Enquête canadienne sur la cybersécurité et le cybercrime - 2023

Pour information seulementCeci est un exemplaire électronique du questionnaire à titre d’information seulement et ne doit pas être utilisé pour répondre à l’enquête.

Cacher les instructions

INFORMATION POUR LE RÉPONDANT

Objectif

Le but de l'Enquête canadienne sur la cybersécurité et le cybercrime de 2023 est de mesurer l'incidence de la cybercriminalité sur les entreprises canadiennes.

Cette enquête recueille des renseignements concernant :
- Les mesures que les entreprises mettent en place en matière de cybersécurité, y compris la formation du personnel;
- Les types d'incidents de cybersécurité qui ont des répercussions sur les entreprises; et
- Les coûts associés à la prévention des incidents de cybersécurité et au rétablissement des activités à la suite des incidents.

Renseignements supplémentaires

Les renseignements que vous fournissez pourraient aussi être utilisés par Statistique Canada à d'autres fins statistiques et de recherche. Votre participation à cette enquête est requise en vertu de la Loi sur la statistique.

Autorité

Ces données sont recueillies en vertu de la Loi sur la statistique, Lois révisées du Canada (1985), chapitre S-19.

Confidentialité

La loi interdit à Statistique Canada de divulguer tout renseignement recueilli qui permettrait de dévoiler l'identité d'une personne, d'une entreprise ou d'un organisme, à moins d'avoir obtenu son consentement ou d'en être autorisé par la Loi sur la statistique. Statistique Canada utilisera les données de cette enquête à des fins statistiques.

Entente de partage de données

Afin de réduire le fardeau des répondants, Statistique Canada a conclu des ententes de partage de données avec des organismes statistiques provinciaux et territoriaux ainsi qu'avec d'autres organismes gouvernementaux, qui ont accepté de protéger la confidentialité des données et de les utiliser uniquement à des fins statistiques. Statistique Canada partagera les données tirées de cette enquête uniquement avec les organismes ayant démontré qu'ils avaient besoin de les utiliser.

L'article 11 de la Loi sur la statistique permet le partage de données avec des organismes statistiques provinciaux et territoriaux qui satisfont à certains critères. Ces organismes doivent détenir l'autorisation légale de recueillir les mêmes données, dont la remise est obligatoire, et les lois en vigueur doivent contenir essentiellement les mêmes dispositions que la Loi sur la statistique en ce qui a trait à la confidentialité et aux sanctions imposées en cas de divulgation de renseignements confidentiels. Comme ces organismes possèdent l'autorisation légale d'obliger les entreprises à fournir les mêmes données, on ne demande pas le consentement des entreprises concernées et celles-ci ne peuvent pas s'opposer au partage des données.

Pour cette enquête, des ententes ont été conclues en vertu de l'article 11 avec les organismes statistiques provinciaux et territoriaux de Terre-Neuve-et-Labrador, de la Nouvelle-Écosse, du Nouveau-Brunswick, du Québec, de l'Ontario, du Manitoba, de la Saskatchewan, de l'Alberta, de la Colombie-Britannique et du Yukon.

Les données partagées seront limitées aux renseignements relatifs aux établissements commerciaux situés dans la province ou le territoire en question.

L'article 12 de la Loi sur la statistique prévoit le partage de données avec des organismes gouvernementaux fédéraux, provinciaux ou territoriaux. En vertu de l'article 12, vous pouvez refuser que vos données soient transmises à l'un ou l'autre de ces organismes. Pour ce faire, veuillez écrire une lettre d'objection au statisticien en chef, dans laquelle vous spécifierez les organismes avec lesquels vous refusez que Statistique Canada partage vos données. Veuillez nous faire parvenir cette lettre à l'adresse suivante :

Statisticien en chef du Canada
Statistique Canada
À l'attention du Directeur, Division des investissements, science et technologie
150, promenade Tunney's Pasture
Ottawa (Ontario) K1A 0T6

Vous pouvez aussi communiquer avec nous par courriel à statcan.istdinformation-distinformation.statcan@canada.ca.

Pour cette enquête, des ententes ont été conclues en vertu de l'article 12 avec des organismes statistiques de l'Île-du-Prince-Édouard, des Territoires du Nord-Ouest et du Nunavut, ainsi qu'avec Sécurité publique Canada; Gendarmerie royale du Canada; Ressources naturelles Canada; Centre de la sécurité des télécommunications; Innovation, Sciences et Développement économique Canada; et Services publics et Approvisionnement Canada.

Dans le cas des ententes conclues avec des organismes gouvernementaux provinciaux et territoriaux, les données partagées seront limitées aux renseignements relatifs aux établissements commerciaux situés dans la province ou le territoire en question.

Couplage d'enregistrement

Afin d'améliorer la qualité des données tirées de cette enquête et de réduire le fardeau des répondants, Statistique Canada pourrait combiner les renseignements recueillis avec ceux provenant d'autres enquêtes ou de sources administratives.

Directives générales

Pour ce questionnaire :

Veuillez remplir ce questionnaire pour les activités canadiennes de cette entreprise.

Instructions de déclaration :

-Déclarez les montants en dollars canadiens.
-Déclarez les montants arrondis au dollar le plus proche.
-Si les chiffres exacts ne sont pas disponibles, fournir votre meilleure estimation possible.
-Inscrivez « 0 » s'il n'y a aucune valeur à déclarer.

Caractéristiques de l'entreprise

Caractéristiques de l'entreprise - Identificateur de question :1

Lesquels des éléments suivants sont actuellement utilisés par votre entreprise?
Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Appareils intelligents connectés à Internet :
Appareils électroniques qui peuvent se brancher les uns aux autres et sur Internet au moyen d'un réseau. Ces appareils sont conçus pour envoyer et recevoir automatiquement des renseignements sur Internet de façon constante.

Application Web :
Un programme qui est accessible sur un réseau Internet, plutôt que d'exister dans la mémoire d'un périphérique.

Chaîne de blocs :
Registre numérique public décentralisé et distribué qui permet d'enregistrer des transactions dans de nombreux ordinateurs, de sorte qu'aucun enregistrement ne peut être modifié rétroactivement sans la modification de tous les blocs subséquents.

Échange de données informatisé (EDI) :
Transmission électronique de données dont le traitement peut être automatisé entre des entreprises ou des organisations. En général, l'EDI permet l'envoi ou la réception de messages (p. ex. des opérations de paiement, des déclarations de revenus ou des commandes) dans un format convenu ou normalisé permettant un traitement automatisé, sans qu'il soit nécessaire de saisir un message manuellement.

Internet des objets (IdO) :
Interconnexion par Internet de dispositifs informatiques intégrés dans des objets du quotidien et permettant à ces derniers d'envoyer et de recevoir des données. Des exemples comprennent les télévisions intelligentes, les caméras de sécurité compatibles avec la technologie Wi-Fi, des adaptateurs de repérage d'automobile automatiques, un système de sécurité intelligent de Canary, Connected Factory de Cisco, les ampoules intelligentes de Phillips Hue et les serrures intelligentes d'August.

Intranet :
Un réseau informatique privé accessible seulement par l'organisme et son personnel. Il est protégé contre un accès non autorisé au moyen de systèmes de sécurité tels que les pare-feu. Il est composé de réseaux locaux et, dans certains cas, de réseaux étendus.

Logiciel libre :
Logiciel dont le code source est accessible sans frais de droit d'auteur et qui peut souvent être modifié, distribué et redistribué.

Médias sociaux :
Sites de réseautage social comme Facebook, Twitter et LinkedIn permettant à une entreprise de joindre des clients potentiels et d'établir des relations plus solides avec les clients. Les enterprises utilisent les sites de réseautage social à des fins professionnelles et de marketing.

Plateforme de commerce électronique :
Solution logicielle qui permet à une entreprise de créer et d'héberger des vitrines virtuelles qui font appel à un ensemble de produits ou de services précis.

Services infonuagiques ou stockage de données en nuage :
Des services qui permettent d'accéder par Internet à des logiciels, à une puissance informatique ou à une capacité de stockage et présentant les caractéristiques suivantes :

a. ils sont fournis à partir des serveurs des fournisseurs de services;
b. ils peuvent être facilement augmentés ou diminués (p. ex. un changement du nombre d'utilisateurs ou de la capacité de stockage);
c. ils peuvent être utilisés sur demande, au moins après la configuration initiale (sans interaction humaine avec le fournisseur de services);
d. ils sont prépayés ou payés selon le mode du paiement par utilisateur ou du paiement à l'utilisation.

Signature électronique :
Procédé technique qui permet à une personne d'apposer électroniquement sa signature ou l'équivalent à un document électronique, par exemple en guise de consentement à un contrat en ligne.

Voix sur protocole Internet (VoIP) :
Acheminent de conversations vocales grâce à Internet. Il s'agit d'un processus différent d'un appel téléphonique qui est fait à partir du téléphone de la maison ou du bureau et qui passe par le réseau téléphonique commuté public.

: Site Web pour votre entreprise
: Comptes de médias sociaux pour votre entreprise
: Plateformes et solutions de commerce électronique
: Applications Web
: Logiciels libres
: Services infonuagiques ou services de stockage de données en nuage
: Appareils intelligents connectés à l'Internet ou Internet des objets (IdO)
: Intranet
: Technologies de la chaîne de blocs
: Services de voix sur protocole Internet (VoIP)
: Technologie d'accès à distance
: Logiciels our matériel utilisant l'intelligence artificielle (IA)
: OU
: L'entreprise n'utilise aucune des éléments ci-dessus

Caractéristiques de l'entreprise - Identificateur de question :2

Quel type de données votre entreprise conserve-t-elle dans des serveurs branchés à Internet?

Inclure :
• Les données dans des services d'informatique ou de stockage de données en nuage
• les données stockées dans des serveurs accessibles à distance (p.ex. par le biais de connexions de bureau virtuel)
• les données qui sont sauvegardées.

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Services infonuagiques ou stockage de données en nuage :
Des services qui permettent d'accéder par Internet à des logiciels, à une puissance informatique ou à une capacité de stockage et présentant les caractéristiques suivantes :

a. ils sont fournis à partir des serveurs des fournisseurs de services;
b. ils peuvent être facilement augmentés ou diminués (p. ex. un changement du nombre d'utilisateurs ou de la capacité de stockage);
c. ils peuvent être utilisés sur demande, au moins après la configuration initiale (sans interaction humaine avec le fournisseur de services);
d. ils sont prépayés ou payés selon le mode du paiement par utilisateur ou du paiement à l'utilisation.

Services Web :
Service mis à disposition à partir d'un serveur Web pour les utilisateurs Web ou d'autres programmes connectés à Internet. Un exemple d'un service Web est un application de gestion de la relation client en ligne.

