Aller au contenu principal

Faits saillants du rapport sur la cybersécurité de 2020 de l'ACEI

  • Le nombre d'organisations qui prévoient consacrer davantage de ressources humaines à la cybersécurité au cours des 12 prochains mois ne cesse de diminuer, alors qu’un tiers prévoient le faire, ce qui représente une baisse par rapport à 45 % en 2019. 
  • Près de trois organisations sur 10 ont constaté un pic dans le nombre d’attaques pendant la pandémie.
  • Un peu moins que la moitié des organisations ont mis en place de nouvelles protections en matière de cybersécurité directement en réaction à la COVID-19.
  • Un quart des organisations ont été victimes d’une fuite de données de leurs clients et/ou leurs employés au cours de la dernière année. 38 % de plus ignorent si tel a été le cas.
  • Les organisations sont moins susceptibles qu’en 2019 d’aviser un organisme de réglementation d’une fuite de données, alors qu’à peine 36 % le font comparativement à 58 % l'an dernier.
  • Les décideurs sont divisés en ce qui concerne leur préoccupation face aux changements à la LPRPDE, alors que 54 % se disent préoccupés.

Introduction – La pandémie entraîne une hausse des problèmes liés à la cybersécurité et une lassitude face à la réglementation

Si vous aimez les films où le méchant gagne, vous allez probablement aimer l’année 2020. Face à la crise mondiale que suscite la COVID-19, les cybercriminels s’en donnent à cœur joie dans l'environnement actuel. Les télétravailleurs n’ont plus accès à la sécurité que leur offre le pare-feu de l'entreprise et le soutien technique à proximité, mais ils sont également plus anxieux et prêts à croire aux demandes frauduleuses qu’ils reçoivent par courriel ou dans le message sur les médias sociaux. Ainsi, alors que les entreprises doivent de plus en plus composer avec les risques que suscite la pandémie, elles se retrouvent confrontées en même temps au risque accu d’une augmentation du nombre de cyberattaques qui visent également à tirer profiter de cette pandémie.

Le décor de notre film « 2020 », c’est notre maison. Un sondage sur la cybersécurité que l’ACEI a réalisé en 2020 nous apprend que les deux tiers des travailleurs de la TI doivent travailler à la maison eux en raison de la COVID-19. Le télétravail forcé est encore plus répandu dans le secteur public, alors que 79 pour cent des employés dans le domaine de la TI travaillent chez eux comparativement à 60 pour cent pour les entreprises privées. En raison du télétravail, les travailleurs sont encore plus vulnérables aux attaques, puisque les réseaux Wi-Fi à la maison sont généralement moins sûrs que les réseaux des entreprises, et ce, pour différentes raisons.

La scène initiale commence par un barrage de cyberattaques. Trois répondants au sondage sur 10 ont constaté une augmentation du nombre de cyberattaques pendant la pandémie. Cela correspond aux observations de l’ACEI qui a constaté une augmentation de 39 pour cent du nombre de cybermenaces contre les clients dans le domaine des soins de santé qui utilisent sa plate-forme de sécurité pendant plus de 30 jours entre avril et mai, c'est-à-dire immédiatement après le début du confinement.

L’intrigue s’apprête à devenir encore plus sombre au cours des 12 prochains mois en matière de TI. Malgré qu’ils soient confrontés à un nombre croissant d’attaques dans un scénario difficile à confirmer, près d’un tiers seulement des travailleurs prévoient une augmentation des ressources humaines dans le domaine de la cybersécurité. Cela signifie une baisse par rapport à 45 pour cent qui prévoient une augmentation des ressources en 2019. Près d’un travailleur sur 10 prévoit disposer de moins de ressources pour l’aider à faire son travail.

