Home Décision, risque et pouvoir d’agirPlan d’intervention cyber : Le coût réel de l’espoir comme stratégie
Décision, risque et pouvoir d’agir

Plan d’intervention cyber : Le coût réel de l’espoir comme stratégie

by mathieu
written by mathieu

Plan d’intervention cyber : Le coût réel de l’espoir comme stratégie

On se parle franchement : personne ne se lève le matin en se disant qu’il a hâte de rédiger un plan d’intervention en cas d’incident cyber. Pour un gestionnaire de PME au Québec, c’est souvent le projet qui finit en bas de la pile, juste après la mise à jour des descriptions de tâches et le ménage du serveur de fichiers.

On se dit : « On a un antivirus, un pare-feu, et notre technicien fait des copies de sauvegarde. Si ça arrive, on avisera. »

Le problème, c’est que l’arbitrage que vous faites n’est pas entre « dépenser du temps maintenant » ou « ne rien dépenser ». C’est entre payer une petite facture de préparation aujourd’hui ou une facture monumentale d’improvisation demain.

L’arithmétique du désastre : Planifier vs Improviser

En 2025, le coût moyen d’une brèche pour une PME a atteint 140 000 $, une hausse de 13 % par rapport à l’année précédente (Source : Cinch I.T.). Pour plusieurs, c’est la différence entre rester en affaires ou fermer boutique. En fait, 60 % des petites entreprises ferment de façon permanente dans les six mois suivant une attaque majeure (Source : Total Assure).

À l’opposé, mettre en place une base de préparation (authentification multi-facteurs, surveillance et plan d’intervention) coûte environ 12 000 $ par an pour une PME type. On parle d’un retour sur investissement de 11 fois si on prévient un seul incident majeur (Source : Cinch I.T.).

Dans les cas que j’ai accompagnés, l’improvisation coûte cher non pas seulement à cause de l’attaque, mais à cause du temps de réaction. Une PME sans plan met en moyenne 287 jours à détecter une intrusion (Source : Insights From Analytics). C’est neuf mois où l’attaquant campe dans vos systèmes, copie vos données et corrompt vos sauvegardes.

La Loi 25 : La fin de la récréation au Québec

Si les chiffres ne vous convainquent pas, la loi devrait le faire. Depuis septembre 2024, les dispositions de la Loi 25 (anciennement Projet de loi 64) sont pleinement en vigueur.

Ce n’est plus une suggestion :

  1. Obligation de notification : Si un incident présente un « risque de préjudice sérieux », vous devez aviser la Commission d’accès à l’information (CAI) et les personnes touchées « avec diligence » (Source : Gowling WLG).
  2. Registre des incidents : Vous devez tenir un registre de tous les incidents de confidentialité, même ceux qui ne semblent pas graves. La CAI peut exiger de le voir en tout temps.
  3. Sanctions salées : Les amendes peuvent atteindre 25 millions $ ou 4 % du chiffre d’affaires mondial (Source : DLA Piper).

Attendre qu’une crise frappe pour découvrir vos obligations légales, c’est l’équivalent de lire le manuel d’instructions de votre parachute après avoir sauté de l’avion.

Le piège de la « Golden Hour »

En cybersécurité, les 60 premières minutes après la détection sont cruciales. C’est ce qu’on appelle la Golden Hour.

Sans plan, voici ce qui se passe généralement (et c’est souvent catastrophique) :

  • Le réflexe de redémarrer : On voit un truc louche, on redémarre le serveur. Bravo, vous venez d’effacer les preuves volatiles en mémoire vive que les experts en forensique auraient pu utiliser pour comprendre comment l’attaquant est entré (Source : OSIbeyond).
  • Le chaos des communications : Qui appelle l’assureur ? Est-ce qu’on le dit aux employés ? Aux clients ? Si vous attendez à 2h du matin un vendredi pour décider, vous allez dire des bêtises qui augmenteront votre responsabilité légale.
  • L’illusion de la sauvegarde : « On a des backups. » Mais les avez-vous testés récemment ? Saviez-vous que si l’attaquant a accès à votre réseau, il a probablement déjà chiffré ou effacé vos sauvegardes connectées ? (Source : Marsh).

