Aller au contenu principal
  • Cybersécurité

Rapport du sondage de 2019 sur la cybersécurité

Nous avons une version plus récente de ce rapport.

Lisez notre sondage 2022 sur la cybersécurité

Principales conclusions

  • 43 pour cent des répondants ayant déclaré qu’ils ne faisaient appel à aucun spécialiste en matière de cybersécurité ont invoqué le manque de ressources. Cette proportion représente une augmentation de 11 pour cent par rapport à l’an dernier.
  • Alors que 96 pour cent des répondants ont déclaré que la formation et la sensibilisation à la cybersécurité contribuaient quelque peu à réduire les incidents, à peine 22 pour cent ont suivi la formation tous les mois ou plus fréquemment.
  • Une proportion encourageante de 87 pour cent des répondants ont précisé que leur employeur offrait une forme quelconque de formation et de sensibilisation à la cybersécurité. Cependant, à peine 41 pour cent ont déclaré que tous les employés étaient tenus de suivre la formation.
  • Chez les entreprises ayant fait les frais d’une cyberattaque, 13 pour cent ont reconnu que celle-ci avait nui à leur réputation. Cette perception contraste de manière flagrante avec les constatations que renferme le récent rapport: de l’ACEI intitulé Les Canadiens méritent un meilleur Internet, dans lequel on précise qu’à peine 19 pour cent des Canadiens entretiendraient un lien d’affaires avec une organisation si leurs données personnelles étaient exposées à une cyberattaque.
  • De ces entreprises qui ont été victimes d’une violation de données, 48 pour cent seulement en ont informé leurs clients; 40 pour cent ont avisé la direction et 21 pour cent leur conseil d’administration.
  • 71 pour cent des organisations ont reconnu avoir vécu au moins une cyberattaque ayant nui à leurs activités d’une manière ou d’une autre et ayant entraîné certains coûts en temps et en ressources, qu’elles ont payés de leur poche en versant une rançon.

Il en a coulé de l’eau sous les ponts depuis le dernier sondage. La bonne nouvelle… on consacre maintenant davantage d’attention, de temps et de ressources à la cybersécurité. Le Centre canadien pour la cybersécurité est entré en scène, le gouvernement fédéral a dévoilé CyberSécure, son programme de cybercertification, alors que la version revampée de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est entrée en vigueur.

Cependant, les nouvelles ne sont pas toutes bonnes. Les banques, les écoles, les gouvernements et les entreprises au Canada sont encore paralysés par des cyberattaques qui exposent les données de leurs clients, de sorte qu’ils versent des rançons aux pirates et perdent un temps précieux à se remettre de ces violations.

Si on en croit le sondage annuel d’Accenture sur le coût de la cybercriminalité, le coût moyen afin d’enquêter sur une attaque et réparer ses conséquences s’élevait l’an dernier à 9,25 millions de dollars pour les organisations canadiennes.

Notre but, par ce sondage, consiste à vous donner un aperçu du paysage de la cybersécurité au Canada afin que vous compreniez simplement la façon dont les entreprises canadiennes se préparent et font face à la nouvelle réalité en matière de sécurité de la TI.

Méthodologie

L’ACEI a demandé à la firme de recherche The Strategic Council pour interviewer 500 individus responsables des décisions en matière de sécurité informatique. Cet échantillon comprend des individus qui gèrent au moins 50 utilisateurs d’ordinateurs de bureau ou d’appareils portables pour réaliser au moins 20 % de leur travail.  Tous les répondants étaient responsables du budget lié à leurs décisions en matière de cybersécurité.

Dans notre échantillon, 92 pour cent ont déclaré qu’ils connaissaient à tout le moins quelque peu le système informatique et les fonctions de TI de l’organisation, alors que 8 pour cent exerçaient un contrôle sur le budget, mais connaissaient un peu moins les systèmes en place.

Parmi les gens interrogés, 53 pour cent ont affirmé qu’ils connaissaient très bien la TI et la fonction informatique de leur organisation, alors que 47 pour cent ont déclaré qu’ils les connaissaient quelque peu.

Enfin, encore parmi ces gens, 28 pour cent ont précisé qu’ils appartenaient à une organisation comptant de 50 à 99 employés qui utilisent des ordinateurs ou des appareils portables. De plus, 31 pour cent représentaient des organisations utilisant de 100 à 229 appareils, alors que 14 pour cent appartenaient à la catégorie de 250 à 499 employés; 12 pour cent à la catégorie de 500 à 999 employés; et 15 pour cent étaient au service d’organisations où plus de 1 000 employés utilisent un ordinateur de bureau ou un appareil portable. En résumé, le sondage nous présente un vaste éventail de points de vue qui nous permettent de tirer des conclusions intéressantes au sujet du paysage de la cybersécurité au Canada.


{IT areas – FR}

À propos des organisations

Alors que notre sondage s’adresse à différentes organisations, elles sont en activités pour la plupart depuis un certain temps, puisque 56 pour cent ont déclaré être en affaires depuis plus de 20 ans. 59 pour cent des entreprises interrogées ont déclaré faire des affaires au Canada seulement.

Les organisations du secteur privé représentaient 67 pour cent de l’échantillon, alors que les organismes publics ou à but non lucratif constituaient 33 pour cent de celui-ci.

Plus que jamais, les Canadiens ont besoin de faire confiance à Internet. Nous croyons que la sécurité est le fondement de cette confiance, et c’est pourquoi nous avons mis à profit notre expérience de la protection du domaine .CA pour aider les organisations canadiennes à se protéger et à protéger leurs utilisateurs.

Byron Holland
chef de la direction de l’ACEI

Employés et formation

Alors que la cybersécurité est maintenant un sujet d’actualité (pour le meilleur ou pour le pire), nous souhaitions creuser plus loin pour découvrir la façon dont les organisations se préparent à relever le défi que leur présentent les pirates, les voleurs et les espions étrangers de ce monde.

Confiance à l’endroit des vendeurs

Si vous avez un enfant qui fréquente l’école, à moins qu’il ne s’agisse de la prochaine Bianca Andreescu, vous devriez commencer dès maintenant de tenter de manière pas très subtile de l’orienter vers un emploi dans le domaine de la cybersécurité. Dans un rapport publié en 2018 par Deloitte, on déclarait qu’on allait devoir doter 5 000 emplois dans le domaine de la cybersécurité au Canada entre 2018 et 2021 et que les organisations de partout au pays font des pieds et des mains pour combler ce vide.

Cela signifie naturellement que, pour l’instant, l’impartition restera un élément central dans le domaine de la cybersécurité. Une telle situation reflète également le fait que dans plusieurs organisations, on juge peut-être qu’il n’est pas nécessaire d’investir une ressource à temps complet dans la cybersécurité; alors que le temps et l’effort nécessaires pour se tenir au fait des plus récentes menaces débordent généralement d’un emploi à temps partiel.  

Dans notre échantillon, 68 pour cent des gens s’en remettaient, entièrement ou en partie, à des ressources externes, alors que 20 pour cent déclarent qu’ils confient tous leurs besoins en matière de cybersécurité à des fournisseurs de l’extérieur. À peine 31 pour cent ont reconnu faire exclusivement appel à leurs ressources internes. Cela souligne à quel point il est important de comprendre l’empreinte de sécurité de votre fournisseur de services gérés et d’assurer qu’il dispose d’un ensemble complet de solutions en matière de cybersécurité.


{DÉPENDANCE À L’ÉGARD DE RESSOURCES INTERNES OU DE FOURNISSEURS EXTERNES AFIN DE RÉPONDRE AUX BESOINS EN MATIÈRE DE CYBERSÉCURITÉ}

{Nombre d’employés assumant la responsabilité principale dans le domaine de la TI}

Pour avoir une idée plus juste du niveau d’engagement de notre échantillon dans le domaine de la cybersécurité, nous avons demandé combien de gens au sein de leur organisation travaillent en technologie de l’information. La réponse la plus fréquente, dans une proportion de 29 pour cent, était de 2 à 5 employés. Il est intéressant de constater, lorsqu’on répartit ces chiffres entre les organisations publiques et privées, que la différence est vaste. Alors que les organisations privées comptent habituellement de 1 à 5 employés dont la responsabilité première concerne la TI, les organisations publiques en ont souvent 30 ou plus.


{Nombre d’employés assumant la responsabilité principale dans le domaine de la cybersécurité}

Lorsque nous nous sommes intéressés à la cybersécurité, les chiffres nous ont appris, une fois de plus, que les organisations privées comptent entre un et cinq employés responsables de cet aspect. Cela nous porte à croire que, de façon générale, tous les employés en TI sont au moins en partie responsables de la cybersécurité au sein des organisations privées. Dans les organisations publiques, au contraire, la moyenne baisse considérablement, alors que le nombre de répondants ayant répondu « plus de 50 » est passé de 39 pour cent pour les employés de TI à 15 pour cent seulement pour les spécialistes de la cybersécurité. En conclusion, on semble dire que si vous comptez un plus grand nombre d’employés, vous pouvez vous permettre de vous spécialiser, mais dans les entreprises plus restreintes, tout le monde doit mettre la main à la pâte.

