Les chefs de la direction canadiens sont parmi les plus confiants quant à leur état de préparation aux cybermenaces, selon les résultats de notre plus récent sondage Perspective des chefs de la direction. En effet, 73 % des chefs de la direction du pays affirment qu'ils sont bien préparés pour faire face à une cyberattaque, comparativement à 58 % de leurs homologues dans le monde. Toutefois, devant une augmentation des attaques toujours plus complexes et un milieu des affaires qui dépend largement des applications infonuagiques et du télétravail, les dirigeants d'entreprise se font peut-être une fausse idée de la sécurité réelle de leurs opérations.

Les organisations qui n'ont pas encore intégré la sécurité à leur architecture, à leur exploitation et à leur culture d'entreprise sont de plus en plus vulnérables aux menaces et aux attaques. Même si elles utilisent des contrôles défensifs perfectionnés qui font appel à l'apprentissage machine et à l'intelligence artificielle pour détecter les activités douteuses et potentiellement malicieuses, les cybercriminels utilisent ces mêmes technologies pour renforcer leurs attaques.

73%

des chefs de la direction canadiens affirment qu'ils sont bien préparés pour faire face à une cyberattaque

58%

Une menace à la croissance

Même si les chefs de la direction canadiens se disent bien préparés à une attaque, ils classent la cybersécurité au troisième rang des plus importantes menaces à la croissance, après les nouvelles technologies perturbatrices et les obstacles de nature réglementaire.

59%

des entreprises sondées se disent « plutôt confiantes » en leur capacité de détecter une cyberattaque et d’y réagir.

Selon notre sondage annuel à l'occasion du Mois de la sensibilisation à la cybersécurité, auquel ont répondu 253 dirigeants de petites et moyennes entreprises canadiennes, cet optimisme est encore plus grand : 94 % affirment qu'ils surveillent leur environnement pour déceler d'éventuelles cyberattaques. Néanmoins, 59 % des répondants au sondage se disent « plutôt confiants » quant à leur capacité de détecter une cyberattaque et d'y réagir, ce qui révèle une certaine discordance.

Depuis le début de la pandémie, on a observé une augmentation monstre des attaques par rançongiciels, ainsi que des attaques par hameçonnage et par piratage psychologique en général. Notre sondage sur la cybersécurité révèle que 49 % des PME ont fait migrer certains de leur processus d'affaires vers le nuage pendant la pandémie (puisqu'il s'agissait de la priorité la plus pressante), tandis que 40 % ont investi dans d'autres mesures de protection des données, comme l'authentification multifactorielle et l'authentification sans mot de passe.

Hartaj Nijjar, Partner, Cyber Security, KPMG in Canada

« Dans de nombreuses organisations, la sécurité est encore largement un sujet que l'on traite en aval plutôt qu'en amont des opérations. Lorsqu'une entreprise passe au nuage, adopte une nouvelle technologie et entreprend un projet de transformation, la sécurité doit jouer un rôle dès les premiers instants. »

— Hartaj Nijjar, associé, Cybersécurité, KPMG au Canada

Cependant, la pandémie a également fait ressortir les risques liés aux tiers : les chefs de la direction ne se préoccupent pas seulement de protéger leurs propres frontières, mais cherchent aussi à comprendre comment ils pourraient s'exposer à des risques s'ils dépendent de tierces parties qui subissent des brèches de sécurité. D'un autre côté, ils ont besoin de s'associer à des tiers pour réaliser leur transformation et se préparer à un avenir numérique.

Les activités des 18 derniers mois ont démontré qu'il nous faut concentrer notre attention sur la sécurité opérationnelle. Certes, les politiques et les pratiques sont importantes, mais les organisations doivent chercher à les étayer par des contrôles techniques sûrs. Elles doivent aussi chercher à instaurer une culture de cybersécurité où tous les employés ont un rôle à jouer dans la protection des actifs essentiels de l'organisation.

