Aller au contenu principal
  • Cybersécurité

Le secteur privé est en retard sur le secteur public en matière d’investissement dans la cybersécurité

Par Erin Hutchison
Spécialiste des communications

Chaque année, CIRA réalise un sondage auprès des décideurs canadiens responsables de la sécurité des technologies de l’information pour mieux comprendre comment ils résistent aux cyberrisques. Le conseil stratégique a réalisé le sondage de cette année en juillet et août, et a recueilli les réponses de 500 professionnels des TI de tout le pays. Il s’agit du 5e et dernier blogue de la série de 2021. 

Comment savez-vous que la cybersécurité est un sujet important? Même au cours d’une année qui a vu une campagne de vaccination historique, l’investiture d’un nouveau président américain, l’alerte des Nations Unies sur l’urgence climatique et une élection fédérale canadienne, les thèmes de la cybersécurité ont toujours fait les gros titres.

Voici quelques faits dont vous vous souvenez peut-être :
 

  • Une série d’attaques sophistiquées commanditées par des États et visant les chaînes d’approvisionnement en logiciels a eu des répercussions négatives sans précédent. Une attaque de ce genre par rançongiciel visant l’éditeur de logiciels Kaseya a affecté des milliers de ses clients.

  • Une compagnie d’assurance a payé la somme de 40 millions de dollars, la rançon la plus élevée jamais enregistrée, pour récupérer son propre réseau et ses données, selon un rapport de Business Insider.

  • Une attaque contre Colonial Pipeline a entraîné la fermeture de ses infrastructures pendant le déroulement de l’enquête sur la menace.

La situation est suffisamment grave pour attirer l’attention des gouvernements. Aux États-Unis, la Maison-Blanche a récemment reçu les recommandations d’un groupe de travail sur les rançongiciels (Ransomware Task Force) sur la manière de combattre la cybercriminalité sophistiquée. Au Canada, la discussion a été plus discrète. Lors des dernières élections, les partis ont fait peu de promesses en matière de cybersécurité, et notre plan d’action national en matière de cybersécurité ne mentionne même pas les mots « rançongiciels » ou « maliciels ». 

Malgré cela, le sondage de CIRA 2021 sur la cybersécurité montre que le secteur public prend sa propre sécurité au sérieux. Cependant, malgré des rançons record et d’innombrables cas de violation de données, le secteur privé ne fait pas autant d’efforts pour lutter contre les pirates informatiques. On peut se demander s’ils lisent les nouvelles.

Tout d’abord, il faut savoir que les entreprises privées sont plus souvent touchées par les pirates informatiques que les entreprises du secteur public. Les entreprises privées sont beaucoup plus susceptibles de déclarer avoir été victimes d’une attaque réussie par rançongiciel au cours des 12 derniers mois que leurs homologues du secteur public. Vingt et un pour cent d’entre elles ont déclaré en avoir été victimes, contre seulement 14 % des entreprises publiques.

 

Les organisations touchées par les rançonnages

21 % des entreprises privées

14 % des organisations publiques

69 % en moyenne, ont payé la rançon

Il est également intéressant de noter que les entreprises du secteur privé sont les plus susceptibles de déclarer qu’elles n’ont subi aucune attaque l’année dernière. Un peu plus d’un quart d’entre elles disent ne pas avoir été attaquées, alors que seulement 11 % des entreprises du secteur public disent la même chose. D’un côté, on pourrait y voir un bon signe pour le secteur privé : il n’a pas subi d’attaques! D’autre part, cela pourrait indiquer des angles morts dans leur position et leur surveillance en matière de cybersécurité.

Vos défenses présentent des angles morts lorsque vous sous-investissez dans la sécurité, et le secteur privé est le moins susceptible de dire qu’il consacrera davantage de ressources à la cybersécurité à l’avenir. Les entreprises privées ne sont pas à la hauteur en matière de sécurité par rapport au secteur public, et ce, à plusieurs égards.

Premièrement, elles indiquent qu’elles sont moins susceptibles de consacrer des ressources financières supplémentaires, puisque seulement 45 % des entreprises privées prévoient d’accroître leur soutien à la cybersécurité au cours des 12 prochains mois (contre 51 % des organismes publics). Les données montrent également que les entreprises privées s’engagent plus souvent au même montant (40 %), voire réduisent leur engagement (12 %) plus souvent que le secteur public.

Près de la moitié des entreprises publiques (47 %) prévoient d’augmenter les ressources humaines consacrées à la cybersécurité, contre seulement quatre entreprises privées sur dix (42 %).

