Billet par Michelle Blanc, M.Sc., consultante en stratégie numérique, OSINT, SOCMINT et GEO. Publié en mai 2026 sur michelleblanc.com.

---

Résumé exécutif

• L’OSINT (Open Source Intelligence, renseignement à code source ouvert) et le SOCMINT (renseignement issu des médias sociaux) sont devenus en 2026 le vecteur d’entrée privilégié des attaques ciblées contre les marques canadiennes, selon le Centre canadien pour la cybersécurité.
• Six techniques dominent : reconnaissance des employés, ingénierie sociale assistée par IA, usurpation de marque, attaque par inférence, menace via la chaîne d’approvisionnement, et campagnes de désinformation coordonnées.
• Le cadre légal québécois s’est durci : la Loi 25 (pleinement en vigueur depuis septembre 2024) et le projet de loi 24 (déposé le 26 mars 2026 par le ministre Simon Jolin-Barrette) prévoient des amendes pouvant atteindre 5 % du chiffre d’affaires mondial pour usurpation d’identité commerciale.
• La protection efficace combine veille SOCMINT active, gouvernance des comptes, formation des employés et plan d’intervention documenté.

---

Pourquoi ce billet, maintenant

La majorité des entreprises québécoises gèrent encore leurs médias sociaux comme s’il s’agissait uniquement d’un canal marketing. C’est une erreur stratégique qui se paie cher en 2026.

Pendant que vos équipes peaufinent le ton de vos publications Instagram et calculent vos taux d’engagement, d’autres personnes utilisent ces mêmes médias sociaux comme une carte routière vers vos systèmes, vos employés, vos fournisseurs et vos clients. Concurrents agressifs, fraudeurs organisés, opérateurs étatiques, simples opportunistes : tous puisent dans la mine ouverte que constituent vos comptes Facebook, LinkedIn, Instagram, X, TikTok.

Le Centre canadien pour la cybersécurité identifie cette pratique — l’OSINT appliqué aux médias sociaux — comme un vecteur d’entrée privilégié pour préparer des attaques ciblées contre les organisations canadiennes. Et votre direction TI seule ne peut pas régler ce problème, parce qu’il se joue sur un terrain qu’elle ne contrôle pas.

Le paysage de menace en 2026 : les chiffres et leurs sources

Selon l’Évaluation des cybermenaces nationales 2025-2026 publiée par le Centre canadien pour la cybersécurité, le Canada fait face à une intensification des campagnes hybrides qui brouillent volontairement les frontières entre espionnage, cybercriminalité et désinformation.

Selon KPMG Canada (rapport publié en mars 2026), la question n’est plus si votre organisation sera ciblée, mais quand.

Les chiffres qui devraient retenir votre attention en 2026 :

• 82 % des entreprises ont signalé une augmentation des attaques propulsées par l’IA au cours de la dernière année. Source : étude Optro relayée par Newswire, 2026.
• Les dirigeants placent désormais l’ingénierie sociale assistée par l’IA au-dessus des rançongiciels comme principale menace (même source Optro).
• Plus de 30 % des incidents cyber majeurs proviennent d’un tiers — fournisseur, prestataire, agence. Source : Baromètre CESIN 2026, synthèse Jamespot.
• Au Québec, 69 % des utilisateurs de médias sociaux disent que ceux-ci influencent leur opinion des entreprises, mais 74 % s’en méfient. Source : étude Réputation 2026 de Léger, réalisée auprès de 38 000 Canadiens dont 17 000 Québécois.

Cette dernière donnée Léger est cruciale. Elle décrit un climat où la confiance se gagne lentement et se perd en quelques heures. Dans un contexte économique tendu, la tolérance des consommateurs envers le moindre irritant est à son plus bas. Un faux compte qui diffuse une fausse promotion pendant 48 h peut faire plus de dégâts à votre marque qu’une véritable mauvaise expérience client. Et personne, dans la plupart des entreprises québécoises que je rencontre dans le cadre de mes mandats OSINT, ne surveille activement ce terrain.

