Module 5 · Guide pratique · Cybersécurité d'entreprise pour PME
Module différenciateur — IA comme assistant cyber

Utiliser Claude, ChatGPT, Genspark pour auditer sa cybersécurité PME —
sans envoyer ses secrets

Les grands modèles d'IA conversationnelle ont des capacités cyber sérieuses : analyser une politique de sécurité, générer une checklist par référentiel, repérer des signes d'incident dans un journal exporté, comparer deux soumissions. La difficulté n'est pas technique — c'est l'hygiène d'utilisation : anonymisation systématique, choix du modèle selon l'usage, prudence avec les agents navigateur, articulation honnête entre ce qu'une PME peut faire en interne et ce qui doit aller chez un spécialiste.

Planifier la formation ← Retour à la formation →

Une PME québécoise de 5 à 30 employés n'a généralement ni budget ni profil pour engager un expert cybersécurité à plein temps. Les assistants IA modernes (Claude d'Anthropic, ChatGPT d'OpenAI, Genspark, Mistral) comblent une partie de ce manque pour les tâches d'analyse et de structuration — à condition d'être utilisés avec méthode et avec une hygiène stricte des données envoyées.

Pourquoi l'IA est utile pour la cybersécurité PME

Trois familles de tâches deviennent accessibles à une PME qui n'aurait pas pu se les offrir autrement :

  • Lecture critique de documents — soumission d'un prestataire, politique de sécurité d'un fournisseur infonuagique, contrat de service. L'IA structure les éléments présents et signale les angles morts.
  • Génération de checklists adaptées — produire une liste de vérification spécifique à un référentiel (CIS Controls v8.1 IG1, NIST CSF 2.0, baseline canadienne) pour un type d'organisation donné.
  • Analyse exploratoire — repérer dans un journal exporté des signes inhabituels (connexions à des heures suspectes, IP géographiquement incohérentes), à condition de toujours valider avec une compétence humaine.

Ce que l'IA ne remplace pas : un test d'intrusion (pentest), une investigation post-incident sur preuve, l'expertise réglementaire d'un secteur particulier. Ce qu'elle remplace partiellement : la rédaction de documents structurants, la lecture critique de soumissions, la vulgarisation technique pour un dirigeant.

La règle d'or transversale — anonymisation systématique

Avant tout prompt envoyé à un assistant IA externe, anonymiser systématiquement les données qu'il contient. Ce qui ne doit jamais être envoyé tel quel :

  • Noms de clients, de fournisseurs, de partenaires
  • Noms de personnes physiques (employés, contacts, dirigeants)
  • Code source spécifique à l'entreprise
  • Données financières (revenus, marges, contrats)
  • Identifiants (numéros de compte, IP internes nommément liés à un service identifié)
  • Renseignements personnels au sens de la Loi 25

Convention de remplacement : « Entreprise X », « Client Y », « Système A », « Employé 1 », « Fournisseur Cloud Z ». L'IA travaille parfaitement sur des données anonymisées — seules les références aux noms réels manquent dans son analyse, qu'on réintroduit après coup côté humain.

Quel modèle IA pour quel usage cyber?

Claude (Anthropic) et ChatGPT (OpenAI) — usages généraux solides

Les deux assistants les plus matures pour des tâches d'analyse cyber documentaire : revue d'une politique de sécurité, génération de checklist par référentiel, explication d'un concept technique pour un dirigeant non spécialiste, comparaison structurée de plusieurs documents. Tous deux offrent des plans payants avec des engagements de non- utilisation des conversations pour entraîner les modèles (Claude — plans Team/Enterprise, ChatGPT — plan Team/Enterprise/API).

Genspark — recherche multi-agents

Genspark (genspark.ai) propose une approche multi-agents : selon sa documentation officielle, 6 à 14 agents collaboratifs interrogent en parallèle 9 modèles intégrés (provenant de différents fournisseurs) pour structurer des recherches. Utile pour des recherches sur l'état du marché cyber (référentiels, fournisseurs, prix indicatifs), ou pour préparer une matrice de comparaison.

Mise en garde importante sur les agents navigateur — Genspark, comme d'autres outils dits agentic browsing (Comet de Perplexity, Browse d'OpenAI), offre des fonctions où l'IA navigue elle-même sur le web pour l'utilisateur. Des recherches publiées en 2026 documentent un taux de blocage des sites de hameçonnage très faible pour les agents navigateur (Comet à 7 %), contre 47 % pour Chrome et 54 % pour Edge en mode défensif natif. Les vulnérabilités d'injection de prompt via le contenu de pages web visitées sont également documentées.

