CIRA réalise un sondage annuel auprès des décideurs canadiens responsables de la sécurité des technologies de l’information pour mieux comprendre comment ils font face aux cyberrisques. Le sondage de cette année, mené par le cabinet de recherche The Strategic Counsel en août, a recueilli les réponses de 500 professionnels des TI de partout au pays. Il s’agit ici du premier article de blogue d’une série de cinq pour 2022.
Une cyberattaque réussie peut semer le chaos dans les organisations canadiennes de toutes tailles, dans tous les secteurs. Lorsque les systèmes critiques dont elles ont besoin pour mener leurs opérations et servir leurs clients sont mis hors service, même pour de courtes périodes, les conséquences peuvent être importantes. Les efforts de récupération sont souvent coûteux et prennent beaucoup de temps, ce qui entraîne une perte de productivité et de revenus, et le coût des paiements de rançongiciels continue d’augmenter. Selon le sondage de CIRA sur la cybersécurité 2022, les organisations qui ont payé une rançon au cours de la dernière année ont généralement déboursé au moins 25 000 $.
La protection des données personnelles : une préoccupation majeure pour les organisations canadiennes
Mais aussi perturbateurs et dommageables que soient ces types d’attaques, il existe une autre menace, sans doute plus importante, à laquelle les organisations canadiennes doivent faire face aujourd’hui : la perte des données personnelles des personnes associées à l’organisation, qu’il s’agisse de clients, d’employés, de membres ou de donateurs.
Selon le sondage de CIRA, les deux tiers des organisations canadiennes affirment stocker les renseignements personnels de leurs clients, employés, fournisseurs, vendeurs ou partenaires. Parmi les organisations du secteur public et celles du secteur MUSH (les municipalités, les universités, les écoles et les hôpitaux), 74 % d’entre elles recueillent et stockent des renseignements personnels, tandis que la part dans le secteur privé est légèrement inférieure, se situant à 63 %.
De plus, un pourcentage étonnamment élevé d’organisations canadiennes, environ un tiers, affirment avoir subi une ou plusieurs violations de données de clients ou d’employés au cours de la dernière année, selon le sondage de CIRA.
Les violations de données sont mauvaises pour les affaires
Les personnes dont les renseignements personnels ont été compromis sont les principales victimes d’une violation de données, mais les retombées pour les organisations chargées de protéger ces données peuvent être graves et durables, en particulier en ce qui concerne la manière dont leur marque est perçue sur le marché.
Il est indéniable que les violations de données sont mauvaises pour les affaires. Une étude réalisée en 2020 par KPMG a révélé qu’une grande majorité de Canadiens, soit 84 %, hésitent à faire affaire avec des entreprises qui subissent une violation de données et envisageraient d’aller voir ailleurs. De plus, 90 % d’entre eux étaient réticents à partager leurs renseignements personnels ou financiers avec toute organisation ayant subi une violation de données.
Vous n’avez pas besoin de chercher très loin pour trouver des exemples d’organisations canadiennes de premier plan dont la réputation a pris un coup à la suite d’une violation de données.
Mouvement des caisses Desjardins
En 2019, le cabinet de services financiers Mouvement des caisses Desjardins a été victime d’une fuite de données qui a compromis les données personnelles de 4,2 millions de personnes ayant des comptes actifs. À la suite de cet incident, qui impliquait la vente de renseignements personnels de clients par un employé à un tiers, l’entreprise a été condamnée par la Cour supérieure du Québec à verser 200,9 millions de dollars à titre d’indemnités dans le cadre d’une action collective.
Agence du revenu du Canada
Le secteur public n’est pas non plus à l’abri de ces types d’incidents. En août 2020, l’Agence du revenu du Canada a repéré des activités suspectes survenues dans plus de 48 000 comptes d’utilisateurs au cours des semaines précédentes. Dans plus de 12 000 comptes, des renseignements personnels ont été divulgués et modifiés, y compris les renseignements sur le dépôt direct des utilisateurs.
Tim Hortons
Tim Hortons est une autre entreprise bien connue qui fait face à des actions collectives en raison de ses pratiques douteuses en matière de traitement des données. Selon une enquête conjointe menée par les autorités fédérales et provinciales en matière de protection de la vie privée, l’entreprise a enfreint les lois sur la protection de la vie privée en recueillant des données auprès de clients sans leur consentement alors qu’ils utilisaient l’application Tim Hortons. Alors que l’application demandait l’autorisation d’utiliser les services de géolocalisation sur les appareils mobiles des clients, l’entreprise a laissé croire aux utilisateurs que les renseignements ne seraient accessibles que lorsque l’application était en cours d’utilisation, ce qui n’était pas le cas.
Comment protéger votre organisation
Compte tenu de la perte de confiance des clients et des dommages durables à votre réputation qui pourraient en découler, il est essentiel de prendre des mesures pour protéger votre entreprise contre les cyberattaques pouvant entraîner des violations de données.
Familiarisez-vous avec la réglementation régissant la protection des données personnelles au Canada, qui se trouve dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cette loi s’applique à toute entreprise, grande ou petite, qui recueille et utilise les renseignements personnels de ses clients à des fins commerciales. Et bien que les organismes à but non lucratif ne soient généralement pas assujettis à la LPRPDE, ceux qui utilisent les données personnelles de leurs électeurs, donateurs ou membres à des fins commerciales doivent également respecter la réglementation.
Le CIRA DNS Firewall ajoute un niveau rentable et à faible entretien à votre empreinte de cybersécurité et peut aider à réduire le risque auquel s’exposent les renseignements personnels que vous recueillez au sein de votre organisation. En surveillant et en analysant votre trafic DNS, le CIRA DNS Firewall peut empêcher les sites Web malveillants d’atteindre vos employés, empêcher les maliciels et les attaques d’hameçonnage et réduire les chances qu’un pirate informatique ait accès à de précieux renseignements personnels.
Le lancement d’un programme efficace de formation en cybersécurité est une autre étape essentielle pour veiller à la sécurité des données personnelles recueillies par votre organisation. Pour en savoir plus, consultez ces conseils pour mettre en place une formation continue en cybersécurité.
Mark Brownlee est gestionnaire du marketing des produits pour les Services de cybersécurité de CIRA. Son travail, qui est axé sur les produits du CIRA DNS Firewall et du Bouclier canadien, vise à aider à protéger les personnes et les organisations au Canada contre les cybermenaces. Il est spécialisé dans la stratégie marketing, la planification des communications et les meilleures pratiques publicitaires.
- Courriel
- [email protected]
