L'incidence du cybercrime sur les entreprises canadiennes, 2023
Diffusion : 2024-10-21
Bien que la numérisation et l'augmentation de la présence en ligne aient créé de nombreuses nouvelles occasions pour les entreprises canadiennes, elles les ont également exposées à de nouveaux risques en matière de protection de la vie privée, de protection des données et de cybersécurité. En 2023, les dépenses totales engagées pour le rétablissement des activités à la suite d'incidents de cybersécurité avaient doublé par rapport à 2021, ce qui démontre l'importance croissante de la préparation en matière de cybersécurité.
Depuis 2017, l'Enquête canadienne sur la cybersécurité et le cybercrime (ECCC) permet de recueillir des données sur les mesures et les politiques que les entreprises canadiennes mettent en place pour gérer les risques en matière de cybersécurité. Les données de l'enquête permettent également d'examiner les répercussions des incidents de cybersécurité sur les activités des entreprises.
La diffusion des données de l'ECCC de 2023 coïncide avec le Mois de la sensibilisation à la cybersécurité, une campagne internationale qui se déroule chaque année en octobre et qui vise à informer le public de l'importance de la cybersécurité.
La proportion d'entreprises touchées par des incidents de cybersécurité continue de diminuer
En 2023, environ 1 entreprise canadienne sur 6 (16 %) a été touchée par des incidents de cybersécurité. La proportion d'entreprises touchées par des incidents de cybersécurité est en baisse depuis 2019 : 21 % des entreprises ont été touchées cette année-là et 18 % des entreprises l'ont été en 2021.
Cette tendance concorde avec les résultats d'une enquête sur les brèches de cybersécurité (lien en anglais seulement) menée au Royaume-Uni, qui ont montré que la proportion d'entreprises ayant été victimes de brèches ou d'attaques de cybersécurité a également diminué au Royaume-Uni de 2019 (18 %) à 2022 (12 %).
Au Canada, ce sont les grandes entreprises (-7 points de pourcentage) qui ont affiché la plus forte diminution en 2023, même si elles demeurent les plus susceptibles d'être touchées (30 %).
Contrairement à la tendance observée pour les entreprises canadiennes, les résultats de l'Enquête canadienne sur l'utilisation d'Internet ont révélé que la proportion de Canadiens de 15 ans et plus qui ont été victimes d'incidents de cybersécurité augmente depuis 2018. Plus des deux tiers (70 %) des Canadiens ont été victimes d'un incident de cybersécurité en 2022, ce qui représente une hausse par rapport à 2020 (58 %) et à 2018 (52 %).
Graphique 1
Entreprises touchées par des incidents de cybersécurité, Canada, 2019 à 2023
Une plus grande proportion d'entreprises sont touchées par les vols d'identité, les arnaques et les fraudes ainsi que les attaques par rançongiciel
Même si la proportion d'entreprises canadiennes touchées par des incidents de cybersécurité a diminué dans l'ensemble en 2023, certaines méthodes d'attaque étaient significativement plus courantes. Le vol d'identité a affiché la variation la plus importante; un peu moins du tiers (31 %) des entreprises touchées ont été victimes d'incidents utilisant cette méthode. Il s'agit d'une augmentation de 11 points de pourcentage par rapport à 2021. Les arnaques et les fraudes (50 %) ont affiché la deuxième hausse en importance, augmentant de 6 points de pourcentage par rapport à 2021. Les arnaques et les fraudes demeurent la méthode la plus couramment utilisée dans le cadre des incidents de cybersécurité.
En 2023, plus de 1 entreprise touchée sur 8 (13 %) a indiqué avoir été victime d'attaques par rançongiciel, ce qui représente une hausse par rapport à la proportion de 11 % enregistrée en 2021. La majorité (88 %) des victimes d'attaques par rançongiciel n'ont pas payé de rançon. Parmi les victimes qui ont indiqué l'avoir fait, la majorité (84 %) ont effectué un paiement de moins de 10 000 $, alors que 4 % ont versé plus de 500 000 $.
Graphique 2
Méthodes les plus couramment utilisées dans le cadre des incidents de cybersécurité, Canada, 2021 et 2023
Les dépenses engagées pour le rétablissement des activités à la suite d'incidents de cybersécurité doublent, tandis que celles consacrées à la prévention sont stables
En 2023, les dépenses totales engagées pour le rétablissement des activités à la suite d'incidents de cybersécurité ont aussi augmenté. Elles ont doublé pour passer d'environ 600 millions de dollars en 2021 à 1,2 milliard de dollars en 2023. Cette hausse fait suite à l'augmentation d'environ 200 millions de dollars observée de 2019 à 2021.
