La cybersécurité redevient une grande priorité pour les cadres dirigeants — comme cela devrait l'être. Dans cette ère marquée par les technologies perturbatrices et les opérations essentiellement numériques, les chefs de la direction sont de plus en plus et, à juste titre, sensibles au fait qu'il faut avoir de robustes stratégies et mesures de contrôle en matière de cybersécurité pour gérer les risques commerciaux dans tous les domaines. Cette prise de conscience ressort dans l'ensemble de notre sondage Perspective des chefs de la direction en 2024, qui indique que les dirigeants du Canada et d'ailleurs dans le monde font un effort concerté pour rester informés — et idéalement à l'avant — des tendances changeantes en matière de cybersécurité.
De bien des façons, il est réconfortant de voir que les chefs de la direction recentrent leur attention sur la cybersécurité. Au 21e siècle, elle se trouve au cœur de la gestion des risques. Avec une cybersécurité efficace, les entreprises sont plus susceptibles de gagner la confiance des parties prenantes, et de protéger leurs opérations et leurs activités et, en fin de compte, de conserver leur capacité même à faire des affaires. Tout le monde y gagne.
Retour à la normale
La dernière fois que la cybersécurité a été perçue comme l'un des trois principaux risques à la croissance des organisations, c'était en 2020, au début de la pandémie de COVID-19, quand le télétravail est devenu une nécessité de santé publique pour toutes les entreprises qui pouvaient y passer. Nouvellement dépendantes des propres systèmes privés de chaque employé, les organisations ont redoublé leur vigilance et accru la sensibilisation aux cyberattaques.
Une fois que le télétravail s'est imposé comme la nouvelle norme et que les risques liés aux contrôles de sécurité ont été suffisamment atténués, l'attention des chefs de la direction s'est tranquillement tournée vers d'autres préoccupations.
Toutefois, cet enjeu remonte dans la liste : en 2024, les menaces que posent les cybercriminels pour la croissance se retrouvent aux deuxième et troisième rangs des préoccupations des chefs de la direction du Canada et du monde, respectivement. Malheureusement, seulement la moitié (52 % des chefs de la direction du Canada et 48 % des chefs de la direction dans le monde) sentent que leur entreprise est « bien préparée » pour se défendre contre des attaques potentielles.
Pour leur part, les leaders des petites et moyennes entreprises (PME) canadiennes considèrent les cybermenaces comme leur principal risque, comme l'an dernier. En effet, l'enquête de KPMG Entreprises privées révèle que les PME se sentent plus cyberconfiantes que les grandes sociétés. Elles sont au moins 80 % à se déclarer prêtes à faire face à une cyberattaque, et 79 %, à avoir confiance dans leur capacité à faire progresser leur programme de cybersécurité au rythme de la rapide évolution de l'IA.
La cybersécurité de retour au premier rang des menaces à la croissance organisationnelle
Source: Perspective des chefs de la direction canadiens de KPMG pour 2020-2024
Comment se fait-il alors que 70 % des leaders de PME disent que leur entreprise ne dispose pas du personnel qualifié requis pour mettre la cybersécurité en œuvre ou surveiller les attaques? C'est probablement parce qu'ils sont nombreux à impartir en tout ou en partie la fonction de cybersécurité. Il se pourrait aussi qu'ils soient tout simplement moins conscients du caractère évolutif permanent des menaces et des tendances qui garde les chefs de la direction des grandes entreprises sur un pied d'alerte. Dans ce sens, il est bon de se rappeler que « plus on en sait, plus on réalise ce qu'on ne sait pas. » Pour cette raison, la stratégie et la gouvernance entourant la cybersécurité doivent être la priorité des plus hauts dirigeants de l'organisation.
Nager à contre-courant
Plusieurs facteurs peuvent expliquer ce regain d'intérêt des chefs de la direction pour la cybersécurité.
Premièrement, les cybermenaces évoluent constamment et deviennent plus sophistiquées, ce qui exerce une pression incessante sur les organisations qui veulent garder une longueur d'avance ou, à tout le moins, ne pas être complètement dépassées. Après tout, les criminels ont accès aux mêmes technologies potentiellement révolutionnaires que leurs cibles, comme l'IA générative, qui sont autrement encensées pour leurs avantages prometteurs.
