2018 SONDAGE SUR LA CYBERSÉCURITÉ

• 40 % des répondants ont fait face à une cyberattaque au cours des 12 derniers mois. Un répondant sur dix a fait face à 20 attaques ou plus. Le pourcentage d’entreprises de 250 à 499 employés ayant fait face à une attaque a augmenté pour atteindre 66 %.
• 67 % des répondants externalisent au moins une partie de leur empreinte de cybersécurité vers des fournisseurs externes.
• Alors que 59 % des répondants ont dit stocker des renseignements personnels de leurs clients, 38 % ont signalé qu’ils ne connaissent pas bien la LPRPDE.
• Le tiers des répondants ont indiqué que l’impact le plus significatif d’une cyberattaque se trouve dans le temps et les ressources nécessaires pour réagir à l’incident.
• 88 % des répondants se sont dits préoccupés par la perspective de futures attaques, avec comme conséquence que 28 % songent à ajouter du personnel de cybersécurité au cours de l’année à venir.
• Bien que 78 % des répondants disent avoir confiance en leur niveau de préparation en matière de cybermenaces, 37 % ne disposaient pas de protection contre les logiciels malveillants et 71 % n’avaient pas de politique officielle sur la correction de programmes, ce qui expose ces entreprises à de nombreuses failles en matière de sécurité.
• Seuls 54 % des petites entreprises offraient une formation de cybersécurité à leurs employés, même si la forme la plus courante de logiciels malveillants constatée par les répondants, l’attaque par hameçonnage (42 %), exploite directement les employés comme point de faiblesse.

Les données sur la cybersécurité sont plus abondantes que jamais. Cette ampleur est peut être causée par les organisations qui fournissent plus de données ou les pirates informatiques qui en créent davantage. Peu importe les raisons de la publication des données, la conclusion est claire : le cybercrime est à la hausse et ne montre pas de signe de ralentissement. Par exemple, selon le Trustwave Global Security Report, les coûts mondiaux du cybercrime sont estimés à 600 milliards de dollars US en 2017. Ce montant comprend les coûts liés à la protection des organisations et de l’Internet mondial contre l’importante hausse des attaques par DDoS, le fléau des logiciels rançonneurs, ou les nouveaux maliciels qui ciblent le minage de bitcoins. Le problème est important et mondial.

Quelle est la situation du Canada par rapport à ce contexte?

La plupart des recherches de grande envergure sur la cybersécurité portent sur les organisations mondiales, tandis que localement, les dépenses importantes sont liées à nos grands organismes. Toutefois, selon Statistique Canada, environ la moitié des 16 millions de travailleurs canadiens font partie d’entreprises de 499 employés et moins. Avec l’aide de nos partenaires d’Akamai, l’ACEI a tenté de comprendre comment les menaces mondiales touchent ces entreprises au Canada, d’évaluer leur inquiétude et de savoir comment elles réagissent. 

Lorsqu’on aborde les petites entreprises, il est important de comprendre que dans le contexte canadien, une organisation de plus de 250 employés est tout de même assez grande. Nous devons mentionner que ces entreprises agissent en tant que fournisseurs et partenaires de personnes et de sociétés plus importantes. Comme elles n’ont pas toujours les ressources pour mettre en œuvre des solutions de sécurité complexes, elles peuvent devenir des cibles. Comme nous avons pu le constater en 2014 avec l’attaque contre Target qui a visé le système HVAC pour obtenir des millions de numéros de carte de crédit, les entreprises de toute taille peuvent servir de porte d’entrée pour attaquer une plus grande société.

L’attention portée aux failles de cybersécurité ne fera qu’augmenter en raison des prochains changements apportés à la réglementation sur les renseignements personnels au Canada. Selon les estimations, 70 % des atteintes à la protection des données touchent les entreprises de moins de 100 employés, ce qui signifie que ce type de problème donnera du fil à retordre à beaucoup plus de gestionnaires des TI.

Pourquoi les pirates informatiques veulent-ils les renseignements que vous détenez? Simplement parce que les données personnelles ont de la valeur. Les renseignements personnels se vendent dans le Web invisible : 5 $ pour un numéro de carte de crédit, 30 $ pour l’ensemble des renseignements sur l’identité et jusqu’à 1 000 $ pour un dossier médical. Avez-vous encore confiance en ces vieux ordinateurs avec des ports USB ouverts laissés sans surveillance dans les salles d’attente des cabinets de médecins ? Il y a des centaines d’exemples de possibilités pour les pirates informatiques dans des interactions de tous les jours avec des petites entreprises. Toutes ces situations représentent des failles potentielles et de nombreuses entreprises ne connaissent même pas les risques.

Avec ce sondage, notre objectif est de mieux connaître le contexte canadien de la cybersécurité et de comprendre comment les entreprises canadiennes se préparent et réagissent à la nouvelle réalité de la sécurité des TI.

L’ACEI a confié à The Strategic Council, cabinet spécialisé en recherche, la tâche d’interroger 500 personnes responsables de décisions liées à la sécurité des TI. L’échantillon comprenait des propriétaires d’entreprises et des employés qui gèrent les technologies de l’information. Tous les répondants étaient responsables du budget lié aux décisions de cybersécurité.

Dans notre échantillon, 92 % des répondants ont indiqué qu’ils avaient au moins des connaissances de base des fonctions informatiques et technologiques des entreprises. 8 % des répondants ont indiqué qu’ils contrôlaient le budget, mais qu’ils connaissaient plus ou moins les systèmes en place.

Les répondants sont tous responsables de prendre des décisions en matière de technologies de l’information.

