On dit souvent que l’être humain assis derrière le clavier représente le maillon le plus faible en matière de cybersécurité. Cet aspect est devenu encore plus important pendant la pandémie, alors que les travailleurs échoués à la maison doivent composer avec un nombre croissant de tentatives d’hameçonnage de la part de cybervoleurs. Le Centre canadien pour la cybersécurité nous met en garde à l'effet que les pirates profitent de la COVID-19 et de l’attention que suscite la situation actuelle. Les courriels, les pièces jointes et les sites Web malicieux ayant la pandémie pour thème sont fréquents. Le National Post nous apprend que les pirates ne font preuve d’aucune gêne dans leurs tentatives d’hameçonnage, alors qu’ils profitent de la pandémie en lançant des attaques offrant faussement une application de traçage des contacts liés à la COVID-19. Les utilisateurs anxieux d'appareils mobiles qui cherchaient à installer l'application d’alerte à la COVID diffusée par le gouvernement fédéral se sont plutôt retrouvés aux prises avec un rançongiciel.

Plus d’un quart des travailleurs dans le domaine de la TI déclarent que leur organisation a été victime d’un incident de sécurité ayant pour thème la COVID-19. En observant les données que nous recueillons parce que nous offrons notre Bouclier canadien et notre pare-feu DNS, nous pouvons affirmer que ces nouvelles menaces ne remplacent pas les anciennes, mais elles augmentent plutôt le nombre de vecteurs que les acteurs malicieux utilisent afin de cibler les organisations.

Pour contrer cette menace, les organisations adaptent les scénarios de télétravail en offrant une formation consacrée spécifiquement à la cybersécurité. Presque toutes (94 pour cent) les organisations déclarent offrir une formation de sensibilisation à la cybersécurité et presque la moitié (48 pour cent) affirment qu’elle est obligatoire, ce qui représente une augmentation de 41 pour cent en 2019. Parmi les sujets de formation populaires, mentionnons le télétravail sécuritaire, alors que 78 pour cent des répondants disent que cette formation est offerte par leur organisation. La formation sur la façon d’utiliser le logiciel de vidéoconférence, comme Zoom, est également fréquente, alors que 74 pour cent déclarent qu’elle est offerte. Cinquante-six pour cent des organisations offrent également à leurs employés une formation sur les cybermenaces qui sont spécifiquement liées à la COVID-19.

La manière dont on offre la formation semble également un peu différente en 2020. La méthode la plus répandue consiste à créer nous-mêmes un matériel de formation et à en faire la promotion à l’interne, alors que 57 pour cent déclarent en faire autant. Les simulations d’hameçonnage, alors que le service de la TI ou un tiers imite une tentative d’hameçonnage pour ainsi vérifier si l'employé mord à l’hameçon, sont plus populaires cette année, alors que 37 pour cent déclarent employer cette méthode comparativement à 21 pour cent en 2019. Près d'un tiers, des entreprises offrent toujours des ateliers à l'heure du dîner, soit autant qu’en 2019, mais nous imaginons qu’un nombre encore plus grand ont organisé des rassemblements virtuels.

C’est une chose que d’offrir de la formation. C’en est une autre que de le faire régulièrement. La plupart des organisations déclarent qu’elles n’offrent pas fréquemment de formation de sensibilisation à la cybersécurité, puisque 40 pour cent le font une fois l’an ou moins souvent, et près de la moitié le font une fois tous les trimestres. C’est peu, lorsqu’on sait que les travailleurs anxieux seront probablement victimes de cyberattaques quotidiennes ayant la COVID-19 pour thème alors qu’une erreur suffit pour qu’il y ait atteint à la sécurité. De plus, on ne compte plus les ressources éducatives qui soulignent l'importance cruciale de la répétition lors de la formation des apprenants adultes – un problème qu’une plate-forme de formation permet de résoudre.

Encore, presque tous les travailleurs de la TI (93 pour cent) croient que leur formation contribue à tout le moins légèrement à réduire le nombre d'incidents liés à la sécurité et les comportements à risque en ligne. Pour mesurer l'efficacité de la formation, 46 pour cent des gens ayant suivi une formation de sensibilisation à la cybersécurité déclarent surveiller les résultats et les cotes de risque dans le temps, alors que 42 pour cent déclarent chercher à réduire les coûts lors des incidents liés à la sécurité, et 42 pour cent s’intéressent également aux économies de temps lorsqu’il s’agit de répondre aux incidents liés à la sécurité.

