Enquête canadienne sur la cybersécurité et le cybercrime - 2022

Information pour le répondant

Renseignements supplémentaires

Les renseignements que vous fournissez pourraient aussi être utilisés par Statistique Canada à d'autres fins statistiques et de recherche. Votre participation à cette enquête est requise en vertu de la Loi sur la statistique.

Autorité

Ces données sont recueillies en vertu de la Loi sur la statistique, Lois révisées du Canada (1985), chapitre S-19.

Confidentialité

La loi interdit à Statistique Canada de divulguer tout renseignement recueilli qui permettrait de dévoiler l'identité d'une personne, d'une entreprise ou d'un organisme, à moins d'avoir obtenu son consentement ou d'en être autorisé par la Loi sur la statistique. Statistique Canada utilisera les données de cette enquête à des fins statistiques.

Entente de partage de données

Afin de réduire le fardeau des répondants, Statistique Canada a conclu des ententes de partage de données avec des organismes statistiques provinciaux et territoriaux ainsi qu'avec d'autres organismes gouvernementaux, qui ont accepté de protéger la confidentialité des données et de les utiliser uniquement à des fins statistiques. Statistique Canada partagera les données tirées de cette enquête uniquement avec les organismes ayant démontré qu'ils avaient besoin de les utiliser.

L'article 11 de la Loi sur la statistique permet le partage de données avec des organismes statistiques provinciaux et territoriaux qui satisfont à certains critères. Ces organismes doivent détenir l'autorisation légale de recueillir les mêmes données, dont la remise est obligatoire, et les lois en vigueur doivent contenir essentiellement les mêmes dispositions que la Loi sur la statistique en ce qui a trait à la confidentialité et aux sanctions imposées en cas de divulgation de renseignements confidentiels. Comme ces organismes possèdent l'autorisation légale d'obliger les entreprises à fournir les mêmes données, on ne demande pas le consentement des entreprises concernées et celles-ci ne peuvent pas s'opposer au partage des données.

Pour cette enquête, des ententes ont été conclues en vertu de l'article 11 avec les organismes statistiques provinciaux et territoriaux de Terre-Neuve-et-Labrador, de la Nouvelle-Écosse, du Nouveau-Brunswick, du Québec, de l'Ontario, du Manitoba, de la Saskatchewan, de l'Alberta, de la Colombie-Britannique et du Yukon.

Les données partagées seront limitées aux renseignements relatifs aux établissements commerciaux situés dans la province ou le territoire en question.

L'article 12 de la Loi sur la statistique prévoit le partage de données avec des organismes gouvernementaux fédéraux, provinciaux ou territoriaux. En vertu de l'article 12, vous pouvez refuser que vos données soient transmises à l'un ou l'autre de ces organismes. Pour ce faire, veuillez écrire une lettre d'objection au statisticien en chef, dans laquelle vous spécifierez les organismes avec lesquels vous refusez que Statistique Canada partage vos données. Veuillez nous faire parvenir cette lettre à l'adresse suivante :

Statisticien en chef du Canada

Statistique Canada

À l'attention du Directeur, Division des investissements, science et technologie

150, promenade Tunney's Pasture
Ottawa (Ontario) K1A 0T6

Vous pouvez aussi communiquer avec nous par courriel à statcan.istdinformation-distinformation.statcan@statcan.gc.ca.

Pour cette enquête, des ententes ont été conclues en vertu de l'article 12 avec des organismes statistiques de l'Île-du-Prince-Édouard, des Territoires du Nord-Ouest et du Nunavut, ainsi qu'avec Sécurité publique Canada.

Dans le cas des ententes conclues avec des organismes gouvernementaux provinciaux et territoriaux, les données partagées seront limitées aux renseignements relatifs aux établissements commerciaux situés dans la province ou le territoire en question.

Couplage d'enregistrement

Afin d'améliorer la qualité des données tirées de cette enquête et de réduire le fardeau des répondants, Statistique Canada pourrait combiner les renseignements recueillis avec ceux provenant d'autres enquêtes ou de sources administratives.

Directives générales

Pour ce questionnaire :

Veuillez remplir ce questionnaire pour les activités canadiennes de cette organisation.

Instructions de déclaration :

  • Déclarez les montants en dollars canadiens.
  • Déclarez les montants arrondis au dollar le plus proche.
  • Si les chiffres exacts ne sont pas disponibles, fournir votre meilleure estimation possible.
  • Inscrivez « 0 » s'il n'y a aucune valeur à déclarer.

Caractéristiques de l'organisation

Caractéristiques de l'organisation - Identificateur de question : 1

Lesquels des éléments suivants sont actuellement utilisés par votre organisation?

Sélectionnez tout ce qui s'applique.

