Votre entreprise est-elle trop complexe pour être sécurisée?

C’est 82 % des répondants canadiens qui disent que leurs entreprises sont trop complexes. Ceux qui ont eu les meilleurs résultats en cybersécurité ces deux dernières années sont cinq fois plus susceptibles d’avoir rationalisé les opérations.

Adopter délibérément la simplicité et la simplification


%

des personnes interrogées au Canada (75 % à l’échelle mondiale) affirment que le niveau de complexité au sein de leur entreprise est trop élevé, inutile et évitable. Et presque autant disent que la complexité pose des risques « préoccupants » pour la cybersécurité et la protection des renseignements personnels de leurs entreprises dans 11 domaines clés.

Les données semblent être le principal sujet de préoccupation. La gouvernance et l’infrastructure des données sont considérées comme des domaines d’une complexité « inutile et évitable » par une majorité des personnes interrogées au Canada (80 % et 81 %, respectivement, contre 77 % pour les deux à l’échelle mondiale). Les architectures technologiques de la plupart des grandes entreprises, qui comprennent des systèmes patrimoniaux, sont compliquées. Les fusions avec d’autres entités peuvent multiplier les risques en connectant des réseaux et des systèmes déjà complexes.

Les chefs de direction sont les plus préoccupés par toute cette complexité. À l’échelle mondiale, ils attribuent un niveau de complexité de dix à 7 domaines parmi les 11 domaines au sein de leur entreprise. Les chefs de direction ont tendance à se préoccuper davantage des risques liés à la cybersécurité et à la protection des renseignements personnels découlant de la complexité de l’environnement infonuagique, des investissements dans la gouvernance et les technologies, ainsi que du passage des TI aux technologies opérationnelles (TO). Nous avons entendu des préoccupations similaires de la part des chefs de direction et des cadres supérieurs canadiens.

Les coûts de la complexité

La complexité n’est pas mauvaise en soi. Elle est souvent un sous-produit de la croissance de l’entreprise. Plus une organisation est vaste, plus elle est naturellement complexe, car elle a besoin de plus de personnel et de technologies pour servir une clientèle croissante. Les coûts de la création d’une complexité inutile ne sont pas évidents, et il est difficile de créer une urgence autour de la lutte contre la complexité, jusqu’à ce qu’une attaque se produise.

Lorsqu’on leur a demandé de mettre en évidence les principales conséquences de la complexité opérationnelle, les personnes interrogées au Canada ont choisi les options suivantes :

  1. Incapacité d’innover aussi rapidement que les opportunités sur le marché.
  2. Pertes financières dues à des brèches de données ou à des cyberattaques réussies.
  3. Incapacité à soutenir la croissance à long terme.

De l’avis des dirigeants, la complexité ne menace pas seulement la fortune d’aujourd’hui. Elle empêche également les entreprises de créer rapidement de nouvelles opportunités et d’en saisir dans l’avenir.

Le passage à la simplification

Les entreprises connaissent les risques liés à la complexité, mais seulement 35 % des personnes interrogées à l’échelle mondiale ont procédé à une rationalisation quelconque de leurs opérations, et un quart d’entre elles déclarent n’avoir rien fait du tout ou ne faire que commencer. Mais un changement semble s’être amorcé.

La simplification d’une organisation prend du temps et nécessite des changements de points de vue et de culture d’entreprise. Ce n’est pas facile, mais les retombées sont considérables. À l’échelle mondiale, les entreprises qui ont obtenu les meilleurs résultats en matière de cybersécurité au cours des deux dernières années (les plus avancées) sont cinq fois plus susceptibles d’avoir rationalisé les opérations à l’échelle de l’entreprise. Nous constatons des résultats similaires parmi les entreprises canadiennes.

De plus en plus de responsables de la sécurité et de chefs de l’information examinent attentivement leurs investissements technologiques et ne se contentent plus d’étudier ou de rechercher les derniers produits des fournisseurs de technologies. Nous assistons à une consolidation des fournisseurs et des applications technologiques pour mettre fin à l’enchevêtrement difficile à gérer et risqué de logiciels et de technologies disparates et vulnérables.