Alors que plusieurs formateurs dans le domaine de la cybersécurité sont en mesure de collaborer à ces efforts, les répondants au sondage ont démontré qu’ils étaient peu au fait de leur existence.

Lorsqu’il est temps de choisir une plate-forme de formation, les travailleurs de la TI déclarent que les avis et les recommandations en matière de risque représentent les aspects les plus importants dont il faut tenir compte, alors que 39 pour cent déclarent que cet aspect présente une importance cruciale et 48 pour cent considèrent qu’il est relativement important. Le personnel de TI souhaite également des cours de formation modernes et de qualité (37 pour cent considèrent ces cours essentiels) et des simulations d’hameçonnage automatisées (36 pour cent considèrent qu’elles sont essentielles).

D’après le Centre antifraude du Canada, les télétravailleurs sont continuellement assaillis par des tentatives de fraude. Une alerte émise le 31 août révèle que les fraudes en cours concernant la COVID-19 visent les entreprises chargées de remplir les demandes pour la Prestation canadienne d'urgence (PCU), les organismes de bienfaisance non autorisés qui tentent de recueillir des dons, ainsi que les escrocs qui se font passer pour des autorités, comme le Center for Disease Control ou l'Organisation mondiale de la santé. Une première ligne de défense d’une organisation consiste à former ces employeurs afin qu’ils fassent preuve de vigilance face à ces efforts. Il est maintenant plus important que jamais de renforcer cette première ligne, compte tenu de l'augmentation du nombre d’attaques, de la vulnérabilité accrue des employés et, comme nous le verrons dans la section suivante, de l’impact négatif accru que produisent les attaques efficaces.

La sphère d’influence de la TI au bureau était suffisamment limitée, alors que les employés ignorent la politique de sécurité et que l'adoption de la TI intégrée est fréquente. La TI exerce encore moins de contrôle, maintenant qu’un nombre de plus en plus grand de travailleurs travaille à partir du domicile. Par conséquent, les travailleurs de la TI se sentent davantage préoccupés par la cybersécurité en 2020.

Alors que les deux tiers des employés déclarent utiliser des appareils que leur a remis leur employeur, la moitié reconnaissent également qu’ils utilisent aussi leurs appareils personnels à l'occasion. Cette situation se manifeste dans les réponses au sondage, alors que cinquante-quatre pour cent des travailleurs dans le domaine de la TI se disent davantage préoccupés par les dommages qui pourraient résulter de cyberattaques futures cette année. Plus de quatre personnes sur 10 parlent de l’inquiétude que suscite l’empreinte et les politiques de sécurité de la TI de leur organisation en raison de la pandémie. 

Par conséquent, 52 pour cent affirment qu’on déploie davantage de mesures afin de protéger la cybersécurité en réaction à la COVID-19. Le choix le plus populaire en matière de nouvelles protections, dont plus précisément en réaction à la pandémie, concerne les nouvelles politiques (adoptées par 63 pour cent des gens) et les dispositifs de protection des appareils pour les télétravailleurs (60 pour cent). À tout le moins, certaines des nouvelles mesures de protection nouvellement déployées seront en place de manière permanente chez 91 pour cent des répondants.

On ajoute présentement d’autres niveaux de cybersécurité au-delà d’une réponse destinée précisément à la COVID-19. Près de six personnes sur 10 procèdent cette année au déploiement d’un réseau privé virtuel. La moitié déploient des pare-feu DNS en réaction à une augmentation du nombre de cybermenaces. Lorsqu’on leur demande s’ils disposent déjà d’un pare-feu DNS en nuage, tel le pare-feu D-Zone DNS de l’ACEI, 62 pour cent répondent par l’affirmative, en hausse par rapport à 42 pour cent en 2018. Parmi les organisations qui prévoient se doter de couches additionnelles face à l'augmentation du nombre de cybermenaces, 46 pour cent déploient des gestionnaires de mots de passe.

Les travailleurs de la TI déclarent qu’ils consacrent davantage de ressources à la cybersécurité pour la principale raison qu’ils souhaitent prévenir la fraude et le vol (c’est ce que déclarent 55 pour cent) et protéger la réputation de leur organisation (53 pour cent), ainsi que pour protéger les renseignements personnels des clients (52 pour cent).