  • Site Web pour votre organisation
  • Comptes de médias sociaux pour votre organisation
  • Plateformes et solutions de commerce électronique
  • Applications Web
  • Logiciels libres
  • Services infonuagiques ou services de stockage de données en nuage
  • Appareils intelligents connectés à l'Internet ou Internet des objets (IdO)
  • Intranet
  • Technologies de la chaîne de blocs
  • Services de voix sur protocole Internet (VoIP)
  • OU
  • L'organisation n'utilise aucune des éléments ci-dessus

Caractéristiques de l'organisation - Identificateur de question : 2

Quel type de données votre organisation conserve-t-elle dans des services infonuagiques ou des services de stockage de données en nuage? Inclure les données qui sont sauvegardées. Sélectionnez tout ce qui s'applique.

  • Renseignements confidentiels sur les employés
  • Renseignements confidentiels concernant les clients, les fournisseurs ou les partenaires
  • Renseignements confidentiels sur votre organisation
  • Renseignements commerciaux de nature délicate
  • Renseignements de nature non délicate ou information publique
  • OU
  • L'organisation ne conserve pas de données dans des services infonuagiques ou des services de stockage de données en nuage

Caractéristiques de l'organisation - Identificateur de question : 3

Est-ce que quelqu'un dans votre organisation utilise des dispositifs personnels, comme des téléphones intelligents, des tablettes, des ordinateurs portatifs ou des ordinateurs de bureau pour mener des activités reliées au travail régulières?

Inclure les dispositifs qui sont subventionnés par l'organisation.

  • Oui
  • Non
  • Ne sais pas

Environnement de cybersécurité

Environnement de cybersécurité - Identificateur de question : 4

Lesquelles des mesures de cybersécurité suivantes sont actuellement en place dans votre organisation? Inclure les mesures de sécurité sur place et externes, y compris celles fournies par des sociétés mères ou d'autres tiers externes (p. ex. Services partagés Canada, Secrétariat du Conseil du Trésor du Canada). Sélectionnez tout ce qui s'applique.

  • Sécurité mobile
  • Logiciels contre les programmes malveillants pour protéger contre les virus, les espiogiciels, les rançongiciels, etc.
  • Sécurité Web
  • Sécurité des courriels
  • Sécurité des réseaux
  • Protection et contrôle des données
  • Sécurité aux points de vente (PDV)
  • Sécurité logicielle et des applications
  • Sécurité relative au matériel et à la gestion des actifs
  • Sécurité relative à la gestion de l'accès et de l'identité
  • Contrôles de l'accès physique
  • OU
  • L'organisation n'a pas de mesures de cybersécurité en place
  • OU
  • Ne sais pas

Environnement de cybersécurité - Identificateur de question : 5

L'une des organisations mères ou tiers externes suivantes ont-elles exigé que votre organisation mette en œuvre certaines mesures de cybersécurité?

Sélectionnez tout ce qui s'applique.

  • Fournisseur de biens matériels
  • Fournisseur de biens ou de services numériques
  • Fournisseur d'autres services non numériques
  • Client
  • Partenaire
  • Organisme de réglementation canadien
  • Norme de cybersécurité ou un programme de certification en matière de cybersécurité
  • Ministre, partenaire ou fournisseur du gouvernement fédéral
  • Fournisseur de l'assurance contre les cyberrisques
  • OU
  • Aucune de ces réponses

Environnement de cybersécurité - Identificateur de question : 6

Combien d'employés de votre organisation s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles?

Inclure tous les employés à temps partiel et à temps plein. Les exemples de tâches à compléter par les employés peuvent inclure :

  • gérer, évaluer ou améliorer la sécurité des réseaux, de la présence sur le Web, des systèmes de messagerie électronique ou des dispositifs
  • apporter des correctifs aux logiciels ou aux systèmes d'exploitation utilisés pour des raisons de sécurité
  • accomplir des tâches liées aux mesures de rétablissement à la suite des incidents de cybersécurité.

Exclure les personnes qui sont employés par une société mère, ou les experts-conseils ou entrepreneurs en TI externes.

Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation.

  • Un employé
  • Deux à cinq employés
  • 6 à 15 employés
  • Plus de 15 employés
  • Aucun
  • Ne sais pas

Environnement de cybersécurité - Identificateur de question : 7

Quelles sont les principales raisons pour lesquelles votre organisation ne compte aucun employé qui s'occupe de tâches liées à la cybersécurité dans le cadre de ses responsabilités habituelles? Sélectionnez tout ce qui s'applique.

  • L'organisation a recours à des experts-conseils ou à des entrepreneurs du secteur privé pour surveiller la cybersécurité
  • L'organisation a recours à des experts-conseils ou à des entrepreneurs du secteur public pour surveiller la cybersécurité
  • L'organisation a une assurance contre cyberrisques
  • L'organisation est en voie de recruter un employé spécialisé en cybersécurité
  • L'organisation est incapable de trouver un employé spécialisé en cybersécurité ayant les qualifications adéquates
  • L'organisation n'a pas les ressources pour embaucher un employé spécialisé en cybersécurité
  • La cybersécurité ne représente pas un risque élevé pour l'organisation

Environnement de cybersécurité - Identificateur de question : 8

Quel pourcentage des employés de votre organisation qui s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles s'identifient aux genres suivants? Le genre fait référence au genre actuel, qui peut être différent du sexe attribué à la naissance et de ce qui figure dans les documents juridiques.

