Date de diffusion : le 9 décembre 2024
Nº de catalogue : 45-20-0003
ISSN : 2816-2250
Écoutez « Hé-coutez bien! » sur :
Plus des deux tiers (70 %) des Canadiens ont été victimes d’un incident de cybersécurité en 2022. Les stratégies employées par les personnes malveillantes sont de plus en plus complexes. Nous sommes nombreux à être inondés de courriels d’hameçonnage, de messages textes douteux et d’appels téléphoniques frauduleux. Rares sont les personnes qui n’ont jamais subi une forme ou une autre de cyberattaque.
Les entreprises canadiennes se trouvent dans la même situation. Les vols d’identité, les arnaques et les fraudes ainsi que les attaques par rançongiciel ne représentent que quelques-uns des moyens utilisés par les cyberattaquants pour s’en prendre aux entreprises. La neutralisation d’une seule atteinte à la cybersécurité peut coûter des milliers de dollars à une entreprise et lui faire perdre un temps précieux. Nous avons voulu savoir si la cybercriminalité est en hausse au Canada, ce que représente le phénomène relativement nouveau de l’assurance contre les cyberrisques, et la mesure dans laquelle les consommateurs peuvent subir les répercussions d’une atteinte à la sécurité qui touche une entreprise.
De nouvelles données de l’Enquête canadienne sur la cybersécurité et le cybercrime ont été diffusées. Dans cet épisode, nous nous sommes entretenus avec Howard Bilodeau, économiste à Statistique Canada, qui a répondu à nos questions sur l’évolution de la cybersécurité pour les entreprises et sur ce que cela signifie pour chacun et chacune d’entre nous.
Animatrice
Annik Lepage
Invité
Howard Bilodeau (Narration par Yves Gilbert)
Écoutez
Hé-coutez bien! Épisode 22 - Votre entreprise peut-elle déjouer un pirate informatique? - Transcription
Transcription
Annik : Bienvenue à Hé-coutez bien !, un balado de Statistique Canada, où nous rencontrons les personnes derrière les données et découvrons les histoires qu’elles révèlent. Je suis votre animatrice, Annik Lepage.
Il est difficile d'exister dans le monde d'aujourd'hui sans être en ligne. Le fait d'être en ligne nous donne accès à l'information, au divertissement, à l'éducation, à la communication avec les amis, la famille, les gens que vous avez oublié que vous connaissiez au secondaire. Mais il nous met aussi en danger. Avez-vous déjà reçu un de ces messages d'un ami sur les médias sociaux qui dit quelque chose comme « Oh mon Dieu, as-tu vu cette photo de toi ? Conseil d'expert : ne cliquez surtout pas sur le lien qui vient avec le message
Le fait d'être en ligne nous expose. Nous risquons de recevoir des spams non sollicités ou d'être redirigés vers des sites web frauduleux qui cherchent à obtenir nos informations personnelles ou à installer des virus ou d'autres logiciels malveillants sur nos ordinateurs. Et ce n'est que la partie émergée de l'iceberg de la cybersécurité.
Parce que nous sommes tous en ligne, les entreprises canadiennes le sont aussi. Et elles sont confrontées aux mêmes problèmes de cybersécurité que le reste d'entre nous. La numérisation expose les entreprises à de nouveaux risques en matière de protection de la vie privée, de protection des données et de cybersécurité.
Depuis 2017, l'Enquête canadienne sur la cybersécurité et le cybercrime recueille des données sur les politiques et les mesures mises en place par les entreprises canadiennes pour gérer la cybersécurité et étudie la façon dont elles sont touchées par les incidents de cybersécurité. De nouvelles données viennent d'être publiées— nous nous sommes donc entretenus avec un expert pour en savoir plus.
Howard : Je m'appelle Howard Bilodeau et je suis économiste à Statistique Canada.
Annik : Qu'est-ce que le cybercrime ? Et quels sont les exemples de cybercrime auxquels les entreprises canadiennes peuvent être confrontées ?
