Le Quotidien
|
 En manchette  Indicateurs  Communiqués par sujets
 Sujets d'intérêt  Calendrier de diffusion  Information

L'incidence du cybercrime sur les entreprises canadiennes, 2017

Diffusion : 2018-10-15

L'Enquête canadienne sur la cybersécurité et le cybercrime a été menée pour la première fois afin de mesurer l'incidence du cybercrime sur les entreprises canadiennes. La diffusion coïncide avec le Mois de la sensibilisation à la cybersécurité, qui est une campagne internationale qui se déroule chaque année en octobre afin d'informer le public de l'importance de la cybersécurité.

Les entreprises canadiennes déclarent avoir dépensé 14 milliards de dollars pour la cybersécurité

Les entreprises canadiennes ont déclaré avoir dépensé 14 milliards de dollars en 2017 pour prévenir et détecter les incidents de cybersécurité, et pour s'en remettre, ce qui représente moins de 1 % de leurs revenus totaux. Environ 8 milliards de dollars ont été consacrés aux salaires des employés, des consultants et des entrepreneurs qui ont travaillé à la cybersécurité, tandis que 4 milliards de dollars ont été investis dans les logiciels de cybersécurité et le matériel connexe. Plusieurs autres mesures de prévention et de rétablissement ont été à l'origine des 2 milliards de dollars restants des dépenses totales.

Les dépenses annuelles moyennes en cybersécurité ont beaucoup varié selon la taille de l'entreprise en 2017. Les grandes entreprises (250 employés ou plus) ont dépensé 948 000 $, les moyennes entreprises (50 à 249 employés) ont dépensé 113 000 $ et les petites entreprises (10 à 49 employés) ont dépensé 46 000 $.

Un peu plus d'un cinquième des entreprises canadiennes ont été touchées par un incident de cybersécurité

En 2017, un peu plus d'un cinquième (21 %) des entreprises canadiennes ont déclaré qu'elles avaient été touchées par un incident de cybersécurité qui a eu des répercussions sur leurs activités. Les grandes entreprises (41 %) étaient plus de deux fois plus susceptibles que les petites entreprises (19 %) d'avoir identifié un incident ayant des répercussions.

Parmi les entreprises touchées par un incident de cybersécurité, 39 % n'ont pas pu déterminer le motif de l'attaque, tandis que 38 % ont indiqué que le motif était une tentative de vol d'argent ou une demande de paiement d'une rançon. Un peu plus du quart (26 %) des entreprises ont connu des incidents où les auteurs ont tenté d'accéder à des zones d'accès non autorisé ou privilégié et 23 % ont été aux prises avec un incident où il y a eu tentative de vol de renseignements personnels ou financiers.

Un peu plus de la moitié (54 %) des entreprises touchées ont déclaré que les incidents de cybersécurité empêchaient les employés d'effectuer les tâches quotidiennes et 53 % ont déclaré que les incidents empêchaient l'utilisation de ressources ou de services (par exemple, ordinateurs de bureau ou courriels). Près du tiers (30 %) des entreprises ont dû assumer des coûts supplémentaires de réparation ou de rétablissement, 10 % des entreprises ont perdu des revenus et 4 % ont déclaré qu'elles avaient dû rembourser des tiers ou verser une rançon en 2017.

Plus de la moitié (58 %) des entreprises ont connu un certain temps d'arrêt à la suite d'un incident. En moyenne, le temps d'arrêt total des entreprises en 2017 était de 23 heures et comprenait les appareils mobiles, les ordinateurs de bureau et les réseaux.

Les entreprises de certains secteurs étaient plus susceptibles d'être touchées par des incidents de cybersécurité. Les établissements bancaires (à l'exclusion des services bancaires d'investissement) (47 %), les universités (46 %) et les entreprises du sous-secteur du transport par pipeline (45 %) ont enregistré le plus grand nombre d'incidents.

Pour tous les types d'incidents, 65 % des entreprises ont déclaré qu'elles croyaient qu'une partie externe était responsable de l'incident de cybersécurité par opposition à un employé interne, un fournisseur, un client, un partenaire ou un acteur inconnu.

La grande majorité des entreprises canadiennes ont mis en place une certaine forme de cybersécurité

Presque toutes les entreprises canadiennes (95 %) ont utilisé une certaine forme de cybersécurité pour se protéger ou protéger leurs clients et leurs partenaires en 2017. Toutefois, même pour les mesures de protection les plus couramment signalées, l'utilisation n'était pas universelle. Un certain nombre d'entreprises n'utilisaient pas de programmes malveillants (24 %), la sécurité des courriels (26 %) et la sécurité des réseaux (32 %), comme les pare-feu. Au sein des grandes entreprises, le recours à ces mesures de sécurité était presque universel.

