[STAT CAN] Les secteurs industriels les plus touchés par les incidents de cybersécurité au Canada en 2017

Par David Brisebois et Thuc-Uyên Tang, Université de Montréal

 

Mise en contexte

Avec l’avènement d’Internet et des technologies connexes, de nouvelles opportunités criminelles affectent désormais les entreprises du Canada. À titre d’exemple, des programmes malveillants facilement accessibles et prêts à utiliser – on peut les acheter, les vendre ou les échanger en ligne –, des hackers, des phreakers, etc. mettent aujourd’hui à risque les entreprises canadiennes d’être victimes de cyberincidents [1] .

À partir de l’Enquête canadienne sur la cybersécurité et le cybercrime [2] menée par Statistique Canada [3], les secteurs d’activité les plus touchés par des incidents de cybersécurité en 2017 ont été identifiés. Statistique Canada, dans cette enquête, définit un incident de cybersécurité ainsi : «Toute tentative non autorisée, réussie ou non, d’atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système ».

Les incidents de cybersécurité se divisent, dans le cadre de l’enquête, en sept catégories :

  • Perturbation ou défiguration de l’entreprise ou de sa présence Web (ex: modifier le contenu sans autorisation);
  • Vol de renseignements personnels ou financiers;
  • Vol d’Argent ou demande de paiement d’une rançon;
  • Vol ou utilisation inappropriée de la propriété intellectuelle ou des données commerciales;
  • Accès à des zones d’accès non autorisé ou privilégié;
  • Surveillance et suivi des activités commerciales
  • Aucun motif connu.

Problématique

Les incidents de cybersécurité peuvent avoir des conséquences nuisibles pour les entreprises canadiennes qui en sont affectées : employés ne pouvant effectuer leur travail; services ou ressources inutilisables; frais de réparation ou de rétablissement; etc. Ces incidents de cybersécurité mènent ainsi à des pertes financières, directes et indirectes, pour l’entreprise qui en est victime, d’autant plus si sa réputation est entachée, particulièrement lorsqu’il y a vol de renseignements personnels de sa clientèle [4].

À titre indicatif, Statistique Canada [5 ] indique :

Un peu plus de la moitié (54 %) des entreprises touchées ont déclaré que les incidents de cybersécurité empêchaient les employés d’effectuer les tâches quotidiennes et 53 % ont déclaré que les incidents empêchaient l’utilisation de ressources ou de services (par exemple, ordinateurs de bureau ou courriels). Près du tiers (30 %) des entreprises ont dû assumer des coûts supplémentaires de réparation ou de rétablissement, 10 % des entreprises ont perdu des revenus et 4 % ont déclaré qu’elles avaient dû rembourser des tiers ou verser une rançon en 2017.

Résultats

Pour chaque secteur industriel, le nombre moyen d’incidents pour l’année 2017 a été mis en évidence dans chaque catégorie d’incidents de cybersécurité. Par exemple, pour la catégorie « Vol de renseignements personnels ou financiers », chaque entreprise du secteur du « gaz naturel « a été touchée, en moyenne, 26 fois en 2017 par un tel incident.

