Cybersécurité à Sherbrooke : audit, NIS2 et RGPD pour PME et ETI
CyberConform accompagne les entreprises sherbookoises dans leur conformité à la Loi 25 du Québec (LPRPSP) et à la LPRPDE fédérale, dans la capitale de l'Estrie où l'Université de Sherbrooke (forte en cybersécurité et en génie), le CIUSSS de l'Estrie (CHUS), BRP (Bombardier Produits Récréatifs) et Kruger représentent des piliers économiques aux enjeux de protection des données très distincts. Ville universitaire dynamique avec une forte tradition industrielle, Sherbrooke combine recherche appliquée, manufacturier et services de santé dans un tissu économique estryen diversifié.
Pourquoi un cabinet cyber implanté à Sherbrooke ?
Sherbrooke est la ville universitaire québécoise par excellence avec l'Université de Sherbrooke (UdeS) et son Centre de Recherche sur les Systèmes Distribués et les Technologies de l'Information (GRIDS), réputée pour son programme coopératif de génie informatique et ses recherches en cybersécurité. Le CIUSSS de l'Estrie - CHUS (Centre Hospitalier Universitaire de Sherbrooke) est le plus grand employeur de la région avec plusieurs milliers de professionnels de la santé gérant des données de patients très sensibles. BRP (Bombardier Produits Récréatifs, siège à Valcourt mais présence industrielle à Sherbrooke) fabrique des Ski-Doo, Sea-Doo et Outlander et intègre de plus en plus de systèmes connectés (IoT, télématique). Kruger Inc. (papier, pâte à papier, produits forestiers) opère des usines avec des systèmes OT/IT industriels. L'économie sherbrookoise est complétée par des PME manufacturières (plastiques, métal, alimentation), des PME de services TI et une scène startup naissante autour de l'UdeS. La Loi 25 québécoise s'applique à toutes ces organisations pour les données de leurs employés, clients et partenaires.
Secteurs accompagnés
- Université de Sherbrooke et recherche (GRIDS, génie informatique, coops, spin-offs)
- Santé (CIUSSS Estrie - CHUS, Hôpital de l'Estrie, cliniques privées)
- Industrie manufacturière (BRP Valcourt, Kruger, PME plastiques, métallurgie)
- PME de services et TI (ESN, développeurs, services aux entreprises)
- Commerce et services locaux (centres commerciaux, distribution, e-commerce)
- Agroalimentaire et agriculture (producteurs, coopératives, Lactel Parmalat)
Zones d'intervention
- Centre-ville de Sherbrooke (institutions, commerces, PME, hôtels)
- Fleurimont et Rock Forest (CHUS, zones industrielles est)
- Lennoxville (Université Bishop's, communauté anglophone, services)
- Brompton et Windsor (industrie, Kruger, zones rurales périurbaines)
- Magog et Memphrémagog (tourisme lacustre, PME, résidentiel secondaire)
- Estrie régionale (Coaticook, Lac-Mégantic, Granby — manufacturier, agroalimentaire)
Nos services de cybersécurité à Sherbrooke
Audit de cybersécurité
Diagnostic complet selon les référentiels ANSSI et ISO 27001.
Mise en conformité NIS2
Accompagnement de bout en bout pour les PME et ETI concernées.
Test d'intrusion (Pentest)
Simulation d'attaques réalistes sur vos systèmes et applications.
Conformité RGPD
Audit RGPD, DPO externalisé et registre des traitements.
RSSI à temps partagé
Pilotage cybersécurité sans recruter en interne.
Réponse à incident 24/7
Cellule de crise et investigation forensique en cas d'attaque.
PME & ETI
Notre cœur de cible
24/7
Cellule de crise cyber
ANSSI
Méthodologie certifiante
FAQ — Cybersécurité à Sherbrooke
L'Université de Sherbrooke est-elle soumise à la Loi 25 et quelles sont ses obligations ?+
L'Université de Sherbrooke (UdeS), établissement d'enseignement supérieur public, est soumise à la Loi sur l'accès (secteur public québécois) pour ses données d'étudiants et d'employés. Pour les projets de recherche impliquant des données personnelles (essais cliniques, études de comportement, données génétiques), le Comité d'éthique de la recherche (CER) de l'UdeS doit approuver les protocoles. Les start-ups et spin-offs de l'UdeS, en tant qu'entreprises privées, sont soumises à la Loi 25 du secteur privé. Les programmes coopératifs (stages) génèrent des traitements de données d'étudiants entre l'université et les entreprises d'accueil : des clauses de confidentialité adaptées à la Loi 25 sont nécessaires dans les conventions de stage. CyberConform accompagne les entreprises estryennes qui reçoivent des stagiaires de l'UdeS.
