Rapport du sondage de 2019 sur la cybersécurité

Nous avons une version plus récente de ce rapport.

• 43 pour cent des répondants ayant déclaré qu’ils ne faisaient appel à aucun spécialiste en matière de cybersécurité ont invoqué le manque de ressources. Cette proportion représente une augmentation de 11 pour cent par rapport à l’an dernier.
• Alors que 96 pour cent des répondants ont déclaré que la formation et la sensibilisation à la cybersécurité contribuaient quelque peu à réduire les incidents, à peine 22 pour cent ont suivi la formation tous les mois ou plus fréquemment.
• Une proportion encourageante de 87 pour cent des répondants ont précisé que leur employeur offrait une forme quelconque de formation et de sensibilisation à la cybersécurité. Cependant, à peine 41 pour cent ont déclaré que tous les employés étaient tenus de suivre la formation.
• Chez les entreprises ayant fait les frais d’une cyberattaque, 13 pour cent ont reconnu que celle-ci avait nui à leur réputation. Cette perception contraste de manière flagrante avec les constatations que renferme le récent rapport: de l’ACEI intitulé Les Canadiens méritent un meilleur Internet, dans lequel on précise qu’à peine 19 pour cent des Canadiens entretiendraient un lien d’affaires avec une organisation si leurs données personnelles étaient exposées à une cyberattaque.
• De ces entreprises qui ont été victimes d’une violation de données, 48 pour cent seulement en ont informé leurs clients; 40 pour cent ont avisé la direction et 21 pour cent leur conseil d’administration.
• 71 pour cent des organisations ont reconnu avoir vécu au moins une cyberattaque ayant nui à leurs activités d’une manière ou d’une autre et ayant entraîné certains coûts en temps et en ressources, qu’elles ont payés de leur poche en versant une rançon.

Il en a coulé de l’eau sous les ponts depuis le dernier sondage. La bonne nouvelle… on consacre maintenant davantage d’attention, de temps et de ressources à la cybersécurité. Le Centre canadien pour la cybersécurité est entré en scène, le gouvernement fédéral a dévoilé CyberSécure, son programme de cybercertification, alors que la version revampée de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est entrée en vigueur.

Cependant, les nouvelles ne sont pas toutes bonnes. Les banques, les écoles, les gouvernements et les entreprises au Canada sont encore paralysés par des cyberattaques qui exposent les données de leurs clients, de sorte qu’ils versent des rançons aux pirates et perdent un temps précieux à se remettre de ces violations.

Si on en croit le sondage annuel d’Accenture sur le coût de la cybercriminalité, le coût moyen afin d’enquêter sur une attaque et réparer ses conséquences s’élevait l’an dernier à 9,25 millions de dollars pour les organisations canadiennes.

Notre but, par ce sondage, consiste à vous donner un aperçu du paysage de la cybersécurité au Canada afin que vous compreniez simplement la façon dont les entreprises canadiennes se préparent et font face à la nouvelle réalité en matière de sécurité de la TI.

L’ACEI a demandé à la firme de recherche The Strategic Council pour interviewer 500 individus responsables des décisions en matière de sécurité informatique. Cet échantillon comprend des individus qui gèrent au moins 50 utilisateurs d’ordinateurs de bureau ou d’appareils portables pour réaliser au moins 20 % de leur travail.  Tous les répondants étaient responsables du budget lié à leurs décisions en matière de cybersécurité.

Dans notre échantillon, 92 pour cent ont déclaré qu’ils connaissaient à tout le moins quelque peu le système informatique et les fonctions de TI de l’organisation, alors que 8 pour cent exerçaient un contrôle sur le budget, mais connaissaient un peu moins les systèmes en place.

Parmi les gens interrogés, 53 pour cent ont affirmé qu’ils connaissaient très bien la TI et la fonction informatique de leur organisation, alors que 47 pour cent ont déclaré qu’ils les connaissaient quelque peu.

Enfin, encore parmi ces gens, 28 pour cent ont précisé qu’ils appartenaient à une organisation comptant de 50 à 99 employés qui utilisent des ordinateurs ou des appareils portables. De plus, 31 pour cent représentaient des organisations utilisant de 100 à 229 appareils, alors que 14 pour cent appartenaient à la catégorie de 250 à 499 employés; 12 pour cent à la catégorie de 500 à 999 employés; et 15 pour cent étaient au service d’organisations où plus de 1 000 employés utilisent un ordinateur de bureau ou un appareil portable. En résumé, le sondage nous présente un vaste éventail de points de vue qui nous permettent de tirer des conclusions intéressantes au sujet du paysage de la cybersécurité au Canada.

À propos des organisations

Alors que notre sondage s’adresse à différentes organisations, elles sont en activités pour la plupart depuis un certain temps, puisque 56 pour cent ont déclaré être en affaires depuis plus de 20 ans. 59 pour cent des entreprises interrogées ont déclaré faire des affaires au Canada seulement.

