Dans quelle mesure connaissez-vous les risques liés à des tiers et à la chaîne d’approvisionnement?

Au mieux, 44 % des répondants canadiens affirment bien comprendre les risques de cybersécurité liés à des tiers, mais ceux qui ont eu les meilleurs résultats à l’échelle mondiale ces deux dernières années sont 11 fois plus susceptibles de comprendre.

Réduire le grand angle mort qui cache les risques dans vos relations d’affaires

On ne peut sécuriser ce qu’on ne peut voir. Or, la plupart des personnes interrogées dans le cadre des Perspectives canadiennes du sondage Digital Trust 2022 semblent avoir du mal à voir les risques liés à des tiers – risques occultés par la complexité de leurs relations d’affaires et de leurs réseaux de fournisseurs.

Seules 41 % des personnes interrogées au Canada (40 % à l’échelle mondiale) affirment comprendre en profondeur le risque de brèche de données par des tiers, en utilisant des évaluations formelles à l’échelle de l’entreprise. Près du quart des personnes interrogées au Canada et à l’échelle mondiale n’ont que peu ou pas de compréhension de ces risques – un immense angle mort que les cybercriminels connaissent bien et sont prêts à exploiter.

Cinquante-quatre pour cent des personnes interrogées au Canada s’attendent à une augmentation des incidents à signaler en 2022 en raison d’attaques contre la chaîne d’approvisionnement en logiciels (56 % à l’échelle mondiale), mais seulement 31 % d’entre elles ont évalué formellement l’exposition de leur entreprise à ce risque (34 % à l’échelle mondiale). Cinquante-neuf pour cent s’attendent à une hausse des attaques contre les services infonuagiques (57 % à l’échelle mondiale), mais seulement 44 % affirment comprendre les risques liés à l’infonuagique en se fondant sur des évaluations formelles (37 % à l’échelle mondiale).

Les entreprises mondiales les « plus avancées », en revanche, ont pris note et ont agi. Elles sont 11 fois plus susceptibles de déclarer avoir une bonne compréhension des risques liés à des tiers. Les trois quarts d’entre elles environ disent avoir une connaissance approfondie des risques liés à des tiers dans cinq domaines sur six. Ce n’est qu’en ce qui concerne leur connaissance des risques liés aux « énièmes tiers », c’est-à-dire ceux posés par les fournisseurs de leurs fournisseurs, et ainsi de suite, que ce chiffre diminue : 69 % pour les « plus avancées », 31 % pour les autres. Comme nous l’avons souvent constaté au Canada, plus la connexion est complexe, plus il est difficile de voir les risques qu’elle cache.


Les entreprises ont un grand angle mort devant les risques liés à des tiers et à la chaîne d’approvisionnement


Élevée : Compréhension à partir d’une évaluation formelle, à l’échelle de l’entreprise
Modérée : Compréhension limitée à partir d’évaluations ponctuelles
Faible : Compréhension anecdotique sans aucune évaluation
Aucune compréhension

Canada

Risques liés à l’infonuagique
%
%
%
%
Brèches de données
%
%
%
%
Atteintes aux renseignements personnels
%
%
%
%
Risques liés à la chaîne d’approvisionnement en logiciels
%
%
%
%
Fournisseurs d’Internet des objets/de technologies
%
%
%
%
Risques liés à d’énièmes tiers
%
%
%
%

Mondial

Risques liés à l’infonuagique
%
%
%
%
Brèches de données
%
%
%
%
Atteintes aux renseignements personnels
%
%
%
%
Risques liés à la chaîne d’approvisionnement en logiciels
%
%
%
%
Fournisseurs d’Internet des objets/de technologies
%
%
%
%
Risques liés à d’énièmes tiers
%
%
%
%
Question : Dans votre entreprise, quel est le niveau de compréhension des cyberrisques et des risques à la protection des renseignements personnels liés à des tiers ou à des fournisseurs dans les domaines suivants?
Base : 114 personnes au Canada; 3 602 personnes à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights, octobre 2021