: Renseignements confidentiels sur les employés
: Renseignements confidentiels concernant les clients, les fournisseurs ou les partenaires
: Renseignements confidentiels sur votre entreprise
: Renseignements commerciaux de nature délicate
: Renseignements de nature non délicate ou information publique
: OU
: L'entreprise ne conserve pas de données dans des serveurs branchés à Internet

Caractéristiques de l'entreprise - Identificateur de question :3

Est-ce que quelqu'un dans votre entreprise utilise des dispositifs personnels, comme des téléphones intelligents, des tablettes, des ordinateurs portatifs ou des ordinateurs de bureau pour mener des activités reliées au travail régulières?

Inclure les dispositifs personnels sur lesquels sont installés des logiciels d'entreprise, et les dispositifs qui sont subventionnés par l'entreprise.

Assistance pour les definitions

Dispositifs personnels (gestion des)
Politique visant à gérer les dispositifs personnels (ordinateurs portatifs, tablettes et téléphones intelligents) utilisés en milieu de travail, l'accent étant mis sur l'accès aux renseignements et aux applications privilégiées des entreprises.

: Oui
: Non
: Ne sais pas

Environnement de cybersécurité

Environnement de cybersécurité - Identificateur de question :4

Lesquelles des mesures de cybersécurité suivantes sont actuellement en place dans votre entreprise? Inclure les mesures de sécurité sur place et externes, y compris celles fournies par un tiers externe. Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Accès :
Permet aux bonnes personnes d'accéder aux bonnes ressources. Ce dispositif de sécurité aide à protéger l'entrée aux applications et aux ressources dans l'ensemble de l'infrastructure de la TI de l'organisation, permettant ainsi des niveaux de validation supplémentaires tels que l'authentification à plusieurs facteurs et des politiques d'accès conditionnelles.

Accès à distance sécurisé :
Capacité d'accéder à un appareil ou à un logiciel à distance (p. ex. accès au lieu de travail à partir du foyer ou accès au courriel du lieu de travail pendant ses déplacements).

Application de correctifs :
Mises à jour ou réparations d'un logiciel appliquées sans qu'il soit nécessaire de remplacer le programme original en entier. Elles sont souvent fournies par le développeur de logiciels pour corriger les vulnérabilités de sécurité connues.

Biens :
Tout ce qui appartient à l'entreprise et qui a de la valeur (y compris les renseignements, sous toutes leurs formes, et les systèmes informatiques).

Certificat numérique :
Fichier encodé contenant des renseignements sur l'utilisateur ou sur l'identité du serveur qui est utilisé pour vérifier l'identité et aider à établir un lien à sécurité accrue.

Chiffrement :
Conversion d'information en un code que seules les personnes autorisées peuvent lire, c'est-à-dire celles qui ont reçu la « clé » (habituellement unique) et le logiciel spécial qui leur permettront de renverser le processus (p. ex. déchiffrement) et d'utiliser l'information.

Contrôles de l'accès physique :
Mesures de contrôle visant à permettre au personnel autorisé d'accéder à un endroit ou à d'autres sources (p. ex. tourniquets, carte d'accès, mots de passe).

Cybersécurité :
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, processus, pratiques, mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.

Dispositifs personnels (gestion des) :
Politique visant à gérer les dispositifs personnels (ordinateurs portatifs, tablettes et téléphones intelligents) utilisés en milieu de travail, l'accent étant mis sur l'accès aux renseignements et aux applications privilégiées des entreprises.

Établissement d'une liste blanche d'applications :
Détermination de certains programmes autorisés à être exécutés sur un système donné et application d'une politique pour que seules les composantes indiquées puissent fonctionner.

Filtre pourriel :
Ensemble de règles visant à mettre à part les courriels qui ont été envoyés sans permission. Les règles peuvent aussi être établies à votre demande ou à celle de l'employé à qui les courriels indésirables ont été transmis.

Gestion des droits :
Restrictions visant la création et l'utilisation de contenu protégé, comme les courriels et les documents.

Logiciel contre les programmes malveillants :
Type de programme logiciel conçu pour empêcher la contamination des dispositifs informatiques individuels et des systèmes de la TI par des programmes malveillants, et pour détecter leur présence et remédier au problème.

Logiciel espion :
Logiciel qui recueille vos renseignements personnels à votre insu. Ils se présentent souvent sous la forme d'un téléchargement « gratuit » et sont automatiquement installés avec ou sans votre autorisation. Il est difficile de les supprimer complètement et ils peuvent infecter votre ordinateur avec des virus.

Matériel :
Un ordinateur, ses composants et son équipement connexe. Le matériel se réfère également à la communication, le réseautage et l'équipement de sécurité.

Pare-feu :
Dispositif matériel et/ou logiciel, installé sur un ordinateur, qui contrôle l'accès entre un réseau privé et un réseau public tel qu'Internet. Un pare-feu est conçu pour accorder une protection en interceptant un accès non autorisé à l'ordinateur ou au réseau.

Pièges à pirates informatiques :
Système de détection d'intrusions à l'aide d'un leurre utilisé principalement pour attirer les pirates informatiques dans un système de réseau afin d'étudier leurs actes et leur comportement.

Rançongiciel :
Type de logiciel malveillant qui restreint l'accès à votre ordinateur ou à vos fichiers et qui affiche un message où l'on exige un paiement afin de retirer la restriction.

Logiciel :
Programme informatique qui fournit des instructions permettant au matériel informatique de fonctionner. Les logiciels d'exploitation tels que Windows, Linux ou MacOS permettent à l'ordinateur de fonctionner tandis que les logiciels d'application, tels que les programmes de tabulateur ou de traitement de texte, sont destinés à effectuer un traitement particulier sur un ordinateur.

Logiciel malveillant :
Logiciel conçu et distribué pour causer des dommages. Le « virus » est l'exemple le plus courant de logiciel malveillant.

Règles de complexité des mots de passe :
Règles précisant si les mots de passe doivent satisfaire à une série de directives considérées comme importantes pour l'utilisation d'un mot de passe fort.

RPV (Réseau Privé Virtuel) :
Un réseau de communications privé habituellement utilisé au sein d'une entreprise, ou par plusieurs entreprises ou organismes différents, pour communiquer sur un réseau plus vaste. Les communications par RPV sont habituellement chiffrées ou encodées pour protéger le trafic provenant d'autres utilisateurs sur le réseau public supportant le RPV en question.

Sécurité aux points de vente (PDV) :
Les mesures de sécurité appliquées au logiciel utilisé par les entreprises pour enregistrer la vente de biens et de services à des clients.

Sécurité de réseau :
Protection de l'accès aux dossiers et aux répertoires dans un réseau informatique contre le piratage, l'utilisation malveillante et les changements non autorisés au système.

Sécurité mobile :
Protection des téléphones intelligents, des tablettes, des ordinateurs portatifs et d'autres appareils informatiques portatifs ainsi que des réseaux auxquels ils sont connectés, contre les menaces et les vulnérabilités associées à l'informatique sans fil.

Sécurité Web :
Domaine de la sécurité informatique lié précisément à Internet, mettant en jeu la sécurité des utilisateurs, mais aussi la sécurité des réseaux d'une façon plus générale, car il s'applique à d'autres applications ou aux systèmes d'exploitation dans leur ensemble. L'objectif est d'établir des règles et des mesures pour se protéger contre les attaques perpétrées sur Internet.

Virus :
Programme informatique malveillant qui est souvent envoyé en pièce jointe par courriel ou par l'intermédiaire d'un téléchargement. Les virus tentent d'infecter votre ordinateur, ainsi que les ordinateurs de chacune des personnes apparaissant dans votre liste de contacts. Ils contiennent souvent des pourriels, donnent aux criminels l'accès à votre ordinateur et désactivent les paramètres de sécurité.

: Sécurité mobile
: Logiciels contre les programmes malveillants pour protéger contre les virus, les espiogiciels, les rançongiciels, etc.
: Sécurité Web
: Sécurité des courriels
: Sécurité des réseaux
: Protection et contrôle des données
: Sécurité aux points de vente (PDV)
: Sécurité logicielle et des applications
: Sécurité relative au matériel et à la gestion des actifs
: Sécurité relative à la gestion de l'accès et de l'identité
: Contrôles de l'accès physique
: OU
: L'entreprise n'a pas de mesures de cybersécurité en place
: OU
: Ne sais pas

Environnement de cybersécurité - Identificateur de question :5

L'un des tiers externes suivantes, ou normes de cybersécurité ou programmes de certification en matière de cybersécurité a-t-il exigé que votre entreprise mette en oeuvre certaines mesures de cybersécurité?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Biens matériels :
Objets physiques, produits, pour lesquels il existe une demande et dont la propriété peut être transférée au moyen de transactions sur le marché. Des exemples comprennent les ordinateurs portables, l'équipement de bureau, le mobilier de bureau et les uniformes.

Biens numériques :
Des produits qui viennent dans un format numérique et qui ont été commandés et livrés en ligne. Des exemples comprennent les services de diffusion de musique et de vidéos en continu, les livres électroniques et les abonnements en ligne.

Cybersécurité :
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, processus, pratiques, mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.

Normes de cybersécurité :
Pratiques exemplaires, qui, lorsqu'elles sont suivies, sont conçues de façon à protéger le cyberenvironnement d'une enterprise ou d'un utilisateur. Parmi celles-ci, nous comptons par exemple les normes de cybersécurité publiées par l'ISO et la CEI, le cadre de pratiques exemplaires COBIT et le cadre de cybersécurité de NIST.

Organisme de réglementation :
Un organisme qui supervise une industrie ou une activité d'entreprise. Des exemples sont la Banque du Canada et Santé Canada.

Programme de certification en matière de cybersécurité :
Programmes qui offrent aux enterprises une certification de conformité à des normes de cybersécurité particulières. Le programme CyberSécuritaire Canada et le programme Cyber Essentials Canada en sont des exemples.

Services :
Un type d'activité économique qui est intangible, n'est pas stocké et ne donne pas lieu à une propriété. Un service est consommé au point de vente. Des exemples comprennent le transfert de biens, comme le service postal qui livre le courrier, ainsi que l'utilisation d'expertise ou d'expérience, comme une enterprise qui a recours à un comptable pour produire ses déclarations de revenus.

Services numériques :
Des services dont la prestation se fait en ligne. Des exemples comprennent les services d'hébergement de sites Web, les plateformes de commerce électronique, les services de paiement en ligne, les services infonuagiques et la capacité de stockage de données en nuage.