Les organisations du secteur privé représentaient 67 pour cent de l’échantillon, alors que les organismes publics ou à but non lucratif constituaient 33 pour cent de celui-ci.

Alors que la cybersécurité est maintenant un sujet d’actualité (pour le meilleur ou pour le pire), nous souhaitions creuser plus loin pour découvrir la façon dont les organisations se préparent à relever le défi que leur présentent les pirates, les voleurs et les espions étrangers de ce monde.

Confiance à l’endroit des vendeurs

Si vous avez un enfant qui fréquente l’école, à moins qu’il ne s’agisse de la prochaine Bianca Andreescu, vous devriez commencer dès maintenant de tenter de manière pas très subtile de l’orienter vers un emploi dans le domaine de la cybersécurité. Dans un rapport publié en 2018 par Deloitte, on déclarait qu’on allait devoir doter 5 000 emplois dans le domaine de la cybersécurité au Canada entre 2018 et 2021 et que les organisations de partout au pays font des pieds et des mains pour combler ce vide.

Cela signifie naturellement que, pour l’instant, l’impartition restera un élément central dans le domaine de la cybersécurité. Une telle situation reflète également le fait que dans plusieurs organisations, on juge peut-être qu’il n’est pas nécessaire d’investir une ressource à temps complet dans la cybersécurité; alors que le temps et l’effort nécessaires pour se tenir au fait des plus récentes menaces débordent généralement d’un emploi à temps partiel.  

Dans notre échantillon, 68 pour cent des gens s’en remettaient, entièrement ou en partie, à des ressources externes, alors que 20 pour cent déclarent qu’ils confient tous leurs besoins en matière de cybersécurité à des fournisseurs de l’extérieur. À peine 31 pour cent ont reconnu faire exclusivement appel à leurs ressources internes. Cela souligne à quel point il est important de comprendre l’empreinte de sécurité de votre fournisseur de services gérés et d’assurer qu’il dispose d’un ensemble complet de solutions en matière de cybersécurité.

Pour avoir une idée plus juste du niveau d’engagement de notre échantillon dans le domaine de la cybersécurité, nous avons demandé combien de gens au sein de leur organisation travaillent en technologie de l’information. La réponse la plus fréquente, dans une proportion de 29 pour cent, était de 2 à 5 employés. Il est intéressant de constater, lorsqu’on répartit ces chiffres entre les organisations publiques et privées, que la différence est vaste. Alors que les organisations privées comptent habituellement de 1 à 5 employés dont la responsabilité première concerne la TI, les organisations publiques en ont souvent 30 ou plus.

Lorsque nous nous sommes intéressés à la cybersécurité, les chiffres nous ont appris, une fois de plus, que les organisations privées comptent entre un et cinq employés responsables de cet aspect. Cela nous porte à croire que, de façon générale, tous les employés en TI sont au moins en partie responsables de la cybersécurité au sein des organisations privées. Dans les organisations publiques, au contraire, la moyenne baisse considérablement, alors que le nombre de répondants ayant répondu « plus de 50 » est passé de 39 pour cent pour les employés de TI à 15 pour cent seulement pour les spécialistes de la cybersécurité. En conclusion, on semble dire que si vous comptez un plus grand nombre d’employés, vous pouvez vous permettre de vous spécialiser, mais dans les entreprises plus restreintes, tout le monde doit mettre la main à la pâte.

Manque de ressources

La principale raison que les répondants ont évoquée pour n’avoir aucun employé s’occupant strictement de cybersécurité concernait le recours à des entrepreneurs de l’extérieur (51 pour cent). Cependant, sachant qu’il est important de détenir un savoir institutionnel des cybermenaces et des facteurs de risque au sein de l’organisation, nous étions étonnés de constater que 43 pour cent ont déclaré ne pas avoir les ressources nécessaires pour affecter un employé exclusivement à la cybersécurité.

Cela représente une augmentation considérable par rapport à l’an dernier, alors que 27 pour cent des répondants ont présenté le manque de ressources comme un obstacle et, lorsqu’on se limitait aux entreprises comptant 50 appareils ou plus, le nombre, par rapport à l’an dernier, a glissé encore davantage pour s’établir à 11 pour cent. L’augmentation de la demande (et, par conséquent, du coût) de ressources internes explique peut-être la sensibilisation accrue des gens à la cybersécurité qui représente une fonction essentielle des entreprises. Une telle situation reflète peut-être également le désir des équipes de TI plus vastes de maintenir leurs ressources internes axées sur leurs utilisateurs et de confier la cybersécurité à des experts de l’extérieur.

43 pour cent des répondants ayant déclaré qu’ils ne faisaient appel à aucun spécialiste en matière de cybersécurité ont invoqué le manque de ressources.

Cette proportion représente une augmentation de 11 pour cent par rapport à l’an dernier.

Formation

La cybersécurité va bien au-delà du service de TI et des outils qu’il utilise. Chaque utilisateur, chaque employé et chaque entrepreneur ont un rôle à jouer lorsqu’il s’agit d’assurer la sécurité d’une organisation. Ceci étant dit, nous avons posé à nos répondants quelques questions au sujet de la formation de sensibilisation à la cybersécurité.

