Les mesures (im)populaires de cybersécurité des entreprises canadiennes

Les entreprises canadiennes continuent d’adopter rapidement les technologies numériques, les exposant ainsi à un plus grand nombre de risques et de menaces. L’Enquête canadienne sur la cybersécurité et le cybercrime de 2017 (ECCC) a été conçue pour brosser un tableau du climat actuel en fournissant des informations nouvelles et actualisées sur les réponses des entreprises canadiennes aux problèmes de cybersécurité

Les entreprises canadiennes et leurs mesures de cybersécurité

L’enquête a examiné onze types de mesures de cybersécurité en place, par secteur d’activité et par taille d’entreprise, soit[1]:

  • Sécurité mobile (gestion des dispositifs personnels, accès à distance sécurisé, réseau privé virtuel (RPV)
  • Logiciels contre les programmes malveillants pour protéger contre les virus, les logiciels espions, les logiciels de rançon, etc. (Microsoft Security Essentials, Malwarebytes, Symantec Endpoint Protection)
  • Sécurité Web (certificats numériques, restrictions aux sites Web)
  • Sécurité des courriels (filtres pour pourriel, analyse des courriels)
  • Sécurité des réseaux (pare-feu, serveurs mandataires, systèmes pot de miel)
  • Protection et contrôle des données (chiffrement, gestion des droits)
  • Sécurité aux points de vente (PDV) (chiffrement des données du détenteur de la carte)
  • Sécurité logicielle et des applications (établissement de listes blanches d’applications, application de correctifs prévue)
  • Sécurité relative au matériel et à la gestion des actifs(inventaires des équipements informatiques, clés bus série universel (USB) chiffrées)
  • Sécurité relative à la gestion de l’accès et de l’identité (règles de complexité des mots de passe, restrictions fondées sur les comptes d’utilisateur)
  • Contrôles de l’accès physique (systèmes de contrôle de l’accès par clavier, cartes d’accès)

Selon l’Enquête, 20,8% des entreprises canadiennes ont été touchées par un incident de cybersécurité affectant leurs activités[2]. Ces chiffres sont probablement sous-estimés, de nombreuses entreprises n’ayant peut-être pas la capacité technique de détecter les attaques les plus sophistiquées et les plus persistantes. En effet, peu d’entreprises sont en mesure de protéger efficacement leurs actifs, souvent en raison de contraintes budgétaires, du manque de connaissance des outils disponibles, du manque de compétences professionnelles et du manque de clarté des orientations en matière de gestion. Les changements technologiques tels que l’infonuagie, le commerce électronique, le travail à domicile et la possibilité offerte aux employés d’apporter leur propres appareils au travail (« Bring your own device » en anglais) augmentent le potentiel d’attaques.

La problématique

Comme expliqué ici, l’Enquête est un outil important pour bâtir un écosystème et un marché canadiens plus résiliants. Pour cette raison, SERENE-RISC explore les nombreuses utilisations possibles des données de l’enquête. Cette semaine, nous examinons les mesures (im)populaires en matière de cybersécurité mises en œuvre par les entreprises canadiennes.

Les résultats agrégés de l’Enquête pour les mesures de cybersécurité

Les résultats agrégés de l’Enquête ont montré que les logiciels anti-programmes malveillants (75,8%), la sécurité du courriel tel que le filtre anti-spam (73,9%) et la sécurité réseau telle que les systèmes de pare-feu et de pots de miel (67,7%) sont les mesures les plus populaires mises en œuvre par les entreprises canadiennes peu importe la taille et le secteur (voir figure 1). En effet, plus de ¾ des grandes entreprises canadiennes appliquent ces mesures. Certains secteurs se distinguent, tels que les services publics de production d’électricité, distribution de gaz naturel, etc., les secteurs de la finance et des assurances et de la gestion d’entreprise, avec plus de 80% des entreprises ayant mis en place ces mesures de sécurité. Il convient de souligner que pour des mesures telles que la sécurité Web (45,4%), la gestion des identités et des accès (44,1%) et la sécurité mobile (40%), un peu moins de la moitié des entreprises canadiennes appliquent ces mesures. Les résultats concernant la sécurité mobile sont remarquables, notamment parce que 66% des entreprises canadiennes autorisent leurs employés à apporter leurs propres appareils au travail.