: Fournisseur de biens matériels
: Fournisseur de biens ou de services numériques
: Fournisseur d'autres services non numériques
: Client
: Partenaire
: Ministère, organisme, centre ou organisme de réglementation canadien

Quels ministères, organismes, centres ou organismes de réglementation canadiens ont exigé que votre entreprise mettre en oeuvre certaines mesures de cybersécurité?
o Commissariat à la protection de la vie privée
o Conseil de la radiodiffusion et des télécommunications canadiennes
o Bureau de la concurrence
o Innovation, Sciences et Développement économique Canada
o Centre canadien pour la cybersécurité (CCC)
o Centre canadien de notification des pourriels
o Agence du revenu du Canada (ARC)
o Autre
: Ministère, organisme, centre ou organisme de réglementation étranger
: Norme de cybersécurité ou un programme de certification en matière de cybersécurité
: Fournisseur de l'assurance contre les cyberrisques
: OU
: Aucune de ces réponses

Environnement de cybersécurité - Identificateur de question :6

Combien d'employés de votre entreprise s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles?

Inclure employés à temps partiel et à temps plein. Les exemples de tâches à compléter par les employés peuvent inclure :
- gérer, évaluer ou améliorer la sécurité des réseaux, de la présence sur le Web, des systèmes de messagerie électronique ou des dispositifs de l'entreprise;
- apporter des correctifs aux logiciels ou aux systèmes d'exploitation utilisés par l'entreprise ou les mettre à jour pour des raisons de sécurité;
- accomplir des tâches liées aux mesures de rétablissement à la suite des incidents de cybersécurité.

Exclure :
• Membres de la haute direction chargés de la prise de décisions concernant les risques, les menaces et les incidents en matière de cybersécurité
• les personnes qui sont employées par les experts-conseils ou entrepreneurs en TI externes.

Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation.

: Un employé
: Deux à cinq employés
: 6 à 15 employés
: Plus de 15 employés
: Aucun
: Ne sais pas

Environnement de cybersécurité - Identificateur de question :7

Quelles sont les principales raisons pour lesquelles votre entreprise ne compte aucun employé qui s'occupe de tâches liées à la cybersécurité dans le cadre de ses responsabilités habituelles? Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Cybersécurité :
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, processus, pratiques, mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.

Employé spécialisé en cybersécurité :
Les employés à temps partiel et à temps plein qui s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles. Les exemples de tâches à compléter par les employés peuvent inclure :

-gérer, évaluer ou améliorer la sécurité des réseaux, de la présence sur le Web, des systèmes de messagerie électronique ou des dispositifs
-apporter des correctifs aux logiciels ou aux systèmes d'exploitation utilisés pour des raisons de sécurité
-accomplir des tâches liées aux mesures de rétablissement à la suite des incidents de cybersécurité.

Entrepreneur :
Personne ou enterprise embauchée pour évaluer les besoins du client et effectivement exécuter le travail.

Expert-conseil :
Personne ou enterprise embauchée pour évaluer les besoins du client et fournir son expertise et son opinion sur ce qui doit être fait.

Risque :
Exposition à des conséquences négatives si une menace était mise à exécution.

: L'entreprise a recours à des experts-conseils ou à des entrepreneurs du secteur privé pour surveiller la cybersécurité
: L'entreprise fait appel à des consultants ou à des entrepreneurs du secteur public pour surveiller la cybersécurité
: L'entreprise a une assurance contre cyberrisques
: L'entreprise est en voie de recruter un employé spécialisé en cybersécurité
: L'entreprise est incapable de trouver un employé spécialisé en cybersécurité ayant les qualifications adéquates
: L'entreprise n'a pas d'argent ou les ressources pour embaucher un employé spécialisé en cybersécurité
: La cybersécurité ne représente pas un risque élevé pour l'entreprise
: La société mère de l'entreprise gère la cybersécurité

Environnement de cybersécurité - Identificateur de question :8

Quel pourcentage des employés de votre entreprise qui s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles s'identifient aux genres suivants?

Le genre fait référence au genre actuel, qui peut être différent du sexe attribué à la naissance et de ce qui figure dans les documents juridiques.

Exclure les personnes qui sont employés par les experts-conseils ou entrepreneurs en TI externes.

Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation.

: Femme
: Homme
: Autre genre

Environnement de cybersécurité - Identificateur de question :9

À quels groupes de population les employés spécialisés en cybersécurité de votre entreprise appartiennent-ils?
Sélectionnez tout ce qui s'applique.

: Blancs
: Autochtones
: Minorités visibles
: OU
: Ne sais pas

Environnement de cybersécurité - Identificateur de question :10

Quels sont les plus hauts certificats, diplômes ou grades académiques obtenus par les employés spécialisés en cybersécurité de votre entreprise?

Sélectionnez le plus haut certificat, diplôme ou grade académique que chacun de vos employés spécialisés en cybersécurité a obtenu.

: Niveau inférieur à un diplôme d'études secondaires ou à son équivalent
: Diplôme d'études secondaires ou une attestation d'équivalence d'un diplôme d'études secondaires
: Certificat ou diplôme d'une école de métiers
: Certificat ou diplôme d'un collège, d'un cégep ou d'un autre établissement non-universitaire (autre que les certificats ou diplômes de métiers)
: Certificat ou diplôme universitaire inférieur au baccalauréat
: Baccalauréat
: Certificat, diplôme ou grade universitaire supérieur au baccalauréat
: OU
: Ne sais pas

Environnement de cybersécurité - Identificateur de question :11

Quelles sont les certifications en matière de cybersécurité détenues par les employés spécialisés en cybersécurité de votre entreprise?
Exclure les certificats, diplômes et grades académiques.
Sélectionnez tout ce qui s'applique.

: Hacker éthique certifié
: Gestionnaire certifié de la sécurité de l'information
: Professionnel certifié en systèmes d'information
: Expert en sécurité GIAC
: Security+
: Autres certifications
: OU
: Aucune
: OU
: Ne sais pas

Environnement de cybersécurité - Identificateur de question :12

Au moment d'évaluer un nouvel employé potentiel spécialisé en cybersécurité, quelle qualification est-elle la plus importante pour votre entreprise?

Les employés spécialisé en cybersécurité sont les employés à temps partiel et à temps plein qui s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles. Les exemples de tâches à compléter par les employés peuvent inclure :
• gérer, évaluer ou améliorer la sécurité des réseaux, de la présence sur le Web, des systèmes de messagerie électronique ou des dispositifs
• apporter des correctifs aux logiciels ou aux systèmes d'exploitation utilisés pour des raisons de sécurité
• accomplir des tâches liées aux mesures de rétablissement à la suite des incidents de cybersécurité.

Exclure:
• Membres de la haute direction chargés de la prise de décisions concernant les risques, les menaces et les incidents en matière de cybersécurité
• les personnes qui sont employées par les experts-conseils ou entrepreneurs en TI externes.

: Expérience de travail en cybersécurité
: Certificats, diplômes ou grades universitaires liés à la cybersécurité
: Autres certifications en matière de cybersécurité
: Autre formation en matière de cybersécurité
: Autres qualifications - Précisez les autres qualifications
: L'entreprise n'a jamais tenté d'embaucher un employé spécialisé en cybersécurité
: Ne sais pas

Environnement de cybersécurité - Identificateur de question :13

Quelles sont les trois principales compétences techniques en matière de cybersécurité que vous recherchez chez les employés potentiels nouveaux spécialisés en cybersécurité?

Sélectionnez jusqu'à trois.

: Langage de script
: Développement, déploiement ou débogage de logiciels
: Développement, mise en oeuvre ou mise à jour des systèmes de TI
: Gestion ou analyse des données
: Connaissance des systèmes de détection d'intrusion (SDI) ou des systèmes de prévention d'intrusion (IPS)
: Expérience du travail en sécurité de la TI ou des réseaux
: Expérience du travail en sécurité des applications
: Expérience de l'intervention en cas d'incident de cybersécurité
: Expérience en matière de piratage éthique
: Autre - Veuillez préciser les autres compétences techniques

Environnement de cybersécurité - Identificateur de question :14

En 2023, votre entreprise a-t-elle eu de la difficulté à trouver des employés qualifiés en cybersécurité ou à maintenir en poste ses employés spécialisés en cybersécurité?

Sélectionnez tout ce qui s'applique.

: Difficulté à trouver des employés qualifiés en cybersécurité
: Difficulté à maintenir en poste les employés spécialisés en cybersécurité
: OU
: L'entreprise n'a eu aucune difficulté à trouver ou à maintenir en poste des employés qualifiés en cybersécurité en 2023
: OU
: Ne sais pas

Environnement de cybersécurité - Identificateur de question :15

À quels défis votre entreprise a-t-elle dû faire face au moment d'embaucher des employés spécialisés en cybersécurité en 2023?

Sélectionnez tout ce qui s'applique.

: Manque de compétences des candidats
: Manque d'expérience des candidats
: Demandes trop exigeantes en matière de salaire
: Manque de temps ou de ressources pour effectuer un recrutement efficace
: Manque d'intérêt pour le poste de la part des candidats
: Autre défis - Précisez les autres défis
: OU
: Ne sais pas

Environnement de cybersécurité - Identificateur de question :16

Pour quelles raisons des employés spécialisés en cybersécurité ont-ils quitté votre entreprise en 2023?

Sélectionnez tout ce qui s'applique.

: Recrutement par une autre entreprise
: Promotions ou occasions d'avancement insuffisantes à l'interne
: Niveau de stress élevé au travail
: Manque de flexibilité (conciliation travail-vie personnelle)
: Meilleur salaire
: Autres raisons - Précisez les autres raisons
: OU
: Aucun employé spécialisé en cybersécurité n'a quitté l'entreprise en 2023
: OU
: Ne sais pas

Environnement de cybersécurité - Identificateur de question :17

Votre entreprise a-t-elle communiqué des pratiques exemplaires ou des renseignements généraux sur les risques pour la cybersécurité à vos employés en 2023?

Inclure le partage d'information au moyen des courriels, des babillards et des séances d'information générale sur des sujets se rapportant aux points suivants :
• reconnaître et éviter les arnaques par courriel
• importance de la complexité des mots de passe et des techniques de sécurité de base
• sécuriser votre navigateur Web et avoir des pratiques de navigation Web sécuritaires
• éviter les attaques d'hameçonnage
• reconnaître et éviter les espiogiciels.

Assistance pour les definitions

Employé spécialisé en cybersécurité :
Les employés à temps partiel et à temps plein qui s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles. Les exemples de tâches à compléter par les employés peuvent inclure :

-gérer, évaluer ou améliorer la sécurité des réseaux, de la présence sur le Web, des systèmes de messagerie électronique ou des dispositifs
-apporter des correctifs aux logiciels ou aux systèmes d'exploitation utilisés pour des raisons de sécurité
-accomplir des tâches liées aux mesures de rétablissement à la suite des incidents de cybersécurité.