Exclure les personnes qui sont employés par une société mère, ou les experts-conseils ou entrepreneurs en TI externes.

Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation.

  • Femme
  • Homme
  • Autre genre

Environnement de cybersécurité - Identificateur de question : 9

Votre organisation a-t-elle communiqué des pratiques exemplaires ou des renseignements généraux sur les risques pour la cybersécurité à vos employés en 2022?

Inclure le partage d'information au moyen des courriels, des babillards et des séances d'information générale sur des sujets se rapportant aux points suivants :

  • reconnaître et éviter les arnaques par courriel
  • importance de la complexité des mots de passe et des techniques de sécurité de base
  • sécuriser votre navigateur Web et avoir des pratiques de navigation Web sécuritaires
  • éviter les attaques d'hameçonnage
  • reconnaître et éviter les espiogiciels.
  1. Renseignements communiqués au personnel interne de la TI
  2. Renseignements communiqués à d'autres employés
    • Oui
    • Non
    • Sans objet
    • Ne sais pas

Environnement de cybersécurité - Identificateur de question : 10

Votre organisation a-t-elle offert une formation officielle pour développer ou mettre à jour les compétences liées à la cybersécurité de vos employés ou de vos intervenants en 2022? Inclure la formation offerte par des sociétés mères ou d'autres sources externes.

  1. Formation offerte au personnel interne de la TI
  2. Formation offerte aux autres employés
  3. Formation offerte aux intervenants, comme les fournisseurs, les clients ou les partenaires
    • Oui
    • Non
    • Sans objet
    • Ne sais pas

Environnement de cybersécurité - Identificateur de question : 11

Quelles sont les trois principales raisons expliquant les dépenses en temps ou en argent de votre organisation pour des mesures de cybersécurité ou la formation en cybersécurité? Sélectionnez jusqu'à trois.

  • Permettre aux employés de travailler à distance en toute sécurité
  • Protéger la réputation de l'organisation
  • Protéger les renseignements personnels des employés, des fournisseurs, des clients ou des partenaires
  • Protéger les secrets commerciaux et la propriété intellectuelle
  • Se conformer aux lois, aux règlements, aux contrats ou aux autres organisations gouvernementaux
  • L'organisation a déjà subi un incident de cybersécurité
  • Éviter les temps d'arrêt et les pannes informatiques
  • Empêcher la fraude et le vol
  • Garantir la continuité des activités de l'organisation
  • OU
  • L'organisation ne dépense pas de temps ou d'argent sur des mesures de cybersécurité ou une formation en cybersécurité

État de préparation en matière de cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question : 12

Lesquelles des dispositions suivantes en matière de gestion des risques sont actuellement appliquées par votre organisation? Sélectionnez tout ce qui s'applique.

  • Une politique écrite en place pour la gestion des risques internes liés à la cybersécurité
  • Une politique écrite en place pour la gestion des risques liés à la cybersécurité associés aux partenaires de la chaîne d'approvisionnement
  • Une politique écrite en place pour signaler des cyberincidents
  • Un autre type de politique écrite liée à la cybersécurité est en place
  • Un plan de continuité des activités ou des affaires (PCA) intégrant des processus pour la gestion des cybermenaces, des vulnérabilités et des risques
  • Employés chargés d'assurer la surveillance des risques et des menaces pour la cybersécurité
  • Membres de la haute direction chargés d'assurer la surveillance des risques et des menaces pour la cybersécurité
  • Un expert-conseil ou entrepreneur pour gérer les risques et les menaces pour la cybersécurité
  • Application de correctifs ou mises à jour visant à améliorer la sécurité des systèmes d'exploitation tous les mois ou plus fréquemment
  • Application de correctifs ou mises à jour visant à améliorer la sécurité des logiciels tous les mois ou plus fréquemment
  • Une assurance contre les cyberrisques
  • OU
  • L'organisation n'applique aucune disposition en matière de gestion des risques pour la cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question : 13

Lesquels des éléments suivants sont couverts par votre police d'assurance contre les cyberrisques? Sélectionnez tout ce qui s'applique.

  • Pertes directes par suite d'un incident
  • Frais de restauration des logiciels, du matériel et des données électroniques
  • Interruption des activités (perte de temps de production) et perte de réputation
  • Responsabilité envers les tiers
  • Pertes financières
  • Mesure corrective pour les infractions à la sécurité et frais de notification
  • Demandes d'indemnisation des employés

État de préparation en matière de cybersécurité - Identificateur de question : 14

Avant de répondre à cette enquête, connaissiez-vous des normes de cybersécurité ou des programmes de certification en matière de cybersécurité auxquels les organisations peuvent s'inscrire?

