Une brèche d’envergure nationale
Selon un communiqué publié le 14 octobre 2025, Canadian Tire a confirmé une fuite de données touchant plusieurs de ses bannières, dont SportChek, Mark’s et Party City. Les informations compromises incluent des noms, adresses postales, courriels, années de naissance, ainsi que des mots de passe chiffrés. Pour environ 150 000 clients, la date de naissance complète aurait aussi été exposée. (source : La Presse )
Mais la situation s’est aggravée. Le 21 octobre, un cybercriminel a affirmé sur un forum spécialisé qu’il détient en réalité une base de données de 41 994 793 profils, dont près de 40 millions avec un mot de passe. Il propose ce fichier complet à la vente sur le dark web pour 100 000 $ US. (source : Journal de Montréal)
Cet incident, qui touche l’une des enseignes les plus emblématiques du commerce de détail canadien, a rapidement fait les manchettes. Pourtant, au-delà du choc médiatique, il révèle une réalité que bien des PME préfèrent ignorer : elles sont tout aussi vulnérables – sinon plus.
Une vérité dérangeante : les PME ne sont pas prêtes
Contrairement aux géants comme Canadian Tire, la plupart des PME n’ont ni les moyens, ni les protocoles rigoureux pour gérer une brèche majeure. Pourtant, elles détiennent elles aussi des données sensibles : coordonnées clients, informations bancaires, contrats, et plus encore.
Plus inquiétant encore, plusieurs études (dont celle de la BDC en 2024) démontrent que près de 60 % des PME canadiennes n’ont pas de plan de réponse aux incidents. Beaucoup misent sur la chance ou sur de simples antivirus pour se protéger. Une stratégie périlleuse, surtout dans un contexte où les cyberattaques ciblées augmentent.
Ce que Canadian Tire nous apprend (ou rappelle)
L’incident met en lumière plusieurs failles critiques que toute organisation, peu importe sa taille, devrait considérer. Il s’agit notamment de la surveillance des accès aux données — qui a accès à quoi, et pourquoi. Trop souvent, les comptes utilisateurs ne sont ni audités, ni désactivés lorsqu’un employé quitte l’entreprise.
Il faut aussi porter attention aux données dormantes. Ces vieilles bases de données oubliées ou non nettoyées représentent une mine d’or pour les pirates. Enfin, la détection tardive est un problème majeur : dans bien des cas, il s’écoule plusieurs semaines, voire des mois, entre l’intrusion et la découverte du vol de données.
Si une entreprise comme Canadian Tire, avec ses ressources TI massives, peut être victime d’une telle attaque, que dire d’une PME sans équipe TI ou avec des ressources techniques limitées ?
Trois questions à se poser immédiatement
- Connaissons-nous réellement l’état de notre sécurité informatique ?
- Savons-nous ce que nous ferions dans les 24 heures suivant une brèche ?
- Nos employés sont-ils formés à reconnaître les tentatives de phishing ou d’ingénierie sociale ?
Trop souvent, les failles ne sont découvertes qu’après l’attaque. Et à ce moment-là, les dommages sont déjà faits.
Des gestes concrets à adopter maintenant
Plutôt que de subir, mieux vaut prévenir. Voici quelques mesures essentielles à mettre en place sans attendre :
Activer l’authentification multifacteur (MFA) sur tous les accès critiques. Effectuer une revue régulière des accès, désactiver les comptes inutilisés et ajuster les permissions accordées selon le principe du moindre privilège. Segmenter les réseaux afin de contenir une éventuelle intrusion. Effectuer des sauvegardes régulières — et surtout, les tester. Enfin, former les employés de manière continue aux bons réflexes numériques.
La cybersécurité n’est plus une affaire de luxe — c’est une composante essentielle de la résilience d’entreprise.
Une alerte pour toutes les entreprises, grandes et petites
L’incident chez Canadian Tire est un coup de semonce. Il rappelle que la sécurité des données n’est jamais acquise et que personne n’est trop grand – ni trop petit – pour être ciblé. Les PME québécoises doivent sortir de l’inaction et adopter une posture proactive.
Si vous avez reconnu certains enjeux dans cet article, sachez que les spécialistes de Mon Technicien peuvent vous aider à y voir plus clair. Notre équipe accompagne déjà plusieurs PME du Québec pour renforcer leur sécurité TI.