Recommandation : utiliser Genspark pour la recherche et la synthèse à partir de sources données, mais éviter pour le moment de lui confier la navigation autonome sur des sites sensibles ou la saisie de formulaires à partir de données réelles. Cette posture est susceptible d'évoluer à mesure que les protections matériel/logiciel des agents progressent.

Mistral et LLM local (Ollama) — option souveraineté

Si même l'anonymisation paraît insuffisante (données ultra-sensibles, secret professionnel, contexte réglementé), l'option d'un LLM exécuté localement garantit qu'aucune donnée ne quitte la machine. Ollama (ollama.com) permet d'exécuter sur un poste suffisamment puissant des modèles ouverts : Mistral (français natif), Llama 3, DeepSeek, Qwen et plusieurs autres. Performance moindre que les grands modèles propriétaires, mais souveraineté complète. À envisager pour la maturité 12 à 24 mois d'une PME structurée — pas un premier pas.

Comment formuler un prompt utile pour auditer sa cybersécurité avec une IA

Pas besoin d'être expert en prompt engineering. Les prompts qui fonctionnent bien pour un audit cyber suivent quelques principes simples — accessibles à n'importe quel dirigeant ou responsable interne d'une PME.

  • Phrasé naturel, comme à un collègue — pas de structure rigide « contexte / données / demande / format ». Une phrase claire suffit.
  • Laisser l'IA cadrer elle-même — au lieu de lui dicter quoi vérifier (et risquer d'oublier l'essentiel), lui demander quels paramètres elle peut auditer de façon fiable. Elle nomme spontanément les bons éléments.
  • Forcer une marge d'erreur faible — ajouter explicitement « avec une marge d'erreur très faible » ou « limite-toi à ce que tu peux confirmer ». L'IA reste alors sur ce qu'elle observe vraiment, sans inventer ni extrapoler.

La méthode en deux prompts — pour un test de cybersécurité non intrusif

Cette séquence fonctionne avec n'importe quel agent IA capable de naviguer le web (Genspark, ChatGPT avec recherche web, Claude avec navigation, Perplexity).

Prompt 1 — laisser l'IA cadrer le périmètre

« Je veux faire un test de vulnérabilité du site web et de cybersécurité non intrusif. Quels paramètres tu peux auditer de façon fiable? »

L'IA répond en nommant l'essentiel : certificat HTTPS et chaîne de confiance, configuration SPF / DKIM / DMARC, DNSSEC, en-têtes HTTP de sécurité, ports ouverts visibles publiquement, fuites d'informations dans les en-têtes serveur, présence de fichiers sensibles indexés par les moteurs de recherche. Sans qu'il faille connaître les bons mots-clés à l'avance.

Prompt 2 — appliquer au site concret

« Peux-tu analyser mon site [domaine.ca] selon ces paramètres que tu juges avec une marge d'erreur très faible. »

L'IA produit un rapport structuré paramètre par paramètre, en distinguant ce qui est vérifiable depuis l'extérieur de ce qui ne l'est pas. La consigne « marge d'erreur très faible » force la prudence : pas de spéculation, seulement ce qui se vérifie publiquement.

Prompt 3 (optionnel) — se faire guider pour corriger

Les modèles IA actuels (Claude, ChatGPT, Genspark, Mistral) sont devenus très bons pour assister et guider sur la configuration. Une fois qu'une faille simple est identifiée — un en-tête HTTP de sécurité manquant, un enregistrement DNS à publier, un certificat à renouveler, une option à activer chez le bureau d'enregistrement de domaine — un prompt de plus suffit souvent :

« Peux-tu me guider pas à pas pour corriger [la faille identifiée] sur un serveur [type d'hébergement, par exemple Apache, Nginx, hébergement infogéré]? Donne les commandes ou la configuration exacte, et explique brièvement chaque étape. »

Pratique pour les ajustements à effort faible (en-têtes HTTP, redirection HTTPS, ajout d'un enregistrement TXT au DNS, activation d'une option dans une console d'administration). Pour les changements qui touchent à la production critique ou aux renseignements personnels, valider avec un responsable TI — interne ou contractuel — avant d'appliquer.

Articulation avec les services Contrôle qualité — cette méthode identifie une bonne partie des paramètres que les services Contrôle qualité Numérique et Contrôle qualité Site web vérifient. La différence : le service ajoute la lecture juridique (article 10 de la Loi 25), la priorisation par sensibilité des renseignements personnels concernés, et la responsabilité professionnelle du livrable signé.

Autres exemples simples et utiles pour une PME

La même logique — phrasé naturel, laisser l'IA cadrer, marge d'erreur faible — s'applique à plusieurs situations courantes en PME québécoise.