Normes de cybersécurité :
Pratiques exemplaires, qui, lorsqu'elles sont suivies, sont conçues de façon à protéger le cyberenvironnement d'une enterprise ou d'un utilisateur. Parmi celles-ci, nous comptons par exemple les normes de cybersécurité publiées par l'ISO et la CEI, le cadre de pratiques exemplaires COBIT et le cadre de cybersécurité de NIST.

Pratiques exemplaires :
Méthode ou ensemble de méthodes souhaitées ou considérées comme normalisées à l'intérieur d'une enterprise.

Programme de certification en matière de cybersécurité :
Programmes qui offrent aux enterprises une certification de conformité à des normes de cybersécurité particulières. Le programme CyberSécuritaire Canada et le programme Cyber Essentials Canada en sont des exemples.

a. : Renseignements communiqués aux employés spécialisés en cybersécurité
b. : Renseignements communiqués à d'autres employés
o Oui
o Non
o Sans Objet
o Ne sais pas

Environnement de cybersécurité - Identificateur de question :18

Votre entreprise a-t-elle offert une formation officielle pour développer ou mettre à jour les compétences liées à la cybersécurité de vos employés ou de vos intervenants en 2023?

Inclure la formation offerte par d'autres sources externes.
Exclure l'échange de renseignements ad hoc entre les employés.

1. : Formation offerte aux employés spécialisés en cybersécurité
2. : Formation offerte aux autres employés
3. : Formation offerte aux intervenants, comme les fournisseurs, les clients ou les partenaires
o Oui
o Non
o Sans Objet
o Ne sais pas

Environnement de cybersécurité - Identificateur de question :19

Pourquoi votre entreprise n'a-t-elle pas offert de formation officielle à certains ou à tous ses employés pour perfectionner ou améliorer leurs compétences en matière de cybersécurité?

Assistance pour les definitions

Cybersécurité :
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, processus, pratiques, mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.

Employé spécialisé en cybersécurité :
Les employés à temps partiel et à temps plein qui s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles. Les exemples de tâches à compléter par les employés peuvent inclure :

-gérer, évaluer ou améliorer la sécurité des réseaux, de la présence sur le Web, des systèmes de messagerie électronique ou des dispositifs
-apporter des correctifs aux logiciels ou aux systèmes d'exploitation utilisés pour des raisons de sécurité
-accomplir des tâches liées aux mesures de rétablissement à la suite des incidents de cybersécurité.

: Incapable de trouver la formation appropriée
: Coût de la formation
: Pas assez de temps ou de ressources pour permettre aux employés de suivre une formation
: Manque d'intérêt des employés
: Les employés n'avaient pas besoin de formation officielle
: Autre

Environnement de cybersécurité - Identificateur de question :20

Quelles sont les trois principales raisons pour lesquelles votre entreprise consacre du temps ou un budget à des mesures de cybersécurité ou à des formations en cybersécurité?

Sélectionnez jusqu'à trois.

Assistance pour les definitions

Cybersécurité :
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, processus, pratiques, mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Propriété intellectuelle :
Droits découlant de l'activité intellectuelle dans les domaines industriel, scientifique, littéraire et artistique. Des exemples incluent les droits d'auteur, les marques de commerce et les brevets.

Temps d'arrêt :
Période pendant laquelle une machine, un domaine ou un service n'est pas productif, par exemple, pendant des réparations, une défaillance ou des travaux d'entretien. Cette situation peut mener à une réduction de l'activité ou à l'inactivité d'un employé ou d'une enterprise.

: Permettre aux employés de travailler à distance en toute sécurité
: Protéger la réputation de l'entreprise
: Protéger les renseignements personnels des employés, des fournisseurs, des clients ou des partenaires
: Protéger les secrets commerciaux et la propriété intellectuelle
: Observation aux lois et règlements canadiens
: Observation aux lois et règlements étrangers
: Observations des contrats
: L'entreprise a déjà subi un incident de cybersécurité
: Éviter les temps d'arrêt et les pannes informatiques
: Empêcher la fraude et le vol
: Garantir la continuité des activités de l'entreprise
: Requis par le fournisseur d'assurance contre les cyberrisques
: OU
: L'entreprise ne dépense pas de temps ou d'argent sur des mesures de cybersécurité ou une formation en cybersécurité

État de préparation en matière de cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :21

Lesquelles des dispositions suivantes en matière de gestion des risques sont actuellement appliquées par votre entreprise? Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Application de correctifs :
Mises à jour ou réparations d'un logiciel appliquées sans qu'il soit nécessaire de remplacer le programme original en entier. Elles sont souvent fournies par le développeur de logiciels pour corriger les vulnérabilités de sécurité connues.

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Cybersécurité :
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, processus, pratiques, mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.

Entrepreneur :
Personne ou enterprise embauchée pour évaluer les besoins du client et effectivement exécuter le travail.

Expert-conseil :
Personne ou enterprise embauchée pour évaluer les besoins du client et fournir son expertise et son opinion sur ce qui doit être fait.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Logiciel :
Programme informatique qui fournit des instructions permettant au matériel informatique de fonctionner. Les logiciels d'exploitation tels que Windows, Linux ou MacOS permettent à l'ordinateur de fonctionner tandis que les logiciels d'application, tels que les programmes de tabulateur ou de traitement de texte, sont destinés à effectuer un traitement particulier sur un ordinateur.

Menace :
Toute action ou tout évènement potentiel (délibéré ou accidentel) qui représente un danger pour la sécurité de l'enterprise.

Menace interne :
La menace d'incidents de cybersécurité commis par un employé, par un consultant ou par un entrepreneur travaillant pour une enterprise, ou causés par la négligence d'un employé, d'un consultant ou d'un entrepreneur travaillant pour une enterprise.

Plan de continuité des activités ou des affaires (PCA) :
Stratégie qui reconnaît les menaces et les risques auxquels une enterprise fait face, dans le but de s'assurer que personnel et les biens sont protégés et qu'ils fonctionnent en cas d'un problème majeur.

Risque :
Exposition à des conséquences négatives si une menace était mise à exécution.

Système d'exploitation :
Un type de logiciel installé sur un ordinateur ou un appareil mobile qui gère le matériel et d'autres ressources logicielles. Le système d'exploitation remplit des fonctions informatiques de base comme l'exécution d'applications et la gestion des tâches pour assurer une utilisation efficace des ressources du système. Parmi les systèmes d'exploitation, nous comptons par exemple Linux, Windows, MacOS, iOS et Android.

Vulnérabilité :
Défaut ou faiblesse dans la conception ou la mise en oeuvre d'un système d'information ou dans son environnement qui pourrait être exploité pour compromettre les biens ou les activités d'une enterprise.

: Une politique écrite en place pour la gestion des risques internes liés à la cybersécurité
: Une politique écrite en place pour la gestion des risques liés à la cybersécurité associés aux partenaires de la chaîne d'approvisionnement

La politique écrite de votre entreprise associée aux partenaires de la chaîne d'approvisionnement aborde-t-elle l'un des points suivants?
o Risques pour la cybersécurité associés aux fournisseurs ou partenaires immédiats
o Risques pour la cybersécurité associés à la chaîne d'approvisionnement élargie de votre entreprise
: Une politique écrite en place pour signaler des cyberincidents
: Un autre type de politique écrite liée à la cybersécurité est en place
: Une assurance contre les cyberrisques

De quel type d'assurance contre les cyberrisques votre entreprise dispose-t-elle?
o Couverture indirecte au moyen d'une police d'assurance existante
o Ajout propre à la cybersécurité à une police d'assurance existante

De quel type d'ajout propre à la cybersécurité votre entreprise dispose-t-elle?
o Ajout propre à la cybersécurité à une police d'assurance existante avec une couverture de
moins de 100 000 $
o Ajout propre à la cybersécurité à une police d'assurance existante avec une couverture de plus de 100 000 $
o Ne sais pas
o Assurance distincte contre les cyberrisques
o Autre
: Une procédure pour informer les employés d'incidents ou de menaces en matière de cybersécurité
: Un plan de continuité des activités ou des affaires (PCA) intégrant des processus pour la gestion des cybermenaces, des vulnérabilités et des risques
: Employés chargés d'assurer la surveillance des risques et des menaces pour la cybersécurité
: Membres de la haute direction chargés d'assurer la surveillance des risques et des menaces pour la cybersécurité
: Un expert-conseil ou entrepreneur pour gérer les risques et les menaces pour la cybersécurité
: Application de correctifs ou mises à jour visant à améliorer la sécurité des systèmes d'exploitation tous les mois ou plus fréquemment
: Application de correctifs ou mises à jour visant à améliorer la sécurité des logiciels tous les mois ou plus fréquemment
: Formation récurrente obligatoire dur la cybersécurité pour les employés
: OU
: L'entreprise n'applique aucune disposition en matière de gestion des risques pour la cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :22

Pourquoi votre entreprise n'a-t-elle pas adopté de politique écrite pour gérer les risques en matière de cybersécurité associés aux partenaires de la chaîne d'approvisionnement?

Sélectionnez tout ce qui s'applique.

: Manque de temps ou d'argent quand vient le temps d'investir dans la création ou le maintien d'une politique
: Manque de connaissance quand vient le temps d'élaborer une politique
: Manque de renseignements accessibles sur les partenaires de la chaîne d'approvisionnement
: La création d'une telle politique n'est pas une prioritément
: Une telle politique ne s'applique pas à l'entreprise
: L'entreprise n'a pas envisagé de mettre en oeuvre une politique
: Autre

État de préparation en matière de cybersécurité - Identificateur de question :23

Vos politiques écrites en matière de cybersécurité ont-elles été examinées par des tiers, comme des experts-conseils en cybersécurité ou des auditeurs externes, au cours des deux dernières années?

: Oui
: Non
: Ne sais pas

État de préparation en matière de cybersécurité - Identificateur de question :24

Comment décririez-vous le niveau de préparation de votre entreprise quand vient le temps de se défendre contre les cybermenaces?

: Extrêmement préparée
: Très préparée
: Plutôt préparée
: Mal préparée
: Très mal préparée

État de préparation en matière de cybersécurité - Identificateur de question :25

Lesquels des éléments suivants sont couverts par votre police d'assurance contre les cyberrisques? Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Cybersécurité :
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, processus, pratiques, mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Logiciel :
Programme informatique qui fournit des instructions permettant au matériel informatique de fonctionner. Les logiciels d'exploitation tels que Windows, Linux ou MacOS permettent à l'ordinateur de fonctionner tandis que les logiciels d'application, tels que les programmes de tabulateur ou de traitement de texte, sont destinés à effectuer un traitement particulier sur un ordinateur.

Matériel :
Un ordinateur, ses composants et son équipement connexe. Le matériel se réfère également à la communication, le réseautage et l'équipement de sécurité.

Rançongiciel :
Type de logiciel malveillant qui restreint l'accès à votre ordinateur ou à vos fichiers et qui affiche un message où l'on exige un paiement afin de retirer la restriction.

