Aller au contenu principal
Navigation
Accueil Secteurs Partenaires
Services
Services gérés BGM+ Cybersécurité managée ↳ Glossaire cyber ↳ Risques & Loi 25
Solutions
Cloud & Microsoft 365 Téléphonie IP Accompagnement IA en entreprise Développement WEB et IA Sécurité du bâtiment Câblage structuré Fusion de fibre Aménagement du bâtiment Matériel et logiciels Commerce en ligne Location de ressources Solutions Proxmox
Outils
Calculateur BGM+ vs interne Évaluez votre posture cyber Glossaire TI Statut des services FAQ
À propos
Pourquoi BGM Notre histoire Carrières Contact
Support à distance
PC — TeamViewer MAC — TeamViewer Espace client
Sensibilisation

Les vrais risques cyber.

Ce que coûte vraiment une cyberattaque, ce que la Loi 25 exige au Québec, et les questions à se poser avant qu'il ne soit trop tard.

← Retour à la page Cybersécurité
Les chiffres

Ce que coûte vraiment une cyberattaque

Aucune entreprise n'est à l'abri. Les attaquants ont souvent un coup d'avance lorsque la défense n'est pas structurée, et selon les études d'IBM et du Ponemon Institute il peut s'écouler près de 200 jours avant qu'une attaque ne soit détectée. Pendant ce temps, les données fuient, les accès se multiplient.

27 %
du chiffre d'affaires perdu en moyenne après une attaque réussie
125 k$–1 M$
coût moyen d'une brèche pour une TPME ou PME au Canada
80 %
des PME ayant subi une attaque réussie ferment dans les 12 mois

Sources : IBM Cost of a Data Breach Report, Ponemon Institute, Cybersecure Canada, Deloitte. Fourchettes indicatives pour les PME nord-américaines ; l'impact réel varie selon le secteur, la taille et la maturité cybernétique de l'entreprise.

L'iceberg des coûts

La partie visible n'est pas la plus chère

Les amendes, les relations publiques et la restauration des données sont faciles à évaluer. Mais selon les experts du cabinet Deloitte, il existe 14 facteurs à prendre en compte — dont une grande partie reste immergée, cachée dans les mois qui suivent l'incident.

Partie émergée

Coûts financiers immédiats et visibles
  • Enquêtes techniques par des spécialistes
  • Notification des clients de l'intrusion
  • Mise en conformité réglementaire
  • Honoraires d'avocats (Breach-Coach) et frais de justice
  • Sécurisation des données post-incident
  • Relations publiques pour préserver l'image
  • Amélioration des dispositifs de sécurité

Partie immergée

Coûts cachés qui s'étalent sur des mois, voire des années
  • Augmentation des primes d'assurance cyber
  • Augmentation du coût de la dette (crédit)
  • Perturbation ou interruption des activités
  • Érosion du CA liée à la perte de contrats clients
  • Dépréciation de la valeur de l'entreprise
  • Perte de propriété intellectuelle
  • Perte de la confiance des clients
Plan de continuité

Êtes-vous prêt à faire face à une catastrophe ?

Sept questions simples. Si vous hésitez sur l'une d'entre elles, il est temps de revoir votre plan de continuité et de reprise des activités (BCDR).

Vous voulez aller plus loin ? Évaluez votre posture cyber complète en 10 questions →

Obligation légale

Loi 25 : vos obligations au Québec

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, en vigueur depuis septembre 2023) impose à toute entreprise québécoise traitant des renseignements personnels une série d'obligations concrètes — avec des sanctions parmi les plus sévères en Amérique du Nord.

Ce que vous devez mettre en place

  • Désigner un responsable de la protection des renseignements personnels (RPRP) et publier ses coordonnées.
  • Tenir un registre des incidents de confidentialité et en conserver les preuves.
  • Signaler tout incident pouvant causer un risque de préjudice sérieux à la Commission d'accès à l'information (CAI) et aux personnes concernées.
  • Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet impliquant des renseignements personnels (nouveau système, partage, transfert hors Québec).
  • Obtenir un consentement clair, libre et éclairé — et permettre la portabilité et la destruction des données sur demande.
  • Encadrer contractuellement les sous-traitants (hébergement, infonuagique, analyse) qui manipulent vos données.
Sanctions administratives
jusqu'à 10 M$
Sanctions pénales
jusqu'à 25 M$ ou 4 % du CA mondial

Montants calculés sur la base la plus élevée. Les sanctions s'ajoutent aux coûts indirects (actions civiles, perte de clients, dommages réputationnels).

BGM accompagne ses clients dans la mise en place de mesures de sécurité qui ont pour buts de protéger l'entreprise et ses données.

Cadre de référence

MITRE ATT&CK — parler le même langage que l'attaquant

Notre approche défensive s'appuie sur le cadre MITRE ATT&CK, une base de connaissances mondiale qui répertorie les tactiques, techniques et procédures (TTP) réellement utilisées par les cyberattaquants.

Concrètement, cela signifie que chaque contrôle que nous déployons — détection MDR, segmentation, MFA, gestion des accès privilégiés — est mis en correspondance avec des techniques d'attaque documentées. Pas de « on pense que c'est bien » : chaque mesure couvre un vecteur connu et vérifiable.

Ces chiffres vous parlent ? Il est temps d'agir.
BGM évalue votre posture et bâtit un plan adapté à votre réalité.

Contacter un expert → Voir nos solutions cyber