Vous protégez-vous contre les risques les plus importants, aujourd’hui et demain?

Seule une entreprise canadienne sur trois utilise les données dans ses décisions. Celles qui ont eu les meilleurs résultats ces deux dernières années sont 18 fois plus susceptibles d’avoir intégré les données dans leur modèle opérationnel.

Mesurez vos risques – en utilisant les données et les renseignements –pour saisir les opportunités

Il y a de fortes chances que ni vous ni vos concurrents ne laissiez les données guider votre gestion des cyberrisques.

Moins de deux personnes interrogées sur cinq (une sur trois à l’échelle mondiale) affirment avoir intégré des outils d’analyse et de renseignements de sécurité dans leur modèle opérationnel de cybersécurité.

Ces personnes interrogées au Canada ont obtenu les notes les plus basses en ce qui concerne leur capacité à transformer les données en analyses pour la modélisation des menaces, l’élaboration de scénarios et l’analyse prédictive – toutes des technologies essentielles pour prendre des décisions intelligentes en matière de cybersécurité.

De nombreuses entités ne parviennent pas à tirer parti des approches et des outils de renseignement évolués d’aujourd’hui. Les nouveaux types de données internes, les données provenant de nouvelles sources externes, les nouveaux partenariats de données et les plateformes de partage d’informations peuvent être des sources importantes de renseignements de sécurité, mais seul le quart des personnes interrogées disent tirer parti de ces outils.

Les trois quarts restants n’en profitent pas. Les entreprises qui prévoient une augmentation de leurs dépenses de cybersécurité l’an prochain sont souvent celles dont les modèles opérationnels utilisent les renseignements de sécurité et l’analyse des données. Les données peuvent non seulement vous aider à dépenser judicieusement votre budget de cybersécurité, mais aussi à obtenir plus pour moins. À l’échelle mondiale, les organisations qui ont avancé le plus (les 10 % des meilleurs résultats en matière de cybersécurité) sont 18 fois plus susceptibles de déclarer que ces approches évoluées font partie intégrante de leur modèle opérationnel – un scénario que nous observons fréquemment au Canada également.


Les dirigeants sous-utilisent les données et les renseignements sur leur processus décisionnel et leur gestion des risques


Canada
Mondial

Pourcentage de personnes interrogées qui affirment que les éléments suivants font partie intégrante de leur modèle opérationnel actuel :

Renseignements sur les menaces en temps réel
%
%
Quantification du risque de cybersécurité, à l’aide de la méthode FAIR ou d’autres méthodes
%
%
Utilisation de normes et de cadres généralement reconnus dans les outils d’évaluation et de diagnostic
%
%
Plateforme de veille stratégique politique et réglementaire
%
%
Indicateurs et tableaux de bord communs au secteur
%
%
Détection autonome des menaces, y compris la sécurité cognitive
%
%
Modélisation des menaces, élaboration de scénarios et analyse prédictive
%
%

Pourcentage des personnes interrogées qui déclarent avoir tiré des avantages des outils et approches suivants :

De nouveaux types de données internes que nous n’utilisons pas traditionnellement
%
%
De nouveaux partenariats de données pour compléter et enrichir nos sources de données de première main
%
%
Plateformes de partage d’informations avec le secteur d’activité
%
%
Plateformes de partage d’informations avec les organismes gouvernementaux
%
%
Nouvelles sources externes d’information que nous n’utilisons pas traditionnellement
%
%

Questions : Dans quelle mesure votre entreprise utilise-t-elle les outils et approches suivants dans la prise de décisions d’investissements en cybersécurité et de réponse aux cyberrisques? Qu’est-ce qui décrit le mieux les plans de votre entreprise pour utiliser les outils et approches suivants pour une meilleure intelligence opérationnelle?
Base : 114 personnes au Canada; 3 602 personnes à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights, octobre 2021

« Dans notre monde actuel des « systèmes de systèmes », la cybersécurité ne peut plus être traitée comme un problème « trop difficile à mesurer » »

Dans notre monde actuel des « systèmes de systèmes », la cybersécurité ne peut plus être traitée comme un problème « trop difficile à mesurer », affirme la US Cybersecurity & Infrastructure Security Agency. Pourtant, comme nous l’avons vu plus haut, seulement 30 % des entreprises canadiennes quantifient actuellement les cyberrisques (26 % à l’échelle mondiale).

