Enquête canadienne sur la cybersécurité et le cybercrime - 2023

Caractéristiques de l'entreprise - Identificateur de question :1

Lesquels des éléments suivants sont actuellement utilisés par votre entreprise?
Sélectionnez tout ce qui s'applique.

• : Site Web pour votre entreprise
• : Comptes de médias sociaux pour votre entreprise
• : Plateformes et solutions de commerce électronique
• : Applications Web
• : Logiciels libres
• : Services infonuagiques ou services de stockage de données en nuage
• : Appareils intelligents connectés à l'Internet ou Internet des objets (IdO)
• : Intranet
• : Technologies de la chaîne de blocs
• : Services de voix sur protocole Internet (VoIP)
• : Technologie d'accès à distance
• : Logiciels our matériel utilisant l'intelligence artificielle (IA)
• : OU
• : L'entreprise n'utilise aucune des éléments ci-dessus

Caractéristiques de l'entreprise - Identificateur de question :2

Quel type de données votre entreprise conserve-t-elle dans des serveurs branchés à Internet?

Inclure :
• Les données dans des services d'informatique ou de stockage de données en nuage
• les données stockées dans des serveurs accessibles à distance (p.ex. par le biais de connexions de bureau virtuel)
• les données qui sont sauvegardées.

Sélectionnez tout ce qui s'applique.

• : Renseignements confidentiels sur les employés
• : Renseignements confidentiels concernant les clients, les fournisseurs ou les partenaires
• : Renseignements confidentiels sur votre entreprise
• : Renseignements commerciaux de nature délicate
• : Renseignements de nature non délicate ou information publique
• : OU
• : L'entreprise ne conserve pas de données dans des serveurs branchés à Internet

Caractéristiques de l'entreprise - Identificateur de question :3

Est-ce que quelqu'un dans votre entreprise utilise des dispositifs personnels, comme des téléphones intelligents, des tablettes, des ordinateurs portatifs ou des ordinateurs de bureau pour mener des activités reliées au travail régulières?

Inclure les dispositifs personnels sur lesquels sont installés des logiciels d'entreprise, et les dispositifs qui sont subventionnés par l'entreprise.

• : Oui
• : Non
• : Ne sais pas

Environnement de cybersécurité - Identificateur de question :4

Lesquelles des mesures de cybersécurité suivantes sont actuellement en place dans votre entreprise? Inclure les mesures de sécurité sur place et externes, y compris celles fournies par un tiers externe. Sélectionnez tout ce qui s'applique.

• : Sécurité mobile
• : Logiciels contre les programmes malveillants pour protéger contre les virus, les espiogiciels, les rançongiciels, etc.
• : Sécurité Web
• : Sécurité des courriels
• : Sécurité des réseaux
• : Protection et contrôle des données
• : Sécurité aux points de vente (PDV)
• : Sécurité logicielle et des applications
• : Sécurité relative au matériel et à la gestion des actifs
• : Sécurité relative à la gestion de l'accès et de l'identité
• : Contrôles de l'accès physique
• : OU
• : L'entreprise n'a pas de mesures de cybersécurité en place
• : OU
• : Ne sais pas

Environnement de cybersécurité - Identificateur de question :5

L'un des tiers externes suivantes, ou normes de cybersécurité ou programmes de certification en matière de cybersécurité a-t-il exigé que votre entreprise mette en oeuvre certaines mesures de cybersécurité?

Sélectionnez tout ce qui s'applique.

• : Fournisseur de biens matériels
• : Fournisseur de biens ou de services numériques
• : Fournisseur d'autres services non numériques
• : Client
• : Partenaire
• : Ministère, organisme, centre ou organisme de réglementation canadien
  
  Quels ministères, organismes, centres ou organismes de réglementation canadiens ont exigé que votre entreprise mettre en oeuvre certaines mesures de cybersécurité?
  o Commissariat à la protection de la vie privée
  o Conseil de la radiodiffusion et des télécommunications canadiennes
  o Bureau de la concurrence
  o Innovation, Sciences et Développement économique Canada
  o Centre canadien pour la cybersécurité (CCC)
  o Centre canadien de notification des pourriels
  o Agence du revenu du Canada (ARC)
  o Autre
• : Ministère, organisme, centre ou organisme de réglementation étranger
• : Norme de cybersécurité ou un programme de certification en matière de cybersécurité
• : Fournisseur de l'assurance contre les cyberrisques
• : OU
• : Aucune de ces réponses

Environnement de cybersécurité - Identificateur de question :6

Combien d'employés de votre entreprise s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles?

Inclure employés à temps partiel et à temps plein. Les exemples de tâches à compléter par les employés peuvent inclure :
- gérer, évaluer ou améliorer la sécurité des réseaux, de la présence sur le Web, des systèmes de messagerie électronique ou des dispositifs de l'entreprise;
- apporter des correctifs aux logiciels ou aux systèmes d'exploitation utilisés par l'entreprise ou les mettre à jour pour des raisons de sécurité;
- accomplir des tâches liées aux mesures de rétablissement à la suite des incidents de cybersécurité.

