Imaginez que votre banque, votre épicerie et votre fournisseur de téléphonie se font cambrioler la même semaine. Pas le même cambrioleur. Pas la même méthode. Mais le même résultat : vos informations personnelles se retrouvent entre les mains de quelqu'un que vous n'avez jamais autorisé.

C'est exactement ce qui s'est passé entre janvier et mars 2026. Trois organisations parmi les plus visibles du pays ont confirmé des brèches de données majeures. Et les trois touchent directement les Québécois, que ce soit comme investisseurs, consommateurs ou utilisateurs de services de télécommunication.

La vraie question, c'est : si on vous demande demain si ça pourrait vous arriver, avez-vous une réponse?

Ce qui s'est passé, en 90 jours

Le 14 janvier 2026, l'Organisme canadien de réglementation des investissements (CIRO) a confirmé qu'une attaque par hameçonnage, détectée en août 2025, avait compromis les données personnelles d'environ 750 000 investisseurs canadiens. On parle de numéros d'assurance sociale, de pièces d'identité gouvernementales, de numéros de comptes de placement et de relevés. Pas des courriels et des noms. Des informations qui permettent d'usurper une identité. Et le vecteur d'attaque? Un courriel d'hameçonnage ciblé. Pas une vulnérabilité logicielle sophistiquée. Un courriel. Au Canada, selon IBM, les brèches causées par l'hameçonnage coûtent en moyenne 7,91 millions de dollars canadiens. C'est le vecteur le plus coûteux et le plus fréquent.

Le 10 mars 2026, Loblaw, le plus grand détaillant alimentaire et pharmaceutique au Canada, a signalé qu'un intrus avait accédé à des informations sur ses clients, soit des noms, numéros de téléphone et adresses courriel. Loblaw a qualifié l'incident de mineur. Un acteur malveillant a contesté cette version, affirmant détenir 75,1 millions de dossiers Salesforce, des centaines de millions de lignes de données provenant des pharmacies et du commerce en ligne, ainsi que du code source. L'enquête est toujours en cours.

Le 12 mars 2026, Telus Digital, la filiale d'impartition et de services numériques du géant des télécommunications Telus, a confirmé un incident de cybersécurité. Le groupe criminel ShinyHunters affirme avoir volé près d'un pétaoctet de données, incluant des enregistrements d'appels de service à la clientèle, des dossiers financiers, du code source et des résultats de vérifications d'antécédents. ShinyHunters a exigé 65 millions de dollars américains. Telus n'a pas négocié.

Le mécanisme qui a changé

Il y a cinq ans, une brèche de données signifiait généralement qu'un attaquant avait trouvé une faille technique, exploité un système mal configuré ou volé un mot de passe. Le scénario type : quelqu'un entre, prend ce qu'il peut, et repart.

Ce qu'on voit dans ces trois incidents, c'est un changement fondamental dans le modèle d'affaires criminel. CIRO n'a pas été ciblé pour ses systèmes. Il a été ciblé pour les données qu'il agrège dans le cadre de ses mandats réglementaires. L'organisme détient les informations de 750 000 investisseurs non pas parce qu'il gère leurs comptes, mais parce qu'il supervise les courtiers qui les servent. Les données étaient accumulées pour des raisons légitimes, mais leur organisation interne n'était pas conçue pour répondre rapidement en cas de brèche. La preuve : il a fallu plus de 9 000 heures d'investigation et cinq mois entre la détection et la notification aux personnes touchées.

Chez Telus Digital, les attaquants n'ont pas eu besoin de trouver une porte d'entrée directe. Ils ont recyclé des identifiants volés ailleurs, puis utilisé un outil de détection d'identifiants pour se déplacer d'un système à l'autre, pendant des mois, avant d'être détectés. C'est un patron classique des attaques par la chaîne d'approvisionnement, qui prennent en moyenne 267 jours à résoudre selon IBM, le cycle de vie le plus long parmi tous les vecteurs d'attaque.