« Avec le passage à l'infonuagique et au télétravail, la surface d'attaque est beaucoup plus vaste et difficile à protéger. On se retrouve aux prises avec des vulnérabilités relativement faciles à exploiter. Chacun devient une proie facile sans même le savoir, malgré d'importants investissements en cybersécurité. C'est pourquoi la sécurité des terminaux gagne de plus en plus en importance. »

— Guillaume Clément, associé, Cybersécurité, KPMG au Canada

Guillaume Clement, Partner, Cyber Security, KPMG in Canada

Bâtir la résilience numérique

Le renforcement de la résilience exige une approche à plusieurs niveaux. Or, notre sondage révèle que bon nombre de ces « niveaux » ne font pas partie des priorités pour les trois prochaines années. À preuve, seulement 23 % des chefs de la direction canadiens disent planifier l'intégration des principes de sécurité et de résilience dans la conception de futurs systèmes et services.

Seulement la moitié des grandes entreprises sondées prévoient mettre l'accent sur la sécurité et la résilience de leurs chaînes d'approvisionnement et de leur écosystème de fournisseurs au cours des trois prochaines années. Dans la même veine, seulement 44 % des dirigeants comptent instaurer une solide culture de sensibilisation au numérique et aux cyberrisques au sein de leur organisation, mise de l'avant par leurs hauts dirigeants, et seulement 37 % disent qu'ils investissent pour créer une infrastructure infonuagique sûre et résiliente.

Parallèlement, 44 % des petites et moyennes entreprises affirment ne pas avoir établi de plan de match exhaustif ni procédé à des simulations régulières de cyberattaques. Pas étonnant que, lorsqu'elles subissent une brèche de sécurité, ces entreprises se rendent souvent compte qu'elles étaient moins bien préparées qu'elles le croyaient. C'est pourquoi l'intégration de la sécurité dès la conception demeure l'une des plus importantes mesures stratégiques pour qui veut bâtir une organisation résiliente : intégrer la sécurité dès le début, dans tout ce qui est entrepris, de la technologie aux opérations en passant par la culture d'entreprise.

83%

conviennent qu’il est tout aussi important d’instaurer une culture de cybersécurité que de mettre en place des mesures de contrôle technologiques.

Cela suppose aussi d'adopter une approche de la sécurité à plusieurs niveaux, en mettant l'accent sur la sécurité des terminaux et l'atténuation des risques liés aux fournisseurs et en instaurant une culture de cybersécurité. Pour ce faire, il faut former et renseigner le personnel, et l'inviter à jouer un rôle actif dans la protection de l'organisation (par exemple en signalant les courriels suspects). De plus en plus de chefs de la direction reconnaissent l'importance de cette sensibilisation, et 83 % conviennent que l'instauration d'une culture de cybersécurité a autant de poids que l'implantation de mesures de contrôle technologiques.

Si les entreprises canadiennes ont encore du chemin à faire, certaines d'entre elles mettent des fonds de côté pour élaborer des stratégies plus robustes. En effet, 48 % des PME prévoient consacrer jusqu'à 20 % de leur budget en technologie à la cybersécurité au cours des 12 prochains mois. Et pour une vaste majorité de chefs de la direction, la résilience numérique est une priorité. Cependant, cette résilience exige un engagement permanent à l'égard d'une approche globale de la sécurité.

48%

des PME ont l’intention de consacrer jusqu’à 20 % de leur budget en technologie à la cybersécurité au cours des 12 prochains mois.

Principaux points à retenir :

  • Intégrez la sécurité dès la conception : Plutôt que d'adopter une posture défensive et de bâtir un périmètre de sécurité autour des actifs de votre entreprise, adoptez une approche holistique et intégrez la sécurité dans l'architecture de votre entreprise.
  • Instaurez une culture de cybersécurité : Formez vos employés à tous les niveaux hiérarchiques sur les cybermenaces (p. ex., pour apprendre à reconnaître l'hameçonnage). Pensez à faire appel au renforcement positif en accordant une reconnaissance aux employés qui détectent et signalent des incidents suspects.
  • Maintenez vos contrôles diligents : Évaluez régulièrement le portrait des cybermenaces au sein de votre entreprise ainsi que les mesures de contrôle mises en place pour les atténuer. Ne vous concentrez pas seulement sur les menaces les plus typiques : assurez-vous de vérifier votre état de préparation à différents types de menaces.

Communiquez avec nous

Tenez-vous au courant de sujets qui vous intéressent.

Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.

Inscrivez-vous dès aujourd’hui

Communiquez avec nous