Résultats marquants

  • Services publics : les services publics ressortent dans quatre des six catégories. Cela indique qu’ils sont, de façon générale, fortement touchés par des incidents de cyberscurité. Il est possible que cela s’explique par le fait que les services publics constituent des systèmes d’infrastructure critiques combinant des valeurs symbolique et instrumentale (essentielles à la société), donc les attaquer/perturber devient une partie intégrante d’une logique moderne de destruction qui cherche un impact maximal [6].
  • Transport par eau (de passagers et de marchandise) : les entreprises du transport par eau sont fortement ciblées par le vol de renseignements personnels ou financiers. Il est possible que des individus volent de tels renseignements afin de préparer des vols de marchandise. Voler les renseignements permet de connaître la marchandise transportée ainsi que son itinéraire. De plus, il est possible que les entreprises de ce secteur déclarent plus souvent leurs incidents pour des raisons d’assurances.
  • Soins de santé et assistance sociale : ce secteur est affecté par des cyberincidents de surveillance et de suivi des activités commerciales. Ce résultat est surprenant compte tenu qu’il ne s’agit pas d’un secteur venant d’emblée à l’esprit lorsqu’on réfléchit aux activités commerciales. Il est possible que ce secteur soit surveillé afin de comprendre sa gestion et de mieux planifier d’éventuelles attaques.
  • Industries de l’information et culturelle : ces industries ressortent dans la catégorie « vol d’argent ou demande de rançon ». L’hypothèse soulevée ici est que des demandes de rançon pour des enregistrements sonores, des films, etc. sont faites à des gros joueurs (maisons de disque ou distributeurs de films). Ces derniers se sentent possiblement obligés de payer la somme demandée pour récupérer leur matériel original.

Recommandations

Au niveau de l’entreprise:

  • Identification des vulnérabilités et des risques à une fréquence régulière
    « Un peu plus de la moitié (52 %) des grandes entreprises ont effectué des évaluations des risques liés à la cybersécurité de façon régulière. Parallèlement, 59 % des petites et 56 % des moyennes entreprises ont procédé à des évaluations irrégulières [5].»;
  • Augmentation du budget dédié aux mesures de cybersécurité
    Statistique Canada [5] précise que « [l]es entreprises canadiennes ont déclaré avoir dépensé 14 milliards de dollars en 2017 pour prévenir et détecter les incidents de cybersécurité et pour s’en remettre, ce qui représente moins de 1 % de leurs revenus totaux»;
  • Politique écrite pour signaler les cyberincidents et pour les gérer (ex. : plan d’intervention)
    « En 2017, 13 % des entreprises avaient une politique écrite pour gérer ou signaler les incidents de cybersécurité [5]».

Au niveau des employés:

  • Sensibilisation aux risques encourus ainsi que formation pour le développement de pratiques exemplaires (ex. : reconnaître et éviter les arnaques par courriel; importance de la complexité des mots de passe et des techniques de sécurité de base; sécuriser votre navigateur Web, etc.)
    « Un peu plus de la moitié (51 %) des entreprises ont communiqué des pratiques générales en matière de cybersécurité à leurs employés au moyen de courriels, de babillards ou de séances d’information, tandis que 19 % ont donné une formation officielle pour perfectionner ou améliorer leurs compétences liées à la cybersécurité [5]».

Visionnez la présentation de David et Thuc-Uyên!

 

Sources
[1] Ghernaouti-Hélie, S. (2007). Cybercriminalité et sécurité intérieure : état des lieux et éléments de prévention. Dans M.Cusson, B.Dupont et F.Lemieux (dir.), Traité de sécurité intérieure (p.246- 259). Montréal : Éditions Hurtubise.
[2] Statistique Canada. (2017). Enquête canadienne sur la cybersécurité et le cybercrime. Repéré à https://www.serene-risc.ca/fr/statistique-canada
[3] L’enquête a été effectuée auprès d’environ 12 000 entreprises privées de divers secteurs industriels classifiés selon le Système de classification des industries de l’Amérique du Nord (SCIAN) Canada 2012.
[4] Gendarmerie Royale du Canada. (2014). Cybercriminalité : survol des incidents et des enjeux au Canada. Repéré à http://www.rcmp-grc.gc.ca/fr/cybercriminalite- survol-des-incidents-etdes-enjeux-au-canada
[5] Statistique Canada. (2018). L’incidence du cybercrime sur les entreprises canadiennes, 2017. Repéré à https://www150.statcan.gc.ca/n1/daily- quotidien/181015/dq181015a-fra.htm
[6] Graham, A. (2012). Canada’s Critical Infrastructure: When is Safe Enough Safe Enough?. Institut Macdonald-Laurier