Bien que les deux tiers (66 %) des entreprises aient permis à leurs employés d'utiliser des appareils personnels pour mener des activités commerciales, moins de la moitié (47 %) de ces entreprises avaient mis en place des mesures de sécurité pour gérer ces appareils.

Environ le tiers (29 %) des entreprises ont été tenues, par leurs fournisseurs, clients, partenaires ou organismes de réglementation, de mettre en œuvre des mesures de cybersécurité en 2017. Ces exigences étaient plus courantes parmi les établissements bancaires (à l'exclusion des services bancaires d'investissement) (81 %), les magasins de produits de santé et de soins personnels (79 %) et les entreprises du sous-secteur du transport par pipeline (67 %).

Près d'un quart (24 %) des grandes entreprises ont indiqué qu'elles avaient une assurance cyberresponsabilité pour se protéger contre les risques et les menaces en matière de cybersécurité, comparativement à 14 % des moyennes entreprises et à 7 % des petites entreprises. Pour la majorité des polices d'assurance, la couverture comprenait les pertes directes découlant d'une attaque ou d'une intrusion (82 %), l'interruption des activités (72 %), les frais de restauration (71 %) et la responsabilité envers les tiers et les pertes financières (66 %).

Près des trois quarts des entreprises canadiennes comptent des employés responsables de la cybersécurité

En 2017, 74 % des entreprises au Canada comptaient des employés principalement responsables de la cybersécurité de l'entreprise, en particulier les grandes entreprises (91 %) et les entreprises de taille moyenne (83 %).

Un peu plus des deux tiers (67 %) des entreprises au Canada, peu importe leur taille, ont déclaré compter d'un à cinq employés principalement responsables de la cybersécurité. Près du quart (24 %) des grandes entreprises ont déclaré compter plus de cinq employés principalement responsables de la cybersécurité, comparativement à 9 % pour les moyennes entreprises.

Parmi les 26 % d'entreprises qui ont déclaré ne pas compter d'employés principalement responsables de la cybersécurité en 2017, 56 % ont indiqué que la cybersécurité ne représentait pas un risque suffisamment élevé pour leur entreprise et 31 % ont indiqué avoir fait appel à des consultants ou à des entrepreneurs pour surveiller leurs réseaux.

Un peu plus de la moitié (51 %) des entreprises ont communiqué des pratiques générales en matière de cybersécurité à leurs employés au moyen de courriels, de babillards ou de séances d'information, tandis que 19 % ont donné une formation officielle pour perfectionner ou améliorer leurs compétences liées à la cybersécurité. Les grandes entreprises (59 %) étaient les plus susceptibles d'offrir de la formation à leurs employés, tandis que 32 % des moyennes entreprises et 16 % des petites entreprises le faisaient. En moyenne, les entreprises canadiennes ont dépensé 12 000 $ au cours de l'année pour donner de la formation sur la cybersécurité à leurs employés, fournisseurs, clients ou partenaires.

Peu d'entreprises canadiennes ont une politique écrite pour gérer ou signaler les incidents de cybersécurité

En 2017, 13 % des entreprises avaient une politique écrite pour gérer ou signaler les incidents de cybersécurité. Cependant, certaines industries ont dépassé la moyenne, y compris les établissements bancaires (à l'exclusion des services bancaires d'investissement) (66 %) et celles des sous-secteurs du transport par pipeline (55 %) et du transport ferroviaire (55 %).

Parmi les 58 % d'entreprises qui ont entrepris des activités pour cerner les risques liés à la cybersécurité en 2017, la plupart (85 %) ont surveillé leurs réseaux et leurs systèmes d'entreprise, tandis que 38 % ont surveillé les comportements de leurs employés.

La vaste majorité des grandes entreprises (93 %) ont entrepris au moins une activité pour cibler les risques de cybersécurité. Ces grandes entreprises ont déclaré avoir davantage recours à des services externes spécialisés pour évaluer leurs risques en matière de cybersécurité par rapport à d'autres tailles d'entreprises : 45 % ont embauché un tiers externe pour effectuer un test d'intrusion de leur sécurité, 37 % ont fait vérifier complètement leurs systèmes de TI et 33 % ont obtenu une évaluation officielle des risques de leurs pratiques en matière de cybersécurité.