Les six techniques OSINT que je documente actuellement sur le terrain

1. La reconnaissance des employés

Les attaquants partent de LinkedIn, Facebook et Instagram pour cartographier votre organigramme, vos rôles, vos projets en cours, vos outils internes. Une offre d’emploi qui mentionne « SAP » ou « Microsoft Dynamics » leur dit quel logiciel comptable vous utilisez. Un employé fier de sa promotion révèle votre chaîne de commandement. Un gérant de succursale qui publie une photo de son écran d’ordinateur vous expose votre interface de point de vente.

Pour un détaillant québécois avec 30 succursales, les profils publics des gérants de magasin, des techniciens TI et des responsables logistiques constituent une mine d’informations exploitables. Le Centre canadien pour la cybersécurité appelle cela « l’attaque par reconnaissance ». Je l’appelle, plus crûment, donner les clés pour rien.

2. L’ingénierie sociale assistée par l’IA

L’ingénierie sociale exploite la bonne volonté des gens, comme le détaille iA Groupe financier dans sa zone-conseils en cybersécurité. En 2026, elle est dopée à l’IA générative.

Le harponnage (spear phishing), tel que documenté par ESET Canada, n’a plus rien à voir avec les courriels mal traduits d’il y a dix ans. Les messages sont maintenant personnalisés avec des données récoltées par OSINT : nom de votre supérieur, dernière commande passée, événement d’entreprise récent, ton de voix imité.

Le prétexter (pretexting) permet à un fraudeur de se faire passer pour un représentant du service à la clientèle et de soutirer un numéro de carte de crédit à un client qui vient effectivement de faire un achat — parce que l’attaquant a vu la transaction confirmée sur les médias sociaux.

Ajoutez à cela les hypertrucages (deepfakes) audio et vidéo. Le 26 mars 2026, le ministre de la Justice Simon Jolin-Barrette a déposé le projet de loi 24 — Loi protégeant le consommateur contre l’utilisation trompeuse ou frauduleuse de l’identité ou de l’image d’une personne — précisément pour contrer la multiplication des publicités frauduleuses utilisant l’image de personnalités ou de marques établies.

Selon Radio-Canada et La Presse, les amendes prévues atteignent 62 500 $ pour une personne physique et 125 000 $ pour une entreprise, ou 5 % de son chiffre d’affaires mondial dans l’exercice précédent. Le projet de loi est actuellement en consultation; l’animatrice Marie-Claude Barrette y a témoigné en mai 2026 pour réclamer une loi « qui a des dents ». Le texte officiel est disponible sur le site de l’Office de la protection du consommateur.

3. L’usurpation de marque et le typosquattage

Un acteur malveillant crée un faux compte Facebook ou Instagram au nom de votre marque (souvent avec une lettre en moins ou un caractère cyrillique qui ressemble à un latin) pour diffuser de fausses promotions, capturer les données de vos clients ou propager des maliciels.

L’Office de la protection du consommateur du Québec a lancé en avril 2026 une mise en garde explicite contre ces commerces frauduleux qui se présentent comme des entreprises bien établies, avec témoignages générés par IA ou deepfakes en prime. L’OPC s’est d’ailleurs associée à l’Autorité des marchés financiers (annonce du 26 mars 2026) pour contrer l’usurpation d’identité commerciale.

4. L’attaque par inférence

C’est la technique la plus subtile, et celle que les directions sous-estiment systématiquement. En agrégeant plusieurs publications anodines — la photo du nouveau camion de livraison, l’annonce du gagnant du concours interne, la vidéo d’inauguration d’une succursale, la mention LinkedIn d’un nouveau fournisseur — un analyste OSINT peut reconstituer vos procédures internes, vos systèmes de caisse, vos partenaires stratégiques.

Aucune de ces publications n’est compromettante prise isolément. Leur corrélation, oui.

C’est exactement le travail que je fais légalement pour mes clients qui veulent comprendre leur empreinte exposée. C’est aussi exactement ce que font les attaquants. La différence : nous, on vous remet un rapport. Eux, ils s’en servent.

