L’achat de solutions de cybersécurité et la formation en cybersécurité représentent plus de 50 % de ce que les entreprises canadiennes allouent à leur budget informatique, selon une nouvelle recherche par solution de sécurité réseau pour les entreprises, selon Nordlayer.
Pour cette recherche, une agence externe a interrogé, au nom de Nordlayer, 500 organisations non gouvernementales entre le 15 et le 25 mars 2023, à travers le Canada, le Royaume-Uni et les États-Unis.
Un budget adéquat est essentiel pour choisir les outils et solutions de cybersécurité complets nécessaires pour s’adapter à l’évolution rapide du paysage des menaces, souligne le rapport.
Les entreprises canadiennes combinent différentes mesures pour renforcer la sécurité. La plupart utilisent un logiciel antivirus (72 %), tandis que les mots de passe sécurisés (66 %) et le chiffrement des fichiers (65 %) sont les deuxièmes priorités lors de la création de politiques de sécurité.
Les réseaux privés virtuels (VPN) d’entreprise restent populaires pour sécuriser les connexions réseau des organisations, avec plus de la moitié des entreprises qui les utilisent. La cyber assurance fait également progressivement son chemin dans la cybersécurité des entreprises, bien que l’accent soit mis sur la couverture des conséquences plutôt que sur la prévention d’une attaque.
Carlos Salas, expert en cybersécurité chez Nordlayer, a noté que « les fonds destinés à la cybersécurité doivent être distribués judicieusement pour garantir des résultats qui en valent la peine, prouver l’efficacité de la direction de sécurité choisie et minimiser le gaspillage des ressources ».
Par conséquent, les dépenses en solutions de cybersécurité resteront une priorité en 2023, mais les entreprises canadiennes investiront également dans la formation des employés en cybersécurité, embaucheront du personnel dédié à la cybersécurité et commanderont des audits externes de cybersécurité.
Seulement 4 % des entreprises ont déclaré qu’elles ne prévoyaient pas investir dans la cybersécurité en 2023, dont la majorité sont de petites entreprises.
Le rapport note cependant que la taille ne met pas à l’abri. Les petites entreprises du Royaume-Uni, des États-Unis et du Canada continuent de subir des vols d’identité (12 %), des violations de données (11 %), des menaces internes (2 %) et des attaques d’ingénierie sociale (5 %). Mais les petites entreprises subissent toujours beaucoup moins de cyberattaques que les grandes entreprises. Pas moins de 90 % des grandes entreprises déclarent avoir subi des cyberattaques l’année dernière. Mais elles ont également fait preuve de stabilité dans leurs dépenses de sécurité, allouant systématiquement en moyenne 24 % des fonds affectés aux besoins informatiques à la cybersécurité en 2022-2023.
L’hameçonnage (42 %) a été la cyberattaque la plus importante au Canada l’année dernière, suivi des logiciels malveillants (33 %), et 27 % ont signalé des violations de données.
Il est intéressant de noter que les attaques de rançongiciel qui ont récemment fait la une des journaux étaient les moins importantes au niveau mondial. Cela démontre, selon le rapport, la nature dynamique et imprévisible du paysage de la cybersécurité. Et la fréquence des cyber incidents n’indique pas nécessairement l’ampleur des dommages infligés.
Les entreprises canadiennes affirment avoir subi des pertes financières à la suite de cyberattaques allant de 5 000 $CAN à plus de 10 000 $CAN. Les chiffres pourraient être beaucoup plus élevés, car 15 % des entreprises n’ont pas divulgué combien elles ont perdu en raison d’incidents informatiques, note le rapport.
Le rapport propose également quelques bonnes pratiques pour élaborer des budgets de cybersécurité :
- Être conscient des défis de la cybersécurité et de la vulnérabilité de leur entreprise aux cybermenaces.
- Comprendre à quels risques, menaces et scénarios de sécurité votre entreprise est le plus exposée
- Étudier comment les budgets de l’entreprise sont alloués aux différents besoins
- Passer en revue la stratégie de sécurité, voir ce qui doit être amélioré, identifier les lacunes à combler
- Planifier une stratégie de cybersécurité, explorer les outils, la formation, les services externalisés, les plans de sauvegarde pour les scénarios de menace
- Sélectionner les solutions et les outils les mieux adaptés à votre cas
- Examiner et s’adapter aux besoins de l’entreprise
- Faire de la cybersécurité un processus continu
Adaptation et traduction française par Renaud Larue-Langlois.