Manque de ressources

La principale raison que les répondants ont évoquée pour n’avoir aucun employé s’occupant strictement de cybersécurité concernait le recours à des entrepreneurs de l’extérieur (51 pour cent). Cependant, sachant qu’il est important de détenir un savoir institutionnel des cybermenaces et des facteurs de risque au sein de l’organisation, nous étions étonnés de constater que 43 pour cent ont déclaré ne pas avoir les ressources nécessaires pour affecter un employé exclusivement à la cybersécurité.


{Raisons principales pour lesquelles aucun employé n’est affecté exclusivement à la cybersécurité}

Cela représente une augmentation considérable par rapport à l’an dernier, alors que 27 pour cent des répondants ont présenté le manque de ressources comme un obstacle et, lorsqu’on se limitait aux entreprises comptant 50 appareils ou plus, le nombre, par rapport à l’an dernier, a glissé encore davantage pour s’établir à 11 pour cent. L’augmentation de la demande (et, par conséquent, du coût) de ressources internes explique peut-être la sensibilisation accrue des gens à la cybersécurité qui représente une fonction essentielle des entreprises. Une telle situation reflète peut-être également le désir des équipes de TI plus vastes de maintenir leurs ressources internes axées sur leurs utilisateurs et de confier la cybersécurité à des experts de l’extérieur.

 

43 pour cent des répondants ayant déclaré qu’ils ne faisaient appel à aucun spécialiste en matière de cybersécurité ont invoqué le manque de ressources.

Cette proportion représente une augmentation de 11 pour cent par rapport à l’an dernier.

Formation

La cybersécurité va bien au-delà du service de TI et des outils qu’il utilise. Chaque utilisateur, chaque employé et chaque entrepreneur ont un rôle à jouer lorsqu’il s’agit d’assurer la sécurité d’une organisation. Ceci étant dit, nous avons posé à nos répondants quelques questions au sujet de la formation de sensibilisation à la cybersécurité.

Premièrement, nous leur avons demandé le nombre d’organisations qui offrent à leurs employés une forme ou une autre de formation de sensibilisation à la cybersécurité. En tout, 87 pour cent des répondants ont précisé que leur employeur offrait une forme quelconque de formation. Il est intéressant de constater que ce nombre était identique pour les organisations privées et publiques. Cependant, à peine 41 pour cent ont déclaré que tous les employés étaient tenus de suivre la formation.

Il n’est pas nécessaire d’évoluer dans le domaine de la TI ou même d’utiliser un ordinateur de bureau régulièrement pour cliquer sur un mauvais lien ou insérer une clé USB dans un portable sans réfléchir aux conséquences, alors qu’une formation de qualité a démontré qu’elle améliorait la sécurité.


{Incidence d’une formation de sensibilisation à la cybersécurité}

Seulement 41 pour cent ont déclaré que tous les employés étaient tenus de suivre la formation

Nous avons ensuite cherché à obtenir plus de détails à savoir si la formation nous amène précisément à comprendre si les organisations investissent dans de nouvelles méthodes et dans des outils plus sophistiqués.


{Types de formation de sensibilisation à la cybersécurité}

De ceux qui ont reconnu avoir suivi un certain genre de formation de sensibilisation à la cybersécurité au travail, à peine 21 pour cent ont déclaré qu’ils utilisaient une plate-forme intégrée pour la formation, l’hameçonnage et la préparation des rapports, alors qu’un nombre tout aussi élevé d’individus ont répondu qu’ils réalisaient des simulations d’hameçonnage autonomes. À peine 50 pour cent ont reconnu avoir créé et distribué leur propre matériel de formation interne, ce qui pourrait suffire s’ils possèdent les compétences à l’interne pour le faire. Pour offrir une formation interne de manière efficace, les responsables de la TI doivent connaître plus que les simples pratiques exemplaires en matière de cybersécurité. Ils doivent également connaître la façon dont la majorité de leurs effectifs – adultes non techniques – apprennent et retiennent les notions apprises.  Cette expertise ne repose pas uniquement sur les pratiques exemplaires, mais également sur la façon d’enseigner aux adultes non techniques qui constituent la base de leurs effectifs.

Aimez-vous la pizza? Nous en raffolons, alors que 36 pour cent des répondants ont révélé que leur formation se limite à des ateliers du type dîner-causerie. La pizza gratuite est un moyen formidable d’attirer les gens, mais il est peu probable que la plupart des gens présents aient été attirés par leur désir de se protéger des réseaux de zombies, alors que nous estimons que d’ici quelques semaines (au plus), les participants auront oublié ce qu’ils ont appris.


{Fréquence de la formation de sensibilisation à la cybersécurité}

Tous ceux qui ont occupé un emploi dans le domaine des services alors qu’ils étaient adolescents ont probablement un vague souvenir de ce qu’on présente le premier jour d’une formation sur le SIMDUT. Où se trouve le poste de lavage des yeux? Quelles précautions dois-je prendre lorsque je manipule de l’eau de javel? Quels produits chimiques sont susceptibles d’exploser? Et autres choses du genre. Alors que la nature de l’eau de javel ne varie que peu dans le temps, la cybersécurité évolue de jour en jour. C’est la raison pour laquelle nous avons demandé aux répondants de nous donner la fréquence de leur formation de sensibilisation à la cybersécurité.

Nous sommes généreux en disant que 22 pour cent des répondants ont donné une fréquence qui pourrait sembler vigilante – c’est-à-dire une fois par mois ou mieux. Alors que 76 pour cent ont déclaré que leur formation de sensibilisation à la cybersécurité avait lieu une fois tous les trimestres ou moins souvent, 40 pour cent ont affirmé qu’elle se tenait une fois par année ou moins, ce qui suffit à peine pour suivre les mêmes à la mode et encore moins les pirates.


{Comment mesurer l’impact de la formation de sensibilisation à la cybersécurité}

En quoi consiste l’impact de la formation de sensibilisation à la cybersécurité? Compte tenu du rythme d’évolution des cybermenaces, une vigilance constante doit avoir un impact, n’est-ce pas? Nous avons demandé à des répondants de nous décrire la façon dont ils mesuraient l’impact de la formation de sensibilisation à la cybersécurité. En tout, 46 pour cent ont déclaré qu’ils suivaient les résultats de leur formation et les cotes de risque dans le temps. Ce genre de suivi permet aux gestionnaires de la TI de voir en temps réel si leurs efforts ont un impact sur leur comportement. En termes d’impacts nets, 27 pour cent ont déclaré qu’ils avaient économisé du temps, alors que 25 pour cent ont répondu que cette formation leur avait permis de réduire les coûts liés aux incidents de sécurité.

En tout, 96 pour cent des répondants ont déclaré que la formation et la sensibilisation à la cybersécurité contribuaient quelque peu à réduire les incidents ou les comportements à risque en ligne. Il semblerait, alors que les organisations offrent de plus en plus de formation, qu’il reste certains défis à relever lorsque vient le temps de mesurer avec confiance le degré de succès et la rentabilité de leurs efforts de formation. Il n’y a rien d’étonnant à cela, puisque la majorité de nos répondants suivent une formation interne et participent à des dîners-causeries sans l’aide d’une plate-forme Web entièrement intégrée.

 

96 pour cent des répondants ont déclaré que la formation et la sensibilisation à la cybersécurité contribuaient quelque peu à réduire les incidents.

Enfin, la réponse la plus fréquente quant à la raison pour laquelle une organisation n’offre pas de formation de sensibilisation à la cybersécurité se résumait aux ressources humaines insuffisantes (44 pour cent) et à l’incertitude en ce qui concerne l’approche idéale (32 pour cent).

Alors qu’on peut présumer que ces répondants ont vu une certaine valeur dans la formation, 36 % des répondants qui ne suivent aucune formation n’envisagent pas de le faire pour l’instant, ne le font pas, parce qu’une formation antérieure ne leur a rien rapporté ou simplement parce qu’ils ne croient pas à l’utilité d’une formation. Même si de plus en plus d’entreprises offrent de la formation, il reste encore une tonne de travail à faire dans le domaine de la cybersécurité lorsque vient le temps d’apprendre la valeur de … l’apprentissage.

Si les solutions techniques sont importantes, le meilleur niveau de sécurité pour toute entreprise est celui des employés qui font preuve de cyberprudence. Nous sommes heureux de constater que davantage d’organisations considèrent la formation sur la sensibilisation à la cybersécurité comme un élément essentiel de leur défense. Cependant, il reste encore beaucoup à faire pour que la qualité et la rigueur de la formation offerte restent en phase avec le monde en constante évolution de la cybersécurité.

