La cybercriminalité frappe plus de la moitié des PME albertaines

CALGARY, le 24 oct. 2023 – D’après un sondage mené par KPMG au Canada en septembre, plus de la moitié (51 %) des petites et moyennes entreprises (PME) en Alberta ont été attaquées par des cybercriminels au cours de la dernière année, et 55 % ont payé une rançon pour déverrouiller leurs ordinateurs au cours des trois dernières années. Pourtant, seulement 44 % considèrent la cybersécurité comme une priorité opérationnelle.

« Les cyberattaques sont devenues une dure réalité partout dans le monde, y compris en Alberta, où plus de la moitié des entreprises en ont été victimes », indique Vidur Gupta, associé, Cybersécurité au bureau de Calgary de KPMG au Canada. « Les PME se retrouvent aux prises avec de nombreuses priorités opérationnelles concurrentes, des capitaux limités et des ressources déjà exploitées au maximum. Aujourd’hui, nul ne peut négliger la cybersécurité : elle doit faire partie intégrante de la stratégie d’affaires. »

D’après le sondage de KPMG Entreprises privées, près des deux tiers des PME en Alberta affirment que leurs systèmes de technologies de l’information (TI) ou de technologie opérationnelle (TO) les rendent vulnérables aux cyberattaques. Le même nombre (60 %) indiquent qu’elles n’ont pas le personnel qualifié pour mettre en œuvre une stratégie, ou pour surveiller ou gérer les risques liés à la cybersécurité, et seulement 29 % croient fermement que leurs employés ont reçu une formation adéquate pour reconnaître une attaque d’hameçonnage ou d’autre type.

• 51 % des 78 PME interrogées en Alberta ont été attaquées par des cybercriminels au cours de la dernière année (contre 63 % à l’échelle nationale).
• 55 % ont payé une rançon au cours des trois dernières années (contre 60 % à l’échelle nationale).
• 44 % seulement considèrent la cybersécurité comme une priorité opérationnelle (un peu plus que la moyenne nationale de 38 %).
• 65 % indiquent que leurs anciens systèmes ou infrastructures de TI ou de TO rendent leur entreprise vulnérable aux cyberattaques (contre 71 % à l’échelle nationale).
• 57 % affirment que leur entreprise n’a pas le personnel qualifié nécessaire pour mettre en œuvre une solution en matière de cybersécurité ou pour surveiller les attaques (contre 66 % à l’échelle nationale).
• 28 % seulement (contre 41 % à l’échelle nationale) étaient fortement d’accord pour dire que leur entreprise est « bien préparée » à se défendre contre une cyberattaque, et 54 % (contre 47 % à l’échelle nationale) étaient plutôt d’accord.
• 29 % seulement (contre 31 % à l’échelle nationale) étaient fortement d’accord pour dire que leurs employés sont adéquatement formés et outillés pour identifier les menaces et les signaler, et 47 % étaient plutôt d’accord (contre 51 % à l’échelle nationale).
• 53 % n’ont pas de plan pour faire face à une attaque de rançongiciel (contre 59 % à l’échelle nationale).
• 82 % croient qu’un membre de la haute direction ou du conseil d’administration devrait être responsable de la cybersécurité (contre 81 % à l’échelle nationale).

« Notre enquête indique que les PME sondées en Alberta présentent des réponses similaires à celles des entreprise pays tout entier, mais dans cette province, moins d’entreprises se disent prêtes à se défendre contre une cyberattaque, mentionne M. Gupta. C’est inquiétant quand on sait qu’une atteinte à la cybersécurité peut être coûteuse et nuire aux opérations et à la réputation. C’est pourquoi il importe de prendre des mesures préventives et proactives, telles que la formation des employés sur la façon d’identifier les attaques d’hameçonnage et la restriction de l’accès aux différents segments du réseau en fonction du rôle déterminé de chaque employé.  

Bien que de nombreuses PME ne pensent pas avoir les moyens d’embaucher une équipe de cybersécurité à temps plein, elles ne peuvent pas non plus se permettre de laisser leurs opérations exposées aux criminels. Elles doivent évaluer régulièrement leurs vulnérabilités et prendre des mesures pour accroître leur cyberrésilience. »

Un peu moins du tiers (30 %) étaient fortement d’accord avec la possibilité d’utiliser l’intelligence artificielle (IA) pour renforcer la cybersécurité et indiqué avoir « une bonne compréhension » des risques qui y sont associés et de la façon de les gérer, tandis que 47 % étaient plutôt d’accord. Ces résultats sont légèrement inférieurs aux moyennes nationales : 32 % des répondants étaient fortement d’accord et 48 % étaient plutôt d’accord.

Cependant, environ huit PME sur dix (78 %) croient également que l’IA générative est une arme à double tranchant qui peut aider à détecter les cyberattaques, mais qui peut aussi offrir de nouvelles stratégies d’attaque aux adversaires ou aux acteurs malveillants. Ce pourcentage est de 81 % à l’échelle nationale.

« L’IA et l’apprentissage machine peuvent aider à détecter les anomalies et les vulnérabilités potentielles pour prévenir les utilisateurs lorsqu’une menace surgit, indique M. Gupta. Alors que les entreprises commencent à peine à exploiter l’IA, les acteurs malveillants l’utilisent déjà pour lancer davantage d’attaques importantes. En cette fin du Mois de la sensibilisation à la cybersécurité, il est important de reconnaître que les lacunes ne seront pas comblées seulement par l’adoption de nouvelles technologies, mais aussi par le renforcement de la sécurité et de la gouvernance. »

En octobre, au Platform Calgary, M. Gupta a invité des étudiants universitaires à s’affronter dans un marathon de codage qui visait les technologies opérationnelles.

Le mois dernier, KPMG au Canada a consolidé sa présence dans le marché des services de gestion des identités et des accès en finalisant l’acquisition d’IMagosoft, un fournisseur de solutions établi à Calgary.

Plus de résultats d’enquête de KPMG sont accessibles ici.

KPMG Entreprises privées a mené une enquête auprès des propriétaires d’entreprises et des décideurs membres de la haute direction de 700 petites et moyennes entreprises canadiennes du 30 août au 25 septembre 2023, en faisant appel à la plateforme de recherche d’entreprises de premier ordre de Sago. Des entreprises sondées, un quart comptent un chiffre d’affaires annuel de plus de 500 millions de dollars canadiens et de moins d’un milliard de dollars canadiens; un autre quatre comptent un chiffre d’affaires annuel de plus de 300 millions de dollars canadiens et de moins de 500 millions de dollars canadiens; 23 % comptent un chiffre d’affaires annuel allant de 100 à 300 millions de dollars canadiens; et 26 % comptent un chiffre d’affaires annuel allant de 10 à 50 millions de dollars canadiens. Aucune entreprise sondée n’avait un chiffre d’affaires annuel inférieur à 10 millions de dollars canadiens.

Roula Meditskos
Service national des communications et Relations avec les médias
KPMG au Canada
416-549-7982
rmeditskos@kpmg.ca