Malgré les fuites de renseignements personnels qui défraient régulièrement la chronique et bouleversent la vie des citoyens, le Canada semble en retard sur le reste du monde quant à l’implication des conseils d’administration des entreprises dans l’analyse de la cybersécurité et dans l’établissement des stratégies à adopter, suggère un sondage d’Ernst & Young (EY).

Réalisé d’août à octobre 2019, l’enquête indique que 21 % des répondants canadiens estiment que le conseil de leur entreprise comprend « la façon de bien évaluer les risques » liés à la cybersécurité, comparativement à 48 % à l’échelle mondiale. Par ailleurs, 34 % des répondants canadiens affirment que leur entreprise n’a « pas défini [son] risque lié à la cybersécurité », par rapport à 16 % pour l’ensemble des pays sondés ; et 42 % des répondants du monde ont dit que le conseil a participé à l’approbation de la stratégie et du budget de la sécurité, contre 15 % au Canada.

Il faut noter que le sondage a récolté l’avis de 1300 personnes dans le monde (dirigeants, responsables des technologies, etc.), avec un échantillon canadien limité à 47 personnes. Cela dit, comment expliquer un tel décalage entre le Canada et ce qui s’observe dans d’autres pays ? « C’est une question que même nous avons de la difficulté à comprendre », a reconnu en entrevue le leader de la cybersécurité d’Ernst & Young au Québec, Nicola Vizioli. « Je pense que la société canadienne vit les mêmes risques que le reste. On dirait toutefois que les investissements sont plus accélérés dans d’autres pays, comme aux États-Unis et en Europe. On suit avec six mois ou un an de retard au chapitre de l’investissement. »

Afin d’augmenter l’échantillon des réponses récoltées, EY compte modifier le moment où le sondage, d’une durée d’une heure et demie, est envoyé aux répondants canadiens potentiels pour éviter qu’il concorde directement avec la période de vacances. Aussi, a dit M. Vizioli, il peut arriver que des firmes hésitent à répondre, dans la mesure où la cybersécurité est un sujet délicat.

Face à la prolifération de vols de données qui ont touché les grandes et les plus petites organisations, les chiens de garde de la protection de la vie privée demandent depuis plusieurs années un resserrement majeur des mesures législatives au Canada, y compris la mise en application de pénalités claires pour les entreprises négligentes. L’Europe est souvent érigée en modèle à suivre, ses autorités n’hésitant pas à imposer des amendes importantes aux compagnies ayant subi des fuites des informations de leurs clients.

S’il voulait stimuler les investissements en protection des données, le gouvernement pourrait donner du mordant à ses lois, ce qui responsabiliserait les dirigeants, a dit M. Vizioli. « Avant la COVID-19, on en parlait, mais la discussion a été mise de côté. Or même avec la COVID-19, il faudrait accélérer le resserrement des lois. Si on veut bien faire, il va falloir s’aligner sur les normes européennes et d’autres pays. »

« Quand on développe un portail ou une application pour un client, il y a plusieurs raisons d’incorporer la sécurité au départ », dit Micho Schumann, consultant en cybersécurité. « Si on est rendu à la fin et qu’on n’y a pas pensé, ce sont probablement des coûts supplémentaires, car il faut changer des choses, retourner en arrière, etc. » Depuis quelques années, les grandes entreprises sont de plus en plus nombreuses à se doter d’un chef de la sécurité de l’information, selon M. Schumann. La pratique s’étend même au monde municipal, par exemple. La Ville de Montréal a créé ce poste en 2017.