Premièrement, nous leur avons demandé le nombre d’organisations qui offrent à leurs employés une forme ou une autre de formation de sensibilisation à la cybersécurité. En tout, 87 pour cent des répondants ont précisé que leur employeur offrait une forme quelconque de formation. Il est intéressant de constater que ce nombre était identique pour les organisations privées et publiques. Cependant, à peine 41 pour cent ont déclaré que tous les employés étaient tenus de suivre la formation.

Il n’est pas nécessaire d’évoluer dans le domaine de la TI ou même d’utiliser un ordinateur de bureau régulièrement pour cliquer sur un mauvais lien ou insérer une clé USB dans un portable sans réfléchir aux conséquences, alors qu’une formation de qualité a démontré qu’elle améliorait la sécurité.

Seulement 41 pour cent ont déclaré que tous les employés étaient tenus de suivre la formation

Nous avons ensuite cherché à obtenir plus de détails à savoir si la formation nous amène précisément à comprendre si les organisations investissent dans de nouvelles méthodes et dans des outils plus sophistiqués.

De ceux qui ont reconnu avoir suivi un certain genre de formation de sensibilisation à la cybersécurité au travail, à peine 21 pour cent ont déclaré qu’ils utilisaient une plate-forme intégrée pour la formation, l’hameçonnage et la préparation des rapports, alors qu’un nombre tout aussi élevé d’individus ont répondu qu’ils réalisaient des simulations d’hameçonnage autonomes. À peine 50 pour cent ont reconnu avoir créé et distribué leur propre matériel de formation interne, ce qui pourrait suffire s’ils possèdent les compétences à l’interne pour le faire. Pour offrir une formation interne de manière efficace, les responsables de la TI doivent connaître plus que les simples pratiques exemplaires en matière de cybersécurité. Ils doivent également connaître la façon dont la majorité de leurs effectifs – adultes non techniques – apprennent et retiennent les notions apprises.  Cette expertise ne repose pas uniquement sur les pratiques exemplaires, mais également sur la façon d’enseigner aux adultes non techniques qui constituent la base de leurs effectifs.

Aimez-vous la pizza? Nous en raffolons, alors que 36 pour cent des répondants ont révélé que leur formation se limite à des ateliers du type dîner-causerie. La pizza gratuite est un moyen formidable d’attirer les gens, mais il est peu probable que la plupart des gens présents aient été attirés par leur désir de se protéger des réseaux de zombies, alors que nous estimons que d’ici quelques semaines (au plus), les participants auront oublié ce qu’ils ont appris.

Tous ceux qui ont occupé un emploi dans le domaine des services alors qu’ils étaient adolescents ont probablement un vague souvenir de ce qu’on présente le premier jour d’une formation sur le SIMDUT. Où se trouve le poste de lavage des yeux? Quelles précautions dois-je prendre lorsque je manipule de l’eau de javel? Quels produits chimiques sont susceptibles d’exploser? Et autres choses du genre. Alors que la nature de l’eau de javel ne varie que peu dans le temps, la cybersécurité évolue de jour en jour. C’est la raison pour laquelle nous avons demandé aux répondants de nous donner la fréquence de leur formation de sensibilisation à la cybersécurité.

Nous sommes généreux en disant que 22 pour cent des répondants ont donné une fréquence qui pourrait sembler vigilante – c’est-à-dire une fois par mois ou mieux. Alors que 76 pour cent ont déclaré que leur formation de sensibilisation à la cybersécurité avait lieu une fois tous les trimestres ou moins souvent, 40 pour cent ont affirmé qu’elle se tenait une fois par année ou moins, ce qui suffit à peine pour suivre les mêmes à la mode et encore moins les pirates.

En quoi consiste l’impact de la formation de sensibilisation à la cybersécurité? Compte tenu du rythme d’évolution des cybermenaces, une vigilance constante doit avoir un impact, n’est-ce pas? Nous avons demandé à des répondants de nous décrire la façon dont ils mesuraient l’impact de la formation de sensibilisation à la cybersécurité. En tout, 46 pour cent ont déclaré qu’ils suivaient les résultats de leur formation et les cotes de risque dans le temps. Ce genre de suivi permet aux gestionnaires de la TI de voir en temps réel si leurs efforts ont un impact sur leur comportement. En termes d’impacts nets, 27 pour cent ont déclaré qu’ils avaient économisé du temps, alors que 25 pour cent ont répondu que cette formation leur avait permis de réduire les coûts liés aux incidents de sécurité.

En tout, 96 pour cent des répondants ont déclaré que la formation et la sensibilisation à la cybersécurité contribuaient quelque peu à réduire les incidents ou les comportements à risque en ligne. Il semblerait, alors que les organisations offrent de plus en plus de formation, qu’il reste certains défis à relever lorsque vient le temps de mesurer avec confiance le degré de succès et la rentabilité de leurs efforts de formation. Il n’y a rien d’étonnant à cela, puisque la majorité de nos répondants suivent une formation interne et participent à des dîners-causeries sans l’aide d’une plate-forme Web entièrement intégrée.

