Par Mario Bouchard, M. Adm., CISSP — Président, InfoSec Sécurité de l'information Inc.

Imaginez un instant que votre entreprise n'ait pas de directeur financier. Personne pour signer les états financiers. Personne pour expliquer les chiffres au conseil d'administration. Personne pour dire « ce projet-là, on n'a pas les moyens de le faire comme ça, mais voici comment on pourrait le faire autrement. »

Vous trouvez l'idée absurde? C'est normal. Aucune organisation sérieuse ne fonctionnerait sans quelqu'un qui a le portrait financier complet.

Pourtant, en cybersécurité, c'est exactement la situation dans laquelle se retrouvent la majorité des PME. Il y a des techniciens qui gèrent les pare-feux. Il y a des fournisseurs qui envoient des rapports. Mais il n'y a personne qui a le portrait complet, personne qui traduit le risque technique en décision d'affaires. Ce rôle-là, c'est celui du CISO.

Le CISO, en langage clair

CISO, c'est l'acronyme de Chief Information Security Officer. En français, on dit parfois « responsable de la sécurité de l'information » ou « dirigeant principal de la cybersécurité ». Mais le titre importe moins que ce que la personne fait réellement au quotidien.

Un CISO, ce n'est pas un technicien qui configure des pare-feux. Ce n'est pas non plus un auditeur qui coche des cases dans une grille de conformité.

Un CISO, c'est le pont entre votre équipe technique et votre comité de direction. C'est la personne qui peut s'asseoir dans une réunion du CA et expliquer, en langage d'affaires, ce que vos risques de cybersécurité signifient pour vos opérations, votre réputation et votre conformité réglementaire.

Concrètement, un CISO fait trois choses qu'aucun autre rôle dans l'organisation ne fait :

Il traduit. Il prend un risque technique (par exemple, « nos accès privilégiés ne sont pas segmentés ») et le transforme en langage que le CA comprend : « si un attaquant entre, il a accès à tout, y compris nos données clients et nos systèmes de paie. »

Il priorise. Avec des budgets limités, il détermine où investir pour réduire le maximum de risque. Pas tout faire, mais faire les bonnes choses en premier.

Il arrime. Il s'assure que la sécurité avance au même rythme que les projets de l'organisation, pas qu'elle les bloque. La cybersécurité devient un accélérateur de livraison plutôt qu'un frein.

Les chiffres qui expliquent l'urgence

La grande majorité des PME fonctionnent sans aucune forme de leadership dédié en cybersécurité. Pas de CISO, pas de directeur de sécurité, personne dont c'est la responsabilité principale. La cybersécurité est « l'affaire de tout le monde », ce qui, en pratique, signifie qu'elle n'est la priorité de personne.

Pendant ce temps, les attaques ne ralentissent pas. Le Verizon Data Breach Investigations Report 2025 indique que les PME sont ciblées environ quatre fois plus fréquemment que les grandes organisations. Et selon IBM, le coût moyen d'une brèche de données a atteint 4,88 millions de dollars américains en 2024, une hausse de 10 % en un an.

Mais le chiffre le plus révélateur pour comprendre la valeur d'un CISO est celui-ci : IBM rapporte que les organisations aux prises avec une pénurie importante de personnel en sécurité paient en moyenne 1,76 million de dollars de plus par brèche que celles qui ont des équipes adéquates.

Le vrai enjeu, c'est le leadership.

Un mercredi matin sans CISO

Mercredi, 7 h 45. Votre directeur TI vous appelle. Le ton est inhabituel.

« On a un problème. Le système de courriel est en panne depuis cette nuit. Je pense que c'est un rançongiciel. »

Vous demandez : « Qu'est-ce qu'on fait? » Silence. Votre directeur TI est compétent, il gère le réseau, les postes, les mises à jour. Mais coordonner une réponse à un incident de cybersécurité? Décider s'il faut aviser la Commission d'accès à l'information? Appeler l'assureur? Communiquer aux employés? Ce n'est pas son rôle. Il n'a ni la formation ni l'autorité pour prendre ces décisions.