Ce dénouement sort de nulle part. Ceux qui brandissent le marteau de la réglementation augmentent la pression chez les cyberacteurs. Les organisations commencent à manifester leur fatigue de la conformité, alors qu’on assiste à un nombre croissant de rapports faisant état de changements récents à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), malgré qu’il soit moins probable que l’an dernier qu’elles fassent état de violations de données. À peine 36 pour cent ont informé un organisme de réglementation après avoir été victimes d’une fuite de données, en baisse par rapport à 58 pour cent en 2019. De plus, 44 pour cent ont avisé leurs clients d’une fuite en 2020, comparativement à 48 pour cent en 2019.

Attendez avant de présenter le générique. Notre objectif, avec le sondage de 2020 sur la cybersécurité, est de donner un aperçu du cyberpaysage en cette période unique et difficile. Nous espérons faire ainsi la lumière sur la façon dont les entreprises canadiennes parviennent à résister et à composer avec la crise sur le plan de la sécurité de la TI.

Formation de sensibilisation à la cybersécurité pour les organisations

On dit souvent que l’être humain assis derrière le clavier représente le maillon le plus faible en matière de cybersécurité. Cet aspect est devenu encore plus important pendant la pandémie, alors que les travailleurs échoués à la maison doivent composer avec un nombre croissant de tentatives d’hameçonnage de la part de cybervoleurs. Le Centre canadien pour la cybersécurité nous met en garde à l'effet que les pirates profitent de la COVID-19 et de l’attention que suscite la situation actuelle. Les courriels, les pièces jointes et les sites Web malicieux ayant la pandémie pour thème sont fréquents. Le National Post nous apprend que les pirates ne font preuve d’aucune gêne dans leurs tentatives d’hameçonnage, alors qu’ils profitent de la pandémie en lançant des attaques offrant faussement une application de traçage des contacts liés à la COVID-19. Les utilisateurs anxieux d'appareils mobiles qui cherchaient à installer l'application d’alerte à la COVID diffusée par le gouvernement fédéral se sont plutôt retrouvés aux prises avec un rançongiciel.

Plus d’un quart des travailleurs dans le domaine de la TI déclarent que leur organisation a été victime d’un incident de sécurité ayant pour thème la COVID-19. En observant les données que nous recueillons parce que nous offrons notre Bouclier canadien et notre pare-feu DNS, nous pouvons affirmer que ces nouvelles menaces ne remplacent pas les anciennes, mais elles augmentent plutôt le nombre de vecteurs que les acteurs malicieux utilisent afin de cibler les organisations.

Pour contrer cette menace, les organisations adaptent les scénarios de télétravail en offrant une formation consacrée spécifiquement à la cybersécurité. Presque toutes (94 pour cent) les organisations déclarent offrir une formation de sensibilisation à la cybersécurité et presque la moitié (48 pour cent) affirment qu’elle est obligatoire, ce qui représente une augmentation de 41 pour cent en 2019. Parmi les sujets de formation populaires, mentionnons le télétravail sécuritaire, alors que 78 pour cent des répondants disent que cette formation est offerte par leur organisation. La formation sur la façon d’utiliser le logiciel de vidéoconférence, comme Zoom, est également fréquente, alors que 74 pour cent déclarent qu’elle est offerte. Cinquante-six pour cent des organisations offrent également à leurs employés une formation sur les cybermenaces qui sont spécifiquement liées à la COVID-19.

La manière dont on offre la formation semble également un peu différente en 2020. La méthode la plus répandue consiste à créer nous-mêmes un matériel de formation et à en faire la promotion à l’interne, alors que 57 pour cent déclarent en faire autant. Les simulations d’hameçonnage, alors que le service de la TI ou un tiers imite une tentative d’hameçonnage pour ainsi vérifier si l'employé mord à l’hameçon, sont plus populaires cette année, alors que 37 pour cent déclarent employer cette méthode comparativement à 21 pour cent en 2019. Près d'un tiers, des entreprises offrent toujours des ateliers à l'heure du dîner, soit autant qu’en 2019, mais nous imaginons qu’un nombre encore plus grand ont organisé des rassemblements virtuels.

