Aller au contenu principal
  • Cybersécurité

Rapport sur la cybersécurité de 2020 de CIRA

Nous avons une version plus récente de ce rapport.

Lisez notre sondage 2022 sur la cybersécurité

Faits saillants du rapport sur la cybersécurité de 2020 de l’ACEI

  • Le nombre d’organisations qui prévoient consacrer davantage de ressources humaines à la cybersécurité au cours des 12 prochains mois ne cesse de diminuer, alors qu’un tiers prévoient le faire, ce qui représente une baisse par rapport à 45 % en 2019. 
  • Près de trois organisations sur 10 ont constaté un pic dans le nombre d’attaques pendant la pandémie.
  • Un peu moins que la moitié des organisations ont mis en place de nouvelles protections en matière de cybersécurité directement en réaction à la COVID-19.
  • Un quart des organisations ont été victimes d’une fuite de données de leurs clients et/ou leurs employés au cours de la dernière année. 38 % de plus ignorent si tel a été le cas.
  • Les organisations sont moins susceptibles qu’en 2019 d’aviser un organisme de réglementation d’une fuite de données, alors qu’à peine 36 % le font comparativement à 58 % l’an dernier.
  • Les décideurs sont divisés en ce qui concerne leur préoccupation face aux changements à la LPRPDE, alors que 54 % se disent préoccupés.

Introduction – La pandémie entraîne une hausse des problèmes liés à la cybersécurité et une lassitude face à la réglementation

Si vous aimez les films où le méchant gagne, vous allez probablement aimer l’année 2020. Face à la crise mondiale que suscite la COVID-19, les cybercriminels s’en donnent à cœur joie dans l’environnement actuel. Les télétravailleurs n’ont plus accès à la sécurité que leur offre le pare-feu de l’entreprise et le soutien technique à proximité, mais ils sont également plus anxieux et prêts à croire aux demandes frauduleuses qu’ils reçoivent par courriel ou dans le message sur les médias sociaux. Ainsi, alors que les entreprises doivent de plus en plus composer avec les risques que suscite la pandémie, elles se retrouvent confrontées en même temps au risque accu d’une augmentation du nombre de cyberattaques qui visent également à tirer profiter de cette pandémie.

Le décor de notre film « 2020 », c’est notre maison. Un sondage sur la cybersécurité que l’ACEI a réalisé en 2020 nous apprend que les deux tiers des travailleurs de la TI doivent travailler à la maison eux en raison de la COVID-19. Le télétravail forcé est encore plus répandu dans le secteur public, alors que 79 pour cent des employés dans le domaine de la TI travaillent chez eux comparativement à 60 pour cent pour les entreprises privées. En raison du télétravail, les travailleurs sont encore plus vulnérables aux attaques, puisque les réseaux Wi-Fi à la maison sont généralement moins sûrs que les réseaux des entreprises, et ce, pour différentes raisons.

La scène initiale commence par un barrage de cyberattaques. Trois répondants au sondage sur 10 ont constaté une augmentation du nombre de cyberattaques pendant la pandémie. Cela correspond aux observations de l’ACEI qui a constaté une augmentation de 39 pour cent du nombre de cybermenaces contre les clients dans le domaine des soins de santé qui utilisent sa plate-forme de sécurité pendant plus de 30 jours entre avril et mai, c’est-à-dire immédiatement après le début du confinement.

L’intrigue s’apprête à devenir encore plus sombre au cours des 12 prochains mois en matière de TI. Malgré qu’ils soient confrontés à un nombre croissant d’attaques dans un scénario difficile à confirmer, près d’un tiers seulement des travailleurs prévoient une augmentation des ressources humaines dans le domaine de la cybersécurité. Cela signifie une baisse par rapport à 45 pour cent qui prévoient une augmentation des ressources en 2019. Près d’un travailleur sur 10 prévoit disposer de moins de ressources pour l’aider à faire son travail.

Ce dénouement sort de nulle part. Ceux qui brandissent le marteau de la réglementation augmentent la pression chez les cyberacteurs. Les organisations commencent à manifester leur fatigue de la conformité, alors qu’on assiste à un nombre croissant de rapports faisant état de changements récents à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), malgré qu’il soit moins probable que l’an dernier qu’elles fassent état de violations de données. À peine 36 pour cent ont informé un organisme de réglementation après avoir été victimes d’une fuite de données, en baisse par rapport à 58 pour cent en 2019. De plus, 44 pour cent ont avisé leurs clients d’une fuite en 2020, comparativement à 48 pour cent en 2019.

Attendez avant de présenter le générique. Notre objectif, avec le sondage de 2020 sur la cybersécurité, est de donner un aperçu du cyberpaysage en cette période unique et difficile. Nous espérons faire ainsi la lumière sur la façon dont les entreprises canadiennes parviennent à résister et à composer avec la crise sur le plan de la sécurité de la TI.

Formation de sensibilisation à la cybersécurité pour les organisations

On dit souvent que l’être humain assis derrière le clavier représente le maillon le plus faible en matière de cybersécurité. Cet aspect est devenu encore plus important pendant la pandémie, alors que les travailleurs échoués à la maison doivent composer avec un nombre croissant de tentatives d’hameçonnage de la part de cybervoleurs. Le Centre canadien pour la cybersécurité nous met en garde à l’effet que les pirates profitent de la COVID-19 et de l’attention que suscite la situation actuelle. Les courriels, les pièces jointes et les sites Web malicieux ayant la pandémie pour thème sont fréquents. Le National Post nous apprend que les pirates ne font preuve d’aucune gêne dans leurs tentatives d’hameçonnage, alors qu’ils profitent de la pandémie en lançant des attaques offrant faussement une application de traçage des contacts liés à la COVID-19. Les utilisateurs anxieux d’appareils mobiles qui cherchaient à installer l’application d’alerte à la COVID diffusée par le gouvernement fédéral se sont plutôt retrouvés aux prises avec un rançongiciel.

Plus d’un quart des travailleurs dans le domaine de la TI déclarent que leur organisation a été victime d’un incident de sécurité ayant pour thème la COVID-19. En observant les données que nous recueillons parce que nous offrons notre Bouclier canadien et notre pare-feu DNS, nous pouvons affirmer que ces nouvelles menaces ne remplacent pas les anciennes, mais elles augmentent plutôt le nombre de vecteurs que les acteurs malicieux utilisent afin de cibler les organisations.