Deuxièmement, la participation grandissante des États-nations aux cyberattaques à grande échelle. Quand une attaque du genre est lancée, d'autres auteurs de menace peuvent l'exploiter. De plus, la guerre s'effectue maintenant en partie à l'aide de l'informatique, ce qui rend vulnérables des infrastructures essentielles, même pour des sociétés ayant choisi leur camp dans un conflit.
Troisièmement, les réglementations relatives à la confidentialité des données et à la cyberrésilience évoluent de diverses façons et à des rythmes différents dans le monde. Cela ne fait qu'accroître les coûts et la demande en ressources pour les organisations qui veulent exercer leurs activités à l'extérieur de leur pays.
D'autres facteurs ont une nature plus interne. Par exemple, les milieux de travail hybrides ont engendré des besoins cybernétiques complexes, ce qui peut expliquer pourquoi les grandes entreprises rapatrient leur personnel au bureau, où les contrôles de sécurité sont plus facilement gérables. En même temps, le nombre insuffisant de talents et de compétences en cybersécurité fait en sorte que les entreprises se montrent plus ouvertes à la commodité relative que présente l'impartition.
Enfin, la préparation et les investissements concertés en cybersécurité représentent un impératif continuel. Autrement dit, les organisations qui veulent devenir résilientes doivent adapter constamment leurs stratégies cybernétiques pour réussir à faire face aux possibles conséquences financières, réglementaires et liées à la réputation.
Tendances qui auront un effet négatif sur la prospérité de votre entreprise au cours des trois prochaines années
Source: Perspective des chefs de la direction canadiens de KPMG 2023, 2024
L’IA générative, une arme à double tranchant
Le tout dernier facteur aux multiples facettes, l'IA générative, provoque de profonds changements dans la cybersécurité, pour le meilleur et pour le pire. Du côté positif, les entreprises peuvent l'utiliser pour renforcer cette dernière, grâce à des processus de détection, de surveillance et d'évaluation des attaques plus poussés. L'IA générative s'avère aussi un outil précieux pour améliorer les délais de traitement, fournir des renseignements nuancés et favoriser la prise de décisions éclairées.
Ce sont toutes des utilisations prometteuses, mais il y a aussi un inconvénient : les cybercriminels jouissent des mêmes bénéfices que leurs cibles.
Combinées, ces conséquences divergentes entraînent une ruée vers l’IA qui garde tout le monde sur le qui-vive — et pas pour les mêmes raisons.
Avantages et défis associés à l'IA generative
Advantages
- Analyse de données accélérée
- Nouveaux produits et de croissance du marché
- Détection des fraudes et intervention en cas de cyberattaque
- Efficacité et productivité accrues
- Diversité accrue des compétences et des capacités
- Améliorer les compétences de la main-d’œuvre pour se préparer à l’avenir
Defis
- Chevauchement des emplois
- Sécurité et conformité
Source: Perspective des chefs de la direction canadiens en 2024 de KPMG
Talents recherchés
Ceux qui disposeront des meilleurs talents seront avantagés. Malheureusement, cela demeure un défi pour nombre d'organisations canadiennes. Seulement 52 % des chefs de la direction canadiens (et 59 % dans le monde) affirment avoir confiance dans la capacité de leur entreprise à avoir accès aux talents et aux solutions de cybersécurité nécessaires pour se défendre tout particulièrement contre les menaces que pose l'IA. Et même si le gouvernement fédéral leur est venu en aide au moyen de projets de perfectionnement des compétences, de nombreuses entreprises demeurent avides de trouver des personnes expérimentées pour exécuter leur plan.
Le problème du manque de talents risque de persister, surtout que la concurrence pour le recrutement d'employés compétents continue de s'exercer au-delà des frontières. Pour certains, la solution pourrait résider dans l'utilisation de services gérés en cybersécurité et la mise à profit des compétences de professionnels externes. Pour d'autres, il s'agira de trouver un équilibre entre la sous-traitance et leurs propres équipes internes. Quelle que soit la solution adoptée, il ne faudrait jamais sous-estimer la valeur des aptitudes et de l'expérience quand vient le temps de mettre en place un solide programme de cybersécurité.