Ensuite, nous constatons que – sans exception – le secteur privé est moins susceptible que le secteur public de prendre un certain nombre de mesures possibles pour prévenir les cyberattaques futures. Consultez cette liste pour le sondage sur la cybersécurité de cette année :
 

  • La formation des employés est la mesure la plus populaire à prendre contre les cyberattaques pour les deux secteurs. Mais 67 % des organismes publics prennent cette mesure, contre seulement 63 % des entreprises privées.
  • Cinquante-neuf pour cent des entreprises publiques prévoient un audit de sécurité, contre seulement 51 % des entreprises privées.
  • Quarante-cinq pour cent des entreprises publiques prévoient d’installer du nouveau matériel, contre seulement 30 % des entreprises privées.

L’installation de nouveaux logiciels et le recrutement de nouveaux employés sont également absents des plans d’autant d’entreprises du secteur privé.

Dans l’ensemble, les entreprises publiques sont plus susceptibles que les entreprises privées de prendre de nouvelles mesures pour prévenir les futures cyberattaques.

Enfin, les entreprises du secteur privé sont même à la traîne dans l’adoption des pare-feu DNS en nuage. Dans l’ensemble, la méthode est adoptée rapidement, puisque 73 % des entreprises disent en avoir une, contre 62 % il y a un an, et seulement 42 % en 2018. Encore une fois, les entreprises du secteur privé sont à la traîne dans ce domaine, 71 % d’entre elles utilisant un pare-feu DNS en nuage, contre 78 % dans le secteur public.

Il est clair que, même si elles déclarent être plus souvent victimes de pirates informatiques, les entreprises du secteur privé sont moins disposées à investir dans la cybersécurité que celles du secteur public.

Mais pourquoi? Nous pouvons ici examiner les raisons que donnent les entreprises des secteurs public et privé concernant l’investissement dans la cybersécurité. Une fois de plus, les entreprises privées sont à la traîne par rapport au secteur public et sont peut-être moins motivées pour investir dans la perspective d’un piratage :

  • Soixante-deux pour cent des entreprises du secteur public déclarent consacrer des ressources à la cybersécurité pour assurer la continuité des opérations, alors que seulement 52 % des entreprises du secteur privé sont du même avis.
  • Soixante-quatre pour cent des entreprises du secteur public affirment que leurs investissements visent à protéger les informations personnelles des employés, des fournisseurs ou des partenaires, alors que seulement 49 % des entreprises du secteur privé sont du même avis.
  • Soixante et un pour cent des entreprises du secteur public déclarent investir pour protéger la réputation de l’entreprise. Seulement 47 % des entreprises privées disent la même chose.

Il est important de rappeler que, dans l’ensemble, le sondage de cette année montre que les entreprises du secteur privé prennent davantage de mesures pour se préparer à la cybersécurité. Elles sont plus inquiètes que l’année dernière et, dans une certaine mesure, de nombreuses entreprises privées prévoient d’investir davantage ou de prendre de nouvelles mesures pour améliorer la cybersécurité. Elles ne le font tout simplement pas autant que les entreprises du secteur public.

Espérons que ces entreprises du secteur privé ne se retrouvent pas à la une des journaux l’année prochaine. Car la cybersécurité est un problème majeur qui n’est pas prêt de disparaître.

 

***Secteur privé (c.-à-d. entreprise à but lucratif) • Secteur public (tous) + les gouvernements municipaux ou les agences, les hôpitaux ou autre organisme de soins de santé, les écoles primaires ou secondaires, les collèges ou les universités, ou les conseils scolaires

À propos de l’auteur
Erin Hutchison

Erin apporte à CIRA son bagage du marketing dans les secteurs de l’enseignement supérieur et des organismes sans but lucratif. En 2016, elle a participé au Programme Jeunesse@IGF de l’ISOC et s’est rendue à Guadalajara, au Mexique, pour participer à l’IGF. Elle est titulaire d’un baccalauréat en commerce international délivré par l’Université Carleton.

Nouvelles connexes

Guide de CIRA pour repérer les escroqueries employant le nom de l’ARC

Guide de CIRA pour repérer les escroqueries employant le nom de l’ARC

Lire
Blogue
Trois façons d’assurer la cybersécurité de votre famille

Trois façons d’assurer la cybersécurité de votre famille

Lire
Blogue
Comment être en cybersécurité avec un budget limité : conseils pratiques pour la cybersécurité à faible coût

Comment être en cybersécurité avec un budget limité : conseils pratiques pour la cybersécurité à faible coût

Lire
Blogue
Au cas où vous l’auriez manqué — Risques de cybersécurité et municipalités — ce que les élu·es doivent savoir

Au cas où vous l’auriez manqué — Risques de cybersécurité et municipalités — ce que les élu·es doivent savoir

Lire
Blogue
Comment mesurer votre programme de test d’hameçonnage : tous les indicateurs que vous devez connaître

Comment mesurer votre programme de test d’hameçonnage : tous les indicateurs que vous devez connaître

Lire
Blogue
Conseils pour une nouvelle année cybersécurisée

Conseils pour une nouvelle année cybersécurisée

Lire
Blogue
Restez à l’écoute

Voir plus de nouvelles

Lire
{( translate(state.status) )}