C’est une chose que d’offrir de la formation. C’en est une autre que de le faire régulièrement. La plupart des organisations déclarent qu’elles n’offrent pas fréquemment de formation de sensibilisation à la cybersécurité, puisque 40 pour cent le font une fois l’an ou moins souvent, et près de la moitié le font une fois tous les trimestres. C’est peu, lorsqu’on sait que les travailleurs anxieux seront probablement victimes de cyberattaques quotidiennes ayant la COVID-19 pour thème alors qu’une erreur suffit pour qu’il y ait atteint à la sécurité. De plus, on ne compte plus les ressources éducatives qui soulignent l'importance cruciale de la répétition lors de la formation des apprenants adultes – un problème qu’une plate-forme de formation permet de résoudre.

Encore, presque tous les travailleurs de la TI (93 pour cent) croient que leur formation contribue à tout le moins légèrement à réduire le nombre d'incidents liés à la sécurité et les comportements à risque en ligne. Pour mesurer l'efficacité de la formation, 46 pour cent des gens ayant suivi une formation de sensibilisation à la cybersécurité déclarent surveiller les résultats et les cotes de risque dans le temps, alors que 42 pour cent déclarent chercher à réduire les coûts lors des incidents liés à la sécurité, et 42 pour cent s’intéressent également aux économies de temps lorsqu’il s’agit de répondre aux incidents liés à la sécurité.

Alors que plusieurs formateurs dans le domaine de la cybersécurité sont en mesure de collaborer à ces efforts, les répondants au sondage ont démontré qu’ils étaient peu au fait de leur existence.

Lorsqu’il est temps de choisir une plate-forme de formation, les travailleurs de la TI déclarent que les avis et les recommandations en matière de risque représentent les aspects les plus importants dont il faut tenir compte, alors que 39 pour cent déclarent que cet aspect présente une importance cruciale et 48 pour cent considèrent qu’il est relativement important. Le personnel de TI souhaite également des cours de formation modernes et de qualité (37 pour cent considèrent ces cours essentiels) et des simulations d’hameçonnage automatisées (36 pour cent considèrent qu’elles sont essentielles).

D’après le Centre antifraude du Canada, les télétravailleurs sont continuellement assaillis par des tentatives de fraude. Une alerte émise le 31 août révèle que les fraudes en cours concernant la COVID-19 visent les entreprises chargées de remplir les demandes pour la Prestation canadienne d'urgence (PCU), les organismes de bienfaisance non autorisés qui tentent de recueillir des dons, ainsi que les escrocs qui se font passer pour des autorités, comme le Center for Disease Control ou l'Organisation mondiale de la santé. Une première ligne de défense d’une organisation consiste à former ces employeurs afin qu’ils fassent preuve de vigilance face à ces efforts. Il est maintenant plus important que jamais de renforcer cette première ligne, compte tenu de l'augmentation du nombre d’attaques, de la vulnérabilité accrue des employés et, comme nous le verrons dans la section suivante, de l’impact négatif accru que produisent les attaques efficaces.

La réalité à laquelle les organisations sont confrontées de nos jours au Canada en matière de cybermenaces

La sphère d’influence de la TI au bureau était suffisamment limitée, alors que les employés ignorent la politique de sécurité et que l'adoption de la TI intégrée est fréquente. La TI exerce encore moins de contrôle, maintenant qu’un nombre de plus en plus grand de travailleurs travaille à partir du domicile. Par conséquent, les travailleurs de la TI se sentent davantage préoccupés par la cybersécurité en 2020.

Alors que les deux tiers des employés déclarent utiliser des appareils que leur a remis leur employeur, la moitié reconnaissent également qu’ils utilisent aussi leurs appareils personnels à l'occasion. Cette situation se manifeste dans les réponses au sondage, alors que cinquante-quatre pour cent des travailleurs dans le domaine de la TI se disent davantage préoccupés par les dommages qui pourraient résulter de cyberattaques futures cette année. Plus de quatre personnes sur 10 parlent de l’inquiétude que suscite l’empreinte et les politiques de sécurité de la TI de leur organisation en raison de la pandémie. 