: Pertes directes par suite d'une attaque ou d'une intrusion
: Réaction aux incidents
: Frais de restauration des logiciels, du matériel et des données électroniques
: Interruption des activités (perte de temps de production)
: Petre relative à la réputation
: Responsabilité envers les tiers
: Cyberextorsion ou paiement de rançon
: Pertes financières
: Mesure corrective pour les infractions à la sécurité et frais de notification
: Frais de surveillance du crédit
: Demandes d'indemnisation des employés
: Autre - Veuillez préciser
: OU
: Ne sais pas

État de préparation en matière de cybersécurité - Identificateur de question :26

Lorsque l'assurance contre les cyberrisques de votre entreprise a été renouvelée la dernière fois, votre fournisseur a-t-il apporté des modifications à l'un des points suivants?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Cybersécurité :
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, processus, pratiques, mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Normes de cybersécurité :
Pratiques exemplaires, qui, lorsqu'elles sont suivies, sont conçues de façon à protéger le cyberenvironnement d'une enterprise ou d'un utilisateur. Parmi celles-ci, nous comptons par exemple les normes de cybersécurité publiées par l'ISO et la CEI, le cadre de pratiques exemplaires COBIT et le cadre de cybersécurité de NIST.

Rançongiciel :
Type de logiciel malveillant qui restreint l'accès à votre ordinateur ou à vos fichiers et qui affiche un message où l'on exige un paiement afin de retirer la restriction.

: Primes plus élevées
: Franchise plus élevée
: Limite de couverture inférieure
: Exclusions additionnelles
: Coassurance
: Sous-limites
: Augmentation du seuil de base en cybersécurité ou de la liste de vérification des normes en cybersécurité requis pour obtenir une couverture
: Couverture réduite pour les rançongiciels
: Soumissions plus détaillées, y compris, mais sans en exclure d'autres, des questionnaires supplémentaires sur les rançongiciels
: Fournir des services préalables à une atteinte à la sécurité
: Embaucher une entreprise de cybersécurité tierce pour réaliser des évaluations additionnelles
: Réaliser des analyses externes d'actifs sur le Web
: Autre - Veuillez préciser
: OU
: Aucun
: OU
: Ne sais pas

État de préparation en matière de cybersécurité - Identificateur de question :27

Pourquoi votre entreprise n'a-t-elle pas une assurance contre les cyberrisques?
Sélectionnez tout ce qui s'applique.

: Les polices d'assurance actuelles de l'entreprise couvrent les cyberrisques
: Le coût d'une assurance contre les cyberrisques est trop élevé
: Les mesures de cybersécurité actuelles de l'entreprise offrent suffisamment de protection pour qu'une assurance contre les cyberrisques ne soit pas nécessaire
: L'entreprise n'est exposée à aucun cyberrisque
: L'entreprise n'a pas envisagé d'obtenir une assurance contre les cyberrisques
: Ne connaissions pas l'assurance contre les cyberrisques avant de répondre à cette enquête
: Autres raisons de ne pas avoir d'assurance contre les cyberrisques
: OU
: Ne sais pas

État de préparation en matière de cybersécurité - Identificateur de question :28

Avant de répondre à cette enquête, connaissiez-vous des normes de cybersécurité ou des programmes de certification en matière de cybersécurité auxquels les entreprises peuvent s'inscrire?

Inclure :
- les normes et les programmes canadiens, étrangers et internationaux;
- les normes et les programmes que vous connaissiez, mais auxquels votre entreprise n'était pas admissible ou ne s'est pas inscrite.

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Normes de cybersécurité :
Pratiques exemplaires, qui, lorsqu'elles sont suivies, sont conçues de façon à protéger le cyberenvironnement d'une enterprise ou d'un utilisateur. Parmi celles-ci, nous comptons par exemple les normes de cybersécurité publiées par l'ISO et la CEI, le cadre de pratiques exemplaires COBIT et le cadre de cybersécurité de NIST.

Pratiques exemplaires :
Méthode ou ensemble de méthodes souhaitées ou considérées comme normalisées à l'intérieur d'une enterprise.

Programme de certification en matière de cybersécurité :
Programmes qui offrent aux enterprises une certification de conformité à des normes de cybersécurité particulières. Le programme CyberSécuritaire Canada et le programme Cyber Essentials Canada en sont des exemples.

: Normes de cybersécurité

Votre entreprise se conforme-t-elle à une norme en matière de cybersécurité?
o Oui
o Non
o Ne sais pas
: Programmes de certification en matière de cybersécurité

Votre entreprise dispose-t-elle d'une certification en matière de cybersécurité?
o Oui
o Non
o Ne sais pas
: OU
: Ne connaissions aucune norme de cybersécurité ni aucun programme de certification

État de préparation en matière de cybersécurité - Identificateur de question :29

Lesquelles des activités suivantes votre entreprise mène-t-elle pour identifier les risques à la cybersécurité? Sélectionnez tout ce qui s'applique.

: Surveiller du comportement associé à un risque de menace interne
: Surveiller le comportement d'autres employés
: Surveillance du réseau et des systèmes d'entreprise
: Évaluation formelle des risques liés aux pratiques en matière de cybersécurité, par un employé
: Évaluation formelle des risques liés aux pratiques en matière de cybersécurité, par un tiers externe
: Tests d'intrusion, par un employé
: Tests d'intrusion, par un tiers externe
: Évaluation de la sécurité des appareils intelligents connectés à Internet ou des dispositifs de l'Internet des objets (IdO)
: Investissement au titre du renseignement sur les menaces
: Participation à une communauté d'échange d'informations sur la cybersécurité
: Vérification complète des systèmes de la TI, par un tiers externe
: L'entreprise mène d'autres activités pour identifier les risques pour la cybersécurité
: OU
: L'entreprise ne mène pas d'activités pour identifier les risques pour la cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :30

À quelle fréquence votre entreprise mène-t-elle des activités pour identifier les risques pour la cybersécurité? Sélectionnez tout ce qui s'applique.

: Selon un horaire précis

À quelle fréquence votre entreprise mène-t-elle des activités pour déterminer les risques pour la cybersécurité?
o Tous les jours
o Toutes les semaines
o Tous les mois
o Tous les trimestres
o Chaque année
•o Autre
: Lorsque survient un incident de cybersécurité
: Lorsqu'une nouvelle initiative ou un nouveau projet en TI est lancé
: De façon irrégulière

État de préparation en matière de cybersécurité - Identificateur de question :31

À quelle fréquence la haute direction de votre entreprise reçoit-elle une mise à jour sur les mesures prises concernant la cybersécurité?
Sélectionnez tout ce qui s'applique.

: Selon un horaire précis

À quelle fréquence la haute direction reçoit-elle une mise à jour sur les mesures prises concernant la cybersécurité?
o Tous les jours
o Toutes les semaines
o Tous les mois
o Tous les trimestres
o Chaque année
o Autre
: Lorsque survient un incident de cybersécurité
: Lorsqu'une nouvelle initiative ou un nouveau projet en TI est lancé
: La haute direction dispose d'outils qui lui permet d'assurer le suivi des questions relatives à la cybersécurité
: La haute direction reçoit une mise à jour sur de façon irrégulière
: OU
: La haute direction ne reçoit pas de mise à jour sur les problèmes de cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :32

Parmi les ressources suivantes fournies par le gouvernement fédéral en matière de cybersécurité, lesquelles votre entreprise a-t-elle utilisées?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Cybersécurité :
Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, processus, pratiques, mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.

Normes de cybersécurité :
Pratiques exemplaires, qui, lorsqu'elles sont suivies, sont conçues de façon à protéger le cyberenvironnement d'une enterprise ou d'un utilisateur. Parmi celles-ci, nous comptons par exemple les normes de cybersécurité publiées par l'ISO et la CEI, le cadre de pratiques exemplaires COBIT et le cadre de cybersécurité de NIST.

Programme de certification en matière de cybersécurité :
Programmes qui offrent aux enterprises une certification de conformité à des normes de cybersécurité particulières. Le programme CyberSécuritaire Canada et le programme Cyber Essentials Canada en sont des exemples.

Rançongiciel :
Type de logiciel malveillant qui restreint l'accès à votre ordinateur ou à vos fichiers et qui affiche un message où l'on exige un paiement afin de retirer la restriction.

: Campagne Pensez cybersécurité
: Programme de certification de CyberSécuritaire Canada
: Contrôles de cybersécurité de base pour les petites et moyennes organisations
: Outil canadien de cybersécurité (OOC)
: Guide sur les rançongiciels
: Élaboration d'un plan d'intervention en cas d'incident de la technologie opérationnelle et de la technologie de l'information
: Orientations ou outils spécifiques à un secteur
: Autres rapports, conseils ou orientations
: OU
: Aucun
: OU
: Ne sais pas

Incidents de cybersécurité

Incidents de cybersécurité - Identificateur de question :33

Selon vous, lesquels des incidents de cybersécurité suivants ont touché votre entreprise en 2023?

Sélectionnez tout ce qui s'applique.

: Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
: Incidents pour voler des renseignements personnels ou financiers
: Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
: Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
: Incidents pour accéder à des zones d'accès non autorisé ou privilégié
: Incidents pour surveiller et suivre les activités commerciales
: Incidents sans motif connu
: OU
: L'entreprise n'a pas été touchée par des incidents de cybersécurité en 2023

Incidents de cybersécurité - Identificateur de question :34

En 2023, votre entreprise a-t-elle été contactée par l'un des autres tiers externes suivants au sujet de leurs incidents de cybersécurité parce qu'ils pouvaient concerner votre entreprise?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Association industrielle :
Groupe qui soutient et protège les droits d'une industrie particulière et les travailleurs de cette industrie.

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Centre canadien pour la cybersécurité (CCC) :
Un organisme du gouvernement du Canada qui représente la seule source unifiée fournissant des avis, des conseils, des services et du soutien spécialisés en matière de cybersécurité pour le gouvernement, le secteur privé, les Canadiens ainsi que les propriétaires et les exploitants d'infrastructures essentielles.

Commissariat à la protection de la vie privée :
Un organisme du gouvernement du Canada qui fournit des conseils et des renseignements aux particuliers sur la protection des renseignements personnels. Il applique aussi les lois fédérales en matière de vie privée qui établissement les règles quant à la manière dont les institutions du gouvernement fédéral et certaines organisations doivent manipuler les renseignements personnels.

Entrepreneur :
Personne ou enterprise embauchée pour évaluer les besoins du client et effectivement exécuter le travail.

Expert-conseil :
Personne ou enterprise embauchée pour évaluer les besoins du client et fournir son expertise et son opinion sur ce qui doit être fait.

