L’incidence du cybercrime sur les entreprises canadiennes, 2017

CEW-22-Economy-cyber-125.jpg

 

CEW-22-Economy-cyber-400.jpg15 novembre 2018

L’Enquête canadienne sur la cybersécurité et le cybercrime a été menée pour la première fois afin de mesurer l’incidence du cybercrime sur les entreprises canadiennes. La diffusion coïncide avec le Mois de la sensibilisation à la cybersécurité, qui est une campagne internationale qui se déroule chaque année en octobre afin d’informer le public de l’importance de la cybersécurité.

Les entreprises canadiennes déclarent avoir dépensé 14 milliards de dollars pour la cybersécurité

Les entreprises canadiennes ont déclaré avoir dépensé 14 milliards de dollars en 2017 pour prévenir et détecter les incidents de cybersécurité, et pour s’en remettre, ce qui représente moins de 1 % de leurs revenus totaux. Environ 8 milliards de dollars ont été consacrés aux salaires des employés, des consultants et des entrepreneurs qui ont travaillé à la cybersécurité, tandis que 4 milliards de dollars ont été investis dans les logiciels de cybersécurité et le matériel connexe. Plusieurs autres mesures de prévention et de rétablissement ont été à l’origine des 2 milliards de dollars restants des dépenses totales.

Les dépenses annuelles moyennes en cybersécurité ont beaucoup varié selon la taille de l’entreprise en 2017. Les grandes entreprises (250 employés ou plus) ont dépensé 948 000 $, les moyennes entreprises (50 à 249 employés) ont dépensé 113 000 $ et les petites entreprises (10 à 49 employés) ont dépensé 46 000 $.

Un peu plus d’un cinquième des entreprises canadiennes ont été touchées par un incident de cybersécurité

En 2017, un peu plus d’un cinquième (21 %) des entreprises canadiennes ont déclaré qu’elles avaient été touchées par un incident de cybersécurité qui a eu des répercussions sur leurs activités. Les grandes entreprises (41 %) étaient plus de deux fois plus susceptibles que les petites entreprises (19 %) d’avoir identifié un incident ayant des répercussions.

Parmi les entreprises touchées par un incident de cybersécurité, 39 % n’ont pas pu déterminer le motif de l’attaque, tandis que 38 % ont indiqué que le motif était une tentative de vol d’argent ou une demande de paiement d’une rançon. Un peu plus du quart (26 %) des entreprises ont connu des incidents où les auteurs ont tenté d’accéder à des zones d’accès non autorisé ou privilégié et 23 % ont été aux prises avec un incident où il y a eu tentative de vol de renseignements personnels ou financiers.

Un peu plus de la moitié (54 %) des entreprises touchées ont déclaré que les incidents de cybersécurité empêchaient les employés d’effectuer les tâches quotidiennes et 53 % ont déclaré que les incidents empêchaient l’utilisation de ressources ou de services (par exemple, ordinateurs de bureau ou courriels). Près du tiers (30 %) des entreprises ont dû assumer des coûts supplémentaires de réparation ou de rétablissement, 10 % des entreprises ont perdu des revenus et 4 % ont déclaré qu’elles avaient dû rembourser des tiers ou verser une rançon en 2017.

Plus de la moitié (58 %) des entreprises ont connu un certain temps d’arrêt à la suite d’un incident. En moyenne, le temps d’arrêt total des entreprises en 2017 était de 23 heures et comprenait les appareils mobiles, les ordinateurs de bureau et les réseaux.

Les entreprises de certains secteurs étaient plus susceptibles d’être touchées par des incidents de cybersécurité. Les établissements bancaires (à l’exclusion des services bancaires d’investissement) (47 %), les universités (46 %) et les entreprises du sous-secteur du transport par pipeline (45 %) ont enregistré le plus grand nombre d’incidents.

Pour tous les types d’incidents, 65 % des entreprises ont déclaré qu’elles croyaient qu’une partie externe était responsable de l’incident de cybersécurité par opposition à un employé interne, un fournisseur, un client, un partenaire ou un acteur inconnu.

