Aller au contenu principal
  • Cybersécurité

Sondage 2022 de CIRA sur la cybersécurité

Nouvelle réalité pour les organisations canadiennes et les personnes qu’elles servent

À une époque où les Canadiens sont très préoccupés par les questions de confidentialité et de sécurité en ligne et où les organisations doivent faire face à des menaces en constante évolution, CIRA continue de mobiliser et de soutenir ses communautés en ligne. Dans le cadre de son rôle de fournir des ressources essentielles pour mieux comprendre les enjeux d’Internet, CIRA publie son Sondage annuel sur la cybersécurité.

Vous pouvez en savoir plus sur les résultats du sondage de cette année et sur la façon dont la pandémie a changé la donne et créé une nouvelle réalité pour de nombreuses organisations dans les sections qui suivent.

 

Résultats complets du sondage

La société d’études de marché The Strategic Counsel a réalisé en août le sondage 2022 de CIRA sur la cybersécurité, et a recueilli en ligne 500 réponses de responsables de la cybersécurité au Canada. L’objectif était de dégager les tendances en matière d’opinions et de comportements dans le secteur.    


Vous trouverez les résultats complets du sondage ici et un résumé des résultats ci-dessous.

En résumé

Moins de restrictions, l’évolution des cybermenaces et la nouvelle législation font de 2022 une année cruciale pour la cybersécurité

La transformation de notre façon de travailler, qu’elle soit au bureau, virtuelle ou hybride, a eu une forte incidence sur la façon dont les entreprises et les organisations se protègent contre les cybermenaces et assurent la sécurité des données personnelles. La prolifération des outils de cybersécurité, y compris l’intelligence artificielle (IA) et l’infonuagique, a entraîné un paysage des menaces en constante évolution où de nouveaux acteurs malveillants et de nouvelles tactiques sont observés presque quotidiennement. Le sondage de CIRA sur la cybersécurité 2022 dévoile comment les professionnels de la cybersécurité du Canada gèrent ces menaces et donne un aperçu des solutions qu’ils utilisent pour assurer la sécurité de leurs données, de leurs réseaux et de leurs utilisateurs.

Dans ce rapport, les professionnels de la cybersécurité ont indiqué à quel point leurs responsabilités ont changé au cours de la dernière année face à ces menaces croissantes. Ainsi, 96 % des organisations indiquent qu’elles dispensent une formation obligatoire de sensibilisation à la cybersécurité pour quelques employés au moins. Il s’agit là d’une augmentation importante depuis le début de la pandémie, lorsque seulement 87 % d’entre elles dispensaient une telle formation.

Une tendance à la fois inattendue et encourageante : 63 % des répondants ont indiqué que la souveraineté des données, soit le principe consistant à s’assurer que les données des utilisateurs et le trafic restent au Canada, était une considération majeure pour les professionnels de la cybersécurité lorsqu’ils recherchaient des fournisseurs de cybersécurité, surpassant le prix comme facteur.

Bien sûr, le gouvernement joue un rôle important en aidant à protéger les Canadiens en ligne, à la fois par le biais de lois et de programmes qui améliorent le paysage de la cybersécurité. Le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, qui pourrait avoir une incidence importante sur la manière dont les données des utilisateurs sont protégées et stockées, est en cours d’adoption au Parlement. Cependant, seuls 55 % des professionnels de la cybersécurité étaient au courant de l’existence de ce projet de loi. Notamment, près de six personnes sur dix (59 %) qui étaient au courant de l’existence du projet de loi ont déclaré qu’elles s’inquiétaient de la façon dont il pourrait affecter leur organisation. Ce chiffre met en évidence la nécessité pour le gouvernement d’accroître la sensibilisation au sujet de ce projet de loi pour expliquer son incidence sur les organisations canadiennes de toutes tailles.

Puisqu’aucun réseau n’est 100 % sécuritaire, il est important que les organisations disposent d’un plan d’intervention pour se protéger contre les menaces qui parviennent à atteindre leur objectif. L’enquête de cette année a révélé que 82 % des organisations ont mis en place un plan d’intervention en cas de cyberattaque. L’importance de disposer d’un plan ne peut être sous-estimée, car il est loin d’être idéal d’en élaborer un en plein milieu d’une attaque, et nous savons que six organisations canadiennes sur dix ont dû déployer leur plan d’intervention face à une menace active.