Inclure :

  • les normes et les programmes canadiens, étrangers et internationaux
  • les normes et les programmes que vous connaissiez, mais auxquels votre organisation n'était pas admissible ou ne s'est pas inscrite.

Sélectionnez tout ce qui s'applique.

  • Normes de cybersécurité
    • Précisez les normes que vous connaissiez
  • Programmes de certification en matière de cybersécurité
    • Précisez les programmes de certification que vous connaissiez
  • OU
  • Ne connaissait aucune norme de cybersécurité ni aucun programme de certification

État de préparation en matière de cybersécurité - Identificateur de question : 15

Lesquelles des activités suivantes votre organisation mène-t-elle pour identifier les risques à la cybersécurité? Sélectionnez tout ce qui s'applique.

  • Surveillance du comportement des employés
  • Surveillance du réseau et des systèmes d'organisation
  • Une évaluation formelle des risques en matière de cybersécurité, par un employé
  • Une évaluation formelle des risques en matière de cybersécurité, par une société mère ou un autre tiers externe
  • Tests d'intrusion, par un employé
  • Tests d'intrusion, par une société mère ou un autre tiers externe
  • Évaluation de la sécurité des appareils intelligents connectés à Internet ou des dispositifs de l'Internet des objets (IdO)
  • Investissement dans le domaine du renseignement sur les menaces
  • Vérification complète des systèmes de la TI, par une société mère ou un autre tiers externe
  • L'organisation mène d'autres activités pour identifier les risques pour la cybersécurité
  • OU
  • L'organisation ne mène pas d'activités pour identifier les risques pour la cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question : 16

À quelle fréquence votre organisation mène-t-elle des activités pour identifier les risques pour la cybersécurité? Sélectionnez tout ce qui s'applique.

  • Selon un horaire précis
  • Lorsque survient un incident de cybersécurité
  • Lorsqu'une nouvelle initiative ou un nouveau projet en TI est lancé
  • De façon irrégulière

État de préparation en matière de cybersécurité - Identificateur de question : 17

À quelle fréquence la haute direction de votre organisation reçoit-elle une mise à jour sur les mesures prises concernant la cybersécurité?

Sélectionnez tout ce qui s'applique.

  • Selon un horaire précis
  • Lorsque survient un incident de cybersécurité
  • Lorsqu'une nouvelle initiative ou un nouveau projet en TI est lancé
  • La haute direction dispose d'outils qui lui permettent d'assurer le suivi des questions relatives à la cybersécurité
  • La haute direction reçoit une mise à jour de façon irrégulière
  • OU
  • La haute direction ne reçoit pas de mise à jour sur les problèmes de cybersécurité

Résilience de l'organisation

Résilience de l'organisation - Identificateur de question : 18

Quels trois des risques ou des menaces suivants pour la cybersécurité estimez-vous comme étant les plus nuisibles pour votre organisation? Sélectionnez jusqu'à trois.

  • Vol ou atteinte à l'intégrité des logiciels ou du matériel
  • Accès aux données non autorisé, manipulation inappropriée et vol de données
  • Vol d'identité
  • Arnaques et fraudes
  • Utilisation inappropriée des ordinateurs ou du réseau
  • Attaques de logiciels malveillantes
  • Déni de service (DoS) ou déni de service distribué (DDoS)
  • Perturbation ou défiguration de la présence Web
  • Atteinte à la réputation ou une érosion de confiance du public

Résilience de l'organisation - Identificateur de question : 19

Quel est l'état de préoccupation de votre organisation à l'égard de sa vulnérabilité aux futurs risques et menaces pour la cybersécurité?

  • Extrêmement préoccupé
  • Très préoccupé
  • Moyennement préoccupé
  • Légèrement préoccupé
  • Pas du tout préoccupé

Incidents de cybersécurité

Incidents de cybersécurité - Identificateur de question : 20

Selon vous, lesquels des incidents de cybersécurité suivants ont touché votre organisation en 2022? Sélectionnez tout ce qui s'applique.

  • Incidents pour perturber ou défigurer l'organisation ou sa présence Web
  • Incidents pour voler des renseignements personnels ou financiers
  • Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
  • Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données organisationnelles
  • Incidents pour accéder à des zones d'accès non autorisé ou privilégié
  • Incidents pour surveiller et suivre les activités organisationnelles
  • Incidents sans motif connu
  • OU
  • L'organisation n'a pas été touchée par des incidents de cybersécurité en 2022

Incidents de cybersécurité - Identificateur de question : 21

En 2022, votre organisation a-t-elle été contactée par l'un des sociétés mères ou autres tiers externes suivants au sujet de leurs événements de cybersécurité parce qu'ils pouvaient concerner votre organisation?

Sélectionnez tout ce qui s'applique.

