SYS::STATUS SOC · OPÉRATIONNEL
FR / EN
cl
CostLink Systèmes
v.2026.05 · soc·mtl
portail
~ / secteurs
[ROOT] · 8 SECTEURS · 94 % DE LA CLIENTÈLE

Une carte de menaces
par industrie.

Le cabinet d'avocats ne risque pas la même chose que la coopérative financière, ni le manufacturier la même chose que la clinique. Chaque secteur a son cadre réglementaire, ses vecteurs d'attaque privilégiés, ses contraintes opérationnelles. Notre méthodologie s'adapte — voici comment.

verticals · ls -la
01Cabinets d'avocats 02Cabinets comptables 03Santé · cliniques privées 04Manufacturiers 05Détaillants multi-sites 06Gestion de portefeuille 07Municipalités · MRC 08Coopératives financières
[01] · CABINETS D'AVOCATS

Le privilège client-avocat.
Voilà le vrai actif.

Un cabinet d'avocats ne vend pas un produit — il vend la confiance. Une compromission de dossiers, c'est une question d'existence du cabinet. Nos mandats dans ce secteur sont calibrés sur la rapidité de confinement et la qualité documentaire de la posture (assureurs cyber · barreau).

// MENACES PRIORITAIRES
Rançongiciel Akira · LockBit Compromission boîte M365 cadre Fraude au virement (BEC) Vol de dossiers · exfiltration Hameçonnage ciblé associés Mauvaise configuration partages
// CADRE RÉGLEMENTAIRE
  • Loi 25 · obligations renseignements personnels · responsable nommé
  • Code de déontologie du Barreau · art. 60 confidentialité
  • Cyber-insurance — exigences MTTR < 60 min (couverture maintenue)
  • SOC 2 II · si client institutionnel l'exige

« Le 12 mars 2024 à 3h47, un cabinet d'avocats de Montréal a perdu accès à 16 années de dossiers. Trente-neuf minutes plus tard, notre équipe avait isolé le serveur compromis. »

étude de cas complète
profile · avocats
PROFIL MANDAT TYPE
Effectif typique12 — 80 employés
Postes critiquesassociés · gestionnaires
Données sensiblesdossiers · privilège
Outils dominantsMaître · iManage · M365
Bundle recommandéStandard
Engagement médian36 mois
// CLIENTS DU SECTEUR
14 cabinets
Montréal · Québec · Sherbrooke · Laval
[02] · CABINETS COMPTABLES

Période fiscale.
Saison de chasse.

Mars à juin : tous les dossiers fiscaux des clients sont sur les serveurs. Tous les paiements ARQ / CRA passent par les comptes corporatifs. C'est la période où les acteurs malveillants ciblent activement les cabinets comptables québécois — usurpation d'identité fiscale, fraude au virement, vol de NAS.

// MENACES PRIORITAIRES
Vol NAS · données fiscales clients Hijack ARQ / CRA · usurpation Fraude virement saison fiscale Compromission M365 associés Ingénierie sociale fournisseurs Faux logiciels comptables
// CADRE RÉGLEMENTAIRE
  • Loi 25 · renseignements financiers · responsable nommé
  • CRA / ARQ · obligations préparateur (eFile · accès représentant)
  • CPA Canada · code de déontologie · confidentialité
  • SOC 2 II · si mandat audit interne ou fonds privé
profile · comptables
Effectif typique8 — 150 employés
Pic risquemars — juin
Données sensiblesNAS · T4 · états
Outils dominantsTaxprep · CaseWare · QBO
Bundle recommandéStandard + saison
// CLIENTS DU SECTEUR
9 cabinets
renforcement automatique mars · juin
[03] · SANTÉ · CLINIQUES PRIVÉES

Renseignements de santé.
Catégorie réglementée.