Pour contrer cette menace, les organisations adaptent les scénarios de télétravail en offrant une formation consacrée spécifiquement à la cybersécurité. Presque toutes (94 pour cent) les organisations déclarent offrir une formation de sensibilisation à la cybersécurité et presque la moitié (48 pour cent) affirment qu’elle est obligatoire, ce qui représente une augmentation de 41 pour cent en 2019. Parmi les sujets de formation populaires, mentionnons le télétravail sécuritaire, alors que 78 pour cent des répondants disent que cette formation est offerte par leur organisation. La formation sur la façon d’utiliser le logiciel de vidéoconférence, comme Zoom, est également fréquente, alors que 74 pour cent déclarent qu’elle est offerte. Cinquante-six pour cent des organisations offrent également à leurs employés une formation sur les cybermenaces qui sont spécifiquement liées à la COVID-19.

La manière dont on offre la formation semble également un peu différente en 2020. La méthode la plus répandue consiste à créer nous-mêmes un matériel de formation et à en faire la promotion à l’interne, alors que 57 pour cent déclarent en faire autant. Les simulations d’hameçonnage, alors que le service de la TI ou un tiers imite une tentative d’hameçonnage pour ainsi vérifier si l’employé mord à l’hameçon, sont plus populaires cette année, alors que 37 pour cent déclarent employer cette méthode comparativement à 21 pour cent en 2019. Près d’un tiers, des entreprises offrent toujours des ateliers à l’heure du dîner, soit autant qu’en 2019, mais nous imaginons qu’un nombre encore plus grand ont organisé des rassemblements virtuels.

C’est une chose que d’offrir de la formation. C’en est une autre que de le faire régulièrement. La plupart des organisations déclarent qu’elles n’offrent pas fréquemment de formation de sensibilisation à la cybersécurité, puisque 40 pour cent le font une fois l’an ou moins souvent, et près de la moitié le font une fois tous les trimestres. C’est peu, lorsqu’on sait que les travailleurs anxieux seront probablement victimes de cyberattaques quotidiennes ayant la COVID-19 pour thème alors qu’une erreur suffit pour qu’il y ait atteint à la sécurité. De plus, on ne compte plus les ressources éducatives qui soulignent l’importance cruciale de la répétition lors de la formation des apprenants adultes – un problème qu’une plate-forme de formation permet de résoudre.

Encore, presque tous les travailleurs de la TI (93 pour cent) croient que leur formation contribue à tout le moins légèrement à réduire le nombre d’incidents liés à la sécurité et les comportements à risque en ligne. Pour mesurer l’efficacité de la formation, 46 pour cent des gens ayant suivi une formation de sensibilisation à la cybersécurité déclarent surveiller les résultats et les cotes de risque dans le temps, alors que 42 pour cent déclarent chercher à réduire les coûts lors des incidents liés à la sécurité, et 42 pour cent s’intéressent également aux économies de temps lorsqu’il s’agit de répondre aux incidents liés à la sécurité.

Alors que plusieurs formateurs dans le domaine de la cybersécurité sont en mesure de collaborer à ces efforts, les répondants au sondage ont démontré qu’ils étaient peu au fait de leur existence.

Lorsqu’il est temps de choisir une plate-forme de formation, les travailleurs de la TI déclarent que les avis et les recommandations en matière de risque représentent les aspects les plus importants dont il faut tenir compte, alors que 39 pour cent déclarent que cet aspect présente une importance cruciale et 48 pour cent considèrent qu’il est relativement important. Le personnel de TI souhaite également des cours de formation modernes et de qualité (37 pour cent considèrent ces cours essentiels) et des simulations d’hameçonnage automatisées (36 pour cent considèrent qu’elles sont essentielles).

D’après le Centre antifraude du Canada, les télétravailleurs sont continuellement assaillis par des tentatives de fraude. Une alerte émise le 31 août révèle que les fraudes en cours concernant la COVID-19 visent les entreprises chargées de remplir les demandes pour la Prestation canadienne d’urgence (PCU), les organismes de bienfaisance non autorisés qui tentent de recueillir des dons, ainsi que les escrocs qui se font passer pour des autorités, comme le Center for Disease Control ou l’Organisation mondiale de la santé. Une première ligne de défense d’une organisation consiste à former ces employeurs afin qu’ils fassent preuve de vigilance face à ces efforts. Il est maintenant plus important que jamais de renforcer cette première ligne, compte tenu de l’augmentation du nombre d’attaques, de la vulnérabilité accrue des employés et, comme nous le verrons dans la section suivante, de l’impact négatif accru que produisent les attaques efficaces.

La réalité à laquelle les organisations sont confrontées de nos jours au Canada en matière de cybermenaces

La sphère d’influence de la TI au bureau était suffisamment limitée, alors que les employés ignorent la politique de sécurité et que l’adoption de la TI intégrée est fréquente. La TI exerce encore moins de contrôle, maintenant qu’un nombre de plus en plus grand de travailleurs travaille à partir du domicile. Par conséquent, les travailleurs de la TI se sentent davantage préoccupés par la cybersécurité en 2020.

Alors que les deux tiers des employés déclarent utiliser des appareils que leur a remis leur employeur, la moitié reconnaissent également qu’ils utilisent aussi leurs appareils personnels à l’occasion. Cette situation se manifeste dans les réponses au sondage, alors que cinquante-quatre pour cent des travailleurs dans le domaine de la TI se disent davantage préoccupés par les dommages qui pourraient résulter de cyberattaques futures cette année. Plus de quatre personnes sur 10 parlent de l’inquiétude que suscite l’empreinte et les politiques de sécurité de la TI de leur organisation en raison de la pandémie. 

Par conséquent, 52 pour cent affirment qu’on déploie davantage de mesures afin de protéger la cybersécurité en réaction à la COVID-19. Le choix le plus populaire en matière de nouvelles protections, dont plus précisément en réaction à la pandémie, concerne les nouvelles politiques (adoptées par 63 pour cent des gens) et les dispositifs de protection des appareils pour les télétravailleurs (60 pour cent). À tout le moins, certaines des nouvelles mesures de protection nouvellement déployées seront en place de manière permanente chez 91 pour cent des répondants.

On ajoute présentement d’autres niveaux de cybersécurité au-delà d’une réponse destinée précisément à la COVID-19. Près de six personnes sur 10 procèdent cette année au déploiement d’un réseau privé virtuel. La moitié déploient des pare-feu DNS en réaction à une augmentation du nombre de cybermenaces. Lorsqu’on leur demande s’ils disposent déjà d’un pare-feu DNS en nuage, tel le pare-feu D-Zone DNS de l’ACEI, 62 pour cent répondent par l’affirmative, en hausse par rapport à 42 pour cent en 2018. Parmi les organisations qui prévoient se doter de couches additionnelles face à l’augmentation du nombre de cybermenaces, 46 pour cent déploient des gestionnaires de mots de passe.