Logiciel :
Programme informatique qui fournit des instructions permettant au matériel informatique de fonctionner. Les logiciels d'exploitation tels que Windows, Linux ou MacOS permettent à l'ordinateur de fonctionner tandis que les logiciels d'application, tels que les programmes de tabulateur ou de traitement de texte, sont destinés à effectuer un traitement particulier sur un ordinateur.

Organisme de réglementation :
Un organisme qui supervise une industrie ou une activité d'entreprise. Des exemples sont la Banque du Canada et Santé Canada.

: Fournisseurs, clients ou partenaires
: Expert-conseil ou entrepreneur de la TI
: Fournisseur d'assurance contre les cyberrisques
: Ministère, organisme, centre ou organisme de réglementation canadien

Quels ministères, organismes, centres ou organismes de réglementation canadiens ont contacté votre
entreprise?
o Commissariat à la protection de la vie privée
o Conseil de la radiodiffusion et des télécommunications canadiennes
o Bureau de la concurrence
o Innovation, Sciences et Développement économique Canada
o Centre canadien pour la cybersécurité (CCC)
o Centre canadien de notification des pourriels
o Agence du revenue du Canada (ARC)
o Autre
: Ministère, organisme, centre ou organisme de réglementation étranger
: Association industrielle
: Banque ou autre institution financière
: Fournisseur de logiciels ou de services
: Autres parties non susmentionnées
: OU
: Les tiers externes n'ont pas signalé leurs incidents de cybersécurité à l'entreprise en 2023

Incidents de cybersécurité - Identificateur de question :35

Vous avez indiqué précédemment que d'autres tiers externes ont contacté votre entreprise au sujet de leurs incidents de cybersécurité parce qu'ils auraient pu impliquer votre entreprise en 2023. Comment votre entreprise a-t-elle réagi à ces incidents de cybersécurité?

Sélectionnez tout ce qui s'applique.

: Les incidents ont été réglés à l'interne
: Les incidents ont été réglés avec l'autre tiers externe
: Les incidents ont été réglés avec l'assurance contre les cyberrisques
: Les incidents ont été réglés par l'intermédiaire d'un expert-conseil ou entrepreneur de la TI
: Les événements ont été signalés à un service de police
: Les événements ont été signalés à d'autres tiers externes
: L'entreprise travaille actuellement avec l'autre tiers externe pour régler les incidents
: OU
: Aucune mesure n'était nécessaire ou aucune action n'a été prise par l'entreprise

Coûts liés à la cybersécurité

Coûts liés à la cybersécurité - Identificateur de question :36

En 2023, quel est le montant total que votre entreprise a dépensé pour prévenir ou détecter les incidents de cybersécurité?

Exclure les coûts engagés à la suite des incidents de cybersécurité antérieurs (p. ex. les coûts de reprise après des incidents de cybersécurité).

Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation en dollars canadiens.

Entrez « 0 » s'il n'y a aucune valeur à déclarer.

Assistance pour les definitions

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Entrepreneur :
Personne ou enterprise embauchée pour évaluer les besoins du client et effectivement exécuter le travail.

Expert-conseil :
Personne ou enterprise embauchée pour évaluer les besoins du client et fournir son expertise et son opinion sur ce qui doit être fait.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Matériel :
Un ordinateur, ses composants et son équipement connexe. Le matériel se réfère également à la communication, le réseautage et l'équipement de sécurité.

Logiciel :
Programme informatique qui fournit des instructions permettant au matériel informatique de fonctionner. Les logiciels d'exploitation tels que Windows, Linux ou MacOS permettent à l'ordinateur de fonctionner tandis que les logiciels d'application, tels que les programmes de tabulateur ou de traitement de texte, sont destinés à effectuer un traitement particulier sur un ordinateur.

a. : Salaire des employés liée à la prévention ou à la détection
b. : Coût de la formation des employés, des fournisseurs, des clients ou des partenaires
c. : Coût d'embauche d'experts-conseils et d'entrepreneurs en TI
d. : Coût des services juridiques ou de relations publiques (RP)
e. : Coût du logiciel de cybersécurité
f. : Coût du matériel lié à la cybersécurité
g. : Coût annuel de l'assurance contre les cyberrisques ou équivalent
h. : Autres coûts connexes

Coûts liés à la cybersécurité - Identificateur de question :37

En 2023, combien cela a-t-il coûté en tout à votre entreprise pour se remettre des incidents de cybersécurité?

Exclure les coûts liés à la prévention et à la détection des incidents de cybersécurité, car ils sont couverts à la question précédente.

Si des chiffres précis ne sont pas disponibles, fournir votre meilleure estimation en dollars canadiens.

Entrez « 0 » s'il n'y a aucune valeur à déclarer.

Assistance pour les definitions

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Entrepreneur :
Personne ou enterprise embauchée pour évaluer les besoins du client et effectivement exécuter le travail.

Expert-conseil :
Personne ou enterprise embauchée pour évaluer les besoins du client et fournir son expertise et son opinion sur ce qui doit être fait.

Fuite de données :
Incident au cours duquel des données sensibles, protégées ou confidentielles pourraient avoir été visualisées, volées ou utilisées par une personne n'étant pas autorisée à le faire.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Logiciel :
Programme informatique qui fournit des instructions permettant au matériel informatique de fonctionner. Les logiciels d'exploitation tels que Windows, Linux ou MacOS permettent à l'ordinateur de fonctionner tandis que les logiciels d'application, tels que les programmes de tabulateur ou de traitement de texte, sont destinés à effectuer un traitement particulier sur un ordinateur.

Matériel :
Un ordinateur, ses composants et son équipement connexe. Le matériel se réfère également à la communication, le réseautage et l'équipement de sécurité.

Organisme de réglementation :
Un organisme qui supervise une industrie ou une activité d'entreprise. Des exemples sont la Banque du Canada et Santé Canada.

Reprise :
Retour à l'état normal de l'activité d'une enterprise ou d'un employé, y compris, sans s'y limiter, le rétablissement des données, des systèmes informatiques, du réseau et d'autres services.

a. : Salaire des employés pour se remettre des incidents
b. : Coût de la formation des employés, des fournisseurs, des clients ou des partenaires
c. : Coût d'embauche d'experts-conseils et d'entrepreneurs en TI
d. : Coût des services juridiques ou de relations publiques (RP)
e. : Coût de l'embauche d'autres parties externes
f. : Coût des logiciels de cybersécurité nouveaux ou mis à jour
g. : Coût du matériel de cybersécurité nouveau ou mis à jour
h. : Augmentation des coûts de l'assurance contre les cyberrisques ou équivalent
i. : Remboursement à des fournisseurs, à des clients ou à des partenaires
j. : Amendes imposées par des organismes canadiens de réglementation ou des autorités
k. : Amendes imposées par des organismes étrangers de réglementation ou des autorités
l. : Paiements de rançon
m. : Frais de surveillance du crédit
n. : Coûts associés à la notification d'une atteinte à la sécurité
o. : Autres coûts connexes

Conséquences des incidents de cybersécurité

Conséquences des incidents de cybersécurité - Identificateur de question :38

Selon vous, qui a commis les incidents de cybersécurité en 2023?

Sélectionnez tout ce qui s'applique.

: Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
: Incidents pour voler des renseignements personnels ou financiers
: Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
: Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données de l'entreprise
: Incidents pour accéder à des zones d'accès non autorisé ou privilégié
: Incidents pour surveiller et suivre les activités de l'entreprise
: Incidents sans motif connu

• Un employé d'un autre tiers externe
• Un employé interne
• Fournisseur, client ou partenaire
OU
• Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question :39

Quelle étaient les méthodes utilisée par l'auteur pour compromettre la cybersécurité?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Craquage de mots de passe :
Se réfère à diverses mesures utilisées pour découvrir un mot secret ou une combinaison de caractères qui est utilisé pour l'authentification de la personne qui la détient.

Déni de service (DoS) ou déni de service distribué (DDoS) :
Cyberattaque par laquelle l'auteur tente de rendre les ressources d'une machine ou d'un réseau non disponibles aux utilisateurs visés, en perturbant temporairement ou indéfiniment les services d'un hôte connecté à Internet.

Hameçonnage :
Type particulier de pourriel visant une personne ou des personnes précises et que l'auteur tente de faire passer pour un message légitime en ayant l'intention de frauder le ou les destinataires.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Logiciel :
Programme informatique qui fournit des instructions permettant au matériel informatique de fonctionner. Les logiciels d'exploitation tels que Windows, Linux ou MacOS permettent à l'ordinateur de fonctionner tandis que les logiciels d'application, tels que les programmes de tabulateur ou de traitement de texte, sont destinés à effectuer un traitement particulier sur un ordinateur.

Logiciel publicitaire :
Logiciel qui affiche ou qui télécharge automatiquement du matériel publicitaire (souvent non sollicité) lorsque l'utilisateur est en ligne.

Matériel :
Un ordinateur, ses composants et son équipement connexe. Le matériel se réfère également à la communication, le réseautage et l'équipement de sécurité.

Piratage :
La pratique consistant à modifier ou modifier les logiciels et le matériel informatique pour atteindre un objectif qui est considéré comme étant à l'extérieur de l'objectif initial du créateur.

Présence sur le Web :
Des emplacements sur Internet où les parties externes peuvent trouver des renseignements sur une enterprise. Cela comprend par exemple les sites Web, les comptes de médias sociaux, les applications mobiles d'une enterprise ainsi que ses publicités en ligne.

Rançongiciel :
Type de logiciel malveillant qui restreint l'accès à votre ordinateur ou à vos fichiers et qui affiche un message où l'on exige un paiement afin de retirer la restriction.

Virus :
Programme informatique malveillant qui est souvent envoyé en pièce jointe par courriel ou par l'intermédiaire d'un téléchargement. Les virus tentent d'infecter votre ordinateur, ainsi que les ordinateurs de chacune des personnes apparaissant dans votre liste de contacts. Ils contiennent souvent des pourriels, donnent aux criminels l'accès à votre ordinateur et désactivent les paramètres de sécurité.

Vulnérabilité :
Défaut ou faiblesse dans la conception ou la mise en oeuvre d'un système d'information ou dans son environnement qui pourrait être exploité pour compromettre les biens ou les activités d'une enterprise.

: Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
: Incidents pour voler des renseignements personnels ou financiers
: Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
: Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données de l'entreprise
: Incidents pour accéder à des zones d'accès non autorisé ou privilégié
: Incidents pour surveiller et suivre les activités de l'entreprise
: Incidents sans motif connu

• Exploitation des vulnérabilités des logiciels, du matériel ou des réseaux
• Décodage du mot de passe
• Vol d'identité
• Arnaques et fraudes
• Rançongiciel
• Autres attaques de logiciels malveillants
• Déni de service (DoS) ou déni de service distribué (DDoS)
• Perturbation ou défiguration de la présence Web
• Abus des privilèges d'accès commis par un employé interne actuel ou ancien
• Autre
OU
• Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question :40

Vous avez indiqué précédemment que votre entreprise a une assurance contre les cyberrisques. Votre entreprise a-t-elle déjà tenté de présenter une demande de règlement d'assurance après les incidents de cybersécurité en 2023?