Jacques Latour
dirigeant principal de la technologie, ACEI

Impacts et Réponse

Réaction des organisations

Nous avons réuni plusieurs des services de cybersécurité plus récents, ou peut-être moins utilisés, pour voir si les organisations les adoptent pour les aider à atténuer les menaces. Tout au haut de la liste, on a le déploiement de DNS Firewalls à 57 %, les gestionnaires de mots de passe à 51 % et la formation sur la sécurité à 41 %. Au bas de la liste, même si leur nombre est considérable, on a l’utilisation d’un système d’information de sécurité/gestion d’évènement (SIEM) à 27 %, l’impartition à un fournisseur de services de sécurité gérés (MSSP) à 25 % et une assurance de cybersécurité à 25 %. Ce sont là toutes des industries qui connaissent une forte croissance et leur nombre démontre un potentiel impressionnant d’une croissance encore plus grande. 

L’ACEI offre des services de cybersécurité dans trois domaines clés.  Le premier est un service DNS secondaire global, alors que le deuxième est un DNS Firewall et le troisième, une formation de sensibilisation à la cybersécurité. Nous avons donc posé naturellement quelques questions dans ces domaines.


{Réaction des organisations}

Formation sur la cybersécurité 

En raison de l’expansion des organisations, elles tendent à estimer des chiffres qui semblent bien plus aléatoires lorsqu’on parle du nombre de cyberincidents (c’est-à-dire tout, allant d’une intrusion à un cas mineur de déni de service distribué (DDoS).  Cela nous porte à croire que les organisations n’assurent pas un suivi précis du nombre d’incidents auxquels ils font face, parce que celles qui comptaient moins d’employés affectés à la TI avaient une meilleure idée des chiffres que celles où la TI occupe davantage d’employés. Ceci étant dit, les moyennes nous ont appris des choses étonnantes.

Les organisations comptant moins de 1 000 utilisateurs* ayant déclaré offrir une formation intégrée de sensibilisation à la cybersécurité basée sur un apprentissage informatique et sur la simulation de l’hameçonnage ont déclaré une diminution dans une proportion de 2,2 des incidents qui touchaient les utilisateurs des ordinateurs de bureau. Cette donnée est conforme à notre propre analyse du service de formation de sensibilisation à la cybersécurité à l’ACEI qui a révélé une diminution du tiers des utilisateurs qui ouvrent les courriels d’hameçonnage lorsqu’ils utilisent une plate-forme (rappelez-vous qu’un mauvais clic n’aura pas toujours de conséquences problématiques). En s’engageant à offrir une formation de sensibilisation, on peut s’attendre évidemment à une diminution des problèmes.

D’après une de nos hypothèses, les organisations qui font preuve de maturité dans leur façon d’offrir la formation peuvent avoir également le même degré de maturité en ce qui concerne les autres outils de cybersécurité avancée qu’ils déploient, ce qui pourrait fausser les données. Nous avons été étonnés de constater que ceux qui ont dit recourir à la simulation d’hameçonnage n’utilisaient pas d’autres nouveaux outils de cybersécurité dans une proportion plus élevée que ceux qui n’en utilisaient pas. Lorsqu’on utilise le terme « nouveaux », on parle d’outils, comme les gestionnaires de mot de passe SIEM, les pare-feux en nuage, la cyber assurance, etc. Les 154 organisations ayant répondu qu’elles ne s’adonnaient pas aux simulations d’hameçonnage ont déclaré qu’elles utilisaient 858 des nouveaux outils. Les 188 qui ont répondu qu’elles simulaient l’hameçonnage ont également déclaré qu’elles utilisaient 873 nouveaux outils.

DNS firewall

Un DNS Firewall est un type de filtre de protection contre les maliciels et l’hameçonnage qui se trouve à l’extérieur de l’organisation et qui empêche les utilisateurs et les réseaux de zombies d’accéder au contenu malicieux. Il constitue un niveau de sécurité utile lorsqu’il fait appel à la science des données uniques pour bloquer une menace différente de celles qui alimentent les autres couches (comme l’antivirus, un pare-feu traditionnel, etc.).

Lorsqu’on le compare à la formation, le blocage du contenu à la couche DNS représente une catégorie plus évoluée, alors que 62 % des organisations ont déclaré le faire spécifiquement avec un tiers fournisseur (plutôt que de bloquer le pare-feu au moyen de l’URL).

En établissant une corrélation entre ceux qui utilisent un DNS Firewall et le rapport d’incident, nous avons constaté que les gens qui utilisent un DNS Firewall ont signalé 16 % moins d’incidents sur leurs ordinateurs de bureau. Une fois de plus, cette analyse basée sur des variables multiples a permis aux organisations de bénéficier des différents outils disponibles, mais nous nous sommes attardés aux ordinateurs de bureau, puisqu’une couche DNS exerce évidemment un impact plus élevé sur cette couche. Lorsqu’un réseau de zombies s’infiltre dans un ordinateur de bureau pour rejoindre ultimement les serveurs ou les bases de données, il se peut qu’on ne puisse découvrir le vecteur original.

Les organisations qui ont indiqué avoir suivi une formation intégrée à la sensibilisation à la cybersécurité ont signalé une réduction de 2,2 fois du nombre d’incidents ayant eu un impact sur les utilisateurs d’ordinateurs de bureau.*.

*Les organisations comptant moins de 1 000 utilisateurs 

Impacts des attaques

Peu importe le degré de préparation, la quantité de ressources ou le niveau de vigilance, elles ne peuvent contrer pleinement les cyberattaques. Nous nous efforçons depuis un siècle de rendre les routes plus sécuritaires, ce qui n’empêche pas les accidents de survenir par milliers tous les jours. Il en est de même de la cybersécurité.

Ainsi, dans quelle mesure le problème est-il répandu?


{Nombre estimé de cyberattaques au cours de la dernière année}

37 % des organisations ont déclaré ne pas connaître le nombre de cyberattaques qu’elles ont dû repousser l’an dernier – ce qui est probablement 73 % inférieur à la réponse véritable. Il est formidable que, dans l’ensemble, les gens dans le domaine de la TI sachent qu’il est difficile d’estimer ce qui arrive dans une telle zone grise lorsque leur tâche consiste à atténuer les risques. De ceux qui ont essayé d’estimer le nombre d’attaques, 18 % en ont vécu 10 ou plus, alors que 11 % n’en ont subi aucune.


{Nombre estimé d’attaques ayant affecté l’organisation}

Il est bien d’estimer le nombre d’attaques, mais il est encore plus important de savoir combien en ont subi les impacts. La proportion moyenne d’attaques ayant entraîné un impact s’élève à 19 %.  33 % ont répondu qu’ils ignoraient combien d’attaques ont atteint l’organisation; 6 % ont précisé qu’ils avaient été touchés par 10 menaces ou plus, alors 29 % n’ont signalé aucun impact attribuable aux cybermenaces.


{Impacts attribuables aux cyberattaques visant les organisations au cours des 12 derniers mois}

Lorsque nous pensons à l’impact d’une cyberattaque, nous nous intéressons souvent aux coûts financiers directs, mais qu’en est-il des coûts indirects? Pour en apprendre davantage, nous avons demandé aux répondants de nous décrire l’impact de ces attaques sur leur organisation.

Même si 30 pour cent ont déclaré que l’incident était mineur (alors qu’ils n’avaient observé que peu ou pas d’impact), les principales conséquences comprenaient le temps utilisé par les employés pour réagir à l’attaque (28 pour cent), l’incapacité des employés de vaquer à leurs occupations régulières (28 pour cent) et l’impossibilité d’utiliser les ressources ou les services (28 pour cent). Tous ces impacts entraînent des coûts indirects sur le plan monétaire et au niveau de la productivité. 13 % de plus ont déclaré que l’attaque avait nui à leur réputation. Cette perception fait tout un contraste avec les constatations que renferme le récent rapport: de l’ACEI intitulé Les Canadiens méritent un meilleur Internet, dans lequel on précise qu’à peine 19 pour cent des Canadiens entretiendraient leur lien d’affaires avec une organisation si leurs données personnelles avaient été exposées à une cyberattaque.


{Mesures prises afin de prévenir d’autres cyberattaques }

En réaction à une cyberattaque, nos répondants ont affirmé qu’ils allaient pour la plupart obliger les employés à suivre une formation sur la cybersécurité (57 pour cent). Il s’agit là d’une augmentation par rapport à l’an dernier, alors qu’à peine 44 pour cent des répondants comptant au moins 50 appareils au sein de leur organisation abondaient dans le même sens. Nous savons que plus de 90 pour cent de toutes les cyberattaques surviennent lors du même genre d’intervention de la part des utilisateurs, de sorte qu’il est toujours judicieux de les sensibiliser davantage aux cybermenaces.

48 pour cent des répondants ont opté pour une vérification de sécurité (en hausse par rapport à 37 pour cent l’an dernier), alors que l’installation d’un nouveau logiciel a chuté (passant de 50 à 46 pour cent) pour le même groupe l’an dernier.