Howard : Notre enquête ne porte pas spécifiquement sur le cybercrime. Nous utilisons plutôt le terme d'incident de cybersécurité. Je suppose que la raison en est que nous ne voulons pas trop nous préoccuper du seuil à partir duquel quelque chose devient un crime. On s’intéresse plus largement aux incidents qui ont un impact sur les entreprises.
Nous définissons donc un incident de cybersécurité comme toute tentative non autorisée d'accéder à l'infrastructure informatique d'une entreprise dans le but de voler ou de modifier des informations ou simplement pour rendre une partie de cette infrastructure inutilisable pour l'entreprise. Dans le cadre de notre travail, nous nous intéressons donc à différents types d'incidents de cybersécurité. Il s'agit souvent de vols d'argent ou d'informations, mais aussi, comme je le disais, de tentatives visant à rendre la technologie inutilisable pour l'entreprise.
Annik : Quelle est l'ampleur du cybercrime ?
Howard : Dans notre enquête, nous cherchons à savoir si l'entreprise a été touchée par un incident de cybersécurité. Nous avons choisi le terme « touché» pour éviter de nous retrouver avec des faits trop fréquents ou des choses de tous les jours comme recevoir un courriel de hameçonnage sur lequel vous n'avez pas cliqué.
En ce qui concerne le groupe d'entreprises touchées par des incidents, nous avons constaté en 202 que 16 % des entreprises ont déclaré avoir été touchées. Ce chiffre a diminué au cours de l'enquête. En 2019, 21 % des entreprises ont déclaré avoir été touchées par des incidents. Et comme je disais, ce chiffre est tombé à 16 % en 2023.
Annik : Cela vaut-il également pour les particuliers canadiens ? Ont-ils également moins d'incidents ?
Howard : Jusqu'à présent, nous avons parlé de notre enquête sur le cybercrime dans les entreprises. Pour ce qui est des particuliers, nous n'avons pas d'enquête parfaitement comparable, mais nous disposons de l'Enquête canadienne sur l'utilisation d'Internet, qui demande aux particuliers s'ils ont subi un incident de cybersécurité quelconque. Dans cette enquête, nous avons constaté que 70 % des Canadiens ont déclaré avoir subi un incident quelconque en 2022, ce qui représente une augmentation par rapport aux 52 % observés en 2018.
C'est donc une tendance un peu différente du côté des individus, mais puisque nous posons des questions sur un concept légèrement différent, c’est difficile de comparer les deux groupes visés.
Annik : Comment les incidents se comparent-ils entre ce que peut vivre une entreprise et ce que peut vivre un particulier?
Howard : C'est une excellente question. Je pense qu'ils sont souvent très similaires. Je pense que les incidents de cybersécurité ont tendance à essayer d'exploiter le facteur humain, c'est-à-dire à essayer d'amener un individu à communiquer des informations, ce qui peut permettre à l'attaquant de pénétrer en parallèle dans l'infrastructure informatique. Je pense donc qu'en ce sens, ils sont très similaires.
Je suppose que ce qui pourrait être un peu différent en termes de ce que l'attaquant veut, c'est que l'attaquant peut être à la recherche de types d'informations légèrement différents, selon qu'il s'agit d'un individu ou d'une entreprise. Mais je pense qu'une grande partie des techniques seront assez similaires.
Annik : Et quel type d'impact cela a-t-il ?
Howard : Ces types d'incidents peuvent avoir différents impacts. Nous avons d'ailleurs posé une question à ce sujet dans notre enquête auprès des entreprises. Ce qui revient le plus souvent, c'est l'interruption des activités de l'entreprise. Par exemple, les employés peuvent ne pas être en mesure d'accéder à leur ordinateur ou ce dernier peut être plus lent, de sorte qu'il leur faut plus de temps pour effectuer leur travail. Mais il peut aussi y avoir des coûts. Il peut s'agir de coûts directs, comme le remplacement du matériel ou l'achat de nouveaux logiciels, mais aussi de coûts indirects, comme le manque à gagner dû au fait que l'entreprise n'a pas pu fonctionner ce jour-là.