Analyser une entente de traitement de données (DPA) d'un fournisseur IA

« Peux-tu trouver et analyser le Data Processing Addendum en ligne d'OpenAI. Liste les éléments importants pour une PME québécoise soumise à la Loi 25 : où sont stockées les données, transferts hors Québec, durée de conservation, sous-traitants nommés, droit à la suppression, conditions d'utilisation des données pour l'entraînement. »

Applicable à : OpenAI (ChatGPT), Anthropic (Claude), Microsoft (Copilot), Google (Gemini), Mistral, et tout fournisseur SaaS qui publie un DPA en ligne. Utile avant de signer ou d'adopter un outil dans l'organisation.

Décortiquer un courriel douteux pour repérer des signes de hameçonnage

« Voici le contenu complet d'un courriel reçu, en-têtes inclus [coller le texte brut]. Peux-tu repérer les signes éventuels de hameçonnage, en limitant tes conclusions à ce que tu peux affirmer avec une marge d'erreur très faible? »

L'IA examine l'adresse expéditrice réelle, les en-têtes techniques (alignement SPF / DKIM / DMARC, chemin de routage), le ton du message, les liens présents, les pièces jointes annoncées. Très utile pour un dirigeant ou un employé qui hésite avant de cliquer sur un lien ou de répondre à une demande inhabituelle.

Articulation interne vs contractuel — où s'arrête l'IA?

L'IA bien utilisée déplace la frontière entre ce qu'une PME peut faire en interne et ce qui nécessite un contractuel spécialisé. Mais la frontière demeure.

Ce qu'un employé avec compétences IA légères peut faire en interne

  • Lecture critique d'une soumission ou d'un contrat de service infonuagique
  • Génération d'une politique de sécurité de base, à valider ensuite avec un conseil juridique pour la conformité
  • Cartographie initiale des actifs et des comptes
  • Première analyse d'un journal exporté pour repérer des patterns évidents
  • Préparation des questions à poser à un prestataire avant un mandat

Ce qui demande absolument un contractuel spécialisé

  • Test d'intrusion (pentest) — un professionnel certifié OSCP (Offensive Security Certified Professional) ou équivalent. L'IA ne réalise pas un pentest réel — elle peut au mieux suggérer des angles de test à un humain compétent.
  • Investigation post-incident — la criminalistique numérique (forensics) demande des outils spécifiques, une chaîne de garde des preuves, une expérience juridique de témoignage potentiel.
  • Environnement réglementé — secteur santé (loi sur les services de santé et les services sociaux), secteur financier (autorité des marchés financiers), secteur public — l'expertise spécifique au cadre légal est requise.
  • Conception d'architecture sécurité complexe — multi-sites, réseaux segmentés, intégrations critiques, conformité multiple (Loi 25 + lois fédérales + standards sectoriels).

Pièges à éviter

  • Envoyer des données brutes à l'IA — l'anonymisation est non négociable. Toute donnée envoyée à un service en ligne devient potentiellement consultable par le fournisseur (selon les conditions du service), peut servir à entraîner des modèles futurs (sauf engagement contraire explicite), et constitue dans certains cas un transfert hors Québec au sens de l'article 17 de la Loi 25.
  • Faire confiance aveuglément aux réponses — les modèles d'IA hallucinent (produisent des affirmations plausibles mais fausses) régulièrement, surtout sur des sujets pointus ou récents. Tout résultat doit être recoupé avec une source primaire (référentiel officiel, documentation du fournisseur, conseil humain).
  • Négliger l'injection de prompt — un attaquant peut insérer dans un document ou une page web des instructions cachées qui détournent l'IA. Vigilance particulière avec les agents navigateur qui visitent des sites externes pour le compte de l'utilisateur.
  • Croire que l'IA remplace un pentest — un test d'intrusion réel demande des compétences humaines, des outils spécialisés, et un cadre éthique et légal (autorisation explicite du propriétaire du système). L'IA n'attaque pas vos systèmes ; elle aide à structurer l'analyse défensive.

En résumé

Bien utilisée, l'IA déplace de manière significative la frontière entre ce qu'une PME peut faire en interne et ce qui demande un mandat externe coûteux. La condition essentielle est l'hygiène d'utilisation : anonymisation systématique, choix du modèle adapté à l'usage, prudence avec les agents navigateur, et lucidité sur les limites — l'IA structure et vulgarise, elle ne remplace pas une expertise certifiée pour les tâches offensives ou réglementées. Sur cette base, une PME 5-30 employés peut produire une documentation cyber structurée, lire ses soumissions de façon critique, et démontrer une diligence raisonnable concrète sous l'article 10 de la Loi 25.

Passer à la suite de la formation

Le module 5 outille l'analyse interne. Le module 6 — l'autre différenciateur — donne la grille pour décoder et comparer une soumission de sous-traitant cybersécurité avant de signer.

← Retour à la formation Planifier la formation