La cybercriminalité croit plus vite que le PIB mondial et les téléphones intelligents : GSISS 2015 English

Nouvelles fournies par

PwC Management Services LP

27 nov, 2014, 09:11 ET

Faux sentiment de sécurité - La détection des atteintes  à la sécurité informatique diminue au Canada

MONTRÉAL, le 27 nov. 2014 /CNW/ - Le nombre d'incidents de sécurité informatique dans le monde a augmenté de 48 % pour atteindre 42,8 millions, soit l'équivalent de 117 339 attaques par jour en 2014, selon le sondage The Global State of Information Security® Survey 2015, une enquête mondiale de CIO, CSO et PwC. Le sondage a aussi révélé que le taux de croissance annuelle composé (TCAC) des incidents détectés a augmenté de 66 % d'une année à l'autre depuis 2009. Ce taux a dépassé le taux de croissance combiné correspondant du produit intérieur brut (PIB) mondial et du rythme d'adoption des téléphones intelligents.

Comme les atteintes à la sécurité sont de plus en plus sophistiquées, on estime que jusqu'à 71 % des incidents ne sont pas décelés.1 Marc Fournier, associé et leader de la cybersécurité pour le Québec, PwC, estime que « le taux de croissance n'est pas étonnant. Cela ne représente que la pointe de l'iceberg vu la capacité d'une entreprise à déceler les cyberincidents ou même à jauger les pertes réelles ».

Il poursuit en disant que « le problème sous-jacent c'est le sous-investissement dans la capacité de faire plus que de protéger simplement les actifs informatiques critiques et la nécessité d'établir la capacité de repérer les incidents comme un meilleur indicateur. »

Que se passe-t-il au Canada ?
Le sondage a constaté que le taux de détection des incidents de sécurité informatique au Canada a diminué de 15 % par rapport à 2013. Le nombre d'incidents déclarés a chuté de 22 % pour les grandes entreprises et de 21 % pour les moyennes. 

Par contre, dans les petites entreprises canadiennes, les taux de détection ont augmenté de 311 % depuis 2013. « Cette amélioration est cruciale pour le Canada dans son ensemble, étant donné la proportion de notre économie que représente ce secteur et le fait que beaucoup de nos grandes et moyennes entreprises sont servies par de plus petites. Cela aide à fermer une brèche de plus en plus importante par laquelle les pirates attaquent la chaîne d'approvisionnement », dit M. Fournier.

_________________________________
1 Trustwave Holdings, 2014 Trustwave Global Security Report, mai 2014

Le coût de la cybercriminalité
Le coût global estimé de la cybercriminalité concernant les incidents déclarés cette année dépasse les 23 milliards $. Et cela ne représente que les incidents détectés. Le sondage indique que le coût global des atteintes à la sécurité est impossible à établir parce que beaucoup d'attaques ne sont pas déclarées et qu'il est difficile de chiffrer la valeur de certains types d'informations (p. ex., la propriété intellectuelle et les secrets commerciaux).

La Banque mondiale estime que la perte de secrets commerciaux pourrait aller de 749 milliards $ à pas moins de 2 200 milliards $ par année.2 Les pertes importantes ont été plus fréquentes cette année où le nombre des entreprises déclarant une perte de plus de 20 millions $ a augmenté de 92 % à l'échelle mondiale et de 27 % au Canada par rapport à 2013.

__________________________
2 Banque mondiale, Indicateurs du développement dans le monde, juillet 2014; calculs de PwC

Les dépenses de sécurité
Au Canada, les petites entreprises ont augmenté de 21 % les dépenses qu'elles consacrent à la sécurité informatique (SI), comparativement à 2013, et ont détecté 311 % de plus d'incidents qu'en 2013. Elles ont parallèlement amélioré leur capacité de quantifier leurs pertes financières, dont elles jugent qu'elles ont augmenté de plus de 15 %.