Les grandes entreprises ont été à l'origine de près de la moitié des dépenses totales engagées pour le rétablissement des activités à la suite d'incidents de cybersécurité en 2023, dépensant environ 500 millions de dollars à cet égard, tandis que les moyennes entreprises, tout comme les petites entreprises, y ont consacré environ 300 millions de dollars. La tendance à la hausse observée pour ce type de dépenses peut indiquer que, même si un pourcentage plus faible d'entreprises ont été victimes d'incidents de cybersécurité, les répercussions financières qui en découlent sont de plus en plus lourdes.
Comparativement aux dépenses engagées pour le rétablissement des activités à la suite d'incidents de cybersécurité, les dépenses totales consacrées à la prévention et à la détection des incidents de cybersécurité ont progressé à un rythme plus lent, passant de 9,7 milliards de dollars en 2021 à 11,0 milliards de dollars en 2023. Les grandes entreprises (4,8 milliards de dollars) ont été à l'origine de près de la moitié des dépenses totales engagées en 2023. Venaient ensuite les moyennes entreprises (3,6 milliards de dollars) et les petites entreprises (2,6 milliards de dollars). La proportion d'entreprises ayant déclaré avoir dépensé de l'argent pour prévenir ou détecter les incidents de cybersécurité a baissé pour passer de 61 % en 2021 à 56 % en 2023.
Le salaire des employés lié à la prévention ou à la détection (3,8 milliards de dollars) représentait le plus important coût lié à la cybersécurité pour les entreprises en 2023. La moitié (50 %) des entreprises ont indiqué avoir des employés spécialisés en cybersécurité en 2023, une proportion en baisse par rapport à celle observée en 2021 (61 %).
La raison la plus souvent citée pour ne pas avoir d'employés spécialisés en cybersécurité est le fait que l'entreprise a fait appel à des experts-conseils ou à des entrepreneurs pour surveiller la cybersécurité (47 %). Le coût d'embauche d'experts-conseils ou d'entrepreneurs (1,9 milliard de dollars) occupait le troisième rang des dépenses consacrées à la prévention ou à la détection, derrière le coût des logiciels de cybersécurité (2,9 milliards de dollars).
En plus des dépenses d'embauche, un peu plus du cinquième (22 %) des entreprises ont offert une formation officielle pour développer ou mettre à jour les compétences liées à la cybersécurité de leurs employés ne travaillant pas dans le domaine des technologies de l'information en 2023. Dans l'ensemble, le coût de la formation des employés, des fournisseurs, des clients ou des partenaires s'est chiffré à plus de 300 millions de dollars.
L'utilisation de politiques écrites est stable par rapport à 2021, tandis que le recours à l'assurance contre les cyberrisques augmente
La pandémie de COVID-19 a forcé de nombreuses entreprises canadiennes à mener une plus grande partie de leurs activités en ligne, les obligeant de ce fait à prendre des précautions supplémentaires en matière de cybersécurité. Bon nombre de ces précautions demeurent en place, même si les restrictions liées à la pandémie ont été levées.
Un peu plus de 1 entreprise canadienne sur 4 (26 %) ont mis en place des politiques écrites en matière de cybersécurité en 2023, une proportion identique à celle observée en 2021 (26 %). Parallèlement, 22 % des entreprises avaient souscrit une assurance contre les cyberrisques en 2023, ce qui représente une hausse de 6 points de pourcentage par rapport à 2021 (16 %). En ce qui concerne l'assurance contre les cyberrisques, les polices couvraient des éléments comme les pertes directes par suite d'un incident (53 %), les frais de restauration des logiciels, du matériel et des données électroniques (44 %), l'interruption des activités (39 %) et les pertes financières (38 %).
En 2023, la proportion d'entreprises menant des activités visant à identifier les risques pour la cybersécurité s'est établie à 59 %, et cette proportion est également demeurée relativement stable depuis 2019 (60 %). L'activité liée à la cybersécurité la plus courante en 2023 était la surveillance du réseau et des systèmes de l'organisation (46 %), suivie de la surveillance des comportements associés à un risque de menace interne (22 %).