96 pour cent des répondants ont déclaré que la formation et la sensibilisation à la cybersécurité contribuaient quelque peu à réduire les incidents.

Enfin, la réponse la plus fréquente quant à la raison pour laquelle une organisation n’offre pas de formation de sensibilisation à la cybersécurité se résumait aux ressources humaines insuffisantes (44 pour cent) et à l’incertitude en ce qui concerne l’approche idéale (32 pour cent).

Alors qu’on peut présumer que ces répondants ont vu une certaine valeur dans la formation, 36 % des répondants qui ne suivent aucune formation n’envisagent pas de le faire pour l’instant, ne le font pas, parce qu’une formation antérieure ne leur a rien rapporté ou simplement parce qu’ils ne croient pas à l’utilité d’une formation. Même si de plus en plus d’entreprises offrent de la formation, il reste encore une tonne de travail à faire dans le domaine de la cybersécurité lorsque vient le temps d’apprendre la valeur de … l’apprentissage.

Réaction des organisations

Nous avons réuni plusieurs des services de cybersécurité plus récents, ou peut-être moins utilisés, pour voir si les organisations les adoptent pour les aider à atténuer les menaces. Tout au haut de la liste, on a le déploiement de DNS Firewalls à 57 %, les gestionnaires de mots de passe à 51 % et la formation sur la sécurité à 41 %. Au bas de la liste, même si leur nombre est considérable, on a l’utilisation d’un système d’information de sécurité/gestion d’évènement (SIEM) à 27 %, l’impartition à un fournisseur de services de sécurité gérés (MSSP) à 25 % et une assurance de cybersécurité à 25 %. Ce sont là toutes des industries qui connaissent une forte croissance et leur nombre démontre un potentiel impressionnant d’une croissance encore plus grande. 

L’ACEI offre des services de cybersécurité dans trois domaines clés.  Le premier est un service DNS secondaire global, alors que le deuxième est un DNS Firewall et le troisième, une formation de sensibilisation à la cybersécurité. Nous avons donc posé naturellement quelques questions dans ces domaines.

Formation sur la cybersécurité 

En raison de l’expansion des organisations, elles tendent à estimer des chiffres qui semblent bien plus aléatoires lorsqu’on parle du nombre de cyberincidents (c’est-à-dire tout, allant d’une intrusion à un cas mineur de déni de service distribué (DDoS).  Cela nous porte à croire que les organisations n’assurent pas un suivi précis du nombre d’incidents auxquels ils font face, parce que celles qui comptaient moins d’employés affectés à la TI avaient une meilleure idée des chiffres que celles où la TI occupe davantage d’employés. Ceci étant dit, les moyennes nous ont appris des choses étonnantes.

Les organisations comptant moins de 1 000 utilisateurs* ayant déclaré offrir une formation intégrée de sensibilisation à la cybersécurité basée sur un apprentissage informatique et sur la simulation de l’hameçonnage ont déclaré une diminution dans une proportion de 2,2 des incidents qui touchaient les utilisateurs des ordinateurs de bureau. Cette donnée est conforme à notre propre analyse du service de formation de sensibilisation à la cybersécurité à l’ACEI qui a révélé une diminution du tiers des utilisateurs qui ouvrent les courriels d’hameçonnage lorsqu’ils utilisent une plate-forme (rappelez-vous qu’un mauvais clic n’aura pas toujours de conséquences problématiques). En s’engageant à offrir une formation de sensibilisation, on peut s’attendre évidemment à une diminution des problèmes.

D’après une de nos hypothèses, les organisations qui font preuve de maturité dans leur façon d’offrir la formation peuvent avoir également le même degré de maturité en ce qui concerne les autres outils de cybersécurité avancée qu’ils déploient, ce qui pourrait fausser les données. Nous avons été étonnés de constater que ceux qui ont dit recourir à la simulation d’hameçonnage n’utilisaient pas d’autres nouveaux outils de cybersécurité dans une proportion plus élevée que ceux qui n’en utilisaient pas. Lorsqu’on utilise le terme « nouveaux », on parle d’outils, comme les gestionnaires de mot de passe SIEM, les pare-feux en nuage, la cyber assurance, etc. Les 154 organisations ayant répondu qu’elles ne s’adonnaient pas aux simulations d’hameçonnage ont déclaré qu’elles utilisaient 858 des nouveaux outils. Les 188 qui ont répondu qu’elles simulaient l’hameçonnage ont également déclaré qu’elles utilisaient 873 nouveaux outils.

DNS firewall

Un DNS Firewall est un type de filtre de protection contre les maliciels et l’hameçonnage qui se trouve à l’extérieur de l’organisation et qui empêche les utilisateurs et les réseaux de zombies d’accéder au contenu malicieux. Il constitue un niveau de sécurité utile lorsqu’il fait appel à la science des données uniques pour bloquer une menace différente de celles qui alimentent les autres couches (comme l’antivirus, un pare-feu traditionnel, etc.).

