Les budgets sont plus serrés et les prévisions économiques moins favorables, mais ce n’est pas le moment de remettre la cybersécurité à plus tard. Au contraire, la transformation numérique plus nécessaire que jamais dans les entreprises canadiennes fait ressortir le besoin de technologies, de stratégies et de leadership pour gérer les menaces d’aujourd’hui.

Le Mois de la sensibilisation à la cybersécurité arrive certainement à point pour servir de rappel aux chefs de la direction canadiens, surtout alors que bon nombre d’entreprises continuent d’adopter des outils numériques et des technologies pour rester compétitives et composer avec la conjoncture économique difficile. En fait, les résultats de l’enquête Perspective des chefs de la direction en 2022 de KPMG révèlent que les deux tiers des dirigeants d’entreprise canadiens ont l’intention d’accélérer la transformation numérique afin que leur entreprise reste concurrentielle pour les talents et les clients, tandis que 80 % investissent davantage dans l’acquisition de nouvelles technologies plutôt que dans le perfectionnement des compétences et des capacités de leur main‐d’œuvre.

Chart : Dans quelles expériences numériques votre entreprise prévoit-elle investir en priorité au cours des trois prochaines années?

Source: Sondage mondial sur la cybersécurité 2022 (GSC2022)

Peu importe à quelle étape en sont les entreprises dans leur évolution numérique, la nécessité de protéger leurs systèmes et leurs infrastructures ne diminue pas. Même les chefs de la direction qui prévoient suspendre ou réduire leurs transformations numériques reconnaissent que la diligence persiste en ce qui concerne la protection des données et de l’infrastructure de TI de l’entreprise.

État des lieux

Un aperçu des cybermenaces qui existent à l’heure actuelle suffit pour confirmer la nécessité d’avoir des stratégies de cybersécurité actives. Les cybercriminels se montrent plus audacieux et se perfectionnent chaque jour, tandis que les vols de données, les rançongiciels et les intrusions dans les réseaux deviennent communs.

Les menaces internes attirent aussi l’attention. Il s’agit d’intrusions lors desquelles les cybercriminels manipulent des employés ou les persuadent de leur donner accès aux réseaux de l’organisation (hameçonnage, pots-de-vin, ingénierie sociale, etc.). Étant donné la tendance à la hausse des menaces internes, la formation, le perfectionnement et la supervision des employés sont au cœur d’une stratégie de cybersécurité bien rodée.1

63%

63 % des chefs de la direction canadiens ont procédé à la collecte ou à l’analyse de données structurées sur les transactions clients au cours de la dernière année. (+12 % par rapport aux données mondiales)

2 sur 3
Les deux tiers des chefs de la direction canadiens estiment que l’incertitude géopolitique accroît la probabilité qu’ils soient la cible de menaces hors des frontières du Canada.

Une question de confiance

Les chefs de la direction canadiens reconnaissent l’importance de la cybersécurité et c’est une bonne nouvelle, surtout en ce qui concerne la protection de leurs activités et le maintien de la confiance des parties prenantes. Selon l’enquête Perspective des chefs de la direction en 2022 de KPMG, 85 % des chefs de la direction canadiens conviennent de l’absolue nécessité d’instaurer une solide stratégie de cybersécurité pour bâtir la confiance de leurs principales parties prenantes, et presque dans la même proportion, ils reconnaissent que la capacité de prévenir les cyberattaques ou les fuites de données et d’y réagir – que ce soit à l’interne ou dans leur chaîne d’approvisionnement – est cruciale pour préserver cette confiance à long terme.

La majorité des chefs de la direction indiquent que les activités et les investissements liés à la cybersécurité augmenteront au cours des douze prochains mois

Ici, le mot clé est « confiance ». Les organisations, quelle que soit leur taille, prennent le virage numérique et donnent ainsi à leurs clients et partenaires d’affaires toute la liberté de choisir avec qui faire affaire. Les entreprises qui gagnent et conservent la confiance des clients sont plus à même de rester en affaires, tandis que celles dont la cybersécurité est insuffisante – ou qui trahissent carrément cette confiance – s’exposent à perdre des clients et à voir leur réputation entachée, ou pire encore.

Chart: Quelle est l’importance des mesures suivantes pour inspirer la confiance des parties prenantes au sein et hors de l’entreprise? (GCS2022)

Source: Sondage mondial sur la cybersécurité 2022 (GSC2022)

La confiance remise en question

Les chefs de la direction canadiens s’entendent sur l’importance d’avoir des programmes de cybersécurité robustes et adaptables, mais ils ne sont pas certains de pouvoir y arriver. Fait intéressant, l’enquête Perspective des chefs de la direction en 2022 de KPMG révèle qu’ils sont seulement 56 % à juger qu’ils sont bien préparés en cas de cyberattaque (-17 % par rapport à 2021), tandis que 20 % affirment qu’ils ne sont carrément pas préparés (+7 % par rapport à 2021). Par ailleurs, 55 % des chefs de la direction canadiens affirment que leur organisation est en retard sur l’échéancier pour ce qui est de la cybersécurité, et ce, même s’ils ont établi des plans, une vision et un leadership.

Ensemble, ces statistiques pourraient indiquer que les chefs de la direction canadiens accusent du retard en matière de cybersécurité. Toutefois, si l’on veut montrer plus d’optimisme, on pourrait dire qu’ils ont approfondi leur compréhension des cybermenaces et qu’ils en sont à une étape de leur transformation numérique caractérisée par l’apparition de menaces nouvelles et en constante évolution.

