1. L’état de préparation en
matière de cybersécurité des
organisations canadiennes
résumé de l’étude sur la
sécurité de scalar 2016
2. PRÉSENTATION
La deuxième étude annuelle de sécurité Scalar examine l’état de préparation des organisations canadiennes en matière de
sécurité informatique et les tendances en matière de lutte contre les menaces informatiques croissantes.
Nous avons interrogé 654 professionnels de l’informatique et de la sécurité informatique au Canada. La recherche a été
menée de manière indépendante par l’institut Ponemon. Les participants à cette étude occupent des postes de direction
dans le domaine des TI, dans l’amélioration de la sécurité informatique dans leurs organisations, dans la définition des
priorités informatiques et dans la gestion des budgets. Les personnes interrogées provenaient de secteurs d’activité très
divers; près des deux tiers travaillent dans des organisations comptant de 251 à 5000 employés au Canada.
VOICI QUELQUES-UNS DES PRINCIPAUX RÉSULTATS
DE NOTRE RECHERCHE :
Les répondants signalent une moyenne de 40 cyberattaques par année. Sachant cela, il est pas surprenant que
plus de la moitié (51 %) des répondants de cette année aient connu un incident impliquant la perte ou la mise en
danger d’informations sensibles au cours des douze derniers mois.
La grande majorité des répondants croient que les crimes cybernétiques augmentent en fréquence, en
sophistication et en gravité. Il s’avère également que les répondants sont de plus en plus découragés dans leurs
efforts pour combattre la cybercriminalité. 37 % seulement des personnes interrogées estiment qu’elles sont en
train de gagner la guerre de la cybersécurité, contre 41 % l’an dernier.
70 % des répondants mentionnent que leur organisation a connu des situations où des programmes et des logiciels
malveillants ont échappé aux systèmes de détection d’intrusion (IDS), et 82 % des répondants déclarent que leur
organisation a connu des situations où des cyberattaques ont échappé aux solutions antivirus (AV).
38 % seulement des répondants mentionnent que leur organisation a en place des systèmes et des contrôles pour
faire face aux menaces persistantes avancées (APT), et les organisations subissent une moyenne proche d’un
incident de type APT distinct par mois. Les arrêts des systèmes informatiques, les interruptions de l’activité et le
vol d’informations personnelles sont les principales conséquences des APT ou des « menaces jour zéro » subies.
Au cours des 12 derniers mois, les sociétés représentées dans cette recherche ont subi une moyenne de 5 attaques
par déni de service (DoS attack), soit environ une tous les deux mois. En outre, 44 % des répondants disent que leur
organisation a connu une attaque de type DoS qui a provoqué une interruption des activités commerciales et/ou des arrêts
du système. Le coût des interruptions d’activité et des arrêts du système a atteint en moyenne 1,2 million de dollars.
Les plus grandes menaces pour les organisations sont des attaques véhiculées par le Web. 80 % des répondants
disent que les mises en danger les plus fréquentes sont les attaques de logiciels malveillants véhiculées par le Web,
suivies par des trousses administrateur pirates (65 % des répondants).
Les appareils et les applications mobiles sont considérés comme le plus grand risque pour la sécurité
informatique. Les appareils mobiles, les applications de tiers et le risque par négligence d’un tiers sont les trois
principaux soucis pour, respectivement, 72 %, 68 % et 45 % des répondants. Tous ces risques ont en commun le
facteur humain, ce qui exige à la fois de la technologie et de la gouvernance pour réduire la menace.
Les compromis en matière de sécurité informatique coûtent cher, et la propriété intellectuelle est une cible des attaques.
33 % des répondants ont déclaré que leur entreprise avait subi une perte de propriété intellectuelle due à des cyberattaques
au cours des 24 derniers mois, et 36 % de ceux-ci ont estimé que ce vol avait causé une perte d’avantages concurrentiels.
Le coût moyen de la perte de ces informations était légèrement inférieur à 6 millions de dollars.
Cependant, les vols de propriété intellectuelle ne sont pas le seul coût d’une cyberattaque. En moyenne, sur les
12 derniers mois, les organisations ont dépensé environ 7 millions de dollars chacune, répartis comme suit :
nettoyage ou réparation, 766 667 $; perte de productivité des utilisateurs, 950 625 $; interruption des activités
normales, 1,1 million de dollars; actifs ou infrastructures TI volés ou endommagés, 1,6 million; et atteintes à la
réputation de la société ou à son image sur le marché, 2,6 millions. Les organisations signalent une moyenne de 40
attaques par an, ce qui nous donne donc un coût moyen par attaque d’environ 175 000 $.
