La cybersécurité arrive à maturité
À peine quelques décennies après avoir émergé dans le domaine des TI, la profession de la cybersécurité a atteint sa maturité. Les équipes de cybersécurité ont désormais dégagé les éléments et les perspectives que seule l’expérience peut apporter. Et le moment ne pourrait être plus approprié sachant que bon nombre d’industries, d’entreprises et de personnes qu’elles servent se trouvent à un moment charnière.
Les résultats du sondage Global Digital Trust Insights 2021 (en anglais seulement), que nous avons réalisé auprès de plus de 3 000 dirigeants d’entreprise et responsables des technologies dans le monde, dont un nombre important au Canada, nous révèlent ce qui est en train de changer et ce qui nous attend en matière de cybersécurité.
En somme, les attentes des entreprises à l’égard de leurs responsables de la sécurité continuent de croître. Même si la technologie demeure très présente dans le portrait qui y est brossé, il ne s’agit plus de la seule préoccupation. En réalité, le véritable rôle des responsables de la cybersécurité, à l’heure actuelle comme dans l’avenir, consistera à renforcer et à accroître la résilience de leur entreprise.
Notre sondage a révélé que 44 % des répondants canadiens (40 % à l’échelle mondiale) s’attendent à ce que la numérisation accélérée soit une conséquence probable de la COVID-19. Plusieurs adoptent des stratégies d’affaires qu’ils n’avaient jamais envisagées auparavant, comme le commerce électronique, de nouveaux marchés, de nouveaux modèles d’affaires, le télétravail et l’automatisation. De plus, 15 % des répondants canadiens (21 % à l’échelle mondiale) modifient leur modèle d’affaires principal et redéfinissent leur entreprise.
Chaque interaction entre un nouveau modèle d’affaires et une nouvelle technologie génère de nouveaux cyberrisques.
Ce faisant, les approches traditionnelles en matière de cybersécurité ne peuvent tout simplement pas suivre le rythme et l’ampleur de l’évolution de la numérisation. En fait, elles ralentissent même les stratégies d’affaires, générant ainsi des répercussions à la fois sur le chiffre d’affaires et les bénéfices. Il n’est donc vraiment pas surprenant que presque tous les répondants (97 % au Canada et 96 % à l’échelle mondiale) affirment que les stratégies de cybersécurité dans leur industrie devront changer en raison de la COVID-19.
Canada | Mondial | |
Meilleurs tests de résilience pour tenir compte des incidents à faible probabilité et forte incidence. | 57 % | 43 % |
Intégration de la cybersécurité et de la protection des renseignements personnels dans toutes les décisions ou plans d’affaires. | 55 % | 50 % |
Interactions plus fréquentes entre les responsables de la sécurité et les PDG ou les membres du CA. | 41 % | 43 % |
Nouveau processus budgétaire pour les dépenses ou les investissements en cybersécurité. | 39 % | 44 % |
Quantification améliorée et plus granulaire des cyberrisques. | 37 % | 44 % |
Aucun changement en raison de la COVID-19. | 3 % | 4 % |
Quand ils se tournent vers l’avenir, les deux tiers des répondants, tant au Canada qu’à l’échelle mondiale, s’attendent à ce que leurs revenus d’entreprise diminuent au cours de la prochaine année en raison de la COVID-19. Cela dit, il est encourageant de constater que 56 % des répondants canadiens (55 % à l’échelle mondiale) prévoient d’accroître le budget consacré à la cybersécurité au cours de la même période. Cela démontre que de nombreux dirigeants comprennent l’importance du rôle de la cybersécurité dans le déploiement de la numérisation et de l’automatisation.
Néanmoins, dans l’ensemble, très peu de dirigeants canadiens sont vraiment convaincus que leur budget en matière de cybersécurité est attribué et dépensé adéquatement. Ainsi, seulement 34 % des répondants canadiens (contre 44 % à l’échelle mondiale) sont certains que leur budget de cybersécurité est attribué aux risques les plus importants. De plus, bien qu’un cinquième des répondants canadiens et mondiaux affirment qu’ils constatent déjà les avantages d’une meilleure quantification des cyberrisques, moins de la moitié déclare que cela se fait à grande échelle dans leur entreprise.
Plus les entreprises se numérisent, plus il sera essentiel de tirer le maximum de chaque dollar investi dans la cybersécurité, non seulement en raison du climat économique actuel, mais aussi parce que chaque nouveau processus numérique peut devenir une faille pour les cyberattaques.
