« Les entreprises pensent à tort être bien préparées pour faire face aux enjeux de sécurité », affirme Foutse Khomh, professeur agrégé au département de génie informatique et génie logiciel de Polytechnique Montréal. 
Malgré les récentes fuites chez Desjardins, Capital One et Life Labs, qui ont touché des millions de Canadiens, 50 % des moyennes et grandes organisations au pays n’ont pas cru bon de renforcer leurs pratiques de sécurité.
C’est ce que suggère la quatrième étude annuelle sur le secteur des technologies de l’information (TI), réalisée par la firme Novipro en collaboration avec Léger Marketing.
Dévoilé lundi, ce portrait a été effectué du 23 septembre au 23 octobre 2019, auprès de 496 répondants, dont 300 décideurs en TI. L’échantillon se compose majoritairement d’hommes (70 %) qui travaillent à temps plein (96 %) dans une moyenne entreprise (43 %) ou une grande entreprise (55 %).
Cyberattaques en hausse
Plus d’une entreprise sur trois (37 %) déclare avoir subi des cyberattaques dans la dernière année, ce qui représente une augmentation de 28 % par rapport à 2018.
Le tiers des organisations ont identifié une ressource interne comme responsable de ces assauts.
Si certains employés peuvent avoir des intentions malveillantes, plusieurs favorisent les attaques sans le vouloir, en ouvrant des fichiers douteux reçus par courriel, par exemple.
« Les entreprises auraient avantage à se doter de méthodes de gouvernance et de formation solides pour sensibiliser leurs ressources quant aux lourdes conséquences liées à leur possible négligence », indique Éric Cothenet, directeur, solutions technologiques chez Novipro.
Manque de transparence ?
À peine 38 % des entreprises communiqueraient avec leurs clients à la suite d’une brèche compromettant leurs renseignements personnels, ce qui représente une diminution de 49 % par rapport à 2018.
Pourtant, 61 % des organisations détiennent des données confidentielles sur leur clientèle.
Une approche plus holistique
Selon le professeur Khomh, beaucoup d’organisations semblent cantonner les problèmes de cybersécurité à une question d’infrastructure, alors qu’elles devraient privilégier une approche plus globale.
« Les enjeux de sécurité doivent être pris en compte tout au long du cycle de développement, de la mise en production jusqu’à l’utilisation des systèmes informatiques », explique-t-il.
Au-delà de la prise de conscience
« En général, l’étude démontre que les organisations réalisent davantage les risques associés à la sécurité informatique », note Yves Paquette, cofondateur et président de Novipro.
Il souligne toutefois qu’au-delà de la prise de conscience, il faut élaborer des plans concrets pour se prémunir contre toutes formes d’attaques. « Cette responsabilité n’incombe pas uniquement aux équipes TI, ajoute-t-il. Tous les décideurs doivent en faire une priorité constante ».
Comme le professeur Khomh, M. Paquette estime que les gouvernements devraient mettre en place des réglementations plus rigides pour que les entreprises prennent la cybersécurité plus au sérieux.