Les travailleurs de la TI déclarent qu’ils consacrent davantage de ressources à la cybersécurité pour la principale raison qu’ils souhaitent prévenir la fraude et le vol (c’est ce que déclarent 55 pour cent) et protéger la réputation de leur organisation (53 pour cent), ainsi que pour protéger les renseignements personnels des clients (52 pour cent).

Cette sécurité accrue permet ainsi de répondre non seulement à l’augmentation du nombre d’attaques, mais également d’éviter les impacts négatifs qui résultent de ces attaques. Au cours de la dernière année, huit organisations sur 10 ont été victimes d’au moins une attaque, alors que 21 pour cent déclarent qu’elles ont dû repousser plus de 10 attaques. De ceux qui ont été confrontés à ces attaques, 57 pour cent déclarent qu’au moins une a eu des répercussions négatives sur leur organisation. Les attaques qui ont porté fruit étaient susceptibles d’atteindre les infrastructures du réseau et les bases de données, alors que 86 pour cent y sont parvenues. De plus, 94 pour cent des attaques ont eu un impact négatif sur les ordinateurs de bureau et les appareils individuels et 80 pour cent touchaient les données des utilisateurs et des clients.

Les coûts liés à une attaque ont également eu un effet sur la productivité, alors que 30 pour cent ont déclaré que les attaques réussies ont empêché les employés d’effectuer leur travail habituel. Les attaques ont aussi entraîné une augmentation des amendes imposées par un organisme de réglementation chez deux fois plus de répondants qu’en 2019, alors que 14 pour cent ont déclaré que le nombre d’amendes a augmenté avec le temps comparativement à 7 pour cent l’an dernier et à peine 4 pour cent en 2018.

Pour relever les défis accrus que présentent la cybersécurité et les impacts négatifs plus graves, les services de la TI réagissent en formant leurs employés (61 pour cent ont répondu ainsi), en procédant à des audits de sécurité (dans 47 pour cent des cas) et en installant un nouveau logiciel (45 pour cent des répondants). On doute cependant que cette réponse suffise afin de faire face au risque accru. Nous avons déjà constaté que moins d’organisations prévoient augmenter leurs effectifs pour améliorer la cybersécurité. À peine 43 pour cent prévoient investir davantage de ressources dans la cybersécurité au cours des 12 prochains mois, une baisse par rapport à 54 pour cent qui prévoyaient procéder à une telle augmentation l’an dernier.

On craint que des conséquences négatives puissent résulter de la disparité entre le risque et les ressources. La priorité pour les travailleurs de la TI concerne les maliciels (comme les rançongiciels), alors que 57 pour cent déclarent que ceux-ci pourraient avoir l’impact négatif le plus profond à l’avenir. Cinquante-cinq pour cent déclarent que l’accès non autorisé, la manipulation ou le vol de données pourrait avoir le plus d’impact, mais 55 pour cent craignent également l’escroquerie et la fraude.

Pour observer ces risques, 64 pour cent des travailleurs prévoient surveiller le pare-feu, 44 pour cent prévoient surveiller la manière dont les employés utilisent leurs ordinateurs et l’Internet, alors que 41 pour cent prévoit procéder à des essais de pénétration. La moitié des organisations respecteront également une politique officielle en matière de correctifs.

Le portrait global fait état de ressources surutilisées en matière de TI et de travailleurs de la TI qui exercent moins d’influence sur les employés. La pression accrue exercée par les organismes de réglementation vient à son tour augmenter les tensions que suscite le scénario sur le plan de la cybersécurité. Nous avons constaté dans les résultats présentés dans cette section que deux fois plus d’entreprises déclarent une augmentation des amendes imposées par les organismes de réglementation ou par les autorités lorsqu’on compare à 2019, mais d’autres signes nous démontrent que le fardeau réglementaire est une source de fatigue chez les travailleurs.

Désir d’améliorer la souveraineté des données et la fatigue engendrée par les exigences réglementaires

Au Canada, les changements dont la LPRPDE a récemment fait l’objet augmentent la pression sur les entreprises qui vacillent sur le plan de la cybersécurité, exigeant ainsi des firmes qui sont aux prises avec une fuite de données qu’elles avisent le Commissaire à la protection de la vie privée dans bien des cas. Ce changement est survenu la première fois en 2018, l’année où les entreprises qui desservent les clients en Europe ont également dû commencer à se conformer au Règlement général sur la protection des données (RGPD) adopté par l’Union européenne. Nous constatons des signes qui nous apprennent que les entreprises trouvent plus difficile de se conformer aux règlements en raison des défis additionnels que suscite la pandémie.

Sept travailleurs sur 10 disent connaître la LPRPDE en général, alors que 59 pour cent savent que cette Loi exige maintenant des organisations commerciales qu’elles divulguent les fuites de données. Cette connaissance a augmenté, alors qu’elle se situait à peine à 42 pour cent en 2018, au moment où l’on a modifié la loi pour la première fois. Le Commissariat à la protection de la vie privée du Canada a publié des statistiques au sujet des fuites de données en octobre 2019, c’est-à-dire un an après avoir imposé cette exigence. Le Commissariat a reçu 680 rapports de fuites, ce qui est six fois plus qu’une année plus tôt, lorsque la production de ces rapports s’effectuait sur une base volontaire. Ce rapport nous apprend que 28 millions de Canadiens ont connu une fuite de données et que l’accès non autorisé était la cause la plus probable de ces fuites.

Il sera intéressant de constater ce à quoi ressemblent les données si le Commissariat publie une mise à jour portant sur sa deuxième année de déclaration obligatoire des fuites de données. La plupart des organisations enregistrent les renseignements personnels des clients, des employés, des fournisseurs, des vendeurs et des partenaires en 2020, alors que 66 pour cent déclarent le faire cette année comparativement à 59 pour cent en 2018. Un nombre légèrement plus élevé d’organisations ont été victimes de fuites de données au cours de la dernière année, alors qu’un quart déclarent avoir connu au moins une fuite comparativement à 15 pour cent il y a un an à peine. De plus, 38 pour cent reconnaissent ignorer s’ils ont fait les frais d’une fuite de données.

