Pourquoi GetApp est gratuit

Risques de cybersécurité : pour 50 % des entreprises québécoises, les employés négligents constituent une vulnérabilité

Publié le 2024-02-05 par Smriti Arya

Les employés du Québec sont-ils au courant des risques liés à la cybersécurité? Ont-ils déployé des stratégies de sécurité des données adaptées pour limiter les cyberattaques? Quelles sont les mesures prises par leurs entreprises pour s'en prémunir? Consultez l'analyse de notre enquête pour découvrir comment les entreprises québécoises font face aux risques liés à la cybersécurité. 

Gestion des risques liés à la cybersécurité

D'après un rapport de la Gendarmerie royale du Canada (GRC), plus de 530 millions de dollars de pertes financières ont été signalés au Centre antifraude du Canada en 2022. Cela correspond à une augmentation de près de 40 % par rapport à 2021. De plus, le Centre canadien de cybersécurité a publié un rapport dans lequel il émet l'hypothèse que "les cybercriminels [...] continueront presque certainement de cibler les organisations attrayantes dans les secteurs des infrastructures essentielles au Canada et partout dans le monde, au cours des deux prochaines années." 

La cybersécurité constitue donc un aspect essentiel à l'époque actuelle et toute entreprise doit envisager la mise en place de protocoles de sécurité robustes. 

Pour comprendre comment les entreprises québécoises luttent contre ces risques de plus en plus courants, nous avons interrogé 223 employés à temps plein qui utilisent des outils de cybersécurité au sein de leur entreprise. Sur les 223 personnes interrogées, 159 sont responsables de l'implémentation de mesures de cybersécurité, ont participé à des initiatives de cybersécurité ou sont pleinement conscientes des mesures de cybersécurité déployées au sein de leur entreprise. Nous appellerons ce groupe de participants "les répondants pleinement conscients".  Quant aux 64 participants qui ne sont pas pleinement conscients de ces mesures, nous les appellerons "les répondants moins conscients". Vous trouverez la méthodologie de l'enquête au bas de cet article. 

Pour la moitié des entreprises, les employés négligents représentent une vulnérabilité courante en matière de sécurité

Étonnamment, les pirates informatiques ne sont pas les seuls responsables des violations et des fuites de données : des employés peu soigneux sont également à blâmer. 

En effet, notre enquête révèle que près de 50 % des répondants pleinement conscients estiment que les employés négligents représentent une vulnérabilité courante en matière de cybersécurité. On peut ensuite citer la vulnérabilité aux tentatives d'hameçonnage ou d'ingénierie sociale (30 %) et les failles des applications web (28 %).

Les 5 vulnérabilités de sécurité les plus courantes selon les entreprises

La raison pour laquelle la négligence des employés pourrait représenter une vulnérabilité importante peut être liée à un manque de connaissances en matière de cybersécurité. Les employés ne savent peut-être pas identifier les messages douteux ou malveillants, ce qui les rend vulnérables. C'est pourquoi les entreprises devraient mettre à leur disposition des programmes de formation à la cybersécurité et aussi évaluer leur niveau de connaissance des menaces pour créer des programmes de sensibilisation plus efficaces. 

Les vulnérabilités des applications web représentent un autre défi de taille : dans ce contexte, il convient de doubler les mesures de sécurité afin de renforcer les applications web. Par exemple, les entreprises peuvent opter pour des applications web qui obligent les employés à créer des mots de passe forts, plus difficiles à déchiffrer, et doivent aussi éviter de partager des données sensibles. Par ailleurs, l'implémentation de procédures d'authentification multifacteur peut aussi s'avérer utile.

Pour tester ses défenses, une entreprise peut également effectuer des simulations d’hameçonnage dans le cadre d'un programme de sensibilisation à la cybersécurité. Un faux courriel d’hameçonnage est envoyé aux employés afin de tester et de contrôler la façon dont ils réagissent. Réalisées régulièrement, ces simulations peuvent aider vos employés à reconnaître les courriels malveillants et à éviter d'être victimes de telles attaques. 

