Aller au contenu principal

Principales conclusions

  • 43 pour cent des répondants ayant déclaré qu’ils ne faisaient appel à aucun spécialiste en matière de cybersécurité ont invoqué le manque de ressources. Cette proportion représente une augmentation de 11 pour cent par rapport à l’an dernier.
  • Alors que 96 pour cent des répondants ont déclaré que la formation et la sensibilisation à la cybersécurité contribuaient quelque peu à réduire les incidents, à peine 22 pour cent ont suivi la formation tous les mois ou plus fréquemment.
  • Une proportion encourageante de 87 pour cent des répondants ont précisé que leur employeur offrait une forme quelconque de formation et de sensibilisation à la cybersécurité. Cependant, à peine 41 pour cent ont déclaré que tous les employés étaient tenus de suivre la formation.
  • Chez les entreprises ayant fait les frais d'une cyberattaque, 13 pour cent ont reconnu que celle-ci avait nui à leur réputation. Cette perception contraste de manière flagrante avec les constatations que renferme le récent rapport: de l’ACEI intitulé Les Canadiens méritent un meilleur Internet, dans lequel on précise qu’à peine 19 pour cent des Canadiens entretiendraient un lien d'affaires avec une organisation si leurs données personnelles étaient exposées à une cyberattaque.
  • De ces entreprises qui ont été victimes d’une violation de données, 48 pour cent seulement en ont informé leurs clients; 40 pour cent ont avisé la direction et 21 pour cent leur conseil d'administration.
  • 71 pour cent des organisations ont reconnu avoir vécu au moins une cyberattaque ayant nui à leurs activités d’une manière ou d’une autre et ayant entraîné certains coûts en temps et en ressources, qu’elles ont payés de leur poche en versant une rançon.

Introduction

Il en a coulé de l’eau sous les ponts depuis le dernier sondage. La bonne nouvelle... on consacre maintenant davantage d’attention, de temps et de ressources à la cybersécurité. Le Centre canadien pour la cybersécurité est entré en scène, le gouvernement fédéral a dévoilé CyberSécure, son programme de cybercertification, alors que la version revampée de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est entrée en vigueur.

Cependant, les nouvelles ne sont pas toutes bonnes. Les banques, les écoles, les gouvernements et les entreprises au Canada sont encore paralysés par des cyberattaques qui exposent les données de leurs clients, de sorte qu’ils versent des rançons aux pirates et perdent un temps précieux à se remettre de ces violations.

Si on en croit le sondage annuel d’Accenture sur le coût de la cybercriminalité, le coût moyen afin d’enquêter sur une attaque et réparer ses conséquences s’élevait l’an dernier à 9,25 millions de dollars pour les organisations canadiennes.

Notre but, par ce sondage, consiste à vous donner un aperçu du paysage de la cybersécurité au Canada afin que vous compreniez simplement la façon dont les entreprises canadiennes se préparent et font face à la nouvelle réalité en matière de sécurité de la TI.

Méthodologie

L’ACEI a demandé à la firme de recherche The Strategic Council pour interviewer 500 individus responsables des décisions en matière de sécurité informatique. Cet échantillon comprend des individus qui gèrent au moins 50 utilisateurs d’ordinateurs de bureau ou d’appareils portables pour réaliser au moins 20 % de leur travail.  Tous les répondants étaient responsables du budget lié à leurs décisions en matière de cybersécurité.

Dans notre échantillon, 92 pour cent ont déclaré qu’ils connaissaient à tout le moins quelque peu le système informatique et les fonctions de TI de l'organisation, alors que 8 pour cent exerçaient un contrôle sur le budget, mais connaissaient un peu moins les systèmes en place.

Parmi les gens interrogés, 53 pour cent ont affirmé qu’ils connaissaient très bien la TI et la fonction informatique de leur organisation, alors que 47 pour cent ont déclaré qu’ils les connaissaient quelque peu.

Enfin, encore parmi ces gens, 28 pour cent ont précisé qu’ils appartenaient à une organisation comptant de 50 à 99 employés qui utilisent des ordinateurs ou des appareils portables. De plus, 31 pour cent représentaient des organisations utilisant de 100 à 229 appareils, alors que 14 pour cent appartenaient à la catégorie de 250 à 499 employés; 12 pour cent à la catégorie de 500 à 999 employés; et 15 pour cent étaient au service d’organisations où plus de 1 000 employés utilisent un ordinateur de bureau ou un appareil portable. En résumé, le sondage nous présente un vaste éventail de points de vue qui nous permettent de tirer des conclusions intéressantes au sujet du paysage de la cybersécurité au Canada.

Secteurs de TI entrant dans le cadre d’un emploi
52% Administration des systèmes
50% TI des ordinateurs de bureau
49% Cybersécurité
49% Réseautage
36% Autres techniques
35% Prise de décisions non techniques

À propos des organisations

Alors que notre sondage s’adresse à différentes organisations, elles sont en activités pour la plupart depuis un certain temps, puisque 56 pour cent ont déclaré être en affaires depuis plus de 20 ans. 59 pour cent des entreprises interrogées ont déclaré faire des affaires au Canada seulement.

Les organisations du secteur privé représentaient 67 pour cent de l'échantillon, alors que les organismes publics ou à but non lucratif constituaient 33 pour cent de celui-ci.

Plus que jamais, les Canadiens ont besoin de faire confiance à Internet. Nous croyons que la sécurité est le fondement de cette confiance, et c’est pourquoi nous avons mis à profit notre expérience de la protection du domaine .CA pour aider les organisations canadiennes à se protéger et à protéger leurs utilisateurs.

Byron Holland chef de la direction de l'ACEI

Employés et formation

Alors que la cybersécurité est maintenant un sujet d’actualité (pour le meilleur ou pour le pire), nous souhaitions creuser plus loin pour découvrir la façon dont les organisations se préparent à relever le défi que leur présentent les pirates, les voleurs et les espions étrangers de ce monde.

