La cybersécurité délaissée à l’aube d’une récession

Compte tenu de l'augmentation des atteintes à la cybersécurité, de nombreux chefs d'entreprise canadiens ont moins confiance en leur capacité de faire face à une attaque, ce qui souligne plus que jamais l'importance de demeurer vigilants même s'ils se sentent ébranlés par des vents contraires à court terme comme une récession potentielle. C'est ce que révèle une nouvelle étude de KPMG.

Selon le sondage mondial Perspective des chefs de la direction mené par KPMG International, le nombre de chefs de la direction de grandes entreprises canadiennes qui se sont dits « bien préparés » ou « très bien préparés » à une cyberattaque a diminué de 17 points de pourcentage par rapport à l'an dernier. Ceux qui se sont dits « mal préparés » ont quant à eux fait un bond de trois points de pourcentage. Ils ont signalé une baisse encore plus importante – près de cinq fois – de leur niveau de préparation à une cyberattaque spécifique comme le rançongiciel (logiciel malveillant qui tient des données en otage en échange d'une rançon).

Pourtant, lorsqu'on leur demande ce qui les empêche de dormir, les PDG placent la cybersécurité au septième rang derrière un éventail d'autres risques pressants à court terme, comme l'économie, une récession potentielle, des problèmes de réglementation et des technologies perturbatrices.

En comparaison, leurs homologues des petites et moyennes entreprises (PME) ont déclaré dans un sondage distinct de KPMG au Canada qu'ils se sentaient mieux préparés à faire face à une cyberattaque (hausse de 9 points de pourcentage), bien que plus des deux tiers d'entre eux admettent que leurs cyberdéfenses pourraient être « beaucoup plus fortes », notamment par la sensibilisation des employés à la cybersécurité. Ils ont classé la cybersécurité au deuxième rang de leurs préoccupations les plus pressantes aujourd'hui.

« De nombreuses grandes entreprises ont investi dans la technologie, les outils et les programmes de formation des employés en cybersécurité au fil des ans, mais les cybermenaces sont de plus en plus fréquentes et sophistiquées », affirme Hartaj Nijjar, associé et chef de file national de l'industrie de la cybersécurité chez KPMG au Canada. Donc, même si les entreprises sont peut-être obnubilées par les risques à court terme comme une récession, il est important de ne pas perdre de vue la cybersécurité, car les atteintes à la sécurité des données peuvent coûter des millions de dollars aux organisations. Ce n'est pas quelque chose que la plupart des entreprises peuvent se permettre en période de ralentissement économique. Assurer la sécurité des données des entreprises est un investissement qui rapportera toujours des dividendes à l'avenir », a-t-il ajouté.

« La situation est différente pour les petites et moyennes organisations, car bon nombre d'entre elles n'avaient pas de plateformes numériques avant la pandémie, contrairement à aujourd'hui. L'an dernier, en mettant au point leurs plateformes, elles n'ont peut-être pas accordé autant d'importance à la cybersécurité qu'aujourd'hui, affirme Robert Moerman, partenaire en cybersécurité chez KPMG au Canada. Maintenant, elles comprennent mieux les risques et investissent ou prévoient d'investir dans des moyens de défense appropriés pour se protéger. »

• 56 % des PDG des grandes entreprises canadiennes se disent « bien préparés » ou « très bien préparés » pour faire face à une éventuelle cyberattaque, comparativement à 73 % en 2021.
• 20 % des répondants disent qu'ils sont « mal préparés » à une cyberattaque, comparativement à 7 % l'an dernier.
• 24 % des répondants disent ne pas avoir de plan pour faire face à une attaque potentielle de rançongiciels, comparativement à 5 % l'an dernier.
• La cybersécurité est la 7^e préoccupation en importance aujourd'hui. Les enjeux économiques, les préoccupations en matière de réglementation et les technologies perturbatrices ont été énumérés comme les principales préoccupations.
• 62 % des répondants ont déclaré que l'incertitude géopolitique soulève des préoccupations au sujet d'une cyberattaque dans leur organisation (ce qui est inférieur à la moyenne mondiale de 72 %).
• 59 % des répondants ont déclaré qu'il est tout aussi important de bâtir une solide culture de cybersécurité que de mettre en place des contrôles technologiques, contre 83 % l'an dernier (et moins que la moyenne mondiale de 73 %).
• 37 % des répondants ne croient pas que l'établissement de priorités et l'établissement d'une solide cyberculture sont aussi importants que les contrôles technologiques, comparativement à 3 % l'an dernier.

Lorsqu'on leur a demandé s'ils considéraient la cybersécurité comme une fonction stratégique et un possible avantage concurrentiel, les trois quarts (75 %) des PDG de grandes entreprises étaient d'accord, comparativement à 82 % l'an dernier. En particulier, 17 % des répondants ont dit ne pas considérer la cybersécurité comme une fonction stratégique, comparativement à zéro l'an dernier – ce qui est préoccupant, selon M. Nijjar.

