menu_open Columnists
We use cookies to provide some features and experiences in QOSHE

More information  .  Close

Cybersécurité: arrêtons de confondre préparation et prévention

32 0
06.04.2026

Un texte de Vaneck Duclair, chercheur expert en gouvernance de la cybersécurité

LES IDÉES DES AFFAIRES. La plupart des organisations survivent à leur premier cyberincident majeur. C’est le deuxième qui les tue, celui qui survient pendant qu’elles sont encore en train de se remettre du premier, ou celui qu’elles auraient pu contenir si elles avaient tiré les bonnes leçons.

Ce n’est pas une question de budget ni de technologie. C’est une question de lucidité institutionnelle: la capacité d’une organisation à regarder honnêtement l’écart entre ce qu’elle croit être capable de faire en situation de crise, et ce qu’elle ferait réellement. Cet écart-là, dans la grande majorité des organisations québécoises que j’ai côtoyées, est vertigineux.

Un contexte qui ne laisse plus de place à l’improvisation

Les chiffres sont connus, mais leur portée reste sous-estimée. Le Centre canadien pour la cybersécurité (CCCS) confirme dans son Évaluation nationale des cybermenaces 2025-2026 que les rançongiciels demeurent la principale menace pour les infrastructures essentielles du Canada, avec une trajectoire d’intensification des tactiques d’extorsion au cours des prochaines années. Parallèlement, les coûts de rétablissement à la suite d’un incident ont doublé entre 2021 et 2023, passant de 600 millions à 1,2 milliard de dollars à l’échelle canadienne.

Au Québec, le contexte législatif ajoute une dimension supplémentaire. La Loi 25 a fondamentalement redéfini les obligations des organisations en matière de notifications d’incidents: une atteinte à la confidentialité de renseignements personnels doit désormais être signalée à la CAI et aux personnes concernées dans des délais stricts. En 2025, trois nouvelles actions collectives ont été accueillies par la Cour supérieure du Québec, ciblant non plus seulement des incidents ponctuels, mais directement les pratiques de gouvernance des organisations en matière de gestion des données personnelles. Le risque juridique ne suit plus le risque opérationnel, il le précède.

Ce tableau rend une chose évidente: la question n’est plus de........

© Les Affaires