Lorsqu’on le compare à la formation, le blocage du contenu à la couche DNS représente une catégorie plus évoluée, alors que 62 % des organisations ont déclaré le faire spécifiquement avec un tiers fournisseur (plutôt que de bloquer le pare-feu au moyen de l’URL).

En établissant une corrélation entre ceux qui utilisent un DNS Firewall et le rapport d’incident, nous avons constaté que les gens qui utilisent un DNS Firewall ont signalé 16 % moins d’incidents sur leurs ordinateurs de bureau. Une fois de plus, cette analyse basée sur des variables multiples a permis aux organisations de bénéficier des différents outils disponibles, mais nous nous sommes attardés aux ordinateurs de bureau, puisqu’une couche DNS exerce évidemment un impact plus élevé sur cette couche. Lorsqu’un réseau de zombies s’infiltre dans un ordinateur de bureau pour rejoindre ultimement les serveurs ou les bases de données, il se peut qu’on ne puisse découvrir le vecteur original.

Les organisations qui ont indiqué avoir suivi une formation intégrée à la sensibilisation à la cybersécurité ont signalé une réduction de 2,2 fois du nombre d’incidents ayant eu un impact sur les utilisateurs d’ordinateurs de bureau.*.

*Les organisations comptant moins de 1 000 utilisateurs 

Impacts des attaques

Peu importe le degré de préparation, la quantité de ressources ou le niveau de vigilance, elles ne peuvent contrer pleinement les cyberattaques. Nous nous efforçons depuis un siècle de rendre les routes plus sécuritaires, ce qui n’empêche pas les accidents de survenir par milliers tous les jours. Il en est de même de la cybersécurité.

Ainsi, dans quelle mesure le problème est-il répandu?

37 % des organisations ont déclaré ne pas connaître le nombre de cyberattaques qu’elles ont dû repousser l’an dernier – ce qui est probablement 73 % inférieur à la réponse véritable. Il est formidable que, dans l’ensemble, les gens dans le domaine de la TI sachent qu’il est difficile d’estimer ce qui arrive dans une telle zone grise lorsque leur tâche consiste à atténuer les risques. De ceux qui ont essayé d’estimer le nombre d’attaques, 18 % en ont vécu 10 ou plus, alors que 11 % n’en ont subi aucune.

Il est bien d’estimer le nombre d’attaques, mais il est encore plus important de savoir combien en ont subi les impacts. La proportion moyenne d’attaques ayant entraîné un impact s’élève à 19 %.  33 % ont répondu qu’ils ignoraient combien d’attaques ont atteint l’organisation; 6 % ont précisé qu’ils avaient été touchés par 10 menaces ou plus, alors 29 % n’ont signalé aucun impact attribuable aux cybermenaces.

Lorsque nous pensons à l’impact d’une cyberattaque, nous nous intéressons souvent aux coûts financiers directs, mais qu’en est-il des coûts indirects? Pour en apprendre davantage, nous avons demandé aux répondants de nous décrire l’impact de ces attaques sur leur organisation.

Même si 30 pour cent ont déclaré que l’incident était mineur (alors qu’ils n’avaient observé que peu ou pas d’impact), les principales conséquences comprenaient le temps utilisé par les employés pour réagir à l’attaque (28 pour cent), l’incapacité des employés de vaquer à leurs occupations régulières (28 pour cent) et l’impossibilité d’utiliser les ressources ou les services (28 pour cent). Tous ces impacts entraînent des coûts indirects sur le plan monétaire et au niveau de la productivité. 13 % de plus ont déclaré que l’attaque avait nui à leur réputation. Cette perception fait tout un contraste avec les constatations que renferme le récent rapport: de l’ACEI intitulé Les Canadiens méritent un meilleur Internet, dans lequel on précise qu’à peine 19 pour cent des Canadiens entretiendraient leur lien d’affaires avec une organisation si leurs données personnelles avaient été exposées à une cyberattaque.

En réaction à une cyberattaque, nos répondants ont affirmé qu’ils allaient pour la plupart obliger les employés à suivre une formation sur la cybersécurité (57 pour cent). Il s’agit là d’une augmentation par rapport à l’an dernier, alors qu’à peine 44 pour cent des répondants comptant au moins 50 appareils au sein de leur organisation abondaient dans le même sens. Nous savons que plus de 90 pour cent de toutes les cyberattaques surviennent lors du même genre d’intervention de la part des utilisateurs, de sorte qu’il est toujours judicieux de les sensibiliser davantage aux cybermenaces.

48 pour cent des répondants ont opté pour une vérification de sécurité (en hausse par rapport à 37 pour cent l’an dernier), alors que l’installation d’un nouveau logiciel a chuté (passant de 50 à 46 pour cent) pour le même groupe l’an dernier.