Confiance à l'endroit des vendeurs

Si vous avez un enfant qui fréquente l’école, à moins qu’il ne s’agisse de la prochaine Bianca Andreescu, vous devriez commencer dès maintenant de tenter de manière pas très subtile de l’orienter vers un emploi dans le domaine de la cybersécurité. Dans un rapport publié en 2018 par Deloitte, on déclarait qu’on allait devoir doter 5 000 emplois dans le domaine de la cybersécurité au Canada entre 2018 et 2021 et que les organisations de partout au pays font des pieds et des mains pour combler ce vide.

Cela signifie naturellement que, pour l’instant, l’impartition restera un élément central dans le domaine de la cybersécurité. Une telle situation reflète également le fait que dans plusieurs organisations, on juge peut-être qu’il n’est pas nécessaire d’investir une ressource à temps complet dans la cybersécurité; alors que le temps et l’effort nécessaires pour se tenir au fait des plus récentes menaces débordent généralement d’un emploi à temps partiel.  

Dans notre échantillon, 68 pour cent des gens s’en remettaient, entièrement ou en partie, à des ressources externes, alors que 20 pour cent déclarent qu’ils confient tous leurs besoins en matière de cybersécurité à des fournisseurs de l'extérieur. À peine 31 pour cent ont reconnu faire exclusivement appel à leurs ressources internes. Cela souligne à quel point il est important de comprendre l’empreinte de sécurité de votre fournisseur de services gérés et d’assurer qu’il dispose d’un ensemble complet de solutions en matière de cybersécurité.

Dépendance à l’égard de ressources internes ou de fournisseurs externes afin de répondre aux besoins en matière de cybersécurité
20% Fournisseurs/vendeurs externes
31% Ressources internes
48% Les deux à parts égales
1% Je l’ignore
Nombre d’employés assumant la responsabilité principale dans le domaine de la TI
3% Aucun
6% 1
29% 2-5
15% 6-10
15% 11-20
8% 21-29
7% 30-50
17% Plus de 50
1% Je l’ignore

Pour avoir une idée plus juste du niveau d'engagement de notre échantillon dans le domaine de la cybersécurité, nous avons demandé combien de gens au sein de leur organisation travaillent en technologie de l'information. La réponse la plus fréquente, dans une proportion de 29 pour cent, était de 2 à 5 employés. Il est intéressant de constater, lorsqu’on répartit ces chiffres entre les organisations publiques et privées, que la différence est vaste. Alors que les organisations privées comptent habituellement de 1 à 5 employés dont la responsabilité première concerne la TI, les organisations publiques en ont souvent 30 ou plus.

Nombre d’employés assumant la responsabilité principale dans le domaine de la cybersécurité
7% Aucun
14% 1
37% 2-5
18% 6-10
9% 11-20
3% 21-29
3% 3-50
7% Plus de 50
3% Je l’ignore

Lorsque nous nous sommes intéressés à la cybersécurité, les chiffres nous ont appris, une fois de plus, que les organisations privées comptent entre un et cinq employés responsables de cet aspect. Cela nous porte à croire que, de façon générale, tous les employés en TI sont au moins en partie responsables de la cybersécurité au sein des organisations privées. Dans les organisations publiques, au contraire, la moyenne baisse considérablement, alors que le nombre de répondants ayant répondu « plus de 50 » est passé de 39 pour cent pour les employés de TI à 15 pour cent seulement pour les spécialistes de la cybersécurité. En conclusion, on semble dire que si vous comptez un plus grand nombre d’employés, vous pouvez vous permettre de vous spécialiser, mais dans les entreprises plus restreintes, tout le monde doit mettre la main à la pâte.

Manque de ressources

La principale raison que les répondants ont évoquée pour n’avoir aucun employé s’occupant strictement de cybersécurité concernait le recours à des entrepreneurs de l'extérieur (51 pour cent). Cependant, sachant qu’il est important de détenir un savoir institutionnel des cybermenaces et des facteurs de risque au sein de l'organisation, nous étions étonnés de constater que 43 pour cent ont déclaré ne pas avoir les ressources nécessaires pour affecter un employé exclusivement à la cybersécurité.

Raisons principales pour lesquelles aucun employé n’est affecté exclusivement à la cybersécurité
51% consultants ou des entrepreneurs de l’extérieur
43% Nous n’avons pas les ressources pour embaucher un professionnel de la cybersécurité
27% Tous les employés sont responsables dans une certaine mesure
11% Les cybermenaces ne représentent pas un risque suffisant pour notre organisation
11% Nous avons une assurance dans le domaine de la cybersécurité
3% Nous sommes incapables de dénicher un professionnel adéquat dans le domaine de la cybersécurité
5% Autre

Cela représente une augmentation considérable par rapport à l’an dernier, alors que 27 pour cent des répondants ont présenté le manque de ressources comme un obstacle et, lorsqu’on se limitait aux entreprises comptant 50 appareils ou plus, le nombre, par rapport à l’an dernier, a glissé encore davantage pour s’établir à 11 pour cent. L’augmentation de la demande (et, par conséquent, du coût) de ressources internes explique peut-être la sensibilisation accrue des gens à la cybersécurité qui représente une fonction essentielle des entreprises. Une telle situation reflète peut-être également le désir des équipes de TI plus vastes de maintenir leurs ressources internes axées sur leurs utilisateurs et de confier la cybersécurité à des experts de l'extérieur.

 

43 pour cent des répondants ayant déclaré qu’ils ne faisaient appel à aucun spécialiste en matière de cybersécurité ont invoqué le manque de ressources.

Cette proportion représente une augmentation de 11 pour cent par rapport à l’an dernier.

Formation

La cybersécurité va bien au-delà du service de TI et des outils qu’il utilise. Chaque utilisateur, chaque employé et chaque entrepreneur ont un rôle à jouer lorsqu’il s’agit d’assurer la sécurité d’une organisation. Ceci étant dit, nous avons posé à nos répondants quelques questions au sujet de la formation de sensibilisation à la cybersécurité.

Premièrement, nous leur avons demandé le nombre d'organisations qui offrent à leurs employés une forme ou une autre de formation de sensibilisation à la cybersécurité. En tout, 87 pour cent des répondants ont précisé que leur employeur offrait une forme quelconque de formation. Il est intéressant de constater que ce nombre était identique pour les organisations privées et publiques. Cependant, à peine 41 pour cent ont déclaré que tous les employés étaient tenus de suivre la formation.

