On ne peut sécuriser ce qu’on ne peut voir. Or, la plupart des personnes interrogées dans le cadre des Perspectives canadiennes du sondage Digital Trust 2022 semblent avoir du mal à voir les risques liés à des tiers – risques occultés par la complexité de leurs relations d’affaires et de leurs réseaux de fournisseurs.
Seules 41 % des personnes interrogées au Canada (40 % à l’échelle mondiale) affirment comprendre en profondeur le risque de brèche de données par des tiers, en utilisant des évaluations formelles à l’échelle de l’entreprise. Près du quart des personnes interrogées au Canada et à l’échelle mondiale n’ont que peu ou pas de compréhension de ces risques – un immense angle mort que les cybercriminels connaissent bien et sont prêts à exploiter.
Cinquante-quatre pour cent des personnes interrogées au Canada s’attendent à une augmentation des incidents à signaler en 2022 en raison d’attaques contre la chaîne d’approvisionnement en logiciels (56 % à l’échelle mondiale), mais seulement 31 % d’entre elles ont évalué formellement l’exposition de leur entreprise à ce risque (34 % à l’échelle mondiale). Cinquante-neuf pour cent s’attendent à une hausse des attaques contre les services infonuagiques (57 % à l’échelle mondiale), mais seulement 44 % affirment comprendre les risques liés à l’infonuagique en se fondant sur des évaluations formelles (37 % à l’échelle mondiale).
Les entreprises mondiales les « plus avancées », en revanche, ont pris note et ont agi. Elles sont 11 fois plus susceptibles de déclarer avoir une bonne compréhension des risques liés à des tiers. Les trois quarts d’entre elles environ disent avoir une connaissance approfondie des risques liés à des tiers dans cinq domaines sur six. Ce n’est qu’en ce qui concerne leur connaissance des risques liés aux « énièmes tiers », c’est-à-dire ceux posés par les fournisseurs de leurs fournisseurs, et ainsi de suite, que ce chiffre diminue : 69 % pour les « plus avancées », 31 % pour les autres. Comme nous l’avons souvent constaté au Canada, plus la connexion est complexe, plus il est difficile de voir les risques qu’elle cache.
Canada
Mondial
À peine la moitié des personnes interrogées au Canada – entre 27 % et 51 % – affirment avoir réagi aux menaces croissantes que représentent les écosystèmes d’affaires complexes (entre 30 % et 46 % à l’échelle mondiale). Celles qui ont réagi semblent concentrer leurs efforts principalement sur le présent, peut-être au détriment du futur. Lorsqu’on leur a demandé comment elles réduisaient au minimum les risques liés à des tiers, leurs réponses ont été largement réactives : auditer ou vérifier la conformité de leurs fournisseurs (51 % contre 46 % à l’échelle mondiale), partager des informations avec des tiers ou les aider d’une autre manière à améliorer leur cybersécurité (41 % contre 42 % à l’échelle mondiale) et relever les défis liés au coût ou au temps pour la cyberrésilience (41 % contre 40 % à l’échelle mondiale).
Une seule des réponses les plus fréquentes – celle qui consiste à affiner les critères d’intégration et d’évaluation continue (43 % contre 42 % à l’échelle mondiale) – peut être considérée comme proactive, offrant des avantages à long terme. Les sociétés cotées en bourse (46 % contre 47 % à l’échelle mondiale) sont plus susceptibles de déclarer recourir à cette mesure.
Pourtant, plus de la moitié n’ont pris aucune mesure susceptible d’avoir un impact plus durable sur leur gestion des risques liés à des tiers. Elles n’ont pas affiné leurs critères de sélection des tiers (57 % contre 58 % à l’échelle mondiale), n’ont pas réécrit les contrats (66 % contre 60 % à l’échelle mondiale) et n’ont pas renforcé la rigueur de leurs contrôles préalables (61 % contre 62 % à l’échelle mondiale).
Les entreprises qui ont obtenu les meilleurs résultats en matière de cybersécurité au cours des deux dernières années ont regroupé les fournisseurs de technologies dans un souci de simplification. En réduisant le nombre de fournisseurs de technologies et d’autres tiers, on réduit la complexité et on augmente la capacité à connaître leur niveau de sécurité. L’un des avantages est que les responsables des différentes fonctions (achats, gestion des risques, lutte contre la fraude, services juridiques, sécurité) sont à même de mieux comprendre leurs rôles dans la protection de leurs chaînes d’approvisionnement contre les perturbations de cybersécurité. De plus, si on a moins de fournisseurs à surveiller, il est plus facile de garder un œil sur leurs pratiques de sécurité.
La visibilité, c’est aussi voir les défis auxquels les autres sont confrontés et ce qu’ils font pour les relever. Les collaborateurs peuvent constituer un élément important de votre écosystème de cybersécurité. Comme nous l’avons vu dans d’autres juridictions, les entreprises et les organismes fédéraux ont bénéficié des partenariats public-privé et des réponses gouvernementales aux récents incidents de cybersécurité importants. Le partage opportun des informations est important pour la cybersécurité en général, qu’il s’agisse d’infrastructures critiques ou non.
Moins du tiers des personnes interrogées dans le cadre du sondage mondial ont cependant affirmé que leurs efforts de collaboration public-privé les aidaient « très efficacement » à atteindre leurs objectifs en matière de cybersécurité. Celles qui ont obtenu les meilleurs résultats en matière de cybersécurité au cours des deux dernières années étaient toutefois 34 fois plus susceptibles d’avoir atteint leurs objectifs de collaboration public-privé « très efficacement ».
À l’échelle mondiale, les entreprises qui ont augmenté leurs budgets de cybersécurité en 2022 étaient significativement plus susceptibles de déclarer avoir atteint ces objectifs « très efficacement » :