Module 2 · Guide pratique · Cybersécurité d'entreprise pour PME
Ce qu'un attaquant — et la Commission d'accès à l'information — voient en premier

Protéger son domaine, sa messagerie et son site web :
les trois surfaces exposées d'une PME québécoise

Avant de durcir les postes internes, il faut protéger ce qui est déjà visible depuis l'extérieur. Le nom de domaine, le serveur courriel et le site web forment la surface d'attaque publique d'une PME — la première qu'un attaquant scanne, la première qu'un fournisseur regarde, et la première que la Commission d'accès à l'information du Québec consulte quand elle vérifie la posture publique d'une organisation sous l'article 10 de la Loi 25.

Planifier la formation ← Retour à la formation →

Beaucoup de démarches cybersécurité pour PME commencent par le poste de travail. Logique — mais incomplet. Les surfaces exposées au monde extérieur (le domaine public, le serveur de courriel, le site web) sont à la fois le premier point de contact des attaquants et le premier indicateur de sérieux qu'une organisation envoie à ses clients, ses partenaires et au régulateur. Ce module entre dans le détail concret des trois protections à mettre en place en priorité — et il enseigne exactement ce que les deux services Contrôle qualité de Kaven Chamberland évaluent côté technique.

Pourquoi protéger d'abord ce qui est exposé?

Trois raisons opérationnelles pour traiter la surface exposée en priorité :

  • Coût d'entrée nul ou faible — la majorité des protections de surface (politiques de messagerie, en-têtes du site web, redirection HTTPS) ne demandent pas de logiciel payant. Quelques lignes de configuration suffisent.
  • Visible à distance — un attaquant teste la posture publique avant tout reste. Un domaine sans politique anti-usurpation est ciblé en priorité pour des campagnes de hameçonnage qui se font passer pour l'organisation.
  • Démonstration directe de diligence — l'article 10 de la Loi 25 demande des « mesures de sécurité propres à assurer la protection ». La Commission d'accès à l'information regarde d'abord la posture publique parce qu'elle est vérifiable sans accès interne.

Protection du domaine — Domain Name System (DNS) et bureau d'enregistrement de domaine

Le Domain Name System (DNS) est l'annuaire qui traduit un nom de domaine (monentreprise.ca) en adresses techniques utilisées par les serveurs courriel et le site web. Le compte chez le bureau d'enregistrement de domaine (l'entreprise chez qui le nom de domaine a été acheté et renouvelé) est à la racine de toute la surface exposée — sa compromission permet à un attaquant de détourner le courriel, le site et même de générer de nouveaux certificats au nom de l'organisation. C'est l'endroit où la rigueur compte le plus.

Compte au bureau d'enregistrement — protections de base

  • Authentification multifacteur active sur le compte au bureau d'enregistrement — idéalement par clé matérielle FIDO2 (couvert au module 5), au minimum par application d'authentification (pas par message texte).
  • Verrouillage du domaine (verrouillage au registre ou au bureau d'enregistrement) — empêche tout transfert non autorisé du domaine vers un autre bureau d'enregistrement.
  • Surveillance de la date d'expiration — un domaine expiré peut être racheté par un tiers en quelques heures sur certaines extensions. Renouvellement automatique activé, plusieurs adresses de contact valides.

DNSSEC — Domain Name System Security Extensions

Le DNSSEC (Domain Name System Security Extensions) signe cryptographiquement les enregistrements du domaine pour empêcher leur falsification en cours de route. Sans DNSSEC, un attaquant qui contrôle un point intermédiaire du réseau peut rediriger les visiteurs vers de faux sites tout en gardant le bon nom de domaine affiché. Activer le DNSSEC est typiquement une option à cocher chez le bureau d'enregistrement (avec une publication automatique des clés). C'est un des éléments vérifiés au Contrôle qualité Numérique.

Surveillance de la transparence des certificats

Tout certificat HTTPS émis pour un domaine est publié dans des journaux de transparence publics (Certificate Transparency). Une PME peut s'abonner gratuitement à un service de surveillance (par exemple crt.sh via un flux de notification, ou des services comme Hardenize ou Cert Spotter) pour être alertée si un certificat est émis pour son domaine sans qu'elle l'ait demandé — signe possible d'une compromission du compte au bureau d'enregistrement ou de l'hébergeur.

Protection de la messagerie — SPF, DKIM, DMARC, MTA-STS, TLS-RPT

Le courriel reste en 2026 le premier vecteur d'incidents en PME : usurpation d'identité, hameçonnage, fraude au virement. Cinq mécanismes complémentaires durcissent la messagerie d'un domaine — tous se configurent côté enregistrements DNS, donc sans toucher au logiciel courriel lui-même.

SPF — Sender Policy Framework

Le Sender Policy Framework (SPF) déclare publiquement quels serveurs sont autorisés à envoyer du courriel au nom de votre domaine. Avec une politique stricte -all, les serveurs destinataires refusent tout message venant d'ailleurs. Sans SPF, un attaquant peut envoyer des courriels qui semblent venir de votre domaine sans aucune difficulté technique. La politique stricte est la cible — la politique souple ~all est une étape intermédiaire le temps d'inventorier tous les services légitimes qui envoient au nom du domaine.

