Comment une clinique dentaire canadienne devrait établir son budget en matière de cybersécurité

Le problème budgétaire que la plupart des cliniques ne résolvent que trop tard

Pour une clinique dentaire, la cybersécurité n’est pas un problème technologique abstrait. Elle se traduit par des rendez-vous annulés, des dossiers et des images médicaux inaccessibles, un chaos à l’accueil, des remboursements retardés, des patients inquiets et des discussions délicates sur la confidentialité avec les autorités de régulation. En d’autres termes, le risque cyber se manifeste par des interruptions d’activité, le stress des employés, une augmentation des primes d’assurance, des amendes, des frais juridiques, des coûts de restauration des systèmes et des enquêtes.

« Répondre à une attaque peut nécessiter le recours à des experts tels que des enquêteurs judiciaires, des avocats et des professionnels des relations publiques, ce qui peut s’avérer extrêmement coûteux pour les entreprises qui ne disposent pas d’une cyberassurance dédiée. Une police cyber autonome peut également aider à couvrir les coûts liés à la perte de revenus, aux efforts de restauration et aux responsabilités légales », a déclaré Mahan Azimi, directeur des polices de risques catastrophiques et émergents chez IBC.

C’est pourquoi une mauvaise gestion du budget consacré à la cybersécurité coûte si cher. De nombreuses cliniques sous-estiment leur budget, car elles partent du principe qu’elles sont trop petites pour être ciblées, ou bien elles réagissent de manière excessive après un incident en achetant des outils à la hâte, sans vision claire derrière ces achats. Aucune de ces deux approches n’est stratégique. La véritable tâche est plus simple : définir ce qui doit continuer à fonctionner, estimer le coût d’une interruption et financer l’ensemble minimal de contrôles qui réduit significativement ce risque.

Les données réelles des assureurs brossent un tableau bien plus concret et alarmant pour les petites et moyennes entreprises. Selon l’étude NetDiligence Cyber Claims Study 2025, le coût moyen d’un cyberincident pour les PME s’élève désormais à environ 246 000 à 264 000 dollars, avec des coûts en hausse de près de 30 % d’une année sur l’autre. Les ransomwares et les compromissions de messagerie professionnelle restent les principales causes de pertes, représentant la plupart des sinistres et de l’impact financier. De plus, les données montrent que lorsqu’une interruption d’activité est en jeu, le coût total de l’incident peut augmenter de plus de 650 %. Cela fait de l’indisponibilité opérationnelle, plutôt que de la simple perte de données, le principal facteur de préjudice financier.

Au-delà des moyennes, la gravité continue de s’aggraver. À eux seuls, les incidents liés aux ransomwares peuvent dépasser en moyenne 600 000 dollars pour les PME, tandis que le coût moyen global des incidents sur cinq ans avoisine les 937 000 dollars lorsque l'on inclut tous les impacts liés à la reprise, aux frais juridiques et aux opérations.

Pour les petites entreprises, cela crée ce que les analystes qualifient de « déficit d'insolvabilité » : les réserves de trésorerie habituelles ne représentent souvent qu'une fraction des pertes potentielles liées à la cybercriminalité, ce qui signifie qu'un seul incident n'est pas seulement une perturbation. Cela peut être un événement existentiel.

Dans le même temps, le Centre canadien de cybersécurité affirme que les ransomwares restent une menace importante et que les tactiques d’extorsion continueront de s’intensifier, notamment compte tenu de la capacité des cybercriminels à utiliser des outils d’IA pour accélérer et automatiser leurs attaques. Pour une clinique qui dépend de la prise de rendez-vous, de l’imagerie, de la facturation et des dossiers médicaux numériques, cette tendance n’est pas théorique[1].

« Une clinique n'achète pas de cybersécurité pour défendre ses ordinateurs. Elle l'achète pour assurer la continuité des soins, la trésorerie et la confiance des patients. » David Monroe, PDG d'Awee

Pourquoi les règles budgétaires habituelles ne s'appliquent pas dans une clinique

Le propriétaire d'une clinique envisage généralement le budget à travers des catégories telles que les salaires, les fournitures, le loyer, les frais de laboratoire et l'équipement. La cybersécurité se cache derrière la gestion et le support informatiques, les abonnements logiciels, les sauvegardes dans le cloud, les licences de messagerie haut de gamme, les services de conseil, les mesures de protection de la vie privée et la formation du personnel. Comme elle est fragmentée, elle est souvent sous-estimée.

