CIRA publie un sondage annuel auprès des décideur·euses canadien·nes responsables de la sécurité des technologies de l’information pour mieux comprendre comment ils font face aux cyberrisques. Le sondage de cette année, mené en août par le cabinet de recherche The Strategic Counsel, a recueilli les réponses de 500 professionnel·les des technologies de l’information de tout le pays. Il s’agit là du troisième billet de blogue d’une série sur quatre pour 2023.
Une nouvelle étude de CIRA révèle que les organisations canadiennes du secteur MUSH (municipalités, universités, conseils scolaires et hôpitaux) sont les plus grandes cibles des cybercriminel·les. Pourquoi? Ces organisations possèdent généralement des mines d’informations hautement sensibles. Selon les constatations du sondage 2023 de CIRA sur la cybersécurité, 84 % des organisations du secteur MUSH disent qu’elles stockent les renseignements personnels de leurs patient·es, de leurs client·es, de leurs étudiant·es et des membres de la communauté.
Pensez à toutes les informations que vous donnez à votre hôpital, à vos écoles et aux autorités locales : votre date de naissance, votre adresse personnelle, vos courriels, vos numéros de téléphone, vos informations bancaires et fiscales, vos numéros d’assurance sociale, et la liste est encore longue. S’iels parviennent à accéder à ces données, les acteurs malveillants peuvent s’enrichir financièrement en commettant un grand nombre d’actes criminels, qu’il s’agisse de s’introduire dans nos comptes bancaires, d’utiliser nos cartes de crédit ou de nous cibler dans des attaques d’hameçonnage pour nous soutirer encore plus de données personnelles.
Une autre façon pour les pirates de tirer profit de nos données est de les vendre à d’autres cybercriminel·les. Selon une liste de prix du Web caché publiée par Private Affairs, un seul numéro de carte de crédit canadien piraté (y compris le CVV) se vend actuellement 30 USD, tandis qu’une base de données de courriels contenant 2,4 millions d’adresses électroniques canadiennes rapportera 100 USD à son/sa vendeur·euse. Les identifiants bancaires en ligne de certaines banques peuvent rapporter jusqu’à 4 000 USD et, bien que les estimations varient, un seul dossier médical peut valoir jusqu’à 1 000 USD sur le Web caché. En d’autres termes, lorsque les pirates accèdent à des milliers, voire des millions d’enregistrements de données, les gains peuvent être considérables.
Si les enjeux sont élevés pour les cybercriminel·les, ils le sont encore plus pour les organisations qui se retrouvent victimes de leurs attaques. Comme le montrent les données du sondage 2023 de CIRA sur la cybersécurité, les coûts financiers pour se remettre d’une attaque augmentent et il est inévitable que la réputation de l’entreprise soit entachée. Mais pour les hôpitaux et les autres fournisseurs· euses de soins de santé, toute perturbation des systèmes médicaux peut également empêcher la prestation de services de soins de santé essentiels, y compris les procédures chirurgicales qui sauvent des vies.
Les organisations du secteur MUSH sont mal équipées pour se protéger
Les données du sondage révèlent que les cyberattaquant·es continuent de réussir à percer les défenses des organisations de ce secteur. Plus de 41 % des organisations déclarent avoir utilisé leur plan d’intervention en cas d’incident cybernétique au cours des 12 derniers mois, contre 29 % des organisations du secteur privé et 37 % des organisations du secteur public. En outre, 22 % des organisations du secteur MUSH admettent avoir été victimes d’une attaque réussie par rançongiciel.
Ces constatations sont d’autant plus problématiques que de nombreuses municipalités, écoles et hôpitaux ne disposent pas des ressources et de l’infrastructure nécessaires pour se protéger pleinement, ce dont les professionnel·les de la cybersécurité sont parfaitement conscients. Près du tiers (30 %) ne croient pas que le budget de cybersécurité de leur organisation est suffisant pour se protéger contre les cyberattaques. Comparativement aux entreprises du secteur privé (74 %), moins d’organisations du MUSH (59 %) affirment qu’elles ont augmenté les ressources qu’elles consacrent à la cybersécurité. De plus, plus des trois quarts des organisations du secteur MUSH (78 %) s’inquiètent des cybermenaces de l’IA générative, même si 71 % n’ont pas encore mis en place une politique d’intelligence artificielle (IA).
Un autre défi fondamental est lié au vieillissement de l’infrastructure des technologies de l’information (TI) et des technologies opérationnelles (TO) en place dans de nombreuses organisations du secteur MUSH. En fait, la plupart des technologies les plus anciennes utilisées aujourd’hui sont les TO. Près d’un tiers (30 %) des s’appuient sur la technologie publiée avant 2010 pour gérer leurs organisations et contrecarrer les cyberattaques.
La collaboration est essentielle pour renforcer les défenses en matière de cybersécurité
Malgré les risques permanents auxquels les organisations de ce secteur sont confrontées, il existe certaines mesures clés qu’elles peuvent prendre pour se protéger des cybermenaces, y compris des nouvelles menaces induites par l’IA générative. Par exemple, les partenariats sectoriels permettent aux organisations de tirer parti de leur pouvoir d’achat collectif pour acquérir de nouvelles technologies de cybersécurité, partager des renseignements sur les menaces et se soutenir mutuellement avec des informations pour améliorer leur posture de sécurité.
CIRA s’associe à CANARIE, le National Research and Education Network du Canada, pour fournir des protections de cybersécurité achetées en gros aux établissements d’enseignement supérieur à risque et mal desservis par le biais du Programme d’initiatives de cybersécurité de CANARIE.
De tels programmes sont extrêmement utiles, mais le Canada a besoin d’autres partenariats sectoriels, en particulier ceux qui permettent aux organisations de mettre en commun leurs ressources collectives pour adopter de nouvelles cyberprotections à grande échelle. Ces programmes sont particulièrement importants pour les municipalités, les écoles de la maternelle au secondaire et les organismes de santé dont les ressources sont limitées et qui présentent des lacunes importantes en matière de sécurité qu’il est urgent de combler.
Les pouvoirs publics ont également un rôle important à jouer, en identifiant les secteurs vulnérables ou mal desservis et en tirant parti de leur pouvoir de rassemblement pour faciliter la collaboration entre les organisations confrontées à des défis similaires.
Découvrez comment CIRA peut aider votre organisation à se défendre contre la dernière vague de cybermenaces grâce à notre gamme de produits de cybersécurité pour entreprises.
Eric est gestionnaire en marketing produit pour les Services de cybersécurité de CIRA. Son expérience en marketing numérique l’a amené à apprécier le rôle vital que jouent les données pour les organisations et les particuliers canadiens, ainsi que la nécessité de les protéger. Eric est titulaire d’un MBA en Commerce International de Sup de Co La Rochelle.
