La cybersécurité a coûté 14 milliards aux entreprises l'an dernier

Pour se protéger et se remettre des virus, piratages et autres fraudes informatiques, les entreprises canadiennes ont dû dépenser 14 milliards de dollars en 2017. C'est le constat le plus frappant de la première enquête de Statistique Canada sur ce sujet, publiée hier et qui trace le portrait de cybermenaces qui n'épargnent aucun secteur. Quatre chiffres pour comprendre.

41 %

Plus de deux grandes entreprises sur cinq ont déclaré avoir été touchées par un incident de cybersécurité qui a eu une incidence sur leurs activités. Ces entreprises comptant 250 employés et plus ont dépensé en moyenne 948 000 $, essentiellement en salaires pour les employés et, dans une moindre mesure, en logiciels de cybersécurité et en rançons. Les secteurs le plus touchés : les banques (47 %), les universités (46 %) et, étonnamment, les entreprises de transport par pipeline (45 %).

21 %

Globalement, ce sont 21 % des entreprises canadiennes de toutes tailles, sur les 12 000 retenues pour l'enquête, qui ont déclaré avoir été affectées. Le motif de ces attaques, dans 38 % des cas, était le vol d'argent ou une demande de paiement de rançon. Dix pour cent ont déclaré avoir perdu des revenus et 4 %, qu'elles ont dû rembourser des tiers ou verser une rançon. Pour les moyennes entreprises, comptant entre 50 et 249 employés, la cybersécurité a représenté des dépenses de 113 000 $. Pour les petites entreprises de moins de 50 employés, les dépenses étaient en moyenne de 46 000 $. Les 14 milliards en coûts associés à la cybersécurité ont représenté 1 % des revenus totaux.

10 %

À peine une entreprise touchée sur dix a jugé bon de signaler l'incident à un service de police. Pourquoi cette discrétion ? Dans 53 % des cas, le problème avait été résolu à l'interne. Dans près d'un cas sur trois, 29 % plus précisément, on estimait que les répercussions étaient trop mineures pour valoir un signalement aux policiers.

On note que, chez les entreprises qui ont officiellement porté plainte, l'écrasante majorité, 79 %, étaient visées par un vol d'argent ou une demande de rançon, et 56 % rapportaient également un vol de renseignements personnels ou financiers.

26 %

Plus d'une entreprise sur quatre n'a pas d'employé principalement affecté à la cybersécurité. Pour la majorité de ces entreprises, soit 56 %, on explique ce fait par le faible risque d'être attaqué.

Le portrait est très différent selon la taille des entreprises. Celles qui comptent au moins 250 employés ont affecté des responsables à la cybersécurité dans 91 % des cas.

Par contre, la quasi-totalité des entreprises, soit 95 %, ont déclaré utilisé « une certaine forme de cybersécurité ». Nombre d'entre elles n'utilisaient cependant pas les outils les plus courants : 24 % n'avaient pas de logiciel antivirus et 32 % n'utilisaient pas une forme de protection de réseau comme un pare-feu.