Simplification de la cybersécurité

Il faut reconnaitre que la simplification de la cybersécurité peut être un défi. Invitées à établir un ordre de priorité parmi neuf initiatives visant à simplifier les programmes et processus de cybersécurité, les personnes interrogées au Canada ont indiqué une légère préférence pour l’adoption d’une stratégie de technologie d’infonuagique, mais les chiffres étaient par ailleurs très similaires.

Les responsables de la sécurité qui mettent en place des couches de contrôle, pour une défense approfondie, sont bien intentionnés, mais doivent se garder d’augmenter la complexité et les coûts. Un plus grand nombre de contrôles et de technologies de sécurité ne rendent pas toujours une entreprise plus sûre.

Le passage à l’infonuagique peut contribuer à simplifier les processus d’affaires et l’architecture informatique, à apporter de la flexibilité et à accélérer l’innovation. Pourtant, les entreprises gaspillent en moyenne 35 % de leur budget d’infonuagique pour des raisons d’inefficacité. Des technologiques étendues, de nouvelles approches architecturales, des plans de service compliqués, des capacités inutilisées et des facturations et tarifications déroutantes, surtout lorsque les technologies proposées sont en constante évolution, peuvent rapidement donner lieu à une complexité galopante.

Toutefois, si elle est bien menée, la transformation infonuagique peut être sûre, efficace et réussie. La sécurité de l’infonuagique figure parmi les principales priorités d’investissement des personnes interrogées au Canada, ce qui est encourageant, quoique seuls 20 % d’entre elles affirment tirer des avantages de ces investissements (16 % à l’échelle mondiale). Trente-quatre pour cent d’entre elles n’ont pas pleinement profité de leurs investissements dans la sécurité de l’infonuagique (35 % à l’échelle mondiale), et 42 % ne font que commencer ou planifier les leurs (45 % à l’échelle mondiale).

Que vous utilisiez ou non l’infonuagique pour simplifier, réduire et combiner vos technologies et vos processus, cela peut sembler audacieux. La démarche nécessite de se poser des questions difficiles et de garder la simplicité en tête. Pour y parvenir, votre entreprise aura besoin d’un leadership axé sur la sécurité, en commençant par le sommet.


La simplification dans les entreprises : au Canada, au moins
1 personne interrogée sur 4 a procédé à une rationalisation au cours des deux dernières années


Canada
Mondial
Définition d’une nouvelle combinaison de travail à distance/virtuel et présentiel
%
%
Réorganisation des fonctions et des modes de travail
%
%
Automatisation des processus standard répétitifs
%
%
Création d’un cadre intégré de gouvernance des données
%
%
Définition ou recentrage de la combinaison de ressources internes et de services gérés
%
%
Consolidation des fournisseurs de technologies
%
%
Création d’un tableau de bord intégré pour les indicateurs clés
%
%
Rationalisation des technologies, y compris la mise hors service des anciennes technologies
%
%
Suppression des redondances dans les processus
%
%

Question : Au cours des deux dernières années, dans quelle mesure votre entreprise a-t-elle rationalisé ses opérations de la manière suivante? Pourcentage de personnes ayant répondu « réalisé à l’échelle de l’entreprise », les autres réponses possibles étant
« partiellement réalisé », « vient de commencer » ou « pas du tout ».
Base : 114 personnes au Canada; 3 602 personnes à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights 2022, octobre 2021

Simplification de la cybersécurité : les dépenses sont réparties sur plusieurs initiatives

Proportion moyenne des dépenses totales consacrées à la simplification de la cybersécurité


