L'incidence du cybercrime sur les entreprises canadiennes, 2021
Diffusion : 2022-10-18
Cybersécurité et cybercrime en 2021
La pandémie de COVID-19 a mis en évidence l'utilité des technologies numériques pour les entreprises canadiennes. Depuis le début de la pandémie, le recours au travail et aux opérations commerciales de façon virtuelle plutôt qu'en personne s'est accru. Cette augmentation s'est accompagnée d'une sensibilisation et d'une préoccupation accrues au sujet de la protection de la vie privée, de la protection des données et de la cybersécurité.
La plupart des entreprises canadiennes ont reconnu ce fait et ont pris les mesures appropriées pour assurer leur protection. L'Enquête canadienne sur la cybersécurité et le cybercrime permet d'évaluer ces précautions et les politiques mises en place par les entreprises canadiennes. Elle montre également la façon dont les incidents de cybercriminalité peuvent avoir des répercussions sur les activités des entreprises.
Cette diffusion coïncide avec le mois de la sensibilisation à la cybersécurité, qui est une campagne internationale qui se déroule chaque année en octobre en vue d'informer le public de l'importance de la cybersécurité.
Un peu moins d'un cinquième des entreprises canadiennes sont touchées par des incidents de cybersécurité en 2021
Un incident de cybersécurité peut entraîner différentes répercussions sur les entreprises, notamment en menaçant la vie privée et la sécurité des renseignements de leurs clients, ou encore des pertes monétaires, des atteintes à la réputation, etc. En 2021, un peu moins d'un cinquième (18 %) des entreprises canadiennes ont été touchées par des incidents de cybersécurité, comparativement à 21 % en 2019 et en 2017. Cela variait considérablement selon la taille de l'entreprise : 16 % des petites entreprises (de 10 à 49 employés), 25 % des moyennes entreprises (de 50 à 249 employés) et 37 % des grandes entreprises (250 employés ou plus) ont déclaré avoir été touchées par des incidents de cybersécurité en 2021.
Les plus fréquents des incidents de cybersécurité relevés par les entreprises en 2021 étaient les tentatives de vol d'argent ou les demandes de paiement de rançon (7 %) ainsi que les tentatives de vol de renseignements personnels ou financiers (6 %). Plus du tiers (39 %) des entreprises canadiennes touchées par des incidents de cybersécurité ont indiqué qu'il n'y avait pas de motif clair.
Alors que la plupart des entreprises touchées ont indiqué que des parties externes (61 %) étaient à l'origine des incidents de cybersécurité, 38 % des entreprises touchées n'ont pas pu identifier les auteurs; certains des autres auteurs identifiés étaient des parties internes (5 %) et des tiers connus (6 %), comme un fournisseur ou un client.
Graphique 1
Types d'incidents de cybersécurité qui ont touché les entreprises, Canada
Les entreprises canadiennes déclarent avoir dépensé plus de 10 milliards de dollars pour la cybersécurité en 2021
En 2021, le pourcentage d'entreprises qui ont déclaré avoir dépensé de l'argent pour détecter ou prévenir les incidents de cybersécurité (61 %) est demeuré relativement semblable à celui affiché en 2019 (62 %). Toutefois, les sommes que les entreprises canadiennes ont dépensées pour détecter ou prévenir les incidents de cybersécurité ont augmenté d'environ 2,8 milliards de dollars par rapport à 2019 pour atteindre 9,7 milliards de dollars en 2021. Les grandes entreprises ont été à l'origine d'un peu moins de la moitié du total; leurs dépenses se sont chiffrées à 4,4 milliards de dollars, suivies de celles des petites entreprises (2,9 milliards de dollars) et des moyennes entreprises (2,4 milliards de dollars).
Parmi les quelque un cinquième des entreprises (18 %) qui ont été touchées par un incident de cybersécurité, approximativement 40 % ont connu une interruption de service en conséquence, avec une durée moyenne de 36 heures. Les autres répercussions souvent déclarées comprennent les heures supplémentaires dont les employés ont eu besoin pour accomplir leur travail quotidien (21 %), l'impossibilité pour les employés d'effectuer leur travail quotidien (18 %) et la perte de revenus (14 %).
Les entreprises canadiennes touchées par un incident de cybersécurité ont dépensé un total d'un peu plus de 600 millions de dollars pour le rétablissement des opérations, soit une augmentation d'environ 200 millions de dollars par rapport à 2019. Cette croissance s'explique principalement par l'augmentation des montants dépensés par les entreprises touchées, alors qu'un plus petit pourcentage d'entreprises en 2021 (7%) ont déclaré des dépenses liées au recouvrement des coûts à la suite d'incidents de cybersécurité par rapport à 2019 (10%).