Dossiers médicaux, prescriptions, résultats d'imagerie, données génétiques — tout est catégorisé « renseignements personnels sensibles » au sens de la Loi 25. Les obligations sont les plus strictes du droit québécois. Le mandat type combine MDR, conformité documentaire, et formation continue du personnel non-clinique.

// MENACES PRIORITAIRES
Rançongiciel sur DME / EMR Exfiltration dossiers patients Compromission imagerie · PACS Hameçonnage employés admin Mauvaise config Wi-Fi public USB malveillants · accès physique
// CADRE RÉGLEMENTAIRE
  • Loi 25 · catégorie sensible · seuil de notification réduit
  • PHIPA-équivalent fédéral · si données interprovinciales
  • Collège des médecins · dossier médical · tenue · conservation
  • RAMQ · si facturation publique · accès journal d'audit
profile · santé
Effectif typique15 — 200 employés
Postes critiquesDME · PACS · RAMQ
Données sensiblesRPI sensibles
Outils dominantsMédesync · Omnimed
Bundle recommandéStandard · Loi 25 prio
// CLIENTS DU SECTEUR
7 cliniques
médecine spécialisée · imagerie · GMF privés
[04] · MANUFACTURIERS

OT · SCADA · ICS.
La ligne qui arrête.

Un manufacturier ne perd pas seulement des données — il perd des heures de production, des engagements clients, parfois la sécurité physique des employés. La convergence IT/OT a multiplié les vecteurs. Notre mandat couvre les deux mondes — réseau bureautique et plancher de production.

// MENACES PRIORITAIRES
Rançongiciel multi-OS sur OT/IT Compromission SCADA · contrôleurs PLC Vol propriété intellectuelle Compromission chaîne d'approvisionnement Accès distant fournisseurs détourné USB malveillants opérateurs
// CADRE RÉGLEMENTAIRE
  • Loi 25 · données employés et clients corporatifs
  • CMMC 2.0 · si sous-traitance défense Canada/USA
  • NIST CSF 2.0 · cadre courant en RFP client OEM
  • IEC 62443 · cybersécurité industrielle OT (sur demande)
profile · manufacturiers
Effectif typique80 — 2 000 employés
Postes critiquesPLC · MES · ERP
Données sensiblesIP · plans · clients OEM
Outils dominantsSAP · Wonderware · Siemens
Bundle recommandéIntégral · OT-aware
// CLIENTS DU SECTEUR
11 manufacturiers
métaux · plastiques · agro · aéronautique
[05] · DÉTAILLANTS MULTI-SITES

POS · franchises ·
conformité PCI.

Réseaux de boutiques, restaurants franchisés, stations-service, distributeurs spécialisés. Le défi : couvrir un parc géographiquement éclaté, souvent en Wi-Fi grand public, avec des appareils de paiement qui touchent quotidiennement des données carte. PCI-DSS n'est pas optionnel.

// MENACES PRIORITAIRES
Skimming terminal POS Compromission infonuagique back-office Phishing employés franchisés Fraude inventaire · gift cards Accès Wi-Fi public détourné Vol données loyalty / CRM
// CADRE RÉGLEMENTAIRE
  • PCI-DSS v4.0.1 · obligatoire si CC accepté · SAQ / AOC
  • Loi 25 · données clients (loyalty, livraison)
  • SOC 2 · si plateforme infonuagique propriétaire (e-comm)
  • Contrats franchisés · exigences cyber souvent contractuelles
profile · détail
Sites typiques8 — 220 sites
Postes critiquesPOS · back-office
Données sensiblesCC · CRM · inventaire
Outils dominantsLightspeed · Shopify · Square
Bundle recommandéStandard + PCI
// CLIENTS DU SECTEUR
6 enseignes
restauration · spécialité · électronique
[06] · GESTION DE PORTEFEUILLE · FINANCE

AMF · FINTRAC ·
obligations KYC.

Gestionnaires de portefeuille, courtiers en placements, courtiers hypothécaires, conseillers en sécurités. La double obligation — protéger les fonds clients, et démontrer un contrôle KYC/AML à FINTRAC et à l'AMF. Notre mandat type combine MDR + cadrage conformité réglementé.

