Skip to main content

L’état de la cybersécurité au Canada : renseignements de 400 chefs de la sécurité de l’information

Auteur : David Senf, stratège en cybersécurité à l’échelle nationale, Bell 

Assis dans un poste de travail dans une salle de serveurs, un expert en cybersécurité de Bell passe en revue les résultats du plus récent sondage sur la sécurité en nuage du chef de la sécurité de l’information


David Senf, stratège en cybersécurité à l’échelle nationale, Bell Depuis plus de 15 ans, j’aide les entreprises à mettre en œuvre des programmes pour sécuriser leurs environnements d’affaires. Au fil du temps, il est devenu évident pour moi que tous les programmes de sécurité ne sont pas égaux, ce qui peut amener certaines entreprises à atteindre des niveaux de réussite nettement plus élevés que leurs pairs sur un éventail de résultats en matière de sécurité. Dans ce cas, la réussite est le résultat final de tout ce qu’un leader en matière de sécurité, son équipe, l’entreprise et ses tiers fournisseurs ont mis en place pour atteindre leurs objectifs en matière de sécurité. Mais quels sont ces résultats et comment les chefs de la sécurité de l’information les mesurent-ils? Quels sont les facteurs les plus déterminants pour leur réussite?   

Pour le savoir, nous avons mené un sondage auprès de 402 chefs de la sécurité de l’information provenant d’entreprises canadiennes des secteurs public et privé. Voici un aperçu de certaines de nos constatations :  
 

1. Les chefs de la sécurité de l’information mesurent le succès en fonction d'un certain nombre de résultats, dont les cinq suivants sont les plus importants 

  • Atteindre ou dépasser les objectifs de conformité :
    27 % des organisations déclarent dépasser les exigences de conformité. La conformité reste un moteur essentiel des programmes de sécurité, mais de nombreuses organisations continuent de lutter pour suivre l'évolution des exigences. 
     
  • Maintenir un haut degré de confiance des partenaires d’affaires pour ce qui est de leur posture en matière de sécurité :
    26 % des répondants ont exprimé une grande confiance dans la capacité de leur programme de sécurité à protéger correctement les activités de l’entreprise dans le nuage. Il s’agit du taux le plus bas pour les cinq critères, ce qui témoigne de la nature prudente des répondants, en plus des nombreux défis liés à la sécurité dans les environnements en nuage, et toutes les autres surfaces d'attaque.
     
  • Obtenir les meilleurs tarifs possibles pour la cyberassurance :
    30 % des répondants affirment que leur entreprise obtient les meilleurs tarifs de cyberassurance. Étant donné que de nombreux assureurs procèdent à des évaluations des risques et à des vérifications préalables pour fixer leurs tarifs, on peut considérer qu’il s’agit d’une évaluation indépendante du niveau de risque que présente chaque entreprise. Il est clair que les entreprises utiliseront d’autres moyens pour valider leur posture de sécurité, mais l’évaluation d’un assureur est une perspective pertinente.
     
  • Disposer d’un personnel de sécurité très satisfait :
    Environ 3 entreprises sur 10 bénéficient d’un taux de satisfaction très élevé des employés chargés de la sécurité. Les résultats plus élevés en matière de satisfaction des employés ont un lien de cause à effet avec la tâche déjà difficile de retenir les talents en sécurité.
     
  • Ne pas subir de faille de cybersécurité au cours des 12 derniers mois :
    Si 35 % des répondants ont déclaré que leur entreprise n’avait pas subi de faille au cours des 12 derniers mois, il convient de noter que certains d’entre eux n’avaient peut-être pas connaissance d’une telle violation. Cela ne sert qu’à souligner le fait qu’au moins 65 % ont subi une faille, et probablement plus.  
     

2. Le succès n’est souvent pas déterminé par le budget. Les entreprises qui disposent des budgets de sécurité les plus importants ont montré qu'elles n'étaient pas nécessairement plus sûres. D'autres facteurs identifiés dans cette étude sont plus importants. Par exemple, la façon dont les ressources sont allouées dépasse de loin l'importance du budget total. Cela dit, pour allouer efficacement les ressources, une bonne gouvernance est essentielle.  
 

3. Les entreprises ayant une gouvernance de la sécurité bien définie surpassent leurs pairs. La gouvernance de la sécurité est plus efficace lorsqu'une approche collaborative est adoptée dans l'ensemble de l'organisation. Cela s'explique en partie par le fait qu'une bonne exécution des garde-fous techniques (par exemple, la gestion de la configuration, la politique en tant que code, la gestion des accès, etc. Le succès n'est pas au rendez-vous lorsque ces décisions sont prises en silo. 
 

4. Être ouvert au changement peut avoir un impact positif sur les résultats en matière de sécurité. L'expérimentation et l'ouverture au changement sont importantes.  Bon nombre des organisations les plus performantes de notre étude expérimentent ou ont déployé des solutions d'IA générative telles que ChatGPT dans leurs opérations de sécurité. Les premiers utilisateurs de modèles de langage étendus trouvent une utilisation pour les requêtes en langage naturel (à travers la syntaxe et les langues des fournisseurs), l'augmentation des renseignements sur les menaces, le reporting, les playbooks de réponse aux incidents, et plus encore. 


Pour en savoir plus sur les renseignements provenant de cette étude et explorer la façon dont ces informations peuvent vous aider à améliorer vos résultats en matière de sécurité, veuillez consulter le rapport complet.