Pourtant, le pourcentage le plus élevé d’incidents concerne des incidents inconnus (8,1%), le vol d’argent ou une rançon (8,0%) et l’accès non autorisé (5,3%)[3]. De plus, les risques ou menaces considérés comme ayant un impact négatif sont liés aux mesures mises en place (accès non autorisés, logiciels malveillants, et logiciels frauduleux), et non aux types d’incidents signalés[4]. En résumé, il semble que les mesures mises en place par les entreprises canadiennes dépendent davantage de ce qui est craint (risques perçus) que de ce qui se passe réellement (voir figure 2).

L’ECCC révèle également que les entreprises canadiennes investissent moins dans la protection et le contrôle des données (34%), la sécurité des applications et des logiciels (27,7%), la gestion du matériel et des actifs (27,7%) et le contrôle d’accès physique (24,3%) (voir figure 3). Certaines entreprises des secteurs des services publics, de la finance, des assurances et de la gestion d’entreprise se distinguent, mais encore une fois, l’adoption de ces mesures reste faible: un peu plus de la moitié de ces entreprises les adoptent.

Qu’est-ce que la recherche nous dit sur les mesures (im)populaires?

Les logiciels malveillants sont une source d’attaques qui se propagent facilement et rapidement, notamment par courrier électronique. Les programmes anti-logiciel malveillant sont donc un outil efficace pour détecter et dissuader les attaques malveillantes[5]. Sans surprise, ces programmes font partie des mesures les plus populaires mises en œuvre par les entreprises canadiennes, particulièrement lorsque que les incidents liés aux violations de la sécurité suscitent la peur et renforcent la volonté de mieux se protéger. Plus les personnes perçoivent une réponse comme efficace, plus elles ont de chances de la mettre en place[6]. En ce qui concerne les mesures moins populaires, plusieurs études montrent que pour les organisations, la mise à jour de logiciels et l’installation de correctifs nécessaires à la sécurité des logiciels et aux applications ne sont pas une priorité, car les menaces posées semblent moins visibles[7] . En outre, l’importance et la récurrence du vol de données et leur impact sur la réputation et la confiance des clients montrent la nécessité pour les entreprises de mieux protéger leurs données. La gestion des appareils peut être nécessaire, car il est difficile de mettre en œuvre de bonnes mesures sans une compréhension claire de ce qui doit être sécurisé[8]. Enfin, les employés utilisent de plus en plus leurs propres appareils, ce qui peut compromettre le réseau de l’entreprise lorsqu’ils sont reconnectés au système. Étant donné que les entreprises investissent moins dans les mesures visant à protéger la sécurité mobile, elles pourraient envisager de mettre en place une approche plus globale.

Conclusion

Il semble que les mesures mises en place par les entreprises canadiennes ne soient pas toujours au diapason des incidents réels. Peut-être que ces mesures remplissent leur rôle en veillant à ce que les incidents qu’elles sont censées prévenir ne deviennent qu’un risque marginal.

Le sondage a révélé que les entreprises canadiennes bénéficieraient d’une approche plus globale de la cybersécurité en ce qui concerne les mesures de cybersécurité. À cet égard, les processus d’évaluation des risques de cybersécurité sont des étapes importantes avant de mettre en oeuvre des mesures en matière de cybersécurité.

Téléchargez l’infographie de l’article en format PDF


[1] https://www150.statcan.gc.ca/t1/tbl1/fr/tv.action?pid=2210000101
[2] https://www150.statcan.gc.ca/t1/tbl1/fr/tv.action?pid=2210007601
[3] Voir tableau 19.1 des résultats agrégés sur le site web de  SERENE-RISC
[4] Voire tableau 16.1 des résultats agrégés sur le site web de  SERENE-RISC
[5] Thong, J. Y.L. (1999). An Integrated Model of Information Systems Adoption in Small Businesses. Journal of Management Information Systems, 15(4), 187-214
[6] Lee, Y. & Larsen, K.R.(2009). Threat or doping appraisal: determinants of SMB executives’ decision to adopt anti-malware software. European Journal of Informations Systems, 18, 177-187.
[7] Lee, Y. & Larsen, K.R.(2009). Threat or doping appraisal: determinants of SMB executives’ decision to adopt anti-malware software. European Journal of Informations Systems, 18, 177-187.
[8] Chenoweth, T., Minch, R. & Tabor, S. (2007). Expanding Views of Technology Acceptance: Seeking Factors Explaining Security Control Adoption. AMCIS 2007 Proceedings. 321