DKIM — DomainKeys Identified Mail

Le DomainKeys Identified Mail (DKIM) signe cryptographiquement chaque message sortant. Le destinataire vérifie la signature à l'aide de la clé publique publiée en DNS. Sans DKIM, un message peut être modifié en transit sans que personne ne le détecte. Avec DKIM correctement configuré, toute altération invalide la signature.

DMARC — Domain-based Message Authentication, Reporting and Conformance

Le DMARC (Domain-based Message Authentication, Reporting and Conformance) relie SPF et DKIM en disant aux destinataires quoi faire quand un message échoue les deux vérifications. Trois politiques possibles : p=none (mode observation, aucune action), p=quarantine (mise en spam), p=reject (rejet complet). DMARC produit également des rapports périodiques (au format XML) envoyés à une adresse définie — utiles pour identifier les services légitimes oubliés avant de durcir.

Exemple concret — kavenchamberland.com

La configuration courriel du domaine de Kaven Chamberland combine depuis mars 2026 une politique SPF stricte (-all) et une politique DMARC en quarantaine (p=quarantine), publiées via les enregistrements DNS du domaine. C'est la posture intermédiaire recommandée pour une PME qui veut une protection forte sans risquer le rejet complet de courriels légitimes durant la phase d'observation initiale.

MTA-STS et TLS-RPT — chiffrement en transit forcé

Le MTA-STS (Mail Transfer Agent — Strict Transport Security) impose que les serveurs distants livrent le courriel à votre domaine uniquement via une connexion chiffrée valide. Sans MTA-STS, un attaquant qui intercepte la connexion peut forcer un retour à du courriel en clair. Le TLS-RPT (Transport Layer Security Reporting) ajoute des rapports lorsque la livraison chiffrée échoue — utile pour détecter des tentatives de dégradation. Ces deux protections sont la couche suivante après SPF / DKIM / DMARC, généralement configurée une fois les trois premières en place.

Protection du site web — HTTPS, certificats, en-têtes de sécurité

Le site web est la vitrine publique de l'organisation et souvent le point d'entrée d'un visiteur, d'un client potentiel ou d'un attaquant. Trois couches protègent la surface web : transport chiffré (HTTPS), gestion des certificats (Let's Encrypt et automation ACME), en-têtes HTTP qui contraignent le comportement du navigateur.

HTTPS forcé et certificats Let's Encrypt

Tout site doit servir l'intégralité de ses pages en HTTPS (HyperText Transfer Protocol Secure), avec une redirection automatique du HTTP vers le HTTPS au niveau du serveur web (Apache, Nginx, Caddy ou autre). Sans cette redirection, un visiteur qui tape monentreprise.ca dans son navigateur transite en clair une partie du chemin — observable par tout intermédiaire réseau.

Les certificats Let's Encrypt sont gratuits et automatisables via le protocole ACME (Automatic Certificate Management Environment), qui permet à un client logiciel (par exemple certbot, acme.sh ou l'intégration native de Caddy) de renouveler les certificats sans intervention humaine. Depuis mai 2026, Let's Encrypt propose une durée de validité de 6 jours pour les nouveaux certificats émis sur les profils courts — la durée par défaut de 90 jours reste la référence pour la majorité des installations PME. L'automatisation est non négociable : un certificat expiré bloque l'accès au site, perte de confiance immédiate.

En-têtes HTTP de sécurité

Les en-têtes HTTP (HyperText Transfer Protocol headers) sont des instructions envoyées par le serveur web au navigateur du visiteur. Plusieurs en-têtes spécifiques renforcent la sécurité — leur absence est l'une des premières choses qu'un contrôle qualité de site web identifie.

  • HSTS (HTTP Strict Transport Security) — instruit le navigateur de ne plus jamais accepter de connexion non chiffrée à ce domaine, même si l'utilisateur tape http://. Une fois activé avec une durée raisonnable, protège contre la dégradation forcée du HTTPS.
  • CSP (Content Security Policy) — liste les sources autorisées de scripts, styles, images et autres ressources que le navigateur a le droit de charger. Limite la surface d'attaque par injection de code.
  • X-Frame-Options — empêche que le site soit affiché dans une iframe sur un autre domaine. Protège contre les attaques par superposition (clickjacking) qui tentent de faire cliquer un utilisateur sur un élément invisible.
  • X-Content-Type-Options avec la valeur nosniff — empêche le navigateur de deviner le type d'un fichier, ce qui limite certaines attaques où un fichier téléchargé est interprété comme du code.
  • Referrer-Policy — contrôle quelles informations sur la page d'origine sont transmises au site visité ensuite. Une valeur stricte (par exemple strict-origin-when-cross-origin) protège la vie privée des visiteurs.