Canada | Mondial | |
Nos budgets de cybersécurité sont liés aux budgets globaux de l’entreprise ou à ceux d’une de ses unités d’une manière stratégique, alignée aux risques et axée sur les données. |
62 % |
53 % |
Notre budget de cybersécurité est centré sur les techniques de remédiation, d’atténuation des risques et d’intervention qui seront les plus rentables par rapport aux dépenses. |
57 % |
55 % |
Notre processus budgétaire de cybersécurité comprend le suivi de l’efficacité de notre programme de cybersécurité par rapport aux dépenses en la matière. |
59 % |
54 % |
Notre budget de cybersécurité est attribué aux risques les plus importants pour l’entreprise. |
66 % |
55 % |
L’innovation change les règles du jeu en matière de cybersécurité. Elle donne de nouveaux avantages aux défenseurs et leur permet de jouer sur un pied d’égalité avec les attaquants. Les entreprises de premier plan explorent des méthodes avancées pour protéger leurs écosystèmes numériques en expansion. Mais il ne s’agit pas d’une option : en raison de l’adoption croissante de l’infonuagique, de l’automatisation et de l’internet des objets (IDO), les entreprises doivent revoir leurs moyens de défense, car ces systèmes ne peuvent être protégés avec les méthodes traditionnelles de sécurité informatique.
Selon notre sondage, les trois principales approches de cybersécurité mises en place par les entreprises canadiennes et dont elles tirent le plus d’avantages à l’heure actuelle sont l’orchestration et l’automatisation de la sécurité (19 %), la gestion moderne de l’identité et des accès (17 %) et la sécurité intégrée de l’infonuagique et du réseau (17 %).
Début de mise en œuvre | Mise en œuvre à grande échelle | Réalisation de bénéfices de la mise en œuvre | |
---|---|---|---|
Modèle à confiance nulle | 28 % | 28 % | 16 % |
Intégration de la sécurité de l’infonuagique et de celle du réseau | 38 % | 25 % | 17 % |
Surveillance en temps réel de l’efficacité des contrôles de sécurité | 27 % | 39 % | 16 % |
Gestion moderne de l’identité et des accès | 30 % | 30 % | 17 % |
Découverte, gestion et orientation modernes des données | 34 % | 30 % | 16 % |
Adoption accélérée de l’infonuagique | 32 % | 31 % | 13 % |
Utilisation de l’intelligence artificielle (IA) dans la cyberdéfense | 35 % | 23 % | 15 % |
Orchestration et automatisation de la sécurité | 28 % | 23 % | 19 % |
Passage de la planification de la continuité des activités à la cyberrésilience | 35 % | 26 % | 13 % |
À l’heure actuelle, la réalité d’une cyberattaque est plus probable que jamais, car l’année 2020 a entraîné une poussée d’intrusions, de rançongiciels et de violations de données, en plus d’une hausse de tentatives d’hameçonnage.
Dans notre sondage, nous avons demandé aux dirigeants canadiens de se prononcer sur la probabilité de cybermenaces dans leur industrie au cours des prochaines années. Lorsqu’ils examinent la question sous l’angle des acteurs malveillants possibles, 55 % des répondants canadiens estiment que les attaques sont assez susceptibles ou très susceptibles de provenir de cybercriminels, tandis que 49 % pensent qu’elles viendraient assez ou très probablement d’employés actuels (contre 56 % et 48 % des répondants à l’échelle mondiale).
Au chapitre des cyberincidents, 56 % des répondants canadiens estiment que des cyberattaques contre les services infonuagiques sont assez ou très susceptibles de survenir, tandis que 51 % pensent que des brèches occasionnées par des rançongiciels et des attaques de disruptionware sur les services d’affaires essentiels sont assez ou très probables (comparativement à 58 %, 57 % et 55 % à l’échelle mondiale).
Comment les répondants se préparent-ils? Une grande majorité des dirigeants canadiens (78 %, contre 76 % à l’échelle mondiale) sont d’accord avec l’énoncé suivant : les évaluations et les tests, s’ils sont faits correctement, aideront à investir de façon ciblée dans la cybersécurité. Il est donc logique que 57 % des dirigeants canadiens (40 % à l’échelle mondiale) prévoient d’accroître les tests de résilience pour s’assurer que si un cyberincident perturbateur survient, les fonctions critiques de l’entreprise demeureront opérationnelles.
Au cours de la prochaine année, 42 % des répondants canadiens prévoient d’ajouter des effectifs de cybersécurité à temps plein dans leur entreprise. Toutefois, cela ne sera pas nécessairement facile et plusieurs reconnaissent qu’attirer et retenir de bons talents dans ce domaine représente un défi. Il n’est donc pas surprenant qu’une majorité écrasante de répondants canadiens (94 %, contre 93 % à l’échelle mondiale) utilisent ou prévoient d’utiliser des services gérés.
Les dirigeants canadiens sont à la recherche de futurs gestionnaires possédant des compétences générales solides qui leur permettront d’établir de meilleurs partenariats avec les TI et le secteur.
Trois des cinq qualités les plus mentionnées parmi les répondants canadiens de notre sondage étaient en fait des compétences générales : la pensée critique (49 %), la communication (44 %) et la créativité (43 %).
Au chapitre des habiletés techniques, un grand nombre de répondants canadiens (44 %) veulent que leurs nouvelles recrues connaissent les solutions infonuagiques. La spécialisation dans les nouvelles solutions technologiques (par exemple l’IA, l’IDO et la chaîne de blocs) et l’expérience des renseignements de sécurité (40 %) se partagent la deuxième position.
Associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, Toronto, PwC Canada
+1 416 815 5185