À peine la moitié des personnes interrogées au Canada – entre 27 % et 51 % – affirment avoir réagi aux menaces croissantes que représentent les écosystèmes d’affaires complexes (entre 30 % et 46 % à l’échelle mondiale). Celles qui ont réagi semblent concentrer leurs efforts principalement sur le présent, peut-être au détriment du futur. Lorsqu’on leur a demandé comment elles réduisaient au minimum les risques liés à des tiers, leurs réponses ont été largement réactives : auditer ou vérifier la conformité de leurs fournisseurs (51 % contre 46 % à l’échelle mondiale), partager des informations avec des tiers ou les aider d’une autre manière à améliorer leur cybersécurité (41 % contre 42 % à l’échelle mondiale) et relever les défis liés au coût ou au temps pour la cyberrésilience (41 % contre 40 % à l’échelle mondiale).

Une seule des réponses les plus fréquentes – celle qui consiste à affiner les critères d’intégration et d’évaluation continue (43 % contre 42 % à l’échelle mondiale) – peut être considérée comme proactive, offrant des avantages à long terme. Les sociétés cotées en bourse (46 % contre 47 % à l’échelle mondiale) sont plus susceptibles de déclarer recourir à cette mesure.

Pourtant, plus de la moitié n’ont pris aucune mesure susceptible d’avoir un impact plus durable sur leur gestion des risques liés à des tiers. Elles n’ont pas affiné leurs critères de sélection des tiers (57 % contre 58 % à l’échelle mondiale), n’ont pas réécrit les contrats (66 % contre 60 % à l’échelle mondiale) et n’ont pas renforcé la rigueur de leurs contrôles préalables (61 % contre 62 % à l’échelle mondiale).

Les entreprises qui ont obtenu les meilleurs résultats en matière de cybersécurité au cours des deux dernières années ont regroupé les fournisseurs de technologies dans un souci de simplification. En réduisant le nombre de fournisseurs de technologies et d’autres tiers, on réduit la complexité et on augmente la capacité à connaître leur niveau de sécurité. L’un des avantages est que les responsables des différentes fonctions (achats, gestion des risques, lutte contre la fraude, services juridiques, sécurité) sont à même de mieux comprendre leurs rôles dans la protection de leurs chaînes d’approvisionnement contre les perturbations de cybersécurité. De plus, si on a moins de fournisseurs à surveiller, il est plus facile de garder un œil sur leurs pratiques de sécurité.


Plus de la moitié des personnes interrogées n’ont pris aucune des trois mesures qui promettent un impact plus durable sur leur gestion des risques liés à des tiers


Canada
Mondial

Auditer ou vérifier la sécurité et la conformité des tiers ou des fournisseurs
%
%
Affiner les critères d’intégration et d’évaluation continue des tiers
%
%
Partager les connaissances ou aider les tiers à renforcer leur cybersécurité
%
%
Régler les problèmes liés aux coûts ou aux délais qui affectent la cyberrésilience
%
%
Effectuer des contrôles préalables plus rigoureux
%
%
Réécrire les contrats avec certains tiers afin d’atténuer les risques
%
%
Mettre fin aux relations avec certains tiers
%
%
Aucune de ces réponses
%
%

Question : Au cours des 12 derniers mois, votre entreprise a-t-elle pris l’une des mesures suivantes pour atténuer les risques liés à des tiers ou à des fournisseurs dans votre écosystème? Cochez toutes les réponses qui s’appliquent. Les trois mesures durables sont l’affinement des critères d’évaluation des tiers, la réécriture des contrats et l’exécution de contrôles préalables plus rigoureux.
Base : 114 personnes au Canada; 3 602 personnes à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights, octobre 2021

Collaboration public-privé

La visibilité, c’est aussi voir les défis auxquels les autres sont confrontés et ce qu’ils font pour les relever. Les collaborateurs peuvent constituer un élément important de votre écosystème de cybersécurité. Comme nous l’avons vu dans d’autres juridictions, les entreprises et les organismes fédéraux ont bénéficié des partenariats public-privé et des réponses gouvernementales aux récents incidents de cybersécurité importants. Le partage opportun des informations est important pour la cybersécurité en général, qu’il s’agisse d’infrastructures critiques ou non.

