Vecteur 25 · Sécurité numérique ·Mars 2026 ·5 min ·Loi 25 · SaaS · Cybersécurité

Votre site est une cible.
Avec l'IA, c'est une autre game.

Avant, pirater un site demandait du temps et une cible valable. Votre PME n'était pas intéressante. Aujourd'hui, n'importe qui avec 20$ par mois peut scanner des milliers de sites, identifier vos failles, et les exploiter automatiquement. Vous êtes devenu intéressant.

Le contexte

L'IA a industrialisé les cyberattaques

Ce n'est plus une question de sophistication. C'est une question d'échelle. Et à cette échelle, votre taille ne vous protège plus.

65k SITES / SCAN
Portée d'un scan IA
65 000 sites analysés en moins de 2 minutes. Votre hébergeur, votre SSL, vos ports : tout est visible.
20$ / MOIS
Coût d'entrée
Un abonnement à un outil IA suffit. Aucune expertise technique requise pour lancer une attaque automatisée.
83% DES PME
Non conformes Loi 25
Plus de 8 PME québécoises sur 10 ne respectent pas l'ensemble des obligations de la Loi 25.
Avant l'IA
Avec l'IA
Portée
Quelques cibles
Milliers
Temps
Heures à jours
Minutes
Coût
Expertise requise
20 $ / mois

Votre clinique, votre boutique, votre SaaS traite des données personnelles. C'est suffisant pour être une cible. L'IA fait le reste.

Cadre légal

La Loi 25 : vous n'avez plus le choix

Depuis septembre 2024, toutes les dispositions sont en vigueur. La CAI n'envoie pas d'avertissement préalable. Elle enquête, constate, sanctionne. Ses décisions sont rendues publiques.

Sept. 2022
Désignation d'un RPRP obligatoire. Notification des incidents à la CAI.

Nommer un responsable, signaler tout incident à risque sérieux dans les 72 heures.

Sept. 2023
Politique de confidentialité publiée. Consentement explicite. Droit à l'effacement.

Le consentement implicite ne suffit plus. Vos utilisateurs peuvent exiger la suppression de leurs données.

Sept. 2024
Toutes les dispositions en vigueur. ÉFVP obligatoire avant tout partage hors Québec.

Votre CRM américain, votre outil d'analyse, votre hébergeur : tout passe au crible.

Maintenant
Non-conformité : sanctions de la CAI. Décisions rendues publiques.

Aucune période de grâce. La CAI n'envoie pas d'avertissement préalable.

0$ 25M$ 25M$ OU 4% DU CA
Sanction maximale CAI
La sanction maximale prévue par la Loi 25 Le montant le plus élevé entre 25 millions de dollars et 4% du chiffre d'affaires mondial s'applique, à une PME de 10 employés autant qu'à une multinationale.

La CAI ne fait pas de distinction de taille. Elle fait une distinction de conformité.
Applicable dès maintenant
Les vulnérabilités

Ce qui vous expose :
cliquez pour en savoir plus

Pour la majorité des organisations, la surface d'attaque la plus exposée n'est pas le réseau interne. C'est le site web.

Critique
Hébergement

Hébergement US

AWS, GCP, Azure US par défaut. Vos données quittent le Québec à chaque requête.

AWS us-east-1, GCP us-central1, Azure East US : régions par défaut de la majorité des hébergeurs populaires. Si personne n'a explicitement configuré une région canadienne, vos données transitent hors Québec. Ce n'est pas une zone grise, c'est une non-conformité directe à la Loi 25. Vecteur 25 héberge exclusivement sur OVH Canada, à Beauharnois, QC.
Élevé
SSL / TLS

SSL mal configuré

Le cadenas vert ne garantit rien. TLS 1.0, HSTS absent, sous-domaine expiré : tout passe.

Un certificat SSL valide, c'est le minimum. Ce qui protège réellement : le profil TLS (1.2 minimum, 1.3 recommandé), les suites de chiffrement, la présence du header HSTS, le renouvellement automatique. Un seul sous-domaine expiré suffit à exposer l'ensemble de vos échanges.
Élevé
Pare-feu applicatif

Aucun firewall app

Sans WAF, chaque requête malveillante frappe directement votre application. En silence.