La réaction de l’industrie de l’assurance est un signe révélateur de l’évolution du risque pour les entreprises. Les compagnies d’assurance au Canada ont pris une longueur d’avance en ce qui concerne les cybermenaces, comme en témoigne l’augmentation graduelle des polices de cybersécurité. Bien qu’il s’agisse encore d’une tendance émergente, le nombre d’organisations disposant d’une assurance cybersécurité est passé à 15 % en 2022. Cette tendance ne devrait que s’accélérer dans les années à venir.

Au cours des prochaines semaines, nous présenterons les résultats du sondage de CIRA sur la cybersécurité 2022 dans une série d’articles de blogue, chacun abordant un élément clé plus en détail. Nous espérons que les professionnels de la cybersécurité pourront tirer parti de nos données pour éclairer leur compréhension du paysage des menaces au Canada.

Canadian Shield - French

Conclusions principales

  • Trois entreprises sur dix (29 %) ont subi une violation des données des clients et/ou des employés. Avant la pandémie, seuls 18 % disaient en avoir fait l’expérience.

  • L’impact le plus courant des cyberattaques est d’empêcher les employés d’effectuer leur travail. En outre, 15 % des organisations ont signalé une perte de clients suite à une attaque. Ce nombre a doublé par rapport aux niveaux pré-pandémiques.

  • Les organisations qui ont payé une rançon, ont généralement payé au moins 25 000 $. 

  • Un peu plus de la moitié des professionnels de la cybersécurité (55 %) sont au courant du projet de loi C-27 et parmi ceux-ci, six sur dix (59 %) s’inquiètent de l’impact potentiel du projet de loi sur leur organisation. Le secteur privé semblait moins préparé à mettre en œuvre de nouvelles exigences.

  • Les organisations dites des MUSH* (30 %) sont plus susceptibles de qualifier de mauvaise la protection de la vie privée des consommateurs au Canada.

  • La plupart des organisations (63 %) considèrent la souveraineté des données comme plus importante que le prix lors de la sélection d’un fournisseur de services de cybersécurité. 

  • Environ 25 % d’organisations canadiennes de plus ont une assurance cybersécurité en 2022, malgré l’augmentation des coûts et des exigences.

  • Presque toutes les organisations (96 %) organisent une formation de sensibilisation à la cybersécurité qui est obligatoire pour au moins certains employés. Ce nombre est passé de 87 % avant la pandémie.

  • La plupart des professionnels de la sécurité (82 %) indiquent que leur organisation dispose d’un plan de réponse aux cyberincidents, tandis que six organisations sur dix ont utilisé leur plan de réponse aux cyberincidents au cours des 12 derniers mois. 

  • Un peu plus de la moitié (55 %) considèrent leur organisation comme plus vulnérable aux cybermenaces car leurs employés travaillent à distance. 

 

(secteur public, comprenant l’administration ou les organismes municipaux, les hôpitaux ou autre organisme de soins de santé, les écoles primaires ou secondaires, les collèges et universités, et les conseils scolaires)

Faits saillants visuels


 

L’impact le plus courant des cyberattaques est d’empêcher les employés d’effectuer leur travail. De plus, 15 % des organisations ont également signalé une perte de clients suite à une attaque, soit le double du niveau pré-pandémique.

 

Les organisations canadiennes et les menaces auxquelles elles font face

Un peu plus de la moitié 55 % des professionnels de l’informatique considèrent leur organisation plus vulnérable aux cybermenaces parce que ses employés travaillent à distance.

Les principales menaces perçues sont ​​​​​​l’accès non autorisé/le vol de données et les logiciels malveillants.

Les organisations qui ont payé une rançon ont généralement payé au moins 25 000 $.

En 2022, 73 % des organisations admettent avoir payé la rançon, contre 69 % l’année précédente.

 

Davantage d’organisations au pays ont décidé d’investir dans une assurance cybersécurité, une augmentation notable de 59 % l’an dernier à 74 % en 2022,  malgré l’augmentation des coûts et des exigences.


82 % des professionnels indiquent que leur organisation dispose d’un plan de réponse aux cyberincidents et six sur dix ajoutent qu’ils l’ont utilisé au cours des 12 derniers mois.