Les entreprises touchées dépensent plus pour prévenir et détecter les incidents de cybersécurité
Les entreprises canadiennes qui ont déclaré avoir été touchées par des incidents de cybersécurité ont dépensé plus d'argent pour prévenir et détecter les incidents, étaient plus susceptibles d'employer des spécialistes en cybersécurité, et étaient plus préoccupées par les incidents de cette nature.
En 2021, les entreprises qui ont déclaré être « extrêmement préoccupées » ou « très préoccupées » par les incidents de cybersécurité ont dépensé beaucoup plus en moyenne (près de 110 000 $ de plus) que les entreprises qui ont déclaré être « légèrement préoccupées » ou « pas du tout préoccupées » par les incidents de cybersécurité. Les entreprises qui ont déclaré être « extrêmement préoccupées » ou « très préoccupées » étaient également plus susceptibles d'avoir signalé un incident aux services de police (13 % comparativement à 10 %).
De plus, les entreprises qui ont été touchées par des incidents de cybersécurité ont dépensé en moyenne plus d'argent (113 000 $) pour les prévenir ou les détecter comparativement à celles qui n'ont pas été touchées (39 000 $). Les petites entreprises touchées ont dépensé 120 % de plus que celles non touchées, les moyennes entreprises touchées ont dépensé 39 % de plus et les grandes entreprises touchées ont dépensé 75 % de plus.
Par ailleurs, les entreprises touchées par un incident de cybersécurité étaient plus susceptibles d'avoir déclaré compter au moins un employé affecté à la cybersécurité que celles qui n'ont pas déclaré d'incident (79 % comparativement à 57 %). Les entreprises qui comptaient au moins un employé affecté à la cybersécurité ont également déclaré une durée d'interruption moyenne plus élevée, soit 38 heures, comparativement à 28 heures pour celles qui ne comptaient pas d'employés affectés à la cybersécurité.
Ces observations s'expliquent probablement de deux manières. En premier lieu, les entreprises touchées par ces incidents investissent dans des mesures préventives pour éviter les répercussions négatives futures (p. ex. en embauchant des employés spécialisés en cybersécurité). Deuxièmement, les entreprises qui ont déjà investi davantage dans la préparation aux menaces à la cybersécurité sont mieux placées pour les détecter et les signaler (p. ex. les entreprises qui ont un employé affecté à la cybersécurité sont plus susceptibles de détecter un incident qu'une entreprise qui n'a pas d'employé affecté à la cybersécurité).
Les entreprises canadiennes mettent en œuvre des politiques officielles en matière de cybersécurité
En plus de l'augmentation des dépenses liées à la prévention et à la détection, de nombreuses entreprises canadiennes mettent en œuvre des politiques et des procédures pour atténuer les risques. Par exemple, un peu plus de 6 entreprises canadiennes sur 10 (61 %) ont désigné au moins un employé responsable de la surveillance des risques et des menaces en matière de cybersécurité, presque 4 entreprises canadiennes sur 10 (38 %) avaient un consultant ou un entrepreneur chargé de gérer les risques et les menaces en matière de cybersécurité, et près de un tiers (29 %) des entreprises canadiennes ont apporté des correctifs ou des mises à jour sur une base mensuelle ou plus fréquemment pour améliorer la sécurité des systèmes d'exploitation.
Une autre approche de gestion des risques pour de nombreuses entreprises était la souscription d'assurance contre les cyberrisques, dont 16 % des entreprises canadiennes bénéficiaient, en baisse par rapport à la proportion de 17 % enregistrée en 2019. En ce qui est de l'assurance contre les cyberrisques, les polices couvraient des éléments comme les pertes directes découlant d'une attaque ou d'une intrusion (84 %), les frais de restauration des logiciels, du matériel et des données électroniques (75 %), et l'interruption des activités et l'atteinte à la réputation (73 %). Parmi les entreprises canadiennes ayant une assurance contre les cyberrisques et qui ont été touchées par des incidents de cybersécurité, 88 % n'ont pas présenté de réclamation, 8 % ont présenté une réclamation avec succès, et 2 % ont présenté une réclamation qui a été rejetée.
Au total, 1 entreprise sur 10 est touchée par un rançongiciel et elles sont moins nombreuses à effectuer des paiements de rançon
Comme les pirates informatiques connaissent et utilisent davantage, 11 % des entreprises canadiennes touchées par un incident de cybersécurité en 2021 ont été victimes de rançongiciels. Parmi ces entreprises, une grande proportion (82 %) n'a pas payé la rançon, tandis qu'une plus petite proportion (18 %) a déclaré avoir versé une rançon et 1 % a payé plus de 500 000 $. De plus, 14 % des entreprises qui ont payé une rançon l'ont fait au moyen d'une cryptomonnaie.