Dans l’ensemble, 56 pour cent des répondants ont affirmé qu’ils étaient plus préoccupés par les perspectives d’éventuelles cyberattaques. Cela n’est pas étonnant, compte tenu de la fréquence des fuites de données à fort impact qui ont entraîné des coûts extrêmement élevés l’an dernier au Canada.

Pour atténuer ce risque futur, 45 pour cent des répondants prévoient consacrer davantage de ressources humaines à la cybersécurité d’ici les 12 prochains mois. Il s’agit là d’une augmentation par rapport à l’an dernier, alors que 35 pour cent des répondants comptant au moins 50 appareils au sein de leur organisation ont répondu qu’elles prévoyaient accroître leurs ressources humaines.

45 pour cent de plus ont déclaré que leurs ressources resteront inchangées, tandis que cinq pour cent prévoient une diminution.


{Changements prévus dans la quantité de ressources humaines consacrées à la cybersécurité au cours des 12 prochains mois}

En termes de ressources financières, 54 pour cent ont répondu que leur organisation allait investir davantage dans la cybersécurité l’an prochain. Il s’agit là d’une augmentation dramatique par rapport à 35 pour cent qui ont répondu en ce sens l’an dernier.

 


{Changements prévus dans la quantité de ressources financières consacrées à la cybersécurité au cours des 12 prochains mois}

54% des répondants s’attendent à dépenser davantage en ressources de cybersécurité l’année prochaine.

Alors que la protection des renseignements personnels des clients constitue la raison ultime qui justifie l’augmentation des ressources consacrées à la cybersécurité (59 pour cent), il est intéressant de souligner que le respect des lois et des règlements se situe encore loin dans la liste (malgré qu’il soit en hausse par rapport à l’an dernier).


{Principales raisons justifiant l’investissement de ressources dans les mesures de cybersécurité}

Il est encourageant de voir une prise de conscience accrue des cybermenaces, mais il reste encore beaucoup à faire. Il n’y a pas de solution miracle pour la cybersécurité : elle nécessite une vigilance constante, des couches multiples et la sensibilisation des employés. Nous sommes déterminés à aider les entreprises et les institutions canadiennes à mettre en œuvre les outils, les plateformes et les processus nécessaires à la protection de leurs réseaux.

Dave Chiswell
vice-président ‒ développement de produits à l’ACEI

Le contexte canadien

Environnement réglementaire

Un aspect a évolué considérablement au cours des quelques dernières années et il s’agit de l’environnement réglementaire des entreprises et des organisations. Le règlement général sur la protection des données (RGPD) de l’Union européenne et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada ont encore des répercussions dans le domaine de la cybersécurité. Alors qu’on se retrouvera inévitablement avec un nombre croissant d’acronymes dans le domaine de la protection des renseignements personnels, nous voulons demander aux organisations de nous décrire l’impact que l’environnement réglementaire a eu sur elles.

Alors que les entreprises ne sont pas toutes touchées par le RGPD de l’UE, dans un monde axé sur le commerce et sur les échanges à l’échelle planétaire, il n’est pas nécessaire qu’une entreprise soit située sur un territoire donné pour qu’elle soit touchée.


{Connaissance du règlement général sur la protection des données (RGPD) de l’union européenne}

De façon générale, 49 pour cent des répondants connaissaient le RGPD. Au sein des organisations qui comptent au moins 50 appareils, il s’agit là d’une augmentation par rapport à 44 pour cent l’an dernier. Ces chiffres n’ont rien d’étonnant, puisque la majeure partie de nos répondants exercent leurs activités exclusivement au Canada.

De même, à peine 26 pour cent ont reconnu qu’ils apportaient des changements en raison du RGPD. Ce nombre est plus élevé que l’an dernier, alors qu’à peine 17 pour cent des entreprises comptant 50 appareils ou plus ont déclaré qu’elles modifiaient leur présence en ligne ou leurs pratiques exemplaires en lien avec le RGPD. Il semble qu’un plus grand nombre d’entreprises canadiennes réalisent que d’autres systèmes de réglementation risquent de s’appliquer si elles ont des clients à l’extérieur du Canada.

Plus près de chez nous, des changements importants sont entrés en vigueur en novembre dernier en raison de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le changement le plus important concerne les règles de divulgation obligatoire des cas d’infractions, ainsi que les amendes possibles en cas de non-respect.


{Niveau de connaissance de la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)}

La LPRPDE porte directement sur les responsabilités des organisations non publiques en matière de divulgation des cas de violation de renseignements personnels. 

De façon globale, 69 pour cent des répondants connaissaient la LPRPDE, ce qui est intéressant. Que vous vous situiez au-dessous ou en dessous de ce pourcentage, le fait demeure que toutes les organisations canadiennes devraient connaître la LPRPRD, même s’il s’agit simplement de comprendre qu’elle ne vous concerne pas. Dans l’économie moderne, pratiquement toutes les organisations privées possèdent des données qui sont régies par la LPRPDE, que ces données concernent les clients, les fournisseurs, les employés ou les vendeurs. Ce nombre est pratiquement identique à ce qu’il était l’an dernier, alors que 70 pour cent des répondants possédant plus de 50 appareils ont donné la même réponse.


{Conscience à l’effet que les changements à la LPRPDE demanderont une divulgation des cas de violation de données }

Malheureusement, à peine un peu plus de la moitié des répondants (57 pour cent) étaient au courant des exigences de la LPRPDE en matière de divulgation obligatoire (rappelez-vous bien cette donnée). Alors que ce pourcentage est supérieur à ce qu’il était l’an dernier (50 pour cent pour des organisations comptant plus de 50 appareils), il est également préoccupant qu’une divulgation soit assortie de telles conséquences.

De façon globale, 53 pour cent des répondants se disaient préoccupés par les récents changements apportés à la LPRPDE, ce qui peut influencer l’impact, sur les entreprises, des exigences plus strictes de la loi en matière de gouvernance des données. À cet égard, 64 pour cent des répondants ont précisé qu’ils stockaient les renseignements personnels de leurs clients, employés, fournisseurs, vendeurs ou partenaires sur leurs systèmes. Cependant, il semble probable que ce nombre soit plus élevé. Qui ne dispose pas de données au sujet de ses employés dans un fichier quelque part? Même les organisations qui s’en remettent aux vendeurs de nuages ne sont pas épargnées, puisque même si vous demandez à une autre entreprise de stocker vos factures ou les dossiers de vos patients, vous êtes quand même responsable de toute violation chez ce fournisseur OU en raison (par exemple), des mots de passe faibles que vos employés utilisent peut-être.

Seulement 57% des répondants savaient que la LPRPDE prévoyait désormais des exigences obligatoires en matière de divulgation des infractions.


{Incidence du stockage des renseignements personnels des clients, des employés, des fournisseurs, des vendeurs et des partenaires}

Dans quelle mesure les données personnelles sont-elles protégées? Eh bien, 42 pour cent des répondants ont affirmé n’avoir fait l’objet d’aucune violation de données l’an dernier. Les organisations ayant déclaré avoir fait l’objet de tels incidents ont fait état de cinq violations au cours de la dernière année. L’aspect de cette réponse qui nous plaît le moins consiste dans ce que 40 % ont déclaré qu’ils ignoraient qu’ils avaient été victimes d’une violation – pour faire preuve d’honnêteté intellectuelle, il s’agit probablement de la bonne réponse à une question sur la cybersécurité.  Les attaques à la cybersécurité et les violations sont de parfaits exemples d’une « inconnue connue ».


{Nombre estimé de violations au cours de la dernière année}

Et là où le bât blesse… souvenez-vous des 43 pour cent de répondants qui ignoraient les exigences relatives aux atteintes aux mesures de sécurité dans la LPRPDE. Eh bien, de ceux qui ont fait les frais d’une violation l’an dernier, à peine 58 pour cent l’ont signalée à un organisme de réglementation. Il existe évidemment des exceptions à la LPRPDE, mais il semble très probable que certaines violations ne soient pas déclarées. Cela pose un problème.


{Qui était informé des violations de données}

La situation va en se détériorant à partir d’ici. À peine 48 pour cent seulement en ont informé leurs clients; 40 pour cent ont avisé la direction et 21 pour cent leur conseil d’administration. Au cas où vous vous posez la question, il s’agissait d’un sondage anonyme et, alors que nous n’oserions jamais de la vie miner la confiance des gens en divulguant les noms des répondants, nous ne pouvions le faire, de toute façon, parce que nous ne les connaissions pas. Le fait que 37 pour cent des répondants aient déclaré que la violation d’une loi reflète la triste réalité avec laquelle plusieurs entreprises doivent composer, la police se retrouve avec les mains liées dans bien des cas. Il n’est un secret pour personne que la grande majorité des cybercrimes restent non déclarés, parce que l’ampleur véritable du problème est bien pire.

Parmi les organisations qui ont subi une violation de données, seules 58% en ont parlé à un organisme de réglementation; 48% ont informé leurs clients; et seulement 21 pour cent ont dit à leur conseil.