Sélectionnez tout ce qui s'applique.

: Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'entreprise, et la demande a été acceptée
: Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'entreprise, mais la demande a été rejetée
: Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'entreprise, et la demande est toujours en cours
: OU
: Non, nous n'avons pas présenté une demande de règlement pour un incident de cybersécurité

Conséquences des incidents de cybersécurité - Identificateur de question :41

Quelles ont été les répercussions des incidents de cybersécurité sur votre entreprise en 2023?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Organisme de réglementation :
Un organisme qui supervise une industrie ou une activité d'entreprise. Des exemples sont la Banque du Canada et Santé Canada.

Reprise :
Retour à l'état normal de l'activité d'une enterprise ou d'un employé, y compris, sans s'y limiter, le rétablissement des données, des systèmes informatiques, du réseau et d'autres services.

: Pertes de revenus
: Perte de fournisseurs, de clients ou de partenaires
: Frais de réparation ou de rétablissement supplémentaires
: Indisponibilité des ressources ou des services
: Impossibilité pour les employés d'effectuer leurs tâches quotidiennes

Quel pourcentage d'employés n'ont-ils pas pu faire leur travail quotidien à un moment en 2023?
o Pourcentage
: Temps supplémentaire nécessaire pour permettre aux employés de faire leur travail quotidien
: Atteinte à la réputation de l'entreprise ou une érosion de confiance du public
: Sanctions financières ou amendes d'autorités ou d'organismes de réglementation canadiens
: Sanctions financières ou amendes d'autorités ou d'organismes de réglementation étrangers
: Décourager l'entreprise d'effectuer une activité future prévue
: Incidents mineurs ayant eu une incidence minimale sur l'entreprise
: Manipulation ou vol de données
: Vol ou atteinte à l'intégrité des logiciels ou du matériel
: Obligation d'informer les parties externes de toute atteinte à la sécurité
: Autre
: OU
: Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question :42

Combien d'heures environ d'interruption de service votre entreprise a-t-elle subies en raison d'incidents liés à la cybersécurité en 2023?

Inclure :
- le temps d'arrêt total pour les appareils mobiles, les ordinateurs de bureau et les réseaux;
- les périodes pendant lesquelles les activités des employés ou de l'entreprise ont été réduites ou pendant lesquelles les employés ou l'entreprise ont été inactifs.

Si des chiffres précis ne sont pas disponibles, veuillez inscrire votre meilleure estimation.

Assistance pour les definitions

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Temps d'arrêt :
Période pendant laquelle une machine, un domaine ou un service n'est pas productif, par exemple, pendant des réparations, une défaillance ou des travaux d'entretien. Cette situation peut mener à une réduction de l'activité ou à l'inactivité d'un employé ou d'une enterprise.

: Heures
: OU
: L'entreprise n'a pas subi de temps d'interruption en 2023
: OU
: Ne sais pas

Rapport d'incident de cybersécurité

Rapport d'incident de cybersécurité - Identificateur de question :43

Votre entreprise a-t-elle signalé des incidents de cybersécurité à un service de police en 2023?

Inclure tous les paliers de services de police, y compris les services fédéraux, provinciaux, territoriaux, municipaux et autochtones.

: Oui
: Non
: Ne sais pas

Rapport d'incident de cybersécurité - Identificateur de question :44

Lesquels des incidents de cybersécurité suivants votre entreprise a-t-elle signalés à un service de police en 2023?

Sélectionnez tout ce qui s'applique.

: Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
: Incidents pour voler des renseignements personnels ou financiers
: Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
: Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
: Incidents pour accéder à des zones d'accès non autorisé ou privilégié
: Incidents pour surveiller et suivre les activités commerciales
: Incidents sans motif connu

Rapport d'incident de cybersécurité - Identificateur de question :45

Quelles sont les raisons pour lesquelles vous avez signalé les incidents de cybersécurité à un service de police en 2023?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Normes de cybersécurité :
Pratiques exemplaires, qui, lorsqu'elles sont suivies, sont conçues de façon à protéger le cyberenvironnement d'une enterprise ou d'un utilisateur. Parmi celles-ci, nous comptons par exemple les normes de cybersécurité publiées par l'ISO et la CEI, le cadre de pratiques exemplaires COBIT et le cadre de cybersécurité de NIST.

Organisme de réglementation :
Un organisme qui supervise une industrie ou une activité d'entreprise. Des exemples sont la Banque du Canada et Santé Canada.

Programme de certification en matière de cybersécurité :
Programmes qui offrent aux enterprises une certification de conformité à des normes de cybersécurité particulières. Le programme CyberSécuritaire Canada et le programme Cyber Essentials Canada en sont des exemples.

: Pour réduire les dommages causés par les incidents
: Pour que d'autres entreprises soient moins susceptibles d'être touchées par le même incident
: Pour aider à attraper l'auteur ou les auteurs de l'incident
: Pour répondre aux exigences des clients, des fournisseurs, des organismes de réglementation, des normes de cybersécurité ou des programmes de certification en matière de cybersécurité
: Autre
o Précisez d'autres raisons

Rapport d'incident de cybersécurité - Identificateur de question :46

Quelles étaient les raisons de ne pas signaler certains ou tous les incidents de cybersécurité à un service de police en 2023?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Entrepreneur :
Personne ou enterprise embauchée pour évaluer les besoins du client et effectivement exécuter le travail.

Expert-conseil :
Personne ou enterprise embauchée pour évaluer les besoins du client et fournir son expertise et son opinion sur ce qui doit être fait.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Intervenant :
Personne, groupe ou enterprise qui a un intérêt dans une enterprise. Les intervenants peuvent avoir un effet sur les actions, les objectifs et les politiques de l'enterprise ou être touchés par eux. Des exemples sont les fournisseurs, les clients et les partenaires de l'entreprise.

: Les incidents ont été réglés à l'interne
: Les incidents ont été réglés à l'aide d'un expert-conseil ou d'un entrepreneur de la TI
: Garder la connaissance des incidents en interne
: Afin de protéger la réputation de l'entreprise ou des intervenants
: Aucune volonté de consacrer plus de temps ou d'argent au problème
: Le service de police ne considère pas les incidents comme étant suffisamment importants
: Le service de police fournis par le passé ont été insatisfaisants
: Ne savions pas à qui ou comment signaler l'incident
: Le processus d'établissement des rapports est trop complexe ou nébuleux
: On doutait que l'auteur soit déclaré coupable ou adéquatement puni
: Incident mineur ayant eu une incidence minimale sur l'entreprise
: Manque de preuves
: N'a pas pensé de communiquer avec un service de police
: OU
: L'entreprise a signalé tous les incidents de cybersécurité à un service de police en 2023

Rapport d'incident de cybersécurité - Identificateur de question :47

Excluant les services de police, à quel tiers externe votre entreprise a-t-elle signalé un incidents de cybersécurité en 2023?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Association industrielle :
Groupe qui soutient et protège les droits d'une industrie particulière et les travailleurs de cette industrie.

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Centre canadien pour la cybersécurité (CCC) :
Un organisme du gouvernement du Canada qui représente la seule source unifiée fournissant des avis, des conseils, des services et du soutien spécialisés en matière de cybersécurité pour le gouvernement, le secteur privé, les Canadiens ainsi que les propriétaires et les exploitants d'infrastructures essentielles.

Commissariat à la protection de la vie privée :
Un organisme du gouvernement du Canada qui fournit des conseils et des renseignements aux particuliers sur la protection des renseignements personnels. Il applique aussi les lois fédérales en matière de vie privée qui établissement les règles quant à la manière dont les institutions du gouvernement fédéral et certaines organisations doivent manipuler les renseignements personnels.

Entrepreneur :
Personne ou enterprise embauchée pour évaluer les besoins du client et effectivement exécuter le travail.

Expert-conseil :
Personne ou enterprise embauchée pour évaluer les besoins du client et fournir son expertise et son opinion sur ce qui doit être fait.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Logiciel :
Programme informatique qui fournit des instructions permettant au matériel informatique de fonctionner. Les logiciels d'exploitation tels que Windows, Linux ou MacOS permettent à l'ordinateur de fonctionner tandis que les logiciels d'application, tels que les programmes de tabulateur ou de traitement de texte, sont destinés à effectuer un traitement particulier sur un ordinateur.

Organisme de réglementation :
Un organisme qui supervise une industrie ou une activité d'entreprise. Des exemples sont la Banque du Canada et Santé Canada.

: Fournisseurs, clients ou partenaires
: Expert-conseil ou entrepreneur de la TI
: Fournisseur d'assurance contre les cyberrisques
: Ministère, organisme, centre ou organisme de réglementation canadien

Quels ministères, organismes, centres ou organismes de réglementation canadiens avez-vous signalé?
o Commissariat à la protection de la vie privée
o Conseil de la radiodiffusion et des télécommunications canadiennes
o Bureau de la concurrence
o Innovation, Sciences et Développement économique Canada
o Centre canadien pour la cybersécurité (CCC)
o Centre canadien de notification des pourriels
o Agence du revenue du Canada (ARC)
o Autre
: Ministère, organisme, centre ou organisme de réglementation étranger
: Association industrielle
: Banque ou autre institution financière
: Fournisseur de logiciels ou de services
: Les employés spécialisés en cybersécurité dans d'autres entreprises ou organisations
: OU
: L'entreprise n'a pas signalé d'incidents de cybersécurité à des tiers externes en 2023

Rapport d'incident de cybersécurité - Identificateur de question :48

Quelles étaient les raisons de ne pas signaler certains ou tous les incidents de cybersécurité à un tiers externe en 2023?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Intervenant :
Personne, groupe ou enterprise qui a un intérêt dans une enterprise. Les intervenants peuvent avoir un effet sur les actions, les objectifs et les politiques de l'enterprise ou être touchés par eux. Des exemples sont les fournisseurs, les clients et les partenaires de l'entreprise.

: Les incidents ont été signalés à un service de police uniquement
: Les incidents ont été réglés à l'interne
: Garder la connaissance des incidents à l'interne
: Afin de protéger la réputation de l'entreprise ou des intervenants
: Manque de preuves
: Aucun avantage ou obligation à signaler
: Incident mineur ayant eu une incidence minimale sur l'entreprise
: N'a pas pensé de signaler l'incident à un tiers externe
: Ne savait pas où signaler des incidents de cybersécurité
: OU
: L'entreprise a signalé tous les incidents de cybersécurité à une société mère ou d'autres tiers externe en 2023

Rapport d'incident de cybersécurité - Identificateur de question :49

En réponse à un incidents de cybersécurité survenu en 2023, avec quels tiers externes votre entreprise a-t-elle communiqué pour obtenir des renseignements ou des conseils?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Association industrielle :
Groupe qui soutient et protège les droits d'une industrie particulière et les travailleurs de cette industrie.