« La cybersécurité n'est pas seulement une question de technologie de l'information, c'est l'un des enjeux commerciaux les plus importants de toute économie moderne. Un écosystème de cybersécurité solide peut contribuer à renforcer l'intégrité du produit ou du service d'une entreprise, son expérience client, la conformité à la réglementation, la réputation de la marque et même la confiance des investisseurs, déclare M. Nijjar. Cette confiance est de la plus haute importance. Si les intervenants n'ont pas confiance en une organisation, ils chercheront ailleurs des solutions de rechange plus fiables. »

Plus de la moitié des PME ont déclaré avoir été victimes de cybercriminalité au cours de la dernière année. Et près de huit sur dix ont déclaré qu'il était tout aussi important de créer une culture de cybersécurité que de mettre en place des contrôles technologiques.

« C'est un signe très encourageant. Il est tout aussi crucial d'éduquer et d'armer l'ensemble de votre effectif avec une formation adéquate en cybernétique que d'avoir des technologies de défense appropriées, déclare M. Moerman. Il est nécessaire de bâtir une solide culture cybernétique parce que les contrôles cybernétiques d'une entreprise ne peuvent être plus solides que son maillon le plus faible. Celui-ci constitue souvent une erreur humaine ou commise par inadvertance. »

• 73 % des répondants sont bien préparés à une cyberattaque, comparativement à 64 % l'an dernier.
• 56 % des PME ont déclaré avoir été attaquées par des cybercriminels au cours de la dernière année (par exemple, une attaque contre l'infrastructure électronique ou un accès non autorisé aux données de l'entreprise, un hameçonnage, un maliciel, un rançongiciel, un déni de service ou l'insertion d'un code malveillant).
• La moitié d'entre elles ont dit avoir dû faire face à une attaque de rançongiciel au cours de la dernière année.
• 59 % des répondants ont déclaré que leurs compagnies d'assurance couvraient leurs pertes liées à une cyberattaque.
• 68 % des répondants ont souligné qu'ils avaient un plan pour faire face à une attaque de rançongiciel, le cas échéant.
• 68 % des répondants ont dit que l'incertitude géopolitique soulève des préoccupations au sujet d'une cyberattaque dans leurs organisations.
• 73 % des répondants considèrent la sécurité de l'information comme une fonction stratégique et un possible avantage concurrentiel.
• 78 % des répondants conviennent que l'établissement d'une culture de cybersécurité est tout aussi important que l'établissement de contrôles technologiques.

Pendant le Mois de la sensibilisation à la cybersécurité en octobre, les professionnels de la cybersécurité de KPMG au Canada aident les étudiants, les enseignants et les parents à mieux connaître la cybersécurité grâce à des séances interactives en classe sur l'utilisation sécuritaire des données personnelles, les médias sociaux, la cyberintimidation, les jeux en ligne, l'utilisation du téléphone, et plus encore. Pour en savoir plus sur la Journée mondiale de la cybersécurité de KPMG, visitez : Get cyber smart - KPMG Global (home.kpmg) (en anglais seulement)

Joignez-vous à KPMG au Canada le 27 octobre à 13 h (HE) pour une séance de cafés-causerie sur la transformation numérique (home.kpmg) afin d'en apprendre davantage sur les principales tendances en matière de cybersécurité et de protection de la vie privée et sur la façon dont les organisations canadiennes peuvent atténuer les risques liés à la cybersécurité et protéger leurs données.

Du 16 août au 1^er septembre 2022, KPMG au Canada a sondé les propriétaires d'entreprise ou les décideurs au niveau de la direction de 503 petites et moyennes entreprises canadiennes à l'aide de la plateforme de recherche en ligne Methodify de Schlesinger Group. Trente-deux (32) pour cent des répondants ont déclaré des revenus bruts annuels de plus de 500 millions de dollars; 26 % entre 300 et 499 millions de dollars; 18 % entre 200 et 299 millions de dollars; 16 % entre 100 et 199 millions de dollars; et 8% sous les 50 millions de dollars. La grande majorité (85 %) des PME sondées sont privées et les 15 % restants sont cotées en bourse. Cinquante-sept pour cent des PME sont des entreprises familiales.

La huitième édition du rapport Perspective des chefs de la direction de KPMG International donne un aperçu unique de la mentalité, des stratégies et des tactiques de planification des chefs de la direction de certaines des plus grandes et des plus influentes entreprises au monde. Entre le 12 juillet et le 21 août 2022, KPMG International a sondé 1 325 chefs de la direction de 11 pays (Allemagne, Australie, Canada, Chine, Espagne, États-Unis, France, Inde, Italie, Japon et Royaume-Uni). Tous les répondants dirigent des sociétés dont les revenus annuels dépassent 500 millions de dollars américains. Trente-neuf pour cent des 75 chefs de la direction interrogés au Canada dirigent des organisations dont les revenus bruts annuels dépassent 10 milliards de dollars américains; 31 % ont déclaré des revenus se situant entre 1 milliard de dollars américains et 9,9 milliards de dollars américains; et les 31 % restants ont des revenus se situant entre 500 millions de dollars américains et 999 millions de dollars américains. Soixante-dix-neuf pour cent des entreprises canadiennes sondées sont cotées en bourse. Quarante pour cent des répondants canadiens proviennent du secteur des services financiers. REMARQUE : Les chiffres ayant été arrondis, leur somme peut ne pas correspondre à 100 %.