Le signalement à la police d'incidents de cybersécurité augmente en 2023
Parmi les entreprises canadiennes touchées par des incidents de cybersécurité, environ 1 entreprise sur 8 (13 %) a signalé les incidents à la police en 2023. Il s'agit d'une augmentation de 3 points de pourcentage par rapport à 2021 (10 %). Les grandes entreprises (16 %) étaient les plus susceptibles de signaler les incidents, suivies des moyennes entreprises (15 %) et des petites entreprises (12 %). Le type d'incidents le plus souvent déclaré était les incidents pour voler de l'argent ou pour demander le paiement d'une rançon (56 % des entreprises ayant signalé des incidents à la police), venaient ensuite les incidents pour voler des renseignements personnels ou financiers (33 %).
Parmi les entreprises touchées n'ayant pas signalé tous les incidents à la police, les principales raisons citées pour ne pas les avoir signalés étaient le fait que les incidents ont été réglés à l'interne (55 %), que les incidents étaient trop mineurs (35 %) ou qu'ils ont été réglés par l'intermédiaire d'un expert-conseil ou d'un entrepreneur des technologies de l'information (31 %).
Portail et publications sur les statistiques de l'économie et de la société numériques
Pour obtenir plus de renseignements sur l'économie et la société numériques, visitez le portail Statistiques sur l'économie et la société numériques et consultez la publication Aperçus numériques, qui regroupent une variété de données de Statistique Canada et d'autres sources afin de fournir des statistiques, des articles analytiques et des outils interactifs liés à l'économie et à la société numériques au Canada.
Saviez-vous que nous avons une application mobile?
Téléchargez notre application mobile et accédez rapidement aux données du bout des doigts! L'application StatsCAN est offerte gratuitement dans l'App Store et sur Google Play.
Note aux lecteurs
Les données de l'Enquête canadienne sur la cybersécurité et le cybercrime (ECCC) de 2023 ont été recueillies de janvier à mars 2024. On a demandé aux répondants de ne déclarer que les activités qui ont eu lieu en 2023.
La population cible de l'ECCC de 2023 comprend les entreprises ayant des activités au Canada et comptant 10 employés ou plus, dans la plupart des secteurs économiques, à l'exception des administrations publiques. La taille de l'échantillon final était de 12 462 entreprises, et le taux de réponse, de 71 %.
Les catégories de taille d'entreprise utilisées dans le présent communiqué sont fondées sur le nombre d'employés :
- Les petites entreprises comptent de 10 à 49 employés.
- Les moyennes entreprises comptent de 50 à 249 employés.
- Les grandes entreprises comptent 250 employés ou plus.
En 2023, la population cible de l'ECCC comptait environ 5 000 grandes entreprises, 30 000 moyennes entreprises et 170 000 petites entreprises.
En ce qui concerne les indicateurs liés aux incidents de cybersécurité et leurs répercussions sur les activités des entreprises, on a demandé aux entreprises de ne déclarer que les incidents ayant eu des répercussions sur leurs activités. Par conséquent, les incidents que les entreprises ont jugés sans effet ne sont pas pris en compte dans les indicateurs. Ces incidents n'étant pas mesurés, les données présentées dans le présent communiqué pourraient ne pas refléter avec exactitude le nombre total de cyberattaques au Canada.
Dans le présent communiqué, des comparaisons sont faites entre l'ECCC et une enquête sur les brèches de cybersécurité (lien en anglais seulement) menée au Royaume-Uni, en raison de leurs similitudes sur le plan méthodologique. Dans le cadre de l'enquête sur les brèches de cybersécurité, on a demandé aux entreprises si elles avaient été victimes de brèches ou d'attaques de cybersécurité, puis si ces incidents avaient entraîné des répercussions. Pour permettre une comparaison plus précise avec l'ECCC, le pourcentage d'entreprises du Royaume-Uni touchées par des brèches ou des attaques de cybersécurité a été mathématiquement dérivé de ces deux questions d'enquête.
La catégorie « Décodage du mot de passe » présentée dans le graphique 2 a été reformulée en 2023. Dans les précédents cycles de l'enquête, la catégorie était « Piratage ou décodage du mot de passe ». Ce changement peut avoir eu une faible incidence sur les tendances observées.
Les chiffres relatifs aux coûts publiés pour l'ECCC de 2017 ne sont pas comparables avec les cycles ultérieurs en raison des changements apportés à la stratégie d'imputation des données et à la méthodologie de calcul des agrégats.
Coordonnées des personnes-ressources
Pour obtenir plus de renseignements ou pour en savoir davantage sur les concepts, les méthodes et la qualité des données, communiquez avec nous au 514-283-8300 ou composez sans frais le 1-800-263-1136 (infostats@statcan.gc.ca), ou communiquez avec les Relations avec les médias (statcan.mediahotline-ligneinfomedias.statcan@statcan.gc.ca).
- Date de modification :