Parmi les personnes interrogées, 50 % sont des employés et 42 % sont des travailleurs autonomes ou des propriétaires d’entreprises avec des employés. Les entreprises à but lucratif représentent 92 % de l’échantillon et les organismes sans but lucratif, 8 %.

Pour terminer, parmi les employés qui sont responsables des décisions de TI, on constate une distribution assez uniforme des tailles des entreprises, de celles avec 10 à 19 employés (18 %) à celles avec 250 à 499 employés (17 %). En résumé, ce sondage présente un large éventail d’opinions qui permettent de tirer des conclusions intéressantes sur le contexte de la cybersécurité au Canada.

DOMAINES DES TI COMPRIS DANS LE TRAVAIL

 

49 %administration des systèmes

41 %cybersécurité

40 %informatique de bureau

39 %de mise en réseau

30 %autres techniques

40 %prise de décision non technique

Familiarité avec les systèmes informatiques / fonctions informatiques de l’organisation

 

92 %total familier

44 %très familier

48 %un peu familier

8 %Total pas familier (mais détenteurs des budget)

À propos des entreprises

Même si le sondage comprend une grande variété d’entreprises, la majorité d’entre elles existaient depuis longtemps, avec 52 % qui avaient été fondées il y a plus de 20 ans. Même si le Canada est considéré comme un pays d’exportation, 67 % des entreprises sondées ont indiqué que leurs activités étaient limitées au Canada seulement.

Les secteurs les mieux représentés dans notre échantillon sont les services, la fabrication, la finance, la vente au détail et la construction.

Même si la cybersécurité n’est plus un mystère pour la plupart des organisations canadiennes, nous voulions en apprendre plus sur la préparation des entreprises à l’égard des menaces et évaluer leur exposition. Nous avons posé des questions générales sur les types d’outils et plateformes numériques utilisés par les organisations pour connaître le niveau de complexité des infrastructures de TI et pour savoir où les données pouvaient être vulnérables.

Sans surprise, les appareils connectés à Internet se trouvaient en tête de liste avec 61 %, tandis que l’infonuagique et les plateformes de stockage ont été mentionnées par 57 % des répondants. Comme les Canadiens sont reconnus pour l’exploitation de ressources naturelles (forêts et mines), il était fascinant d’apprendre que 30 % des répondants utilisaient une plateforme de commerce électronique pour leur entreprise, ce qui comprend la collecte et le stockage de données personnelles.

30 % des organisations utilisent une plateforme de commerce électronique

Utilisation de fournisseurs

L’expertise en cybersécurité est en forte demande et l’industrie évolue rapidement. Un récent rapport de Deloitte indiquait que 5 000 emplois en cybersécurité seraient nécessaires au Canada entre 2018 et 2021. Le même rapport souligne des lacunes d’effectifs à combler de 1,8 million d’experts en cybersécurité. La compétition est donc féroce pour embaucher les travailleurs compétents, ce qui pousse de nombreuses organisations à répondre à leurs besoins en cybersécurité par la sous-traitance. Dans notre échantillon, 34 % des organismes utilisaient des fournisseurs, 33 % séparaient les tâches à l’interne et à l’externe, et 27 % utilisaient des ressources internes seulement. Ces statistiques viennent souligner l’importance de la compréhension de l’empreinte de sécurité de votre prestataire de service et de la garantie d’une gamme complète de solutions de cybersécurité.

Comment ressourcez-vous votre cybersécurité?

 

34 %fournisseurs / vendeurs externes – tous ou la plupart externalisés

27 %ressources internes – toutes ou la plupart en sous-traitance

33 %les deux également

3 %pas de ressources consacrées à la cybersécurité

3 %ne sais pas

Combien de ressources de TI étaient principalement responsables de la cybersécurité?

Afin de mieux comprendre comment les organisations abordaient la cybersécurité, nous avons d’abord demandé combien de personnes travaillaient dans la technologie de l’information et combien de ces personnes comptaient la cybersécurité comme principale responsabilité.

Parmi les propriétaires d’entreprise qui comptent jusqu’à 10 employés, 41 % n’ont aucune ressource interne pour les TI. En examinant les réponses d’employés des TI de plus grandes organisations, on peut constater que la réponse la plus fréquente était que deux à cinq personnes étaient responsables des TI.

Nombre d’employés pour qui les TI sont la principale responsabilité

 

24 %aucun

18 %1

33 %2 à 5

10 %6 à 10

7 %11 à 20

2 %21 à 29

3 %30 à 50

1 %plus de 50

3 %ne sais pas

Lorsque l’accent est mis sur la cybersécurité, les résultats démontrent que 25 à 50 % du personnel des TI est responsable de la cybersécurité.

La moyenne pondérée de membres du personnel des TI indiquées par les employés des TI était de sept, tandis que la moyenne pondérée des responsables de la cybersécurité était de quatre. Selon ces résultats, plus de 50 % des ressources techniques sont utilisées à des fins de cybersécurité. Cela indique combien de temps, d’efforts et de ressources sont maintenant assignés à la lutte contre les pirates informatiques plutôt qu’à la valeur offerte aux clients.

Nombre d’employés dont la principale responsabilité est la cybersécurité.

 

34 %aucun

26 %1

27 %2 à 5

8 %6 à 10

4 %11 à 20

1 %21 à 29

1 %30 à 50

1 %plus de 50

2 %ne sais pas

Sous-traitance de la sécurité – comment les entreprises canadiennes s’en tirent

Comme les petites et moyennes entreprises canadiennes ont de la difficulté à gérer l’avalanche de menaces à la cybersécurité, nombre d’entre elles vont chercher une aide externe. 51 % des répondants ont indiqué qu’ils confiaient les responsabilités de cybersécurité à des consultants et des fournisseurs. Fait intéressant, les organisations avec des équipes internes des TI ont davantage tendance à sous-traiter les services de cybersécurité comparativement aux propriétaires de petites entreprises (62 % contre 45 %). Ces chiffres démontrent une importante vulnérabilité; les petites entreprises canadiennes manquent parfois de ressources pour subvenir à leurs besoins de cybersécurité, mais manquent aussi de soutien interne. On peut aussi en déduire que les équipes de TI veulent mobiliser leurs ressources internes pour servir leurs utilisateurs et confier la cybersécurité à des experts.