  • Fournisseurs, clients ou partenaires
  • Expert-conseil ou entrepreneur de la TI
  • Personnes ou groupe ayant perpétré les événements
  • Fournisseur d'assurance contre les cyberrisques
  • Services de police
  • Centre canadien pour la cybersécurité (CCC)
  • Commissariat à la protection de la vie privée
  • Organisme de réglementation
  • Une autre organisation gouvernementale
  • Association industrielle
  • Banque ou autre institution financière
  • Fournisseur de logiciels ou de services
  • Autres parties non susmentionnées
  • OU
  • Les sociétés mères ou les autres tiers externes n'ont pas signalé leurs événements de cybersécurité à l'organisation en 2022

Incidents de cybersécurité - Identificateur de question : 22

Vous avez indiqué précédemment que des sociétés mères ou autres tiers externes ont contacté votre organisation au sujet de leurs événements de cybersécurité parce qu'ils auraient pu impliquer votre organisation en 2022. Comment votre organisation a-t-elle traité ces événements de cybersécurité?

Sélectionnez tout ce qui s'applique.

  • Les événements ont été réglés à l'interne
  • Les événements ont été réglés avec la société mère ou l'autre tiers externe
  • Les événements ont été réglés par l'intermédiaire d'un expert-conseil ou entrepreneur de la TI
  • Les événements ont été signalés à un service de police
  • Les événements ont été signalés à d'autres sociétés mères ou d'autres tiers externes
  • L'organisation travaille actuellement avec la société mère ou autre tiers externe pour régler les événements
  • OU
  • Aucune mesure n'a été prise par l'organisation

Coûts liés à la cybersécurité

Coûts liés à la cybersécurité - Identificateur de question : 23

En 2022, quel est le montant total que votre organisation a dépensé pour prévenir ou détecter les incidents de cybersécurité? Exclure les coûts engagés à la suite des incidents de cybersécurité antérieurs (p. ex. les coûts de reprise après des incidents de cybersécurité).

Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation en dollars canadiens.

Entrez « 0 » s'il n'y a aucune valeur à déclarer.

  1. Coût du salaire des employés liée à la prévention ou à la détection
  2. Coût de la formation des employés, des fournisseurs, des clients ou des partenaires
  3. Coût d'embauche d'experts-conseils et d'entrepreneurs en TI
  4. Coût des services juridiques ou de relations publiques (RP)
  5. Coût du logiciel de cybersécurité
  6. Coût du matériel lié à la cybersécurité
  7. Coût annuel de l'assurance contre les cyberrisques ou équivalent
  8. Autres coûts connexes

Coûts liés à la cybersécurité - Identificateur de question : 24

En 2022, combien cela a-t-il coûté en tout à votre organisation pour se remettre des incidents de cybersécurité? Exclure les coûts liés à la prévention et à la détection des incidents de cybersécurité, car ils sont couverts à la question précédente.

Si des chiffres précis ne sont pas disponibles, fournir votre meilleure estimation en dollars canadiens.

Entrez « 0 » s'il n'y a aucune valeur à déclarer.

  1. Coût du salaire des employés pour se remettre des incidents
  2. Coût de la formation des employés, des fournisseurs, des clients ou des partenaires
  3. Coût d'embauche d'experts-conseils et d'entrepreneurs en TI
  4. Coût des services juridiques ou de relations publiques (RP)
  5. Coût des logiciels de cybersécurité nouveaux ou mis à jour
  6. Coût du matériel de cybersécurité nouveau ou mis à jour
  7. Augmentation des coûts de l'assurance contre les cyberrisques ou équivalent
  8. Remboursement à des fournisseurs, à des clients ou à des partenaires
  9. Amendes imposées par des organismes de réglementation ou des autorités
  10. Paiements de rançon
  11. Autres coûts connexes

Conséquences des incidents de cybersécurité

Conséquences des incidents de cybersécurité - Identificateur de question : 25

Selon vous, qui a commis les incidents de cybersécurité en 2022?

Sélectionnez tout ce qui s'applique.

Incidents pour perturber ou défigurer l'organisation ou sa présence Web
Incidents pour voler des renseignements personnels ou financiers
Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données organisationnelles
Incidents pour accéder à des zones d'accès non autorisé ou privilégié
Incidents pour surveiller et suivre les activités organisationnelles
Incidents sans motif connu

  • Un employé d'une société mère ou un autre tiers externe
  • Un employé interne
  • Fournisseur, client ou partenaire
  • OU
  • Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question : 26

Quelle étaient les méthodes utilisée par l'auteur pour compromettre la cybersécurité? Sélectionnez tout ce qui s'applique.

