ÉTUDE DÉVOLUTION SUR LA CYBERSÉCURITÉ DES PME QUÉBÉCOISES : 71 % SE DISENT PRÊTES À GÉRER UN INCIDENT MAJEUR, MAIS SEULES 13 % ONT UNE POSTURE AVANCÉE
Selon le sondage 2025 de l’entreprise, il existe un décalage alarmant entre la confiance perçue et la préparation réelle des PME du Québec
Devolutions, entreprise technologique québécoise présente dans 140 pays et spécialisée dans le développement de solutions logicielles avancées de cybersécurité, dévoile les faits saillants de son rapport intitulé Portrait de la sécurité informatique chez les PME québécoises 2025, dont les résultats sont basés sur les informations obtenues auprès de professionnels et cadres de l’informatique, de la sécurité et de la direction oeuvrant au sein de 32 organisations.
La mission de Devolutions est d’aider les PME à renforcer leur sécurité informatique sans complexité, grâce à des solutions accessibles, robustes et conçues pour leurs réalités. C’est dans ce cadre que l’étude 2025 a été menée afin d’identifier les progrès réalisés au cours de la dernière année par les petites et moyennes entreprises québécoises en matière de posture de sécurité, en tenant compte des lacunes persistantes et des risques qui continuent de menacer leurs données et activités. Le but de l’étude est de permettre aux PME de mieux comprendre leur position et d’adopter des mesures concrètes pour se renforcer.
Sept faits saillants principaux
Le sondage, comptant des choix de réponse et des questions ouvertes, a été mené du 12 février au 1er avril 2025. L’étude préparée par Devolutions fait apparaître sept points clés concernant le développement et l’efficacité des mesures de cybersécurité des PME québécoises, et ce à travers de nombreux secteurs : finance, transports, santé, éducation, commercial, manufacturier et davantage.
« Je le dis souvent : le sentiment de sécurité et le niveau réel de sécurité peuvent parfois être très différents, a déclaré David Hervieux, président et fondateur de Devolutions. Cette étude met en lumière les écarts pouvant exister entre l’impression d’avoir une posture solide et la réalité de la situation, sachant que le combat contre les cybermenaces évolue sans arrêt. Le but ici n’est jamais d’inquiéter, mais bien de sensibiliser les organisations et les encourager à être les plus résistantes et résilientes possibles. Cela fait partie de notre mission. »
Un écart alarmant entre confiance et capacités réelles
Les résultats de l’étude démontrent que 50 % des PME québécoises ont vécu au moins une cyberattaque en 2024, ce qui indique qu’elles sont des cibles de choix pour les malfaiteurs. Les entreprises se disent globalement confiantes de disposer des ressources nécessaires pour gérer un incident de cybersécurité majeur, mais il existe néanmoins un décalage préoccupant entre cette confiance et les pratiques concrètes pour résister à de telles attaques. En comparaison avec l’étude mondiale 2025 de Devolutions, le Québec compte des angles morts persistants et affiche un certain retard dans plusieurs domaines clés relatifs à la cybersécurité.
Cette problématique peut relever d’un manque de sensibilisation envers les cybermenaces de plus en plus sophistiquées et puissantes, ou encore d’une perception que les cybercriminels visent surtout les grandes entreprises. L’étude 2025 de Devolutions a pour mission de démontrer aux PME du Québec qu’elles peuvent, et doivent, améliorer et renforcer leurs défenses afin d’assurer la pérennité de leurs activités.
Point 1 : confiance élevée mais trop optimiste
Alors que 71 % des PME québécoises se disent plutôt ou très confiantes d’être en mesure de répondre à une cyberattaque majeure, seules 13 % d’entre elles affirment que leur posture de cybersécurité est réellement suffisamment avancée pour les protéger (comparativement à 22 % à l’international). Cet écart important – et alarmant – entre la perception et la réalité semble indiquer une estimation générale trop optimiste des PME québécoises quant à leurs capacités de défense, laissant présager que les limites de leurs postures seront rapidement atteintes et surpassées en cas de cyberattaque majeure. Ainsi, la véritable maturité en matière de cybersécurité demeure marginale parmi les PME du Québec.
Notons cependant un changement prometteur : le taux de confiance a reculé de 9 % en seulement un an. Ce recul représente surtout une prise de conscience plus réaliste, au sein des PME québécoises, des progrès à réaliser pour véritablement atteindre un niveau de cybersécurité pleinement mature : vigilance constante, détection rapide, gestion continue des risques, plan de réponse, etc.