L'autre raison pour laquelle les cliniques sous-estiment le budget consacré à la cybersécurité est que les ratios génériques destinés aux PME peuvent être trompeurs à petite échelle. Une clinique de 12 personnes et une entreprise de 200 personnes ont toutes deux besoin d’identités sécurisées, d’une messagerie protégée, de sauvegardes immuables, d’une approche de reprise documentée et d’une forme de détection et de réponse. La petite clinique ne peut pas réduire ces catégories à zéro. Cela crée un coût plancher en dessous duquel la clinique n’est pas véritablement protégée, même si un tableur suggère que la dépense ne représente « que » 8 % du budget informatique ou 0,3 % du chiffre d’affaires.

En réalité, la répartition officielle des dépenses canadiennes soutient une vision plus large du budget. Statistique Canada a constaté que la catégorie la plus importante des coûts de prévention et de détection en 2023 était celle des salaires des employés liés à la sécurité, suivie par les logiciels de cybersécurité et les dépenses liées aux consultants ou aux sous-traitants ; la formation des employés représentait une part plus faible, mais restait significative. La leçon est simple : la cybersécurité n’est pas une gamme de produits. C’est un mélange de personnes, de logiciels, d’expertise externalisée et de discipline opérationnelle[2].

Figure 1. Catégories sélectionnées des dépenses canadiennes en matière de prévention et de détection, 2023

Les montants indiqués correspondent à des postes budgétaires explicitement mentionnés dans le communiqué : salaires des employés affectés à la prévention ou à la détection (3,8 milliards de dollars), logiciels de cybersécurité (2,9 milliards de dollars), consultants/sous-traitants (1,9 milliard de dollars) et coûts de formation (plus de 0,3 milliard de dollars).

Commencez par quatre angles d'approche, pas un seul

1. L'angle de la menace : quel serait le coût d'une interruption pour cette clinique ?

Avant de débattre des outils, calculez les conséquences commerciales d'une perturbation. Prenez les recettes ou le chiffre d'affaires annuel et divisez-le par le nombre de jours d'activité pour estimer la production journalière. Ajoutez ensuite les coûts en aval qui n'apparaissent pas dans le carnet de rendez-vous : ressaisie des données, heures supplémentaires, aide en matière de criminalistique, interventions informatiques d'urgence, communications avec les patients, conseils juridiques et temps de gestion.

Si une clinique génère environ 1,8 million de dollars par an sur environ 220 jours d'activité, une seule journée d'interruption représente déjà une perte d'environ 8 000 dollars en termes de production. Une interruption de trois jours peut donc entraîner une perte de 24 000 dollars de production brute, sans compter les coûts de reprise.

2. Le point de vue de la conformité : quelles informations êtes-vous tenu de protéger ?

Les cliniques dentaires ne sont pas de simples petites entreprises. Elles détiennent des informations personnelles et souvent très sensibles relatives à la santé. Au Canada, les lois fédérales et provinciales sur la protection de la vie privée s’appliquent aux organisations du secteur privé exerçant une activité commerciale. Selon la province, des lois provinciales sensiblement similaires relatives au secteur privé ou aux informations de santé peuvent également s’appliquer. Le Commissariat à la protection de la vie privée met l'accent sur les mesures de protection comme l'un des principes fondamentaux. En termes budgétaires, cela signifie que la clinique doit allouer suffisamment de fonds à la protection de l'identité, au contrôle d'accès, à la sauvegarde, à la récupération, à la discipline des fournisseurs et à la gestion des informations par le personnel, et pas seulement à un antivirus.

3. Le point de vue du marché : quel est le coût réel de la protection au Canada à l’heure actuelle ?

Pour les cliniques qui externalisent la majeure partie de leur informatique, les tarifs du marché permettent de se faire une idée concrète de la réalité. Les guides de tarification des MSP canadiens indiquent que l’informatique gérée coûte généralement entre 100 et 250 dollars par utilisateur et par mois, tandis que l’informatique entièrement gérée avec une cybersécurité avancée peut coûter environ 225 à 400 dollars ou plus par utilisateur et par mois, les secteurs réglementés tels que la santé payant souvent davantage. La tarification à la ligne des fournisseurs canadiens montre également pourquoi le coût total s’accumule : la sécurité des e-mails et les sauvegardes peuvent coûter environ 10 $ par utilisateur et par mois ; les outils de détection, comme l’EDR, ajoutent souvent environ 3 à 7 $ par terminal et par mois ; la surveillance en temps réel (SOC/MDR) peut ajouter 5 à 20 $ par utilisateur et par mois ; la formation et les tests de phishing ajoutent encore davantage. Il ne s’agit pas de références statistiques officielles, mais ce sont des repères d’achat utiles.