Les données que vous utilisez pour repérer et comprendre les menaces, chiffrer les risques, les classer par ordre de priorité et prévoir les tendances en matière de cybercriminalité peuvent constituer un outil puissant pour convaincre les conseils d’administration et le chef de la direction d’investir dans votre programme de cybersécurité. D’autre part, si vous avez du mal à obtenir le financement dont vous avez besoin pour la cybersécurité, vous devez peut-être mieux quantifier les cyberrisques.

De même, les données peuvent vous aider à rester informé des risques en temps réel et à adapter les tactiques et stratégies de sécurité en fonction de l’évolution de l’entreprise. À l’échelle mondiale, les personnes interrogées dans cinq secteurs d’activité ont déclaré que la raison la plus importante de quantifier le cyberrisque est « d’évaluer en permanence notre paysage de risques et nos priorités par rapport à l’évolution des objectifs d’affaires ». Les chefs d’entreprise reconnaissent que les risques sont toujours en évolution et que les données sont l’outil qui leur permet de surveiller et de mesurer les changements.

L’évaluation des risques est également importante pour évaluer les possibilités et pour établir un lien entre le message sur les menaces à la cybersécurité et le message sur les affaires que la haute direction et les conseils d’administration peuvent comprendre. Un nombre croissant d’entreprises canadiennes reconnaissent l’importance de la cybersécurité, mais nombre d’entre elles ont encore beaucoup de chemin à faire. De 33 % à 49 % des personnes interrogées affirment avoir fait des « progrès marqués » pour relier les deux (37 % et 42 % à l’échelle mondiale), tandis que 9 % à 16 % disent avoir fait peu ou pas de progrès pour aligner les objectifs de cybersécurité sur ceux de l’entreprise (de 16 % à 18 % à l’échelle mondiale).


Les dirigeants veulent évaluer les cyberrisques dans un paysage de risques en constante évolution

Rang au Canada Rang à l’échelle
mondiale
Contribuer à l’évaluation et à la communication des risques en fonction d’une tolérance au risque définie 1 3
Fournir des informations sur le rendement des investissements en matière de sécurité 2 9
Mesurer l’apport de nos capacités à atténuer les risques à la sécurité 3 4
Identifier et justifier les améliorations ou les transformations des capacités de protection 4 2
Évaluer en permanence notre paysage de risques et nos priorités par rapport à l’évolution des objectifs d’affaires 7 1

Question : Quelles sont les raisons les plus importantes pour votre entreprise de quantifier le cyberrisque?
Base : 114 personnes au Canada; 3 602 personnes à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights, octobre 2021

Les perspectives des menaces en 2022

Les personnes interrogées au Canada font des prédictions sur les 12 prochains mois. Soixante-dix pour cent d’entre elles s’attendent à une augmentation de la cybercriminalité (60 % à l’échelle mondiale), et 55 % affirment que les attaques d’États-nations sont susceptibles d’augmenter (53 % à l’échelle mondiale). Les téléphones cellulaires, l’Internet des objets et l’infonuagique sont en tête de liste des cibles anticipées. Dans l’esprit des personnes interrogées, le type d’attaque pourrait cependant prendre presque n’importe quelle forme.

Les rançongiciels (23 % au Canada; 21 % à l’échelle mondiale) devancent de peu les courriels d’affaires compromis (22 % au Canada; 20 % à l’échelle mondiale), les attaques contre les services infonuagiques (22 % au Canada et à l’échelle mondiale) et la désinformation (22 % au Canada; 19 % à l’échelle mondiale) comme les menaces les plus susceptibles de connaître une augmentation importante. De plus, une longue liste d’autres types d’attaques ont obtenu une note comprise entre 10 % et 21 %. Notamment, 54 % des personnes interrogées s’attendent à une augmentation des atteintes à leur chaîne d’approvisionnement en logiciels (56 % à l’échelle mondiale), 19 % des personnes interrogées au Canada et à l’échelle mondiale prévoyant une augmentation marquée.