Il est préoccupant de constater que 27 % des répondants ont admis manquer de ressources pour embaucher un professionnel de la cybersécurité, tandis que 23 % considèrent une embauche inutile en raison d’un risque peu élevé. Bien sûr, comme nous le savons, les entreprises de toutes les tailles et les types sont maintenant vulnérables dans le cas d’une cyberattaque. Aucune entreprise n’est « trop petite » pour être ciblée. Ce sont même ces petites entreprises qui donnent aux pirates informatiques l’accès aux plus grandes entreprises.

Principales raisons de ne pas avoir d’employés responsables de la cybersécurité

 

51 %utilisons des consultants externes

27 %pas les ressources pour un professionnel de la cybersécurité

24 %tous les employés sont responsables dans une certaine mesure

23 %pas un risque suffisamment élevé pour cette organisation

4 %avons une assurance cyber responsabilité

1 %recrutons actuellement un professionnel de la cybersécurité

0%ne trouvons pas de professionnel en cybersécurité adéquat

2 %autre

5 %ne sais pas

Les organisations qui utilisent les services de fournisseurs externes estiment qu’elles dépensent en moyenne 19 % de leur budget pour la cybersécurité.

Pourcentage du budget informatique global consacré aux fournisseurs de services de cybersécurité externes

 

14 %moins de 5 %

12 %5 à 9 %

40 %10 à 14 %

4 %15 à 19 %

8 %20 à 24 %

4 %25 à 29 %

8 %20 à 49 %

10 %50 % ou plus

26 %ne sais pas

48 % des répondants ont sous-traité une partie de l’infrastructure de leur réseau ou de leurs besoins en TI. Ces résultats sont logiques, car de nombreuses organisations n’ont pas l’expertise nécessaire pour accomplir les complexes tâches liées à la TI.

Toutefois, il est important de noter que la sous-traitance ne transfère pas la responsabilité en matière de cybersécurité à quelqu’un d’autre. Les gestionnaires doivent poser à leurs fournisseurs les questions qui vont au-delà des fonctions des logiciels et du matériel informatique pour comprendre l’attention qu’ils porteront à la cybersécurité.

Dans l’ensemble, les PME canadiennes que nous avons sondées sont confiantes; 78 % d’entre elles font confiance ou entièrement confiance aux ressources qu’elles ont consacrées à la cybersécurité. Cela ne signifie pas que les gestionnaires des TI interrogés se cachent la tête dans le sable; ils considèrent plutôt qu’ils ont fait de leur mieux pour équilibrer les risques et l’investissement. Un bon gestionnaire des TI sait que la seule façon d’obtenir une cybersécurité à 100 % est de tout débrancher.

Dans quelle mesure avez-vous confiance en votre position en matière de cybersécurité?

 

22 %très confiant

56 %plutôt confiant

16 %pas très confiant

3 %pas du tout confiant

< 1 %préfère ne pas répondre

7 %ne sais pas

Dans l’ensemble, les PME canadiennes que nous avons sondées sont confiantes; 78 % d’entre elles font confiance ou entièrement confiance aux ressources qu’elles ont consacrées à la cybersécurité. Cela ne signifie pas que les gestionnaires des TI interrogés se cachent la tête dans le sable; ils considèrent plutôt qu’ils ont fait de leur mieux pour équilibrer les risques et l’investissement. Un bon gestionnaire des TI sait que la seule façon d’obtenir une cybersécurité à 100 % est de tout débrancher.

Perception du nombre d’employés responsables de la cybersécurité

 

2 %trop nombreux

66 %le bon nombre

24 %trop peu

2 %préfère ne pas répondre

7 %ne sais pas

Former les autres employés

Bien sûr, chaque gestionnaire de TI sait que les membres de son équipe ne représentent pas le maillon faible dans la chaîne de la cybersécurité; les autres divisions sont souvent la source des problèmes (nos excuses à l’équipe de marketing).

Les attaques d’hameçonnage et de piratage psychologique exploitent les faiblesses de l’ensemble de l’organisation, pas seulement du service des TI. La formation et la sensibilisation sont donc primordiales pour la protection de votre réseau. Seulement 53 % des répondants offrent une formation sur la cybersécurité à certains employés. Toutefois, lorsqu’on regarde de plus près, le problème est beaucoup plus grave. 65 % des organisations qui ont des équipes de TI officielles offrent une formation sur la cybersécurité, tandis que les entreprises à propriétaire unique offrent une formation dans une proportion de 35 %. De plus, en comparant la taille des organisations, on constate une grande différence dans la capacité d’offrir des programmes de formation de base. 82 % des organisations avec 250 à 499 employés offrent une formation, tandis que seulement 54 % des entreprises avec 10 à 49 employés peuvent le faire.

Organisations offrant au moins une formation en cybersécurité (par taille d’entreprise)

 

54 %10 à 49

69 %50 à 249

82 %250 à 499

Ces résultats sont logiques, car les grandes organisations ont des services des TI plus importants pour offrir ce type de formation, des budgets considérables et plus d’employés qui peuvent représenter des brèches. De plus, dans les grandes organisations, les membres du personnel des TI interagissent probablement moins avec les utilisateurs, ce qui rend les processus plus officiels nécessaires.