Point 2 : des accès privilégiés toujours gérés manuellement
Bien que la protection des accès privilégiés aux systèmes, données et applications soit un pilier essentiel de tout plan de cybersécurité, la majorité des entreprises s’appuie sur des méthodes obsolètes pour gérer ces accès cruciaux. En effet, 53 % des PME québécoises utilisent toujours des outils manuels pour gérer les accès, comme des documents ou des tableurs, alors que ce sont justement de telles sources que les rançongiciels et programmes d’intrusion prennent pour cible. Cette situation expose les entreprises à des incidents majeurs évitables, surtout que 25 % des PME québécoises n’ont aucun processus clair et défini pour gérer les accès privilégiés, une proportion nettement supérieure au taux de 8 % relevé sur la scène internationale.
Seulement 19 % des PME basées au Québec utilisent un système sécurisé, automatisé et réactif de gestion des accès privilégiés. Le Québec est grandement en retard sur ce point : à l’échelle mondiale, 32 % des PME optent pour la gestion automatisée des accès. Les entreprises québécoises doivent accélérer la modernisation de leurs systèmes, les anciennes pratiques de gestion manuelle étant d’importants vecteurs d’attaque qui rendent leurs activités extrêmement vulnérables, que ce soit en raison de pirates informatiques, d’un
manque de visibilité, d’un employé malveillant ou de simples retards administratifs. Comme contraste frappant, parmi les répondants à l’étude travaillant à titre de spécialistes en sécurité, 100 % d’entre eux s’appuient sur des systèmes de gestion automatisée pour renforcer la protection de leurs accès.
Point 3 : l’IA intéresse, mais son adoption demeure lente
Grâce à l’intelligence artificielle appliquée à la cybersécurité, les entreprises peuvent s’armer de la détection automatisée des menaces et des comportements inhabituels, entre autres mesures de protection. L’étude de Devolutions démontre que 44 % des PME québécoises choisissent de tels outils intégrant l’IA, tandis qu’un autre 44 % n’a pas encore franchi cette étape. L’intérêt envers la cybersécurité assistée par l’IA est bien réel, mais son adoption concrète est lente. Sur ce point, les taux au Québec sont similaires à ceux vus à l’international.
Parmi les PME québécoises, le développement accru de l’IA est perçu comme une occasion de se doter d’une posture de cybersécurité plus solide, mais à ce stade-ci, de telles améliorations demeurent encore une aspiration plutôt qu’un projet en marche. Certaines barrières se dressent, tels que les coûts, le manque d’expertise, les inquiétudes quant à la confidentialité, etc. Néanmoins, l’utilisation de l’IA au sein des mesures de cybersécurité est désirée parmi les PME du Québec, ce qui est en soi positif. Il faut davantage préparer le terrain pour transformer cet enthousiasme pour l’IA de cybersécurité en actions concrètes, tout en répondant aux préoccupations concernant la mise en pratique.
Point 4 : la cybersécurité sous-financée
Les budgets consacrés à la cybersécurité sont en croissance, 63 % des petites et moyennes entreprises québécoises ayant prévu d’allouer plus de fonds en 2025. Cependant, pour contrecarrer l’augmentation des attaques sophistiquées, les ressources financières demeurent en-deçà des besoins : 52 % des PME consacrent moins de 10 % de leur budget informatique annuel à la cybersécurité, tandis que 26 % y accordent moins de 5 %. La constatation est que la cybersécurité demeure sous-financée parmi la majorité des PME. Il semble qu’un effort budgétaire accru dans ce domaine soit perçu comme une dépense supplémentaire, et non comme une composante stratégique importante servant à protéger les activités de l’entreprise.
Toutefois, il sera toujours souhaitable de hausser les budgets consacrés à la cybersécurité avant, plutôt qu’après, une attaque potentiellement beaucoup plus coûteuse. Cela dit, 47 % des PME québécoises admettent que les limites imposées par le budget disponible est un obstacle majeur au renforcement de leur posture de cybersécurité. Cela reflète les résultats de l’étude mondiale, qui constatait la généralisation de ce défi. Un facteur supplémentaire s’ajoute dans le cas du Québec : il se peut que la légère hausse des budgets de cybersécurité soit appliquée aux exigences de conformité de la loi 25, qui porte sur la protection des renseignements personnels, et non au renforcement de la posture de sécurité existante.
