SDG : la cybersécurité suit (souvent) le budget 

avril 27, 2026
Partager 0
Tweet 0
Pin 0

Par Éric Rousseau, Amisgest Technologie Inc. 22 avril 2026 

Il est 3 h du matin. Je ne dors pas. Ça arrive, des nuits comme ça, où le cerveau refuse de décrocher. Normalement, je scrolle mon téléphone comme tout le monde. Mais cette nuit-là, je me suis posé une question qui me trottait dans la tête depuis des semaines : 

Pourquoi nos clients en services de garde ne semblent pas particulièrement impressionnés qu’on détienne une certification en cybersécurité ? 

Chez Amisgest, on accompagne le réseau des garderies et des CPE depuis longtemps. On a investi pour obtenir cette certification. On pensait que ce serait un avantage évident, une valeur ajoutée claire. Mais dans les faits ? Pas de grande réaction. Un peu comme offrir un système d’alarme à quelqu’un qui n’a jamais eu de cambriolage ça semble abstrait. 

Alors, cette nuit-là, j’ai fait ce que n’importe quel informaticien insomniaque ferait : j’ai ouvert mon terminal et j’ai commencé à écrire des scripts. 

Des miettes de pain numériques 

L’idée était simple. Le répertoire officiel du ministère de la Famille est public. On y trouve les 3 814 services de garde éducatifs du Québec avec leurs coordonnées, incluant leur adresse courriel de contact. À partir de là, sans jamais toucher à quoi que ce soit de privé, sans aucun test intrusif (exactement comme si je visitais leur site web dans mon navigateur), j’ai ramassé ce que j’appelle des miettes de pain numériques

Des indices passifs. Des informations que n’importe qui peut voir en regardant au bon endroit : les enregistrements DNS, les en-têtes de serveurs web, la géolocalisation des adresses IP, la présence ou l’absence de protocoles de sécurité courriel. Rien de secret. Rien de privé. Juste le portrait de ce que le réseau laisse voir au monde entier, sans le savoir. 

Et ce portrait, il raconte une histoire. 

4 garderies sur 10 communiquent avec les parents via Gmail ou Hotmail 

C’est probablement le chiffre qui m’a le plus frappé. Sur les 3 814 services de garde analysés, 1 570 (soit 41 %) utilisent une adresse courriel personnelle comme moyen de contact principal. On parle de Gmail (730 services), Hotmail (300), Vidéotron (201), Outlook (92), Bellnet (64) … 

Soyons clairs : je ne juge personne ici. Une directrice de garderie qui utilise son Gmail pour communiquer avec les parents, c’est quelqu’un qui fait avec les moyens du bord. Et on va y revenir, parce que les « moyens du bord », c’est le cœur du problème. 

Mais voici pourquoi ça mérite qu’on s’y attarde. Les parents envoient à ces adresses des informations sensibles : fiches d’allergie, photos d’enfants, horaires de garde, parfois même des numéros d’assurance sociale dans certains formulaires d’inscription. Tout ça atterrit dans une boîte Gmail personnelle qui, potentiellement, est partagée avec un conjoint, protégée par un mot de passe moyen, et qui partira avec la directrice le jour où elle changera d’emploi. 

Aucune traçabilité institutionnelle. Aucun contrôle de l’établissement sur la sécurité du compte. Et surtout, aucune possibilité de configurer les protocoles de sécurité courriel dont on va parler dans un instant parce que le domaine appartient à Google, pas à la garderie. 

SPF, DKIM, DMARC : trois acronymes qui protègent vos courriels (ou pas) 

Pour les 2 240 services qui disposent de leur propre domaine de courriel (genre [email protected]), j’ai vérifié trois choses : 

SPF : est-ce que le domaine dit au monde « voici les serveurs qui ont le droit d’envoyer des courriels en mon nom » ? Bonne nouvelle : 97 % l’ont configuré. 

DKIM : est-ce que les courriels sont signés numériquement pour prouver qu’ils n’ont pas été altérés en chemin ? Là, on tombe à 57 % (avec une nuance méthodologique : le vrai chiffre est probablement plus élevé, parce que mon test ne couvre pas tous les sélecteurs possibles). 

DMARC : est-ce qu’il y a une politique claire qui dit « si un courriel échoue les vérifications SPF et DKIM, rejetez-le » ? 75 % en ont une. 

Au final, seulement 47 % des services avec un domaine propre atteignent le score parfait de 3/3. Et 81 services (2 %) du total n’ont absolument rien. Zéro protection. N’importe qui pourrait envoyer un courriel en se faisant passer pour eux, et la boîte de réception du parent ne bronchera pas. 