Toutefois, il est difficile de ne pas voir ce manque de formation dans les petites entreprises comme un risque important pour l’économie canadienne. Peu importe la taille de l’organisation ou son domaine, les entreprises canadiennes ont des interactions. Votre fournisseur de photocopieur pourrait représenter la faille par laquelle un pirate pourrait entrer.

Après avoir abordé les sujets de l’exposition, de la préparation et de l’évaluation de la sécurité en place, passons maintenant aux choses sérieuses : les conséquences. Quels sont les conséquences et les coûts des cybermenaces pour les PME canadiennes ? Pour cette partie de l’analyse, nous mettrons l’accent sur les gestionnaires de TI au sein des organisations plutôt que sur les propriétaires de petites entreprises; ils ont plus de protections officielles, d’outils de mesure et de politiques en place.

Quatre répondants sur dix savent qu’ils ont subi des cyberattaques au cours des 12 derniers mois. Ce qui est particulièrement frappant est la différence des réponses entre les professionnels des TI et les propriétaires d’entreprises qui administrent les budgets. Lorsque les propriétaires qui contrôlent le budget de la sécurité des TI ont répondu à la même question, presque sept sur dix ont affirmé n’avoir subi aucune attaque. Il est probable, même si cela ne peut être prouvé avec certitude, que de nombreux propriétaires d’entreprise ont subi des attaques sans le savoir. Comme de nombreuses attaques sont automatisées, il faut souvent un œil professionnel pour détecter une brèche.

Plus les organisations sont grandes, plus la sensibilisation aux cyberattaques augmente, avec 66 % des entreprises de 250 à 499 employés qui affirment avoir subi une attaque. Est-ce que les plus grandes entreprises subissent plus d’attaques parce qu’elles représentent une plus grosse cible ou parce que leurs systèmes de détection sont plus sophistiqués pour déceler les brèches?

Incidence des cyber-attaques au cours des 12 derniers mois – Réponses des responsables informatiques

 

14 %oui, attaques réussies

36 %oui, tentatives infructueuses

40 %non

5 %préfère ne pas répondre

6 %ne sais pas

Incidence des cyber-attaques au cours des 12 derniers mois – Réponses des propriétaires d’entreprise

 

6 %oui, attaques réussies

18 %oui, tentatives infructueuses

67 %non

4 %préfère ne pas répondre

7 %ne sais pas

OUI, nous avons vécu une cyberattaque – Réponses des responsables informatiques selon la taille de l’entreprise

 

42 %10 – 49 employés

50 %50 – 249 employés

66 %250 – 499 employés

La plupart des organisations qui ont subi des attaques font état de moins de cinq par année. Les gestionnaires de TI déclarent un nombre beaucoup plus élevé d’attaques en moyenne. 7 % des gestionnaires de TI ont signalé 50 attaques et plus.

 7 % des gestionnaires de TI ont signalé 50 attaques et plus par année

Un aperçu du trafic Internet canadien vers les sites de logiciels malveillants

Du point de vue de la sécurité, l’ACEI fait partie du monde DNS à temps plein. En plus de gérer le DNS de premier niveau pour plus de 2,8 millions de domaines. CA, nous offrons un service DNS secondaire et un service de pare-feu DNS infonuagique.

Le pare-feu infonuagique est un service qui bloque les logiciels malveillants et l’hameçonnage appelé pare-feu DNS D-Zone. Lorsqu’un usager tente de cliquer sur un lien infecté par un logiciel malveillant ou un appareil infecté tente d’atteindre son serveur de commande et de contrôle par l’entremise du DNS, la communication est refusée. Le refus est enregistré dans le nuage et un message est envoyé à l’utilisateur par l’entremise d’une alerte de page bloquée dans le navigateur.

La page bloquée est enregistrée dans la catégorie des menaces pour plus de 600 000 Canadiens afin de leur fournir un aperçu sans précédent. Notre base d’utilisateurs comprend des entreprises, mais aussi beaucoup d’organismes du secteur public comme des municipalités, des universités, des commissions scolaires et des hôpitaux. Ces types d’organismes ont tendance à utiliser des réseaux différents (sur le plan des profils de réseaux publics et privés) de ceux des entreprises commerciales, mais les leçons sont les mêmes.

Les organismes utilisent le DNS pour bloquer des menaces, mais aussi pour filtrer le contenu. Le type de contenu qui est filtré varie beaucoup parmi les organisations canadiennes et les secteurs. Par exemple, différentes commissions scolaires ont des politiques très différentes pour le type de contenu qui est bloqué pour les élèves de la maternelle à la 12e année. Aux fins du présent rapport, il s’agit d’une observation intéressante qui sera abordée dans une analyse que nous publierons plus tard.

Accent mis sur les tentatives d’accès à des sites d’hameçonnage et d’URL infectés

Nous avons examiné toutes les pages infectées et les tentatives d’hameçonnage bloquées au cours du mois d’août 2018. Nous avons exclu une activité importante de réseau de zombies provenant d’appareils infectés dans le réseau afin de mettre l’accent sur les utilisateurs avec lesquels les gestionnaires de TI doivent composer. Nous avons inclus les logiciels malveillants qui se présentent dans le réseau de l’organisation et qui utilisent le trafic http. Dans les deux cas, qu’il soit généré par un utilisateur ou une machine, le trafic est indésirable.

Pour le réseau au Canada, nous mentionnons que le nombre moyen d’hameçonnages bloqués par utilisateur par mois était équivalent à 3,1 pages infectées bloquées par mois, par utilisateur et 0,6 pages bloquées par pages d’hameçonnage par mois, par utilisateur. *Le nombre d’utilisateurs est estimé selon le nombre d’utilisateurs du réseau fourni par les organisations qui utilisent le pare-feu DNS D-Zone et comprend des estimations pour les réseaux publics établis.