Cette sécurité accrue permet ainsi de répondre non seulement à l'augmentation du nombre d’attaques, mais également d’éviter les impacts négatifs qui résultent de ces attaques. Au cours de la dernière année, huit organisations sur 10 ont été victimes d’au moins une attaque, alors que 21 pour cent déclarent qu’elles ont dû repousser plus de 10 attaques. De ceux qui ont été confrontés à ces attaques, 57 pour cent déclarent qu’au moins une a eu des répercussions négatives sur leur organisation. Les attaques qui ont porté fruit étaient susceptibles d’atteindre les infrastructures du réseau et les bases de données, alors que 86 pour cent y sont parvenues. De plus, 94 pour cent des attaques ont eu un impact négatif sur les ordinateurs de bureau et les appareils individuels et 80 pour cent touchaient les données des utilisateurs et des clients.

Les coûts liés à une attaque ont également eu un effet sur la productivité, alors que 30 pour cent ont déclaré que les attaques réussies ont empêché les employés d’effectuer leur travail habituel. Les attaques ont aussi entraîné une augmentation des amendes imposées par un organisme de réglementation chez deux fois plus de répondants qu’en 2019, alors que 14 pour cent ont déclaré que le nombre d’amendes a augmenté avec le temps comparativement à 7 pour cent l’an dernier et à peine 4 pour cent en 2018.

Pour relever les défis accrus que présentent la cybersécurité et les impacts négatifs plus graves, les services de la TI réagissent en formant leurs employés (61 pour cent ont répondu ainsi), en procédant à des audits de sécurité (dans 47 pour cent des cas) et en installant un nouveau logiciel (45 pour cent des répondants). On doute cependant que cette réponse suffise afin de faire face au risque accru. Nous avons déjà constaté que moins d'organisations prévoient augmenter leurs effectifs pour améliorer la cybersécurité. À peine 43 pour cent prévoient investir davantage de ressources dans la cybersécurité au cours des 12 prochains mois, une baisse par rapport à 54 pour cent qui prévoyaient procéder à une telle augmentation l'an dernier.

On craint que des conséquences négatives puissent résulter de la disparité entre le risque et les ressources. La priorité pour les travailleurs de la TI concerne les maliciels (comme les rançongiciels), alors que 57 pour cent déclarent que ceux-ci pourraient avoir l’impact négatif le plus profond à l’avenir. Cinquante-cinq pour cent déclarent que l’accès non autorisé, la manipulation ou le vol de données pourrait avoir le plus d’impact, mais 55 pour cent craignent également l’escroquerie et la fraude.

Pour observer ces risques, 64 pour cent des travailleurs prévoient surveiller le pare-feu, 44 pour cent prévoient surveiller la manière dont les employés utilisent leurs ordinateurs et l’Internet, alors que 41 pour cent prévoit procéder à des essais de pénétration. La moitié des organisations respecteront également une politique officielle en matière de correctifs.

Le portrait global fait état de ressources surutilisées en matière de TI et de travailleurs de la TI qui exercent moins d’influence sur les employés. La pression accrue exercée par les organismes de réglementation vient à son tour augmenter les tensions que suscite le scénario sur le plan de la cybersécurité. Nous avons constaté dans les résultats présentés dans cette section que deux fois plus d'entreprises déclarent une augmentation des amendes imposées par les organismes de réglementation ou par les autorités lorsqu’on compare à 2019, mais d’autres signes nous démontrent que le fardeau réglementaire est une source de fatigue chez les travailleurs.

Au Canada, les changements dont la LPRPDE a récemment fait l’objet augmentent la pression sur les entreprises qui vacillent sur le plan de la cybersécurité, exigeant ainsi des firmes qui sont aux prises avec une fuite de données qu’elles avisent le Commissaire à la protection de la vie privée dans bien des cas. Ce changement est survenu la première fois en 2018, l’année où les entreprises qui desservent les clients en Europe ont également dû commencer à se conformer au Règlement général sur la protection des données (RGPD) adopté par l'Union européenne. Nous constatons des signes qui nous apprennent que les entreprises trouvent plus difficile de se conformer aux règlements en raison des défis additionnels que suscite la pandémie.

Sept travailleurs sur 10 disent connaître la LPRPDE en général, alors que 59 pour cent savent que cette Loi exige maintenant des organisations commerciales qu’elles divulguent les fuites de données. Cette connaissance a augmenté, alors qu’elle se situait à peine à 42 pour cent en 2018, au moment où l’on a modifié la loi pour la première fois. Le Commissariat à la protection de la vie privée du Canada a publié des statistiques au sujet des fuites de données en octobre 2019, c'est-à-dire un an après avoir imposé cette exigence. Le Commissariat a reçu 680 rapports de fuites, ce qui est six fois plus qu’une année plus tôt, lorsque la production de ces rapports s’effectuait sur une base volontaire. Ce rapport nous apprend que 28 millions de Canadiens ont connu une fuite de données et que l’accès non autorisé était la cause la plus probable de ces fuites.