Adoption d’une stratégie technologique axée sur l’infonuagique d’abord
%
%
Intégration des contrôles et des processus dans toutes les disciplines
%
%
Création d’une structure de gouvernance intégrée pour les données
%
%
Rationalisation de la technologie
%
%
Rationalisation de la chaîne d’approvisionnement
%
%
Restructuration de l’équipe de sécurité
%
%
Création d’un bureau intégré de gestion des risques liés à des tiers
%
%
Création d’un guide intégré de la résilience
%
%
Réduction des technologies obsolètes ou en fin de vie
%
%

Question : Au cours des deux prochaines années, quelle proportion de vos dépenses de cybersécurité votre entreprise allouera-t-elle à chacune des initiatives suivantes pour simplifier la cybersécurité?
Base : 114 personnes au Canada; 3 602 personnes à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights 2022, octobre 2021

Des données fiables pour de meilleures décisions d’affaires

Les entreprises doivent d’abord établir cette bonne fondation que nous appelons données personnelles : gagner la confiance : c’est-à-dire vous assurer que vous utilisez les données de manière responsable, sûre, précise et éthique afin de pouvoir vous y fier pour vos décisions d’affaires. (En plus, lorsqu’il s’agit de données de clients, vous devez vous assurer que les clients savent qu’ils peuvent vous faire confiance pour protéger leurs informations contre un accès non autorisé et une utilisation inappropriée.)

Toutefois, seul le tiers environ des personnes interrogées, tant au Canada qu’à l’échelle mondiale, affirment avoir des processus de confiance numérique établis et entièrement mis en œuvre dans quatre domaines clés : gouvernance, découverte, protection et atténuation. Près d’une personne interrogée au Canada sur cinq (une sur quatre à l’échelle mondiale) affirme n’avoir aucun processus formel de confiance numérique en place. Une fois que vous aurez élaboré votre stratégie de données, la gouvernance – c’est-à-dire les politiques, les procédures et les processus de mise en œuvre de la stratégie – devrait suivre immédiatement.

La sécurisation de vos données contre la falsification et le vol est également essentielle au succès. Or, seul le tiers des personnes interrogées au Canada et à l’échelle mondiale affirment avoir mis en place des processus officiels de sécurité des données, y compris le cryptage et le partage sécurisé des données (30 % au Canada et 34 % à l’échelle mondiale). La vérification et la protection de l’intégrité de vos données sont également essentielles. Ne pas tenir compte de ces deux éléments ressemblerait à embaucher quelqu’un sans vérifier les informations fournies dans son curriculum vitae. Vous ne pouvez pas être certain de la qualité de l’information.

Seulement 36 % des personnes interrogées ont mappé toutes leurs données (35 % à l’échelle mondiale), ce qui signifie qu’elles en connaissent la provenance et la destination. Elles sont encore moins nombreuses - 29 % - à disposer de processus matures de réduction des données (35 % à l’échelle mondiale).

Les deux tiers des entreprises qui n’ont pas mis en œuvre des pratiques formelles de confiance numérique peuvent être en danger à plus d’un titre.

Les deux tiers des entreprises qui n’ont pas mis en œuvre des pratiques formelles de confiance numérique peuvent être en danger à plus d’un titre. Une gouvernance efficace des données est importante non seulement pour la résilience opérationnelle, mais aussi pour la conformité à des règlements tels que le projet de loi 64 au Québec et la réintroduction prévue de la Loi fédérale sur la protection de la vie privée des consommateurs (projet de loi C-11). Ces deux projets de loi introduisent des changements réglementaires importants concernant la protection des renseignements personnels par les entreprises canadiennes et prévoient des amendes élevées en cas de non-conformité. Lorsque quelqu’un vous demande des informations sur ses données – ce que vous conservez et l’utilisation que vous en faites – vous devez être en mesure de répondre rapidement et avec précision.