L'angle mort, c'est la durée. On ne parle plus d'un cambrioleur qui entre et repart le même soir. On parle d'un intrus qui s'installe, explore, copie, et ne se fait repérer que lorsqu'il décide de se manifester, souvent pour exiger une rançon.

Un mercredi matin à Québec

Mercredi, 9 h 10. Le directeur TI d'une firme d'ingénierie de 250 employés, basée à Québec, reçoit un appel de son fournisseur de services infonuagiques. Une activité inhabituelle a été détectée sur les environnements de la firme. Des volumes importants de données ont été transférés vers une destination externe au cours des dernières semaines.

Le directeur TI contacte son PDG. L'enquête préliminaire révèle que des identifiants d'un ancien employé d'un sous-traitant, jamais désactivés, ont été utilisés pour accéder à l'environnement infonuagique. L'attaquant a eu accès pendant 47 jours avant d'être détecté.

Les données compromises incluent des dossiers d'employés avec numéros d'assurance sociale, des propositions de services contenant les coordonnées de 3 200 clients, et des échanges confidentiels avec un donneur d'ouvrage du secteur public. Le responsable des TI n'a pas de plan de réponse aux incidents documenté. Il ne sait pas qui appeler en premier. La CAI? Les clients? L'assureur? La Loi 25 l'oblige à évaluer si l'incident présente un « risque de préjudice sérieux ». Si oui, il doit aviser la CAI et les personnes concernées avec diligence, et consigner l'incident au registre. Avec des NAS dans les données compromises, le risque de préjudice sérieux serait difficile à nier.

L'assureur cyber pose une première question : aviez-vous une authentification multifacteur sur tous vos accès infonuagiques? La réponse est non, pas sur les comptes de service des sous-traitants. La couverture est en jeu.

Le donneur d'ouvrage public, lui, demande si ses propres données sont touchées. Il exige une réponse écrite sous 48 heures et mentionne la possibilité de suspendre les contrats en cours.

Ce scénario est fictif, mais il est construit à partir de situations documentées dans des incidents publics récents. Chaque élément, des identifiants tiers aux délais de détection, est un patron qu'on retrouve dans les trois brèches canadiennes de ce trimestre.

Ce que ça coûte, concrètement

Reprenons le scénario de notre firme d'ingénierie. Avec 3 200 dossiers clients et un nombre indéterminé de dossiers employés compromis, on peut estimer un ordre de grandeur.

Selon IBM, le coût moyen par dossier compromis au Canada se situe autour de 180 dollars canadiens. Pour 3 200 dossiers clients, ça place le coût direct de la brèche dans un ordre de grandeur de 575 000 dollars. Ce chiffre ne tient pas compte des coûts d'enquête (comptez entre 50 000 et 200 000 dollars), des frais juridiques, de la notification aux personnes touchées, ni de la perte de contrats.

Et il y a les coûts qu'aucun tableau ne capture. Le responsable des TI qui travaille 18 heures par jour pendant trois semaines. L'équipe informatique de quatre personnes qui absorbe la gestion de crise en plus de ses tâches courantes. Le stress de ne pas savoir si les données sont en train d'être vendues pendant qu'on rédige les lettres de notification. Le PDG qui passe ses journées en appels avec des clients inquiets au lieu de développer de nouveaux marchés.

CIRO a consacré plus de 9 000 heures de travail à son enquête. Pour une organisation de 250 personnes, une brèche de cette complexité peut paralyser les opérations pendant des semaines.

Pourquoi les PME sont particulièrement exposées

Les trois brèches de ce trimestre touchent des organisations qui ont les moyens de maintenir des équipes de sécurité dédiées. CIRO est un organisme réglementaire national. Loblaw emploie plus de 220 000 personnes. Telus est l'un des plus grands fournisseurs de télécommunications au pays. Et les trois ont été compromises.

Pour une PME québécoise de 150 à 400 employés, la réalité est encore plus difficile. Le responsable des TI porte souvent le chapeau de la sécurité en plus de ses responsabilités opérationnelles. Le budget de sécurité est une ligne dans le budget TI, pas un poste autonome. La sensibilisation des employés à l'hameçonnage se fait une fois par année, quand elle se fait.