Malgré qu’un plus grand nombre d’organisations enregistrent des renseignements personnels et soient victimes de fuites, elles sont bien moins susceptibles de signaler une fuite de données aux autorités cette année. À peine 36 pour cent disent avoir signalé une fuite à un organisme de réglementation, en baisse par rapport à 58 pour cent qui ont fait un tel signalement en 2019. À peine 31 pour cent ont signalé une fuite de données à un organisme d’application de la loi, également en baisse par rapport à 37 pour cent l’an dernier. Quarante-quatre pour cent de celles qui ont subi une fuite de données disent en avoir informé leurs clients, en baisse par rapport à 48 pour cent l’an dernier. Les organisations sont plus susceptibles d’informer les gestionnaires et la haute direction d’une fuite de données, alors que la moitié l’ont fait cette année comparativement à 40 pour cent à peine l’an dernier. De même, 34 pour cent ont avisé leur conseil d’administration, en hausse par rapport à 21 pour cent il y a un an.

Les cas signalés de non-respect de la LPRPDE n’augurent pas bien pour l’avenir de la loi sur la protection des renseignements personnels au Canada. Si les sociétés en ont déjà assez des exigences plus strictes en matière de signalement des fuites de données et si elles sont prêtes à risquer de se voir imposer des amendes advenant qu’elles ne s’acquittent pas de leur responsabilité de produire un rapport plutôt que de subir le marteau assuré de la réglementation si elles produisent un rapport, la version modernisée à venir de la loi sur la protection des renseignements personnels pourrait être difficile à appliquer. Daniel Therrien, commissaire à la protection de la vie privée, a demandé aux gouvernements de mettre la LPRPDE à jour pour accorder à son bureau le pouvoir d’émettre des ordonnances, ce qui signifie qu’il pourrait imposer des amendes aux sociétés qui ne respectent pas la LPRPDE. À l’heure actuelle, le Commissariat doit traîner les organisations fautives devant la cour fédérale pour faire respecter la loi.

Le printemps dernier, le gouvernement fédéral publiait un document de discussion exprimant son intention d’accroître le rôle du Commissariat en matière de surveillance et d’application de la loi. Des efforts sont également en cours à l’échelle provinciale afin de consolider les lois commerciales sur la protection des renseignements personnels en Ontario et au Québec. Cinquante-quatre pour cent des travailleurs dans le domaine de la TI se disent préoccupés par les changements apportés cette année à la LPRPDE, ce qui est conforme au rapport de l’an dernier, mais en hausse par rapport à 38 pour cent qui ont exprimé cette préoccupation en 2018.

De nombreuses applications mobiles populaires ont suscité de nouvelles préoccupations liées à la vie privée le printemps dernier. iOS 14, la version précommercialisation du nouveau système d’exploitation mobile d’Apple, comportait une option de confidentialité qui avisait les utilisateurs au moment où une application lisait le contenu de leur presse-papier. Cette fonction étonnante ne fait que témoigner de la fréquence à laquelle les applications viennent fouiner dans le presse-papier – un problème bien plus sérieux que TikTok. Google Chrome, The New York Times, The Wall Street Journal et Bejeweled ne sont que quelques-unes des applications fouineuses, selon MobileSyrup.

Quatre organisations sur 10 déclarent utiliser une application mobile pour les clients, les fournisseurs ou les partenaires. Pour ceux qui utilisent une telle application, 47 pour cent des applications du secteur privé suivent les données de GPS ou d’autres données de positionnement, alors que 41 recueillent des données provenant du presse-papier des utilisateurs. Les applications mobiles du service public sont moins susceptibles de recueillir ces données, puisque 35 pour cent recueillent les données de localisation et 25 pour cent recueillent les données du presse-papier.

Soixante-dix pour cent des travailleurs dans le domaine de la TI déclarent que leur organisation dispose d’une politique officielle en matière de conservation des données et 43 pour cent déclarent qu’ils ont modifié les politiques ou la manière de traiter spécifiquement les données des clients en raison des exigences de la LPRPDE. 

Souveraineté des données

Alors que l’élection présidentielle américaine est à nos portes, plusieurs travailleurs dans le domaine de la TI se demandent si leurs données sont exposées au regard indiscret des organismes du renseignement ou d’application de la loi de nos voisins du sud. La notion de souveraineté des données, l’idée selon laquelle une nation devrait rester en contrôle de ses propres données en les stockant sur son propre territoire a suscité une attention accrue en juillet après qu’une cour de justice de l’Union européenne ait voté pour éliminer le bouclier de protection des données de l’UE et des États-Unis. Plusieurs entreprises qui font des affaires à l’échelle planétaire sont retournées à la planche à dessin pour définir le flux de leurs données et mettre en place de nouveaux contrats qui allaient leur permettre de continuer à faire des affaires. Il se peut que, pour entretenir de bonnes relations commerciales avec l’Union européenne, le Canada doive en faire plus pour démontrer que ses lois en matière de protection des renseignements personnels sont tout aussi efficaces que les lois récentes qu’on a adoptées en Europe et qu’il est en mesure de fonctionner au-delà de la zone d’atteinte des Américains.

L’ACEI préconise pour l’Internet une infrastructure plus résiliente et plus sûre au Canada en augmentant le nombre de points d’échange Internet (IXP) disponibles. Lorsque les importants fournisseurs d’accès à l’Internet établissent des connexions d’appairage avec des IXP en sol canadien, on réduit le volume de trafic Internet détourné au sud de la frontière. L’interconnexion par l’entremise de ces concentrateurs augmente également la vitesse et la latence, en plus de permettre des économies.

Dans un tel contexte, il ne faut pas s’étonner que près de sept répondants sur 10 soient inquiets du flux des données qui traversent des pays autres le Canada, en hausse par rapport à 49 pour cent en 2018 et environ la même proportion que l’an dernier. Six sur 10 sont préoccupés par le flux de données qui passent en particulier par les États-Unis, en hausse par rapport à 49 pour cent en 2018.

En ayant peut-être la souveraineté des données à l’esprit, 80 pour cent des organisations déclarent opter pour des entreprises canadiennes pour offrir des services impartis. Trois quarts des travailleurs de la TI reconnaissent qu’il est important pour les organisations canadiennes de stocker l’information des clients au Canada.

Presque autant de travailleurs reconnaissent qu’il est très avantageux de conserver le trafic Internet canadien local à l’intérieur des frontières canadiennes. L’avantage perçu le plus important du maintien du flux des données au nord de la frontière consiste dans une sécurité améliorée de l’information (65 pour cent) et dans la diminution du nombre d’attaques malicieuses de sources géographiques (46 pour cent).

