La pandémie mondiale a forcé des millions de Canadiens à effectuer un grand nombre de leurs activités quotidiennes en ligne, que ce soit pour le travail, l'école, les loisirs, les divertissements, les achats et l'accès aux services commerciaux et gouvernementaux. Pour les cybercriminels, cette transition historique présente une opportunité exceptionnelle. Et il semble que peu d'entreprises canadiennes se soient préparées à y faire face.
Un récent sondage mené par KPMG au Canada dans le cadre du mois de la sensibilisation à la cybersécurité révèle que 39 % des entreprises ont « grande confiance » dans leur capacité à détecter et à contrer les cyberattaques. Si ce chiffre peut sembler faible, j'oserais dire qu'il l'est encore plus en réalité, d'après ce que je vois sur le terrain. Certaines organisations sont en mesure de réagir à des cyberincidents mineurs, mais la plupart des entreprises canadiennes ne disposent pas de cybercontrôles efficaces pour affronter un événement majeur, comme une attaque par rançongiciel.
La clé d'une cybersécurité renforcée…
Ce manque de préparation pour faire face à une intrusion massive s'explique probablement par le fait que seulement 56 % des entreprises interrogées admettent disposer d'un plan d'action détaillé et effectuer régulièrement des exercices de simulation. Ainsi, 44 % des entreprises canadiennes ne disposent pas de cyberdéfenses efficaces. Bien sûr, il existe différents types de plans d'action pour toutes sortes de situations – certaines entreprises peuvent avoir élaboré des ripostes pour des menaces spécifiques comme le hameçonnage, mais elles n'accordent pas suffisamment d'attention aux autres types d'attaques qui peuvent surgir de nulle part. L'inattendu, si vous voulez.
L'équipe de cybersécurité de KPMG au Canada organise régulièrement des exercices de simulation – ou « jeux de guerre » – avec les clients afin de tester leurs plans d'action en matière de cybersécurité. Il faut se rendre à l'évidence : ces plans sont généralement trop limités et ne tiennent pas compte de différents types de situations. Il suffit parfois de modifier légèrement la trajectoire de l'attaque simulée pour déstabiliser l'entreprise, ce qui dénote, le plus souvent, une planification déficiente.
[Consulter également : Survivre au premier contact, par Alexander Rau]
Les avantages et les risques de l'impartitio
De nombreuses entreprises externalisent certaines fonctions de cybersécurité auprès d'un fournisseur externe de services de sécurité gérés. Notre sondage révèle qu'un peu plus de la moitié (51 %) externalisent partiellement ou cotraitent des fonctions de cybersécurité, et que près d'un quart les externalisent totalement. Nous avons constaté que de plus en plus d'entreprises commencent par confier leurs contrôles de surveillance à des fournisseurs externes, puis ajoutent d'autres fonctions au fil du temps.
L'impartition des fonctions de cybersécurité présente des avantages pour les entreprises, à condition que celles-ci choisissent soigneusement leur fournisseur et les fonctions qu'elles entendent lui confier. Si elles délèguent trop de responsabilités à de grandes entreprises de cybersécurité qui servent une vaste clientèle, la qualité du travail peut s'en ressentir. KPMG soumet régulièrement les fournisseurs externes à des tests de résistance et constate qu'ils n'atteignent pas toujours les objectifs fixés.
Renforcer la cyberculture
Une autre raison qui explique le manque de préparation des entreprises canadiennes pour faire face aux cybermenaces est leur cyberculture – ou plutôt l'absence de celle-ci. Seulement deux répondants sur cinq (38 %) affirment que la cybersécurité est « profondément intégrée » à tous les aspects de leur entreprise. Là encore, ce pourcentage peut sembler faible, mais lorsque je vois ce qui se passe réellement sur le marché, je suis convaincu qu'il est bien inférieur à 38 %. Je ne connais qu'une poignée d'organisations qui pourraient dire en toute confiance que la cybersécurité est au cœur de tout ce qu'elles font.
[Consulter également : Cybersécurité : une question d'équilibre, par Imraan Bashir]
L'expression « profondément intégrée » n'est peut-être pas bien comprise par les chefs d'entreprise qui n'ont pas de formation en informatique ou en cybersécurité. Elle signifie que les organisations intègrent la cybersécurité dans tous les aspects de leur activité, y compris les nouveaux plans et projets, jusqu'à la mise en œuvre et l'exécution de ces projets et des opérations en cours. La création d'une solide culture de cybersécurité n'est pas la responsabilité exclusive des TI : elle appartient à chaque employé, du débutant récemment engagé au chef de la direction. Une organisation est aussi forte que son maillon le plus faible, et souvent ce maillon faible est un employé, donc offrir au personnel une formation continue pour le sensibiliser à la cybersécurité est la première étape pour défendre l'entreprise contre les attaques. La formation, le suivi, l'évaluation et la mesure du succès par rapport à des critères de référence sont les outils les plus efficaces pour aider le personnel à repérer et à prévenir une cyberintrusion.
Combler les écarts de compétences en matière de cybersécurité
Les gouvernements et les établissements d'enseignement ont également un rôle à jouer pour aider les entreprises à améliorer leurs cyberdéfenses, notamment en remédiant à la pénurie de main-d'œuvre qualifiée au Canada. Dans un autre sondage de KPMG au Canada réalisé en août, près d'un quart des répondants ont classé la cybersécurité au premier rang des compétences les plus recherchées en ce moment. Selon le Conseil des technologies de l'information et des communications (CTIC), le Canada aura besoin de 40 000 à 53 000 spécialistes en cybersécurité de plus d'ici 2023 (en anglais). Bien qu'un certain nombre d'initiatives soient en cours pour encourager les carrières en cybersécurité, le gouvernement et les établissements d'enseignement, en particulier, doivent mieux promouvoir la cybersécurité en tant qu'industrie à fort impact et à fort potentiel. Plus le Canada produira et emploiera de spécialistes en cybersécurité, plus nous serons tous en sécurité.
Multilingual post
This post is also available in the following languages
Stay up to date with what matters to you
Gain access to personalized content based on your interests by signing up today