Comment le CIUSSS de l'Estrie - CHUS protège-t-il les données de santé de ses patients ?+
Le CIUSSS de l'Estrie - CHUS (Centre Hospitalier Universitaire de Sherbrooke) est soumis à la Loi sur l'accès (secteur public) et à la Loi sur les services de santé et services sociaux (LSSSS) pour les données de santé de ses patients. Depuis septembre 2023 (Loi 25), les patients ont un droit d'accès renforcé à leurs données de santé et un droit à la portabilité. Le dossier patient électronique (DPE), les systèmes de prescription électronique, les appareils médicaux connectés (IoMT) et les systèmes de télésoins génèrent des données sensibles qui doivent être chiffrées, accessibles uniquement sur besoin fonctionnel, et protégées par des systèmes de détection d'intrusion. CyberConform peut accompagner les sous-traitants et fournisseurs TI du CIUSSS dans leurs obligations de protection des données de santé.
BRP (Bombardier Produits Récréatifs) est-il soumis à la Loi 25 et comment sécurise-t-il ses véhicules connectés ?+
BRP est soumis à la Loi 25 québécoise pour les données de ses employés estriens et à la LPRPDE fédérale pour les données de ses clients canadiens hors Québec, et aux lois de protection des données des autres pays où il opère. Les véhicules connectés BRP (Sea-Doo avec Connected Features, Ski-Doo avec GPS et télématique, Outlander avec systèmes de navigation) collectent des données de localisation et d'utilisation soumises aux lois de protection des données. BRP doit obtenir un consentement clair des utilisateurs pour la collecte de ces données télémétriques. Les usines BRP disposent de systèmes OT (SCADA, robotique) qui nécessitent une segmentation stricte des réseaux IT/OT. CyberConform accompagne les ETI manufacturières québécoises comme les sous-traitants de BRP.
Quel coût pour un audit de conformité Loi 25 pour une PME de Sherbrooke ?+
Pour une PME de Sherbrooke de 10 à 60 employés, un audit de conformité Loi 25 par CyberConform est compris entre 4 000 et 10 000 $ CAD HT. Les PME manufacturières avec des systèmes OT/IT peuvent nécessiter un audit étendu (jusqu'à 15 000 $ CAD HT). Les startups de l'UdeS ou de l'incubateur d'entreprises Sherbrooke Innopole bénéficient d'un pack startup cyber à partir de 2 200 $ CAD HT incluant l'audit Loi 25 et les recommandations de sécurité cloud. Des subventions provinciales Estrie (Développement économique Canada, MESI) peuvent cofinancer jusqu'à 40 % d'un projet de conformité pour les PME estriennes éligibles.
Que faire en cas de cyberattaque sur une PME manufacturière à Sherbrooke ?+
En cas de cyberattaque sur une PME manufacturière sherbrookoise, les étapes immédiates sont : (1) Isoler les réseaux OT des réseaux IT (pour éviter la propagation aux automates et robots de production), (2) Contacter CyberConform pour une intervention d'urgence en Estrie, (3) Documenter l'incident dans le registre des incidents de confidentialité, (4) Si des renseignements personnels sont compromis et présentent un risque de préjudice sérieux : notifier la CAI et les individus concernés, (5) Alerter votre assureur cyber pour déclencher la couverture d'urgence. Pour les sous-traitants de BRP ou Kruger, notifiez rapidement le donneur d'ordre : des clauses contractuelles de sécurité peuvent imposer une notification dans les 24 à 72 h. CyberConform dispose d'équipes disponibles pour Sherbrooke et la région de l'Estrie.
Cybersécurité dans les villes proches de Sherbrooke
CyberConform intervient également auprès des entreprises de ces villes (Canada) :
Audit cybersécurité gratuit pour les entreprises de Sherbrooke
15 minutes avec un expert pour évaluer votre exposition aux cybermenaces et votre conformité NIS2 / RGPD.
Réserver mon diagnostic gratuit