Les entreprises canadiennes ne semblent pas ressentir l’urgence de se protéger ni d’assurer la sécurité de leurs données. Même que moins de la moitié des entreprises victimes de cyberattaques en aviserait leurs clients, selon une étude menée par NOVIPRO et la firme de sondage Léger. L’édition 2019 du Portrait des TI dans les moyennes et grandes entreprises dresse le bilan de l’état des technologies de l’information (TI) dans les entreprises canadiennes.
La moitié des entreprises sondées n’a pas cru bon de resserrer ses pratiques ou d’adapter ses mesures de protection, malgré les nombreuses fuites qui ont ébranlé le secteur financier au cours des dernières années, dont la brèche de données survenue cet été chez Desjardins. Seulement 38 % des entreprises questionnées ont indiqué communiquer avec leurs clients en cas de cyberattaque. Alors qu’en 2018 elles étaient 49 % à le faire.
« Globalement, l’étude démontre que les organisations réalisent davantage les risques associés à la sécurité informatique. Mais il ne suffit pas juste d’en être conscient ; il faut aussi poser des actions concrètes pour se prémunir contre toutes formes d’attaques. Et cette responsabilité n’incombe pas uniquement aux équipes technologiques, elle doit être une priorité constante de tous les décideurs », dit Yves Paquette, cofondateur et président de NOVIPRO.
Hausse des attaques
Environ 45 % des entreprises estiment être très bien protégées contre la perte de données, l’intrusion ou les virus.
En parallèle, plus d’une organisation sur trois (37 %) déclare avoir été attaquée dans la dernière année. Une augmentation par rapport aux 28 % de l’année précédente. Questionnés sur l’origine de ces assauts informatiques, 36 % des répondants indiquent qu’elle provient de partenaires, fournisseurs ou clients, 32 % d’une ressource interne comme les employés et 30 % d’une menace externe, sans lien avec l’entreprise.
« Le danger provenant de l’interne est bien réel, mais il est souvent non intentionnel. Il résulte d’un manque de formation des employés à détecter les risques potentiels. Les entreprises auraient avantage à se doter de méthodes de gouvernance et de processus solides pour sensibiliser leurs ressources quant aux lourdes conséquences liées à leur possible négligence », explique Éric Cothenet, directeur, solutions technologiques chez NOVIPRO.
Changement de paradigme
En 2016, une entreprise sur cinq considérait ses infrastructures technologiques avant-gardistes. Cette proportion a doublé en 2019 (41 %). Pour la première fois, les solutions de sécurité sont la priorité au chapitre des investissements technologiques projetés, et ce, devant les solutions d’infrastructures. La perception des TI au sein des entreprises canadiennes a, quant à elle, évolué depuis les quatre dernières années. En 2016 lors du premier Portrait, les TI étaient majoritairement associées à un investissement, tandis qu’en 2020 elles s’imposent plutôt au rang de partenaire stratégique.
« Les entreprises doivent cesser de voir la protection des actifs informationnels comme un coût irrécupérable. Il s’agit plutôt d’un investissement stratégique qui contribue à l’atteinte de leurs objectifs d’affaires. Les entreprises auraient intérêt à agir davantage pour permettre à leurs employés et même à leurs partenaires d’affaires de devenir des maillons forts dans la chaîne de protection de l’actif informationnel en les sensibilisant aux risques de sécurité », dit Alina Dulipovici, professeure agrégée du département des technologies de l’information de HEC Montréal.