Il n’est pas nécessaire d’évoluer dans le domaine de la TI ou même d’utiliser un ordinateur de bureau régulièrement pour cliquer sur un mauvais lien ou insérer une clé USB dans un portable sans réfléchir aux conséquences, alors qu’une formation de qualité a démontré qu’elle améliorait la sécurité.

Incidence d’une formation de sensibilisation à la cybersécurité
32% Oui, formation obligatoire pour certains employés
41% Oui, formation obligatoire pour tous les employés
15% Oui, formation facultative (pour certains ou l’ensemble des employés)
11% Non
1% Je l’ignore

Seulement 41 pour cent ont déclaré que tous les employés étaient tenus de suivre la formation

Nous avons ensuite cherché à obtenir plus de détails à savoir si la formation nous amène précisément à comprendre si les organisations investissent dans de nouvelles méthodes et dans des outils plus sophistiqués.

Types de formation de sensibilisation à la cybersécurité
54% Nous créons un matériel de formation et nous en faisons la promotion à l’interne
36% Dîners-causeries/ateliers
35% Formation autonome sur ordinateur
32% Nous embauchons un tiers qui offre des programmes de formation sous forme de séminaires
21% Nous effectuons des simulations d’hameçonnage de manière autonome
21% Plate-forme intégrée de formation, d’hameçonnage et de rapports
1% Autre
1% Je l’ignore

De ceux qui ont reconnu avoir suivi un certain genre de formation de sensibilisation à la cybersécurité au travail, à peine 21 pour cent ont déclaré qu’ils utilisaient une plate-forme intégrée pour la formation, l’hameçonnage et la préparation des rapports, alors qu’un nombre tout aussi élevé d’individus ont répondu qu’ils réalisaient des simulations d’hameçonnage autonomes. À peine 50 pour cent ont reconnu avoir créé et distribué leur propre matériel de formation interne, ce qui pourrait suffire s’ils possèdent les compétences à l’interne pour le faire. Pour offrir une formation interne de manière efficace, les responsables de la TI doivent connaître plus que les simples pratiques exemplaires en matière de cybersécurité. Ils doivent également connaître la façon dont la majorité de leurs effectifs - adultes non techniques - apprennent et retiennent les notions apprises.  Cette expertise ne repose pas uniquement sur les pratiques exemplaires, mais également sur la façon d’enseigner aux adultes non techniques qui constituent la base de leurs effectifs.

Aimez-vous la pizza? Nous en raffolons, alors que 36 pour cent des répondants ont révélé que leur formation se limite à des ateliers du type dîner-causerie. La pizza gratuite est un moyen formidable d’attirer les gens, mais il est peu probable que la plupart des gens présents aient été attirés par leur désir de se protéger des réseaux de zombies, alors que nous estimons que d’ici quelques semaines (au plus), les participants auront oublié ce qu’ils ont appris.

Fréquence de la formation de sensibilisation à la cybersécurité
40% Une fois l’an ou moins
36% Tous les trimestres
12% Tous les mois
10% Plus d’une fois par mois/de manière continue
2% Je l’ignore

Tous ceux qui ont occupé un emploi dans le domaine des services alors qu’ils étaient adolescents ont probablement un vague souvenir de ce qu’on présente le premier jour d'une formation sur le SIMDUT. Où se trouve le poste de lavage des yeux? Quelles précautions dois-je prendre lorsque je manipule de l’eau de javel? Quels produits chimiques sont susceptibles d’exploser? Et autres choses du genre. Alors que la nature de l’eau de javel ne varie que peu dans le temps, la cybersécurité évolue de jour en jour. C’est la raison pour laquelle nous avons demandé aux répondants de nous donner la fréquence de leur formation de sensibilisation à la cybersécurité.

Nous sommes généreux en disant que 22 pour cent des répondants ont donné une fréquence qui pourrait sembler vigilante - c'est-à-dire une fois par mois ou mieux. Alors que 76 pour cent ont déclaré que leur formation de sensibilisation à la cybersécurité avait lieu une fois tous les trimestres ou moins souvent, 40 pour cent ont affirmé qu’elle se tenait une fois par année ou moins, ce qui suffit à peine pour suivre les mêmes à la mode et encore moins les pirates.

Comment mesurer l’impact de la formation de sensibilisation à la cybersécurité
46% Surveillance des résultats de la formation et cotation du risque dans le temps
42% Évaluations de la perception et des connaissances des utilisateurs finaux
33% Comparaison des résultats de la formation avec les pairs dans l’industrie
27% Économie du temps lié aux incidents de sécurité
25% Diminution des coûts liés aux incidents de sécurité
1% Autre
11% Aucun/aucune façon de mesurer l’impact

En quoi consiste l’impact de la formation de sensibilisation à la cybersécurité? Compte tenu du rythme d'évolution des cybermenaces, une vigilance constante doit avoir un impact, n’est-ce pas? Nous avons demandé à des répondants de nous décrire la façon dont ils mesuraient l’impact de la formation de sensibilisation à la cybersécurité. En tout, 46 pour cent ont déclaré qu’ils suivaient les résultats de leur formation et les cotes de risque dans le temps. Ce genre de suivi permet aux gestionnaires de la TI de voir en temps réel si leurs efforts ont un impact sur leur comportement. En termes d’impacts nets, 27 pour cent ont déclaré qu’ils avaient économisé du temps, alors que 25 pour cent ont répondu que cette formation leur avait permis de réduire les coûts liés aux incidents de sécurité.

En tout, 96 pour cent des répondants ont déclaré que la formation et la sensibilisation à la cybersécurité contribuaient quelque peu à réduire les incidents ou les comportements à risque en ligne. Il semblerait, alors que les organisations offrent de plus en plus de formation, qu’il reste certains défis à relever lorsque vient le temps de mesurer avec confiance le degré de succès et la rentabilité de leurs efforts de formation. Il n’y a rien d’étonnant à cela, puisque la majorité de nos répondants suivent une formation interne et participent à des dîners-causeries sans l’aide d’une plate-forme Web entièrement intégrée.