Dans l’ensemble, 56 pour cent des répondants ont affirmé qu’ils étaient plus préoccupés par les perspectives d’éventuelles cyberattaques. Cela n’est pas étonnant, compte tenu de la fréquence des fuites de données à fort impact qui ont entraîné des coûts extrêmement élevés l’an dernier au Canada.

Pour atténuer ce risque futur, 45 pour cent des répondants prévoient consacrer davantage de ressources humaines à la cybersécurité d’ici les 12 prochains mois. Il s’agit là d’une augmentation par rapport à l’an dernier, alors que 35 pour cent des répondants comptant au moins 50 appareils au sein de leur organisation ont répondu qu’elles prévoyaient accroître leurs ressources humaines.

45 pour cent de plus ont déclaré que leurs ressources resteront inchangées, tandis que cinq pour cent prévoient une diminution.

En termes de ressources financières, 54 pour cent ont répondu que leur organisation allait investir davantage dans la cybersécurité l’an prochain. Il s’agit là d’une augmentation dramatique par rapport à 35 pour cent qui ont répondu en ce sens l’an dernier.

54% des répondants s’attendent à dépenser davantage en ressources de cybersécurité l’année prochaine.

Alors que la protection des renseignements personnels des clients constitue la raison ultime qui justifie l’augmentation des ressources consacrées à la cybersécurité (59 pour cent), il est intéressant de souligner que le respect des lois et des règlements se situe encore loin dans la liste (malgré qu’il soit en hausse par rapport à l’an dernier).

Environnement réglementaire

Un aspect a évolué considérablement au cours des quelques dernières années et il s’agit de l’environnement réglementaire des entreprises et des organisations. Le règlement général sur la protection des données (RGPD) de l’Union européenne et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada ont encore des répercussions dans le domaine de la cybersécurité. Alors qu’on se retrouvera inévitablement avec un nombre croissant d’acronymes dans le domaine de la protection des renseignements personnels, nous voulons demander aux organisations de nous décrire l’impact que l’environnement réglementaire a eu sur elles.

Alors que les entreprises ne sont pas toutes touchées par le RGPD de l’UE, dans un monde axé sur le commerce et sur les échanges à l’échelle planétaire, il n’est pas nécessaire qu’une entreprise soit située sur un territoire donné pour qu’elle soit touchée.

De façon générale, 49 pour cent des répondants connaissaient le RGPD. Au sein des organisations qui comptent au moins 50 appareils, il s’agit là d’une augmentation par rapport à 44 pour cent l’an dernier. Ces chiffres n’ont rien d’étonnant, puisque la majeure partie de nos répondants exercent leurs activités exclusivement au Canada.

De même, à peine 26 pour cent ont reconnu qu’ils apportaient des changements en raison du RGPD. Ce nombre est plus élevé que l’an dernier, alors qu’à peine 17 pour cent des entreprises comptant 50 appareils ou plus ont déclaré qu’elles modifiaient leur présence en ligne ou leurs pratiques exemplaires en lien avec le RGPD. Il semble qu’un plus grand nombre d’entreprises canadiennes réalisent que d’autres systèmes de réglementation risquent de s’appliquer si elles ont des clients à l’extérieur du Canada.

Plus près de chez nous, des changements importants sont entrés en vigueur en novembre dernier en raison de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le changement le plus important concerne les règles de divulgation obligatoire des cas d’infractions, ainsi que les amendes possibles en cas de non-respect.

La LPRPDE porte directement sur les responsabilités des organisations non publiques en matière de divulgation des cas de violation de renseignements personnels. 

De façon globale, 69 pour cent des répondants connaissaient la LPRPDE, ce qui est intéressant. Que vous vous situiez au-dessous ou en dessous de ce pourcentage, le fait demeure que toutes les organisations canadiennes devraient connaître la LPRPRD, même s’il s’agit simplement de comprendre qu’elle ne vous concerne pas. Dans l’économie moderne, pratiquement toutes les organisations privées possèdent des données qui sont régies par la LPRPDE, que ces données concernent les clients, les fournisseurs, les employés ou les vendeurs. Ce nombre est pratiquement identique à ce qu’il était l’an dernier, alors que 70 pour cent des répondants possédant plus de 50 appareils ont donné la même réponse.

Malheureusement, à peine un peu plus de la moitié des répondants (57 pour cent) étaient au courant des exigences de la LPRPDE en matière de divulgation obligatoire (rappelez-vous bien cette donnée). Alors que ce pourcentage est supérieur à ce qu’il était l’an dernier (50 pour cent pour des organisations comptant plus de 50 appareils), il est également préoccupant qu’une divulgation soit assortie de telles conséquences.