Articulation avec les services Contrôle qualité

Tout ce qui est couvert dans ce module est précisément ce que les deux services Contrôle qualité de Kaven Chamberland évaluent côté technique. Le module enseigne la démarche ; les services produisent un rapport sur un site et un domaine donnés.

  • Le Contrôle qualité Numérique Loi 25 évalue le domaine et la messagerie : présence de SPF, DKIM, DMARC, MTA-STS, TLS-RPT, DNSSEC, exposition de sous-domaines, présence dans des fuites publiques (Have I Been Pwned), ports réseau ouverts. C'est l'audit de la surface domaine + courriel.
  • Le Contrôle qualité Site web Loi 25 évalue le site web : redirection HTTPS, validité du certificat, en-têtes de sécurité, exposition de fichiers sensibles, version du système de gestion de contenu (CMS) exposée, énumération d'utilisateurs. C'est l'audit de la surface site web.

Ensemble, les deux services couvrent la totalité de la surface exposée publique d'une PME. Cette formation enseigne ce qui y sera vérifié — les services produisent l'état des lieux factuel pour un domaine et un site donnés.

Outils gratuits de vérification

Avant ou après un mandat formel, une PME peut tester elle-même ses surfaces avec quelques outils publics — utiles pour une auto-évaluation rapide.

  • mxtoolbox.com — vérifie SPF, DKIM, DMARC, MTA-STS, TLS-RPT et la santé générale du serveur courriel pour un domaine donné. Interface en anglais, utilisation gratuite sans inscription pour les tests de base.
  • dnssec-debugger.verisignlabs.com — confirme que la signature DNSSEC est valide et complète. Un échec ici peut indiquer une configuration partielle qui n'apporte pas la protection attendue.
  • ssllabs.com/ssltest — évalue la qualité de la configuration TLS / HTTPS d'un site web (versions de protocole acceptées, suites de chiffrement, qualité du certificat). Donne une note de A+ à F qui permet de cibler les améliorations.
  • securityheaders.com — analyse les en-têtes HTTP de sécurité d'une page web et note ce qui manque. Pratique pour mesurer les progrès d'une configuration durcie.
  • hardenize.com — vue d'ensemble combinant DNS, courriel et site web pour un domaine en une seule page. Utile comme tableau de bord initial.

Pièges à éviter

  • Activer DMARC en mode strict d'emblée — passer directement à p=reject avant d'avoir inventorié tous les services légitimes qui envoient au nom du domaine (infolettre, billetterie, plateforme de signature électronique, comptable infonuagique) bloque des courriels qui auraient dû passer. La séquence raisonnable : p=none avec rapports activés pendant quelques semaines, puis p=quarantine, puis p=reject une fois la liste blanche stabilisée.
  • Oublier le renouvellement automatique du certificat — un certificat expiré bloque l'accès au site et envoie un signal de négligence aux visiteurs et aux moteurs de recherche. Le client ACME doit s'exécuter automatiquement (cron, timer systémd) et envoyer une alerte par courriel en cas d'échec. Vérification manuelle au minimum trimestrielle.
  • Configurer des en-têtes en aveugle — une politique Content Security Policy mal calibrée casse le site (scripts légitimes refusés). La méthode recommandée : commencer par le mode report-only qui rapporte les violations sans bloquer, observer pendant quelques jours, ajuster, puis activer en mode bloquant.
  • Ne pas surveiller la transparence des certificats — sans abonnement à un service de notification (crt.sh, Hardenize, Cert Spotter), un certificat émis frauduleusement pour le domaine peut rester invisible pendant des mois. Surveillance gratuite, à activer une fois pour toutes.
  • Considérer que « hébergeur professionnel » égale « tout configuré » — la plupart des hébergeurs PME (Web Hébergement Canada, GoDaddy, Hostpapa et autres) n'activent pas par défaut DNSSEC, MTA-STS, HSTS ni la majorité des en-têtes de sécurité. Vérification à faire explicitement, généralement par le panneau d'administration ou par un ticket de support.

En résumé

La surface exposée publique d'une PME — domaine, messagerie, site web — est la première ligne de défense et le premier indicateur de sérieux. Trois protections de base à mettre en place sans délai : verrouiller le compte au bureau d'enregistrement et activer DNSSEC sur le domaine, publier SPF / DKIM / DMARC (puis MTA-STS et TLS-RPT) pour la messagerie, forcer HTTPS et configurer les en-têtes HTTP de sécurité sur le site web. Coût d'entrée faible, gain de posture immédiat, démonstration directe de diligence raisonnable sous l'article 10 de la Loi 25 — et alignement précis avec ce que les contrôles qualité Numérique et Site web évaluent dans un mandat formel.

Passer à la suite de la formation

Le module 2 protège ce qui est exposé à l'extérieur. Le module suivant entre dans le durcissement du poste de travail et du serveur — Windows, macOS, Linux, et le volet navigateur d'entreprise souvent oublié.

← Retour à la formation Planifier la formation