 

96 pour cent des répondants ont déclaré que la formation et la sensibilisation à la cybersécurité contribuaient quelque peu à réduire les incidents.

Enfin, la réponse la plus fréquente quant à la raison pour laquelle une organisation n’offre pas de formation de sensibilisation à la cybersécurité se résumait aux ressources humaines insuffisantes (44 pour cent) et à l’incertitude en ce qui concerne l'approche idéale (32 pour cent).

Alors qu’on peut présumer que ces répondants ont vu une certaine valeur dans la formation, 36 % des répondants qui ne suivent aucune formation n’envisagent pas de le faire pour l’instant, ne le font pas, parce qu’une formation antérieure ne leur a rien rapporté ou simplement parce qu’ils ne croient pas à l’utilité d’une formation. Même si de plus en plus d’entreprises offrent de la formation, il reste encore une tonne de travail à faire dans le domaine de la cybersécurité lorsque vient le temps d’apprendre la valeur de … l'apprentissage.

Si les solutions techniques sont importantes, le meilleur niveau de sécurité pour toute entreprise est celui des employés qui font preuve de cyberprudence. Nous sommes heureux de constater que davantage d’organisations considèrent la formation sur la sensibilisation à la cybersécurité comme un élément essentiel de leur défense. Cependant, il reste encore beaucoup à faire pour que la qualité et la rigueur de la formation offerte restent en phase avec le monde en constante évolution de la cybersécurité.

Jacques Latour dirigeant principal de la technologie, ACEI

Impacts et Réponse

Réaction des organisations

Nous avons réuni plusieurs des services de cybersécurité plus récents, ou peut-être moins utilisés, pour voir si les organisations les adoptent pour les aider à atténuer les menaces. Tout au haut de la liste, on a le déploiement de DNS Firewalls à 57 %, les gestionnaires de mots de passe à 51 % et la formation sur la sécurité à 41 %. Au bas de la liste, même si leur nombre est considérable, on a l'utilisation d’un système d'information de sécurité/gestion d'évènement (SIEM) à 27 %, l’impartition à un fournisseur de services de sécurité gérés (MSSP) à 25 % et une assurance de cybersécurité à 25 %. Ce sont là toutes des industries qui connaissent une forte croissance et leur nombre démontre un potentiel impressionnant d’une croissance encore plus grande. 

L’ACEI offre des services de cybersécurité dans trois domaines clés.  Le premier est un service DNS secondaire global, alors que le deuxième est un DNS Firewall et le troisième, une formation de sensibilisation à la cybersécurité. Nous avons donc posé naturellement quelques questions dans ces domaines.

Réaction des organisations
57% DNS firewall
51% Gestionnaire des mots de passe
41% Programme de formation en ligne sur la sécurité
40% Analyse du comportement du réseau et matériel de détection des anomalies
39% Essai de pénétration
37% Simulations d’hameçonnage
34% Pare-feu basé sur les paquets de nuages
27% Information de sécurité/gestion d'évènement (SIEM)
26% Fournisseur de services de sécurité gérés (MSSP)
25% Assurance de cybersécurité
4% Aucun de ces services

Formation sur la cybersécurité 

En raison de l’expansion des organisations, elles tendent à estimer des chiffres qui semblent bien plus aléatoires lorsqu’on parle du nombre de cyberincidents (c'est-à-dire tout, allant d’une intrusion à un cas mineur de déni de service distribué (DDoS).  Cela nous porte à croire que les organisations n’assurent pas un suivi précis du nombre d'incidents auxquels ils font face, parce que celles qui comptaient moins d’employés affectés à la TI avaient une meilleure idée des chiffres que celles où la TI occupe davantage d’employés. Ceci étant dit, les moyennes nous ont appris des choses étonnantes.

Les organisations comptant moins de 1 000 utilisateurs* ayant déclaré offrir une formation intégrée de sensibilisation à la cybersécurité basée sur un apprentissage informatique et sur la simulation de l’hameçonnage ont déclaré une diminution dans une proportion de 2,2 des incidents qui touchaient les utilisateurs des ordinateurs de bureau. Cette donnée est conforme à notre propre analyse du service de formation de sensibilisation à la cybersécurité à l’ACEI qui a révélé une diminution du tiers des utilisateurs qui ouvrent les courriels d’hameçonnage lorsqu’ils utilisent une plate-forme (rappelez-vous qu’un mauvais clic n’aura pas toujours de conséquences problématiques). En s’engageant à offrir une formation de sensibilisation, on peut s’attendre évidemment à une diminution des problèmes.

D’après une de nos hypothèses, les organisations qui font preuve de maturité dans leur façon d’offrir la formation peuvent avoir également le même degré de maturité en ce qui concerne les autres outils de cybersécurité avancée qu’ils déploient, ce qui pourrait fausser les données. Nous avons été étonnés de constater que ceux qui ont dit recourir à la simulation d’hameçonnage n’utilisaient pas d’autres nouveaux outils de cybersécurité dans une proportion plus élevée que ceux qui n’en utilisaient pas. Lorsqu’on utilise le terme « nouveaux », on parle d’outils, comme les gestionnaires de mot de passe SIEM, les pare-feux en nuage, la cyber assurance, etc. Les 154 organisations ayant répondu qu’elles ne s’adonnaient pas aux simulations d’hameçonnage ont déclaré qu’elles utilisaient 858 des nouveaux outils. Les 188 qui ont répondu qu’elles simulaient l’hameçonnage ont également déclaré qu’elles utilisaient 873 nouveaux outils.

DNS firewall

Un DNS Firewall est un type de filtre de protection contre les maliciels et l’hameçonnage qui se trouve à l'extérieur de l'organisation et qui empêche les utilisateurs et les réseaux de zombies d’accéder au contenu malicieux. Il constitue un niveau de sécurité utile lorsqu’il fait appel à la science des données uniques pour bloquer une menace différente de celles qui alimentent les autres couches (comme l’antivirus, un pare-feu traditionnel, etc.).