4. L'approche par repères : comment éviter une fausse précision ?

Il n'existe pas de repère officiel unique au Canada qui indique à une clinique dentaire le montant exact de son budget cybernétique. La réponse sensée consiste à recouper les données. Utilisez une référence de part des dépenses informatiques pour la rigueur ; utilisez des références d'achat basées sur les effectifs et les terminaux pour le réalisme ; et utilisez une estimation de l'impact sur l'activité afin que le chiffre final reflète ce que votre clinique peut réellement se permettre de perdre. Cet article recommande donc de retenir la plus élevée des trois méthodes plutôt que de se fier à un seul ratio bien net. (Business.com, 2026).

Exemple concret : un cabinet comptant 12 personnes

Prenons l'exemple d'un cabinet comptant 12 employés, 6 salles de soins, environ 18 terminaux et des appareils partagés, une messagerie électronique dans le cloud, une plateforme de gestion du cabinet, un système d'imagerie numérique, ainsi qu'un chiffre d'affaires annuel d'environ 1,8 million de dollars canadiens. Ce cabinet n'est pas un hôpital ; il est suffisamment petit pour que le temps consacré par le propriétaire soit crucial et que les coûts fixes pèsent lourdement. Cela rend indispensable une gestion rigoureuse du budget.

Pour déterminer le montant du budget annuel consacré à la cybersécurité, comparons trois méthodes.

Hypothèses utilisées dans cet exemple : budget informatique estimé à partir des tarifs courants des services gérés au Canada et des besoins habituels en matière de logiciels et d'assistance ; configuration minimale de la pile technologique établie à partir de références tarifaires canadiennes pour la sécurité et la sauvegarde des e-mails, l'EDR, la surveillance et la sensibilisation ; tolérance aux temps d'arrêt et aux pertes basée sur une interruption de trois jours plus les efforts de reprise. Étant donné que les petites cliniques doivent faire face à des coûts de sécurité fixes qui ne diminuent pas, la décision devrait généralement se fonder sur la méthode la plus coûteuse des trois, et non sur la moins coûteuse.

Une estimation réaliste pour cette clinique ne s’élève pas à 5 000 dollars canadiens ; elle se situe plutôt entre 12 000 et 18 000 dollars canadiens par an. Cette fourchette est suffisamment large pour financer l’infrastructure minimale viable sans prétendre que la clinique puisse constituer une équipe de sécurité de niveau entreprise. Elle est également suffisamment modeste pour être répartie sur une année.

Ce que le budget devrait réellement permettre d'acquérir

L'objectif du budget n'est pas d'acheter « plus de sécurité ». Il s'agit de réduire les causes spécifiques de défaillance d'une clinique en situation de stress : vol d'identifiants, compromission des e-mails, ransomware sur les terminaux, échecs de restauration, fraude, contrôles insuffisants des fournisseurs et erreurs du personnel. Cela nécessite une combinaison de contrôles.

Combinaison recommandée pour le budget d'une petite clinique (12 employés). Les pourcentages exacts peuvent varier, mais l'équilibre est essentiel : un excès de logiciels associé à une planification de la reprise après sinistre ou à une formation insuffisante constitue un motif d'échec courant.

Exemple concret : à quoi ressemble une sous-estimation budgétaire dans la pratique

Imaginez une clinique équipée d’un antivirus, mais dépourvue de sauvegardes testées, avec une couverture insuffisante de l’authentification multifactorielle (MFA), sans exercices de simulation de phishing efficaces et où personne n’est clairement responsable de la liste de contrôle en cas d’incident. Un membre du personnel clique sur un e-mail convaincant contenant une radiographie. Le pirate utilise ce compte pour diffuser des messages malveillants en interne et accède à un poste de travail utilisé pour la prise de rendez-vous et l’échange de documents. Les criminels exfiltrent toutes les données avant de les chiffrer.

Même si la clinique ne paie jamais de rançon, les dommages concrets s’accumulent rapidement : perte de production, reprogrammation manuelle, communication avec les patients, travail de restauration, frais juridiques, expertise informatique et assistance informatique externe, ainsi que distraction de la direction. La clinique ne subit pas simplement un « cyberincident » ; elle subit une semaine de dysfonctionnements opérationnels, de stress pour les employés, de restauration des systèmes et des données, d’atteinte à la réputation, d’amendes potentielles ou de poursuites judiciaires.