Par conséquent, 52 pour cent affirment qu’on déploie davantage de mesures afin de protéger la cybersécurité en réaction à la COVID-19. Le choix le plus populaire en matière de nouvelles protections, dont plus précisément en réaction à la pandémie, concerne les nouvelles politiques (adoptées par 63 pour cent des gens) et les dispositifs de protection des appareils pour les télétravailleurs (60 pour cent). À tout le moins, certaines des nouvelles mesures de protection nouvellement déployées seront en place de manière permanente chez 91 pour cent des répondants.

On ajoute présentement d’autres niveaux de cybersécurité au-delà d’une réponse destinée précisément à la COVID-19. Près de six personnes sur 10 procèdent cette année au déploiement d’un réseau privé virtuel. La moitié déploient des pare-feu DNS en réaction à une augmentation du nombre de cybermenaces. Lorsqu’on leur demande s’ils disposent déjà d’un pare-feu DNS en nuage, tel le pare-feu D-Zone DNS de l’ACEI, 62 pour cent répondent par l’affirmative, en hausse par rapport à 42 pour cent en 2018. Parmi les organisations qui prévoient se doter de couches additionnelles face à l'augmentation du nombre de cybermenaces, 46 pour cent déploient des gestionnaires de mots de passe.

Les travailleurs de la TI déclarent qu’ils consacrent davantage de ressources à la cybersécurité pour la principale raison qu’ils souhaitent prévenir la fraude et le vol (c’est ce que déclarent 55 pour cent) et protéger la réputation de leur organisation (53 pour cent), ainsi que pour protéger les renseignements personnels des clients (52 pour cent).

Cette sécurité accrue permet ainsi de répondre non seulement à l'augmentation du nombre d’attaques, mais également d’éviter les impacts négatifs qui résultent de ces attaques. Au cours de la dernière année, huit organisations sur 10 ont été victimes d’au moins une attaque, alors que 21 pour cent déclarent qu’elles ont dû repousser plus de 10 attaques. De ceux qui ont été confrontés à ces attaques, 57 pour cent déclarent qu’au moins une a eu des répercussions négatives sur leur organisation. Les attaques qui ont porté fruit étaient susceptibles d’atteindre les infrastructures du réseau et les bases de données, alors que 86 pour cent y sont parvenues. De plus, 94 pour cent des attaques ont eu un impact négatif sur les ordinateurs de bureau et les appareils individuels et 80 pour cent touchaient les données des utilisateurs et des clients.

Les coûts liés à une attaque ont également eu un effet sur la productivité, alors que 30 pour cent ont déclaré que les attaques réussies ont empêché les employés d’effectuer leur travail habituel. Les attaques ont aussi entraîné une augmentation des amendes imposées par un organisme de réglementation chez deux fois plus de répondants qu’en 2019, alors que 14 pour cent ont déclaré que le nombre d’amendes a augmenté avec le temps comparativement à 7 pour cent l’an dernier et à peine 4 pour cent en 2018.

Pour relever les défis accrus que présentent la cybersécurité et les impacts négatifs plus graves, les services de la TI réagissent en formant leurs employés (61 pour cent ont répondu ainsi), en procédant à des audits de sécurité (dans 47 pour cent des cas) et en installant un nouveau logiciel (45 pour cent des répondants). On doute cependant que cette réponse suffise afin de faire face au risque accru. Nous avons déjà constaté que moins d'organisations prévoient augmenter leurs effectifs pour améliorer la cybersécurité. À peine 43 pour cent prévoient investir davantage de ressources dans la cybersécurité au cours des 12 prochains mois, une baisse par rapport à 54 pour cent qui prévoyaient procéder à une telle augmentation l'an dernier.

On craint que des conséquences négatives puissent résulter de la disparité entre le risque et les ressources. La priorité pour les travailleurs de la TI concerne les maliciels (comme les rançongiciels), alors que 57 pour cent déclarent que ceux-ci pourraient avoir l’impact négatif le plus profond à l’avenir. Cinquante-cinq pour cent déclarent que l’accès non autorisé, la manipulation ou le vol de données pourrait avoir le plus d’impact, mais 55 pour cent craignent également l’escroquerie et la fraude.