Perspectives des menaces en 2022 : les dirigeants s’attendent à une recrudescence des attaques et des incidents à signaler

Augmentation marquée Canada Mondiale Augmentation Augmentation marquée Augmentation Incidents à signaler 23 % 38 % 21 % 36 % Rançongiciels Attaques contre les services infonuagiques Désinformation Courriels d’affaires compromis Atteintes à la chaîne d’approvisionnement en matériel informatique Attaque d’État contre une infrastructure critique Atteintes à la chaîne d’approvisionnement en logiciels Logiciel malveillant installé lors d’une mise à jour logicielle Minage de cryptomonnaies Influence étrangère dans la recherche et le développement 22 % 37 % 22 % 36 % 22 % 37 % 19 % 33 % 22 % 33 % 20 % 35 % 21 % 34 % 16 % 34 % 21 % 29 % 20 % 33 % 19 % 34 % 19 % 36 % 18 % 43 % 20 % 36 % 17 % 39 % 21 % 33 % 10 % 46 % 19 % 34 %
Menaces par vecteur Téléphones cellulaires Internet des objets Fournisseurs de services infonuagiques Tiers Ingénierie sociale 25 % 43 % 27 % 38 % 24 % 39 % 26 % 39 % 24 % 38 % 23 % 38 % 20 % 34 % 19 % 36 % 13 % 44 % 23 % 37 %
Menace par acteur Cybercriminels Employés Tiers ou sous-traitants Cyberactivistes/pirates informatiques Concurrents États-nations Anciens employés 32 % 39 % 25 % 35 % 22 % 32 % 18 % 30 % 20 % 31 % 18 % 33 % 18 % 40 % 22 % 36 % 18 % 32 % 17 % 33 % 15 % 40 % 19 % 34 % 15 % 33 % 16 % 26 %

Questions : Quel changement prévoyez-vous dans votre entreprise, relativement aux incidents à signaler pour ces événements? Comment voyez-vous l’évolution des menaces par ces vecteurs/acteurs en 2022 par rapport à 2021?
Base : 114 personnes au Canada; 3 602 personnes à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights, octobre 2021
À retenir

Chef des finances et chef de la gestion du risque

  • Travaillez avec le responsable de la sécurité en adoptant une approche quantifiée et fondée sur les risques pour la budgétisation de la cybersécurité qui se rattache aux objectifs d’affaires.

Responsable de la sécurité

  • Créez une feuille de route allant de la quantification des cyberrisques à la présentation de ces risques en temps réel.
  • Ne vous arrêtez pas aux cyberrisques. Reliez-les aux risques d’entreprise généraux et, en fin de compte, aux effets sur l’activité.
  • Grâce à un examen plus complet sur les cyberrisques, identifiez ce qui fonctionne dans votre modèle d’entreprise et ce que vous pourriez avoir besoin de simplifier.

Contactez-nous

Naren Kalyanaraman

Naren Kalyanaraman

Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada

Tél. : +1 416 815 5306

Alvin Madar

Alvin Madar

Associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière et leader national, Cybersécurité, PwC Canada

Tél. : +1 604 806 7603

Charles Eckert

Charles Eckert

Associé, leader national du groupe Cybersécurité, Services gérés, PwC Canada

Tél. : +1 416 815 5274

Suivre PwC Canada

Contactez-nous

Jennifer Johnson

Jennifer Johnson

Leader, Stratégie et transformation, PwC Canada

Tél. : +1 416 947 8966

Sajith Nair

Sajith Nair

Leader, Services gérés, PwC Canada

Tél. : +1 416 815 5185

Masquer