Le 17 février dernier, une entreprise bien connue des Québécois a été victime d’une cyberattaque majeure. Selon les informations rendues publiques, l’intrusion aurait commencé par l’exploitation d’un formulaire de communication intégré à un site vitrine. En quelques heures, des renseignements personnels sensibles étaient compromis.
Tout aurait commencé par un formulaire.
Ce même type de formulaire que l’on retrouve sur pratiquement tous les sites d’entreprise au Québec.
Et c’est précisément ce qui devrait nous inquiéter.
Ce fameux formulaire « banal »
Un site vitrine, c’est le site classique d’une PME : il présente les services, l’équipe, les coordonnées. Il ne vend pas nécessairement en ligne. Son objectif est simple : informer et inciter à entrer en contact.
Pour permettre cette prise de contact, on y retrouve presque toujours un formulaire. Nom, courriel, message, parfois une pièce jointe. On clique sur « Envoyer », et le message est transmis à l’entreprise.
Dans l’esprit de plusieurs dirigeants, ce formulaire est un simple outil marketing. Il sert à générer des demandes de soumission ou des prospects.
Mais techniquement, ce n’est pas qu’un bouton relié à une boîte courriel.
Lorsqu’un utilisateur soumet un formulaire, les données transitent vers le serveur qui héberge le site. Un programme traite l’information, l’enregistre parfois dans une base de données, ou la redirige vers un système interne. Si des fichiers peuvent être joints, ils sont téléversés sur l’infrastructure.
Autrement dit, ce petit module devient un point d’accès direct à votre environnement numérique.
Et si ce point d’accès est mal protégé, il peut devenir une brèche.
Quand le marketing touche à l’infrastructure
Dans plusieurs PME, le site web relève du marketing. Il est conçu par une agence ou un développeur externe. Il fonctionne. Il est beau. Il génère des leads.
Mais rarement est-il audité avec la même rigueur qu’un serveur interne ou qu’un environnement Microsoft 365.
Si le formulaire est mal configuré, un attaquant peut tenter d’y insérer un fichier malveillant ou d’exploiter une vulnérabilité connue. Si le serveur accepte ce contenu sans validation stricte, le code peut être exécuté.
Et ensuite?
Tout dépend de l’architecture.
Si le site web est isolé dans un environnement distinct, les dommages peuvent être limités. Mais si le même serveur héberge également des bases de données internes — par exemple des informations RH — l’attaque peut prendre une toute autre ampleur.
Il suffit parfois que les permissions soient trop généreuses ou que les données ne soient pas correctement segmentées pour que l’intrusion progresse.
Le problème invisible : l’architecture héritée
Beaucoup d’entreprises ont construit leur infrastructure progressivement. On ajoute un site web ici, une base de données là, un outil interne ailleurs. Avec le temps, tout cohabite sur le même serveur ou dans le même environnement d’hébergement.
Ce n’est pas toujours fait par négligence. Souvent, c’est une question de budget ou de simplicité.
Mais en 2026, avec la réalité des cybermenaces et les obligations de la Loi 25, ce type de configuration devient risqué.
Un site public est exposé en permanence à Internet. Il est scanné, testé, sondé automatiquement par des robots malveillants. Si une faiblesse existe — une mise à jour non appliquée, un plugin obsolète, une validation insuffisante — elle finira par être découverte.
Et si, derrière ce site, se trouvent des données sensibles non chiffrées ou insuffisamment protégées, l’impact peut être majeur.
Une responsabilité qui dépasse le développeur
Il serait facile de conclure que tout repose sur le programmeur qui a créé le formulaire. Mais la sécurité d’un système ne dépend pas d’une seule personne.
Elle dépend de la gouvernance en place.
Qui est responsable des mises à jour du site? Qui valide la configuration du serveur? Les données sensibles sont-elles chiffrées? L’environnement public est-il isolé des systèmes critiques?
Ces questions relèvent de la direction autant que du service TI.
Un formulaire web vulnérable n’est pas simplement un défaut technique. C’est souvent le symptôme d’un manque de supervision globale.
Bref…
Un site web est conçu pour attirer des opportunités. Mais mal sécurisé, il peut devenir un cheval de Troie silencieux.
La cybersécurité ne commence pas toujours par des systèmes complexes. Elle commence parfois par un détail que tout le monde considère inoffensif.
Comme un formulaire de contact.
Si cet article vous amène à vous interroger sur votre propre infrastructure, les spécialistes de Mon Technicien peuvent vous accompagner. Notre équipe aide déjà plusieurs PME du Québec à analyser leur architecture TI, sécuriser leurs sites web et prévenir les incidents avant qu’ils ne deviennent des crises publiques.