N’oubliez pas que ces organisations utilisent d’autres options de cybersécurité en plus du DNS; par contre, les données que nous consultons tendent vers les avantages d’un DNS et indiquent le type de problème que les gestionnaires de TI peuvent empêcher d’intégrer le réseau grâce au pare-feu DNS.

Nous ne pouvons actuellement déceler de tendance forte à la hausse ou à la baisse au Canada sur le plan des changements des profils de menaces, mais nous continuons à surveiller et nous espérons éventuellement recevoir des rapports contenant des données sur le DNS (assurez-vous de vous inscrire pour recevoir des mises à jour).

Attaques les plus fréquentes envers les PME canadiennes

La diversité des cybermenaces présentes actuellement est suffisante pour confondre un fan de Pokemon—certaines d’entre elles ont même des logos et des équipes de soutien. Que devrions-nous surveiller?

Parmi les menaces mentionnées dans notre sondage, l’hameçonnage et les virus étaient les attaques les plus signalées : quatre répondants sur dix énonçaient ces deux types. Le cheval de Troie et le logiciel espion arrivent ensuite, à 32 et 30 % respectivement. Le logiciel rançonneur arrive au cinquième rang avec 27 % d’attaques déclarées (réussies ou déjouées).

Il est important de mentionner que pour une personne qui ne travaille pas à temps plein en cybersécurité, la connaissance des types de logiciels malveillants (et de leurs différences) n’est pas très approfondie. Par conséquent, même si les données démontrent une tendance, les réponses des propriétaires d’entreprises ne sont pas très précises.

When asked to rank the types of attacks that could do the most damage, the top five is identical but in a slightly different order.

Types de logiciels malveillants susceptibles d’avoir le plus grand impact négatif

 

43 %virus

36 %ransomware

34 %trojan

29 %logiciels espions

32 %phishing / spear phishing

25 %vers

16 %porte dérobée

16 %keylogger

16 %applications indésirables

12 %logiciels publicitaires malveillants (« adware »)

11 %bots ou botnets

10 %mineur de cyber-monnaie

1 %autre

3 %préfère ne pas répondre

16 %ne sais pas

Définitions simples des types communs de logiciels malveillants

Logiciel publicitaire

Affiche des publicités dans votre ordinateur. Souvent installé avec des outils gratuits provenant de sources indésirables.

Logiciel espion

Effectue un suivi des activités Internet.

Virus

Programme ou code contagieux qui s’attache à un autre logiciel et se reproduit dans le réseau de l’ordinateur ou dans d’autres ordinateurs par transfert de fichiers.

Vers

Menace autoreproductrice qui détruit les données et fichiers de l’ordinateur.

Cheval de Troie

Les chevaux de Troie visent à découvrir des renseignements, comme des données financières. Ils peuvent amener avec eux d’autres codes malveillants. Ils sont aussi utilisés pour prendre le contrôle de ressources afin de lancer des attaques contre d’autres appareils.

Programmes malveillants furtifs

Aide habituellement d’autres logiciels malveillants qui amassent des données à s’infiltrer.

Trappes

Ouvrent un lien dans un ordinateur, fournissant ainsi une connexion réseau pour les pirates informatiques ou d’autres logiciels malveillants.

Enregistreur de frappe

Enregistre tout ce que vous saisissez sur votre ordinateur.

Logiciel rançonneur

Verrouille l’ordinateur ou des données jusqu’à ce que l’utilisateur paye, généralement par cryptomonnaie, pour obtenir une clé. Même si vous payez, vous n’êtes pas certain d’obtenir une clé qui fonctionne.

Logiciel de détournement de navigateur

Redirige les activités normales de recherche pour donner des résultats que le pirate veut que vous voyiez. L’objectif est de faire de l’argent avec votre activité Web. Le détournement peut être aussi simple que l’envoi de contenu publicitaire à être utilisé pour hameçonner vos données bancaires ou autres renseignements.

Source : Modified from malwaretruth.com

L’évolution de tout phénomène comprend la normalisation d’occurrences remarquables. L’ACEI est en voie d’accepter que l’Internet n’est plus capitalisé et que pour les PME canadiennes, le cybercrime fait partie des inconvénients d’avoir une entreprise sur le Web.

Tout comme mettre un verrou sur sa porte ou embaucher un gardien de sécurité, la cybersécurité devrait maintenant être un autre élément du budget de toute entreprise canadienne. Cette situation rend la nécessité de solutions abordables de cybersécurité encore plus urgente et met en évidence la valeur des couches de protection pour réduire les risques de brèche.

Les rançons demandées par les pirates informatiques pour récupérer des données volées ont tendance à faire les manchettes, mais un tiers des répondants ont indiqué que les principaux coûts qu’entraînaient les cyberattaques étaient liés au temps requis pour que les employés traitent les incidents. Un répondant sur quatre a indiqué que les attaques nuisaient à l’utilisation des ressources ou empêchaient les employés d’exécuter des tâches quotidiennes. Par contre, peu de répondants ont mentionné une perte de revenu ou de clients (6 % pour les deux réponses).