Moins du tiers des personnes interrogées dans le cadre du sondage mondial ont cependant affirmé que leurs efforts de collaboration public-privé les aidaient « très efficacement » à atteindre leurs objectifs en matière de cybersécurité. Celles qui ont obtenu les meilleurs résultats en matière de cybersécurité au cours des deux dernières années étaient toutefois 34 fois plus susceptibles d’avoir atteint leurs objectifs de collaboration public-privé « très efficacement ».

À l’échelle mondiale, les entreprises qui ont augmenté leurs budgets de cybersécurité en 2022 étaient significativement plus susceptibles de déclarer avoir atteint ces objectifs « très efficacement » :

  • Partager des connaissances sur les nouvelles menaces, approches et solutions parmi les pairs (38 %).
  • Démontrer que l’on évite des pertes financières tangibles (36 %)
  • Activer les relations public-privé pour des réponses plus efficaces à une cyberattaque contre l’entreprise (33 %)
  • Promouvoir à grande échelle la sensibilisation et le perfectionnement des effectifs (32 %)

 


Les collaborateurs sont un élément important des écosystèmes sécurisés

Pourcentage des personnes interrogées qui jugent que l’objectif a été atteint « très efficacement ». Canada Mondiale 24 % 27 % Fournir des informations au gouvernement et auxdécideurs politiques sur les règles et règlements proposés Objectifs de la collaboration public-privé : 1 4 35 % 31 % Partager les connaissances sur les nouvelles menaces, approches, solutions et meilleures pratiques avec les pairs 2 2 28 % 28 % Activer les relations public-privé pour des réponses plusefficaces à une cyberattaque contre l’organisation 3 1 33 % 29 % Promouvoir à grande échelle la sensibilisation etle perfectionnement des effectifs 4 3 32 % 30 % Démontrer que l’on évite lespertes financières tangibles 5 5 Questions : Si vous pensez à votre plus important mécanisme de collaborationpublic-privé, quels sont les objectifs de votre entreprise en matière decollaboration public-privé? Et au cours de l’année écoulée, dans quelle mesurevotre entreprise a-t-elle atteint chacun des objectifs que vous avez mentionnés?Base : 114 personnes au Canada; 3 602 personnes à l’échelle mondialeSource : PwC, Sondage Global Digital Trust Insights, octobre 2021
À retenir

Chef de l’exploitation et responsable de la chaîne d’approvisionnement

  • Mappez votre système, en particulier vos relations les plus critiques, et envisagez l’utilisation d’un outil de suivi tiers pour trouver les maillons les plus faibles de votre chaîne d’approvisionnement.
  • Passez au crible vos fournisseurs de logiciels en fonction des normes de performance auxquelles vous vous attendez. Les logiciels et les applications que votre entreprise utilise doivent être soumis au même niveau d’examen et de test que le matériel et les utilisateurs de votre propre réseau.
  • Après un examen plus complet des risques liés à des tiers et à la chaîne d’approvisionnement, identifiez les moyens de simplifier vos relations d’affaires et votre chaîne d’approvisionnement. Devriez-vous réduire ou combiner?

Chef de la gestion du risque, chef de l’information et responsable de la sécurité

  • Renforcez votre capacité technologique à détecter les cyberattaques par le biais de vos logiciels, de même qu’à y résister et à y réagir, et intégrez vos applications afin de pouvoir les gérer et les sécuriser à l’unisson.
  • Créez un bureau de gestion des risques liés à des tiers pour coordonner les activités de toutes les fonctions qui gèrent vos domaines de risques liés à des tiers.
  • Renforcez vos processus de confiance numérique. Les données sont la cible de la plupart des attaques sur la chaîne d’approvisionnement. La confiance numérique et une bonne gestion des risques liés à des tiers vont de pair.
  • Sensibilisez votre entreprise aux cyberrisques liés à des tiers et à la chaîne d’approvisionnement.
Suivre PwC Canada

Contactez-nous

Jennifer Johnson

Jennifer Johnson

Leader, Stratégie et transformation, PwC Canada

Tél. : +1 416 947 8966

Sajith Nair

Sajith Nair

Leader, Services gérés, PwC Canada

Tél. : +1 416 815 5185

Masquer