Injections SQL, XSS, scraping agressif, brute force : tout passe. Cloudflare ou Nginx + ModSecurity intercepte en amont, journalise les tentatives, et génère les preuves de diligence raisonnable que la CAI peut vous demander en cas d'incident.
Critique
Base de données

DB exposée

Port 5432, 3306 ou 27017 ouvert ? Les bots scannent ces ports en ce moment même.

Les bots sondent en continu les ports PostgreSQL (5432), MySQL (3306) et MongoDB (27017). Si le vôtre est exposé, il reçoit des tentatives de connexion. Un seul accès non autorisé déclenche l'obligation de notification individuelle sous la Loi 25.
Moyen
Journaux d'audit

Aucun journal d'audit

Sans logs structurés, vous ne pouvez ni détecter une intrusion ni vous défendre devant la CAI.

En cas d'incident, la CAI vous demandera quand ça s'est produit, quelles données ont été touchées, quelles mesures ont été prises. L'absence de réponse n'est pas neutre : elle est interprétée comme de la négligence.
Élevé
CMS / Plugins

CMS non mis à jour

WordPress 6.1 avec 12 plugins en retard : une CVE connue suffit pour compromettre l'ensemble du site.

Les scanners IA identifient la version exacte de votre CMS et croisent avec les bases de vulnérabilités connues (CVE). Un plugin WooCommerce non mis à jour depuis 6 mois peut exposer vos données clients à une injection SQL documentée et exploitable en quelques secondes.
Le vrai coût

Ce que ça coûte de ne pas agir

Une fuite ne commence pas par une amende. Elle commence par un courriel à envoyer à chaque client, un rapport à la CAI dans les 72 heures, et une explication à préparer pendant que vous gérez la crise.

847 CLIENTS
01
Notification individuelle de chaque client

Pas un courriel de masse. Chaque personne, individuellement. Dès le premier cas.

72h LÉGAL
02
Rapport à la CAI dans les 72 heures

Week-end compris. Sans extension possible. Sans bonne foi qui tient lieu d'excuse.

-inf CONFIANCE
03
Perte de confiance immédiate des clients

Aucun bilan ne la quantifie. Aucun communiqué ne la répare vraiment.

$$$ JURIDIQUE
04
Honoraires juridiques et frais d'enquête

Même sans amende au final, la facture arrive bien avant la décision.

Êtes-vous prêt ?

5 questions à vous poser ce soir

Si quelqu'un accédait à votre base de données clients ce soir, seriez-vous capable de répondre à ces cinq questions demain matin ?

Sans journaux d'accès centralisés et horodatés, la réponse honnête est non. Or la Loi 25 exige que vous documentiez l'incident avec précision dans votre rapport à la CAI. "On ne sait pas exactement quand" n'est pas une réponse acceptable.
Quelles tables, quels champs, quels clients ? Sans registre des traitements, vous ne pouvez pas répondre. Et sans réponse, vous ne pouvez pas respecter l'obligation de notification individuelle.
72 heures calendrier, week-end inclus. Identifier l'incident, évaluer sa gravité, documenter les mesures prises. Tout ça en pleine gestion de crise. Sans procédure écrite et testée, ce délai est irréaliste.
Chaque personne affectée doit être avisée individuellement. Vous devez avoir ses coordonnées à jour et une trace que l'envoi a bien eu lieu. Si votre liste clients est dispersée dans trois outils différents, cette étape devient un cauchemar opérationnel au pire moment.
La CAI évaluera si vous aviez pris des mesures raisonnables. "On avait un mot de passe fort" ne constitue pas une défense. Ce qui compte : une politique documentée, une ÉFVP pour les transferts hors Québec, des audits périodiques. Sans trace écrite, ces mesures n'existent pas aux yeux de la CAI.
Vecteur 25 · Audit de présence numérique

On peut regarder ça ensemble

Un regard externe sur votre SSL, votre configuration serveur, votre exposition aux données et votre conformité Loi 25.

Demander un audit →