3. Les dépenses en cybersécurité ont légèrement augmenté. En moyenne, les répondants estiment leur budget
annuel pour les TI à environ 71 millions de dollars, dont 11 % en moyenne sont consacrés à la sécurité des
informations. Cette proportion a légèrement augmenté par rapport aux 10 % de l’année dernière.
La plupart des répondants estiment que le recueil et l’utilisation de renseignements sur les menaces sont
essentiels pour gagner la bataille de la cybersécurité. 60 % des répondants participent pleinement ou
partiellement à une initiative ou à un programme d’échange de renseignements sur les menaces avec des pairs,
le gouvernement et/ou des groupes industriels. Ils pensent qu’en ce faisant ils renforcent la position de leur
organisation par rapport à la sécurité, et favorisent la prise de conscience sur la situation.
Que peuvent faire les organisations pour améliorer leur position en matière de sécurité? Là encore, nous avons identifié
certaines organisations représentées dans cette étude qui déclarent avoir pu se construire une position plus efficace en
matière de cybersécurité, et être plus à même de réduire les risques, les points faibles et les attaques. Nous qualifions ces
organisations de « très performantes ». Elles représentent 53 % du groupe échantillon. Si on les compare aux 47 % restants
de l’échantillon, les organisations « peu performantes », nous voyons que les plus performants consacrent 43 % de plus de
leur budget informatique à la sécurité de l’information, et sont presque deux fois plus susceptibles d’avoir une stratégie de
cybersécurité entièrement alignée sur leurs objectifs commerciaux et leur mission.
Du fait de ces stratégies, tactiques et investissements, les très performants ont connu moins de cas de
cyberattaques ayant pu franchir leurs contrôles antivirus ou de détection d’intrusions. Ils sont de 28 % plus
confiants dans le fait d’être en train de gagner la guerre de la cybersécurité, et sont de 19 % moins susceptibles
d’avoir subi une attaque ayant entraîné la perte ou la mise en danger d’informations sensibles.
Pour ce qui est de l’avenir, les technologies censées recevoir le plus de fonds au cours des 12 prochains mois chez
tous les répondants sont : la surveillance du trafic réseau, la SIEM, des solutions de sécurité des terminaux, l’analyse
de mégadonnées pour la cybersécurité, et la gestion et l’authentification de l’identité.
CONCLUSIONS
Bien qu’il semble que le panorama d’ensemble de la menace s’est aggravé dans les 12 derniers mois, les organisations
très performantes continuent à montrer qu’il est possible d’améliorer la position d’une organisation en matière de sécurité
informatique. Les pratiques de ces organisations très performantes apportent des orientations sur la manière dont les
organisations peuvent améliorer l’efficacité de leur sécurité informatique. Voici certaines stratégies et tactiques spécifiques
que les organisations devraient envisager pour renforcer leur position en matière de sécurité :
Effectuer des évaluations pour comprendre les points les plus vulnérables de l’organisation devant les attaques.
Si besoin est, embaucher des consultants en risque fiables afin qu’ils travaillent directement avec l’organisation pour
identifier et gérer efficacement les risques dans l’environnement de celle-ci.
Réserver des ressources suffisantes pour les investir dans des pratiques et des technologies considérées comme
essentielles pour construire une position de force en matière de sécurité informatique. Aligner leur stratégie de sécurité sur
les objectifs et la mission d’ensemble de l’entreprise, de manière à réserver un budget suffisant et à assurer que les dépenses
soient allouées à bon escient. En cas de doute sur la manière de commencer, se tourner vers des cabinets-conseil fiables
capables de fournir des programmes SRCO virtuels et d’aider à construire un programme de sécurité de bout en bout.
Investir dans des technologies comme la SIEM, dans le renseignement sur le réseau et dans la gestion de
l’identité et de l’authentification, afin de distinguer et de comprendre les comportements normaux et anormaux qui
ont lieu dans votre environnement.
Recruter de manière proactive des experts dotés des compétences nécessaires pour les aider à diriger l’équipe de
sécurité informatique de l’organisation. Assurer l’existence d’expertise en interne, et encourager tout leur personnel TI
et sécurité TI à acquérir une formation spécialisée et à maintenir son niveau de qualification. En cas d’absence d’une
expertise suffisante en interne, envisager la sous-traitance avec un prestataire de services de sécurité gérés.
Pour télécharger une copie du rapport complet, visitez scalar.ca/etude-securite-2016