Les entreprises moyennes ont déclaré une diminution de 21 % des incidents détectés malgré une augmentation de 74 % des budgets de SI sur l'année précédente. Le total estimé de leurs pertes financières dues à toutes les atteintes à la sécurité a cependant baissé de 81 % - renforçant d'autant le faux sentiment que les choses s'améliorent.

La même chose est vraie pour les grandes entreprises canadiennes où le taux d'incidents déclarés a baissé de 22 % depuis 2013, avec une réduction correspondante du budget de SI de 26 % et une baisse résultante des pertes financières totales dues à toutes les atteintes à la sécurité de 82 %.

Les voleurs à l'intérieur et à l'extérieur
Les trois principales sources d'incidents touchant la sécurité, à l'échelle mondiale et au Canada, sont les employés (35 % au Canada et dans le monde), les ex-employés (33 % au Canada et 30 % dans le monde) et les pirates (26 % au Canada et 24 % dans le monde). Au Canada, les atteintes dues à d'anciens employés et à des prestataires de services ont bondi de 32 % par rapport à 2013.

Au Canada,  les incidents d'origine externe déclarés dus à des pirates ont diminué de 26 % par rapport à 2013, alors que ceux attribuables à des courtiers d'informations ont augmenté de 78 % (54 % à l'échelle mondiale) et que les menaces des activistes (organisations et pirates militants) ont bondi de 62 % par rapport à 2013.

Les attaques à haute visibilité par des États-nations, le crime organisé et les concurrents font partie des incidents les moins fréquents, mais comptent parmi les menaces de cyberattaques qui se développent le plus vite. Cette année, les atteintes par des États-nations ont grimpé de 86 % à l'échelle mondiale (contre neuf pour cent au Canada). Au Canada, les incidents de sécurité attribués à des concurrents ont augmenté de 46 % (contre 64 % à l'échelle mondiale), certains étant soutenus par des États-nations.

« Il est important de comprendre que les menaces ne sont jamais unidirectionnelles. Elles deviennent une combinaison de technologie, de personnes et de processus - des gens de l'intérieur et de l'extérieur, par des attaques directes ou passant par la chaîne des approvisionnements. La mise en place de moyens de défense technologiques pour protéger l'information ne suffit pas », déclare M. Fournier.

Des besoins d'investissements intelligents
Les entreprises doivent comprendre que les risques cybernétiques ne disparaîtront jamais complètement et continueront de devenir de plus en plus complexes, et elles doivent demeurer vigilantes et garder une souplesse d'action pour réagir à un paysage en évolution constante.

« Il est crucial que la haute direction mette en place des processus qui intègrent pleinement des capacités de prédiction, de prévention et de réaction rapide aux incidents pour réduire l'effet des incidents inévitables touchant la sécurité, commente M. Fournier.  Dans le contexte actuel, il est important d'investir dans des pratiques de sensibilisation à la sécurité, comprenant des procédures pour les fournisseurs externes. Les conseils d'administration doivent avoir l'assurance que la direction effectue ce travail, et le vérifier par des évaluations actives. La supervision d'un exercice de réaction à un incident serait une bonne utilisation de leur temps.

« Globalement, on devrait s'attendre à une augmentation de la détection des incidents et cela devrait aussi servir à la quantification par la direction des menaces et des pertes possibles. Cela devrait déterminer son orientation, sa focalisation et ses investissements », conclut M. Fournier.

Ressources complémentaires
Pour accéder au rapport intégral, consultez le site http://www.pwc.com/ca/security-survey .