Alors vous commencez à appeler. Votre firme de TI externe. Votre avocat. Votre assureur. Chacun vous pose des questions auxquelles vous ne pouvez pas répondre : « Avez-vous un plan de réponse aux incidents? », « Quels systèmes sont touchés? », « Est-ce que des données personnelles sont en jeu? »

Personne dans l'organisation n'a le portrait d'ensemble. Le directeur TI connaît les serveurs. Le directeur des opérations connaît les processus d'affaires. Le responsable des RH connaît les données employés. Mais personne ne peut relier tout ça et prendre des décisions éclairées sous pression.

Résultat : les premières 48 heures, les plus critiques, sont perdues en appels, en confusion et en décisions réactives. L'assureur demande des preuves de mesures préventives. Votre avocat veut savoir si vous avez un registre d'incidents. Votre fournisseur TI travaille sur la restauration, mais personne ne coordonne l'ensemble.

C'est ça, le coût de ne pas avoir de CISO. Ce n'est pas un coût qui apparaît dans un budget. C'est un coût qui se révèle un mercredi matin.

Ce que ça coûte, en dollars et en humains

IBM chiffre le coût moyen d'une brèche à 4,88 M$ US. Mais pour une PME québécoise de 200 employés, le calcul est différent. Les coûts directs (restauration des systèmes, enquête forensique, avis juridiques, notifications) peuvent facilement atteindre plusieurs centaines de milliers de dollars. Ordre de grandeur (IBM) : même avec un nombre modeste de dossiers compromis, le coût moyen par dossier de 164 $ US s'accumule rapidement.

Mais les coûts qu'on oublie toujours, ce sont les coûts humains. Le directeur TI qui ne dort plus depuis 72 heures. La responsable des communications qui gère des appels de clients inquiets. Le DG qui doit répondre au conseil d'administration alors qu'il ne comprend pas encore ce qui s'est passé.

Et après la crise? L'épuisement. La culpabilité. Le « j'aurais dû voir ça venir ». Des études montrent que les professionnels TI qui traversent un incident majeur de cybersécurité présentent des taux élevés de stress post-traumatique et d'épuisement professionnel.

Un CISO n'empêche pas tous les incidents. Mais il fait en sorte que l'organisation sait quoi faire quand ça arrive. Que les 48 premières heures ne sont pas perdues. Que quelqu'un a le portrait complet et l'autorité pour agir.

Pourquoi votre PME n'a probablement pas de CISO

La raison est simple : le salaire. Au Canada, un CISO à temps plein commande un salaire de base qui se situe généralement entre 150 000 $ et 200 000 $ CA, et ce, avant les avantages sociaux, la formation continue et les certifications. Pour une PME de 150 à 400 employés, c'est un investissement considérable pour un rôle qui n'existait même pas dans le vocabulaire de l'entreprise il y a cinq ans.

Et il y a un autre obstacle, plus subtil. Dans beaucoup d'organisations, la responsabilité de la cybersécurité est tombée sur les épaules de la personne qui gère les TI, par défaut, pas par choix. Le directeur TI ou le responsable informatique fait de son mieux, mais il porte déjà la gestion du réseau, le soutien aux utilisateurs, les projets d'infrastructure. Ajouter la cybersécurité stratégique (la gouvernance, la conformité, les relations avec le CA et les assureurs), c'est demander à une seule personne de faire deux emplois à temps plein.

Le problème n'est pas la compétence, mais la capacité.

La Loi 25 a changé la donne

Depuis l'entrée en vigueur progressive de la Loi 25 au Québec (dont la dernière phase est effective depuis septembre 2024), chaque organisation qui détient des renseignements personnels doit nommer un responsable de la protection des renseignements personnels. Elle doit aussi tenir un registre des incidents de confidentialité, réaliser des évaluations de facteurs relatifs à la vie privée (EFVP) pour certains projets, et aviser la Commission d'accès à l'information en cas d'incident présentant un risque de préjudice sérieux.

En théorie, le responsable nommé peut être n'importe qui dans l'organisation. En pratique, quand un incident survient, ce responsable doit comprendre à la fois les dimensions techniques (quels systèmes sont touchés, quelles données sont en jeu) et les dimensions légales (faut-il aviser la CAI? les personnes concernées?).

C'est exactement le profil d'un CISO.

La Loi 25 ne dit pas « vous avez besoin d'un CISO ». Mais elle crée un ensemble d'obligations qui, mises bout à bout, dessinent le contour exact de ce rôle : quelqu'un qui comprend la sécurité, la gouvernance, la conformité, et qui peut en rendre compte à la direction.