Incidents pour perturber ou défigurer l'organisation ou sa présence Web
Incidents pour voler des renseignements personnels ou financiers
Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données organisationnelles
Incidents pour accéder à des zones d'accès non autorisé ou privilégié
Incidents pour surveiller et suivre les activités organisationnelles
Incidents sans motif connu

  • Exploitation des vulnérabilités des logiciels, du matériel ou des réseaux
  • Piratage ou décodage du mot de passe
  • Vol d'identité
  • Arnaques et fraudes
  • Rançongiciel
  • Autres attaques de logiciels malveillants
  • Déni de service (DoS) ou déni de service distribué (DDoS)
  • Perturbation ou défiguration de la présence Web
  • Abus des privilèges d'accès commis par un employé interne actuel ou ancien
  • Autre
  • OU
  • Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question : 27

Vous avez indiqué précédemment que votre organisation a une assurance contre les cyberrisques. Votre organisation a-t-elle déjà tenté de présenter une demande de règlement d'assurance après les incidents de cybersécurité en 2022? Sélectionnez tout ce qui s'applique.

  • Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'organisation, et la demande a été acceptée
  • Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'organisation, mais la demande a été rejetée
  • Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'organisation, et la demande est toujours en cours
  • OU
  • Non, nous n'avons pas présenté une demande de règlement pour un incident de cybersécurité

Conséquences des incidents de cybersécurité - Identificateur de question : 28

Quelles ont été les répercussions des incidents de cybersécurité sur votre entreprise en 2022?

Sélectionnez tout ce qui s'applique.

  • Pertes de revenus
  • Perte de fournisseurs, de clients ou de partenaires
  • Frais de réparation ou de rétablissement supplémentaires
  • Indisponibilité des ressources ou des services
  • Impossibilité pour les employés d'effectuer leurs tâches quotidiennes
  • Temps supplémentaire nécessaire pour permettre aux employés de faire leur travail quotidien
  • Atteinte à la réputation de l'organisation ou une érosion de confiance du public
  • Amendes imposées par des organismes de réglementation ou des autorités
  • Décourager l'organisation d'effectuer une activité future prévue
  • Incidents mineurs ayant eu une incidence minimale sur l'organisation
  • Autre
  • OU
  • Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question : 29

Environ combien d'heures d'interruption de service votre organisation a-t-elle subies en raison d'incidents liés à la cybersécurité en 2022?

Inclure :

  • le temps d'arrêt total pour les appareils mobiles, les ordinateurs de bureau et les réseaux
  • les périodes pendant lesquelles les activités d'un ou plusieurs employés ou de l'organisation ont été réduites ou pendant lesquelles d'un ou plusieurs employés ou l'organisation ont été inactifs.

Si des chiffres précis ne sont pas disponibles, veuillez inscrire votre meilleure estimation.

  • Heures
  • OU
  • L'organisation n'a pas subi de temps d'interruption en 2022
  • OU
  • Ne sais pas

Rapport d'incident de cybersécurité

Rapport d'incident de cybersécurité - Identificateur de question : 30

Votre organisation a-t-elle signalé des incidents de cybersécurité à un service de police en 2022?

Inclure tous les paliers de services de police, y compris les services fédéraux, provinciaux, territoriaux, municipaux et autochtones.

  • Oui
  • Non
  • Ne sais pas

Rapport d'incident de cybersécurité - Identificateur de question : 31

Lesquels des incidents de cybersécurité suivants votre organisation a-t-elle signalés à un service de police en 2022?

Sélectionnez tout ce qui s'applique.

  • Incidents pour perturber ou défigurer l'organisation ou sa présence Web
  • Incidents pour voler des renseignements personnels ou financiers
  • Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
  • Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données organisationnelles
  • Incidents pour accéder à des zones d'accès non autorisé ou privilégié
  • Incidents pour surveiller et suivre les activités organisationnelles
  • Incidents sans motif connu

Rapport d'incident de cybersécurité - Identificateur de question : 32

Quelles sont les raisons pour lesquelles vous avez signalé les incidents de cybersécurité à un service de police en 2022?

Sélectionnez tout ce qui s'applique.

  • Pour réduire les dommages causés par les incidents
  • Pour que d'autres organisations soient moins susceptibles d'être touchées par le même incident
  • Pour aider à attraper l'auteur ou les auteurs de l'incident
  • Pour répondre aux exigences des clients, des fournisseurs, des organismes de réglementation, des normes de cybersécurité ou des programmes de certification en matière de cybersécurité
  • Autre
    • Précisez d'autres raisons

Rapport d'incident de cybersécurité - Identificateur de question : 33

Quelles étaient les raisons de ne pas signaler certains ou tous les incidents de cybersécurité à un service de police en 2022?

Sélectionnez tout ce qui s'applique.

  • Les incidents ont été réglés à l'interne
  • Les incidents ont été réglés à l'aide d'un expert-conseil ou d'un entrepreneur de la TI
  • Garder la connaissance des incidents en interne
  • Afin de protéger la réputation de l'organisation ou des intervenants
  • Aucune volonté de consacrer plus de temps ou d'argent au problème
  • Le service de police ne considérerait pas les incidents comme étant suffisamment importants
  • Le service de police a fourni des services insatisfaisants dans le passé
  • Ne savions pas à qui ou comment signaler l'incident
  • Le processus de signalement est trop compliqué
  • On doutait que l'auteur soit déclaré coupable ou adéquatement puni
  • Incident mineur ayant eu une incidence minimale sur l'organisation
  • Manque de preuves
  • N'a pas pensé de communiquer avec un service de police
  • OU
  • L'organisation a signalé tous les incidents de cybersécurité à un service de police en 2022

Rapport d'incident de cybersécurité - Identificateur de question : 34

Excluant les services de police, à quelle société mère ou autre tiers externe votre organisation a-t-elle signalé un incident de cybersécurité en 2022? Sélectionnez tout ce qui s'applique.