Point 5 : un manque d’action contre les menaces internes
Un autre constat marquant découlant de l’étude 2025 de Devolutions : alors que 72 % des PME québécoises sont préoccupées par les menaces pouvant venir de l’intérieur, seulement 13 % ont développé un plan complet, précis et détaillé portant sur de tels risques (contre 20 % à l’international). Toutefois, entre 2024 et 2025, la sensibilisation à ces risques internes
a connu une croissance remarquable de 30 % au Québec. 75 % des PME de la province disposent aujourd’hui d’un plan rudimentaire ou en développement contre les risques internes, un taux clairement supérieur au 51 % de l’étude mondiale.
Cela démontre que les PME du Québec comprennent bien les risques liés aux vols de données ou aux sabotages effectués de l’intérieur, sachant que les malfaiteurs internes peuvent plus facilement contourner les défenses de sécurité habituelles. Malgré cette sensibilisation, le fait demeure qu’environ 20 % des PME québécoises n’ont pas de politique formelle, laissant ainsi des brèches pouvant potentiellement mener à des intrusions dans leurs systèmes, même involontaires, par des utilisateurs qui ne devraient pas y avoir accès.
Point 6 : amélioration souhaitable des formations offertes au personnel
La cybersécurité va au-delà des outils sophistiqués gérés par les spécialistes de l’entreprise, car il faut également que le personnel sache comment éviter les pièges les plus courants. La pertinence des formations est claire : la majorité des brèches de sécurité sont le résultat d’une erreur d’origine humaine, allant d’une tentative d’hameçonnage réussie à la mauvaise configuration d’un système. Au Québec, 28 % des entreprises proposent une formation de sensibilisation annuelle, et un autre 28 % offre une formation continue. Sur ce dernier point, l’étude internationale révèle que 39 % des PME misent sur la formation continue, une approche plus proactive que celle vue au Québec.
La part des PME de la province n’offrant aucune formation de sensibilisation à la cybersécurité est de 34 % ; il s’agit d’une réduction notable de 16 % en une année, ce qui est positif. Malgré cela, le fait demeure que les formations de sensibilisation offertes au personnel, si elles demeurent sur une base ponctuelle et non continue, peuvent ne pas être suffisantes pour bâtir une culture durable de la cybersécurité au sein des PME du Québec. Cet aspect doit être amélioré afin de développer les bons réflexes pour identifier et contrer les tentatives d’intrusion ou d’ingénierie sociale.
Point 7 : la loi 25 crée des incertitudes quant à la conformité
Alors que la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« loi 25 ») entre en vigueur au Québec, 47 % des PME se disent prêtes à respecter l’entièreté des exigences du gouvernement. Bien que ce chiffre soit encourageant, d’autres petites et moyennes entreprises ont encore du travail à faire : 29 % ne sont pas prêtes, tandis que 23 % sont incertaines de leur niveau de préparation.
Pour ces PME, 35 % signalent la complexité des exigences et de leur mise en oeuvre, et 47 % font état d’un manque de ressources internes, de temps ou d’expertise. En matière de protection des renseignements personnels, la loi 25 est un autre aspect de la cybersécurité nécessitant une attention particulière de la part de plus de la moitié des PME québécoises, qui auraient apparemment besoin d’un certain accompagnement. Il pourrait donc s’agir d’une occasion pour également sensibiliser les entreprises à la nécessité de renforcer leur posture de cybersécurité générale.
Le fil conducteur du sondage sur la cybersécurité des PME québécoises
Au-delà des sept faits saillants résultant de l’étude 2025 de Devolutions, un fil conducteur apparaît : les petites et moyennes entreprises québécoises prennent la cybersécurité au sérieux, toutefois elles peinent à mettre tous les éléments en oeuvre pour se doter d’une résilience forte. La majorité souhaite y parvenir, mais le déploiement et la réalisation demeurent des défis. D’autant plus que 35 % des PME disent ressentir les effets des événements géopolitiques sur leur cybersécurité, et 40 % perçoivent des risques croissants liés aux chaînes d’approvisionnement, au cyberespionnage et/ou à la désinformation.
Les postures de cybersécurité renforcées progressent, mais pas assez rapidement. Le plus grand de tous les risques étant de ne pas agir, la plupart des organisations sondées par Devolutions sont néanmoins sur la bonne voie pour devenir plus résilientes. Cependant, le parcours demeure semé de défis que les PME québécoises devront rapidement surmonter afin de protéger leurs activités, leur réputation et leur croissance.
Le rapport Portrait de la sécurité informatique chez les PME québécoises 2025 est disponible ici.
Le rapport international The State of IT security in SMBs in 2025 est disponible ici (uniquement offert en anglais).