CIRA publie un sondage annuel auprès des professionnel·les canadien·nes de l’informatique et de la cybersécurité pour mieux comprendre comment ils et elles font face aux cybermenaces. Le sondage auprès de 500 professionnel·les de la cybersécurité partout au pays a été effectué en août par la société de recherche The Strategic Counsel. Il s’agit du premier billet de blogue d’une série de quatre qui documentent les tendances en matière de cybersécurité en 2024.
Au Canada, les cyberattaques malveillantes font désormais la une de l’actualité toutes les semaines. Au cours des 12 derniers mois, de nombreuses entreprises canadiennes bien connues, des institutions publiques et des organismes sans but lucratif ont été touchés par des cyberincidents majeurs. London Drugs, Tigre Géant, l’Université Laurentienne, Affaires mondiales Canada et CANAFE ne sont que quelques-unes des nombreuses organisations de grande envergure qui ont été la proie de cybercriminels et qui ont vu leurs activités perturbées, leurs données mises en danger et leur réputation ternie.
En septembre 2023, Pelmorex, la société mère de The Weather Network, a été victime d’une attaque par rançongiciel dévastatrice qui a interrompu ses activités pendant plusieurs jours. Alors que l’entreprise était en train de rétablir ses services, des millions de Canadien·nes n’ont pas pu obtenir des prévisions et des alertes quotidiennes sur le site Web ou l’application mobile de l’entreprise. Pelmorex a finalement choisi de ne pas payer la rançon, même si le groupe de rançongiciels LockBit qui avait lancé l’attaque avait acquis certaines des données de l’entreprise et menacé de les rendre publiques.
Dans le cadre de son enquête, Pelmorex a demandé l’aide de la GRC. À peine cinq mois plus tard, en février 2024, la GRC elle-même a annoncé qu’elle avait été la cible d’un incident majeur de cybersécurité. Oui, même une organisation chargée d’enquêter sur le crime au Canada, y compris le cybercrime, est vulnérable. Bien que l’agence ait caractérisé l’attaque comme « alarmante » dans une déclaration, elle a également déclaré qu’elle ne constituait pas de menace connue pour la population canadienne.
Perturbation des activités, perte de productivité et atteinte à la réputation
Les répercussions de ces cyberincidents et d’autres cyberincidents sont multiples. La perturbation des activités est évidente; les conséquences les plus courantes d’une cyberattaque cette année sont d’empêcher les employé·es d’effectuer leur travail (32 pour cent). Cela entraîne une perte de productivité et une perte de revenus (26 pour cent). Lorsque des pirates informatiques s’emparent de données privées précieuses, les victimes se retrouvent dans une situation sans issue. Elles peuvent soit payer une rançon importante, soit faire face aux retombées de la divulgation publique des données et de leur exploitation potentielle par des malfaiteur·ses. Pire encore, toute cyberattaque entraîne une perte de confiance de la part de la clientèle, des employé·es, des donateur·rices, ou d’autres éléments de l’organisation. Dans la quasi-totalité des cas, cette perte entraîne une atteinte à la réputation dont il est extrêmement difficile de se remettre. C’est un lourd prix à payer.
Les cyberattaques préjudiciables continuent d’augmenter au Canada
Bien que les détails précis de chaque attaque varient, les cyberincidents malveillants sont en forte augmentation au Canada et ce ne sont pas seulement les organisations dont vous entendez parler dans les médias qui sont touchées.
Selon les résultats du Sondage sur la cybersécurité de CIRA en 2024, plus de quatre professionnel·les de la cybersécurité sur dix (44 pour cent) affirment que leur organisation a subi une tentative de cyberattaque ou a été victime d’une cyberattaque réussie au cours de la dernière année. Bien qu’aucun secteur ne soit à l’abri, les organisations du secteur public (58 pour cent) et du secteur des municipalités, des universités, des écoles et des hôpitaux (55 pour cent) ont signalé plus d’attaques que leurs homologues du secteur privé (41 pour cent).
Les attaques par rançongiciel sont l’une des principales menaces, alors que 28 pour cent des organisations disent avoir été victimes d’une telle attaque au cours des 12 derniers mois, en hausse par rapport à 17 pour cent en 2021. Parmi ces organisations, 73 pour cent ont déclaré que leurs données étaient exfiltrées et 79 pour cent ont déclaré avoir versé une rançon à leurs attaquants. Les organisations de ce dernier groupe ont généralement versé au moins 25 000 $ en rançon, 27 pour cent d’entre elles ayant versé de 50 000 $ à 100 000 $ et 11 pour cent, plus de 100 000 $.
Les cybercriminels s’améliorent dans l’obtention de vos données
Un autre résultat clé du sondage de cette année est que les cybercriminels s’améliorent dans l’acquisition de données auprès de leurs victimes. Un peu moins de quatre organisations sur dix (38 pour cent) qui ont subi une cyberattaque ont été confrontées à une violation des données de leur clientèle, de leurs employé·es ou des deux, contre à 29 pour cent en 2022.
Parmi les organisations qui ont subi une violation de données, plus de la moitié en ont informé leur haute direction (53 pour cent) et un peu moins de la moitié ont informé leur conseil d’administration (46 pour cent) ou leur clientèle (45 pour cent). Environ quatre organisations sur dix en ont informé un organisme de réglementation (42 pour cent) ou les forces de l’ordre (38 pour cent).
Les dommages à la réputation subis par les organisations à la suite d’un cyberincident ont également augmenté au fil du temps. Un peu plus d’un quart (28 pour cent) signalent que la réputation de leur organisation est entachée, contre seulement six pour cent en 2018 et 19 pour cent en 2022, tandis que 26 pour cent signalent la perte de clientèle après une attaque.
Comme les données du sondage de cette année l’indiquent clairement, nous savons que les cyberattaques continueront d’affecter les organisations canadiennes dans tous les secteurs. La façon dont une organisation se prépare à une attaque et réagit sur le moment est d’une importance vitale, non seulement pour éviter les perturbations coûteuses et le vol de données, mais aussi pour se protéger contre la perte de confiance et l’atteinte à la réputation à long terme qui sont des conséquences inévitables de toute attaque réussie.