Les attaques par hameçonnage par courriel représentent la principale préoccupation de 43 % des personnes interrogées

On dénombre plus de 4,3 milliards d'utilisateurs de messagerie électronique dans le monde entier (article en anglais). Environ 347,3 milliards de courriels sont envoyés chaque jour. Il est donc possible d'affirmer que les courriels sont l'un des principaux moyens de communication, et c'est peut-être pour cette raison que les courriels sont de plus en plus souvent la cible des cyberpirates. Lors d'une enquête GetApp menée sur les attaques par hameçonnage, nous avons constaté que près de 9 personnes sur 10 ont été visées par des attaques par hameçonnage par courrier électronique. 

Lorsque nous avons demandé à ces répondants pleinement conscients des menaces ce qui serait sûrement une source d'inquiétude pendant les 12 prochains mois, ils ont indiqué que les attaques par hameçonnage avancé seraient une préoccupation majeure (43 %). Dans le but de limiter ces risques, les employés doivent être formés à la détection de ces courriels pour protéger leur entreprise contre les cyberattaques. 

Astuces pour repérer une tentative d'hameçonnage
  1. Des courriels qui requièrent d'agir rapidement : les employés peuvent recevoir un courriel leur demandant d'agir immédiatement sous peine de passer à côté d'une précieuse opportunité ou de s’exposer à une sanction. Il s'agit d'une manipulation pour pousser le destinataire à prendre une mesure hâtive sans même lire le courriel en entier. 
  2. Les courriers électroniques contenant des erreurs grammaticales : les courriels d’hameçonnage peuvent contenir des fautes de grammaire et d'orthographe. Il s'agit là de l'un des moyens les plus courants de repérer lesdits pourriels. 
  3. Les courriels envoyés à partir d'un domaine public ou inconnu : en règle générale,aucune entreprise n'enverra de courrier électronique à partir d'un domaine public. La plupart des sociétés disposent de leur propre domaine de courrier électronique. Il convient donc de toujours vérifier le nom de domaine (ce qui suit le symbole @) avant de cliquer sur un lien ou de répondre au courriel.  
  4. Les courriers électroniques avec des pièces jointes suspectes : les employés peuvent recevoir un courriel contenant des pièces jointes infectées capables d'endommager tout le système ou de pirater des informations sensibles. À l'heure actuelle, le partage de fichiers liés au travail dans les entreprises se fait le plus souvent à l'aide d'outils de collaboration, parmi lesquels Google Drive, OneDrive ou SharePoint. Dans l'idéal, les employés devraient traiter les pièces jointes reçues avec une certaine méfiance avant de les télécharger. 

Par mesure de précaution, les entreprises peuvent aussi opter pour un logiciel de courriel sécurisé qui peut les aider à protéger les comptes de messagerie électronique contre les attaques par hameçonnage en identifiant les courriels envoyés par de mauvaises adresses IP ou de domaines douteux. 

5 répondants sur 10 réalisent des évaluations formelles des risques de cybersécurité pour protéger leurs données

Quant aux risques d'attaques par rançongiciel au Canada, Sami Khoury, directeur du Centre pour la cybersécurité, a déclaré : "La menace est réelle, elle s'accroît et nous n'en parlons pas assez" (article en anglais). Il a d'autre part incité les Canadiens à signaler ce type d'incidents afin que le Centre puisse collecter davantage d'informations sur les responsables présumés de ces attaques. 

Il s'avère donc crucial que les entreprises prennent au plus tôt les mesures qui s'imposent si elles ne veulent pas perdre des données majeures. 

Pour comprendre comment les participants à notre enquête traitent ces questions, nous avons demandé à nos répondants pleinement conscients des menaces quelles mesures ils déployaient pour protéger les données de leur entreprise. Voici ce qu'ils ont répondu :

  • 51 % réalisent des évaluations formelles des risques de cybersécurité pour protéger leurs données;
  • 37 % adoptent une approche de classification des données pour protéger les données sensibles;
  • 29 % utilisent des logiciels de gestion des accès privilégiés pour surveiller, détecter et empêcher les accès non autorisés aux données essentielles; 
  • 26 % appliquent la segmentation du réseau (logique ou physique) pour diviser un réseau en divers segments ou sous-réseaux, chacun fonctionnant comme son propre petit réseau;
  • 7 % n'implémentent aucune mesure de sécurité.

