En dépit des récentes attaques informatiques et des fuites de données du secteur bancaire exposant la profonde vulnérabilité des organisations, les entreprises canadiennes ne semblent pas ressentir l’urgence de se protéger et d’assurer la sécurité de leurs données. En effet, la moitié des entreprises n’a pas cru bon resserrer ses pratiques dans la foulée des fuites qui ont ébranlé le secteur financier. Ces constats et plusieurs autres se dégagent de la quatrième édition du portrait des TI NOVIPRO/Léger, qui dresse un bilan de l’état des technologies (TI) dans les moyennes et grandes entreprises canadiennes en 2019.
« Globalement, l’étude démontre que les organisations réalisent davantage les risques associés à la sécurité informatique », souligne Yves Paquette, co-fondateur et président de NOVIPRO. « Mais il ne suffit pas de juste en être conscient; il faut aussi poser des actions concrètes pour se prémunir contre toutes formes d’attaques. Et cette responsabilité n’incombe pas uniquement aux équipes TI, elle doit être une priorité constante de tous les décideurs. »
« Les entreprises pensent à tort être bien préparées pour faire face aux enjeux de sécurité », affirme Foutse Khomh, professeur agrégé au département de génie informatique et génie logiciel de Polytechnique Montréal. « Elles semblent cantonner les problèmes de sécurité à une question d’infrastructures. Une approche holistique serait clairement plus efficace. Les enjeux de sécurité doivent être pris en compte tout au long du cycle de développement, de la mise en production jusqu’à l’utilisation des systèmes informatiques. »
Hausse des attaques
Plus d’une organisation sur trois (37 %) déclare avoir été attaquée dans la dernière année; une augmentation notable comparativement aux 28 % de l’année précédente. Questionnés sur l’origine de ces assauts informatiques, 36 % des répondants indiquent qu’elle provient de partenaires, fournisseurs ou clients, 32 % d’une ressource interne (employés) et 30 % d’une menace externe, sans liens avec l’entreprise.
« Le danger provenant de l’interne est bien réel, mais il est souvent non intentionnel; il résulte d’un manque de formation des employés à détecter les risques potentiels », explique Éric Cothenet, directeur, solutions technologiques chez NOVIPRO. « Les entreprises auraient avantage à se doter de méthodes de gouvernance et de processus solides pour sensibiliser leurs ressources quant aux lourdes conséquences liées à leur possible négligence. »
Transparence déficiente
À peine 38 % des entreprises communiqueraient avec leurs clients en cas de cyberattaque, une baisse notable par rapport à 2018 (49 %). Cette donnée est préoccupante sachant que 61 % des organisations détiennent des données sensibles sur leur clientèle. Des failles importantes sont aussi révélées dans cette étude. En effet, moins de la moitié des entreprises s’estiment très bien protégées contre la perte de données (46 %), l’intrusion (44 %) ou les virus (45 %).
Croissance modérée de l’intelligence artificielle
Alors qu’en 2018 les entreprises manifestaient un engouement marqué pour l’intelligence artificielle (IA), on enregistre une progression beaucoup plus modérée en 2019. Un peu plus d’une entreprise sur trois (36 % contre 34 % l’année dernière) souhaite investir dans cette technologie d’ici deux ans. Ce pourcentage, identique au Québec, doit toutefois être nuancé selon Éric Cothenet. « Les entreprises utilisent plus qu’elles ne le pensent en IA », soutient-il. « La cybersécurité est l’enjeu de l’heure et la majorité des outils pour lutter contre les attaques informatiques sont propulsés par ces technologies. »
Il apparaît clairement que les moyennes et grandes entreprises canadiennes accordent une importance grandissante aux TI. En 2016, une entreprise sur cinq (20 %) considérait ses infrastructures technologiques avant-gardistes, la proportion atteint maintenant 41 %. De plus, pour la première fois, les solutions de sécurité sont la priorité (42 %) au chapitre des investissements technologiques projetés, et ce, devant les solutions d’infrastructures (40 %). La perception des TI au sein des entreprises canadiennes a, quant à elle, évolué depuis les quatre dernières années, mais elle demeure stable. Majoritairement associées à un investissement en 2016 (47 %), les TI grimpent maintenant au rang de partenaire stratégique (41 %).
« Les entreprises doivent cesser de voir la protection des actifs informationnels comme un coût irrécupérable; il s’agit plutôt d’un investissement stratégique qui contribue à l’atteinte de leurs objectifs d’affaires », déclare Alina Dulipovici, professeure agrégée du département des technologies de l’information de HEC Montréal. « De plus, les entreprises auraient intérêt à agir davantage pour permettre à leurs employés et même à leurs partenaires d’affaires de devenir des maillons forts dans la chaîne de protection de l’actif informationnel en les sensibilisant aux risques de sécurité. »