Impact des cyber-attaques sur l’organisation au cours des 12 derniers mois

 

33 %temps additionnel consacré à la réponse de l’incident

29 %incident mineur

26 %empêché l’utilisation de ressources de services

8 %perte de revenus

6 %perte de clients

6 %atteinte à la réputation de l’organisation

6%n’ont pas permis de mener à bien une activité future prévue

5 %perte de fournisseurs ou de partenaires

4 %rançon payée

4 %amendes des régulateurs ou des autorités

19 %pas d’impact du tout

5 %ne savent pas l’étendue de l’impact

Dans notre sondage, seulement 4 % des répondants ont affirmé avoir payé une rançon à un pirate informatique. Même si ce pourcentage peut sembler minime, les données de 2016 de Statistique Canada indiquent que le pays compte 1,17 million d’entreprises. Si l’on exclut les entreprises comptant moins de dix personnes, on compte 309 000 entreprises. Même si nous sommes satisfaits de notre sondage, une variance de +/- 30 % sous-entend que 3 000 à 5 000 entreprises canadiennes ont versé des rançons.

 75 % des organisations victimes d’une attaque de logiciel rançonneur utilisaient une protection des points de terminaison à jour. 

 Source: Sophos 

Symantec indique quela moyenne des demandes de rançon a diminué et se trouve maintenant à environ 650 $ (en dollars canadiens), ce qui signifie que les pirates sont maintenant en mesure de cibler des entreprises de moins grande taille qui sont assez importantes pour être rentables, mais assez limitées pour verser la rançon sans trop de résistance. Le crime informatique rapporte gros.

Bien sûr, d’importantes rançons sont toujours réclamées à de grandes organisations, comme nous l’avons constaté récemment au Canada. Des attaques contre Wasaga Beach, ON et Midland, ON comportaient des demandes de rançon de centaines de milliers de dollars (négociées à la baisse), mais le prix pour récupérer les données est estimé à 250 000 $ pour les deux municipalités.

Peu importe la taille de l’entreprise, les pirates ont un mode de paiement pour vous. Le crime informatique ne concerne plus seulement les services de TI des grandes entreprises, il peut aussi toucher les petites entreprises.

Prévention des attaques

Si vous avez été victime d’une attaque, que se passe-t-il ensuite? Parmi les répondants qui ont subi une attaque, un peu moins de la moitié ont pris des mesures supplémentaires pour éviter une récidive. L’investissement le plus courant est une meilleure technologie (45 %), suivi d’une meilleure formation (40 %). Étonnamment, 9 % des répondants n’ont pris aucune mesure supplémentaire.

Mesures prises pour prévenir de futures cyber-attaques

 

45 %installation d’un nouveau logiciel

40 %formation des employés

30 %audit de sécurité

27 %installation de nouveau matériel

21 %ajout d’une nouvelle sécurité basée sur le cloud

16 %embauche de nouveaux entrepreneurs en informatique ou fournisseurs de services

12 %embauche de nouveau personnel informatique

2 %autre

9 %aucune action entreprise

3 %pas de réponse

Niveau de préoccupation

Dans le domaine des TI, éventuellement, tout ce qui peut échouer échoue. C’est la loi de Murphy, mais les professionnels de la cybersécurité gèrent en atténuant les risques, et non en les éliminant. Dans cette optique, quel est le niveau de préoccupation des professionnels des TI par rapport à d’éventuelles attaques?

Parmi ceux qui ont subi une cyberattaque au cours de la dernière année, 88 % sont au moins un peu préoccupés par une éventuelle attaque. Parmi ceux qui n’ont pas subi d’attaque, seulement 62 % ont affirmé la même chose, et 25 % ne sont pas préoccupés.

72 % des répondants affirment être préoccupés par les dommages causés par d’éventuelles cyberattaques

Sur le plan de la préparation, 82 % des gestionnaires de TI se disent prêts à faire face à de possibles cyberattaques; le pourcentage passe à 68 % pour les propriétaires d’entreprises. On peut affirmer que les Canadiens sont des gens confiants.

77 % des répondants sont prêts à faire face à une éventuelle cyberattaque

Protection des données : une des principales raisons de la cybersécurité

Les clients sont de plus en plus conscients des risques de confier leurs données personnelles à des entreprises. Merci, Facebook! En effet, un récent rapport de Help Net Security indique que 85 % des clients trouvaient que les entreprises devraient mieux protéger leurs données et 75 % affirment qu’ils ne feraient pas affaire avec une entreprise qui donne l’impression de mal protéger leurs données..

Compte tenu de ce qui précède, il est rassurant que constater que la principale raison pour laquelle les répondants allouent des ressources à la cybersécurité est la protection des données des clients.

Les cinq principales raisons étaient regroupées entre 44 et 55 %, ce qui indique que les organisations pensent que la protection est importante pour plusieurs raisons. Ces raisons comprennent la protection des données des clients, la fraude ou le vol, la protection des données des employés et des fournisseurs, les opérations et le commerce électronique.

Cinq principales raisons de consacrer des ressources aux mesures de cybersécurité

 

55 %protéger les informations des clients

53 %prévenir la fraude et le vol

53 %protéger les informations personnelles des employés, des fournisseurs ou des partenaires

49 %assurer la continuité des opérations

44 %éviter les temps d’arrêt et les pannes de site Web ou de commerce électronique

Nous avons mentionné un rapport de Deloitte qui indiquait un besoin croissant en professionnels de la cybersécurité au Canada. Dans notre sondage, 28 % des organisations prévoient augmenter leurs ressources humaines mises à la disposition de la cybersécurité au cours des 12 prochains mois. Pour les organisations de 250 à 499 employés, cette proportion est de 38 %. Seuls 3 % des répondants prévoient réduire les ressources.

Évolution anticipée des ressources humaines consacrées à la cybersécurité au cours des 12 prochains mois

 

3 %diminution

66 %restent les mêmes

29 %augmentation

4 %ne sais pas

Nous avons obtenu des résultats semblables par rapport aux investissements. Pour les organisations qui ne prévoient pas augmenter les dépenses, la raison la plus courante est qu’elles ont l’impression que leurs systèmes actuels, leur personnel et leurs processus représentent un investissement suffisant.