Les évaluations formelles des risques de cybersécurité peuvent constituer un premier pas dans la lutte contre les risques de cyberattaques, en permettant à leur entreprise de détecter les failles de sécurité dans leurs systèmes. Cela peut être suivi par une évaluation pour déterminer l'approche adéquate et par la création d'un rapport d'action complet.

Étapes clés de l'évaluation formelle de la cybersécurité
  • Réaliser un audit de vos données et de leur infrastructure : il faut de prime abord comprendre le type de données collectées par une entreprise, comment et où elles sont stockées, qui y a accès et si l'endroit où elles sont stockées est sécurisé.  
  • Définir les paramètres de l'évaluation : une fois l'audit réalisé, on identifie l'objectif de l'évaluation pour déterminer s'il y a des priorités à définir. 
  • Identifier la valeur des données : ensuite, il faut évaluer l'importance des informations à sécuriser. Déterminez quelles sont les sanctions légales ou si les activités quotidiennes de l'entreprise seraient impactées en cas de vol de données. 
  • Classer les actifs par ordre de priorité : à partir des informations issues de l'étape précédente, vous pouvez classer les actifs de données à évaluer.
  • Identifier les menaces visant les actifs : une fois que vous avez hiérarchisé les actifs selon leur valeur informationnelle, vous pouvez identifier les cybermenaces visant lesdits actifs. Parmi les menaces les plus courantes, citons les accès non autorisés, les menaces internes, les pertes de données, les interruptions de service ou les fuites de données. 
  • Mettre en œuvre des contrôles de sécurité : en fonction des menaces identifiées, vous pouvez déterminer quels sont les contrôles de sécurité à mettre en œuvre pour protéger vos données contre les cyberattaques. 

Comment surmonter les risques liés à la cybersécurité?

Pour limiter les risques associés aux menaces et aux attaques de cybersécurité, il est important que les entreprises déploient des stratégies dans le but de créer un environnement sûr et sécurisé. 

Quand nous avons abordé la question de l'investissement dans des logiciels de cybersécurité, 55 % des répondants pleinement conscients ont déclaré que les dépenses de sécurité avaient augmenté. Trente-sept pour cent d'entre elles ont indiqué que les dépenses n'avaient pas évolué, et 3 % seulement ont indiqué qu'elles avaient diminué. Il semblerait donc que les entreprises soient conscientes des risques associés aux cyberattaques et qu'elles investissent dans la protection de leurs ressources. 

S'il est sage d'investir dans des solutions de cybersécurité, il est également nécessaire que les employés soient au fait des politiques et des risques associés à la cybersécurité. Lorsque nous avons demandé aux participants de notre enquête s'ils avaient déjà fait part à leur service informatique de leurs inquiétudes en matière de cybersécurité, nous avons été surpris de constater que cela n'avait été le cas que pour seulement 38 % d'entre eux. Cela montre que les entreprises doivent informer leurs employés des risques et des canaux de communication à leur disposition pour aborder ces violations de la cybersécurité. 

Vous cherchez un logiciel de cybersécurité? Consultez notre catalogue.


Méthodologie

Pour collecter les données utilisées dans ce rapport, GetApp a mené une enquête en ligne en novembre 2023 auprès de 223 employés au Québec. Parmi eux, 159 sont responsables des politiques de sécurité informatique de leur entreprise, y participent activement ou en sont pleinement informés. Un groupe de 64 personnes ne connaissait pas parfaitement les politiques de leur entreprise en matière de cybersécurité et n'a répondu qu'à certaines questions.

Tous les participants ont été sélectionnés selon les critères suivants :

  • Réside au Québec
  • A entre 18 et 65 ans
  • Travaille à temps plein
  • Travaille dans une entreprise disposant d'un système de sécurité


Cet article peut faire référence à des produits, programmes ou services qui ne sont pas disponibles dans votre pays, ou qui peuvent être limités par les lois ou règlements de votre pays. Nous vous suggérons de consulter directement l'éditeur du logiciel pour obtenir des informations sur la disponibilité du produit et le respect des lois locales.

À propos de l'auteur(e)

Smriti est analyste de contenu pour le Canada, aidant les PME à obtenir des informations clés sur les logiciels, les affaires et les tendances technologiques.

Smriti est analyste de contenu pour le Canada, aidant les PME à obtenir des informations clés sur les logiciels, les affaires et les tendances technologiques.