Annik : Avons-nous un montant en dollars pour ce à quoi les entreprises sont confrontées ?
Howard : En 2023, nous avons constaté que les coûts de récupération s'élèvaient t à 1,2 milliard de dollars. C'est en fait le double de ce que nous avions trouvé en 2021, soit de 600 millions. Il s'agit donc d'une augmentation importante. En ce qui concerne les facteurs qui contribuent à cette augmentation, nous avons constaté que la moitié de ce montant correspond à des coûts en personnel. Il s'agit donc des coûts liés à l'embauche d'employés ou à des coûts liés à l'engagement de sous-traitants ou de consultants pour aider à la reprise après un incident.
Annik : Pourriez-vous développer un point que vous avez mentionné plus tôt, à savoir que le coût, le nombre total d'entreprises qui subissent ces incidents, est en baisse, mais que le coût de ces incidents est en hausse ?
Howard : C'est une dichotomie intéressante. Et je pense que cela pourrait indiquer que parmi les entreprises qui subissent un incident ayant un impact, quelle qu'en soit la raison, les coûts pour s'en remettre sont de plus en plus élevés. Ainsi, chaque incident individuel peut devenir plus coûteux et avoir plus d'impact sur l'entreprise. Je pense que c'est un domaine qui nécessite davantage de recherches pour comprendre ce qui se passe, mais c'est en quelque sorte la façon dont nous l'avons interprété, c'est-à-dire qu'il semble que, oui, peut-être que le pourcentage d'incidents diminue, mais parmi ceux qui sont touchés, les impacts sont très importants et deviennent de plus en plus importants.
Annik : L'une des choses qui m’a surprise dans l'article du Quotidien, c'est que je n'avais jamais entendu parler de l'assurance contre les cyber risques. Qu'est-ce que l'assurance contre les cyber risques ? Et dans quelle mesure cela fait-il partie du coût des affaires de nos jours ?
Howard : L'assurance contre les cyber risques est un produit d'assurance proposé depuis déjà quelques années par diverses compagnies d'assurance. Elle a beaucoup évolué, je dirais, au cours de la dernière décennie en ce qui concerne la façon dont ces polices sont structurées et les types de choses qu'elles couvrent. Mais oui, nous avons constaté qu'au cours des dernières années, ces types de polices ont connu un certain essor.
En 2023, 22 % des entreprises ont déclaré avoir souscrit à une police d'assurance de ce type, soit une augmentation de 6 points de pourcentage par rapport à 2021. Ces polices peuvent donc couvrir diverses choses, comme les dépenses directes consécutives à un incident. De plus, les compagnies d'assurance offrent parfois aux entreprises l'accès à des consultants qui peuvent les aider à déterminer ce qu'elles doivent faire pour essayer de se remettre et d'améliorer leur cybersécurité à l'avenir.
Annik : Y a-t-il eu d'autres surprises par rapport aux résultats ?
Howard : On a demandé aux entreprises qui ont été touchées par des incidents, quelle était la méthode utilisée pour l'incident et l'un des grands changements que nous avons constaté en termes de méthodes est que beaucoup plus d'entreprises ont déclaré avoir été victimes d'un vol d'identité. Ce chiffre a augmenté de 11 points de pourcentage parmi celles qui ont été touchées par des incidents. Je pense donc qu'il s'agit d'une découverte intéressante et qu'on peut alors justifier des recherches plus approfondies car, en général, on ne pense pas qu'une entreprise est victime d'un vol d'identité, mais c’ est clair qu'il se passe quelque chose à ce niveau. On ne définit pas le concept d'usurpation d'identité dans l'enquête, de sorte que les entreprises classent elles-mêmes les incidents dans cette catégorie. Mais je pense qu'il vaut la peine d'examiner de plus près ce qui se passe.
Annik : Oui, tout à fait. Et pourquoi est-ce important pour un Canadien qui n'exploite pas d'entreprise? De quelle manière les consommateurs sont-ils affectés lorsqu'une entreprise subit un incident de cybersécurité?