Pour résoudre les attaques par rançongiciels, 6 entreprises touchées sur 10 (60 %) ont eu recours à un consultant ou à un entrepreneur en technologies de l'information (TI), 14 % ont travaillé avec un autre tiers externe et 13 % ont eu recours à leur fournisseur d'assurance contre les risques informatiques.
Moins d'entreprises ont signalé des incidents aux services de police en 2021
Au total, 1 entreprise sur 10 (10 %) qui a été touchée par un incident de cybersécurité a signalé l'incident aux services de police, en baisse d'environ 2 points de pourcentage par rapport à 2019, où 12 % des entreprises ont signalé des incidents aux services de police. De 2019 à 2021, les petites, moyennes et grandes entreprises ont toutes connu une diminution des déclarations aux services de police.
Les entreprises qui ont signalé des incidents à la police étaient également trois fois plus susceptibles d'avoir déclaré avoir été touchées par un incident de vol ou de manipulation de propriété intellectuelle ou de données commerciales (26 % comparativement à 8 %), deux fois plus susceptibles d'avoir déclaré avoir été touchées par un incident de vol d'argent ou des demandes de paiement de rançon (66 % comparativement à 34 %), et deux fois plus susceptibles d'avoir déclaré avoir été touchées par un incident ayant perturbé ou défiguré l'entreprise ou sa présence Web (38 % comparativement à 17 %), comparativement à celles qui n'ont pas signalé d'incidents aux services de police.
De plus, les entreprises qui ont signalé des incidents aux services de police ont déclaré un coût moyen de 53 500 $ pour le rétablissement des activités à la suite d'incidents de cybersécurité, comparativement à 14 000 $ pour celles qui n'ont pas signalé l'incident aux services de police.
Parmi celles qui n'ont pas signalé d'incidents de cybersécurité aux services de police, les principales raisons étaient que les incidents avaient été résolus à l'interne (43 %), qu'ils avaient été résolus par un consultant ou un entrepreneur en TI (30 %), ou qu'ils étaient mineurs et pas assez importants pour l'entreprise (29 %).
Note aux lecteurs
Les données de cette enquête ont été recueillies de janvier à mars 2022. La population cible comprend les entreprises ayant des activités au Canada et comptant 10 employés ou plus, dans la plupart des secteurs économiques, à l'exception des administrations publiques. La taille de l'échantillon final était de 12 216 entreprises et le taux de réponse, de 74 %.
Les chiffres relatifs aux coûts totaux et moyens publiés pour le cycle de 2019 et de 2021 de cette enquête ne doivent pas être comparés avec ceux qui ont été publiés pour le cycle de 2017, étant donné que des changements ont été apportés à la méthodologie d'imputation. Les répondants à cette enquête ont indiqué que certains coûts liés à la cybersécurité sont difficiles à déclarer, car ils ne peuvent pas être facilement dissociés des dépenses générales pour la technologie et la gestion de l'information. Les chiffres relatifs aux coûts publiés pour l'enquête de 2017 comprenaient quelques ajustements de sorte à tenir compte de ces coûts liés à la cybersécurité que les répondants ont eu de la difficulté à déclarer. Après avoir consulté des spécialistes du domaine, il a été déterminé que le retrait de ces ajustements aux chiffres relatifs aux coûts de 2019 et de 2021 donnerait des données plus faciles à interpréter et à utiliser par les utilisateurs de données.
Les chiffres relatifs aux coûts moyens calculés pour les cycles de 2019 et de 2021 de cette enquête ne devraient pas non plus être comparés avec ceux qui ont été publiés pour le cycle de 2017, car les réponses de 0 $ ont été exclues des calculs en 2017 et incluses dans ceux de 2019 et de 2021.
On a seulement demandé aux entreprises de signaler les incidents qui les touchaient. Par conséquent, les incidents que les entreprises jugent sans effet ne sont pas compris dans ces données.
Coordonnées des personnes-ressources
Pour obtenir plus de renseignements ou pour en savoir davantage sur les concepts, les méthodes et la qualité des données, communiquez avec nous au 514-283-8300 ou composez sans frais le 1-800-263-1136 (infostats@statcan.gc.ca), ou communiquez avec les Relations avec les médias (statcan.mediahotline-ligneinfomedias.statcan@statcan.gc.ca).
- Date de modification :