5. La menace interne et la chaîne d’approvisionnement

Vos employés ne sont pas malveillants. Vos fournisseurs non plus. Mais ils sont humains, et les comptes professionnels de médias sociaux passent souvent par des agences marketing, des pigistes, des prestataires en TI. Chaque accès tiers est une porte.

Le Baromètre CESIN 2026, relayé par Jamespot, confirme : 30 % des incidents majeurs viennent désormais de cette chaîne. Côté PME québécoises, MSPCorp et OCM Systèmes documentent abondamment le phénomène.

6. Les campagnes de désinformation coordonnées

L’IA permet maintenant la génération à grande échelle de faux avis clients, de fausses nouvelles, de contenus viraux négatifs. Un concurrent peut, pour quelques centaines de dollars, orchestrer une vague de mauvaises notes Google sur vos succursales en 72 h. Dans le climat de méfiance déjà documenté par Léger, ce type d’attaque touche directement votre chiffre d’affaires.

Le cadre légal québécois s’est durci — et il vous tient responsable

La Loi 25 (anciennement projet de loi 64) sur la protection des renseignements personnels est pleinement en vigueur depuis septembre 2024. Comme le résume Paquette Avocats, elle exige :

• la nomination d’un responsable des renseignements personnels;
• une politique de confidentialité publiée;
• le consentement explicite des clients;
• le signalement obligatoire des incidents à la Commission d’accès à l’information du Québec.

Une checklist de conformité Loi 25 utile pour les PME est disponible chez Guessabi.

Le projet de loi 24 (mars 2026) ajoute la protection contre l’usurpation d’identité et d’image, avec les amendes massives détaillées plus haut.

Le cabinet McCarthy Tétrault le formule clairement dans ses perspectives 2026 : le risque de litige en cas d’incident dépend de plus en plus de comment vos données sont recueillies, utilisées et protégées. Autrement dit, la défense « on ne savait pas » ne tient plus. Si vos médias sociaux sont une passoire, vous êtes en faute.

Les six chantiers à mettre en place

La cybersécurité TI et la gestion de votre présence sociale ne peuvent plus être traitées comme deux mondes séparés. Ce sont deux faces de la même réalité stratégique.

1. Une veille OSINT/SOCMINT active de votre marque. Surveillance continue de votre nom, de vos produits, de vos dirigeants, sur les plateformes prioritaires. L’Agence Moiré a publié un guide complet sur la veille e-réputation. Côté outils, Brand24 (à partir de 49 $/mois), Brandwatch et d’autres recensés par Brandwatch elle-même couvrent les besoins de base. Brand24 propose un guide 2026 du suivi de marques. Mais l’outil n’est qu’une partie de la solution — l’analyse humaine demeure essentielle.
2. Une gouvernance stricte des comptes officiels. Authentification multifacteur partout, phrases de passe uniques, révision régulière des accès tiers, journalisation des connexions multi-utilisateurs. Le Centre canadien pour la cybersécurité détaille les mesures organisationnelles à mettre en place.
3. La formation des employés contre l’ingénierie sociale. Exercices sur table annuels, sensibilisation au harponnage, simulation de prétexter. La Fédération canadienne de l’entreprise indépendante et l’Association des banquiers canadiens s’accordent : c’est l’élément essentiel. Les outils techniques ne remplacent pas un employé formé.
4. L’enregistrement actif de votre marque sur toutes les plateformes pertinentes, et la surveillance des violations. De Grandpré Chait souligne qu’une marque enregistrée donne les outils légaux pour exiger un retrait rapide des faux comptes.
5. Une politique interne claire sur ce que vos employés peuvent partager. Avec procédures de suppression des métadonnées des documents et images publiés (oui, vos photos contiennent souvent la géolocalisation). Le Journal Saint-François a publié un texte utile sur cette posture côté PME, complété par un guide pratique 2026 chez Promotion-Entreprise.
6. Un plan d’intervention documenté pour les incidents : identification, confinement, notification aux parties prenantes, signalement à l’OPC ou à la CAI, communication publique rapide. Avec exercices sur table réguliers pour le tester.