  • Fournisseurs, clients ou partenaires
  • Expert-conseil ou entrepreneur de la TI
  • Fournisseur d'assurance contre les cyberrisques
  • Centre canadien pour la cybersécurité (CCC)
  • Commissariat à la protection de la vie privée
  • Centre antifraude du Canada (CAFC)
  • Autre ministère ou organisme gouvernemental
  • Organisme de réglementation
  • Association industrielle
  • Banque ou autre institution financière
  • Fournisseur de logiciels ou de services
  • OU
  • : L'organisation n'a pas signalé d'incidents de cybersécurité à une société mère ou d'autres tiers externes en 2022

Rapport d'incident de cybersécurité - Identificateur de question : 35

Quelles étaient les raisons de ne pas signaler certains ou tous les incidents de cybersécurité à une société mère ou un autre tiers externe en 2022? Sélectionnez tout ce qui s'applique.

  • Les incidents ont été signalés à un service de police uniquement
  • Les incidents ont été réglés à l'interne
  • Garder la connaissance des incidents à l'interne
  • Afin de protéger la réputation de l'organisation ou des intervenants
  • Manque de preuves
  • Aucun avantage à signaler
  • Incident mineur ayant eu une incidence minimale sur l'organisation
  • N'a pas pensé de signaler l'incident à une société mère ou un autre tiers externe
  • OU
  • L'organisation a signalé tous les incidents de cybersécurité à une société mère ou d'autres tiers externe en 2022

Rapport d'incident de cybersécurité - Identificateur de question : 36

En réponse à des incidents de cybersécurité survenu en 2022, avec quelles sociétés mères ou tiers externes votre organisation a-t-elle communiqué pour obtenir des renseignements ou des conseils?

Sélectionnez tout ce qui s'applique.

  • Fournisseurs, clients ou partenaires
  • Expert-conseil ou entrepreneur de la TI
  • Fournisseur d'assurance contre les cyberrisques
  • Services juridiques
  • Services de police
  • Centre canadien pour la cybersécurité (CCC): Commissariat à la protection de la vie privée
  • Centre antifraude du Canada (CAFC)
  • Autre ministère ou organisme gouvernemental
  • Organisme de réglementation
  • Association industrielle
  • Banque ou autre institution financière
  • Fournisseur de logiciels ou de services
  • Communauté Internet
  • Famille, amis ou connaissances
  • Atelier de réparation d'ordinateurs
  • OU
  • L'organisation n'a pas consulté de société mère ou de tiers externe en 2022

Avis d'intention d'extraire des données Web

Avis d'intention d'extraire des données Web - Identificateur de question : 37

Quelle est l'adresse du site Web de cette organisation?

Il est possible que nous accédions également au site Web de cette organisation pour chercher d'autres renseignements accessibles au public à l'aide de méthodes automatisées, tout en prenant garde de ne pas entraver le fonctionnement du site Web.

  • Adresse du site Web

Tendances actuelles en matière de cybersécurité

Tendances actuelles en matière de cybersécurité - Identificateur de question : 38

En 2022, quel était le montant total des paiements de rançon effectués par votre organisation?

  • Supérieur à 0 $, mais inférieur ou égal à 10 000 $
  • Supérieur à 10 000 $, mais inférieur ou égal à 50 000 $
  • Supérieur à 50 000 $, mais inférieur ou égal à 100 000 $
  • Supérieur à 100 000 $, mais inférieur ou égal à 250 000 $
  • Supérieur à 250 000 $, mais inférieur ou égal à 500 000 $
  • Plus de 500 000 $
  • L'organisation n'a versé aucune rançon en 2022
  • Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question : 39

En 2022, votre organisation a-t-elle effectué des paiements de rançon en utilisant des cryptomonnaies?

  • Oui
  • Non
  • Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question : 40

En 2022, avec quelles sociétés mères ou tiers externes votre organisation a-t-elle collaboré pour régler des attaques de rançongiciel?

Inclure tous les sociétés mères ou tires externes à qui votre organisation a signalé les attaques de rançongiciel.

Sélectionnez tout ce qui s'applique.