C'est pourquoi le budget le plus modeste est souvent le plus coûteux. Dépenser entre 12 000 et 18 000 dollars canadiens par an peut sembler facultatif jusqu'à ce que l'on compare ce montant à plusieurs jours de perte de production et à une restauration chaotique. Le budget doit être évalué en fonction des interruptions évitées, et non pas uniquement en fonction du prix du logiciel.

Une méthode pratique de budgétisation pour un propriétaire de clinique

Étape 1 : Identifiez les systèmes dont l'indisponibilité interrompt la prestation des soins.

Dressez la liste des quelques éléments sans lesquels la clinique ne peut fonctionner plus de quelques heures : prise de rendez-vous, dossiers des patients, imagerie numérique, facturation/demandes de remboursement, e-mail, accè

Étape 2 : Évaluez le coût d'une journée d'interruption.

Divisez la production annuelle par le nombre de jours d'activité, puis ajoutez une marge approximative pour les heures supplémentaires, les frais juridiques, les expertises informatiques et l'intervention d'urgence des services informatiques, ainsi que la communication avec les patients. Les dirigeants constatent souvent qu'une seule journée d'interruption coûte plus cher que plusieurs mois d'abonnement à un service de prévention.

Étape 3 : Recensez les utilisateurs, les terminaux et les comptes privilégiés.

Ne basez pas votre budget uniquement sur les effectifs. Comptez les appareils partagés, les postes de travail de la réception, les ordinateurs portables, les stations d'imagerie, les appareils mobiles avec accès à la messagerie et tous les comptes administrateurs. De nombreuses cliniques sous-estiment leur budget car elles chiffrent le coût par utilisateur, mais oublient les appareils et les identités qui doivent être protégés.

Étape 4 : Financez la pile minimale viable avant d'acheter des options supplémentaires.

Les premiers fonds doivent être consacrés à l'authentification multifactorielle (MFA), à la sécurité des e-mails, à la protection des terminaux, aux sauvegardes testées, à la formation de sensibilisation et à la surveillance. Les tests d'intrusion ou les outils de niche peuvent attendre si les bases ne sont pas en place.

Étape 5 : Choisissez où externaliser la prise de décision.

Une petite clinique ne devrait pas essayer d'acheter uniquement des outils et de les gérer seule. Prévoyez au moins un budget pour faire appel à une expertise externe, comme un prestataire de cybersécurité gérée compétent et un conseiller en sécurité, car le défi en cas d'incident réel n'est pas de détecter chaque alerte, mais de prendre rapidement les bonnes décisions.

Étape 6 : Échelonnez le budget sur 12 mois.

Répartissez le travail. Élaborez une feuille de route avec vos partenaires de confiance : assureur, conseillers juridiques, en cybersécurité et en informatique. Donnez la priorité aux contrôles de base plutôt qu'aux contrôles avancés pour obtenir un retour sur investissement rapide.

Étape 7 : Examinez chaque trimestre cinq indicateurs de type « tableau de bord ».

Même une petite clinique peut suivre quelques indicateurs pertinents : score de risque humain (performance de la formation), couverture MFA, sauvegarde immuable déployée et testée, terminaux et systèmes surveillés. Ceux-ci couvrent les contrôles les plus critiques qu’une petite clinique devrait mettre en œuvre.

À ne pas faire

• · Ne présentez pas la cybersécurité à la direction comme un simple poste budgétaire technologique. Présentez-la comme une réduction des temps d’arrêt et une diminution des risques liés à la confidentialité.

• · Ne définissez pas le budget comme « ce qui reste après l'équipement et les salaires ». Une routine de base est essentielle pour prévenir les problèmes majeurs à long terme, tout comme dans le secteur de la santé.

• · N'achetez pas d'outils qui se chevauchent avant d'avoir mis en place des contrôles de base, une sensibilisation, des sauvegardes, l'authentification multifactorielle (MFA) ainsi qu'une protection et une surveillance cohérentes des terminaux.

• · Ne comptez pas uniquement sur votre fournisseur informatique comme seule stratégie ; demandez des conseils indépendants en matière de cybersécurité.

• · Ne partez pas du principe que l'assurance cyber remplace le budget. L'assurance est un mécanisme de financement ; ce sont les contrôles qui vous rendent assurable et vous permettent de vous rétablir.