Howard : Les entreprises détiennent beaucoup de données personnelles sur leurs clients. Par conséquent, chaque fois qu'une entreprise est victime d'une violation de la cybersécurité, il est également possible que les informations d'une personne soient divulguées dans le cadre de cet incident. Il est donc important que les entreprises veillent à la sécurité des données de leurs clients.
Annik : Pourquoi les résultats de cette enquête sont-ils importants ?
Howard : L'objectif premier de cette enquête est de donner une idée de l'économie en général et de l'impact de la cybersécurité et du cybercrime sur le monde des affaires. Ces statistiques alimentent diverses initiatives politiques au Canada. Il s'agit notamment de la Stratégie nationale de la cybersécurité. Ces résultats sont utilisés pour aider à prendre des décisions qui s'inscrivent dans le cadre de cette stratégie. En tant que pays, ces résultats sont donc importants, car ils servent de base à l'élaboration de notre stratégie nationale en matière de cybersécurité.
Annik : Quel est l’enseignement le plus important que vous retenez de cette recherche?
Howard : Je pense qu’il y a quelques tendances intéressantes et je pense que le coût est quelque chose sur lequel nous devrions nous concentrer parce que cela montre que les incidents de cybersécurité ne sont pas en train de disparaître. Cela devient un problème croissant, même si le pourcentage d'entreprises qui sont confrontées au cybercrime est en baisse. Lorsqu'elles sont confrontées à ces incidents, il y a toujours des répercussions importantes. Et vous savez, c'est aussi une réalité qui peut affecter les individus.
Annik : Y a-t-il quelque chose que vous auriez aimé inclure dans votre publication, mais que vous n'avez pas pu faire ? Ou cela vous a-t-il donné des idées pour de futurs rapports, de futures études ?
Howard : Le domaine de la cybersécurité est en constante évolution. C'est un peu le jeu du chat et de la souris de la criminalité. Il y aura donc toujours de nouveaux domaines à explorer.
Je pense que l'un d'entre eux, dont tout le monde parle depuis peu, est l’intelligence artificielle et la façon dont elle va se croiser avec la cybersécurité. Jusqu'à présent, nous n'avons pas vraiment abordé ce sujet dans l'enquête, mais je pense que c'est un domaine que nous pourrions explorer à l'avenir.
Annik : Quel serait l'impact de l’intelligence artificielle sur la cybersécurité ?
Howard : Je pense qu'il y a plusieurs façons de procéder. L'une d'entre elles est que nous constatons qu'un grand nombre de ces incidents de cybersécurité semblent être perpétrés en ciblant des vulnérabilités individuelles. Il s'agit en quelque sorte de piéger les employés pour qu'ils communiquent des informations. Et, vous savez, nous savons que l'intelligence artificielle générative peut être utilisée de cette manière pour essayer de créer quelque chose qui semble légitime alors qu'il ne l'est pas vraiment. Je pense donc que c'est un bon exemple de la façon dont l'intelligence artificielle pourrait être utilisée par les acteurs de la menace pour exécuter certains de ces incidents.
Annik : Vous venez d’écouter Hé-coutez bien ! Merci à notre invité, Howard Bilodeau.
Pour en savoir plus, vous pouvez consulter l’article « L’incidence du cybercrime sur les entreprises canadiennes, 2023 » sur le site web de Statistique Canada.
Vous pouvez vous abonner à cette émission partout où vous recevez vos balados. Vous y trouverez également la version anglaise de notre émission, intitulée Eh Sayers! Si vous avez aimez cette émission, la meilleure chose que vous puissiez faire pour la soutenir est de vous abonner, alors n'oubliez pas d'appuyer sur le bouton « Suivre » si ce n'est déjà fait. Merci !
Téléchargement
Sources
Le Quotidien — Enquête canadienne sur l'utilisation d'Internet, 2022
Le Quotidien — L'incidence du cybercrime sur les entreprises canadiennes, 2023