Méthodologie
Le sondage The Global State of Information Security® Survey de 2015 est une étude mondiale menée par PwC, CIO et CSO. Elle a été effectuée en ligne du 27 mars 2014 au 25 mai 2014. Les lecteurs de CIO et de CSO et les clients de PwC du monde entier ont été invités par courriel à participer au sondage. Les résultats présentés dans ce rapport sont basés sur les réponses de plus de 9 700 chefs de direction et chefs et VP des finances, de l'informatique, de la sécurité informatique de la sécurité ainsi que directeurs des TI et des pratiques de sécurité d'au-delà de 154 pays. Trente-cinq pour cent des répondants sont d'Amérique du Nord, 34 pour cent d'Europe, 14 pour cent de la région Asie-Pacifique, 13 pour cent d'Amérique du Sud et quatre pour cent du Moyen-Orient et d'Afrique. La marge d'erreur est de moins d'un pour cent.

À propos de CIO et de CSO
CIO est la ressource privilégiée en termes de contenu et de communauté pour les cadres supérieurs et leaders en technologie de l'information qui s'épanouit et prospère à l'ère de transformation accélérée de la TI en entreprise. Le portefeuille primé de CIO - CIO.com, CIO magazine (lancé en 1987), programmes CIO pour cadres supérieurs, services de marketing CIO, forum CIO sur LinkedIn et recherche de base CIO - apporte aux leaders de la technologie d'entreprise des analyses et des éclairages sur les tendances de la technologie de l'information et une compréhension aiguë du rôle de la TI pour atteindre les objectifs de l'entreprise. De plus, CIO offre aux fournisseurs de solution de TI la possibilité de toucher les dirigeants de la TI. CIO est publié par IDG Enterprise, filiale d'International Data Group (IDG), la première société mondiale en matière de médias, d'événementiel et de recherche. Pour en savoir plus sur la société, consultez le site www.idgenterprise.com.

CSO est la ressource privilégiée en termes de contenu et de communauté pour les décideurs en matière de sécurité dirigeant les efforts de « gestion du risque d'affaires » dans leur entreprise. Depuis plus de dix ans, le site Web primé de CSO (CSOonline.com), des conférences pour cadres supérieurs, et des services de marketing et de recherche apportent aux décideurs en matière de sécurité des outils pour atténuer à la fois les risques pour la TI et les risques généraux et matériels de leurs entreprises et ouvre des débouchés aux fournisseurs de sécurité cherchant à atteindre ce public. Pour soutenir les chefs de la sécurité dans la formation des employés sur les pratiques de sécurité pour l'entreprise et de sécurité personnelle, CSO produit aussi le bulletin trimestriel Security Smart. CSO est publié par IDG Enterprise, filiale d'International Data Group (IDG), la première société mondiale en matière de médias, d'événementiel et de recherche. Pour en savoir plus sur la société, consultez le site www.idgenterprise.com.

The Global State of Information Security® est une marque déposée d'International Data Group, Inc.

Suivez PwC sur Twitter au @PwC_Canada_LLP et sur Facebook au www.facebook.com/pwccanada.

PwC Canada
PwC Canada aide les organisations et les particuliers à créer la valeur qu'ils recherchent. Plus de 5 800 associés et employés s'emploient à fournir des services de grande qualité en matière de certification, de fiscalité, de conseils et de transactions. PwC Canada est membre du réseau mondial de cabinets de PwC, qui compte plus de 195 000 personnes dans 157 pays. Pour en savoir davantage, consultez notre site Web à l'adresse : www.pwc.com/ca/fr.

© PricewaterhouseCoopers LLP/s.r.l./s.e.n.c.r.l., société à responsabilité limitée de l'Ontario, 2014. Tous droits réservés.

PwC s'entend du cabinet canadien, et quelquefois du réseau mondial de PwC. Chaque société membre est une entité distincte sur le plan juridique. Pour obtenir de plus amples renseignements, visitez notre site Web à l'adresse : www.pwc.com/structure (en anglais seulement).

SOURCE : PwC Management Services LP

Valérie Fortin, T : +1 514 205-5001 poste 1866, Courriel : [email protected]; Julie Lussier, T : +1 514 205-3962, Courriel : [email protected]

Profil de l'entreprise

PwC Management Services LP