FAQ — Questions fréquentes

Qu’est-ce que l’OSINT? L’OSINT (Open Source Intelligence, ou renseignement à code source ouvert) est la collecte et l’analyse d’informations disponibles publiquement — médias sociaux, registres publics, sites web, médias, données ouvertes — pour produire du renseignement exploitable. Il est utilisé légalement par les analystes en sécurité, en renseignement d’affaires et en gestion de risque, et illégalement par les acteurs malveillants pour préparer des attaques ciblées.

Qu’est-ce que le SOCMINT? Le SOCMINT (Social Media Intelligence) est une branche spécialisée de l’OSINT qui se concentre exclusivement sur les médias sociaux : Facebook, Instagram, LinkedIn, X/Twitter, TikTok, YouTube, Reddit, forums spécialisés. Il permet de cartographier la présence d’une marque, ses détracteurs, ses faux comptes, ses fuites informationnelles internes.

Mon entreprise est-elle déjà visée par de l’OSINT? Si elle existe en ligne, oui. La vraie question est : à quel niveau de sophistication, et avec quel volume? Un diagnostic OSINT permet de répondre à ces deux questions concrètement.

Quelle est la différence entre cybersécurité TI et OSINT/SOCMINT? La cybersécurité TI protège vos systèmes (pare-feu, authentification, chiffrement, sauvegardes). L’OSINT/SOCMINT cartographie ce que les attaquants voient avant d’attaquer vos systèmes. Les deux sont complémentaires et indispensables.

À qui s’applique la Loi 25? À toute entreprise québécoise qui collecte, utilise ou conserve des renseignements personnels — donc, en pratique, presque toutes. Elle est pleinement en vigueur depuis septembre 2024.

Le projet de loi 24 est-il adopté? Non, il est en consultation parlementaire au moment de la publication de ce billet (mai 2026). Il a été déposé le 26 mars 2026 par le ministre Simon Jolin-Barrette.

Si vous voulez en parler

Je conduis des diagnostics OSINT pour des entreprises québécoises et des organisations publiques. Concrètement : je cartographie votre exposition publique comme le ferait un attaquant, je documente les vulnérabilités, et je remets des recommandations priorisées. Pour certains clients, j’opère ensuite une surveillance SOCMINT continue sur leurs marques, leurs dirigeants et leurs sujets sensibles.

Ce n’est pas glamour. C’est lent, technique, méthodique. Mais quand on voit ce qui s’organise actuellement contre les marques québécoises — et qu’on lit les amendes prévues par la Loi 25 et le projet de loi 24 —, c’est devenu un investissement de gestion de risque au même titre que vos assurances commerciales.

Si vous lisez ce billet en réalisant que vous n’avez aucune idée de ce qui circule sur votre marque en dehors de vos propres publications, on devrait se parler. Pas pour une présentation de service — pour une conversation honnête sur ce que vous voyez, ce que vous ne voyez pas, et ce que vos concurrents et vos attaquants voient probablement déjà.

Mon courriel : michelle.blanc.analyweb@gmail.com.

---

À propos de l’autrice

Michelle Blanc, M.Sc., est consultante en stratégie numérique, OSINT, SOCMINT et GEO (Generative Engine Optimization). Pionnière du blogue francophone — premier billet publié en 2005, plus de 2 800 articles à michelleblanc.com. Autrice de Confessions d’une experte. Chargée de cours en marketing entrepreneurial à HEC Montréal. Sous-traitante en renseignement OSINT/SOCMINT pour ProActive Risk Management (PARM). Décorée de la médaille du couronnement du roi Charles III en 2025. Elle conduit des diagnostics OSINT et de la surveillance SOCMINT pour des entreprises québécoises et des organisations publiques.

---

Tags : #OSINT #SOCMINT #cybersécurité #Loi25 #ProjetLoi24 #médiassociaux #réputation #ingénieriesociale #marquesquébécoises #GEO