Un peu plus de la moitié (52 %) des grandes entreprises ont effectué des évaluations des risques liés à la cybersécurité de façon régulière. Parallèlement, 59 % des petites et 56 % des moyennes entreprises ont procédé à des évaluations irrégulières.

Plus du quart (28 %) des entreprises ont déclaré que des cadres supérieurs surveillaient les risques et les menaces en matière de cybersécurité, et 89 % d'entre elles ont déclaré avoir informé les cadres supérieurs des mesures prises en matière de cybersécurité.

La plupart des entreprises canadiennes ne signalent pas les incidents de cybersécurité aux organismes d'application de la loi

Environ 10 % des entreprises touchées par un incident de cybersécurité ont signalé l'incident à un service de police en 2017.

Un peu plus de la moitié (53 %) des entreprises touchées par des incidents ne les ont pas signalés à un service de police parce que les incidents ont été résolus à l'interne. Parallèlement, le tiers (35 %) des entreprises n'ont pas signalé les incidents parce qu'ils ont été résolus par des consultants en TI ou des entrepreneurs, tandis que 29 % n'ont pas signalé les incidents aux services de police parce qu'elles estimaient que les répercussions étaient trop mineures.

Séance de clavardage

Le public est invité à clavarder avec un expert à ce sujet, le mercredi 17 octobre 2018, de 13 h 30 à 14 h 30, heure de l'Est.

  Note aux lecteurs

Les entreprises canadiennes continuent d'adopter rapidement Internet et les technologies numériques, ce qui les expose à de plus grands risques et menaces en matière de cybersécurité. Toutefois, l'incidence de ces risques et de ces menaces sur les investissements et les décisions quotidiennes des entreprises n'est pas facilement comprise, car les incidents de cybersécurité ne sont souvent pas signalés.

L'Enquête canadienne sur la cybersécurité et le cybercrime de 2017, la première enquête de ce genre au Canada, vise à combler certaines de ces lacunes statistiques en présentant un portrait du contexte actuel des menaces d'une manière qui n'était pas possible auparavant, en fournissant des renseignements nouveaux et actuels sur le comportement des entreprises canadiennes qui relèvent les défis de cybersécurité d'un monde en évolution.

Les données de l'enquête ont été recueillies de janvier à avril 2018. La population cible comprenait les entreprises ayant des activités au Canada et comptant 10 employés ou plus, dans tous les secteurs, à l'exception des administrations publiques. La taille de l'échantillon final était de 12 597 entreprises, et le taux de réponse, de 86 %.

Étant donné que les entreprises ne sont pas toujours au courant des incidents de cybersécurité qui les ont touchées ou qu'elles ne sont pas disposées à signaler certains incidents, les résultats de l'enquête peuvent avoir été touchés par un biais de sous-déclaration.

On a seulement demandé aux entreprises de signaler les incidents qui les touchaient. Par conséquent, les incidents que les entreprises jugent sans effet ne sont pas saisis dans ces données.

Les réponses de 0 $ n'ont pas été prises en compte dans le calcul des moyennes en dollars.

La catégorie des établissements bancaires citée dans le présent article (à l'exclusion des services bancaires d'investissement) se trouve aux tableaux 22-10-0001-01, 22-10-0056-01 et 22-10-0076-01 à 22-10-0079-01, sous l'appellation Autorités monétaires – banque centrale; intermédiation financière et activités connexes. Cette catégorie comprend le code 521 du Système de classification des industries de l'Amérique du Nord (SCIAN) (autorités monétaires - banque centrale) et le code 522 du SCIAN (Intermédiation financière et activités connexes).

Produits

L'infographie « Les cybercrimes et les entreprises canadiennes, 2017 », qui fait partie de Statistique Canada — Infographies (Numéro au catalogue11-627-M), et un tableau de bord interactif « Cybersécurité et cybercrime au Canada, 2017 », qui fait partie de Statistique Canada – Produits de visualisation des données (Numéro au catalogue71-607-X), sont maintenant accessibles.

Coordonnées des personnes-ressources

Pour obtenir plus de renseignements ou pour en savoir davantage sur les concepts, les méthodes et la qualité des données, communiquez avec nous au 514-283-8300 ou composez sans frais le 1-800-263-1136 (STATCAN.infostats-infostats.STATCAN@canada.ca), ou communiquez avec les Relations avec les médias au 613-951-4636 (STATCAN.mediahotline-ligneinfomedias.STATCAN@canada.ca).

Date de modification :