Souveraineté des données

En quoi consiste la souveraineté des données de toute façon? À la base, la souveraineté des données consiste à s’assurer que vos données, l’infrastructure de TI et le trafic sur le réseau ne dépassent pas les frontières de notre pays, dans la mesure humainement possible. Dès l’instant où vos données se retrouvent de l’autre côté de la frontière, elles sont régies par les lois du pays en question – et par des politiques dont vous n’auriez jamais cru qu’elles existaient (pensez à Snowden).

Plusieurs Canadiens ignorent qu’une partie de l’infrastructure du réseau canadienne achemine les données en passant par les États-Unis pour rejoindre une autre destination au Canada. Ce même que vous avez adressé à votre ami à Windsor à partir de votre condo situé à Hamilton pourrait très bien emprunter plus d’une plate-forme Internet aux É.-U. avant d’arriver à destination.

Il existe, à l’échelle nationale, de nombreux avantages au fait de se doter d’une infrastructure solide qui contribue à conserver les données au Canada, sans compter qu’une telle mesure donne un coup de pouce incroyable à votre empreinte sur le plan de la cybersécurité en plus de réduire vos facteurs de risque.


{Niveau de préoccupation concernant le flux des données traversant des pays à l’extérieur du Canada}

Sachant cela, nous avons demandé à des répondants s’ils étaient préoccupés par la circulation des données traversant d’autres territoires. En tout, 69 pour cent se sont dits préoccupés, alors que 32 pour cent ont répondu qu’ils étaient très préoccupés. Ces deux statistiques sont en hausse par rapport à l’an dernier, puisqu’à peine 55 pour cent se disaient préoccupés et 19 pour cent très préoccupés au sein des organisations comptant plus de 50 appareils.

Alors que 57 pour cent des répondants ont reconnu qu’ils confiaient leur réseau ou leur infrastructure de TI à des fournisseurs de l’extérieur, 83 pour cent ont déclaré qu’ils avaient recours à des entreprises canadiennes seulement.


{Recours à des entreprises Canadiennes ou Américaines pour l’impartition des besoins/services}

Alors que l’engagement à acheter au Canada est évident, il est important de se rappeler que rien ne garantit qu’une entreprise canadienne ne continue pas d’exploiter des infrastructures situées à l’extérieur du Canada. Il est préférable de vérifier afin de déterminer précisément où vos données sont hébergées, acheminées et si une infrastructure en nuages s’accompagne d’une présence canadienne.

 

Dans le cadre de notre mandat qui vise à bâtir un meilleur Canada en ligne, l’ACEI voit l’utilisation sûre et sécuritaire de l’Internet comme un pilier majeur de notre responsabilité à l’endroit des Canadiens. Depuis qu’elle a plongé dans l’univers de la cybersécurité il y a plus de quatre ans, l’ACEI n’a jamais cessé d’étendre son empreinte dans cet espace, alors que s’accroît la menace à laquelle les entreprises, les organisations et la population canadiennes se retrouvent confrontées.

Le deuxième sondage annuel sur la cybersécurité de l’ACEI vise à présenter un aperçu clair du paysage canadien sur le plan des menaces et d’en apprendre davantage sur la façon dont les entreprises composent avec la situation.

Par conséquent, quelles leçons a-t-on tirées?

La formation améliore les choses, mais nous devons en faire plus

Alors que plusieurs couches techniques sont venues s’ajouter aux problèmes de sécurité depuis longtemps, l’aspect humain a toujours été LE maillon faible. Nous savons que plus de 90 pour cent de toutes les cyberattaques naissent d’un geste posé par un utilisateur. L’éducation occupe une place essentielle et le service de TI n’est désormais plus le seul qui doit savoir.

La bonne nouvelle… les entreprises canadiennes semblent en train de reprendre le temps perdu. D’après notre sondage, 87 pour cent des répondants ont précisé qu’une forme quelconque de formation et de sensibilisation à la cybersécurité était offerte au sein de leurs organisations.

La mauvaise nouvelle est, dans bien des cas, que la formation est inadéquate. Les cybermenaces ne cessent d’évoluer et les personnes mal intentionnées peaufinent continuellement leurs techniques. Ceci étant dit, nous avons constaté qu’à peine 41 pour cent obligent tous les employés à suivre cette formation, alors que 22 pour cent l’offrent une fois par mois ou plus souvent.

Alors qu’une incertitude demeure quant à la façon de mesurer l’efficacité de la formation de sensibilisation à la cybersécurité, la plupart des répondants croient qu’elle fonctionne et que les nouvelles ne peuvent qu’être bonnes alors que nous nous attaquons à la menace actuelle qui guette la cybersécurité.

On ne comprend encore pas vraiment l’importance de la divulgation

Alors que nous savons maintenant tous ce qu’est la cybersécurité, plusieurs organisations n’ont toujours pas trouvé le moyen de communiquer la menace à leurs intervenants. Alors qu’une intrusion physique, une inondation dans un centre ou un conflit de travail sont tous des risques visibles qui sont faciles à communiquer, plusieurs organisations, lorsqu’elles sont victimes d’une cyberattaque, ignorent la manière de réagir. Nous avons constaté, malgré les nouvelles exigences en matière de divulgation que renferme la LPRPDE, qu’à peine 58 pour cent des gens qui ont fait les frais d’une violation de données, en ont informé un organisme de réglementation. Seulement 48 pour cent en avaient informé leurs clients et 21 pour cent l’avaient portée à l’attention de leur conseil d’administration. Cette absence de divulgation entraîne la méfiance et, dans certains cas, des conséquences graves.

Il semble que les cyberattaques s’accompagnent toujours d’un stigmatisme, alors que tel n’est pas le cas des risques plus traditionnels auxquels les entreprises sont exposées. Au fur et à mesure que les entreprises comprendront la réalité voulant que les cybermenaces soient comparables aux menaces physiques (et qu’elles peuvent être bien pires dans bien des cas), elles commenceront à réaliser que la divulgation réduit effectivement le risque et les préjudices possibles en donnant davantage de visibilité au problème.

Les organisations s’adaptent, mais la menace persiste

Alors que la cybersécurité devient de plus en plus la règle, nous assistons à un élan positif au sein des organisations canadiennes qui s’adaptent à la menace. Les organisations canadiennes investissent dans la formation, dans les ressources et dans les solutions techniques dans le but de protéger leurs données et leurs clients.

Cependant, la menace n’est pas immuable, alors que nous constatons encore, dans les ressources et dans la formation, des lacunes qui demandent des solutions plus générales. À l’ACEI, nous faisons notre part pour remédier à ces lacunes. Nos solutions en matière de cybersécurité ont été créées précisément à l’intention du Canada. Notre expérience de plus de 20 ans dans la gestion des domaines .CA nous a permis de mettre notre expertise à profit en gérant et en protégeant le DNS de manière à créer des produits comme le DNS Firewall D-Zone, une couche primordiale de votre empreinte pour la cybersécurité.

En informant les gens sur les tendances et les données en matière de cybersécurité, nous espérons continuer d’accroître la capacité du Canada dans ce domaine – c’est-à-dire les connaissances, les gens et les solutions – pour nous assurer ainsi que notre Internet reste à la fois fort et libre.

Table of contents

We have a newer version of this report, with survey data from 2022.

Read our 2022 CIRA Cybersecurity Survey

Key Findings

  • 71 per cent of organizations reported experiencing at least one cyber-attack that impacted the organization in some way, including time and resources, out of pocket expenses, and paying ransom.
  • While 96 per cent of respondents said that cybersecurity awareness training was at least somewhat effective in reducing incidents, only 22 percent conducted the training monthly or better.
  • Only 41 per cent of respondents have mandatory cybersecurity awareness training for all employees.
  • Among those businesses that were victimized by a cyber-attack, 13 per cent indicated the attack damaged their reputation. This perception is a sharp contrast to the findings of CIRA’s recent report: Canadians deserve a better internet, which indicated that only 19 per cent of Canadians would continue to do business with an organization if their personal data were exposed in a cyber-attack.
  • 43 per cent of respondents were unaware of the mandatory breach requirements of PIPEDA.
  • Of those businesses that were subject to a data breach, only 58 per cent reported it to a regulatory body; 48 per cent to their customers; 40 per cent to their management and 21 per cent to their board of directors.
  • 43 per cent of respondents who said they didn’t employ dedicated cybersecurity resources cited lack of resources as the reason. This is up from 11 per cent last year.

Download the 2019 CIRA Cybersecurity Survey Infographic.

Introduction

A lot has happened since our last cybersecurity survey. The good news is that more attention, time and resources are being directed towards cybersecurity. The Canadian Centre for Cyber Security entered the scene, the federal government unveiled its CyberSecure cyber certification program, and the revamped Personal Information Protection and Electronic Documents Act (PIPEDA) went into effect.

However, it’s not all good news. Canadian banks, schools, governments and businesses are still being taken down by cyber attacks, exposing customer data, paying ransoms to hackers, and losing valuable time recovering from breaches.

According to the annual Accenture Cost of Cybercrime survey, the average cost of investigating and remediating an attack among Canadian organizations last year was $9.25 million.