C’est comme une porte d’entrée sans serrure. La plupart du temps, personne n’entre. Mais le jour où quelqu’un essaie… 

Les bons élèves et les autres 

Parce qu’il faut aussi souligner ce qui va bien : le Nord-du-Québec arrive en tête avec un score moyen de 2,77/3. Le Bas-Saint-Laurent suit à 2,49/3. Ce sont des régions qui, malgré des défis géographiques évidents, ont manifestement pris le virage. 

À l’autre bout du spectre, Chaudière-Appalaches, l’Estrie et l’Outaouais traînent autour de 2,06/3. Pas catastrophique, mais il y a une marge de progression. 

Et il y a un fossé entre les types d’établissements. Les CPE affichent un score moyen de 2,42/3 – DKIM à 72 %, DMARC à 72 %. Les garderies privées sont à 2,19/3, avec un DKIM à seulement 44 %. L’explication est probablement structurelle : les CPE bénéficient d’un réseau associatif (l’AQCPE, le CQSEPE) qui diffuse les bonnes pratiques. Les garderies privées sont plus isolées technologiquement. 

Vos courriels voyagent plus que vous 

Voici un autre constat qui m’a fait lever un sourcil à 4 h du matin. Sur les IP que j’ai pu géolocaliser : 

  • 58 % des serveurs de courriel sont au Canada 
  • 41 % sont aux États-Unis 
  • Le reste se disperse entre le Belize, l’Allemagne, la France… 

Dit autrement : plus d’un tiers des communications courriel des services de garde québécois transitent par des serveurs américains, principalement chez Google (756 services) et Amazon (387). Des serveurs soumis au CLOUD Act, une loi américaine qui permet aux autorités d’accéder aux données hébergées par des entreprises américaines, peu importe où le serveur est physiquement situé. 

Dans le contexte de la Loi 25 sur la protection des renseignements personnels (pleinement en vigueur au Québec depuis septembre 2023, avec des amendes pouvant atteindre 25 millions de dollars), ça mérite au minimum une réflexion. 

Encore une fois, je ne pointe personne du doigt. Quand votre fournisseur de courriel est Gmail, vos données passent par les serveurs de Google. C’est comme ça que ça marche. Mais est-ce qu’on en est conscients collectivement ? Est-ce que le ministère offre des alternatives ? C’est la question. 

154 établissements avec des logiciels vulnérables 

Là, on entre dans le côté plus technique, mais c’est important. En regardant les entêtes HTTP des sites web des services de garde (l’équivalent numérique de lire l’étiquette sur une boîte), j’ai identifié 154 établissements (4 %) qui utilisent des composants logiciels avec des vulnérabilités connues et documentées publiquement. 

Les cas les plus parlants : 

  • 42 sites tournent sur PHP 7.4, en fin de vie depuis novembre 2022. Ça veut dire : plus aucune mise à jour de sécurité depuis plus de trois ans. 
  • 19 sites sont encore sur PHP 5, une version qui n’a reçu aucun correctif depuis 2019. Sept ans sans patch. 
  • 32 sites utilisent des versions d’Apache avec des vulnérabilités connues de type path traversal  le genre de faille qui permet à un attaquant de naviguer dans les fichiers du serveur. 
  • 28 sites roulent sur des versions de WordPress obsolètes avec des vulnérabilités multiples documentées. 

Je tiens à nuancer immédiatement : la présence d’un numéro de version vulnérable dans un entête HTTP ne signifie pas automatiquement que le site est exploitable. Un hébergeur peut avoir appliqué des correctifs sans mettre à jour le numéro affiché. C’est un indicateur de maturité numérique, pas une preuve de compromission. 

Mais 19 sites sur PHP 5 en 2026… ça reste préoccupant. 

FTP : le fantôme des années 2000 

Petit aparté pour les nostalgiques. J’ai trouvé 1 178 domaines (31 %) avec un enregistrement DNS « ftp » actif. Le FTP, c’est le protocole qu’on utilisait dans les années 2000 pour transférer des fichiers vers un serveur web (en clair, sans chiffrement). 

En pratique, beaucoup de ces enregistrements pointent vers des hébergeurs mutualisés (HostPapa, OVH, GoDaddy) où le FTP sert de porte de service pour les webmasters. Ça ne veut pas dire que 1 178 serveurs FTP ouverts sont accessibles au public. Mais c’est un indice : un site moderne utilise SFTP, Git, ou le tableau de bord de son hébergeur. La présence de FTP au DNS, c’est un peu comme trouver un magnétoscope VHS encore branché sur la télé. Ça fonctionne peut-être, mais ça dit quelque chose sur l’état de la maison. 