Il importe de souligner que les chefs de la direction canadiens accordent une grande confiance à leurs équipes responsables de la cybersécurité. Plus de 80 % d’entre eux sont convaincus que les équipes responsables de la sécurité de l’information qui relèvent de leur responsable de la sécurité des systèmes d’information (RSSI) sont capables d’identifier les actifs numériques attrayants ainsi que d’enquêter sur les cyberattaques et les fuites de données et d’en atténuer les effets. Dans la même proportion (84 %), ils sont persuadés que leur RSSI a mis en place les technologies nécessaires pour protéger les données des parties prenantes.

Cette confiance est bien accueillie, mais elle présente une incohérence intéressante. D’une part, les chefs de la direction canadiens sont manifestement incertains de leur capacité à contrer une cyberattaque, mais d’autre part, ils affichent une confiance excessive dans les capacités de cybersécurité de leur équipe. Comme toujours, la vérité se situe quelque part au milieu, et c’est seulement lorsque les chefs de la direction examinent de près leur situation en matière de cybersécurité avec les RSSI et les parties prenantes concernées qu’ils peuvent dresser un portrait clair et impartial de leur niveau réel de protection.

La conformité avant tout

Les chefs de la direction canadiens ne manquent pas de raisons de garder la cybersécurité à l’avant-plan, notamment l’obligation de se conformer à un contexte réglementaire en pleine évolution, y compris la réglementation internationale (p. ex. le Règlement général sur la protection des données [RGPD]) et nationale, comme la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), le projet de loi C-26, Loi sur la protection des cybersystèmes essentiels, le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ou la Loi sur la protection des cybersystèmes essentiels, récemment déposée.

En définitive, les entreprises canadiennes sont assujetties à des normes plus élevées en matière de confidentialité et de protection des données. C’est pourquoi il est si important que les chefs de la direction et leurs équipes acquièrent une compréhension en profondeur des données qui circulent au sein de leur organisation. Cela commence par la collaboration avec les parties prenantes et les spécialistes en cybersécurité, à l’interne et à l’externe, pour poser des questions importantes, par exemple :

  • Quelles sont les données qui entrent dans notre organisation? Est-ce que ce sont les bonnes données?
  • Comment les recueillons-nous?
  • Où nos données vont-elles au sein de notre organisation?
  • Comment sont-elles sorties ou détruites?

Il est fondamental de pouvoir répondre à ces questions et de comprendre ce qu’elles impliquent pour éviter les dommages à l’exploitation et à la réputation et les pénalités financières qui guettent ceux qui font fi de la réglementation actuelle.


57%

57 % conviennent que la sécurité de l’information dans leur entreprise est déterminée par les obligations de conformité plutôt que par les ambitions de l’entreprise à long terme

Chart : Parmi les obligations réglementaires suivantes, laquelle est la plus susceptible d’être difficile à respecter pour votre organisation au cours des six prochains mois? (GCS2022)

Source: Sondage mondial sur la cybersécurité 2022 (GSC2022)

Appel à l’action

Les entreprises canadiennes progressent sur la voie de la transformation numérique. Cependant, toutes les nouvelles technologies et les nouveaux services numériques ou systèmes connectés créent de nouveaux vecteurs de cyberattaque.

Voici quelques points à retenir pour se prémunir contre les menaces.

  • Mettre en place les éléments fondamentaux : Une bonne stratégie de cybersécurité commence par l’établissement des contrôles techniques, des processus et du personnel qui peut prendre en charge les éléments fondamentaux de la cybersécurité comme la gestion des vulnérabilités, la gestion des correctifs, la configuration, la conformité et la surveillance.
  • Préparer votre personnel : Les menaces internes peuvent se matérialiser lorsque des employés mécontents sont payés par des cybercriminels pour leur donner accès aux données et aux systèmes de l’entreprise ou lorsque des employés dévoilent leurs codes d’accès à leur insu dans le cadre d’attaques par hameçonnage ou ingénierie sociale. Dans tous les cas, le fait de surveiller attentivement l’activité en ligne et de former les employés pour qu’ils apprennent les meilleures pratiques en matière de cybersécurité permettra d’atténuer le facteur humain qui est à la racine de nombreuses cyberattaques.
  • Décoder la situation : Les cybermenaces et leurs auteurs évoluent constamment. Travaillez avec les parties prenantes en cybersécurité pour bien comprendre les risques auxquels votre organisation est exposée et vous assurer qu’ils sont pris en compte dans vos plans de prévention et d’intervention en cybersécurité.
  • Comprendre vos données : Étudiez plus en profondeur vos données pour comprendre celles qui sont recueillies par votre organisation et la façon dont elles sont gérées tout au long du cycle de vie des données. Vous obtiendrez ainsi les connaissances nécessaires pour classer et protéger adéquatement vos actifs numériques attrayants et vous aurez une perception plus claire de votre exposition aux risques et de vos obligations de conformité.
  • Délimiter les risques liés aux tiers : Ce vieil adage n’a jamais été aussi vrai : une chaîne ne peut être plus solide que son maillon le plus faible. Menez les évaluations, les examens et les enquêtes nécessaires pour vous assurer que tous les intervenants de votre chaîne d’approvisionnement gèrent vos données selon les normes les plus élevées.
  • Envisager l’automatisation : Les organisations ont commencé à avoir recours à l’automatisation pour accroître l’efficacité de leurs activités d’exploitation. L’automatisation atténue les pressions sur la main-d’œuvre et élimine les risques d’erreur humaine ou de corruption à l’interne.

1 Cyber-related risk a top concern for audit committees, KPMG in Canada, Dec. 2021

Communiquez avec nous

Tenez-vous au courant de sujets qui vous intéressent.

Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.

Communiquez avec nous