Il sera intéressant de constater ce à quoi ressemblent les données si le Commissariat publie une mise à jour portant sur sa deuxième année de déclaration obligatoire des fuites de données. La plupart des organisations enregistrent les renseignements personnels des clients, des employés, des fournisseurs, des vendeurs et des partenaires en 2020, alors que 66 pour cent déclarent le faire cette année comparativement à 59 pour cent en 2018. Un nombre légèrement plus élevé d'organisations ont été victimes de fuites de données au cours de la dernière année, alors qu’un quart déclarent avoir connu au moins une fuite comparativement à 15 pour cent il y a un an à peine. De plus, 38 pour cent reconnaissent ignorer s’ils ont fait les frais d’une fuite de données.

Malgré qu’un plus grand nombre d'organisations enregistrent des renseignements personnels et soient victimes de fuites, elles sont bien moins susceptibles de signaler une fuite de données aux autorités cette année. À peine 36 pour cent disent avoir signalé une fuite à un organisme de réglementation, en baisse par rapport à 58 pour cent qui ont fait un tel signalement en 2019. À peine 31 pour cent ont signalé une fuite de données à un organisme d'application de la loi, également en baisse par rapport à 37 pour cent l'an dernier. Quarante-quatre pour cent de celles qui ont subi une fuite de données disent en avoir informé leurs clients, en baisse par rapport à 48 pour cent l'an dernier. Les organisations sont plus susceptibles d’informer les gestionnaires et la haute direction d’une fuite de données, alors que la moitié l’ont fait cette année comparativement à 40 pour cent à peine l'an dernier. De même, 34 pour cent ont avisé leur conseil d'administration, en hausse par rapport à 21 pour cent il y a un an.

Les cas signalés de non-respect de la LPRPDE n’augurent pas bien pour l’avenir de la loi sur la protection des renseignements personnels au Canada. Si les sociétés en ont déjà assez des exigences plus strictes en matière de signalement des fuites de données et si elles sont prêtes à risquer de se voir imposer des amendes advenant qu’elles ne s’acquittent pas de leur responsabilité de produire un rapport plutôt que de subir le marteau assuré de la réglementation si elles produisent un rapport, la version modernisée à venir de la loi sur la protection des renseignements personnels pourrait être difficile à appliquer. Daniel Therrien, commissaire à la protection de la vie privée, a demandé aux gouvernements de mettre la LPRPDE à jour pour accorder à son bureau le pouvoir d’émettre des ordonnances, ce qui signifie qu’il pourrait imposer des amendes aux sociétés qui ne respectent pas la LPRPDE. À l'heure actuelle, le Commissariat doit traîner les organisations fautives devant la cour fédérale pour faire respecter la loi.

Le printemps dernier, le gouvernement fédéral publiait un document de discussion exprimant son intention d’accroître le rôle du Commissariat en matière de surveillance et d'application de la loi. Des efforts sont également en cours à l'échelle provinciale afin de consolider les lois commerciales sur la protection des renseignements personnels en Ontario et au Québec. Cinquante-quatre pour cent des travailleurs dans le domaine de la TI se disent préoccupés par les changements apportés cette année à la LPRPDE, ce qui est conforme au rapport de l'an dernier, mais en hausse par rapport à 38 pour cent qui ont exprimé cette préoccupation en 2018.

De nombreuses applications mobiles populaires ont suscité de nouvelles préoccupations liées à la vie privée le printemps dernier. iOS 14, la version précommercialisation du nouveau système d'exploitation mobile d’Apple, comportait une option de confidentialité qui avisait les utilisateurs au moment où une application lisait le contenu de leur presse-papier. Cette fonction étonnante ne fait que témoigner de la fréquence à laquelle les applications viennent fouiner dans le presse-papier – un problème bien plus sérieux que TikTok. Google Chrome, The New York Times, The Wall Street Journal et Bejeweled ne sont que quelques-unes des applications fouineuses, selon MobileSyrup.

Quatre organisations sur 10 déclarent utiliser une application mobile pour les clients, les fournisseurs ou les partenaires. Pour ceux qui utilisent une telle application, 47 pour cent des applications du secteur privé suivent les données de GPS ou d’autres données de positionnement, alors que 41 recueillent des données provenant du presse-papier des utilisateurs. Les applications mobiles du service public sont moins susceptibles de recueillir ces données, puisque 35 pour cent recueillent les données de localisation et 25 pour cent recueillent les données du presse-papier.