Le vrai problème, c’est le financement 

Et c’est ici que je veux qu’on s’arrête, parce que si vous retenez une seule chose de cet article, c’est celle-ci : 

Le niveau de sécurité numérique du réseau des services de garde est directement lié au financement disponible. 

Une directrice de CPE ou de garderie, son métier, c’est de s’occuper d’enfants. De gérer du personnel, des ratios éducateurs enfants, des menus, des sorties, de la formation continue, des listes d’attente, des parents inquiets. La cybersécurité, dans son quotidien, c’est le cadet de ses soucis et c’est normal. 

Quand le gouvernement investit dans le réseau, c’est pour ouvrir des places (on en est à 239 767, dont 37 212 places poupons). Quand il y a de l’argent pour la technologie, c’est pour les plateformes de gestion, les présences, la facturation. La sécurité du courriel et la mise à jour des serveurs web ? Ce n’est dans le budget de personne. 

À ma connaissance, il n’existe en 2026 aucune directive technologique officielle du ministère pour le réseau des services de garde. Aucune exigence minimale en matière de sécurité numérique. Rien. 

Ce qui sauve le réseau, paradoxalement 

Il y a une bonne nouvelle dans tout ça, et elle est structurelle : chaque service de garde est géré individuellement

Ça veut dire qu’il n’y a pas de point unique de défaillance. Si une garderie se fait compromettre, ça ne met pas en danger les 3 813 autres. Il n’y a pas de base de données centralisée géante qui, si elle tombe, expose tous les enfants du Québec d’un coup. 

C’est involontaire comme stratégie de sécurité, mais c’est efficace. La fragmentation du réseau, qui est un casse-tête pour la normalisation, est aussi une forme de résilience naturelle. Chaque établissement est une île. Ça rend l’accompagnement plus complexe (c’est notre quotidien chez Amisgest), mais ça limite aussi la portée des incidents. 

Ce que je retiens de ma nuit blanche 

Cette analyse n’a pas pour but de faire peur. Personne ne va se lever demain matin en apprenant que sa garderie utilise Gmail et retirer son enfant. Et ce serait ridicule de le faire. 

Mais les données sont là, et elles dessinent un portrait qu’on ne peut pas ignorer : 

  • 41 % des services de garde utilisent un courriel personnel pour communiquer des informations sur vos enfants. 
  • 15 % sont exposés à des risques de phishing par usurpation d’identité courriel. 
  • 35 % des courriels transitent par des serveurs américains. 
  • 4 % utilisent des logiciels avec des vulnérabilités connues publiquement. 
  • Et 47 % seulement atteignent le score maximal en sécurité courriel. 

Ce ne sont pas des chiffres alarmants. Ce sont des chiffres normaux pour un réseau sous-financé numériquement, composé de gens dévoués qui font un travail extraordinaire avec les moyens qu’on leur donne. Le problème n’est pas dans les garderies. Il est dans le système qui ne leur fournit pas les outils pour se protéger. 

Ma certification en cybersécurité, les clients ne la voient peut-être pas comme un avantage évident. Mais après cette nuit-là, je comprends mieux : ce n’est pas qu’ils s’en fichent. C’est qu’ils ne savent pas encore à quel point ils en ont besoin. Et c’est peut-être à nous les technos, les accompagnateurs, les gens qui ne dorment pas à 3 h du matin de les aider à le voir. 

Sans dramatiser. Sans alarmer. Juste en montrant ce qui est là, en pleine lumière, pour qui veut regarder. 

Note méthodologique 

Toute l’analyse repose sur des données passives et publiques : résolution DNS, géolocalisation IP, requêtes HTTP standards (l’équivalent d’une visite avec un navigateur), et corrélation avec les bases de vulnérabilités connues (CVE). Aucun test intrusif n’a été effectué. Aucune donnée privée n’a été consultée. Aucun scan de port, aucune tentative d’authentification, aucune exécution de code. Les données reflètent un instantané d’avril 2026 et peuvent avoir évolué depuis. 

La vérification DKIM interroge environ 25 sélecteurs courants; un résultat négatif ne garantit pas l’absence totale du protocole. Les statistiques géographiques portent sur 86 % des IP (523 n’ont pu être géolocalisées). Les indicateurs CVE sont théoriques : un numéro de version affiché ne prouve pas l’exploitabilité réelle d’une faille. 

Éric Rousseau est président d’Amisgest Technologie Inc., une entreprise certifiée en cybersécurité qui accompagne le réseau des services de garde éducatifs au Québec. 

>