Cybersécurité au Québec : un retard à combler, mais des signes encourageants
Devolutions|Mis à jour le 12 juin 2024En 2023, Devolutions a réalisé une étude sur la sécurité informatique chez les PME québécoises. Celle-ci a été effectuée en simultané à l’international, ce qui a permis de comparer les données. Ainsi, Devolutions a pu constater qu’un écart est encore observable entre les pratiques en sécurité informatique des entreprises québécoises et celles à l’international. Et bien qu’elle soit sur la bonne voie, la province accuse toujours un retard. Avec une partie des nouvelles dispositions législatives de la Loi 25 entrées en vigueur le 22 septembre 2022, les PME ont tout intérêt à se doter d’outils afin de s’y conformer, puisqu’à partir de septembre 2024, les entreprises fautives pourront être pénalisées.
En réalisant ses études, Devolutions a pu remarquer les différences entre les entreprises d’ici et d’ailleurs. « Notre force, c’est d’avoir une vision à 360 degrés. Depuis cette année, on peut comparer les données; l’année dernière, on pouvait seulement illustrer des tendances. Effectuer les études simultanément au Québec et à l’international nous permet de dresser un portrait juste de la situation », explique David Hervieux, président de Devolutions.
Les statistiques issues de l’étude parlent d’elles-mêmes. D’entrée de jeu, à peine 29 % des entreprises allouent la part recommandée de leur budget à la cybersécurité, soit entre 7 et 14 %. En revanche, 27 % d’entre elles consacrent moins de 5 % de leur budget TI à la cybersécurité. Sur le plan international, ce pourcentage s’élève à 51 %.
De plus, seulement 20 % des entreprises participantes qualifient d’excellent leur degré de protection contre les cyberattaques. Par ailleurs, les deux formations les plus populaires chez les répondants portent respectivement sur la sécurité des mots de passe (68 %) et sur l’hameçonnage (70 %).
Fait à souligner : seulement 12 % des entreprises québécoises ont une solution de gestion des accès privilégiés (PAM) en place, comparativement à 20 % à l’international. Une solution PAM est une technologie capable de découvrir, de signaler et de gérer activement les comptes privilégiés sur plusieurs systèmes, périphériques réseau et applications. Globalement, elle permet d’octroyer l’accès aux comptes privilégiés et aux privilèges selon des politiques définies.
Toujours selon l’étude, à peine 25 % des entreprises québécoises se disent prêtes à répondre aux exigences de la Loi 25. Les autres participants indiquent être en train de se préparer, ne pas avoir les informations nécessaires ou ignorer le coût ou le temps requis pour s’y conformer.
Également appelée la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, celle-ci a été adoptée en septembre 2021 et ses nouvelles dispositions sont entrées en vigueur en septembre 2022. Cette loi régit la protection des renseignements personnels au Québec et apporte des modifications notables à la législation de la province en la matière. Celle-ci suit essentiellement le modèle des exigences européennes.
« Les résultats de l’étude ne m’étonnent pas, car ça fait des années qu’on est en retard au Québec. Le Règlement général sur la protection des données (RGPD), l’équivalent européen de la Loi 25, est entré en vigueur en 2018. Il faut aussi reconnaître qu’aux États-Unis et en Allemagne, par exemple, la protection de la vie privée et des données confidentielles est très ancrée dans la culture, ce qui n’est pas le cas ici », affirme David Hervieux.
Pour se conformer à la Loi 25, les entreprises doivent suivre de nouvelles mesures. Parmi celles-ci, on retrouve l’obligation de désigner une personne responsable de la protection des renseignements personnels et de publier son titre et ses coordonnées sur le site Web de l’entreprise. De plus, en cas d’incident de confidentialité, des mesures doivent être prises rapidement afin de diminuer le risque qu’un préjudice soit causé aux personnes affectées.
Prévention des cybermenaces
Ce n’est pas un secret : les attaques informatiques sont en hausse, et les méthodes employées par les pirates sont de plus en plus sophistiquées. « Avant, les histoires de vols de données étaient des anecdotes. Aujourd’hui, c’est un fléau. Pratiquement tout le monde connaît quelqu’un à qui c’est arrivé », déplore M. Hervieux.
Celui-ci rappelle au passage que dans la majorité des entreprises, les responsables des TI ont tous les pouvoirs et connaissent les mots de passe des employés. Les PME québécoises devraient rapidement prendre conscience qu’il y a des étapes à franchir pour assurer leur sécurité et établir un plan en conséquence.
Pour protéger les données des PME et prévenir les menaces, Devolutions propose notamment des solutions telles que la gestion des accès à distance et des mots de passe. Celles-ci permettent de rehausser leur productivité et d’améliorer leur cybersécurité tout en se conformant à la Loi 25. « C’est d’autant plus important en sachant que les compagnies d’assurances refusent d’assurer les PME dont la cybersécurité n’est pas adéquate », ajoute M. Hervieux.
Seconde édition de l’ITSec
Les 1er et 2 juin 2023, Devolutions a tenu son 2e sommet de la sécurité ITSec. Parallèlement aux évènements destinés aux experts en cybersécurité, ITSec vient combler un vide en s’adressant à des techniciens et à des gestionnaires en TI qui travaillent sur le terrain. Ayant doublé le nombre de conférences et accueilli deux fois plus de participants qu’en 2022, le sommet a connu un franc succès. L’ITSec aura de nouveau lieu en 2024. Pour en savoir plus sur cette 3e édition, visitez le site Web https://it-sec.ca/.
« Bien qu’il y ait du retard au Québec en matière de cybersécurité, il y a une lueur d’espoir. Les PME sont beaucoup plus sensibilisées et ont plus d’ouverture pour discuter de ces enjeux. La Loi 25 apporte aussi de belles possibilités », conclut David Hervieux.
Apprenez-en plus sur les solutions de Devolutions destinées aux professionnels des TI en visitant le www.devolutions.net/fr.