Our goal with this survey is to provide insight into the Canadian cybersecurity landscape and understand just how Canadian businesses are preparing and coping with the new IT security reality.

Methodology

CIRA contracted the research firm, The Strategic Counsel, to interview 500 individuals with responsibility over IT security decisions. The sample included those who manage a minimum of 50 users of desktops or mobile devices for at least 20% of their work.  All the respondents had budgetary authority over cybersecurity decisions.

In our sample, 92 per cent indicated that they were at least somewhat familiar with the organizations’ computer and IT functions while 8 per cent held budgetary control but were less familiar with the systems in place.

Among those surveyed, 53 per cent indicated they were very familiar with their organization’s IT and computer function, while 47 per cent said they were somewhat familiar.

Finally, among the sample, 28 per cent indicated they belonged to an organization with 50 to 99 employees who use computers or mobile devices. Additionally, 31 percent represented organizations with 100 to 229 devices, 14 per cent were in 250 to 499 employees category, 12 per cent in the 500 to 999 range, and 15 per cent worked for organizations with more than 1000 employees who use desktop or mobile devices. In short, this survey presents a wide range of viewpoints that allows us to draw some interesting conclusions about the cybersecurity landscape in Canada.


{IT areas}

About the organizations

While our survey included a variety of organizations, the majority had been in operation for quite some time with 56 per cent indicating they have been in business for more than 20 years. In total, 59 per cent of businesses in our sample indicated they do business in Canada only.

Private sector organizations represented 67 per cent of the sample, while public or not-for-profit organizations represented 33 per cent.

Now more than ever, Canadians need trust in the internet. We believe that security is the foundation of that trust which is why we have leveraged our experience safeguarding the .CA domain to help Canadian organizations protect themselves and their users.

Byron Holland
President and CEO, CIRA

Employees and Training

While cybersecurity is now a mainstream topic (for better or worse), we wanted to dig deeper to find out how organizations are preparing to meet the challenge being presented to them by the hackers, thieves and foreign spies of the world.

Reliance on vendors

If you have a kid in school, unless they are the next Bianca Andreescu, start dropping not-so-subtle hints about the demands for cybersecurity jobs now. A 2018 report by Deloitte indicated that 5,000 cybersecurity jobs would need to be filled in Canada between 2018 and 2021, and organizations across the country are scrambling to try to fill the gap.

Naturally, this means that for the time being outsourcing is going to continue to be a central part of the cybersecurity mix. It also reflects that in many organizations dedicating a full-time resource to cybersecurity may not be deemed to be necessary; while the time and effort needed to be on top of the latest threats can’t generally be taken on as a part-time job.  

Among our sample, 68 per cent relied either fully or partially on external resources, with 20 per cent saying they outsource all of their cybersecurity needs. Only 31 per cent reported the exclusive use of internal resources. This underscores the importance of understanding the security footprint of your managed service provider and ensuring they have a complete suite of cybersecurity solutions.


{RELIANCE ON INTERNAL RESOURCES OR EXTERNAL VENDORS TO MEET CYBERSECURITY NEEDS}

{NUMBER OF EMPLOYEES WHO HAVE A PRIMARY JOB RESPONSIBILITY IN I.T.}

To get a clearer picture of the level of commitment among our sample to cybersecurity, we asked how many people in their organization worked in information technology. The most common response, at 29 per cent, was two to five employees dedicated to IT. Interestingly, when broken down to public and private organizations, the difference is vast. While private organizations typically have 1-5 employees with a primary job responsibility in IT, public organizations often have 30 or more.


{NUMBER OF EMPLOYEES WHO HAVE A PRIMARY JOB RESPONSIBILITY IN CYBERSECURITY}

When we focused in on cybersecurity, private organizations have between one and five employees responsible for cybersecurity. This suggests that in general, all IT employees have at least some responsibility for cybersecurity (versus relying on specialists). Conversely, among public organizations, the ratio of IT to security drops quite significantly. Public organizations that answered “more than 50 people” in IT had proportionally fewer responsible for security. The takeaway here seems to be, if you have more people you can afford to specialize but in smaller shops, everyone has to pitch in. It is a risk to smaller organizations as security has become quite a specialty.

Lack of resources

Among the respondents, the primary reason cited for having no employees dedicated to cybersecurity was the use of external contractors (51 per cent). However, given the importance of having institutional knowledge of cyber threats and risk factors in the organization, it was surprising to see that fully 43 per cent indicated that they didn’t have the resources to employ a dedicated internal cybersecurity resource.


{MAIN REASONS FOR HAVING NO EMPLOYEES PRIMARILY RESPONSIBLE FOR CYBERSECURITY}

This represents a significant increase over last year where 27 per cent of respondents indicated a lack of resources as a barrier. Perhaps it is the increased public awareness of cybersecurity as a critical function for businesses that have increased the demand (and therefore cost) of having internal resources. It may also reflect the desire of larger IT teams to keep their internal resources focused on their users and to outsource cybersecurity to experts.

 

43 per cent of respondents said a lack of resources is preventing them from hiring a dedicated cybersecurity professional.

This is up from 27 per cent last year.

Training

Cybersecurity is about more than just the IT department and the tools they use. Every user, every employee and every contractor has a role to play in keeping an organization safe. With this in mind, we asked our respondent some questions about cybersecurity awareness training.

First, we asked how many organizations provide some kind of cybersecurity awareness training for their employees. In total, 87 per cent of respondents indicated that some form of training was offered at their employer. Interestingly, this number was identical among both private and public organizations. However, only 41 per cent indicated that the training was mandatory for all employees.

You don’t have to be in IT, or even use a desktop regularly, to click on a bad link or pop a USB drive into a laptop without thinking about the consequences. Quality training has been shown to deliver improved security by reducing all types of incidents.


{INCIDENCE OF CONDUCTING CYBERSECURITY AWARENESS TRAINING}

Only 41 per cent of respondents indicated that cybersecurity training was mandatory for all employees.

Next, we asked for more detail on what exactly the training entails to understand whether organizations were investing  in newer methods and more sophisticated tools.


{WAYS OF CONDUCTING CYBERSECURITY AWARENESS TRAINING}

Of those who indicated that they had some form of cybersecurity awareness training at work, only 21 per cent said they used an integrated training, phishing and reporting platform; and the same number said they conducted standalone phishing simulations. Just over 50 per cent indicated they created and delivered their own internal training material, which might be ok if they have the in-house expertise to do so. To deliver in-house training effectively, IT needs to know more than just cybersecurity best practices; they also need to know how the majority of their employee base – non-technical adults – learn and retain training.

Do you like pizza? We do, and 36 per cent of respondents indicated that their training consists of lunch and learn workshops. Free pizza is a great way to attract people but it is unlikely that most attendees were drawn in by their desire to learn more about how to be safe from botnets. We posit that within a few weeks (at best) the attendees will have forgotten what they learned


{FREQUENCY OF CONDUCTING CYBERSECURITY AWARENESS TRAINING}

Anyone who had a service job as a teenager probably vaguely remembers being given WHMIS training on the first day. Where is the eyewash station? How do I handle bleach? What chemicals might blow up? That kind of thing. While the nature of bleach doesn’t change much over time, cybersecurity changes daily. That’s why we asked respondents about the frequency of their cybersecurity awareness training.

If we’re being generous, 22 per cent of respondents indicated a frequency that could pass as vigilant—monthly or better. While 76 per cent indicated their cybersecurity awareness training took place quarterly or worse, a full 40 per cent said it was annually or less which is barely enough to keep up with trendy memes, let alone hackers.


{WAYS OF MEASURING THE IMPACT OF CYBERSECURITY AWARENESS TRAINING}

What is the impact of cybersecurity awareness training? With the rate of change in cyber threats, constant vigilance must have some kind of impact, right? We asked respondents how they measured the impact of cybersecurity awareness training. In total, 46 per cent of respondents indicated that they tracked training results and risk scores over time. This kind of tracking allows IT managers to see in real-time if their efforts are having an impact on behaviour. In terms of bottom-line impacts, 27 per cent indicated they had saved time, and 25 per cent said they reduced costs on security incidents.

Overall, 96 per cent of respondents said that cybersecurity awareness training was at least somewhat effective in reducing incidents or risky online behavior. It would seem that while organizations are increasingly delivering training, there are still some challenges when it comes to confidently measuring the success and ROI of their training efforts. This isn’t surprising, given the majority of our respondents are doing in-house training and lunch-and-learns without the support of a fully integrated web platform.

 

96 per cent of respondents said that cybersecurity awareness training was at least somewhat effective in reducing incidents.

Finally, the most common answer for why an organization doesn’t conduct cybersecurity awareness training came down to insufficient IT human resources (44 per cent) and uncertainty on the best approach (32 per cent).

While we can assume those respondents see some value in adopting training, 36 per cent of respondents that do not do training either are not considering it for now, don’t do it because previous training was unsuccessful, or just simply do not believe it works. Even though training adoption is increasing, there is still a ton of work for the cybersecurity industry to do when it comes to learning about the value of…learning.

