Boulet Stratégies TI
← Retour au blog

Le CA qui ignore la cybersécurité risque plus que l'entreprise

Christian Boulet
LeadershipCybersécurité
Le CA qui ignore la cybersécurité risque plus que l'entreprise

(En 2026, c'est un devoir fiduciaire)

« La cybersécurité? C'est l'affaire du TI. »

On a entendu ça trop souvent.

Et chaque fois, je pose la même question: « Si votre directeur financier vous disait que les états financiers, c'est son affaire et pas la vôtre — vous accepteriez? »

Silence.

Le chiffre qui devrait vous empêcher de dormir

6,98 millions de dollars.

C'est le coût moyen d'une brèche de données au Canada en 2024. En hausse de 10% par rapport à l'année précédente.

Pour une PME de 50 employés, c'est la différence entre survivre et fermer.

Et pourtant, 60% des PME québécoises ne considèrent toujours pas la cybersécurité comme une « priorité opérationnelle ». On me dit souvent que c'est trop cher, mais que c'est aussi très important.

Ce qui change en 2026

Aux États-Unis, la SEC exige maintenant que les entreprises cotées divulguent les incidents cyber dans les 4 jours. Les administrateurs qui n'ont pas de processus de supervision adéquat s'exposent à des poursuites personnelles.

Le Canada suit.

La Loi 25 au Québec impose déjà des obligations strictes sur la protection des renseignements personnels. Les amendes peuvent atteindre 25 millions de dollars ou 4% du chiffre d'affaires mondial.

Mais au-delà des amendes, c'est la responsabilité personnelle des administrateurs qui émerge.

En 2026, superviser la cybersécurité ne sera plus une option. Ce sera un devoir fiduciaire.

Au même titre que la supervision financière.

« Mais je ne suis pas un expert en technologie »

Vous n'êtes probablement pas comptable non plus. Ça ne vous empêche pas de poser des questions sur les états financiers.

La cybersécurité, c'est pareil.

Vous n'avez pas besoin de comprendre les détails techniques. Vous avez besoin de poser les bonnes questions.

5 questions que chaque Conseil d'Administration devrait poser — maintenant

1. « Avons-nous un inventaire complet de nos données sensibles? »

Vous ne pouvez pas protéger ce que vous ne connaissez pas. Données clients, données employés, propriété intellectuelle, données financières — où sont-elles? Qui y a accès?

Vous "pensez" que c'est documenté ? Alors demandez à voir,c'est votre responsabilité.

2. « Quel est notre plan si on se fait attaquer demain matin? »

72% des PME canadiennes ont subi une cyberattaque cette année. Ce n'est plus « si », c'est « quand ».

Avez-vous un plan de réponse aux incidents? L'avez-vous testé? Qui appelle-t-on en premier? Et plusieurs personnes doivent connaitre le plan, pas juste le "gars des TI".

3. « Nos sauvegardes sont-elles isolées et testées? »

Parmi les PME victimes de rançongiciel, la majorité finit par payer. Pourquoi? Parce que leurs sauvegardes étaient soit inexistantes, soit connectées au réseau (donc chiffrées aussi), soit jamais testées.

4. « L'authentification multifacteur est-elle obligatoire partout? »

Le MFA bloque 99% des attaques automatisées. C'est gratuit ou presque. Et pourtant, combien de vos systèmes critiques en sont encore dépourvus?

5. « Quand avons-nous formé nos employés pour la dernière fois? »

Le phishing reste la porte d'entrée #1. Avec l'IA générative, les emails frauduleux sont maintenant indiscernables des vrais. Vos employés savent-ils quoi faire?

Le vrai risque pour les administrateurs

On ne vous reprochera pas de ne pas tout comprendre.

On vous reprochera de ne pas avoir posé les questions.

Un CA qui peut démontrer qu'il a:

  • Demandé des rapports réguliers sur la posture de sécurité
  • Questionné les investissements et les risques
  • Exigé un plan de réponse aux incidents
  • Fait former les employés

...sera dans une position très différente d'un CA qui a délégué aveuglément « aux TI ».

Votre prochaine réunion de CA

Mettez la cybersécurité à l'ordre du jour.

Pas comme point d'information. Comme point de décision.

Posez les 5 questions. Exigez des réponses écrites. Documentez que vous l'avez fait.

En 2026, cette documentation pourrait valoir beaucoup plus que vous ne le pensez.

La cybersécurité n'est plus l'affaire du responsable TI.

C'est l'affaire du CA.

Et ceux qui l'ignorent risquent bien plus que l'entreprise.

*Christian Boulet est Fractional CTO et conseille les PME québécoises sur leur stratégie technologique et leur gouvernance numérique.