  • Expert-conseil ou entrepreneur de la TI
  • Fournisseur d'assurance contre les cyberrisques
  • Gendarmerie royale du Canada (GRC)
  • Autres services de police
  • Centre canadien pour la cybersécurité (CCC)
  • Centre antifraude du Canada (CAFC)
  • Commissariat à la protection de la vie privée
  • Autres sociétés mères ou tiers externes
  • OU
  • L'organisation n'a collaboré avec aucune société mère ou tiers externe pour régler des attaques de rançongiciel en 2022
  • OU
  • Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question : 41

Pourquoi votre organisation n'a-t-elle pas une assurance contre les cyberrisques?

Sélectionnez tout ce qui s'applique.

  • Les polices d'assurance actuelles de l'organisation couvrent les cyberrisques
  • Le coût d'une assurance contre les cyberrisques est trop élevé
  • Les mesures de cybersécurité actuelles de l'organisation offrent suffisamment de protection pour qu'une assurance contre les cyberrisques ne soit pas nécessaire
  • L'entreprise n'est exposée à aucun cyberrisque
  • L'entreprise n'a pas envisagé d'obtenir une assurance contre les cyberrisques
  • Ne s'applique pas à cette organisation
  • Autres raisons de ne pas avoir d'assurance contre les cyberrisques
  • OU
  • Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question :42

À quels groupes de population les employés spécialisés en cybersécurité de votre entreprise appartiennent-ils?

Sélectionnez tout ce qui s'applique.

  • Blancs
  • Autochtones
  • Minorités visibles
  • OU
  • Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question : 43

Quels sont les plus hauts certificats, diplômes ou grades académiques obtenus par les employés spécialisés en cybersécurité de votre organisation?

Sélectionnez le plus haut certificat, diplôme ou grade académique que chacun de vos employés spécialisés en cybersécurité a obtenu.

  • Niveau inférieur à un diplôme d'études secondaires ou à son équivalent
  • Diplôme d'études secondaires ou une attestation d'équivalence d'un diplôme d'études secondaires
  • Certificat ou diplôme d'une école de métiers
  • Certificat ou diplôme d'un collège, d'un cégep ou d'un autre établissement non-universitaire (autre que les certificats ou diplômes de métiers)
  • Certificat ou diplôme universitaire inférieur au baccalauréat
  • Baccalauréat
  • Certificat, diplôme ou grade universitaire supérieur au baccalauréat
  • OU
  • Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question : 44

Quelles sont les certifications en matière de cybersécurité détenues par les employés spécialisés en cybersécurité de votre organisation?

Inclure les certifications qui ne sont plus actives. Exclure les certificats, diplômes et grades académiques.

Sélectionnez tout ce qui s'applique.

  • Hacker éthique certifié
  • Gestionnaire certifié de la sécurité de l'information
  • Professionnel certifié en systèmes d'information
  • Expert en sécurité GIAC
  • Security+
  • Autres certifications
  • OU
  • Aucune
  • OU
  • Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question : 45

Au moment d'évaluer un nouvel employé potentiel spécialisé en cybersécurité, quelle qualification est-elle la plus importante pour votre organisation?

  • Expérience de travail en cybersécurité
  • Certificats, diplômes ou grades universitaires liés à la cybersécurité
  • Certifications en matière de cybersécurité
  • Autre formation en matière de cybersécurité
  • Autres qualifications
    • Précisez les autres qualifications (zone de texte)
  • L'organisation n'a jamais tenté d'embaucher un employé spécialisé en cybersécurité
  • Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question : 46

En 2022, votre organisation a-t-elle eu de la difficulté à trouver des employés qualifiés en cybersécurité ou à maintenir en poste ses employés spécialisés en cybersécurité?

Sélectionnez tout ce qui s'applique.

  • Difficulté à trouver des employés qualifiés en cybersécurité
  • Difficulté à maintenir en poste les employés spécialisés en cybersécurité
  • OU
  • L'organisation n'a eu aucune difficulté à trouver ou à maintenir en poste des employés qualifiés en cybersécurité en 2022
  • OU
  • Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question : 47

À quels défis votre organisation a-t-elle dû faire face au moment d'embaucher des employés spécialisés en cybersécurité en 2022?

Sélectionnez tout ce qui s'applique.

  • Manque de compétences des candidats
  • Manque d'expérience des candidats
  • Demandes trop exigeantes en matière de salaire
  • Manque de temps ou de ressources pour effectuer un recrutement efficace
  • Manque d'intérêt pour le poste de la part des candidats
  • Autre défis
    • Précisez les autres défis (zone de texte)
  • OU
  • Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question : 48

Pour quelles raisons des employés spécialisés en cybersécurité ont-ils quitté votre organisation en 2022?

Sélectionnez tout ce qui s'applique.

  • Recrutement par une autre organisation
  • Promotions ou occasions d'avancement insuffisantes à l'interne
  • Niveau de stress élevé au travail
  • Manque de flexibilité (conciliation travail-vie personnelle)
  • Meilleur salaire
  • Autres raisons
    • Précisez les autres raisons (zone de texte)
  • OU
  • Aucun employé spécialisé en cybersécurité n'a quitté l'organisation en 2022
  • OU
  • Ne sais pas
Date de modification :