Soixante-dix pour cent des travailleurs dans le domaine de la TI déclarent que leur organisation dispose d’une politique officielle en matière de conservation des données et 43 pour cent déclarent qu’ils ont modifié les politiques ou la manière de traiter spécifiquement les données des clients en raison des exigences de la LPRPDE. 

Souveraineté des données

Alors que l’élection présidentielle américaine est à nos portes, plusieurs travailleurs dans le domaine de la TI se demandent si leurs données sont exposées au regard indiscret des organismes du renseignement ou d'application de la loi de nos voisins du sud. La notion de souveraineté des données, l’idée selon laquelle une nation devrait rester en contrôle de ses propres données en les stockant sur son propre territoire a suscité une attention accrue en juillet après qu’une cour de justice de l'Union européenne ait voté pour éliminer le bouclier de protection des données de l’UE et des États-Unis. Plusieurs entreprises qui font des affaires à l'échelle planétaire sont retournées à la planche à dessin pour définir le flux de leurs données et mettre en place de nouveaux contrats qui allaient leur permettre de continuer à faire des affaires. Il se peut que, pour entretenir de bonnes relations commerciales avec l’Union européenne, le Canada doive en faire plus pour démontrer que ses lois en matière de protection des renseignements personnels sont tout aussi efficaces que les lois récentes qu’on a adoptées en Europe et qu’il est en mesure de fonctionner au-delà de la zone d’atteinte des Américains.

L’ACEI préconise pour l’Internet une infrastructure plus résiliente et plus sûre au Canada en augmentant le nombre de points d’échange Internet (IXP) disponibles. Lorsque les importants fournisseurs d’accès à l’Internet établissent des connexions d’appairage avec des IXP en sol canadien, on réduit le volume de trafic Internet détourné au sud de la frontière. L’interconnexion par l'entremise de ces concentrateurs augmente également la vitesse et la latence, en plus de permettre des économies.

Dans un tel contexte, il ne faut pas s’étonner que près de sept répondants sur 10 soient inquiets du flux des données qui traversent des pays autres le Canada, en hausse par rapport à 49 pour cent en 2018 et environ la même proportion que l’an dernier. Six sur 10 sont préoccupés par le flux de données qui passent en particulier par les États-Unis, en hausse par rapport à 49 pour cent en 2018.

En ayant peut-être la souveraineté des données à l’esprit, 80 pour cent des organisations déclarent opter pour des entreprises canadiennes pour offrir des services impartis. Trois quarts des travailleurs de la TI reconnaissent qu’il est important pour les organisations canadiennes de stocker l'information des clients au Canada.

Presque autant de travailleurs reconnaissent qu’il est très avantageux de conserver le trafic Internet canadien local à l'intérieur des frontières canadiennes. L’avantage perçu le plus important du maintien du flux des données au nord de la frontière consiste dans une sécurité améliorée de l'information (65 pour cent) et dans la diminution du nombre d’attaques malicieuses de sources géographiques (46 pour cent).

À propos des répondants

• L’ACEI a demandé à The Strategic Counsel d’interviewer 500 travailleurs qui sont responsables de la sécurité de la TI.
• Les usagers qu’on a interrogés étaient responsables de la gestion d’au moins 50 utilisateurs d’ordinateurs de bureau ou d'appareils portables pour effectuer au moins 20 % de leur travail.
• Les répondants assumaient la responsabilité financière des décisions ayant trait à la cybersécurité.
• 100 pour cent des répondants possédaient à tout le moins une connaissance relative des fonctions en matière d’informatique et de TI de leur organisation.
• 26 pour cent des répondants travaillent pour une organisation qui compte de 50 à 99 employés qui utilisent des ordinateurs ou des appareils mobiles; 29 pour cent représentent des organisations comptant entre 100 et 229 employés; 15 pour cent proviennent d'entreprises où l’on dénombre de 250 à 499 employés; 13 pour cent évoluent pour une entreprise comptant de 500 à 999 employés, alors que 18 pour cent travaillent pour une entreprise dont le nombre d’employés est supérieur à 1 000.

À propos des organisations

Alors que notre sondage s’adressait à des organisations variées, la majorité des participants de l'échantillon ont déclaré qu’ils étaient en affaires depuis un certain temps, alors que 55 pour cent ont déclaré l’être depuis plus de 20 ans. En tout, 64 pour cent des entreprises de notre échantillon ont déclaré faire des affaires au Canada seulement.

Les organisations du secteur privé représentaient 65 pour cent de l'échantillon, alors que les organismes publics ou à but non lucratif représentaient 35 pour cent.