Lorsqu’on le compare à la formation, le blocage du contenu à la couche DNS représente une catégorie plus évoluée, alors que 62 % des organisations ont déclaré le faire spécifiquement avec un tiers fournisseur (plutôt que de bloquer le pare-feu au moyen de l’URL).

En établissant une corrélation entre ceux qui utilisent un DNS Firewall et le rapport d'incident, nous avons constaté que les gens qui utilisent un DNS Firewall ont signalé 16 % moins d’incidents sur leurs ordinateurs de bureau. Une fois de plus, cette analyse basée sur des variables multiples a permis aux organisations de bénéficier des différents outils disponibles, mais nous nous sommes attardés aux ordinateurs de bureau, puisqu’une couche DNS exerce évidemment un impact plus élevé sur cette couche. Lorsqu’un réseau de zombies s’infiltre dans un ordinateur de bureau pour rejoindre ultimement les serveurs ou les bases de données, il se peut qu’on ne puisse découvrir le vecteur original.

Les organisations qui ont indiqué avoir suivi une formation intégrée à la sensibilisation à la cybersécurité ont signalé une réduction de 2,2 fois du nombre d'incidents ayant eu un impact sur les utilisateurs d'ordinateurs de bureau.*.

*Les organisations comptant moins de 1 000 utilisateurs 

Impacts des attaques

Peu importe le degré de préparation, la quantité de ressources ou le niveau de vigilance, elles ne peuvent contrer pleinement les cyberattaques. Nous nous efforçons depuis un siècle de rendre les routes plus sécuritaires, ce qui n’empêche pas les accidents de survenir par milliers tous les jours. Il en est de même de la cybersécurité.

Ainsi, dans quelle mesure le problème est-il répandu?

Nombre estimé de cyberattaques au cours de la dernière année
11% Aucun
7% 1
9% 2
9% 3-4
10% 5-9
18% 10 ou plus
37% Je l’ignore

37 % des organisations ont déclaré ne pas connaître le nombre de cyberattaques qu’elles ont dû repousser l’an dernier – ce qui est probablement 73 % inférieur à la réponse véritable. Il est formidable que, dans l'ensemble, les gens dans le domaine de la TI sachent qu’il est difficile d’estimer ce qui arrive dans une telle zone grise lorsque leur tâche consiste à atténuer les risques. De ceux qui ont essayé d’estimer le nombre d’attaques, 18 % en ont vécu 10 ou plus, alors que 11 % n’en ont subi aucune.

Nombre estimé d'attaques ayant affecté l'organisation
29% Aucun
13% 1
11% 2
6% 3-4
3% 5-9
6% 10 ou plus
33% Je l’ignore

Il est bien d’estimer le nombre d’attaques, mais il est encore plus important de savoir combien en ont subi les impacts. La proportion moyenne d’attaques ayant entraîné un impact s’élève à 19 %.  33 % ont répondu qu’ils ignoraient combien d’attaques ont atteint l'organisation; 6 % ont précisé qu’ils avaient été touchés par 10 menaces ou plus, alors 29 % n’ont signalé aucun impact attribuable aux cybermenaces.

Impacts attribuables aux cyberattaques visant les organisations au cours des 12 derniers mois
30% Incident mineur
28% Temps additionnel consacré par les employés pour réagir à l’incident
28% Les employés ont été incapables d’effectuer leur travail habituel
26% On a été incapable d’utiliser les ressources ou les services
23% Coûts de réparation ou de reprise additionnels
13% atteinte à la réputation
11% Loss of revenue
7% Perte de clients
7% Cela nous a découragés de réaliser une activité prévue à l’avenir
7% Perte de fournisseurs ou de partenaires
7% Amendes imposées par les organismes de réglementation ou les autorités
6% Versement d’une rançon
1% Autre
16% Aucun impact
6% J’ignore l’ampleur véritable de l’impact
5% Aucune réponse

Lorsque nous pensons à l’impact d’une cyberattaque, nous nous intéressons souvent aux coûts financiers directs, mais qu’en est-il des coûts indirects? Pour en apprendre davantage, nous avons demandé aux répondants de nous décrire l’impact de ces attaques sur leur organisation.

Même si 30 pour cent ont déclaré que l'incident était mineur (alors qu’ils n’avaient observé que peu ou pas d’impact), les principales conséquences comprenaient le temps utilisé par les employés pour réagir à l’attaque (28 pour cent), l’incapacité des employés de vaquer à leurs occupations régulières (28 pour cent) et l'impossibilité d’utiliser les ressources ou les services (28 pour cent). Tous ces impacts entraînent des coûts indirects sur le plan monétaire et au niveau de la productivité. 13 % de plus ont déclaré que l’attaque avait nui à leur réputation. Cette perception fait tout un contraste avec les constatations que renferme le récent rapport: de l’ACEI intitulé Les Canadiens méritent un meilleur Internet, dans lequel on précise qu’à peine 19 pour cent des Canadiens entretiendraient leur lien d'affaires avec une organisation si leurs données personnelles avaient été exposées à une cyberattaque.

Mesures prises afin de prévenir d’autres cyberattaques
57% Formation des employés
48% Vérification de sécurité
46% Installation d’un nouveau logiciel
31% Installation d’un nouveau matériel
29% Ajout d’une nouvelle option de sécurité en nuage
24% Embauche de nouveaux employés de TI
1% Autre
3% Aucune mesure n’a été prise
4% Aucune réponse

En réaction à une cyberattaque, nos répondants ont affirmé qu’ils allaient pour la plupart obliger les employés à suivre une formation sur la cybersécurité (57 pour cent). Il s’agit là d’une augmentation par rapport à l’an dernier, alors qu’à peine 44 pour cent des répondants comptant au moins 50 appareils au sein de leur organisation abondaient dans le même sens. Nous savons que plus de 90 pour cent de toutes les cyberattaques surviennent lors du même genre d'intervention de la part des utilisateurs, de sorte qu’il est toujours judicieux de les sensibiliser davantage aux cybermenaces.