Pour observer ces risques, 64 pour cent des travailleurs prévoient surveiller le pare-feu, 44 pour cent prévoient surveiller la manière dont les employés utilisent leurs ordinateurs et l’Internet, alors que 41 pour cent prévoit procéder à des essais de pénétration. La moitié des organisations respecteront également une politique officielle en matière de correctifs.

Le portrait global fait état de ressources surutilisées en matière de TI et de travailleurs de la TI qui exercent moins d’influence sur les employés. La pression accrue exercée par les organismes de réglementation vient à son tour augmenter les tensions que suscite le scénario sur le plan de la cybersécurité. Nous avons constaté dans les résultats présentés dans cette section que deux fois plus d'entreprises déclarent une augmentation des amendes imposées par les organismes de réglementation ou par les autorités lorsqu’on compare à 2019, mais d’autres signes nous démontrent que le fardeau réglementaire est une source de fatigue chez les travailleurs.

Désir d’améliorer la souveraineté des données et la fatigue engendrée par les exigences réglementaires

Au Canada, les changements dont la LPRPDE a récemment fait l’objet augmentent la pression sur les entreprises qui vacillent sur le plan de la cybersécurité, exigeant ainsi des firmes qui sont aux prises avec une fuite de données qu’elles avisent le Commissaire à la protection de la vie privée dans bien des cas. Ce changement est survenu la première fois en 2018, l’année où les entreprises qui desservent les clients en Europe ont également dû commencer à se conformer au Règlement général sur la protection des données (RGPD) adopté par l'Union européenne. Nous constatons des signes qui nous apprennent que les entreprises trouvent plus difficile de se conformer aux règlements en raison des défis additionnels que suscite la pandémie.

Sept travailleurs sur 10 disent connaître la LPRPDE en général, alors que 59 pour cent savent que cette Loi exige maintenant des organisations commerciales qu’elles divulguent les fuites de données. Cette connaissance a augmenté, alors qu’elle se situait à peine à 42 pour cent en 2018, au moment où l’on a modifié la loi pour la première fois. Le Commissariat à la protection de la vie privée du Canada a publié des statistiques au sujet des fuites de données en octobre 2019, c'est-à-dire un an après avoir imposé cette exigence. Le Commissariat a reçu 680 rapports de fuites, ce qui est six fois plus qu’une année plus tôt, lorsque la production de ces rapports s’effectuait sur une base volontaire. Ce rapport nous apprend que 28 millions de Canadiens ont connu une fuite de données et que l’accès non autorisé était la cause la plus probable de ces fuites.

Il sera intéressant de constater ce à quoi ressemblent les données si le Commissariat publie une mise à jour portant sur sa deuxième année de déclaration obligatoire des fuites de données. La plupart des organisations enregistrent les renseignements personnels des clients, des employés, des fournisseurs, des vendeurs et des partenaires en 2020, alors que 66 pour cent déclarent le faire cette année comparativement à 59 pour cent en 2018. Un nombre légèrement plus élevé d'organisations ont été victimes de fuites de données au cours de la dernière année, alors qu’un quart déclarent avoir connu au moins une fuite comparativement à 15 pour cent il y a un an à peine. De plus, 38 pour cent reconnaissent ignorer s’ils ont fait les frais d’une fuite de données.

Malgré qu’un plus grand nombre d'organisations enregistrent des renseignements personnels et soient victimes de fuites, elles sont bien moins susceptibles de signaler une fuite de données aux autorités cette année. À peine 36 pour cent disent avoir signalé une fuite à un organisme de réglementation, en baisse par rapport à 58 pour cent qui ont fait un tel signalement en 2019. À peine 31 pour cent ont signalé une fuite de données à un organisme d'application de la loi, également en baisse par rapport à 37 pour cent l'an dernier. Quarante-quatre pour cent de celles qui ont subi une fuite de données disent en avoir informé leurs clients, en baisse par rapport à 48 pour cent l'an dernier. Les organisations sont plus susceptibles d’informer les gestionnaires et la haute direction d’une fuite de données, alors que la moitié l’ont fait cette année comparativement à 40 pour cent à peine l'an dernier. De même, 34 pour cent ont avisé leur conseil d'administration, en hausse par rapport à 21 pour cent il y a un an.