While technical solutions are important, the best layer of security for any organization are cyber-aware employees. We are happy to see more organizations embracing cybersecurity awareness training as a critical element of their defense. However, there is more work to be done to ensure the quality and rigor of the training offered keeps pace with the ever-changing world of cybersecurity.

Jacques Latour
CTO, CIRA

Impacts and Response

How organizations are responding

In total, 71 per cent of organizations reported experiencing at least one cyber-attack that impacted the organization in some way, including time and resources, out of pocket expenses, and paying ransom.

We gathered several of the newer, or perhaps less used, cybersecurity services to see if organizations were adopting them to help mitigate the threats. Topping the list were deploying DNS firewalls at 57 per cent, password managers at 51 per cent, and security training at 41 per cent. At the bottom of the list, though still a large number, were the use of a SIEM at 27 per cent, outsourcing to an MSSP at 25 per cent  and cybersecurity insurance at 25 per cent. These are all fast-growing industries and the numbers show tremendous potential for further growth. 

CIRA provides cybersecurity services in three core areas.  The first is a global secondary DNS service, the second is a DNS firewall and the third is cybersecurity awareness training. So naturally, we asked a few questions in these areas.


{Tools}

Impact of training 

As organizations get larger they tend to estimate significantly more random-looking numbers as it relates to the number of cyber incidents (i.e. everything from a breach to a minor DDoS event). This suggests that organizations aren’t keeping good track of the number of incidents that they are dealing with. Smaller with fewer IT people had a better handle on the numbers, probably because they individually responded to each of them. That said, the averages did tell compelling stories.

Organizations with under 1000 users that reported doing integrated cybersecurity awareness training that included both computer-based learning and phishing simulation reported 2.2 times reduction in incidents that impacted desktop users. This is consistent with our own analysis from CIRA’s Cybersecurity Awareness Training service that showed a 3 times reduction in users clicking on phishing emails when they are using a platform (remember that not every bad click is going to lead to a problem). In essence, awareness training is correlated to fewer problems.

One of our hypotheses was that organizations that are mature in how they conduct training may also be mature in other advanced cybersecurity tools that they deploy and that this could skew the data. It was to our surprise that those who reported using phishing simulation didn’t use other new cybersecurity tools at a rate any higher than those who didn’t. By “new” we meant tools like a SIEM, password managers, cloud firewalls, cyber insurance, etc. Of the 154 organizations that reported not doing phishing simulations, they reported using 858 of the new tools. Of the 188 that reported doing phishing simulation, they reported 873 other new tools.

Impact of DNS firewall

A DNS firewall is a type of malware and phishing filter that sits outside the organization and blocks users and botnets from accessing malicious content. It is a useful layer of security when it uses unique data science to deliver a threat block list that is different from those that feed the other layers (like antivirus, traditional firewall, etc.).

When compared to training, blocking content at the DNS layer is a more mature category and fully 62 per cent of organizations reported doing it specifically with a third-party supplier (versus URL blocking in the firewall).

When we correlated those that use a DNS firewall with the incident report, we found that those with a DNS firewall reported 16 per cent fewer desktop incidents. Again, this is a multi-variate analysis given the various tools available to organizations, so the reason we focused on the desktop was because a DNS layer has a higher direct impact at that layer. It is harder to measure when a botnet gets in through a desktop, but ultimately impacts servers or databases elsewhere and the original vector may not get uncovered.

Organizations that reported doing integrated cybersecurity awareness training reported 2.2 times reduction in incidents that impacted desktop users*.

*organizations with fewer than 1000 users 

Attack impacts

Of course, no amount of preparedness, resources or vigilance can stop cyber-attacks altogether. We have spent 100 years trying to make roads safer and there are still daily accidents in the thousands, the same is true of cybersecurity.

So, just how prevalent is the problem?


{ESTIMATED NUMBER OF CYBER ATTACKS IN THE LAST YEAR}

In total, 37 per cent of respondents reported not knowing how many cyber-attacks that they faced last year – which is probably 73 per cent lower than what the right answer probably is. It is great that, on whole, IT people know that it is difficult to estimate what is happening in such a grey area where their job is to mitigate risk. Among those that did attempt to estimate the number of attacks, 18 per cent experienced 10 or more while 11 per cent reported zero.


{ESTIMATED NUMBER OF ATTACKS THAT IMPACTED ORGANIZATION }

While it is nice to estimate the number of attacks, what matters most is how many had real impact. Respondents indicated that the average number of attacks with a measurable impact was 19 per cent. Another 33 per cent responded not knowing how many impacted the organization, 6 per cent indicated they were impacted by 10 or more threats while 29 per cent reported no impact from cyber threats.


{WAYS IN WHICH ORGANIZATION WAS IMPACTED BY CYBER ATTACKS IN LAST 12 MONTHS}

When we think about the impact or a cyber-attack, we often focus on the direct financial costs; but what about the indirect costs? To find out more, we asked respondents to tell us how these attacks impact their organization.

Although 30 per cent indicated the incident was minor (indicating little to no observed impact), the top consequences included the time required for employees to respond to the attack (28 per cent); the inability of employees to carry out their regular work (28 per cent); and the prevented use of resources or services (26 per cent). All those impacts carry indirect monetary and productivity costs. An additional 13 per cent indicated the attack damaged their reputation. This perception is a sharp contrast to the findings of CIRA’s recent report: Canadians deserve a better internet, which indicated that only 19 per cent of Canadians would continue to do business with an organization if their personal data were exposed in a cyber-attack.


{ACTIONS TAKEN TO PREVENT FUTURE CYBER ATTACKS }

In response to experiencing a cyber-attack, the most common action undertaken by our respondents was to engage employees in cybersecurity training (57 per cent). This an increase from last year where only 44 per cent of respondents with 50 or more devices in their organization indicated the same. We know that more than 90 per cent of all cyber-attacks originate with some kind of user action so increasing awareness of cyber threats is always a good move.

A security audit was the choice of 48 per cent of respondents (up from 37 per cent last year), while the installation of new software actually dropped (46 vs. 50 percent) from the same group last year.

Overall, 56 per cent of respondents said they are more concerned about the prospects of future cyber-attacks. This is not surprising, given the frequency of high-impact data breaches in Canada with extremely high costs this past year.

Resource impacts

To mitigate their future risk, 45 per cent of respondent are planning to increase their human resources dedicated to cybersecurity in the next 12 months. This is an increase over last year when 35 per cent of respondents with 50 or more devices in their organization indicated they planned to increase human resources.

Another 45 per cent say their resources will stay the same, and five per cent expect a decrease.


{ANTICIPATED CHANGE IN HUMAN RESOURCES DEVOTED TO CYBERSECURITY IN THE NEXT 12 MONTHS}

In terms of financial resources, 54 per cent say their organization will increase their cybersecurity investment next year. This is a dramatic increase from the 35 per cent who said the same last year.

 


{ANTICIPATED CHANGE IN FINANCIAL RESOURCES DEVOTED TO CYBERSECURITY IN THE NEXT 12 MONTHS}

54 per cent of respondents expect to spend more on cybersecurity resources next year.

While protecting the personal information of customers is the top rated reason for devoting more resources to cybersecurity (59 per cent); it is interesting to note that complying with laws and regulations is still far down the list (though up from last year).


{MAIN REASONS FOR DEVOTING RESOURSES TO CYBERSECURITY MEASURES}

It is encouraging to see the increase in awareness of cyber threats but there is still much to do. There is no silver bullet for cybersecurity, it requires constant vigilance, multiple layers, and employee awareness. We are committed to helping Canadian businesses and institutions implement the tools, platforms and processes that are required to protect their networks.

Dave Chiswell
Vice President of Product, CIRA

The Canadian Context

Regulatory environment

One thing that has changed significantly in the last couple of years is the regulatory environment in which businesses and organizations operate. The impact of the European Union’s General Data Protection Regulation (GDPR) and well as Canada’s Personal Information Protection of Electronic Documents Act (PIPEDA) continue to impact the world of cybersecurity. While it is inevitable that more privacy related acronyms are coming, we wanted to ask organizations how the regulatory environment impacted them.

While not all businesses are impacted by the EU GDPR regulation, in a world of global trade and commerce a business doesn’t have to be located physically in a certain jurisdiction in order to be affected.


{FAMILIARITY WITH EUROPEAN GENERAL DATA PROTECTION REGULATION (GDPR)}

Overall, 49 per cent of respondent were familiar with GDPR. Among organizations with 50 or more devices, this is an increase from 44 per cent last year. Given that the majority of our respondents do business exclusively in Canada, these numbers are not surprising.

Similarly, only 26 per cent indicated making any changes due to GDPR. This number has increased from last year when only 17 per cent of businesses with 50 devices or more indicated making GDPR-related changes to their online presence or business practices. It seems more Canadian businesses are realizing that if they have customers outside Canada, other regulatory schemes may apply.