De façon globale, 53 pour cent des répondants se disaient préoccupés par les récents changements apportés à la LPRPDE, ce qui peut influencer l’impact, sur les entreprises, des exigences plus strictes de la loi en matière de gouvernance des données. À cet égard, 64 pour cent des répondants ont précisé qu’ils stockaient les renseignements personnels de leurs clients, employés, fournisseurs, vendeurs ou partenaires sur leurs systèmes. Cependant, il semble probable que ce nombre soit plus élevé. Qui ne dispose pas de données au sujet de ses employés dans un fichier quelque part? Même les organisations qui s’en remettent aux vendeurs de nuages ne sont pas épargnées, puisque même si vous demandez à une autre entreprise de stocker vos factures ou les dossiers de vos patients, vous êtes quand même responsable de toute violation chez ce fournisseur OU en raison (par exemple), des mots de passe faibles que vos employés utilisent peut-être.

Seulement 57% des répondants savaient que la LPRPDE prévoyait désormais des exigences obligatoires en matière de divulgation des infractions.

Dans quelle mesure les données personnelles sont-elles protégées? Eh bien, 42 pour cent des répondants ont affirmé n’avoir fait l’objet d’aucune violation de données l’an dernier. Les organisations ayant déclaré avoir fait l’objet de tels incidents ont fait état de cinq violations au cours de la dernière année. L’aspect de cette réponse qui nous plaît le moins consiste dans ce que 40 % ont déclaré qu’ils ignoraient qu’ils avaient été victimes d’une violation – pour faire preuve d’honnêteté intellectuelle, il s’agit probablement de la bonne réponse à une question sur la cybersécurité.  Les attaques à la cybersécurité et les violations sont de parfaits exemples d’une « inconnue connue ».

Et là où le bât blesse… souvenez-vous des 43 pour cent de répondants qui ignoraient les exigences relatives aux atteintes aux mesures de sécurité dans la LPRPDE. Eh bien, de ceux qui ont fait les frais d’une violation l’an dernier, à peine 58 pour cent l’ont signalée à un organisme de réglementation. Il existe évidemment des exceptions à la LPRPDE, mais il semble très probable que certaines violations ne soient pas déclarées. Cela pose un problème.

La situation va en se détériorant à partir d’ici. À peine 48 pour cent seulement en ont informé leurs clients; 40 pour cent ont avisé la direction et 21 pour cent leur conseil d’administration. Au cas où vous vous posez la question, il s’agissait d’un sondage anonyme et, alors que nous n’oserions jamais de la vie miner la confiance des gens en divulguant les noms des répondants, nous ne pouvions le faire, de toute façon, parce que nous ne les connaissions pas. Le fait que 37 pour cent des répondants aient déclaré que la violation d’une loi reflète la triste réalité avec laquelle plusieurs entreprises doivent composer, la police se retrouve avec les mains liées dans bien des cas. Il n’est un secret pour personne que la grande majorité des cybercrimes restent non déclarés, parce que l’ampleur véritable du problème est bien pire.

Parmi les organisations qui ont subi une violation de données, seules 58% en ont parlé à un organisme de réglementation; 48% ont informé leurs clients; et seulement 21 pour cent ont dit à leur conseil.

Souveraineté des données

En quoi consiste la souveraineté des données de toute façon? À la base, la souveraineté des données consiste à s’assurer que vos données, l’infrastructure de TI et le trafic sur le réseau ne dépassent pas les frontières de notre pays, dans la mesure humainement possible. Dès l’instant où vos données se retrouvent de l’autre côté de la frontière, elles sont régies par les lois du pays en question – et par des politiques dont vous n’auriez jamais cru qu’elles existaient (pensez à Snowden).

Plusieurs Canadiens ignorent qu’une partie de l’infrastructure du réseau canadienne achemine les données en passant par les États-Unis pour rejoindre une autre destination au Canada. Ce même que vous avez adressé à votre ami à Windsor à partir de votre condo situé à Hamilton pourrait très bien emprunter plus d’une plate-forme Internet aux É.-U. avant d’arriver à destination.

Il existe, à l’échelle nationale, de nombreux avantages au fait de se doter d’une infrastructure solide qui contribue à conserver les données au Canada, sans compter qu’une telle mesure donne un coup de pouce incroyable à votre empreinte sur le plan de la cybersécurité en plus de réduire vos facteurs de risque.

Sachant cela, nous avons demandé à des répondants s’ils étaient préoccupés par la circulation des données traversant d’autres territoires. En tout, 69 pour cent se sont dits préoccupés, alors que 32 pour cent ont répondu qu’ils étaient très préoccupés. Ces deux statistiques sont en hausse par rapport à l’an dernier, puisqu’à peine 55 pour cent se disaient préoccupés et 19 pour cent très préoccupés au sein des organisations comptant plus de 50 appareils.

Alors que 57 pour cent des répondants ont reconnu qu’ils confiaient leur réseau ou leur infrastructure de TI à des fournisseurs de l’extérieur, 83 pour cent ont déclaré qu’ils avaient recours à des entreprises canadiennes seulement.

Alors que l’engagement à acheter au Canada est évident, il est important de se rappeler que rien ne garantit qu’une entreprise canadienne ne continue pas d’exploiter des infrastructures situées à l’extérieur du Canada. Il est préférable de vérifier afin de déterminer précisément où vos données sont hébergées, acheminées et si une infrastructure en nuages s’accompagne d’une présence canadienne.