Conclusion – Les organisations améliorent la sécurité, mais s’inquiètent du paysage ponctué de menaces dangereuses

Les efforts ayant pour but d’assurer un accès sécuritaire à l’Internet pour tous les Canadiens représentent un élément majeur du mandat de l’ACEI. Après cinq années d’expérience dans le domaine de la cybersécurité et grâce à ce troisième sondage sur la cybersécurité de l’ACEI, nous voulions non seulement présenter un survol global du paysage des menaces au Canada par rapport aux années précédentes, mais également mieux comprendre les défis que pose la pandémie.

Sachant que la COVID est venue imposer un scénario complexe pour bien des organisations, il n’est pas étonnant de constater que certains des nouveaux défis sur le plan de la cybersécurité font leur apparition dans le rapport de cette année. Les organisations qui comptaient sur les travailleurs réunis à l’intérieur d’un même édifice pour utiliser le matériel déployé et surveillé par le personnel de TI s’efforcent maintenant de soutenir leurs employés qui évoluent à partir des leurs bureaux à domicile et qui sont ainsi répartis ici et là sur le territoire. Pendant ce temps, certaines organisations font état d’une augmentation du nombre d’attaques dont elles sont victimes et plusieurs de ces attaques ont pour thème la COVID-19. Alors que ces employés apprennent avec anxiété à composer avec le confinement imposé par le gouvernement et s’inquiètent de leur santé, ils sont plus susceptibles de mordre à une tentative d’hameçonnage.

Il semble qu’il n’existe aucune cavalerie qu’on puisse appeler et qui viendra à notre secours. Moins d’organisations que l’an dernier prévoient consacrer davantage de ressources à la cybersécurité, et ce, tant sur le plan humain que financier. C’est peut-être la raison pour laquelle nous assistons à une préoccupation croissante face aux impacts négatifs possibles de la cybersécurité sur les organisations.

Personne ne sera étonné de constater le fardeau additionnel de la pandémie sur la cybersécurité. Ce qu’on trouve de plus étonnant dans ce rapport, c’est l’apparente nonchalance des organisations qui doivent se conformer aux exigences des organismes de réglementation. Dans le rapport de l’an dernier, nous disions espérer qu’un plus grand nombre d’organisations voient une certaine sagesse dans le fait d’agir de manière transparente face aux fuites de données après avoir constaté que 58 pour cent de celles qui en avaient été victimes avaient fait un signalement à un organisme de réglementation. Cette année, à peine 36 pour cent ont fait un tel signalement à un organisme de réglementation. Il semble, malgré qu’on soit mieux informé des nouvelles exigences de la LPRPDE, qu’un nombre plus grand d’organisations décident de prendre le risque de ne pas se conformer.

Les événements politiques qui doivent se dérouler d’ici la fin de 2020 auront des implications majeures sur la cybersécurité au Canada. Si, en mettant la LPRPDE à jour, le gouvernement fédéral adopte des exigences plus strictes en matière de protection des renseignements personnels, les organisations pourraient se sentir bousculées afin qu’elles assurent la conformité. Le gouvernement pourrait devoir inciter davantage les entreprises à respecter leurs exigences soit avec la carotte (en offrant des ressources à celles qui signalent des fuites de données) ou le bâton (des amendes élevées à celles qui ne signaleront pas une fuite immédiatement après l’avoir constatée).

Peu importe ce qui arrivera, l’ACEI est là pour les aider. Comptant plus de 20 années d’expérience en gestion du domaine .CA de premier niveau au Canada, nous avons appris une chose ou deux sur la cybersécurité. Cette connaissance nous permet de créer des produits, tel le pare-feu DNS de l’ACEI, Anycast DNS de l’ACEI et la formation de sensibilisation à la cybersécurité de l’ACEI. Chaque élément présente une conception unique qui permet aux organisations canadiennes d’assurer un niveau essentiel de défense dans le cadre de leur stratégie globale en matière de cybersécurité. Nous espérons également que ce rapport sur les tendances en matière de cybersécurité contribuera à consolider la capacité du Canada sur le plan de la cybersécurité et à rendre notre Internet à la fois résilient et accessible.

Méthodologie

À propos des répondants

  • L’ACEI a demandé à The Strategic Counsel d’interviewer 500 travailleurs qui sont responsables de la sécurité de la TI.
  • Les usagers qu’on a interrogés étaient responsables de la gestion d’au moins 50 utilisateurs d’ordinateurs de bureau ou d’appareils portables pour effectuer au moins 20 % de leur travail.
  • Les répondants assumaient la responsabilité financière des décisions ayant trait à la cybersécurité.
  • 100 pour cent des répondants possédaient à tout le moins une connaissance relative des fonctions en matière d’informatique et de TI de leur organisation.
  • 26 pour cent des répondants travaillent pour une organisation qui compte de 50 à 99 employés qui utilisent des ordinateurs ou des appareils mobiles; 29 pour cent représentent des organisations comptant entre 100 et 229 employés; 15 pour cent proviennent d’entreprises où l’on dénombre de 250 à 499 employés; 13 pour cent évoluent pour une entreprise comptant de 500 à 999 employés, alors que 18 pour cent travaillent pour une entreprise dont le nombre d’employés est supérieur à 1 000.

À propos des organisations

Alors que notre sondage s’adressait à des organisations variées, la majorité des participants de l’échantillon ont déclaré qu’ils étaient en affaires depuis un certain temps, alors que 55 pour cent ont déclaré l’être depuis plus de 20 ans. En tout, 64 pour cent des entreprises de notre échantillon ont déclaré faire des affaires au Canada seulement.

Les organisations du secteur privé représentaient 65 pour cent de l’échantillon, alors que les organismes publics ou à but non lucratif représentaient 35 pour cent.

Table of contents

We have a newer version of this report, with survey data from 2022.

Read our 2022 CIRA Cybersecurity Survey

Highlights

  • Fewer organizations expect to increase human resources dedicated to cybersecurity in the next 12 months with one-third planning to do so, down from 45% in 2019.  
  • About three in 10 organizations have seen a spike in the volume of attacks during the pandemic. 
  • Slightly more than half of organizations implemented new cybersecurity protections directly in response to COVID-19. 
  • One-quarter of organizations experienced a breach of customer and/or employee data last year. Another 38% don’t know if they did or not. 
  • Organizations are less likely than in 2019 to inform a regulatory body of a data breach, with only 36% doing so compared to 58% last year.
  • Decision-makers are divided in their concern about changes to PIPEDA, with 54% saying they are concerned. 