La compétence est rarement le problème. Le temps l'est toujours. Quand la même personne gère le réseau, les projets d'infrastructure, la migration infonuagique et la sécurité, quelque chose finit par être repoussé. Et ce quelque chose, c'est souvent le plan de réponse aux incidents, la révision des accès des fournisseurs ou la mise en place de l'authentification multifacteur sur tous les comptes.

Le cas de Telus Digital le montre clairement : l'attaque a commencé chez un fournisseur tiers. Les PME qui externalisent des services (et elles le font toutes) héritent du risque de sécurité de chaque fournisseur à qui elles confient un accès.

Les questions à poser lundi matin

Ces trois incidents sont des illustrations de failles que la plupart des organisations moyennes partagent. L'hameçonnage chez CIRO, les identifiants tiers chez Telus Digital, l'accès non autorisé chez Loblaw : chacun de ces scénarios peut se reproduire dans n'importe quelle organisation québécoise.

Voici cinq questions à poser à votre équipe TI cette semaine.

Est-ce que tous nos accès infonuagiques, y compris ceux des fournisseurs et sous-traitants, sont protégés par une authentification multifacteur résistante à l'hameçonnage?

Avons-nous un inventaire à jour de tous les comptes de service, incluant ceux créés pour des fournisseurs ou des employés qui ne sont plus en poste?

Si on apprenait demain qu'un attaquant est dans nos systèmes depuis six semaines, qui appelle-t-on en premier? Avons-nous un plan de réponse documenté et testé?

Notre registre des incidents de confidentialité existe-t-il? Avons-nous déjà évalué un incident potentiel pour déterminer s'il présente un risque de préjudice sérieux au sens de la Loi 25?

Quand avons-nous fait pour la dernière fois un exercice de simulation d'hameçonnage avec nos employés? Un vrai test adapté à notre contexte.

Les réponses à ces questions ne demandent pas un budget de plusieurs millions. Elles demandent du temps. Et la première étape, c'est de les poser.

Mario Bouchard, M. Adm., CISSP — Président, InfoSec Sécurité de l'information Inc. Avec plus de 25 ans d'expérience en cybersécurité, il accompagne les CISO et leaders TI pour faire de la cybersécurité un accélérateur de livraison plutôt qu'un frein. Basée à Québec. infosecurite.com

Sources

Organisme canadien de réglementation des investissements (CIRO) — Canadian Investment Regulatory Organization update regarding unauthorized access to some Canadian investors' data (14 janvier 2026). Confirmation de l'attaque par hameçonnage, nombre d'investisseurs touchés (750 000), types de données compromises. ciro.ca
Investment Executive — CIRO's breach is a data-governance failure — not an IT glitch (19 janvier 2026). Analyse du délai de 5 mois entre la détection et la notification, 9 000+ heures d'investigation, enjeux de gouvernance des données. investmentexecutive.com
Loblaw Companies Limited — Loblaw Notifies Customers of a Low-Level Data Breach (10 mars 2026). Communiqué officiel confirmant l'accès non autorisé à des informations de base (noms, téléphones, courriels). loblaw.ca
Salesforce Ben — '75M Salesforce Records Exposed' in Loblaw Breach: Hacker's Deadline Approaches (18 mars 2026). Allégations de l'acteur malveillant concernant l'étendue des données volées (75,1 M dossiers Salesforce, données pharmaceutiques, code source). salesforceben.com
BleepingComputer — Telus Digital confirms breach after hacker claims 1 petabyte data theft (12 mars 2026). Confirmation de la brèche, détails sur le vecteur d'attaque (identifiants GCP issus de la brèche Salesloft Drift), demande de rançon de 65 M$ US, types de données compromises. bleepingcomputer.com
IBM / Ponemon Institute — Cost of a Data Breach Report 2025 (juillet 2025). Coût moyen des brèches par hameçonnage au Canada (7,91 M$ CA), cycle de vie des brèches par chaîne d'approvisionnement (267 jours). ibm.com/reports/data-breach