48 pour cent des répondants ont opté pour une vérification de sécurité (en hausse par rapport à 37 pour cent l’an dernier), alors que l'installation d’un nouveau logiciel a chuté (passant de 50 à 46 pour cent) pour le même groupe l’an dernier.

Dans l'ensemble, 56 pour cent des répondants ont affirmé qu’ils étaient plus préoccupés par les perspectives d’éventuelles cyberattaques. Cela n’est pas étonnant, compte tenu de la fréquence des fuites de données à fort impact qui ont entraîné des coûts extrêmement élevés l’an dernier au Canada.

Pour atténuer ce risque futur, 45 pour cent des répondants prévoient consacrer davantage de ressources humaines à la cybersécurité d’ici les 12 prochains mois. Il s’agit là d’une augmentation par rapport à l’an dernier, alors que 35 pour cent des répondants comptant au moins 50 appareils au sein de leur organisation ont répondu qu’elles prévoyaient accroître leurs ressources humaines.

45 pour cent de plus ont déclaré que leurs ressources resteront inchangées, tandis que cinq pour cent prévoient une diminution.

Changements prévus dans la quantité de ressources humaines consacrées à la cybersécurité au cours des 12 prochains mois
5% Diminution
45% Aucun changement
45% Augmentation
5% Je l’ignore

En termes de ressources financières, 54 pour cent ont répondu que leur organisation allait investir davantage dans la cybersécurité l’an prochain. Il s’agit là d’une augmentation dramatique par rapport à 35 pour cent qui ont répondu en ce sens l’an dernier.

 

Changements prévus dans la quantité de ressources financières consacrées à la cybersécurité au cours des 12 prochains mois
6% Diminution
35% Aucun changement
54% Augmentation
5% Je l’ignore

54% des répondants s'attendent à dépenser davantage en ressources de cybersécurité l'année prochaine.

Alors que la protection des renseignements personnels des clients constitue la raison ultime qui justifie l'augmentation des ressources consacrées à la cybersécurité (59 pour cent), il est intéressant de souligner que le respect des lois et des règlements se situe encore loin dans la liste (malgré qu’il soit en hausse par rapport à l’an dernier).

Principales raisons justifiant l’investissement de ressources dans les mesures de cybersécurité
59% Protéger les renseignements personnels des clients
59% Assurer la continuité des opérations
56% Prévenir la fraude et le vol
56% Protéger les renseignements personnels des employés, des fournisseurs ou des partenaires
53% Protéger la réputation de l’organisation
46% Prévenir le temps d'arrêt et les pannes du site Web ou du commerce électronique
43% Respecter les lois, les règlements ou les contrats
40% Protéger les secrets commerciaux et la propriété intellectuelle
20% Notre organisation a déjà vécu un incident en matière de cybersécurité
2% Nous ne consacrons aucune ressource aux mesures de cybersécurité
2% Je l’ignore

Il est encourageant de voir une prise de conscience accrue des cybermenaces, mais il reste encore beaucoup à faire. Il n’y a pas de solution miracle pour la cybersécurité : elle nécessite une vigilance constante, des couches multiples et la sensibilisation des employés. Nous sommes déterminés à aider les entreprises et les institutions canadiennes à mettre en œuvre les outils, les plateformes et les processus nécessaires à la protection de leurs réseaux.

Dave Chiswell vice-président ‒ développement de produits à l’ACEI

Le contexte canadien

Environnement réglementaire

Un aspect a évolué considérablement au cours des quelques dernières années et il s’agit de l'environnement réglementaire des entreprises et des organisations. Le règlement général sur la protection des données (RGPD) de l'Union européenne et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada ont encore des répercussions dans le domaine de la cybersécurité. Alors qu’on se retrouvera inévitablement avec un nombre croissant d’acronymes dans le domaine de la protection des renseignements personnels, nous voulons demander aux organisations de nous décrire l’impact que l'environnement réglementaire a eu sur elles.

Alors que les entreprises ne sont pas toutes touchées par le RGPD de l’UE, dans un monde axé sur le commerce et sur les échanges à l'échelle planétaire, il n’est pas nécessaire qu’une entreprise soit située sur un territoire donné pour qu’elle soit touchée.

Connaissance du règlement général sur la protection des données (RGPD) de l’union européenne
13% Bonne connaissance
36% Connaissance relative
21% Connaissance limitée
24% Aucune connaissance
6% Je l’ignore

De façon générale, 49 pour cent des répondants connaissaient le RGPD. Au sein des organisations qui comptent au moins 50 appareils, il s’agit là d’une augmentation par rapport à 44 pour cent l’an dernier. Ces chiffres n’ont rien d’étonnant, puisque la majeure partie de nos répondants exercent leurs activités exclusivement au Canada.

De même, à peine 26 pour cent ont reconnu qu’ils apportaient des changements en raison du RGPD. Ce nombre est plus élevé que l’an dernier, alors qu’à peine 17 pour cent des entreprises comptant 50 appareils ou plus ont déclaré qu’elles modifiaient leur présence en ligne ou leurs pratiques exemplaires en lien avec le RGPD. Il semble qu’un plus grand nombre d’entreprises canadiennes réalisent que d’autres systèmes de réglementation risquent de s’appliquer si elles ont des clients à l'extérieur du Canada.

Plus près de chez nous, des changements importants sont entrés en vigueur en novembre dernier en raison de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le changement le plus important concerne les règles de divulgation obligatoire des cas d'infractions, ainsi que les amendes possibles en cas de non-respect.

Niveau de connaissance de la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
26% Bonne connaissance
43% Connaissance relative
18% Connaissance limitée
9% Aucune connaissance
5% Je l’ignore

La LPRPDE porte directement sur les responsabilités des organisations non publiques en matière de divulgation des cas de violation de renseignements personnels. 