Les cas signalés de non-respect de la LPRPDE n’augurent pas bien pour l’avenir de la loi sur la protection des renseignements personnels au Canada. Si les sociétés en ont déjà assez des exigences plus strictes en matière de signalement des fuites de données et si elles sont prêtes à risquer de se voir imposer des amendes advenant qu’elles ne s’acquittent pas de leur responsabilité de produire un rapport plutôt que de subir le marteau assuré de la réglementation si elles produisent un rapport, la version modernisée à venir de la loi sur la protection des renseignements personnels pourrait être difficile à appliquer. Daniel Therrien, commissaire à la protection de la vie privée, a demandé aux gouvernements de mettre la LPRPDE à jour pour accorder à son bureau le pouvoir d’émettre des ordonnances, ce qui signifie qu’il pourrait imposer des amendes aux sociétés qui ne respectent pas la LPRPDE. À l'heure actuelle, le Commissariat doit traîner les organisations fautives devant la cour fédérale pour faire respecter la loi.

Le printemps dernier, le gouvernement fédéral publiait un document de discussion exprimant son intention d’accroître le rôle du Commissariat en matière de surveillance et d'application de la loi. Des efforts sont également en cours à l'échelle provinciale afin de consolider les lois commerciales sur la protection des renseignements personnels en Ontario et au Québec. Cinquante-quatre pour cent des travailleurs dans le domaine de la TI se disent préoccupés par les changements apportés cette année à la LPRPDE, ce qui est conforme au rapport de l'an dernier, mais en hausse par rapport à 38 pour cent qui ont exprimé cette préoccupation en 2018.

De nombreuses applications mobiles populaires ont suscité de nouvelles préoccupations liées à la vie privée le printemps dernier. iOS 14, la version précommercialisation du nouveau système d'exploitation mobile d’Apple, comportait une option de confidentialité qui avisait les utilisateurs au moment où une application lisait le contenu de leur presse-papier. Cette fonction étonnante ne fait que témoigner de la fréquence à laquelle les applications viennent fouiner dans le presse-papier – un problème bien plus sérieux que TikTok. Google Chrome, The New York Times, The Wall Street Journal et Bejeweled ne sont que quelques-unes des applications fouineuses, selon MobileSyrup.

Quatre organisations sur 10 déclarent utiliser une application mobile pour les clients, les fournisseurs ou les partenaires. Pour ceux qui utilisent une telle application, 47 pour cent des applications du secteur privé suivent les données de GPS ou d’autres données de positionnement, alors que 41 recueillent des données provenant du presse-papier des utilisateurs. Les applications mobiles du service public sont moins susceptibles de recueillir ces données, puisque 35 pour cent recueillent les données de localisation et 25 pour cent recueillent les données du presse-papier.

Soixante-dix pour cent des travailleurs dans le domaine de la TI déclarent que leur organisation dispose d’une politique officielle en matière de conservation des données et 43 pour cent déclarent qu’ils ont modifié les politiques ou la manière de traiter spécifiquement les données des clients en raison des exigences de la LPRPDE. 


