Incertitude commerciale: Explorez les ressources et des outils pour votre entreprise.

Incertitude commerciale: Explorez les ressources et des outils pour votre entreprise.
EN
Rechercher
Rechercher

Cyberattaques: encore trop de déni parmi les PME

Lecture de 10 minutes
Publié le 20 février 2025

La numérisation de l’économie, l’accélération de l’intelligence artificielle et l’intensification des tensions géopolitiques ont multiplié les risques de cyberattaques.

Pourtant, de nombreuses PME canadiennes persistent à se croire moins à risque que de plus grandes organisations. Ce déni du danger pourrait leur coûter cher.

Les petites entreprises aussi visées par les pirates informatiques

Dans un sondage mené par la BDC en septembre 2024, 61 % des PME interrogées se disent d’accord avec l’idée que plus une entreprise est grande, plus elle est susceptible de devenir la cible de pirates informatiques. Cette perception est encore plus fréquente parmi les PME dont les revenus sont inférieurs à 3 millions de dollars.
 
Il n’en est rien. Pour des pirates qui visent une rançon d’un million de dollars, il est souvent plus facile d’exiger 50 000 $ de 20 petites entreprises vulnérables que de s’attaquer à une grande société qui a les moyens de se défendre. La taille n’est pas un gage de sécurité.

73 %

des PME canadiennes ont subi un incident de cybersécurité dans le passé

Ce sentiment d’être à l’abri en-deçà d’un certain chiffre d'affaires est d’autant plus surprenant que 73 % des PME disent avoir subi un incident de cybersécurité par le passé, allant de l’hameçonnage aux attaques par déni de service.

Graphique 1: Pourcentage des PMEs canadiennes ayant été confrontée à un incident de cybersécurité dans le passé

Agrandir l'image
61 % des PME ont été victimes d'une tentative d'hameçonnage par e-mail. 27 % ont subi une attaque par logiciel malveillant. 12 % ont été victimes d'une intrusion réseau. 12 % ont subi une attaque par rançongiciel. 7 % ont subi une violation de données. 5 % ont subi une attaque par déni de service distribué. 27 % n'ont jamais subi d'incident de cybersécurité.

Base: Toutes les personnes interrogées (n=494). Les personnes qui ont préféré ne pas répondre ont été exclues de la base de calcul. Les mentions multiples étant autorisées, le total dépasse 100 %.

Source: BDC

Malgré cette expérience relativement commune, plus de la moitié des PME interrogées ne s’estiment pas prêtes à faire face à un incident. D’où vient ce décalage?

Il est souvent plus facile d’exiger 50 000 $ de 20 petites entreprises vulnérables que de s’attaquer à une grande société qui a les moyens de se défendre. La taille n’est pas un gage de sécurité.

Évaluer ses risques 

Nous croyons qu’il y a une compréhension insuffisante des risques. De la même façon qu’elles font appel tous les ans à une firme d’audit pour leurs finances, les entreprises devraient régulièrement soumettre leurs réseaux à une évaluation externe pour en découvrir les failles.

Cette analyse permet de vérifier tant la sécurité des infrastructures que la gestion des ressources humaines, la gouvernance ou la conformité aux normes.

Certains risques sont rarement évalués. Le sondage montre par exemple qu’une entreprise sur cinq n’a jamais mesuré les risques liés à ses partenaires, ses fournisseurs et sa clientèle. Or, 40 % des personnes interrogées ont dit avoir déjà été touchées par un incident provenant d’une partie externe.

Comprendre ses risques exige aussi de bien connaître ses actifs. Seulement 40 % des PME estiment posséder, héberger ou utiliser des données qui les exposent au risque de cyberattaques. En réalité, personne n’est à l’abri d’un incident. Le décalage est d’aurant plus remarquable que la vaste majorité des PME n’ont ni registre d’actifs, ni inventaire de données à jour.

Prévention et plan d’intervention

Une évaluation globale de vos mesures de cybersécurité permet enfin de s’interroger sur les efforts de prévention. Depuis quelques années, les entreprises ont massivement investi dans des outils technologiques, tels que des logiciels de type pare-feu, antivirus ou de surveillance. C’est un progrès, mais qui doit s’accompagner de comportements sécuritaires.

L’enquête montre que seules deux PME sur cinq ont mis en place des formations à la cybersécurité à l’intention de leur personnel. Ce chiffre est d’autant plus préoccupant qu’une formation ponctuelle ne suffit pas: la sensibilisation aux bons réflexes doit s’effectuer de manière répétée et fréquente pour être efficace. 

Graphique 2: Outils et mesures mis en place et utilisé actuellement par les entreprises (% des PME qui l’utilisent)

Agrandir l'image
76 % des PME effectuent des sauvegardes régulières des données, 71 % utilisent un pare-feu, 65 % utilisent une authentification à deux facteurs, 57 % utilisent un logiciel anti-malware, 42 % ont mis en place une formation à la cybersécurité pour le personnel, 36 % utilisent un réseau privé virtuel, 30 % utilisent le cryptage des données, 25 % ont des politiques de sécurité internes formelles, 25 % ont des systèmes de détection et de protection contre les intrusions, 18 % effectuent fréquemment des audits de sécurité, 1 % utilisent une surveillance externe, 4 % ont mis en place d'autres mesures, 5 % n'ont mis en place aucune mesure de cybersécurité.