Les pratiques de confiance numérique doivent encore devenir la norme

Pourcentage de répondants affirmant avoir des processus formels entièrement mis en œuvre pour les pratiques de confiance numérique


Canada
Mondial
Gouvernance des données
Stratégie combinant la gestion des données, la cybersécurité, la protection des données personnelles et les autres fonctions de gouvernance des renseignements
%
%
Capacité et processus d’évaluation des actifs de données et d’amélioration continue de la qualité des données
%
%

Découverte de données
Compréhension de l’emplacement des renseignements d’identification personnelle, des données sensibles, de la propriété intellectuelle et des données de grande valeur au sein de l’entreprise
%
%

Protection des données
Inventaire des données; connaissance de l’origine des données, de la façon dont elles circulent dans les processus et systèmes d’affaires et de leur transformation
%
%
Capacité à partager les données de façon sécuritaire avec des tiers, des partenaires d’affaires et des fournisseurs, et potentiellement de procéder à un « audit » de leur respect des conditions
%
%
Mise en œuvre des procédures et des technologies qui permettent le chiffrement, la segmentation en unités et les technologies de masquage
%
%

Minimisation des données
Politiques et planification de rétention de données et de suppression des données
%
%

Question : Pour chacune des questions des suivantes, veuillez indiquer le degré de maturité des pratiques de confiance numérique dans votre entreprise. Les pourcentages indiqués sont ceux de la réponse « processus formel entièrement mis en œuvre ».
Base : 114 répondants canadiens, 3 602 répondants à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights 2022, octobre 2021
À retenir

Leaders des opérations et de la transformation

Demandez : Quel est le plan de cybersécurité pour cette initiative? Vous pouvez déclencher un changement majeur – autant au niveau des opérations que de la culture – simplement en posant cette question à chaque dirigeant d’entreprise chargé d’une transformation ou d’une nouvelle initiative d’affaires. En plaçant la cybersécurité au premier plan, vous éviterez les complexités inutiles et coûteuses qui surviennent après une réflexion ultérieure.

Incluez le chef de l’information et les équipes de sécurité dès le début de la migration et de l’adoption de l’infonuagique, des fusions et acquisitions et d’autres initiatives organisationnelles. Ainsi, chaque dirigeant à la tête d’une initiative commerciale d’envergure sera en mesure de répondre facilement à la question du plan de cybersécurité.

Responsable de la sécurité, chef des données et directeur de l’information

Osez la soustraction. Laissées à elles-mêmes, la technologie et les données ont tendance à se multiplier et à se diviser pour régner sur l’efficacité et la sécurité. Réduisez l’excès en gardant à l’esprit les objectifs de sécurité : évaluez vos magasins de données et éliminez tout ce dont vous n’avez pas besoin dans l’immédiat. Transférez vos applications et solutions disparates dans un environnement infonuagique pour en faciliter la gestion et consolidez, liquidez ou automatisez là où vous le pouvez. Repensez également vos processus d’investissements en technologies et en cybersécurité. Concentrez-vous d’abord sur la simplification là où les avantages sont les plus grands pour l’ensemble de l’entreprise.

Chef de la protection des renseignements personnels

Avec les mises à jour réglementaires et les amendes importantes qui se profilent à l’horizon, il est temps d’adopter une approche stratégique pour gagner la confiance en matière de données personnelles. Bâtissez un écosystème qui permettra à votre entreprise de créer, d’utiliser, de partager et de supprimer les données en toute sécurité et transparence. Investissez au besoin pour améliorer l’expérience de vos clients et établir la confiance dont vous aurez besoin pour exploiter la valeur des données. Ce faisant, vous protégerez les renseignements personnels de vos clients et de vos employés et gérerez votre exposition au risque d’atteinte à la vie privée, tout en obtenant l’adhésion nécessaire de l’entreprise et en mettant en œuvre ses priorités stratégiques de gestion des données.

Suivre PwC Canada

Contactez-nous

Naren Kalyanaraman

Naren Kalyanaraman

Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada

Tél. : +1 416 815 5306

Alvin Madar

Alvin Madar

Associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière et leader national, Cybersécurité, PwC Canada

Tél. : +1 604 806 7603

Charles Eckert

Charles Eckert

Associé, leader national du groupe Cybersécurité, Services gérés, PwC Canada

Tél. : +1 416 815 5274