Souveraineté des données

Alors que l’élection présidentielle américaine est à nos portes, plusieurs travailleurs dans le domaine de la TI se demandent si leurs données sont exposées au regard indiscret des organismes du renseignement ou d'application de la loi de nos voisins du sud. La notion de souveraineté des données, l’idée selon laquelle une nation devrait rester en contrôle de ses propres données en les stockant sur son propre territoire a suscité une attention accrue en juillet après qu’une cour de justice de l'Union européenne ait voté pour éliminer le bouclier de protection des données de l’UE et des États-Unis. Plusieurs entreprises qui font des affaires à l'échelle planétaire sont retournées à la planche à dessin pour définir le flux de leurs données et mettre en place de nouveaux contrats qui allaient leur permettre de continuer à faire des affaires. Il se peut que, pour entretenir de bonnes relations commerciales avec l’Union européenne, le Canada doive en faire plus pour démontrer que ses lois en matière de protection des renseignements personnels sont tout aussi efficaces que les lois récentes qu’on a adoptées en Europe et qu’il est en mesure de fonctionner au-delà de la zone d’atteinte des Américains.

L’ACEI préconise pour l’Internet une infrastructure plus résiliente et plus sûre au Canada en augmentant le nombre de points d’échange Internet (IXP) disponibles. Lorsque les importants fournisseurs d’accès à l’Internet établissent des connexions d’appairage avec des IXP en sol canadien, on réduit le volume de trafic Internet détourné au sud de la frontière. L’interconnexion par l'entremise de ces concentrateurs augmente également la vitesse et la latence, en plus de permettre des économies.

Dans un tel contexte, il ne faut pas s’étonner que près de sept répondants sur 10 soient inquiets du flux des données qui traversent des pays autres le Canada, en hausse par rapport à 49 pour cent en 2018 et environ la même proportion que l’an dernier. Six sur 10 sont préoccupés par le flux de données qui passent en particulier par les États-Unis, en hausse par rapport à 49 pour cent en 2018.

En ayant peut-être la souveraineté des données à l’esprit, 80 pour cent des organisations déclarent opter pour des entreprises canadiennes pour offrir des services impartis. Trois quarts des travailleurs de la TI reconnaissent qu’il est important pour les organisations canadiennes de stocker l'information des clients au Canada.

Presque autant de travailleurs reconnaissent qu’il est très avantageux de conserver le trafic Internet canadien local à l'intérieur des frontières canadiennes. L’avantage perçu le plus important du maintien du flux des données au nord de la frontière consiste dans une sécurité améliorée de l'information (65 pour cent) et dans la diminution du nombre d’attaques malicieuses de sources géographiques (46 pour cent).

Conclusion – Les organisations améliorent la sécurité, mais s’inquiètent du paysage ponctué de menaces dangereuses

Les efforts ayant pour but d’assurer un accès sécuritaire à l’Internet pour tous les Canadiens représentent un élément majeur du mandat de l'ACEI. Après cinq années d'expérience dans le domaine de la cybersécurité et grâce à ce troisième sondage sur la cybersécurité de l’ACEI, nous voulions non seulement présenter un survol global du paysage des menaces au Canada par rapport aux années précédentes, mais également mieux comprendre les défis que pose la pandémie.

Sachant que la COVID est venue imposer un scénario complexe pour bien des organisations, il n’est pas étonnant de constater que certains des nouveaux défis sur le plan de la cybersécurité font leur apparition dans le rapport de cette année. Les organisations qui comptaient sur les travailleurs réunis à l'intérieur d’un même édifice pour utiliser le matériel déployé et surveillé par le personnel de TI s’efforcent maintenant de soutenir leurs employés qui évoluent à partir des leurs bureaux à domicile et qui sont ainsi répartis ici et là sur le territoire. Pendant ce temps, certaines organisations font état d’une augmentation du nombre d’attaques dont elles sont victimes et plusieurs de ces attaques ont pour thème la COVID-19. Alors que ces employés apprennent avec anxiété à composer avec le confinement imposé par le gouvernement et s’inquiètent de leur santé, ils sont plus susceptibles de mordre à une tentative d’hameçonnage.

Il semble qu’il n’existe aucune cavalerie qu’on puisse appeler et qui viendra à notre secours. Moins d'organisations que l’an dernier prévoient consacrer davantage de ressources à la cybersécurité, et ce, tant sur le plan humain que financier. C’est peut-être la raison pour laquelle nous assistons à une préoccupation croissante face aux impacts négatifs possibles de la cybersécurité sur les organisations.