Dans le cadre de notre mandat qui vise à bâtir un meilleur Canada en ligne, l’ACEI voit l’utilisation sûre et sécuritaire de l’Internet comme un pilier majeur de notre responsabilité à l’endroit des Canadiens. Depuis qu’elle a plongé dans l’univers de la cybersécurité il y a plus de quatre ans, l’ACEI n’a jamais cessé d’étendre son empreinte dans cet espace, alors que s’accroît la menace à laquelle les entreprises, les organisations et la population canadiennes se retrouvent confrontées.

Le deuxième sondage annuel sur la cybersécurité de l’ACEI vise à présenter un aperçu clair du paysage canadien sur le plan des menaces et d’en apprendre davantage sur la façon dont les entreprises composent avec la situation.

Par conséquent, quelles leçons a-t-on tirées?

La formation améliore les choses, mais nous devons en faire plus

Alors que plusieurs couches techniques sont venues s’ajouter aux problèmes de sécurité depuis longtemps, l’aspect humain a toujours été LE maillon faible. Nous savons que plus de 90 pour cent de toutes les cyberattaques naissent d’un geste posé par un utilisateur. L’éducation occupe une place essentielle et le service de TI n’est désormais plus le seul qui doit savoir.

La bonne nouvelle… les entreprises canadiennes semblent en train de reprendre le temps perdu. D’après notre sondage, 87 pour cent des répondants ont précisé qu’une forme quelconque de formation et de sensibilisation à la cybersécurité était offerte au sein de leurs organisations.

La mauvaise nouvelle est, dans bien des cas, que la formation est inadéquate. Les cybermenaces ne cessent d’évoluer et les personnes mal intentionnées peaufinent continuellement leurs techniques. Ceci étant dit, nous avons constaté qu’à peine 41 pour cent obligent tous les employés à suivre cette formation, alors que 22 pour cent l’offrent une fois par mois ou plus souvent.

Alors qu’une incertitude demeure quant à la façon de mesurer l’efficacité de la formation de sensibilisation à la cybersécurité, la plupart des répondants croient qu’elle fonctionne et que les nouvelles ne peuvent qu’être bonnes alors que nous nous attaquons à la menace actuelle qui guette la cybersécurité.

On ne comprend encore pas vraiment l’importance de la divulgation

Alors que nous savons maintenant tous ce qu’est la cybersécurité, plusieurs organisations n’ont toujours pas trouvé le moyen de communiquer la menace à leurs intervenants. Alors qu’une intrusion physique, une inondation dans un centre ou un conflit de travail sont tous des risques visibles qui sont faciles à communiquer, plusieurs organisations, lorsqu’elles sont victimes d’une cyberattaque, ignorent la manière de réagir. Nous avons constaté, malgré les nouvelles exigences en matière de divulgation que renferme la LPRPDE, qu’à peine 58 pour cent des gens qui ont fait les frais d’une violation de données, en ont informé un organisme de réglementation. Seulement 48 pour cent en avaient informé leurs clients et 21 pour cent l’avaient portée à l’attention de leur conseil d’administration. Cette absence de divulgation entraîne la méfiance et, dans certains cas, des conséquences graves.

Il semble que les cyberattaques s’accompagnent toujours d’un stigmatisme, alors que tel n’est pas le cas des risques plus traditionnels auxquels les entreprises sont exposées. Au fur et à mesure que les entreprises comprendront la réalité voulant que les cybermenaces soient comparables aux menaces physiques (et qu’elles peuvent être bien pires dans bien des cas), elles commenceront à réaliser que la divulgation réduit effectivement le risque et les préjudices possibles en donnant davantage de visibilité au problème.

Les organisations s’adaptent, mais la menace persiste

Alors que la cybersécurité devient de plus en plus la règle, nous assistons à un élan positif au sein des organisations canadiennes qui s’adaptent à la menace. Les organisations canadiennes investissent dans la formation, dans les ressources et dans les solutions techniques dans le but de protéger leurs données et leurs clients.

Cependant, la menace n’est pas immuable, alors que nous constatons encore, dans les ressources et dans la formation, des lacunes qui demandent des solutions plus générales. À l’ACEI, nous faisons notre part pour remédier à ces lacunes. Nos solutions en matière de cybersécurité ont été créées précisément à l’intention du Canada. Notre expérience de plus de 20 ans dans la gestion des domaines .CA nous a permis de mettre notre expertise à profit en gérant et en protégeant le DNS de manière à créer des produits comme le DNS Firewall D-Zone, une couche primordiale de votre empreinte pour la cybersécurité.

En informant les gens sur les tendances et les données en matière de cybersécurité, nous espérons continuer d’accroître la capacité du Canada dans ce domaine – c’est-à-dire les connaissances, les gens et les solutions – pour nous assurer ainsi que notre Internet reste à la fois fort et libre.