38 millions de comptes clients. C'est l'ampleur de la fuite de données de la base de données e-commerce de Canadian Tire révélée en octobre 2025 (CBC News, octobre 2025). Noms, adresses, e-mails, dates de naissance, mots de passe cryptés. Ça ne venait pas du système bancaire. Ni du programme de fidélité. Ça venait d'une base de données e-commerce qui servait Canadian Tire, SportChek, Mark’s et Party City.
Les données bancaires étaient intactes. Celles de Triangle Rewards aussi. Le système que personne n'avait pensé à protéger avec la même rigueur que les joyaux de la couronne s'est avéré être celui qui contenait 38 millions d'enregistrements. L'analyse technique laisse penser qu'il s'agit d'une erreur de configuration ou d'une faille non corrigée, et non d'une attaque sophistiquée (OffSeq Threat Radar, février 2026).
Un pare-feu autour du périmètre. Rien autour des données.
Ce n'est pas toujours celui qui porte un sweat à capuche qui représente une menace
Tes données sont un peu partout. Sur des plateformes cloud, dans des fichiers locaux, dans des applications SaaS, dans des environnements de test, sur des terminaux distants, et même sur ce vieux serveur qui traîne dans le placard et qui a survécu à trois déménagements de bureaux et à un hiver à Edmonton. Au Canada, les règles fédérales et provinciales concernant la confidentialité, l'accès, la résidence et le signalement des incidents s'appliquent à plusieurs juridictions et changent régulièrement.
Et ce ne sont pas toujours des pirates informatiques. Des erreurs de configuration. Des copier-coller entre différents environnements. D'anciens employés dont les droits d'accès ont perduré plusieurs mois après leur dernier jour de travail. Des prestataires bien intentionnés disposant de droits plus étendus que ce que prévoyait le contrat. Tout ça provoque autant d'incidents que les menaces externes. Personne ne titre en gros caractères sur une erreur de configuration, mais les dégâts sont les mêmes.
La sécurité, c'est comme des cercles, pas comme des murs
La défense périmétrique avait du sens quand le périmètre était un lieu bien défini. Aujourd’hui, la sécurité doit suivre les données, et non plus encercler le bâtiment. Imagine des anneaux concentriques, chacun protégeant la couche qui se trouve à l’intérieur.
Anneau 1 : l'identité au cœur
Sans identité, pas de sécurité. Tout le reste, c'est de la poudre aux yeux. Microsoft Entra ID offre un accès basé sur les rôles et des contrôles adaptés au contexte qui réduisent la surface d'attaque avant même qu'une menace ne se présente. Qui est cette personne ? Quel appareil utilise-t-elle ? Cette requête correspond-elle à son comportement habituel ? L'identité, c'est le maillon le plus petit, mais aussi le plus crucial. Si tu te trompes là-dessus, tous les autres maillons ne sont plus que des suggestions.
Niveau 2 : protéger les données elles-mêmes
Le périmètre, c'est du passé. Il ne reste plus que les données à protéger. Chiffrement au repos et en transit : Protegrity pour une protection fine, au niveau des champs, sur toutes les plateformes ; Azure Vault et les fonctionnalités natives des bases de données pour la gestion du chiffrement. Masquage des données dans les environnements de test, marquage des données sensibles via le catalogue, signalement automatisé des risques. Quand les données se déplacent, les protections les suivent. Quand quelqu’un copie l’environnement de production vers celui de développement (et ça arrivera forcément), le masquage est déjà appliqué.
Niveau 3 : tout surveiller, automatiquement
Tu ne peux pas protéger ce que tu ne vois pas, et tu ne peux pas voir ce que tu ne surveilles pas. Microsoft Sentinel et Defender offrent une visibilité continue en temps réel et une détection des anomalies. Quand le téléphone de Gary vibre à 2 heures du matin, ce qui fait la différence entre une résolution en 10 minutes et une enquête de 10 semaines, c’est la présence ou non d’un contexte associé à l’alerte. Une alerte sans contexte, c’est du bruit. Une alerte avec historique, classification et historique d’accès, c’est une décision.
Niveau 4 : la résilience, parce que l'endiguement vaut mieux que la prévention
Part du principe que des failles vont se produire. Prépare-toi à les contenir et à te remettre sur pied. Une stratégie de réponse aux incidents s’appuyant sur Azure et les fonctionnalités d’immuabilité de Rubrik te permet d’isoler les dégâts, de récupérer tes données et de continuer à avancer tout en préservant la confiance de tes clients. La résilience, ce n’est pas juste une stratégie de sauvegarde. C’est ce qui fait la différence entre un incident un mardi matin et une crise un mardi matin.
C'est grâce à la sécurité que l'IA peut voir le jour
La sécurité est au cœur de toutes les initiatives d'IA, de cloud et d'analyse qui aboutissent réellement à une mise en production. La meilleure approche, c'est pas d'y remédier après coup. C'est d'intégrer la sécurité dès le départ dans l'architecture des données.
Où ça va nous mener ?
La sécurité veille au respect des règles. La gouvernance les définit. Personne n'est promu pour son travail de gouvernance, car celui-ci définit le cadre qui donne son mandat à la sécurité.
La sécurité protège les données. La confidentialité détermine ce qui doit être protégé. Ta politique dit une chose, ton environnement en dit une autre: c'est ce qui définit les contrôles qui indiquent à la sécurité ce qu'elle doit protéger.
Et si tes données et tes charges de travail liées à l'IA doivent rester soumises à la législation canadienne, c'est le service « Data Sovereignty » qu'il te faut.