Les sanctions prévues par la Loi 25 sont à deux niveaux : des sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et des sanctions pénales pouvant grimper jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial. Elles rendent le leadership en cybersécurité beaucoup moins optionnel qu'il ne l'était avant 2022.

L'option que la majorité des PME ne connaît pas encore

Il existe une troisième voie entre « ne pas avoir de CISO » et « embaucher un cadre à 150 000 $ et plus ». C'est le modèle du CISO virtuel, ou vCISO.

Un vCISO est un professionnel chevronné en cybersécurité qui assume le rôle de leader en sécurité pour votre organisation, à temps partiel. Il siège à vos comités, accompagne votre équipe TI, prépare votre feuille de route, dialogue avec votre CA et vos assureurs, mais sur la base d'un mandat adapté à vos besoins et à votre budget.

Un vCISO ne passe pas déposer un rapport de 200 pages pour disparaître ensuite. C'est un partenaire qui s'investit dans votre organisation, qui connaît votre réalité, et qui fait avancer la sécurité au rythme de vos projets.

Le modèle vCISO gagne du terrain rapidement auprès des PME qui réalisent qu'elles ont besoin de leadership en sécurité, mais que l'embauche à temps plein n'est pas réaliste. C'est une tendance de fond, portée par les exigences croissantes des assureurs, des clients et de la réglementation.

Lundi matin : les questions à poser

Vous n'avez pas besoin d'attendre un incident pour agir. Voici cinq questions à poser à votre équipe cette semaine. Si personne ne peut y répondre clairement, c'est un signal :

« Si un rançongiciel frappe demain matin, qui coordonne notre réponse, étape par étape? » Pas qui appelle le fournisseur TI. Qui dirige l'ensemble : les communications, les décisions d'affaires, la notification réglementaire?

« Qui est notre responsable nommé en vertu de la Loi 25, et est-ce que cette personne a le temps, la formation et l'autorité pour remplir ce rôle? » Nommer quelqu'un, c'est bien. S'assurer qu'il ou elle peut réellement agir, c'est mieux.

« Quand notre CA ou nos assureurs posent des questions sur notre posture de sécurité, qui répond? » Si la réponse est « on improvise », vous avez identifié un vide.

« Notre directeur TI porte-t-il aussi la responsabilité de la cybersécurité stratégique? Est-ce réaliste? » La question n'est pas de savoir s'il est compétent. C'est de savoir s'il a la capacité d'ajouter ce rôle à tout ce qu'il fait déjà.

« Avons-nous une feuille de route en cybersécurité, ou réagissons-nous au coup par coup? » Un plan, même simple, change tout. Mais quelqu'un doit le porter.

Si ces questions vous laissent inconfortable, c'est normal. Elles laissent la majorité des dirigeants inconfortables. L'important, c'est d'y répondre avant qu'un mercredi matin ne s'en charge pour vous.

Besoin de leadership en cybersécurité?

Si votre organisation a besoin de leadership en cybersécurité, que ce soit pour la conformité, la gouvernance ou tout simplement pour dormir un peu mieux la nuit, explorez notre service vCISO.

Vous pouvez aussi explorer nos services de conformité Loi 25 et de conseil stratégique en cybersécurité.

Mario Bouchard est président d'InfoSec Sécurité de l'information Inc., une firme de conseil stratégique en cybersécurité basée à Québec. Avec plus de 30 ans d'expérience, il accompagne les CISO et leaders TI pour faire de la cybersécurité un accélérateur de livraison. infosecurite.com

Sources

IBM — Cost of a Data Breach Report 2024 (Ponemon Institute, publié juillet 2024). Coût moyen d'une brèche : 4,88 M$ US. Impact de la pénurie de personnel de sécurité : +1,76 M$ par brèche. Coût moyen par dossier : 164 $ US. Basé sur 604 organisations dans 16 pays. ibm.com/reports/data-breach (PDF)
Verizon — 2025 Data Breach Investigations Report. Fréquence des attaques contre les PME comparativement aux grandes organisations. verizon.com/dbir
Loi 25 — Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, Gouvernement du Québec. Entrée en vigueur par phases, dernière phase effective en septembre 2024. Sanctions administratives : jusqu'à 10 M$ ou 2 % du CA mondial. Sanctions pénales : jusqu'à 25 M$ ou 4 % du CA mondial. legisquebec.gouv.qc.ca