De façon globale, 69 pour cent des répondants connaissaient la LPRPDE, ce qui est intéressant. Que vous vous situiez au-dessous ou en dessous de ce pourcentage, le fait demeure que toutes les organisations canadiennes devraient connaître la LPRPRD, même s’il s’agit simplement de comprendre qu’elle ne vous concerne pas. Dans l'économie moderne, pratiquement toutes les organisations privées possèdent des données qui sont régies par la LPRPDE, que ces données concernent les clients, les fournisseurs, les employés ou les vendeurs. Ce nombre est pratiquement identique à ce qu’il était l’an dernier, alors que 70 pour cent des répondants possédant plus de 50 appareils ont donné la même réponse.

Conscience à l’effet que les changements à la LPRPDE demanderont une divulgation des cas de violation de données
57% Oui
29% Non
5% Je préfère ne pas répondre
10% Je l’ignore

Malheureusement, à peine un peu plus de la moitié des répondants (57 pour cent) étaient au courant des exigences de la LPRPDE en matière de divulgation obligatoire (rappelez-vous bien cette donnée). Alors que ce pourcentage est supérieur à ce qu’il était l’an dernier (50 pour cent pour des organisations comptant plus de 50 appareils), il est également préoccupant qu’une divulgation soit assortie de telles conséquences.

De façon globale, 53 pour cent des répondants se disaient préoccupés par les récents changements apportés à la LPRPDE, ce qui peut influencer l’impact, sur les entreprises, des exigences plus strictes de la loi en matière de gouvernance des données. À cet égard, 64 pour cent des répondants ont précisé qu’ils stockaient les renseignements personnels de leurs clients, employés, fournisseurs, vendeurs ou partenaires sur leurs systèmes. Cependant, il semble probable que ce nombre soit plus élevé. Qui ne dispose pas de données au sujet de ses employés dans un fichier quelque part? Même les organisations qui s’en remettent aux vendeurs de nuages ne sont pas épargnées, puisque même si vous demandez à une autre entreprise de stocker vos factures ou les dossiers de vos patients, vous êtes quand même responsable de toute violation chez ce fournisseur OU en raison (par exemple), des mots de passe faibles que vos employés utilisent peut-être.

Seulement 57% des répondants savaient que la LPRPDE prévoyait désormais des exigences obligatoires en matière de divulgation des infractions.

Incidence du stockage des renseignements personnels des clients, des employés, des fournisseurs, des vendeurs et des partenaires
64% Oui
18% Non
13% Je préfère ne pas répondre
5% Je l’ignore

Dans quelle mesure les données personnelles sont-elles protégées? Eh bien, 42 pour cent des répondants ont affirmé n’avoir fait l’objet d’aucune violation de données l’an dernier. Les organisations ayant déclaré avoir fait l’objet de tels incidents ont fait état de cinq violations au cours de la dernière année. L’aspect de cette réponse qui nous plaît le moins consiste dans ce que 40 % ont déclaré qu’ils ignoraient qu’ils avaient été victimes d’une violation – pour faire preuve d’honnêteté intellectuelle, il s’agit probablement de la bonne réponse à une question sur la cybersécurité.  Les attaques à la cybersécurité et les violations sont de parfaits exemples d’une « inconnue connue ».

Nombre estimé de violations au cours de la dernière année
42% Aucun
4% 1
4% 2
3% 3-4
3% 5-9
4% 10 ou plus
40% Je l’ignore

Et là où le bât blesse... souvenez-vous des 43 pour cent de répondants qui ignoraient les exigences relatives aux atteintes aux mesures de sécurité dans la LPRPDE. Eh bien, de ceux qui ont fait les frais d’une violation l’an dernier, à peine 58 pour cent l’ont signalée à un organisme de réglementation. Il existe évidemment des exceptions à la LPRPDE, mais il semble très probable que certaines violations ne soient pas déclarées. Cela pose un problème.

Qui était informé des violations de données
58% Organisme de réglementation
48% Clients
40% Gestionnaires/haute direction
21% Conseil d'administration
2% Je préfère ne pas répondre

La situation va en se détériorant à partir d’ici. À peine 48 pour cent seulement en ont informé leurs clients; 40 pour cent ont avisé la direction et 21 pour cent leur conseil d'administration. Au cas où vous vous posez la question, il s’agissait d’un sondage anonyme et, alors que nous n’oserions jamais de la vie miner la confiance des gens en divulguant les noms des répondants, nous ne pouvions le faire, de toute façon, parce que nous ne les connaissions pas. Le fait que 37 pour cent des répondants aient déclaré que la violation d'une loi reflète la triste réalité avec laquelle plusieurs entreprises doivent composer, la police se retrouve avec les mains liées dans bien des cas. Il n’est un secret pour personne que la grande majorité des cybercrimes restent non déclarés, parce que l’ampleur véritable du problème est bien pire.

Parmi les organisations qui ont subi une violation de données, seules 58% en ont parlé à un organisme de réglementation; 48% ont informé leurs clients; et seulement 21 pour cent ont dit à leur conseil.

Souveraineté des données

En quoi consiste la souveraineté des données de toute façon? À la base, la souveraineté des données consiste à s’assurer que vos données, l'infrastructure de TI et le trafic sur le réseau ne dépassent pas les frontières de notre pays, dans la mesure humainement possible. Dès l’instant où vos données se retrouvent de l’autre côté de la frontière, elles sont régies par les lois du pays en question - et par des politiques dont vous n’auriez jamais cru qu’elles existaient (pensez à Snowden).

Plusieurs Canadiens ignorent qu’une partie de l'infrastructure du réseau canadienne achemine les données en passant par les États-Unis pour rejoindre une autre destination au Canada. Ce même que vous avez adressé à votre ami à Windsor à partir de votre condo situé à Hamilton pourrait très bien emprunter plus d’une plate-forme Internet aux É.-U. avant d’arriver à destination.

Il existe, à l'échelle nationale, de nombreux avantages au fait de se doter d’une infrastructure solide qui contribue à conserver les données au Canada, sans compter qu’une telle mesure donne un coup de pouce incroyable à votre empreinte sur le plan de la cybersécurité en plus de réduire vos facteurs de risque.