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Centre canadien pour la cybersécurité (CCC) :
Un organisme du gouvernement du Canada qui représente la seule source unifiée fournissant des avis, des conseils, des services et du soutien spécialisés en matière de cybersécurité pour le gouvernement, le secteur privé, les Canadiens ainsi que les propriétaires et les exploitants d'infrastructures essentielles.

Commissariat à la protection de la vie privée :
Un organisme du gouvernement du Canada qui fournit des conseils et des renseignements aux particuliers sur la protection des renseignements personnels. Il applique aussi les lois fédérales en matière de vie privée qui établissement les règles quant à la manière dont les institutions du gouvernement fédéral et certaines organisations doivent manipuler les renseignements personnels.

Entrepreneur :
Personne ou enterprise embauchée pour évaluer les besoins du client et effectivement exécuter le travail.

Expert-conseil :
Personne ou enterprise embauchée pour évaluer les besoins du client et fournir son expertise et son opinion sur ce qui doit être fait.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Logiciel :
Programme informatique qui fournit des instructions permettant au matériel informatique de fonctionner. Les logiciels d'exploitation tels que Windows, Linux ou MacOS permettent à l'ordinateur de fonctionner tandis que les logiciels d'application, tels que les programmes de tabulateur ou de traitement de texte, sont destinés à effectuer un traitement particulier sur un ordinateur.

Organisme de réglementation :
Un organisme qui supervise une industrie ou une activité d'entreprise. Des exemples sont la Banque du Canada et Santé Canada.

: Fournisseurs, clients ou partenaires
: Expert-conseil ou entrepreneur de la TI
: Fournisseur d'assurance contre les cyberrisques
: Services juridiques
: Services de police
: Ministère, organisme, centre ou organisme de réglementation canadien

Avec quels ministères, organismes, centres ou organismes de réglementation canadiens avez-vous
communiqué?
o Commissariat à la protection de la vie privée
o Conseil de la radiodiffusion et des télécommunications canadiennes
o Bureau de la concurrence
o Innovation, Sciences et Développement économique Canada
o Centre canadien pour la cybersécurité (CCC)
o Centre canadien de notification des pourriels
o Agence du revenue du Canada (ARC)
o Autre
: Ministère, organisme, centre ou organisme de réglementation étranger
: Association industrielle
: Banque ou autre institution financière
: Fournisseur de logiciels ou de services
: Communauté de partage de renseignements sur la cybersécurité
: Autre communauté sur Internet
: Famille, amis ou connaissances
: Atelier de réparation d'ordinateurs
: Les employés spécialisés en cybersécurité dans d'autres entreprises ou organisations
: OU
: L'entreprise n'a pas consulté de tiers externe en 2023

Rapport d'incident de cybersécurité - Identificateur de question :50

Votre entreprise a-t-elle signalé toute tentative d'incident de cybersécurité qui a été un échec aux services policiers ou à d'autres parties externes en 2023?

Inclure tous les niveaux des services policiers, y compris les services policiers fédéraux, provinciaux, territoriaux, municipaux et autochtones.

Oui

À quelles parties externes votre entreprise a-t-elle signalé les incidents de cybersécurité?
o Services policiers
o Fournisseurs, clients ou partenaires
o Expert-conseil ou entrepreneur de la TI
o Fournisseur d'assurance en matière de cyberrisque
o Ministère, organisme, centre ou organisme de réglementation canadien

Assistance pour les definitions

Association industrielle :
Groupe qui soutient et protège les droits d'une industrie particulière et les travailleurs de cette industrie.

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Centre canadien pour la cybersécurité (CCC) :
Un organisme du gouvernement du Canada qui représente la seule source unifiée fournissant des avis, des conseils, des services et du soutien spécialisés en matière de cybersécurité pour le gouvernement, le secteur privé, les Canadiens ainsi que les propriétaires et les exploitants d'infrastructures essentielles.

Commissariat à la protection de la vie privée :
Un organisme du gouvernement du Canada qui fournit des conseils et des renseignements aux particuliers sur la protection des renseignements personnels. Il applique aussi les lois fédérales en matière de vie privée qui établissement les règles quant à la manière dont les institutions du gouvernement fédéral et certaines organisations doivent manipuler les renseignements personnels.

Entrepreneur :
Personne ou enterprise embauchée pour évaluer les besoins du client et effectivement exécuter le travail.

Expert-conseil :
Personne ou enterprise embauchée pour évaluer les besoins du client et fournir son expertise et son opinion sur ce qui doit être fait.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Logiciel :
Programme informatique qui fournit des instructions permettant au matériel informatique de fonctionner. Les logiciels d'exploitation tels que Windows, Linux ou MacOS permettent à l'ordinateur de fonctionner tandis que les logiciels d'application, tels que les programmes de tabulateur ou de traitement de texte, sont destinés à effectuer un traitement particulier sur un ordinateur.

Organisme de réglementation :
Un organisme qui supervise une industrie ou une activité d'entreprise. Des exemples sont la Banque du Canada et Santé Canada.

: À quels ministères, organismes, centres ou organismes de réglementation canadiens avez-vous
signalé?
- Commissariat à la protection de la vie privée
- Conseil de la radiodiffusion et des télécommunications canadiennes
- Bureau de la concurrence
- Innovation, Sciences et Développement économique Canada
- Centre canadien pour la cybersécurité (CCC)
- Centre canadien de notification des pourriels
- Centre antifraude du Canada (CAFC)
- Agence du revenue du Canada (ARC)
- Autre

o Ministère, organisme, centre ou organisme de réglementation étranger
o Association industrielle
o Banque ou autre institution financière
o Fournisseur de logiciels ou de services
o Les employés spécialisés en cybersécurité dans d'autres entreprises ou organisations
o Autre
: Non
: Ne sais pas

Tendances actuelles en matière de cybersécurité

Tendances actuelles en matière de cybersécurité - Identificateur de question :51

En 2023, quel était le montant total des paiements de rançon effectués par votre entreprise?

Assistance pour les definitions

Rançongiciel :
Type de logiciel malveillant qui restreint l'accès à votre ordinateur ou à vos fichiers et qui affiche un message où l'on exige un paiement afin de retirer la restriction.

: Supérieur à 0 $, mais inférieur ou égal à 10 000 $
: Supérieur à 10 000 $, mais inférieur ou égal à 50 000 $
: Supérieur à 50 000 $, mais inférieur ou égal à 100 000 $
: Supérieur à 100 000 $, mais inférieur ou égal à 250 000 $
: Supérieur à 250 000 $, mais inférieur ou égal à 500 000 $
: Supérieur à 500 000 $
: L'entreprise n'a versé aucune rançon en 2023
: Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question :52

En 2023, quel était la forme de transaction utilisée par votre entreprise pour faire un paiement de rançon?

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Cryptomonnaie :
Une monnaie numérique dans laquelle des techniques de chiffrement servent à réglementer la production d'unités monétaires et à vérifier le transfert de fonds, fonctionnant indépendamment d'une banque centrale.

Rançongiciel :
Type de logiciel malveillant qui restreint l'accès à votre ordinateur ou à vos fichiers et qui affiche un message où l'on exige un paiement afin de retirer la restriction.

: Cryptomonnaie
: Carte-cadeau
: Virement électronique
: Autre - Veuillez préciser

Tendances actuelles en matière de cybersécurité - Identificateur de question :53

En 2023, avec quels tiers externes votre entreprise a-t-elle collaboré pour régler des attaques de rançongiciel?

Inclure tous les tires externes à qui votre entreprise a signalé les attaques de rançongiciel.

Sélectionnez tout ce qui s'applique.

Assistance pour les definitions

Assurance contre les cyberrisques :
Produit d'assurance utilisé pour protéger les enterprises et les particuliers utilisateurs contre les risques d'Internet et plus généralement les risques liés à l'infrastructure et aux activités des technologies de l'information.

Centre canadien pour la cybersécurité (CCC) :
Un organisme du gouvernement du Canada qui représente la seule source unifiée fournissant des avis, des conseils, des services et du soutien spécialisés en matière de cybersécurité pour le gouvernement, le secteur privé, les Canadiens ainsi que les propriétaires et les exploitants d'infrastructures essentielles.

Commissariat à la protection de la vie privée :
Un organisme du gouvernement du Canada qui fournit des conseils et des renseignements aux particuliers sur la protection des renseignements personnels. Il applique aussi les lois fédérales en matière de vie privée qui établissement les règles quant à la manière dont les institutions du gouvernement fédéral et certaines organisations doivent manipuler les renseignements personnels.

Entrepreneur :
Personne ou enterprise embauchée pour évaluer les besoins du client et effectivement exécuter le travail.

Expert-conseil :
Personne ou enterprise embauchée pour évaluer les besoins du client et fournir son expertise et son opinion sur ce qui doit être fait.

Incident de cybersécurité :
Toute tentative non autorisée, réussie ou non, d'atteindre, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource de système.

Rançongiciel :
Type de logiciel malveillant qui restreint l'accès à votre ordinateur ou à vos fichiers et qui affiche un message où l'on exige un paiement afin de retirer la restriction.

: Expert-conseil ou entrepreneur de la TI
: Fournisseur d'assurance contre les cyberrisques
: Gendarmerie royale du Canada (GRC)
: Autres services de police
: Centre canadien pour la cybersécurité (CCC)
: Centre canadien de signalement de pourriels
: Centre antifraude du Canada (CAFC)
: Commissariat à la protection de la vie privée
: Autres tiers externes
: OU
: L'entreprise n'a collaboré avec aucun tiers externe pour régler des attaques de rançongiciel en 2023
: OU
: Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question :54

En cas d'attaque par rançongiciel, votre entreprise a-t-elle pour règle ou pour politique de ne pas payer la rançon?

: L'entreprise a pour règle ou pour politique de ne pas payer de rançon
: L'entreprise n'a pas pour règle ou pour politique de ne pas payer de rançon
: Ne sais pas

Avis d'intention d'extraire des données Web

Avis d'intention d'extraire des données Web - Identificateur de question :55

Quelle est l'adresse du site Web de cette entreprise?

Il est possible que nous accédions également au site Web de cette entreprise pour chercher d'autres renseignements accessibles au public à l'aide de méthodes automatisées, tout en prenant garde de ne pas entraver le fonctionnement du site Web.

: Adresse du site Web

Date de modification :: 2023-10-16

Sélection de la langue

Recherche et menus

Recherche