Introduction – Pandemic heightens cybersecurity woes and regulatory fatigue

If you like movies where the bad guy wins, then you’re probably enjoying 2020. In the face of the global crisis posed by COVID-19, cyber-criminals are thriving. Not only are remote workers removed from the security of the company firewall and nearby technical support, but they’re also more anxious and willing to believe in fraudulent claims that come in the form of an email or social media message. The result is that while businesses face the increased risk posed by the pandemic, they are simultaneously facing the increased risk of more cyber attacks that also take advantage of that pandemic.

The setting of our “2020” movie is in the home. According to the 2020 CIRA Cybersecurity Survey, two-thirds of IT workers were required to work from home because of COVID-19. Forced remote work was even more prominent in the public sector, where 78 per cent of IT employees worked at home compared to 60 per cent from private firms. Working from home can leave workers more vulnerable to attack, as home Wi-Fi networks are generally less secure than corporate networks for a variety of reasons.

The opening scene features a barrage of cyber attacks. Three in 10 survey respondents report experiencing an increased volume of cyber attacks during the pandemic. That corresponds with CIRA’s observations of a 39 per cent increase in cyber threats against health care clients using its network security platform over 30 days from April to May, right after the start of the lockdown.

The plot looks to get even darker for IT in the next 12 months. Despite facing more attacks in a harder-to-secure scenario, only about one-third of workers anticipate an increase in human resources devoted to cybersecurity. That is down from 45 per cent anticipating more resources in 2019. About one-in-10 workers expect to have fewer resources to work with.

The twist comes out of nowhere. Adding to the pressure of cyber actors are those wielding a regulatory hammer. Organizations are beginning to show compliance fatigue, as more report being aware of recent changes to the Personal Information Protection and Electronic Documents Act (PIPEDA), yet they are less likely to report data breaches than last year. Only 36 per cent informed a regulatory body after experiencing a data breach, down from 58 per cent in 2019. Also, 44 per cent informed customers of a breach in 2020, while 48 per cent did so in 2019.

Don’t roll the credits yet. Our goal with the 2020 Cybersecurity Survey is to provide insight into the cyber landscape at a unique and challenging time. We hope it shines a light on how Canadian businesses are standing up to the test and coping with the crisis in terms of IT security.

Cybersecurity Awareness Training for Organizations

It’s often said that the weakest link in cybersecurity is the human at the keyboard. That’s become even more significant during the pandemic, while workers at home are facing more phishing attempts from cyber thieves. The Canadian Centre for Cybersecurity is warning that hackers are taking advantage of COVID-19 and the attention the issue demands. Pandemic-themed malicious emails, attachments, and websites are commonplace. Hackers are shameless in their phishing attempts, taking advantage of the pandemic by launching attacks such as a fake COVID-19 contact tracing app, reports the National Post. Anxious mobile users that were looking to install the real COVID Alert app released by the federal government were instead stuck with ransomware.

More than one-quarter of IT workers say their organization has been targeted by a COVID-19 themed security incident. From our own observations of the data we get from delivering CIRA Canadian Shield and CIRA DNS Firewall, we can say that these new threats aren’t replacing the old ones but in fact, they are increasing the number of vectors that malicious actors are using to target organizations.

To counter that threat, organizations are adapting to work-at-home scenarios by offering specific cybersecurity training. Almost all (94 per cent) of organizations say they conduct cybersecurity awareness training and almost half (48 per cent) say it is mandatory, an increase from 41 per cent in 2019. Popular training topics include how to work remotely securely, with 78 per cent of respondents saying it’s provided by their organizations. Training on how to use video conferencing software, like Zoom for example, is also common with 74 per cent saying it’s provided. Fifty-six per cent of organizations are also training their employees on cyber threats specifically related to COVID-19.

The way training is delivered also looks a bit different in 2020. The most common method is to create in-house training material and promote it internally, with 57 per cent saying they do so. Phishing simulations, in which the IT department or a third-party imitates a phishing attempt and sees which employees fall for it, is more popular this year with 37 per cent saying they do it compared to 21 per cent in 2019. About one-third of companies are still conducting lunch-and-learn workshops, on par with 2019, but we imagine more of those have been virtual get-togethers.

Conducting some training is one thing. Doing it regularly is another. Most organizations indicate they do not conduct cybersecurity awareness training on a frequent basis, with 40 per cent doing it annually or less often, and about half doing quarterly. That’s not much when anxious workers are likely facing COVID-19 themed cyber attacks on a daily basis and all it takes is one mistake to breach security. Moreover, there are countless educational resources that point out the critical importance of repetition in training adult learners – something that a training platform can solve.

Still, almost all IT workers (93 per cent) believe that their training is at least somewhat effective in reducing security incidents and risky online behaviour. To measure the effectiveness of training, 46 per cent of those that have cybersecurity awareness training say they monitor results and risk scores over time, while 42 per cent say they look at reduced costs on security incidents, and 42 per cent also look at time saved in responding to security incidents.

While there are many cybersecurity training providers to assist with these efforts, survey respondents showed limited awareness of these vendors.

When it does come time to select a training platform, IT workers say that risk advisory and recommendations are the most important features to consider, with 39 per cent saying it’s critically important and another 48 per cent saying it’s somewhat important. IT staff also want modern, high-quality training courses (37 per cent saying it’s critical) and automated phishing simulations (36 per cent saying it’s critical.)

Remote workers are being peppered with constant fraudulent attempts, according to the Canadian Anti-Fraud Centre. An alert issued Aug. 31 shows that ongoing frauds related to COVID-19 include companies offering to fill out applications for the Canadian Emergency Relief Benefit (CERB), unauthorized charities asking for donations, and scammers that pose as authorities such as the Center for Disease Control or the World Health Organization. Training those employers to be vigilant against such efforts is an organization’s first line of defense. It is now more important to bolster that first line given the increase in the number of attacks, employees heightened state of vulnerability, and as we’ll see in the next section, the increasing negative impact seen from effective attacks.

Cyber-threat reality that organizations in Canada are facing today

Pre-COVID, IT’s sphere of influence was already limited in many organizations, with employees wilfully ignoring security policies and the adoption of shadow IT a commonplace occurrence. Now that more workers are operating out of their homes, IT has even less control. As a result, IT workers are feeling more concerned about cybersecurity in 2020.

While two-thirds of employees say they’re using devices issued by their companies, half also say they are using their personal devices at least some of the time as well. This manifests itself in the survey responses where fifty-four per cent of IT workers say they are more concerned about the possible damage from future cyber attacks this year. More than four-in-10 are worried about their organization’s IT security footprint and policies in light of the pandemic.

