privilège (chacun a juste ce qu'il faut, pas plus), journalisation des accès sensibles, procédure de révocation immédiate au départ d'un employé.

⭐ Module 5 · Prompts IA pour auditer sa surface d'attaque sans fuite

Utiliser Claude, ChatGPT, Genspark comme assistants cyber — sans envoyer ses secrets

Module différenciateur — la plupart des formations cyber PME ignorent ce sujet ou le survolent. Ici on entre dans la méthode concrète et dans une bibliothèque de prompts prêts à copier-coller pour les usages cyber les plus courants.

Règle d'or transversale : anonymisation systématique avant tout prompt. Jamais de nom client, code source, données financières, identifiants — toujours remplacer par « Entreprise X », « Client Y », « Système A ».

Quel modèle IA pour quel usage cyber :

• Claude / ChatGPT : capacités cyber intégrées solides, idéal pour analyser une politique de sécurité, générer une checklist, expliquer un référentiel
• Genspark : recherche multi-agents (6-14 agents collaboratifs, 9 modèles intégrés selon la documentation officielle) — utile pour des recherches structurées, mais agent navigateur à utiliser avec prudence (vulnérabilités prompt injection documentées 2026)
• Mistral / LLM local : option si les données restent sensibles même anonymisées (souveraineté complète)

Bibliothèque de prompts pratiques — prêts à utiliser, avec structure « contexte → données fournies anonymisées → demande → format de sortie attendu » :

• Analyser un rapport Lynis (avertissements et suggestions) : priorisation selon l'impact, mapping Loi 25, plan d'action numéroté, commandes de correction.
• Détecter des vulnérabilités dans une configuration SSH (sortie de sshd -T ou contenu anonymisé) : repérer les paramètres non durcis, suggérer les valeurs recommandées NIST et CIS.
• Vérifier une configuration courriel SPF / DKIM / DMARC : audit des trois protocoles, repérage de failles, suggestions de durcissement.
• Lire un journal d'incidents (extraits anonymisés de auth.log ou fail2ban.log) : pics suspects, patterns, renforcements.
• Analyser les en-têtes HTTPS d'un site (sortie publique d'un scan) : noter ce qui manque, prioriser, donner un extrait de configuration Apache / Nginx.

Articulation interne vs contractuel : quand un employé avec quelques notions IA peut faire l'analyse en interne, quand il faut absolument un sous-traitant spécialisé (test d'intrusion, investigation post-incident, environnement réglementé).

⭐ Module 6 · Comprendre et comparer une soumission cybersécurité

Décoder ce qu'un sous-traitant vous propose — avant de signer

Audit vs test d'intrusion :

• Audit : évaluation structurée de la posture de sécurité (configurations, pratiques, politiques, processus). Vue large : technique + organisationnel + conformité
• Test d'intrusion (pentest) : un spécialiste essaie activement de contourner vos défenses comme le ferait un attaquant. Vue ciblée
• Un bon audit inclut souvent un mini-pentest, mais l'inverse n'est pas vrai

Couverture attendue d'un audit cyber PME : infrastructure (réseau, serveurs, postes), applications web et APIs, processus humains (test phishing), chaîne d'approvisionnement (fournisseurs SaaS, dépendances).

Certifications à vérifier chez le prestataire : ISO 27001 (organisationnel), OSCP / OSCE / CEH (technique offensif), CISSP (gouvernance). Méfiance si aucune certification reconnue.

Fourchette de prix PME au Québec 2026 (à titre indicatif) :

• Audit flash PME (5-10 jours) : ~3 000 à 8 000 $
• Audit standard (15-25 jours) : ~15 000 à 35 000 $
• Au-delà : seconde opinion recommandée avant signature

Signes d'une soumission surdimensionnée : périmètre vague, jargon sans livrables précis, prix au-dessus de la fourchette sans justification claire, références anciennes ou non vérifiables, absence de cartographie sur un référentiel reconnu (CIS / NIST / CCC).

Module complémentaire · Pour aller plus loin

Référentiels techniques de sécurité numérique

Qu'est-ce que c'est : un ensemble de guides pratiques web gratuits qui approfondissent les référentiels techniques de sécurité numérique (CIS Controls, NIST CSF, ISO 27001) et les configurations concrètes côté serveur, poste et messagerie.

À quoi ça sert : outiller le responsable TI ou le sous-traitant qui doit traduire les exigences de cette formation en mesures techniques vérifiables — au-delà de la sensibilisation, vers l'audit et la conformité technique.

⚖️ Avis important — statut de la formation

Cette formation a pour but de guider les organisations dans la mise en place des meilleures pratiques en cybersécurité et en protection des renseignements personnels. Elle est fournie à titre informatif et pédagogique et ne constitue en aucun cas un conseil juridique ni un audit de cybersécurité formel. Pour les situations particulières — secteur réglementé, incident en cours, environnement à risque élevé —, consultez un avocat spécialisé et/ou un prestataire cybersécurité certifié.