Comment les ressources sont-elles utilisées?

Nous savons comment les entreprises répartissent le personnel et les ressources pour la cybersécurité. Sur quoi ces ressources sont-elles axées?

La principale tactique utilisée pour déterminer les risques de sécurité est la surveillance du réseau et du pare-feu à 61 %, suivie de la surveillance de l’utilisation des ordinateurs individuels, à 41 %. Ces pourcentages augmentent pour les organisations de grande taille. La vérification et la mise à l’épreuve de la pénétration sont utilisées par seulement 25 % des petites entreprises et un peu moins de 50 % des grandes. Nous ne savons si cela signifie que la plupart des spécialistes des TI préconisent l’utilisation des outils plutôt que la planification et les processus. Ces données représentent une occasion pour les fournisseurs de services des TI d’aider les petites entreprises à concevoir la sécurité différemment.

Activités entreprises pour identifier les risques de cybersécurité

 

61 %réseau de surveillance et pare-feu

41 %surveillance de l’utilisation des ordinateurs et d’Internet par les employés

29 %évaluation formelle des risques

24 %audit externe complet

23 %tests de pénétration

8 %aucun

14 %ne sait pas ou pas de réponse

Outils gratuits ou payants?

Pour la cybersécurité comme pour toute autre industrie numérique, les outils numériques abondent. Nous avons interrogé les répondants sur la prédominance des outils gratuits et commerciaux au sein de leurs organisations. La plupart des organisations utilisent les outils gratuits (logiciels ouverts) et des outils commerciaux. Toutefois, au fil de leur développement, les organisations ont tendance à se fier davantage aux outils commerciaux à des fins de cybersécurité. 27 % des organisations de 10 à 49 employés utilisent seulement des outils commerciaux. 56 % des organisations de 250 à 499 employés utilisent des outils commerciaux seulement.

Nous savons déjà que les entreprises canadiennes sont préoccupées par la menace d’une cyberattaque, mais tout de même confiantes en leur capacité de défendre leurs réseaux. Ce sont des conclusions plus ou moins intéressantes, mais en les examinant de plus près, des problèmes se présentent.

Problème 1 : Application de correctifs. Quelle application de correctifs?

Les vulnérabilités du jour zéro sont parmi les plus craintes dans l’industrie. Elles font inévitablement la manchette, surtout si une attaque importante a lieu le jour zéro. Si vous croyez que votre service des TI est le seul qui garde un œil sur les vulnérabilités du jour zéro, je peux vous assurer que les pirates en font tout autant.

Même si les vulnérabilités du jour zéro représentent une menace importante à la sécurité, seulement 29 % des répondants ont indiqué qu’ils avaient adopté une politique officielle d’application de correctifs. Comment est-ce possible? Même pour les organisations de 250 à 499 employés, cette proportion est seulement de 54 %.

Cette statistique va à l’encontre des réponses précédentes indiquant que les organisations sont généralement satisfaites de leurs investissements en cybersécurité et à l’aise avec le risque, et représente une importante faille dans la préparation aux cyberattaques.

Incidence d’avoir une politique de correction officielle

 

29 %oui

36 %non

8 %préfère ne pas répondre

27 %ne sais pas

Problème 2 : TI dans l’ombre

Les choses étaient plus faciles quand un ordinateur avait le même poids qu’un réfrigérateur. Maintenant, nous nous baladons tous avec des appareils connectés à des réseaux et les gestionnaires de TI ne peuvent pas savoir exactement ce qui se trouve sur leur réseau. Les TI dans l’ombre est une description de la technologie utilisée dans votre réseau qui n’est pas formellement testée, approuvée et soutenue par le service des TI.

En réalité, il y a deux types d’organisations : celles qui ne savent pas combien d’applications inconnues / non approuvées sont utilisées par leurs employés et celles qui mentent. Selon les estimations, 30 à 50 % des dépenses en TI des grandes organisations peuvent être liées aux TI dans l’ombre, si l’on croit différents rapports de recherche publiés par Gartner et Everest Group.

Dans notre sondage, 50 % des organisations font mention d’applications non gérées qui sont installées sur les appareils d’utilisateurs finaux. Des services infonuagiques non gérés sont signalés par 26 % des répondants; 17 % mentionnent l’utilisation de TI de l’ombre dans les systèmes internes ou infonuagiques.

Nous avons tenté d’obtenir une idée de l’ampleur du problème en demandant aux répondants d’estimer le nombre d’occurrences de TI dans l’ombre dans leurs réseaux. Selon la majorité, soit 53 %, ce nombre est inférieur à 10. En réalité, les TI dans l’ombre représentent l’une des plus importantes faiblesses de tout réseau. Si votre système de cybersécurité est exclusivement composé de solutions pour les appareils, seule une partie du problème est visible.

Nombre d’instances uniques d’informatique fantôme existant au sein d’une organisation (estimation du répondant)

 

6 %0

47 %1 à 10

18 %11 à 50

5 %51 à 100

4 %101 à 250

1 %plus de 250

16 %ne sais pas

Problème 3 : Réglementation

Si vous avez visité un site Web au cours des six derniers mois, vous en avez probablement assez du RGPD. Malheureusement, ce n’est que le début.

Les récentes modifications importantes apportées au Règlement général sur la protection des données (RGPD) de l’Union européenne ont mis l’accent sur la protection des renseignements personnels des consommateurs. Le Canada a aussi apporté ses propres changements, qui auront une incidence sur le domaine des TI.

L’équivalent canadien, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), subira, en novembre 2018, des modifications qui auront une incidence importante sur le profil de risque et les exigences de conformité pour les entreprises canadiennes.