 

Votre organisation organise-t-elle une formation de sensibilisation à la cybersécurité pour ses employés ?

2022: 96 % oui

2019: 87 % oui

2022: 4 % non

2019: 11 % non

La plupart des organisations offrent une formation de sensibilisation à la cybersécurité tous les trimestres ou moins. La proportion qui dispense une formation au moins une fois par trimestre est plus élevée en 2022 (67 %) que les années précédentes. Les données suggèrent qu’il existe un écart entre le volume de menaces auxquelles les organisations sont confrontées et la fréquence à laquelle la formation est dispensée.

Se concentrer sur la confidentialité, la souveraineté des données et la nouvelle politique

Trois organisations sur dix  (29 %) ont subi une violation des données des clients et/ou des employés l’année dernière contre 18 % avant la pandémie.

Parmi celles-ci, 44 % au total ont informé leurs clients. 

En juin 2022, le gouvernement a déposé le projet de loi C-27 pour:

  • mettre à jour la loi fédérale sur la protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
  • créer un nouveau tribunal
  • proposer de nouvelles règles pour les systèmes et solutions pour l’intelligence artificielle

 

Un peu plus de la moitié des organisations canadiennes (55 %) sont au courant du projet de loi C-27 et parmi celles qui le sont, six sur dix (59 %) s’inquiètent de l’impact potentiel sur leur organisation.

La moitié des organisations (49 %) évaluent la protection de la vie privée des consommateurs au Canada comme excellente ou bonne, à l’exception des organisations des MUSH. Elles sont plus susceptibles (30 % d’entre elles) de qualifier de ‘mauvais’ le niveau de protection de la vie privée des consommateurs au Canada..

 

Avec le volume important de données personnelles et professionnelles stockées dans le cloud ainsi que les données en mouvement, les organisations doivent être prudentes. La souveraineté des données signifie que les données numériques sont soumises aux lois du pays dans lequel elles se trouvent. Celles stockées au Canada relèvent des lois canadiennes sur la protection de la vie privée, ainsi que les données qui ne circulent qu’à l’intérieur de nos frontières. Une fois que les données d’une organisation voyagent à l’extérieur des frontières du Canada, elles sont ouvertes aux lois des pays concernés.

 

La plupart des organisations (63 %) considèrent la souveraineté des données comme plus importante que le prix lors du choix d’un fournisseur de services de cybersécurité.

 

Série de blogues

Dans le cadre du Mois de la cybersécurité, CIRA publie durant tout le mois d’octobre une série d’articles de blog basés sur les résultats de l’enquête 2022 sur la cybersécurité.  

Vous trouverez ci-dessous chaque article dès qu’il sera publié :

  1. Données personnelles et cybermenaces : votre marque est-elle protégée?
  2. L’importance de la souveraineté des données pour les organisations canadiennes 
  3. Les défis de cybersécurité face au projet de loi C-27
  4. Travail hybride : se protéger en tant que travailleur mobile

  5. Les défis des rançongiciels au Canada

Services de cybersécurité de CIRA

CIRA a mis à profit son expérience de gestion d’un réseau de plus de trois millions de domaines .CA pour développer une suite de produits de cybersécurité destinés aux entreprises, fabriqués par des Canadiens, pour les Canadiens :

  • DNS Firewall de CIRA : une solution de cybersécurité fondée sur l’infonuagique qui protège les organisations contre les programmes malveillants, les rançongiciels, l’hameçonnage et d’autres cyberattaques.
  • Bouclier canadien de CIRA : un service de cybersécurité gratuit qui améliore la protection de la vie privée par l’anonymisation des requêtes DNS. Il permet aux ménages canadiens de bloquer les virus, les rançongiciels et d’autres programmes malveillants.
  • Formation sur la sensibilisation à la cybersécurité de CIRA uneplateforme de formation et de simulation d’hameçonnage intégrée qui permet aux organisations de sensibiliser leur personnel sur la manière de se protéger contre les cyberrisques comme l’ingénierie sociale et les rançongiciels.
cyber services

Vous en saurez plus ici sur les services de cybersécurité de CIRA. 

