Un texte de Vaneck Duclair, chercheur expert en gouvernance de la cybersécurité

LES IDÉES DES AFFAIRES. La plupart des organisations survivent à leur premier cyberincident majeur. C’est le deuxième qui les tue, celui qui survient pendant qu’elles sont encore en train de se remettre du premier, ou celui qu’elles auraient pu contenir si elles avaient tiré les bonnes leçons.

Ce n’est pas une question de budget ni de technologie. C’est une question de lucidité institutionnelle: la capacité d’une organisation à regarder honnêtement l’écart entre ce qu’elle croit être capable de faire en situation de crise, et ce qu’elle ferait réellement. Cet écart-là, dans la grande majorité des organisations québécoises que j’ai côtoyées, est vertigineux.

Un contexte qui ne laisse plus de place à l’improvisation

Les chiffres sont connus, mais leur portée reste sous-estimée. Le Centre canadien pour la cybersécurité (CCCS) confirme dans son Évaluation nationale des cybermenaces 2025-2026 que les rançongiciels demeurent la principale menace pour les infrastructures essentielles du Canada, avec une trajectoire d’intensification des tactiques d’extorsion au cours des prochaines années. Parallèlement, les coûts de rétablissement à la suite d’un incident ont doublé entre 2021 et 2023, passant de 600 millions à 1,2 milliard de dollars à l’échelle canadienne.

Au Québec, le contexte législatif ajoute une dimension supplémentaire. La Loi 25 a fondamentalement redéfini les obligations des organisations en matière de notifications d’incidents: une atteinte à la confidentialité de renseignements personnels doit désormais être signalée à la CAI et aux personnes concernées dans des délais stricts. En 2025, trois nouvelles actions collectives ont été accueillies par la Cour supérieure du Québec, ciblant non plus seulement des incidents ponctuels, mais directement les pratiques de gouvernance des organisations en matière de gestion des données personnelles. Le risque juridique ne suit plus le risque opérationnel, il le précède.

Ce tableau rend une chose évidente: la question n’est plus de savoir si une organisation sera ciblée, mais dans quel état elle sera quand ça arrivera.

La résilience, ce n’est pas une posture, c’est une capacité

Trop d’organisations traitent la résilience comme un état à atteindre. Un certificat, une politique, un plan dans un tiroir. En réalité, la résilience organisationnelle face aux cyberincidents est une capacité opérationnelle dynamique, mesurable, et qui se dégrade si on ne l’entretient pas activement.

Cette capacité repose sur trois piliers que j’ai appris à évaluer systématiquement, peu importe la taille ou le secteur de l’organisation.

Le premier pilier, c’est la détection et la qualification rapides. Un incident mal qualifié dans les premières heures devient un désastre géré. La pression sur les équipes est immense: distinguer une alerte bénigne d’un compromis actif, déterminer l’étendue de l’incident, décider quand escalader. Les organisations qui s’en tirent bien ne sont pas celles qui ont les meilleurs outils ; ce sont celles qui ont établi des seuils de décision clairs, des rôles sans ambiguïté, et une chaîne de communication rodée avant que la crise n’éclate.

Le deuxième pilier, c’est la continuité des décisions sous pression. En situation de crise, le vrai risque n’est pas toujours technique c’est l’effondrement du processus décisionnel. Qui a l’autorité de déconnecter un système critique? Qui communique avec les régulateurs? Qui valide le message public? Quand ces questions ne sont pas réglées à froid, elles génèrent des délais, des contradictions et des erreurs de communication qui amplifient les dommages réputationnels et légaux, souvent bien au-delà de l’effet technique initial.

Le troisième pilier, c’est la capacité de rétablissement documentée et testée. Les plans de reprise existent dans presque toutes les organisations d’une certaine maturité. Ce qui est rare, c’est un plan qui a survécu à un exercice réaliste. La différence entre un plan théorique et une capacité réelle se mesure à la table d’exercice: combien d’heures pour restaurer les systèmes critiques? Les sauvegardes sont-elles réellement isolées? Le personnel sait-il opérer en mode dégradé?

