Il y a de fortes chances que ni vous ni vos concurrents ne laissiez les données guider votre gestion des cyberrisques.
Moins de deux personnes interrogées sur cinq (une sur trois à l’échelle mondiale) affirment avoir intégré des outils d’analyse et de renseignements de sécurité dans leur modèle opérationnel de cybersécurité.
Ces personnes interrogées au Canada ont obtenu les notes les plus basses en ce qui concerne leur capacité à transformer les données en analyses pour la modélisation des menaces, l’élaboration de scénarios et l’analyse prédictive – toutes des technologies essentielles pour prendre des décisions intelligentes en matière de cybersécurité.
De nombreuses entités ne parviennent pas à tirer parti des approches et des outils de renseignement évolués d’aujourd’hui. Les nouveaux types de données internes, les données provenant de nouvelles sources externes, les nouveaux partenariats de données et les plateformes de partage d’informations peuvent être des sources importantes de renseignements de sécurité, mais seul le quart des personnes interrogées disent tirer parti de ces outils.
Les trois quarts restants n’en profitent pas. Les entreprises qui prévoient une augmentation de leurs dépenses de cybersécurité l’an prochain sont souvent celles dont les modèles opérationnels utilisent les renseignements de sécurité et l’analyse des données. Les données peuvent non seulement vous aider à dépenser judicieusement votre budget de cybersécurité, mais aussi à obtenir plus pour moins. À l’échelle mondiale, les organisations qui ont avancé le plus (les 10 % des meilleurs résultats en matière de cybersécurité) sont 18 fois plus susceptibles de déclarer que ces approches évoluées font partie intégrante de leur modèle opérationnel – un scénario que nous observons fréquemment au Canada également.
Pourcentage de personnes interrogées qui affirment que les éléments suivants font partie intégrante de leur modèle opérationnel actuel :
« Dans notre monde actuel des « systèmes de systèmes », la cybersécurité ne peut plus être traitée comme un problème « trop difficile à mesurer » »
Dans notre monde actuel des « systèmes de systèmes », la cybersécurité ne peut plus être traitée comme un problème « trop difficile à mesurer », affirme la US Cybersecurity & Infrastructure Security Agency. Pourtant, comme nous l’avons vu plus haut, seulement 30 % des entreprises canadiennes quantifient actuellement les cyberrisques (26 % à l’échelle mondiale).
Les données que vous utilisez pour repérer et comprendre les menaces, chiffrer les risques, les classer par ordre de priorité et prévoir les tendances en matière de cybercriminalité peuvent constituer un outil puissant pour convaincre les conseils d’administration et le chef de la direction d’investir dans votre programme de cybersécurité. D’autre part, si vous avez du mal à obtenir le financement dont vous avez besoin pour la cybersécurité, vous devez peut-être mieux quantifier les cyberrisques.
De même, les données peuvent vous aider à rester informé des risques en temps réel et à adapter les tactiques et stratégies de sécurité en fonction de l’évolution de l’entreprise. À l’échelle mondiale, les personnes interrogées dans cinq secteurs d’activité ont déclaré que la raison la plus importante de quantifier le cyberrisque est « d’évaluer en permanence notre paysage de risques et nos priorités par rapport à l’évolution des objectifs d’affaires ». Les chefs d’entreprise reconnaissent que les risques sont toujours en évolution et que les données sont l’outil qui leur permet de surveiller et de mesurer les changements.
L’évaluation des risques est également importante pour évaluer les possibilités et pour établir un lien entre le message sur les menaces à la cybersécurité et le message sur les affaires que la haute direction et les conseils d’administration peuvent comprendre. Un nombre croissant d’entreprises canadiennes reconnaissent l’importance de la cybersécurité, mais nombre d’entre elles ont encore beaucoup de chemin à faire. De 33 % à 49 % des personnes interrogées affirment avoir fait des « progrès marqués » pour relier les deux (37 % et 42 % à l’échelle mondiale), tandis que 9 % à 16 % disent avoir fait peu ou pas de progrès pour aligner les objectifs de cybersécurité sur ceux de l’entreprise (de 16 % à 18 % à l’échelle mondiale).
Rang au Canada | Rang à l’échelle mondiale |
|
---|---|---|
Contribuer à l’évaluation et à la communication des risques en fonction d’une tolérance au risque définie | 1 | 3 |
Fournir des informations sur le rendement des investissements en matière de sécurité | 2 | 9 |
Mesurer l’apport de nos capacités à atténuer les risques à la sécurité | 3 | 4 |
Identifier et justifier les améliorations ou les transformations des capacités de protection | 4 | 2 |
Évaluer en permanence notre paysage de risques et nos priorités par rapport à l’évolution des objectifs d’affaires | 7 | 1 |
Les personnes interrogées au Canada font des prédictions sur les 12 prochains mois. Soixante-dix pour cent d’entre elles s’attendent à une augmentation de la cybercriminalité (60 % à l’échelle mondiale), et 55 % affirment que les attaques d’États-nations sont susceptibles d’augmenter (53 % à l’échelle mondiale). Les téléphones cellulaires, l’Internet des objets et l’infonuagique sont en tête de liste des cibles anticipées. Dans l’esprit des personnes interrogées, le type d’attaque pourrait cependant prendre presque n’importe quelle forme.
Les rançongiciels (23 % au Canada; 21 % à l’échelle mondiale) devancent de peu les courriels d’affaires compromis (22 % au Canada; 20 % à l’échelle mondiale), les attaques contre les services infonuagiques (22 % au Canada et à l’échelle mondiale) et la désinformation (22 % au Canada; 19 % à l’échelle mondiale) comme les menaces les plus susceptibles de connaître une augmentation importante. De plus, une longue liste d’autres types d’attaques ont obtenu une note comprise entre 10 % et 21 %. Notamment, 54 % des personnes interrogées s’attendent à une augmentation des atteintes à leur chaîne d’approvisionnement en logiciels (56 % à l’échelle mondiale), 19 % des personnes interrogées au Canada et à l’échelle mondiale prévoyant une augmentation marquée.
Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada
Tél. : +1 416 815 5306
Associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière et leader national, Cybersécurité, PwC Canada
Tél. : +1 604 806 7603
Associé, leader national du groupe Cybersécurité, Services gérés, PwC Canada
Tél. : +1 416 815 5274