Le véritable argument en faveur du budget

Le propriétaire d’une clinique n’a pas besoin de devenir un expert en cybersécurité pour établir un budget adéquat dans ce domaine. Ce dont il a besoin, c’est d’un meilleur cadre. La bonne question n’est pas : « Quel est le système de cybersécurité parfait ? », mais plutôt : « Quel est le plus petit investissement annuel qui réduit de manière significative le risque que ma clinique cesse de soigner ses patients, soit victime d’une fraude ou gère mal les informations des patients ? »

Ce cadre explique également pourquoi certains repères souvent cités doivent être utilisés avec prudence. Un repère mondial tel que 13,2 % du budget informatique constitue un point de référence utile, mais il doit être considéré comme un seuil minimal, et non comme un plafond. Dans les petits environnements soumis à des exigences de conformité strictes, comme les cliniques dentaires, l'économie de la sécurité est déterminée par des contrôles minimaux fixes et par le coût des interruptions. La clinique doit donc considérer la cybersécurité comme un budget de résilience : en partie informatique, en partie opérationnel, en partie lié à la confidentialité et en partie assurance de gestion.

Bien géré, ce budget devient compréhensible. Il ne s'agit plus d'un ensemble mystérieux d'abonnements. C'est un choix délibéré visant à préserver la production, à protéger la confiance des patients, à prévenir la fraude et à maintenir le fonctionnement de la clinique en cas d'attaque ou d'erreur.

Références

Baker Donelson. (2025). Cybersecurity awareness month: Avoid cyber claims scares (NetDiligence 2025 insights). Baker, Donelson, Bearman, Caldwell & Berkowitz, PC. https://www.bakerdonelson.com/cybersecurity-awareness-month-2025-avoid-cyber-claims-scares

Business.com. (2026, January 26). How much should your SMB budget for cybersecurity? https://www.business.com/articles/smb-budget-for-cybersecurity/

Canada Computing. (n.d.). Managed IT. https://canadacomputing.ca/mit/

Canadian Centre for Cyber Security. (2024, October 30). National Cyber Threat Assessment 2025–2026. https://www.cyber.gc.ca/en/guidance/national-cyber-threat-assessment-2025-2026

Canadian Federation of Independent Business. (2025). Digital transformation: How small businesses in Canada are leveraging AI and technology for growth and productivity. https://www.cfib-fcei.ca/hubfs/research/reports/2025/SMEs%20Digital%20transformation%20journey%202025-EN.pdf

Dentx. (2026, January 26). Dental overhead rate: Solo vs group practice. https://dentx.ca/blog/dental-overhead-benchmarks/

F12.net. (2025, April 28). 2025 managed IT services pricing guide for Canadian companies. https://f12.net/blog/2025-managed-it-services-pricing-guide-for-canadian-companies/

Happier IT. (2025). Managed IT pricing in Ontario & Western Canada (2025). https://www.happierit.com/insights-managed-it/insights-managed-it-managed-it-pricing-canada-2025/

IBM. (2025). Cost of a data breach report 2025. https://www.ibm.com/reports/data-breach

Insurance Bureau of Canada. (2025, October 1). Canadian small businesses are underprepared for cyber attacks, survey shows. https://www.ibc.ca/news-insights/news/canadian-small-businesses-are-underprepared-for-cyber-attacks-survey-shows

MoneyGeek. (2026). The cyber insolvency gap: Why small businesses are financially unprepared for cyber incidents. MoneyGeek. https://www.moneygeek.com/insurance/business/insolvency-gap/

NetDiligence. (2025). Cyber claims study 2025 report. NetDiligence. https://netdiligence.com/cyber-claims-study-2025-report/

Office of the Privacy Commissioner of Canada. (2024, May 1). PIPEDA requirements in brief. https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/pipeda_brief/

Scott Insurance. (2025). Cyber risk trends and insights for small and mid-sized businesses. Scott Insurance. https://www.scottins.com/blog/cyber-risk-trends/

Sirkit. (2025, May 14). Comparing managed service provider: Price vs. value. https://www.sirkit.ca/blog/comparing-msp-offers-price-vs-value

Statistics Canada. (2024, October 21). Impact of cybercrime on Canadian businesses, 2023. The Daily. https://www150.statcan.gc.ca/n1/daily-quotidien/241021/dq241021a-eng.htm

[1] Statistics Canada, 2024; Canadian Centre for Cyber Security, 2024

[2] Source: Statistics Canada, The Daily, “Impact of cybercrime on Canadian businesses, 2023.”