La grande majorité des entreprises canadiennes ont mis en place une certaine forme de cybersécurité

Presque toutes les entreprises canadiennes (95 %) ont utilisé une certaine forme de cybersécurité pour se protéger ou protéger leurs clients et leurs partenaires en 2017. Toutefois, même pour les mesures de protection les plus couramment signalées, l’utilisation n’était pas universelle. Un certain nombre d’entreprises n’utilisaient pas de programmes malveillants (24 %), la sécurité des courriels (26 %) et la sécurité des réseaux (32 %), comme les pare-feu. Au sein des grandes entreprises, le recours à ces mesures de sécurité était presque universel.

Bien que les deux tiers (66 %) des entreprises aient permis à leurs employés d’utiliser des appareils personnels pour mener des activités commerciales, moins de la moitié (47 %) de ces entreprises avaient mis en place des mesures de sécurité pour gérer ces appareils.

Environ le tiers (29 %) des entreprises ont été tenues, par leurs fournisseurs, clients, partenaires ou organismes de réglementation, de mettre en œuvre des mesures de cybersécurité en 2017. Ces exigences étaient plus courantes parmi les établissements bancaires (à l’exclusion des services bancaires d’investissement) (81 %), les magasins de produits de santé et de soins personnels (79 %) et les entreprises du sous-secteur du transport par pipeline (67 %).

Près d’un quart (24 %) des grandes entreprises ont indiqué qu’elles avaient une assurance cyberresponsabilité pour se protéger contre les risques et les menaces en matière de cybersécurité, comparativement à 14 % des moyennes entreprises et à 7 % des petites entreprises. Pour la majorité des polices d’assurance, la couverture comprenait les pertes directes découlant d’une attaque ou d’une intrusion (82 %), l’interruption des activités (72 %), les frais de restauration (71 %) et la responsabilité envers les tiers et les pertes financières (66 %).

Près des trois quarts des entreprises canadiennes comptent des employés responsables de la cybersécurité

En 2017, 74 % des entreprises au Canada comptaient des employés principalement responsables de la cybersécurité de l’entreprise, en particulier les grandes entreprises (91 %) et les entreprises de taille moyenne (83 %).

Un peu plus des deux tiers (67 %) des entreprises au Canada, peu importe leur taille, ont déclaré compter d’un à cinq employés principalement responsables de la cybersécurité. Près du quart (24 %) des grandes entreprises ont déclaré compter plus de cinq employés principalement responsables de la cybersécurité, comparativement à 9 % pour les moyennes entreprises.

Parmi les 26 % d’entreprises qui ont déclaré ne pas compter d’employés principalement responsables de la cybersécurité en 2017, 56 % ont indiqué que la cybersécurité ne représentait pas un risque suffisamment élevé pour leur entreprise et 31 % ont indiqué avoir fait appel à des consultants ou à des entrepreneurs pour surveiller leurs réseaux.

Un peu plus de la moitié (51 %) des entreprises ont communiqué des pratiques générales en matière de cybersécurité à leurs employés au moyen de courriels, de babillards ou de séances d’information, tandis que 19 % ont donné une formation officielle pour perfectionner ou améliorer leurs compétences liées à la cybersécurité. Les grandes entreprises (59 %) étaient les plus susceptibles d’offrir de la formation à leurs employés, tandis que 32 % des moyennes entreprises et 16 % des petites entreprises le faisaient. En moyenne, les entreprises canadiennes ont dépensé 12 000 $ au cours de l’année pour donner de la formation sur la cybersécurité à leurs employés, fournisseurs, clients ou partenaires.

Peu d’entreprises canadiennes ont une politique écrite pour gérer ou signaler les incidents de cybersécurité

En 2017, 13 % des entreprises avaient une politique écrite pour gérer ou signaler les incidents de cybersécurité. Cependant, certaines industries ont dépassé la moyenne, y compris les établissements bancaires (à l’exclusion des services bancaires d’investissement) (66 %) et celles des sous-secteurs du transport par pipeline (55 %) et du transport ferroviaire (55 %).