New reality for Canadian organizations and the people they serve

At a time when Canadians are very concerned about online privacy and security issues and when organizations must deal with ever-evolving threats, CIRA continues to mobilize and support its online communities. As part of its role of providing essential resources to better understand the challenges of the Internet, CIRA publishes its annual Cybersecurity Survey.

You can read more about this year’s survey results and how the pandemic has changed the game and created a new reality for many organizations in the sections that follow.

Full survey results

The 2022 CIRA Cybersecurity Survey was conducted by The Strategic Counsel in August of 2022, collecting 500 online responses from cybersecurity decision-makers across Canada. The goal was to identify industry trends in perceptions and attitudes.

You can find the full survey results here and a summary of the findings below.

Full survey results

Executive summary

Fewer restrictions, evolving cyber threats and new legislation make 2022 a critical year for cybersecurity

The transformation in how we work—whether in-office, virtual or hybrid—has had a profound impact on how businesses and organizations protect themselves from cyber threats and secure personal data. The proliferation of cybersecurity tools, including artificial intelligence (AI) and cloud computing, has resulted in a constantly evolving threat landscape where new malicious actors and novel tactics are seen almost daily. The 2022 CIRA Cybersecurity Survey unpacks how Canada’s cybersecurity professionals are managing these threats and provides insight into the solutions they employ to keep their data, networks and users safe.

Through this report, cybersecurity professionals have indicated just how much their responsibilities have changed over the last year in the face of these mounting threats. Accordingly, 96 per cent of organizations indicate that they conduct mandatory cybersecurity awareness training for at least some employees. This is a notable increase since the start of the pandemic when only 87 per cent conducted such training.

A trend that was both unexpected and encouraging saw 63 per cent of respondents indicate that data sovereignty—the principle of ensuring user data and traffic stays in Canada—was a major consideration for cybersecurity professionals when seeking cybersecurity vendors, beating out price as a factor.

Of course, government plays a significant role in helping protect Canadians online—both through legislation and programs that enhance the cybersecurity landscape. Bill C-27, The Digital Charter Implementation Act—which could have a significant impact on how user data is protected and stored—is currently making its way through Parliament. However, only 55 per cent of cybersecurity professionals were aware of the bill. Notably, nearly six-in-ten (59 per cent) of those who were aware of the bill stated that they were concerned about how it could affect their organization. This highlights the need for more government outreach on this pending legislation, explaining its impact on Canadian organizations of all sizes.

No network is 100 per cent secure, so, to protect against the threats that do get through, it is important that organizations have a cyber response plan. This year’s survey found that 82 per cent of organizations have a plan in place to respond to a cyber attack. The importance of having a plan cannot be understated, as developing one in the middle of an attack is less than ideal, and we know that six-in-ten Canadian organizations have been required to deploy their response plan in the face of an active threat.

A telltale sign of an evolving risk to business is the reaction of the insurance industry. Insurance companies in Canada have been ahead of the cyber threat curve which can be seen in the gradual increase of cybersecurity policies. While still an emerging trend, the number of organizations with cybersecurity insurance increased to 15 per cent in 2022. This is a trend we only expect to gain momentum in the coming years.

Over the coming weeks, we will be breaking down the results of the 2022 CIRA Cybersecurity Survey into a series of blog posts (which you can find in this section below), each covering a key insight in greater detail. It is our hope that cybersecurity professionals can gain some insight from our data that will inform their understanding of the threat landscape in Canada.

Key Findings

  • Three-in ten (29 per cent) organizations experienced a breach of customer and/or employee data. Before the pandemic, only 18 per cent said they experienced it.
  • The most common impact of cyber attacks is preventing employees from carrying out work. Also, 15 per cent of organizations reported a loss of customers following an attack. This number has doubled from pre-pandemic levels.
  • Organizations that paid a ransom typically paid at least $25,000.
  • Just over half cybersecurity professionals (55 per cent) are aware of Bill C-27 and of those ones, six-in-ten (59 per cent) are concerned about the potential impact of the bill on their organization. The private sector appeared to be less prepared to implement new requirements.
  • MUSH organizations* (30 per cent)are more likely to rate privacy protection for consumers in Canada as poor.
  • Most organizations (63 per cent) consider data sovereignty as more important than price when selecting a cybersecurity service vendor.
  • 25 per cent more Canadian organizations have cybersecurity insurance in 2022, despite increasing costs and requirements.
  • Nearly all organizations (96 per cent) conduct cybersecurity awareness training that is mandatory for at least some employees. This number has increased from 87 per cent before the pandemic.
  • Most security professionals (82 per cent) indicate that their organization has a cyber incident response plan while six-in-ten organizations have used their cyber incident response plan in the last 12 months.
  • Just over half (55 per cent) characterize their organization as more vulnerable to cyber threats because its employees work remotely. 