À commencer par le RGPD. Il n’est pas surprenant que 66 % des répondants aient déclaré ne pas connaître le règlement, puisque la plupart font affaire au Canada seulement. De plus, une question de suivi a révélé que seulement 13 % des répondants ont apporté des changements à leur façon de gérer les données.

Niveau de connaissance de la réglementation européenne GDPR

 

8 %très familier

22 %un peu familier

23 %pas très familier

43 %aucune connaissance

4 %ne sais pas

L’aspect positif est que 58 % des répondants connaissaient la LPRPDE. Par contre, 38 % des répondants ont indiqué qu’ils ne connaissaient pas la LPRPDE. Ce pourcentage assez élevé est surprenant, puisque près de 60 % des répondants ont indiqué qu’ils recueillaient les renseignements personnels de clients, fournisseurs ou partenaires. En raison des changements apportés à la LPRPDE, toutes les organisations canadiennes devront rendre publiques les failles dans leurs systèmes de sécurité et démontrer qu’ils utilisent la technologie et les processus appropriés pour protéger les renseignements personnels qu’ils recueillent.

Ces changements transforment complètement le profil de risque des entreprises canadiennes, et compte tenu du nombre de répondants qui ont exprimé leur confiance en leur préparation en cybersécurité, nous nous demandons s’ils changeront d’avis.

Niveau de connaissance de la réglementation canadienne sur la LPRPDE

 

17 %très familier

41 %un peu familier

22 %pas très familier

16 %aucune connaissance

4 %ne sais pas

 Quel est le risque pour les renseignements personnels? 59 % de nos répondants ont indiqué qu’ils recueillaient des renseignements personnels.

Dans le cadre de son mandat, l’ACEI croit que l’Internet canadien doit être rapide, accessible et sécuritaire. Pour que les entreprises canadiennes puissent profiter pleinement de l’économie numérique, leurs réseaux ne doivent pas être en proie aux logiciels malveillants.

Nous avons posé aux répondants des questions sur l’importance du Canada et des solutions canadiennes dans leurs programmes de cybersécurité.

Souveraineté des données

La souveraineté des données signifie que les données créées par des Canadiens pour l’usage exclusif d’organisations, entreprises et gouvernements canadiens n’auraient pas à quitter le pays pour être distribuées dans celui-ci.

De nombreux Canadiens ne savent pas qu’une partie de l’infrastructure du réseau du Canada fait passer des données par les États-Unis, même si leur destination est le Canada. Le courriel que vous envoyez à votre cousin d’Ottawa de votre condo à Toronto peut très bien faire un détour par Chicago avant d’atteindre sa destination.

Dans cette optique, la moitié de nos répondants étaient préoccupés par la perspective de leurs données voyageant ou étant stockées à l’extérieur du Canada. Lorsque nous leur avons posé des questions sur les décisions d’achat de services de réseau ou de sécurité, 84 % des répondants ont dit choisir des entreprises canadiennes pour la sous-traitance de leurs besoins en TI. 73 % des répondants font l’effort de trouver d’abord des entreprises canadiennes dans le cadre d’achat de services de TI ou de cybersécurité.

Surtout, 58 % des répondants indiquent que le trafic canadien qui demeure au Canada peut être bénéfique pour leur cybersécurité. En considérant une loi comme la LPRPDE, il est important de se rappeler que lorsque vos données traversent une frontière internationale, elles sont assujetties aux lois et règles des autres pays, qui ne partagent peut-être pas les valeurs du Canada.

La bonne nouvelle : les petites et moyennes entreprises canadiennes sont conscientes des risques associés aux cyberattaques, inquiètes des répercussions et satisfaites dans l’ensemble que leur préparation actuelle. La mauvaise nouvelle : le monde de la cybersécurité est en constante évolution. Les changements de réglementation, les TI dans l’ombre et les nouveaux vecteurs d’attaques exigent une vigilance et des ajustements constants.

Nous constatons que les petites et moyennes entreprises canadiennes investissent davantage dans la cybersécurité en embauchant plus de personnel et en mettant en place une meilleure technologie de cybersécurité. Selon notre analyse, les entreprises canadiennes ne devraient pas être si confiantes. Très peu d’entre elles ont établi des politiques officielles d’application de correctifs pour éviter les attaques du jour zéro. Nombre d’entre elles ne sont pas au courant des changements imminents à la LPRPDE et des risques associés à ces modifications. Même si la plupart de nos répondants savent ce que sont les TI dans l’ombre, il est impossible de connaître l’ampleur du problème.

Si vous avez déjà lu nos passionnants documents de marketing, vous savez que nous aimons beaucoup les couches de protection. La cybersécurité n’est pas l’affaire d’une seule solution; il est nécessaire d’avoir une gamme de produits qui protègent différentes couches de cybersécurité et qui sont complémentaires. Combien de ces couches sont utilisées par les entreprises canadiennes? Quelles politiques et produits mettent-elles en place pour se protéger?

Nous croyons en la mise en œuvre de produits et de solutions pour le marché canadien, afin de résoudre des problèmes typiquement canadiens. Nos solutions de cybersécurité sont spécialement conçues pour le Canada. Notre expérience de gestion de plus de 20 ans du domaine .CA nous a permis d’acquérir une expertise en protection du DNS et en création de produits comme le pare-feu DNS D-Zone, une couche importante de notre empreinte de cybersécurité.

En rendant compte des tendances liées à la cybersécurité et aux données, nous espérons continuer à améliorer la cybersécurité du Canada par l’entremise des connaissances, des gens et des solutions, afin d’assurer la stabilité et la continuité de notre Internet.