Niveau de préoccupation concernant le flux des données traversant des pays à l’extérieur du Canada
32% Très préoccupés
37% Relativement préoccupés
17% Peu préoccupés
9% Aucunement préoccupés

Sachant cela, nous avons demandé à des répondants s’ils étaient préoccupés par la circulation des données traversant d’autres territoires. En tout, 69 pour cent se sont dits préoccupés, alors que 32 pour cent ont répondu qu’ils étaient très préoccupés. Ces deux statistiques sont en hausse par rapport à l'an dernier, puisqu’à peine 55 pour cent se disaient préoccupés et 19 pour cent très préoccupés au sein des organisations comptant plus de 50 appareils.

Alors que 57 pour cent des répondants ont reconnu qu’ils confiaient leur réseau ou leur infrastructure de TI à des fournisseurs de l'extérieur, 83 pour cent ont déclaré qu’ils avaient recours à des entreprises canadiennes seulement.

Recours à des entreprises Canadiennes ou Américaines pour l’impartition des besoins/services
83% Canadiennes
25% Américaines
9% Autre pays
5% Je l’ignore
4% Je préfère ne pas répondre

Alors que l'engagement à acheter au Canada est évident, il est important de se rappeler que rien ne garantit qu’une entreprise canadienne ne continue pas d’exploiter des infrastructures situées à l'extérieur du Canada. Il est préférable de vérifier afin de déterminer précisément où vos données sont hébergées, acheminées et si une infrastructure en nuages s’accompagne d’une présence canadienne.

 

Conclusion

Dans le cadre de notre mandat qui vise à bâtir un meilleur Canada en ligne, l’ACEI voit l'utilisation sûre et sécuritaire de l’Internet comme un pilier majeur de notre responsabilité à l'endroit des Canadiens. Depuis qu’elle a plongé dans l’univers de la cybersécurité il y a plus de quatre ans, l'ACEI n’a jamais cessé d’étendre son empreinte dans cet espace, alors que s’accroît la menace à laquelle les entreprises, les organisations et la population canadiennes se retrouvent confrontées.

Le deuxième sondage annuel sur la cybersécurité de l’ACEI vise à présenter un aperçu clair du paysage canadien sur le plan des menaces et d’en apprendre davantage sur la façon dont les entreprises composent avec la situation.

Par conséquent, quelles leçons a-t-on tirées?

La formation améliore les choses, mais nous devons en faire plus

Alors que plusieurs couches techniques sont venues s’ajouter aux problèmes de sécurité depuis longtemps, l’aspect humain a toujours été LE maillon faible. Nous savons que plus de 90 pour cent de toutes les cyberattaques naissent d’un geste posé par un utilisateur. L’éducation occupe une place essentielle et le service de TI n’est désormais plus le seul qui doit savoir.

La bonne nouvelle... les entreprises canadiennes semblent en train de reprendre le temps perdu. D’après notre sondage, 87 pour cent des répondants ont précisé qu’une forme quelconque de formation et de sensibilisation à la cybersécurité était offerte au sein de leurs organisations.

La mauvaise nouvelle est, dans bien des cas, que la formation est inadéquate. Les cybermenaces ne cessent d’évoluer et les personnes mal intentionnées peaufinent continuellement leurs techniques. Ceci étant dit, nous avons constaté qu’à peine 41 pour cent obligent tous les employés à suivre cette formation, alors que 22 pour cent l’offrent une fois par mois ou plus souvent.

Alors qu’une incertitude demeure quant à la façon de mesurer l'efficacité de la formation de sensibilisation à la cybersécurité, la plupart des répondants croient qu’elle fonctionne et que les nouvelles ne peuvent qu’être bonnes alors que nous nous attaquons à la menace actuelle qui guette la cybersécurité.

On ne comprend encore pas vraiment l’importance de la divulgation

Alors que nous savons maintenant tous ce qu’est la cybersécurité, plusieurs organisations n’ont toujours pas trouvé le moyen de communiquer la menace à leurs intervenants. Alors qu’une intrusion physique, une inondation dans un centre ou un conflit de travail sont tous des risques visibles qui sont faciles à communiquer, plusieurs organisations, lorsqu’elles sont victimes d’une cyberattaque, ignorent la manière de réagir. Nous avons constaté, malgré les nouvelles exigences en matière de divulgation que renferme la LPRPDE, qu’à peine 58 pour cent des gens qui ont fait les frais d’une violation de données, en ont informé un organisme de réglementation. Seulement 48 pour cent en avaient informé leurs clients et 21 pour cent l’avaient portée à l'attention de leur conseil d'administration. Cette absence de divulgation entraîne la méfiance et, dans certains cas, des conséquences graves.

Il semble que les cyberattaques s’accompagnent toujours d’un stigmatisme, alors que tel n’est pas le cas des risques plus traditionnels auxquels les entreprises sont exposées. Au fur et à mesure que les entreprises comprendront la réalité voulant que les cybermenaces soient comparables aux menaces physiques (et qu’elles peuvent être bien pires dans bien des cas), elles commenceront à réaliser que la divulgation réduit effectivement le risque et les préjudices possibles en donnant davantage de visibilité au problème.

Les organisations s’adaptent, mais la menace persiste

Alors que la cybersécurité devient de plus en plus la règle, nous assistons à un élan positif au sein des organisations canadiennes qui s’adaptent à la menace. Les organisations canadiennes investissent dans la formation, dans les ressources et dans les solutions techniques dans le but de protéger leurs données et leurs clients.

Cependant, la menace n’est pas immuable, alors que nous constatons encore, dans les ressources et dans la formation, des lacunes qui demandent des solutions plus générales. À l’ACEI, nous faisons notre part pour remédier à ces lacunes. Nos solutions en matière de cybersécurité ont été créées précisément à l'intention du Canada. Notre expérience de plus de 20 ans dans la gestion des domaines .CA nous a permis de mettre notre expertise à profit en gérant et en protégeant le DNS de manière à créer des produits comme le DNS Firewall D-Zone, une couche primordiale de votre empreinte pour la cybersécurité.

En informant les gens sur les tendances et les données en matière de cybersécurité, nous espérons continuer d’accroître la capacité du Canada dans ce domaine - c'est-à-dire les connaissances, les gens et les solutions - pour nous assurer ainsi que notre Internet reste à la fois fort et libre.