As a result, 52 per cent say more cybersecurity protections are being deployed in response to COVID-19 threats. The most popular choice for new protections, specifically in response to the pandemic, are new policies (adopted by 63 per cent) and device protections for remote workers (60 per cent). At least some of the newly deployed protections will be in place permanently for 91 per cent of respondents.

Additional cybersecurity layers are being added beyond a specific response to COVID-19. Almost six-in-10 are deploying a virtual private network this year. Half are deploying DNS firewalls in response to an increase in cyber threats. When asked if they already have a cloud-based DNS firewall, such as CIRA D-Zone DNS Firewall, 62 per cent said yes, up from 42 per cent in 2018. Among organizations that plan to add additional layers to combat the increase in cyber threats, 46 per cent are deploying password managers.

IT workers say they are devoting more resources to cybersecurity primarily because they want to prevent fraud and theft (55 per cent saying so), protect the reputation of their organization (53 per cent) and protect the personal information of customers (52 per cent).

That added security comes in response to not only facing more attacks, but also experiencing more negative impacts from those attacks. In the past year, eight-in-10 organizations faced at least one attack, with 21 per cent saying they faced more than 10 attacks. For those that faced attacks, 57 per cent say that at least one had a negative impact on their organization. Successful attacks were likely to impact network infrastructure and databases, with 86 per cent doing so. In addition, 94 per cent of attacks negatively impacted desktops and individual devices and 80 per cent affected user or customer data.

The costs of being attacked also affected productivity, with 30 per cent saying successful attacks prevented employees from being able to carry out day to day work. Attacks also lead to increased fines by a regulator for twice as many respondents as in 2019, with 14 per cent saying fines are up over time compared to 7 per cent saying so last year, and just 4 per cent in 2018.

To respond to the increased challenges of cybersecurity and the more severe negative impacts of attacks, IT departments are responding with employee training (61 per cent saying so), security audits (47 per cent), and the installation of new software (45 per cent). But whether the response will be enough to meet the increased risk is in doubt. We’ve already seen that fewer organizations are expecting an increase in headcount to help with cybersecurity. Only 43 per cent anticipate more financial resources devoted to cybersecurity in the next 12 months, down from 54 per cent that expected an increase last year.

There is a concern that negative consequences may result from of the disparity between risk and resources. Top of mind for IT workers is malicious software (like ransomware), with 57 per cent saying it could have the greatest negative impact in the future. Fifty-five per cent say that unauthorized access, manipulation, or data theft could have the greatest impact, and 55 per cent also worry about scams and fraud.

To watch for those risks, 64 per cent of workers plan to monitor the firewall, 44 per cent plan to monitor employees’ use of their computers and the internet, and 41 per cent plan to conduct penetration testing. Half of organizations will maintain a formal patching policy as well.

The overall picture is one of stretched IT resources and IT workers that have less influence over employees. Adding to the strain of the cybersecurity scenario is the increased pressure from regulators. We saw in the results in this section that double the number of firms are reporting increased fines from regulators or authorities when compared to 2019, but there are other signs that regulatory burden is leading to weariness among workers.

Desire to Enhance Data Sovereignty and Tire of Regulatory Requirements

In Canada, recent changes to PIPEDA bring more pressure to companies that falter in their cybersecurity, requiring firms that suffer a data breach to inform the Privacy Commissioner of Canada in many situations. That change first came in 2018, the same year that companies serving customers in Europe also had to begin complying with the Global Data Protection Regulation (GDPR) enforced by the European Union. We are seeing signs that firms are finding regulatory compliance more difficult with the added challenges posed by the pandemic.

Seven in 10 workers say they are familiar with PIPEDA in general, and 59 per cent are aware that PIPEDA now requires commercial organizations to disclose data breaches. That awareness has grown from just 42 per cent in 2018, when the change to the legislation was first made. The Office of the Privacy Commissioner of Canada (OPC) released statistics on data breach reports in October 2019 after its first year of implementing the requirement. OPC received 680 breach reports, six times the number it received compared to one year earlier, when reporting was voluntary. The reports show that 28 million Canadians were affected by a data breach, and that the most common cause of them was unauthorized access at 58 per cent of all breaches.

It will be interesting to see what the data looks like if OPC releases an update looking at its second year of mandatory reporting of data breaches. More organizations are storing the personal information of customers, employees, supplies, vendors, or partners in 2020, with 66 per cent saying they do so this year compared to 59 per cent saying they did in 2018. Slightly more organizations experienced a data breach in the past year, with one-quarter saying they had at least one breach compared to just 15 per cent one year ago. Also, 38 per cent admit they don’t know if they had a data breach.

Despite more organizations storing personal information and experience breaches, they are much less likely to report a data breach to authorities this year. Only 36 per cent say they reported a breach to a regulatory body, down from 58 per cent doing so in 2019. Only 31 per cent reported a data breach to law enforcement, also down from 37 per cent last year. Four-four per cent that experienced a data breach say they informed their customers of it, down from 48 per cent last year. Organizations are more likely to report a data breach to their management and senior leadership, with half doing so this year compared to just 40 per cent doing so last year. Similarly, 34 per cent informed their board of directors of, up from 21 per cent one year ago.

The reported non-compliance with PIPEDA doesn’t bode well for the future of privacy legislation in Canada. If companies are already wary of the tougher data breach reporting and willing to risk the penalties associated with the abdication of their responsibilities to file a report rather than face the certain regulatory hammer of making a report, future modernization of the privacy act could be difficult to enforce. Privacy Commissioner Daniel Therrien has called upon the government to update PIPEDA to give his office order-making powers, meaning they could fine companies that don’t comply with PIPEDA. At present, OPC must take non-compliant organizations to federal court to ensure enforcement.

The Federal Government released a discussion paper in the spring indicating its intent to enhance the OPC’s enforcement and oversight roles. There are also provincial efforts underway to strengthen commercial privacy laws in Ontario and Quebec. Fifty-four per cent of IT workers say they are concerned about changes to PIPEDA this year, which is consistent with last year’s report, but up from 38 per cent being concerned in 2018.

New privacy concerns were raised by a slew of popular mobile apps this past Spring. Apple’s beta release of its new mobile operating system, iOS 14, included a privacy feature that notified users when an app read the contents of their clipboard. The surprising thing is just how common it was for apps to snoop on the clipboard – this was far more than just a TikTok issue. Google Chrome, The New York Times, The Wall Street Journal, and Bejeweled are just a few of the popular apps that take a peek, reports MobileSyrup.

Four in 10 organizations say they use a mobile app for customers, suppliers, or partners. For those that do use one, 47 per cent of private sector apps track GPS or other location data, and 41 per cent are collecting data from users’ clipboards. Public sector mobile apps are less likely to collect this data, at 35 per cent collecting location data and 25 per cent collecting clipboard data.