Closer to home, significant changes went into effect last November due to the Personal Information Protection of Electronic Documents Act (PIPEDA). The most significant change is mandatory breach disclosure rules, as well as potential fines for non-compliance.


{LEVEL OF FAMILIARITY WITH CANADA’S PERSONAL INFORMATION PROTECTION OF ELECTRONIC DOCUMENTS ACT (PIPEDA)}

PIPEDA directly addresses the responsibilities of non-public organizations in disclosing breaches of personal information. 

Overall, 69 percent of respondents were familiar with PIPEDA, which is nice. Whether you are over or under this number, the fact remains that all Canadian organizations should be familiar with PIPEDA even if it’s simply to figure out that it doesn’t apply to you. In the modern economy, virtually every private organization has data that is governed by PIPEDA, whether its customers, suppliers, employees or vendors. This number is basically unchanged from last year when 70 per cent of respondents with more than 50 devices indicated the same.


{AWARENESS THAT CHANGES TO PIPEDA WILL REQUIRE DISCLOSURE OF DATA BREACHES }

Unfortunately, only a little more than half of respondents (57 per cent) were aware of PIPEDA’s mandatory disclosure requirements (remember this for later). While this is better than last year (50 per cent among those with 50+ devices), it is also concerning as disclosure carries real consequences.

Overall, 53 per cent of respondents were concerned with the recent changes to PIPEDA, which may reflect the business impact of more stringent data governance requirements in the Act. On that front, 64 per cent of respondents indicated that they stored the personal information of customers, employees, suppliers, vendors or partners on their systems. However, it seems likely that this number should be higher; who doesn’t have data on employees on file somewhere? Even organizations relying on cloud vendors aren’t safe because even though you use another company for storing billing or patient records, you are still responsible for a breach at that supplier OR through (for example) weak passwords that your employees may be using.

Only 57 per cent of respondents were aware that PIPEDA now has mandatory breach disclosure requirements.


{INCIDENCE OF STORING PERSONAL INFORMATION OF CUSTOMERS/EMPLOYEES/SUPPLIERS/VENDORS/PARTNERS}

How secure was that personal data? Well, 42 percent of respondents said they did not experience a data breach last year. The average among organizations that reported was five breaches in the last year. What we like best about this answer is that 40 per cent said they didn’t know if they had been breached – if we were to be intellectually honest, that is probably the right answer to any cybersecurity question.  Cybersecurity attacks and breaches are a perfect example of a “known unknown”. 


{ESTIMATED NUMBER OF BREACHES IN LAST YEAR}

And now the kicker…remember the 43 per cent of respondents who weren’t aware of the mandatory breach requirements in PIPEDA? Well, of those who experienced a breach last year, only 58 per cent reported it to a regulatory body. Of course there are exceptions to PIPEDA but it seems highly likely that some breaches are not being reported. That’s…a problem.


{WHO WAS INFORMED ABOUT DATA BREACHES}

It gets worse from there. Only 48 per cent reported the breach to their customers; 40 per cent to their management and 21 per cent to their board of directors. In case you were wondering, this was an anonymous survey so we couldn’t tell you who if we wanted to. The fact that 37 per cent reported the breach to law enforcement reflects a sad reality that many businesses face, there’s not much that can be done by the police in many situations. It is well established that the vast majority of cybercrime goes unreported so the true scope of the problem is much worse.

Of those organizations who experienced a data breach, only 58 per cent told a regulatory body; 48 per cent told their customers; and only 21 per cent told their board.

Data Sovereignty

What is data sovereignty anyway? At its core, data sovereignty means ensuring that your data, IT infrastructure, and network traffic stay within Canada as much as humanly possible. The minute your data crosses a border it is subject to the laws of the country it enters—and the policies that you may not even be aware of (*cough Snowden).

Many Canadians are unaware that a portion of Canada’s network infrastructure moves data through the United States while en route to another destination in Canada. That meme you send your friend in Windsor from your condo in Hamilton may very well pass through more than one internet hub in the US before reaching its destination.

There are a lot of national benefits to having a good national infrastructure that helps to keep data in Canada, but it is also a big boost for your cybersecurity footprint and reduces your risk factors.


{LEVEL OF CONCERN ABOUT DATA FLOW THROUGH COUNTRIES OUTSIDE CANADA}

In that light, we asked respondents if they were concerned about data flowing through other jurisdictions. In all, 69 per cent said they were concerned with 32 per cent indicating they were very concerned. Both numbers are an increase over last year when only 55 per cent were concerned and 19 per cent very concerned among organizations with 50+ devices.

While 57 per cent of respondents said they outsource their network or IT infrastructure, 83 per cent of those said they contracted only Canadian firms.


{USE OF CANADIAN OR U.S. FIRMS FOR OUTSOURCED NEEDS/SERVICES}

While the commitment to buying Canadian is notable, one thing to remember is that there is no guarantee that a Canadian firm doesn’t still use infrastructure outside Canada. It is best to check to determine exactly where your data is housed, routed, and whether or not any cloud infrastructure has a Canadian presence.

 

Conclusion

As part of our mandate to build a better online Canada, CIRA considers the ability to use the internet safely and securely to be a major pillar of our responsibility to Canadians. Since diving into the world of cybersecurity more than four years ago, CIRA has steadily broadened its footprint in the space as the threat to Canadian businesses, organizations and individuals have expanded.

Our goal with the second annual CIRA Cybersecurity Survey is to provide a clear overview of the threat landscape in Canada and to learn more about how businesses are coping.

So, what have we learned?

Training is making a difference but more needs to be done

While many technical layers have been thrown at the cybersecurity problems for years, the one weak link has always been people. We know that more than 90 per cent of all cyber-attacks begin with some sort of user action. Education is essential, and it is no longer just the IT department that needs to know.

The good news is that Canadian businesses seem to be catching on. In our survey, 87 per cent of respondents indicated that some form of cybersecurity awareness training was available in their organizations.

The bad news is that, in many cases, the training is inadequate. Cyber-threats are constantly evolving and bad actors are always evolving their techniques. In that light, we saw that only 41 per cent made such training mandatory for all employees; and 22 per cent conduct the training on a monthly basis or better.

While their remains some uncertainty as to how to measure the effectiveness of cybersecurity awareness training, most respondents believe it is working, and that can only be good news as we tackle the ongoing cybersecurity threat.

The importance of disclosure is still not fully understood

As cybersecurity goes mainstream, many organizations are still struggling with how to communicate the threat with their stakeholders. While a physical break-in, a flood at a facility, or a labour dispute are all visible risks that are easy to communicate, a cyber-attack still leaves many organizations struggling with how to respond. We found that despite the new disclosure requirements in PIPEDA, only 58 per cent of those who experienced a data breach had disclosed it to a regulatory body. Only 48 per cent had informed their customers; and 21 per cent told their board. This lack of disclosure leads to mistrust and, in some cases, severe consequences.

It seems there is still a stigma surrounding cyber-attacks that doesn’t exist with more traditional business risks. Hopefully, as businesses come to grips with the reality that cyber threats are no different than physical ones (and in many cases are actually more severe), they will begin to understand that disclosure actually reduces risk and potential harm by bringing more visibility to the problem.

Organizations are adapting but the threats remain

As cybersecurity becomes more mainstream, we are seeing positive momentum among Canadian organizations that are adapting to the threat. Canadian organizations are investing in training, resources and technical solutions to protect their data and their customers.

However, the threat doesn’t stand still and we are still seeing gaps in resources and training that beg for broader solutions. At CIRA, we are doing our part to address these gaps. Our suite of cybersecurity solutions is specifically built with Canada in mind. Our more than 20 years of managing the .CA has allowed us to deploy our expertise in managing and protecting the DNS to create products like D-Zone DNS Firewall, a critical layer of your cybersecurity footprint.

By reporting on cybersecurity trends and data we hope to continue to build up Canada’s cybersecurity capacity—in knowledge, people and solutions—to ensure our internet remains strong and free.

Documents connexes

<i>Sondage 2023</i> de CIRA sur la cybersécurité

Sondage 2023 de CIRA sur la cybersécurité

Lire
Rapport
Sondage 2022 de CIRA sur la cybersécurité

Sondage 2022 de CIRA sur la cybersécurité

Lire
Rapport
Rapport d’observation du 4e trimestre 2021 du Bouclier canadien de CIRA

Rapport d’observation du 4e trimestre 2021 du Bouclier canadien de CIRA

Lire
Rapport
Livre blanc Formation 2021 en cybersécurité de CIRA

Livre blanc Formation 2021 en cybersécurité de CIRA

Lire
Rapport
Rapport d’observation du Bouclier canadien de CIRA

Rapport d’observation du Bouclier canadien de CIRA

Lire
Rapport
2021 Sondage de CIRA sur la cybersécurité

2021 Sondage de CIRA sur la cybersécurité

Lire
Rapport
Restez à l’écoute

Voir plus de documents

Lire
{( translate(state.status) )}