Rapport incident en cybersécurité Statistiques Canada : 21% des entreprises canadiennes en ont été victimes
La majorité des entreprises ne rapporteront pas les incidents à la police
Alors que de nombreux incidents de cybersécurité ont été rendus publics, Statistiques Canada rapporte que près d'une entreprise sur cinq aurait été victime d'incidents de cybersécurité en 2019, soit la même proportion qu'en 2017.
Les secteurs qui ont déclaré avoir été touchés par des incidents de ce genre n'ont pas varié depuis le rapport de 2017. Le secteur de l'industrie de l'information et de l'industrie culturelle est celui qui est le plus sévèrement atteint, soit 37% des entreprises, une hausse de 7% en 2 ans. Celui du commerce de gros et celui des services professionnels, scientifiques et techniques ont aussi subi une hausse des incidents, soit 34% et 32% respectivement.
Cependant, les motifs de ces incidents ont quelque peu changé. La tentative de vol d'argent ou d'une demande de rançon et l'incident sans motif connu reste les deux plus fréquents, mais la tentative de vol de renseignements personnels ou financiers est arrivée en troisième position en 2019. Selon Steve Waterhouse, expert en sécurité informatique depuis plus de 20 ans, les hausses des cyberattaques ainsi que l'augmentation des tentatives de vol de renseignements personnels auraient plusieurs causes.
L'affaire Desjardins
Le vol de données chez Desjardins serait la première source de l'augmentation des tentatives de vol de renseignements personnels selon M. Waterhouse. Pourtant, le rapport de Statistiques Canada affirme que le secteur industriel ayant le plus souvent déclaré être tenus de mettre en œuvre des mesures de cybersécurité étaient celui de la finance et des assurances avec un taux de 70%. C'est "parce qu'ils ont des lois qui leur imposent de faire [un minimum]", explique l'expert. Certaines entreprises n'avaient que le strict minimum en matière de cybersécurité avant que le vol de données chez Desjardins se produise. L'expert en informatique mentionne que la Caisse populaire Desjardins n'avait aucun système de journalisation qui permet de voir qui a eu accès à l'information, quand une personne a consulté l'information et sur quel appareil. C'est la raison pour laquelle le sujet d'intérêt a été capable de mettre toutes les informations sur une clé USB et de sortir les données. Ils ont cependant remédié à la situation depuis.
Même si Desjardins a sécurisé ces systèmes informatiques, ce vol de données a eu des répercussions jusqu'à tout récemment. M. Waterhouse affirme que le vol de données aurait aidé des malfaiteurs à usurper l'identité d'individus afin d'obtenir la Prestation canadienne d'urgence (PCU) à leur nom. Pourtant, cet acte "a été nécessaire pour faire réfléchir la population sur l'importance de la cybersécurité", appuie-t-il.
Les appareils personnels au travail
Selon le rapport, seulement 17% des entreprises font évaluer la sécurité des appareils non homologués alors que 37% des entreprises disent en utiliser. Cela veut dire que 17% des entreprises font évaluer la sécurité des appareils que leurs employés apportent de la maison comme outil de travail. "Le chiffre est sous-estimé. Les entreprises qui vont être honnêtes et tout déclarer sont rares parce qu'elles ont toujours un petit quelque chose à protéger", soutient Steve Waterhouse.
Il y aurait une tendance "apporter votre propre appareil" qui fait en sorte que l'employeur accepte que son employé travaille sur un appareil provenant de sa maison puisqu'il n'aura pas besoin de le fournir à l'ensemble de ses employés, mais cette action crée un problème de cybersécurité. M. Waterhouse explique que les employeurs ne feront probablement pas de vérification sur l'appareil privé pour y trouver des éléments malveillants qui pourraient se connecter au réseau. De plus, s'il y a fuite d'information, ce sera difficile à gérer puisqu'il faut un mandat de la cour pour faire une saisie de l'appareil suspecté. Il assure "qu'à ce moment, la personne a le temps de faire ce qu'elle veut et d'effacer ce qu'elle veut. Il existe cependant des logiciels qui suivent l'activité de tous les appareils sur un même réseau".
La police et le gouvernement
Seulement 12% des entreprises canadiennes ayant été victime d'incidents de cybersécurité ont signalé ces incidents aux services de police en 2019. M. Waterhouse comprend que certaines entreprises ne veulent pas les rapporter à la police par peur de perdre un peu de crédibilité, mais il est convaincu que cela pourrait être bénéfique à long terme, "Si les entreprises divulguent qu'elles ont subi une attaque, cela empêchera peut-être à d'autres entreprises de subir le même sort qu'elles puisque la police trouve une tendance, par exemple, un type d'entreprise, une région, etc. Le gouvernement va mettre les efforts nécessaires pour contrevenir à cette attaque."
Or, très peu connaissent où s'orienter pour demander de l'aide "parce que le gouvernement fait un très mauvais travail à publiciser la manière de le faire. Si les entreprises savaient qu'il n'y a pas de conséquences à la suite d'un signalement et qu'il y a des ressources pour leur venir en aide, le gouvernement pourrait mieux gérer les attaques."