Base: Toutes les personnes interrogées (n=484). Les personnes qui ne savaient pas ou qui ont préféré ne pas répondre ont été exclues de la base de calcul. Les mentions multiples étant autorisées, le total dépasse 100 %.

Source: BDC

Au-delà de la prévention, beaucoup reste à améliorer en cas d’attaque. Le sondage révèle que seules 11 % des entreprises ont un plan d’intervention formel, 37 % ont un plan informel et 52 % n’en ont pas du tout. Même quand le plan existe, il est rarement, voire jamais (30 % des cas) testé.

Définir les rôles en cas d’attaque

Sans feuille de route claire pour gérer la crise, une entreprise peut perdre un temps précieux et avoir du mal à se relever. Le plan doit définir clairement les rôles et responsabilités en cas d’incident, afin de minimiser les dégâts et reprendre rapidement les activités. Si la panique gagne l’équipe dirigeante, les pirates auront le champ libre pour étendre leur emprise.

L’entreprise dispose-t-elle d’une liste d’actifs? A-t-elle mis en place des systèmes pour détecter un problème en temps réel? Peut-elle compter sur une personne joignable 24h sur 24 en cas de problème? C’est le type de questions qu’il est important se poser.

Enfin, il reste un volet important à anticiper: la reprise à la suite d’une attaque. Qu’est-ce qui doit être redémarré en priorité une fois le pire passé? La production? Les ressources humaines? Quel protocole adopter pour assurer une décontamination totale? Tous ces aspects doivent être abordés dans l’élaboration d’un plan de continuité d’affaires.

Des coûts très variables

 De cette préparation dépend la durée à retrouver une activité normale, et par conséquent, le coût de l’attaque. Le sondage suggère que les PME ayant subi un incident se sont remises rapidement (moins d’une semaine dans 76 % des cas pour l’incident le plus récent), mais ce résultat reflète sans doute la part importante des tentatives de fraude par courriel dans le total des réponses.

Dès lors qu’une attaque fait des dégâts, le retour à la normal prend souvent plus de deux mois. Il en est de même pour les coûts. Il n’est pas rare de voir des factures à six, voire sept chiffres, surtout si l’entreprise fait appel à des gestionnaires de crise ou des avocats.

Graphique 3: Quels ont été les impacts de l'incident de cybersécurité le plus récent sur votre entreprise?

Agrandir l'image
Parmi les PME ayant subi un incident de cybersécurité, 41 % déclarent que cela a perturbé leurs activités, 23 % déclarent que cela a augmenté les coûts de sécurité, 20 % déclarent que cela a entraîné des dépenses imprévues importantes, 11 % déclarent que cela a nui à leur réputation, 7 % déclarent que cela a entraîné la perte de données sensibles, 5 % la perte de clients, 4 % déclarent que cela a augmenté les primes d'assurance, 4 % déclarent qu'elles ont dû respecter des obligations légales ou réglementaires en conséquence, 2 % disent que cela a eu d'autres impacts, 43 % disent que cela n'a eu aucun impact.

Base: Les personnes ayant subi un incident de cybersécurité (n=364). Les personnes qui ne savaient pas ont été exclues de la base de calcul. Les mentions multiples étant autorisées, le total dépasse 100 %.

Source: BDC

Quelle que soit la sévérité de l’incident, cette enquête nous rappelle que les cyberattaques font désormais partie de la réalité entrepreneuriale. Il n’y a pas de honte à en parler, au contraire: témoigner permet à toutes les sociétés de devenir plus vigilantes. Assurer la pérennité de son entreprise, c’est aussi ne jamais tenir sa sécurité informatique pour acquise.

Prochaine étape

Nous pouvons vous aider à élaborer un plan de continuité des affaires pour veiller à ce que votre entreprise demeure résiliente. Nous pouvons aussi vous aider à instaurer les meilleures pratiques pour la protection de votre entreprise contre les cyberattaques. Communiquez avec nous si vous souhaitez en savoir plus.

Note: Le sondage a eu lieu en ligne en septembre 2024, auprès de propriétaires d’entreprises ou personnes responsables de la prise de décisions d’affaires, membres du panel en ligne Points de vue BDC.

Votre vie privée

BDC utilise des témoins de navigation (cookies) pour améliorer votre expérience sur son site et à des fins publicitaires, pour vous offrir des produits ou des services qui sont pertinents pour vous. En cliquant sur «J’ai compris» ou en poursuivant votre navigation sur ce site, vous consentez à leur utilisation.

Pour en savoir plus, consultez notre Politique de confidentialité.