Personne ne sera étonné de constater le fardeau additionnel de la pandémie sur la cybersécurité. Ce qu’on trouve de plus étonnant dans ce rapport, c’est l’apparente nonchalance des organisations qui doivent se conformer aux exigences des organismes de réglementation. Dans le rapport de l’an dernier, nous disions espérer qu’un plus grand nombre d'organisations voient une certaine sagesse dans le fait d’agir de manière transparente face aux fuites de données après avoir constaté que 58 pour cent de celles qui en avaient été victimes avaient fait un signalement à un organisme de réglementation. Cette année, à peine 36 pour cent ont fait un tel signalement à un organisme de réglementation. Il semble, malgré qu’on soit mieux informé des nouvelles exigences de la LPRPDE, qu’un nombre plus grand d'organisations décident de prendre le risque de ne pas se conformer.

Les événements politiques qui doivent se dérouler d’ici la fin de 2020 auront des implications majeures sur la cybersécurité au Canada. Si, en mettant la LPRPDE à jour, le gouvernement fédéral adopte des exigences plus strictes en matière de protection des renseignements personnels, les organisations pourraient se sentir bousculées afin qu’elles assurent la conformité. Le gouvernement pourrait devoir inciter davantage les entreprises à respecter leurs exigences soit avec la carotte (en offrant des ressources à celles qui signalent des fuites de données) ou le bâton (des amendes élevées à celles qui ne signaleront pas une fuite immédiatement après l’avoir constatée).

Peu importe ce qui arrivera, l'ACEI est là pour les aider. Comptant plus de 20 années d'expérience en gestion du domaine .CA de premier niveau au Canada, nous avons appris une chose ou deux sur la cybersécurité. Cette connaissance nous permet de créer des produits, tel le pare-feu DNS de l’ACEI, Anycast DNS de l'ACEI et la formation de sensibilisation à la cybersécurité de l’ACEI. Chaque élément présente une conception unique qui permet aux organisations canadiennes d’assurer un niveau essentiel de défense dans le cadre de leur stratégie globale en matière de cybersécurité. Nous espérons également que ce rapport sur les tendances en matière de cybersécurité contribuera à consolider la capacité du Canada sur le plan de la cybersécurité et à rendre notre Internet à la fois résilient et accessible.

Méthodologie

À propos des répondants

  • L’ACEI a demandé à The Strategic Counsel d’interviewer 500 travailleurs qui sont responsables de la sécurité de la TI.
  • Les usagers qu’on a interrogés étaient responsables de la gestion d’au moins 50 utilisateurs d’ordinateurs de bureau ou d'appareils portables pour effectuer au moins 20 % de leur travail.
  • Les répondants assumaient la responsabilité financière des décisions ayant trait à la cybersécurité.
  • 100 pour cent des répondants possédaient à tout le moins une connaissance relative des fonctions en matière d’informatique et de TI de leur organisation.
  • 26 pour cent des répondants travaillent pour une organisation qui compte de 50 à 99 employés qui utilisent des ordinateurs ou des appareils mobiles; 29 pour cent représentent des organisations comptant entre 100 et 229 employés; 15 pour cent proviennent d'entreprises où l’on dénombre de 250 à 499 employés; 13 pour cent évoluent pour une entreprise comptant de 500 à 999 employés, alors que 18 pour cent travaillent pour une entreprise dont le nombre d’employés est supérieur à 1 000.

À propos des organisations

Alors que notre sondage s’adressait à des organisations variées, la majorité des participants de l'échantillon ont déclaré qu’ils étaient en affaires depuis un certain temps, alors que 55 pour cent ont déclaré l’être depuis plus de 20 ans. En tout, 64 pour cent des entreprises de notre échantillon ont déclaré faire des affaires au Canada seulement.

Les organisations du secteur privé représentaient 65 pour cent de l'échantillon, alors que les organismes publics ou à but non lucratif représentaient 35 pour cent.