// MENACES PRIORITAIRES
Compromission outils trading Fraude virement clients Hameçonnage cadre · BEC Vol données KYC · IDV Insider trading insider risk Faux conseiller · usurpation
// CADRE RÉGLEMENTAIRE
  • AMF · règlement 31-103 · cybersécurité · gouvernance TI
  • FINTRAC · LRPCFAT · journal KYC · obligations 5 ans
  • SOC 2 II · exigée par dépositaires institutionnels
  • Loi 25 · données financières · plus haut seuil
profile · finance
Effectif typique8 — 80 employés
Postes critiquestrading · KYC · custody
Données sensiblesfonds · IDV · NEQ
Outils dominantsCroesus · NBIN · CRM2
Bundle recommandéIntégral · vCISO
// CLIENTS DU SECTEUR
8 cabinets
GP · courtage · conseil placements
[07] · MUNICIPALITÉS · MRC

Services publics.
Acteurs étatiques.

Aqueducs, traitement des eaux, éclairage, transport, services aux citoyens, taxes — les municipalités sont des cibles croissantes pour rançongiciels opportunistes et pour acteurs étatiques cherchant à perturber les services publics canadiens. Le mandat type couvre IT corporatif + OT services publics.

// MENACES PRIORITAIRES
Rançongiciel sur SI municipal Compromission traitement eaux / SCADA Vol données contribuables Acteurs étatiques · perturbation Fraude virement subventions Détournement systèmes de vote · participation
// CADRE RÉGLEMENTAIRE
  • Loi 25 · obligations renforcées organismes publics
  • MSP / SCT · directives sécurité du gouvernement du Québec
  • CCCS / CCMRC · liaison obligatoire si incident critique
  • Politique gouvernementale d'audit · biennale (selon taille)
profile · municipalités
Population desservie3k — 800k
Postes critiquespaie · eau · taxes
Données sensiblesRPI citoyens
Outils dominantsPG Solutions · MS · ICONIA
Bundle recommandéIntégral · OT inclus
// CLIENTS DU SECTEUR
4 mandats
villes moyennes · MRC · OBNL para-municipal
[08] · COOPÉRATIVES FINANCIÈRES

Caisses · BSIF ·
SADC protégée.

Caisses populaires indépendantes, coopératives de services financiers, mutuelles. L'écosystème coopératif québécois opère sous un cadre prudentiel strict (BSIF / AMF) avec des obligations cyber explicites depuis 2022. Notre mandat type combine MDR, conformité B-13, et exercices d'intervention annuels.

// MENACES PRIORITAIRES
Fraude virement clients Compromission Interac · cartes Skimming · phishing membres Compromission services partagés Insider risk · vol fonds Attaque sur services tiers
// CADRE RÉGLEMENTAIRE
  • BSIF B-13 · obligations technologie et risque opérationnel
  • AMF · CMG-013 · risque cybersécurité · institutions sous-juridiction
  • SADC · obligations participants · gouvernance cyber
  • SOC 2 II · attendu en correspondance bancaire
profile · coopératives
Membres typique2k — 80k membres
Postes critiquescore banking · ATM
Données sensiblescomptes · KYC
Outils dominantsFiserv · Symitar · partagés
Bundle recommandéIntégral · B-13 align.
// CLIENTS DU SECTEUR
3 caisses
caisses indépendantes · coop services financiers
[09] · VOTRE SECTEUR · ICI

Votre secteur n'est pas listé ?
Parlons-en quand même.

Ces huit secteurs couvrent 94 % de notre clientèle, pas 100 %. Nous travaillons aussi avec OBNL, fondations, agences de voyage, transporteurs spécialisés, et plus. La carte des menaces existe pour chaque industrie — il s'agit de la cartographier ensemble.

demander l'évaluation services génériques