Canada — Québec

    Cybersécurité à Québec : audit, NIS2 et RGPD pour PME et ETI

    CyberConform accompagne les entreprises et administrations québécoises dans leur conformité à la Loi 25 (LPRPSP) et à la LPRPDE fédérale, dans la capitale provinciale où l'Assemblée Nationale, les ministères provinciaux, SSQ Assurance, Intact Financial et l'Université Laval constituent les principaux acteurs d'un tissu économique dominé par le secteur public et les services aux gouvernements. Ville de Champlain et patrimoine UNESCO, Québec combine administration publique, tourisme et une scène tech naissante en pleine croissance.

    Pourquoi un cabinet cyber implanté à Québec ?

    La ville de Québec est avant tout une capitale administrative : l'Assemblée Nationale du Québec, une vingtaine de ministères provinciaux (dont le Conseil du Trésor qui gère les systèmes informatiques du gouvernement), la Sûreté du Québec, la Caisse de dépôt et placement du Québec (antenne), et des dizaines d'organismes para-publics (CÉGEP, commission scolaires) y concentrent des données personnelles de millions de citoyens québécois. SSQ Assurance (fusionné avec La Capitale pour former Beneva, siège à Québec) et Intact Financial (assurance, siège Canada à Montréal mais forte présence à Québec) sont des géants de l'assurance soumis à la Loi 25 et à la LPRPDE. L'Université Laval dispose d'un Centre de Recherche en Cybersécurité (CRC-Cyber). Le tourisme (Vieux-Québec, Château Frontenac, Carnaval) génère un flux de données touristiques (réservations, cartes bancaires) soumis à la Loi 25. Le secteur de la construction et du BTP est très actif avec la croissance de la ville. La Loi 25 québécoise impose à toutes ces organisations la désignation d'un Responsable de la protection des données (RPD) et le signalement des incidents à la CAI.

    Secteurs accompagnés

    • Gouvernement provincial (Assemblée Nationale, Ministères, Conseil du Trésor, Sûreté du Québec)
    • Assurances et finance (Beneva/SSQ, Intact, Industrielle Alliance, Desjardins Capital)
    • Santé (CHU de Québec-Université Laval, CIUSSS de la Capitale-Nationale, CHUL)
    • Université Laval et recherche (CRC-Cyber, spin-offs, UQAM antenne)
    • Tourisme et hôtellerie (Château Frontenac/Fairmont, IQ Tourisme, agences)
    • Industrie et construction (BTP, optique, photonique, Optech, INO)

    Zones d'intervention

    • Vieux-Québec et Haute-Ville (institutions gouvernementales, tourisme, patrimoine)
    • Saint-Roch et Saint-Sauveur (startups tech, ESN, co-working, commerces)
    • Sainte-Foy et Plateau (universités, bureaux gouvernementaux, commerces)
    • Beauport et Charlesbourg (PME, résidentiel, services locaux)
    • Lévis (rive-sud, Desjardins siège historique, PME industrielles)
    • Région de Québec (Donnacona, Portneuf, Bellechasse — manufacturier, agroalimentaire)

    Nos services de cybersécurité à Québec

    Audit de cybersécurité

    Diagnostic complet selon les référentiels ANSSI et ISO 27001.

    Mise en conformité NIS2

    Accompagnement de bout en bout pour les PME et ETI concernées.

    Test d'intrusion (Pentest)

    Simulation d'attaques réalistes sur vos systèmes et applications.

    Conformité RGPD

    Audit RGPD, DPO externalisé et registre des traitements.

    RSSI à temps partagé

    Pilotage cybersécurité sans recruter en interne.

    Réponse à incident 24/7

    Cellule de crise et investigation forensique en cas d'attaque.