Ce que l’IA change et ce qu’elle ne change pas

L’intelligence artificielle (IA) a modifié l’équation de la menace de façon concrète. Les attaques sont plus rapides à monter, mieux personnalisées, et les campagnes d’hameçonnage atteignent un niveau de crédibilité qui dépasse largement ce qu’un filtre traditionnel peut détecter. Les systèmes de détection classiques peinent à suivre un rythme d’exécution que l’automatisation rend quasi instantanée.

Mais il serait naïf de croire que la réponse est purement technologique. L’IA augmente les capacités défensives ; corrélation d’alertes, détection d’anomalies comportementales, qualification automatisée des menaces. Ce qu’elle ne remplace pas, c’est le jugement humain dans les moments de décision critique, la gouvernance qui encadre l’action des équipes, et la culture organisationnelle qui détermine si une alerte sera escaladée à temps ou étouffée par crainte des conséquences.

L’enjeu n’est donc pas d’opposer technologie et gouvernance ; c’est de les aligner.

De la conformité à la maturité: un changement de paradigme nécessaire

Il faut nommer clairement ce qui se passe dans beaucoup d’organisations: la gestion des incidents est traitée comme un exercice de conformité plutôt que comme une discipline opérationnelle. On produit des politiques pour satisfaire un auditeur. On documente des procédures pour cocher une case. Et lorsque l’incident survient, on réalise que la réalité opérationnelle n’a jamais été réconciliée avec la documentation.

Le projet de loi fédéral C-8, déposé en 2025, positionne d’ailleurs explicitement la cybersécurité comme un enjeu de résilience opérationnelle et de gestion des risques pas uniquement de conformité. C’est un signal important pour les dirigeants: les attentes des régulateurs évoluent vers une démonstration de capacité réelle, pas seulement de bonne intention documentée.

Pour les organisations qui souhaitent faire ce virage, l’approche CMMI appliquée aux processus de sécurité offre un cadre utile. Elle permet de cartographier objectivement le niveau de maturité actuel des processus de réponses aux incidents de l’ad hoc réactif (niveau 1) à la gestion optimisée et continue (niveau 5) et de tracer une progression réaliste. L’intérêt de ce cadre n’est pas d’atteindre un niveau idéal, mais de passer de l’invisible à l’objectif, de l’intuitif au mesurable.

Ce que les dirigeants doivent exiger

La résilience organisationnelle n’est pas la responsabilité exclusive du CISO ou du directeur de la sécurité. Elle engage la direction générale, le conseil d’administration, les équipes juridiques et de communication. C’est une capacité collective.

Voici ce que j’encourage les dirigeants à exiger concrètement.

Un exercice de simulation d’incident annuel, impliquant non seulement les équipes techniques, mais aussi la direction et les fonctions d’affaires. Pas pour tester les outils, mais pour tester les décisions.

Des indicateurs de résilience distincts des indicateurs de sécurité traditionnels. Le temps moyen de détection (MTTD) et le temps moyen de rétablissement (MTTR) ne sont pas des métriques techniques, ce sont des métriques d’affaires.

Et enfin, une culture de déclaration sans punition. Les incidents non signalés en interne sont ceux qui deviennent des catastrophes publiques. Si les équipes craignent les conséquences d’escalader une alerte, le problème n’est pas technique, il est culturel.

La vraie question de gouvernance

La résilience organisationnelle face aux cyberincidents n’est pas un projet. Ce n’est pas non plus un budget. C’est une discipline de gouvernance qui demande un engagement continu de la direction, une rigueur méthodologique des équipes de sécurité, et une honnêteté institutionnelle sur l’écart entre ce qui est documenté et ce qui est réellement opérationnel. Les organisations qui traverseront les prochaines années sans dommages majeurs ne seront pas nécessairement celles qui auront évité tous les incidents. Ce seront celles qui auront eu la lucidité de se préparer à en vivre un et la discipline de l’avoir fait pour vrai.

© Les Affaires