Seventy per cent of IT workers say their organization has a formal data retention policy and 43 per cent say they’ve made policy or process changes to how it handles customer data specifically because of new PIPEDA requirements.

Data sovereignty

With a U.S. presidential election just around the corner, many IT workers are thinking about whether their data is exposed to the prying eyes of American intelligence or law enforcement agencies. The concept of data sovereignty, the idea that a nation should remain in control of its own data by storing it within their own jurisdiction, received more attention in July after a Court of Justice of the European Union voted to strike down the EU-US Privacy Shield. That sent many firms that do business internationally back to the drawing board to map out their data flows and put in place new contracts that would allow them to keep doing business. It may be that in order to maintain good business relations with the European Union, Canada will have to do more to demonstrate its own privacy laws are on par with recent legislation adopted in Europe and show it is able to operate outside of the reach of American jurisdiction.

CIRA advocates for a more resilient and secure internet infrastructure in Canada through increasing the number of Internet Exchange Points (IXPs) available. When major internet service providers form peering connections with IXPs on Canadian soil, less internet traffic is diverted south of the border. Interconnecting through these hubs also improves speeds, latency, and saves money.

Given that context, it’s no wonder that about seven-in-10 respondents are worried about the flow of data through countries other than Canada, up from 49 per cent in 2018 and about on par with last year. Six in 10 are concerned about the flow of data through the U.S. in particular, also up from 49 per cent in 2018.

Perhaps with data sovereignty in mind, 80 per cent of organizations say they choose Canadian firms to provide outsourced services. Three-quarters of IT workers agree that it is important for Canadian organizations to store customer information in Canada.

Almost as many agree that there are important benefits to keeping local Canadian internet traffic within Canadian borders. The biggest perceived benefit to keeping data flows north of the border are improved information security (65 per cent) and to mitigate geographically-sourced malicious attacks (46 per cent).

Conclusion – Organizations improve security but worry about dangerous threat landscape

Working towards a safe and secure internet for all Canadians is a major plank of CIRA’s mandate. After five years of experience in the cybersecurity field and with this third annual CIRA Cybersecurity Survey, we wanted to not only provide a comprehensive overview of the threat landscape in Canada compared to previous years, but also gain a unique understanding of the challenges posed by the pandemic.

Considering that COVID created a complicated scenario for many organizations, it’s no surprise to see that some of the new challenges around cybersecurity emerging in this year’s report. Organizations that used to rely on workers to gather in the same building and use hardware deployed by and monitored by IT staff are now trying to support their employees as they work across a distributed geography from home offices. Meanwhile, some organizations are reporting an increase in the number of attacks they’re facing, many of those themed to take advantage of COVID-19. As those employees anxiously make their way through government lockdowns and worry about their health, they are more susceptible to click on a phishing attempt.

It seems like there will be no cavalry to call in and save the day. Fewer organizations than last year are expecting to invest more resources into cybersecurity, both in terms of human and financial resources. Perhaps that’s why we see concern growing around the potential negative impacts on cybersecurity on organizations.

No one will be surprised at the additional burden of the pandemic scenario on cybersecurity. What is more surprising in this report is the apparent weariness of organizations to comply with regulatory bodies. In last year’s report, we expressed hope that more organizations would see the wisdom in being transparent about data breaches after finding that 58 per cent that were breached made a report to a regulatory body. This year, only 36 per cent reported a data breach to a regulator. It appears that despite being more aware of the new requirements of PIPEDA, more organizations are choosing to take the risk of non-compliance.

Political events set to unfold in the remainder of 2020 hold major implications for cybersecurity in Canada. If the federal government passes stricter privacy requirements as an update to PIPEDA, then organizations may be hard-pressed to maintain compliance. The government may have to further entice businesses to make good on their requirements with either a carrot (providing resource to those that report data breaches) or a stick (big fines for those that don’t report a breach soon after discovering it.)

Whatever happens, CIRA is here to help. With more than 20 years of managing .CA, Canada’s top-level domain, we have learned a thing or two about cybersecurity. That allows us to make products like the CIRA DNS Firewall, CIRA Anycast DNS, and CIRA Cybersecurity Awareness training. Each uniquely designed for Canadian organizations to provide a critical layer of defence for an organization’s overall cybersecurity strategy. We also hope this report on cybersecurity trends will help to strengthen Canada’s cybersecurity capacity and contribute towards an internet that’s both resilient and accessible.

Methodology

About the respondents

  • CIRA contracted The Strategic Counsel to interview 500 workers with responsibility for IT security.
  • Surveyed users managed a minimum of 50 users of desktops or mobile devices for at least 20 per cent of their work.
  • Respondents held budgetary authority over cybersecurity decisions.
  • 100 per cent of respondents were at least somewhat familiar with their organization’s computer and IT functions.
  • 26 per cent of respondents belong to an organization with 50 to 99 employees who use computers or mobile devices; 29 per cent represent organizations with 100 to 229 employees, 15 per cent represent the 250 to 499 employees company size, 13 per cent in the 500 to 999 range, and 18 per cent work for an organization with more than 1,000 employees.

About the organizations

While our survey included a variety of organizations, the majority of the sample indicated that they had been in operation for quite some time with 55 per cent indicating they have been in business for more than 20 years. In total, 64 per cent of businesses in our sample indicated they do business in Canada only.

Private sector organizations represented 65 per cent of the sample, while public or not-for-profit organizations represented 35 per cent.

Documents connexes

<i>Sondage 2023</i> de CIRA sur la cybersécurité

Sondage 2023 de CIRA sur la cybersécurité

Lire
Rapport
Sondage 2022 de CIRA sur la cybersécurité

Sondage 2022 de CIRA sur la cybersécurité

Lire
Rapport
Rapport d’observation du 4e trimestre 2021 du Bouclier canadien de CIRA

Rapport d’observation du 4e trimestre 2021 du Bouclier canadien de CIRA

Lire
Rapport
Livre blanc Formation 2021 en cybersécurité de CIRA

Livre blanc Formation 2021 en cybersécurité de CIRA

Lire
Rapport
Rapport d’observation du Bouclier canadien de CIRA

Rapport d’observation du Bouclier canadien de CIRA

Lire
Rapport
2021 Sondage de CIRA sur la cybersécurité

2021 Sondage de CIRA sur la cybersécurité

Lire
Rapport
Restez à l’écoute

Voir plus de documents

Lire
{( translate(state.status) )}