L’arbitrage : Vos options réelles

Je ne vous suggère pas de produire un cartable de 200 pages que personne ne lira. Je vous montre trois niveaux d’arbitrage selon votre réalité :

Option 1 : Le strict minimum (Le Plan d’une page)

C’est le document qu’on imprime et qu’on garde hors ligne. Il contient :

  • Les déclencheurs : À partir de quand on déclare un incident ? (ex: note de rançon, alerte MFA inhabituelle).
  • Le commandant d’incident : Qui décide ? Qui a le pouvoir de déconnecter le serveur sans demander la permission à personne ?
  • La liste de contacts 24/7 : Votre partenaire TI, votre assureur cyber, votre conseiller juridique.

Option 2 : La posture de résilience (Recommandé)

En plus du plan, on ajoute des « exercices sur table » (tabletop exercises). On s’assoit pendant 90 minutes une fois par trimestre et on simule un scénario : « On est vendredi, 17h, la paie doit sortir, et le système est bloqué. On fait quoi ? » (Source : Filigran).

Ça bâtit une mémoire musculaire. On réalise souvent durant ces tests que personne ne sait où est le numéro de police d’assurance ou que le mot de passe de l’admin est dans un coffre-fort… auquel on n’a plus accès.

Option 3 : L’impartition stratégique

Pour les PME qui n’ont pas les ressources internes, l’arbitrage consiste à payer un service de détection et réponse géré (MDR). C’est comme avoir un système d’alarme relié à une centrale 24/7. Ça coûte quelques centaines de dollars par mois, mais ça réduit le temps de détection de mois à quelques minutes (Source : Sangfor).

Ma position : Le jeu n’en vaut pas la chandelle

À mon avis, repousser la création d’un plan d’intervention est l’une des décisions de gestion les plus risquées en 2026. Ce n’est plus une question de « si », mais de « quand ».

Je déconseille fortement de compter sur votre département TI (ou votre technicien externe) pour « gérer ça sur le coup ». Leur job est de faire rouler les systèmes, pas de gérer une crise légale, communicationnelle et financière. Un incident cyber est un problème d’affaires, pas un problème informatique.

Votre checklist immédiate :

  1. [ ] Identifiez qui serait votre « Commandant d’incident » (souvent le DG ou le proprio dans une petite PME).
  2. [ ] Trouvez votre police d’assurance cyber et mettez le numéro d’urgence dans vos contacts de téléphone.
  3. [ ] Planifiez une rencontre de 30 minutes avec votre responsable TI pour valider que vos sauvegardes sont physiquement isolées du réseau principal.

C’est à vous de décider. Vous pouvez investir deux heures cette semaine pour économiser des semaines de cauchemar et potentiellement la survie de votre entreprise.

Le risque dépasse largement le bénéfice de la procrastination.

Mathieu Chartier conçoit des pipelines cognitifs. Il transforme le signal en système, pour passer de l’information à l’action. Architecte de systèmes cognitifs et fondateur du Laboratoire Inyulface, il travaille à l’intersection de la veille stratégique, de la structuration de la connaissance et des outils numériques avancés. Son objectif : réduire la complexité, outiller la prise de décision et concevoir des systèmes qui résistent au bruit.

You may also like

Comment auditer son organisation avant d’intégrer l’IA :...

Conception d’une librairie de prompts pour maximiser sa...

À qui appartient le futur de votre entreprise...

DNA-as-a-Service : La fin de l’intimité au bureau...

Veille Inyulface #93 : Des signaux aux décisions

L’évaluation des « Personas » génératifs : la...

L’IA écrit, mais qui valide ? Le nouveau...

Citoyen numérique éthique : Avez-vous vraiment les moyens...

Close