Il est encourageant de constater que 73 % des chefs de la direction du Canada et dans le monde augmentent leurs investissements dans la cybersécurité pour protéger leurs activités et leur propriété intellectuelle. Les fonds investis sont répartis entre plusieurs priorités, de la réduction de la dette technologique au respect des exigences réglementaires strictes, en passant par l'amélioration des processus cybernétiques et, surtout, le recrutement et le perfectionnement de la main-d'œuvre.
Une partie des investissements en cybersécurité est aussi réservée aux technologies à venir. L'informatique quantique, par exemple, évolue rapidement et nécessitera peut-être une toute nouvelle approche des contrôles essentiels comme le chiffrement des données.
Renforcer la fondation
Cela dit, que devraient faire les organisations? Comme c'est souvent le cas, elles ne devraient pas se tromper en s'appuyant sur la base déjà établie.
- Comprendre les risques d'exploitation : Déterminez les principales vulnérabilités de votre entreprise aux cyberattaques et comment les scénarios d'attaque s'appliquent à votre stratégie et vos impératifs commerciaux. Riche de cette évaluation, établissez comment vous investirez et dans quelles solutions et mesures de contrôle de cybersécurité vous le ferez.
- Élaborer votre stratégie : Avec l'aide des dirigeants et des professionnels du secteur, définissez votre plan de cybersécurité pour les années à venir. Votre organisation sera ainsi assurée de prendre les bonnes mesures et d'atteindre les étapes clés de la bonne façon et au bon moment.
- Accorder la priorité au talent : Rédigez un plan complet qui inclut notamment des stratégies d'internalisation, d'impartition et de cotraitance pour combler vos lacunes de talent en cybersécurité. L'utilisation de services gérés de cybersécurité représente une option particulièrement intéressante pour les PME.
- Cultiver une culture de cybersécurité : Favorisez une forte cyberculture, c'est-à-dire une culture qui ne considère pas la gestion de la sécurité comme une tâche « supplémentaire », mais comme une exigence minimale, y compris au niveau du conseil d'administration. Instaurez-la par le biais de la formation continue de manière à vous assurer que les employés savent quoi repérer et ce qui est attendu d'eux.
Découvrez d’autres conclusions de la série Perspective des chefs de la direction
Comment nous pouvons vous aider
Que vous souhaitiez évaluer votre stratégie et votre plan d'intervention actuels en matière de cybersécurité, les harmoniser avec vos priorités d'affaires, concevoir ou déployer des solutions avancées, exercer une surveillance permanente des risques ou obtenir de l'aide pour gérer efficacement les cyberincidents, l'équipe de professionnels de la cybersécurité de KPMG peut vous aider.
Communiquez avec nous
Tenez-vous au courant de sujets qui vous intéressent.
Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.
Communiquez avec nous
- Trouvez des bureaux kpmg.findOfficeLocations
- kpmg.emailUs
- Médias sociaux @ KPMG kpmg.socialMedia
À propos des enquêtes de KPMG
Les dirigeants de PME ne sont pas encore convaincus : seulement 20 % d’entre eux s’attendent à un tel retour à temps plein au bureau au cours des trois prochaines années. Malgré leur désir de revoir le personnel au bureau — 85 % d’entre eux conviennent qu’ils offriraient des récompenses pour favoriser ce retour — près des deux tiers (65 %) s’attendent à travailler avec une main-d’œuvre hybride d’ici trois ans, reconnaissant qu’il faut faire preuve de souplesse pour attirer et conserver les talents diversifiés dont ils ont besoin pour assurer leur croissance et leur productivité.
Comme la pénurie de main-d’œuvre qualifiée constitue une préoccupation constante, 84 % des PME s’attendent à ce que leur entreprise soit touchée par les bouleversements du marché de la main-d’œuvre — surtout par le nombre d’employés qui prendront leur retraite et le manque d’employés qualifiés disponibles pour les remplacer. En comparaison, un peu moins du tiers (28 %) des chefs de la direction sont préoccupés par cette question, même si 79 % d’entre eux concèdent que les organisations devraient investir dans le perfectionnement des compétences et l’apprentissage continu des membres des collectivités locales pour s’assurer d’avoir accès aux talents futurs.