    PME & ETI

    Notre cœur de cible

    24/7

    Cellule de crise cyber

    ANSSI

    Méthodologie certifiante

    FAQ — Cybersécurité à Québec

    Les ministères provinciaux à Québec sont-ils soumis à la Loi 25 ?+

    Oui, mais avec un cadre spécifique. Les organismes publics québécois (ministères, organismes gouvernementaux, établissements de santé et d'éducation) sont soumis à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi accès), et non directement à la Loi 25 qui s'applique au secteur privé. Cependant, depuis les réformes de 2022, les obligations sont alignées : désignation d'un Responsable de la protection des données, registre des incidents, notification à la CAI. Le Conseil du Trésor est responsable de l'encadrement informatique du gouvernement québécois (Politique-cadre sur la gouvernance et la gestion des ressources informationnelles). CyberConform accompagne les sous-traitants et fournisseurs TI des ministères québécois pour répondre aux exigences de sécurité contractuelles.

    Comment Beneva (SSQ + La Capitale) gère-t-elle sa conformité à la Loi 25 ?+

    Beneva (née de la fusion de SSQ Assurance et La Capitale, siège à Québec, 1 500 employés+) est l'une des plus grandes compagnies d'assurance québécoises, gérant des millions de dossiers d'assurés. La Loi 25 impose à Beneva : la désignation d'un Responsable de la protection des données (RPD) accessible publiquement, la rédaction de politiques de confidentialité claires pour tous ses produits, la gestion rigoureuse des consentements (assurance vie, assurance santé collective), les EFVP pour les nouveaux traitements à risque élevé (analyses actuarielles, profilage clients), et la notification des incidents à la CAI et aux assurés concernés. CyberConform peut réaliser des audits de conformité Loi 25 pour les assureurs québécois et leurs sous-traitants de traitement de données.

    Quel coût pour un audit de conformité Loi 25 pour une PME de la ville de Québec ?+

    Pour une PME québécoise de 10 à 60 employés, un audit de conformité Loi 25 par CyberConform est généralement compris entre 5 000 et 12 000 $ CAD HT. Les organismes para-publics (CÉGEP, commissions scolaires, OBNL) peuvent bénéficier d'un tarif adapté (dès 3 500 $ CAD HT). L'audit comprend : inventaire des renseignements personnels, désignation du RPD, politique de confidentialité, registre des incidents, et plan de conformité échelonné. Les entreprises qui fournissent des services TI aux ministères provinciaux peuvent nécessiter un audit étendu aux exigences de sécurité gouvernementales (AIST — Architecture intégrée des services de TI). Un devis gratuit est disponible sous 48 h.

    L'Université Laval est-elle soumise à la Loi 25 et comment protège-t-elle les données de recherche ?+

    L'Université Laval est soumise à la Loi sur l'accès (secteur public) pour ses traitements de données d'étudiants et d'employés, et aux dispositions applicables à la recherche (EPTC2 — Énoncé de politique des trois Conseils pour la recherche sur des êtres humains). Pour les projets de recherche impliquant des données personnelles (données de santé, données génétiques, études comportementales), un Comité d'éthique de la recherche (CER) doit approuver le protocole de protection des données. Le CRC-Cyber de l'Université Laval est un actif précieux pour la formation et la recherche appliquée en cybersécurité au Québec. CyberConform peut collaborer avec l'Université Laval pour des projets de conformité et de sensibilisation.

    Que faire en cas de cyberattaque à Québec ?+

    En cas de cyberattaque à Québec, les étapes immédiates sont : (1) Isoler les systèmes compromis, (2) Contacter CyberConform pour intervention d'urgence à Québec, (3) Documenter l'incident dans le registre des incidents de confidentialité, (4) Si l'incident présente un risque sérieux de préjudice : notifier la CAI (Commission d'accès à l'information) et les individus concernés sous 72 h, (5) Pour les organismes gouvernementaux : informer le CGEST (Centre gouvernemental de cybersécurité) qui coordonne la réponse aux incidents affectant les systèmes gouvernementaux québécois. La Sûreté du Québec dispose d'une unité de lutte contre la cybercriminalité à contacter pour les infractions pénales. CyberConform intervient à Québec et sur toute la région de la Capitale-Nationale pour les urgences cyber.

    Cybersécurité dans les villes proches de Québec

    CyberConform intervient également auprès des entreprises de ces villes (Canada) :

    Audit cybersécurité gratuit pour les entreprises de Québec

    15 minutes avec un expert pour évaluer votre exposition aux cybermenaces et votre conformité NIS2 / RGPD.

    Réserver mon diagnostic gratuit