Parmi les 58 % d’entreprises qui ont entrepris des activités pour cerner les risques liés à la cybersécurité en 2017, la plupart (85 %) ont surveillé leurs réseaux et leurs systèmes d’entreprise, tandis que 38 % ont surveillé les comportements de leurs employés.

La vaste majorité des grandes entreprises (93 %) ont entrepris au moins une activité pour cibler les risques de cybersécurité. Ces grandes entreprises ont déclaré avoir davantage recours à des services externes spécialisés pour évaluer leurs risques en matière de cybersécurité par rapport à d’autres tailles d’entreprises : 45 % ont embauché un tiers externe pour effectuer un test d’intrusion de leur sécurité, 37 % ont fait vérifier complètement leurs systèmes de TI et 33 % ont obtenu une évaluation officielle des risques de leurs pratiques en matière de cybersécurité.

Un peu plus de la moitié (52 %) des grandes entreprises ont effectué des évaluations des risques liés à la cybersécurité de façon régulière. Parallèlement, 59 % des petites et 56 % des moyennes entreprises ont procédé à des évaluations irrégulières.

Plus du quart (28 %) des entreprises ont déclaré que des cadres supérieurs surveillaient les risques et les menaces en matière de cybersécurité, et 89 % d’entre elles ont déclaré avoir informé les cadres supérieurs des mesures prises en matière de cybersécurité.

La plupart des entreprises canadiennes ne signalent pas les incidents de cybersécurité aux organismes d’application de la loi

Environ 10 % des entreprises touchées par un incident de cybersécurité ont signalé l’incident à un service de police en 2017. Parmi les entreprises qui l’ont fait, 79 % ont déclaré un incident lié à un vol d’argent ou à une demande de paiement d’une rançon et 56 % ont déclaré un incident lié au vol de renseignements personnels ou financiers.

Un peu plus de la moitié (53 %) des entreprises touchées par des incidents ne les ont pas signalés à un service de police parce que les incidents ont été résolus à l’interne. Parallèlement, le tiers (35 %) des entreprises n’ont pas signalé les incidents parce qu’ils ont été résolus par des consultants en TI ou des entrepreneurs, tandis que 29 % n’ont pas signalé les incidents aux services de police parce qu’elles estimaient que les répercussions étaient trop mineures.

Sourcehttps://www150.statcan.gc.ca/n1/daily-quotidien/181015/dq181015a-fra.htm

L’infographie « Les cybercrimes et les entreprises canadiennes, 2017 », qui fait partie de Statistique Canada — Infographies (Numéro au catalogue11-627-M), et un tableau de bord interactif « Cybersécurité et cybercrime au Canada, 2017 », qui fait partie de Statistique Canada – Produits de visualisation des données (Numéro au catalogue71-607-X), sont maintenant accessibles.

Related Articles


Monde en mouvement

  • CanREA accueille favorablement l’élargissement du nouvel approvisionnement en énergie de l’Ontario

    CanREA accueille favorablement l’élargissement du nouvel approvisionnement en énergie de l’Ontario

    20-décembre-2024 L’industrie de l’énergie renouvelable salue sa première occasion en près d’une décennie de proposer de nouveaux projets en Ontario. L’Association canadienne de l’énergie renouvelable (CanREA) accueille favorablement la directive ministérielle adressée par l’Ontario à la Société indépendante d’exploitation du réseau d’électricité (SIERE). Cette directive, qui donne le coup d’envoi à la très attendue deuxième demande de… Read More…

  • Bourses d’études 2024-2025 du 1er District de la FIOE

    Bourses d’études 2024-2025 du 1er District de la FIOE

    20-décembre-2024 Encore une fois, le premier district de la FIOE conjointement avec MWG Apparel, AIL et TD Assurance Meloche Monnex, est fier d’annoncer que dix (10) bourses d’études de 2000 $ chacune seront accessibles à tous les membres canadiens de la FIOE et à leurs familles qui sont inscrits à des cours en vue d’obtenir… Read More…


Formation et événements