* (public sector, including only municipal government or agency, hospital or other health care organization, primary or secondary school, college or university, or school board)

 

Visual highlights

The most common impact of cyber attacks is preventing employees from carrying out work. And 15% of organizations reported a loss of customers following an attack which is double the pre-pandemic level.

Canadian organizations and the threats they face

 

Just over half 55% of IT professionals characterize their organization as more vulnerable to cyber threats because its employees work remotely.

The biggest perceived threats are ​​​​​​unauthorized access/theft of data and malicious software. Organizations that paid a ransom typically paid at least $25,000.

In 2022, 73% of organizations admit to paying the ransom, up from 69% the previous year.

More organizations across the country have decided to invest in cybersecurity insurance, a notable increase from 59 per cent last year to 74 per cent in 2022, despite increasing costs and requirements.

 

82% of IT professionals indicate that their organization has a cyber incident response plan with six-in-ten adding that they have used it in the last 12 months.

Does your organization conduct cybersecurity awareness training for its employees?

2022: 96% yes

2019: 87% yes

2022: 4% no

2019: 11% no

Most organizations conduct cybersecurity awareness training quarterly or less. The proportion that conducts training at least quarterly is higher in 2022 (67 per cent) than in previous years.Data suggests there is a gap between the volume of threats organizations face and the frequency with which training is conducted.

Focusing on privacy, data sovereignty and new policy

Three-in ten (29 per cent) organizations experienced a breach of customer and/or employee data last year against 18 per cent before the pandemic.

Among these, a total of 44% informed their customers.

In June 2022, the Canadian government tabled Bill C-27 to update Canada’s federal private sector privacy law, the Personal Information Protection and Electronic Documents Act (PIPEDA), to create a new tribunal, and to propose new rules for artificial intelligence (AI) systems.

Just over half of Canadian organizations (55%) are aware of Bill C-27 and of those who are aware, six-in-ten (59%) are concerned about the potential impact on their organization.

Half of organizations (49 per cent) rate privacy protection for consumers in Canada as excellent or good with the exception of MUSH organizations. They are more likely (30 per cent of them) to rate privacy protection for consumers in Canada as poor.

With the heavy volume of personal and professional data stored in the cloud as well as the data in motion, organizations have to be cautious. Data sovereignty means that digital data is subject to the laws of the country in which it is located. Data stored in Canada falls within Canadian privacy laws, as well as data that flows only within our borders. Once an organization’s data travels outside of Canada’s borders it is open to the laws of the land.

Most organizations (63 per cent) consider data sovereignty as more important than price when selecting a cybersecurity service vendor.

Blog Series

As part of October’s Cybersecurity Month, CIRA is publishing a series of blog posts based on the findings of the 2022 Cybersecurity Survey.

Below you will find links to each piece in the series as it is published: 

  1. Personal data and cyber threats: is your brand protected?
  2. The value Canadian organizations place on data sovereignty
  3. Bill C-27 is here: will you be ready?
  4. The challenges associated with the rise of remote work
  5. The state of ransomware in Canada

CIRA Cybersecurity Services

CIRA has leveraged its experience managing a network of over 3 million .CA domains to develop a suite of enterprise-grade cybersecurity products — made by Canadians, for Canadians:

  • CIRA DNS Firewall: a cloud-based cybersecurity solution that protects organizations from malware, ransomware, phishing, and other cyberattacks.
  • CIRA Canadian Shield: a free cybersecurity service that improves privacy by anonymizing DNS queries. It helps Canadian households block viruses, ransomware, and other malware.
  • CIRA Cybersecurity Awareness Training: an integrated courseware and phishing simulation platform that enables organizations to educate their staff to protect themselves from cyber risks like social engineering and ransomware.

You can learn more about CIRA Cybersecurity Services here.

Read more

Chargement…