Exclure :
• Membres de la haute direction chargés de la prise de décisions concernant les risques, les menaces et les incidents en matière de cybersécurité
• les personnes qui sont employées par les experts-conseils ou entrepreneurs en TI externes.

Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation.

• : Un employé
• : Deux à cinq employés
• : 6 à 15 employés
• : Plus de 15 employés
• : Aucun
• : Ne sais pas

Environnement de cybersécurité - Identificateur de question :7

Quelles sont les principales raisons pour lesquelles votre entreprise ne compte aucun employé qui s'occupe de tâches liées à la cybersécurité dans le cadre de ses responsabilités habituelles? Sélectionnez tout ce qui s'applique.

• : L'entreprise a recours à des experts-conseils ou à des entrepreneurs du secteur privé pour surveiller la cybersécurité
• : L'entreprise fait appel à des consultants ou à des entrepreneurs du secteur public pour surveiller la cybersécurité
• : L'entreprise a une assurance contre cyberrisques
• : L'entreprise est en voie de recruter un employé spécialisé en cybersécurité
• : L'entreprise est incapable de trouver un employé spécialisé en cybersécurité ayant les qualifications adéquates
• : L'entreprise n'a pas d'argent ou les ressources pour embaucher un employé spécialisé en cybersécurité
• : La cybersécurité ne représente pas un risque élevé pour l'entreprise
• : La société mère de l'entreprise gère la cybersécurité

Environnement de cybersécurité - Identificateur de question :8

Quel pourcentage des employés de votre entreprise qui s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles s'identifient aux genres suivants?

Le genre fait référence au genre actuel, qui peut être différent du sexe attribué à la naissance et de ce qui figure dans les documents juridiques.

Exclure les personnes qui sont employés par les experts-conseils ou entrepreneurs en TI externes.

Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation.

• : Femme
• : Homme
• : Autre genre

Environnement de cybersécurité - Identificateur de question :9

À quels groupes de population les employés spécialisés en cybersécurité de votre entreprise appartiennent-ils?
Sélectionnez tout ce qui s'applique.

• : Blancs
• : Autochtones
• : Minorités visibles
• : OU
• : Ne sais pas

Environnement de cybersécurité - Identificateur de question :10

Quels sont les plus hauts certificats, diplômes ou grades académiques obtenus par les employés spécialisés en cybersécurité de votre entreprise?

Sélectionnez le plus haut certificat, diplôme ou grade académique que chacun de vos employés spécialisés en cybersécurité a obtenu.

• : Niveau inférieur à un diplôme d'études secondaires ou à son équivalent
• : Diplôme d'études secondaires ou une attestation d'équivalence d'un diplôme d'études secondaires
• : Certificat ou diplôme d'une école de métiers
• : Certificat ou diplôme d'un collège, d'un cégep ou d'un autre établissement non-universitaire (autre que les certificats ou diplômes de métiers)
• : Certificat ou diplôme universitaire inférieur au baccalauréat
• : Baccalauréat
• : Certificat, diplôme ou grade universitaire supérieur au baccalauréat
• : OU
• : Ne sais pas

Environnement de cybersécurité - Identificateur de question :11

Quelles sont les certifications en matière de cybersécurité détenues par les employés spécialisés en cybersécurité de votre entreprise?
Exclure les certificats, diplômes et grades académiques.
Sélectionnez tout ce qui s'applique.

• : Hacker éthique certifié
• : Gestionnaire certifié de la sécurité de l'information
• : Professionnel certifié en systèmes d'information
• : Expert en sécurité GIAC
• : Security+
• : Autres certifications
• : OU
• : Aucune
• : OU
• : Ne sais pas

Environnement de cybersécurité - Identificateur de question :12

Au moment d'évaluer un nouvel employé potentiel spécialisé en cybersécurité, quelle qualification est-elle la plus importante pour votre entreprise?

Les employés spécialisé en cybersécurité sont les employés à temps partiel et à temps plein qui s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles. Les exemples de tâches à compléter par les employés peuvent inclure :
• gérer, évaluer ou améliorer la sécurité des réseaux, de la présence sur le Web, des systèmes de messagerie électronique ou des dispositifs
• apporter des correctifs aux logiciels ou aux systèmes d'exploitation utilisés pour des raisons de sécurité
• accomplir des tâches liées aux mesures de rétablissement à la suite des incidents de cybersécurité.

Exclure:
• Membres de la haute direction chargés de la prise de décisions concernant les risques, les menaces et les incidents en matière de cybersécurité
• les personnes qui sont employées par les experts-conseils ou entrepreneurs en TI externes.

• : Expérience de travail en cybersécurité
• : Certificats, diplômes ou grades universitaires liés à la cybersécurité
• : Autres certifications en matière de cybersécurité
• : Autre formation en matière de cybersécurité
• : Autres qualifications - Précisez les autres qualifications
• : L'entreprise n'a jamais tenté d'embaucher un employé spécialisé en cybersécurité
• : Ne sais pas

Environnement de cybersécurité - Identificateur de question :13

Quelles sont les trois principales compétences techniques en matière de cybersécurité que vous recherchez chez les employés potentiels nouveaux spécialisés en cybersécurité?

Sélectionnez jusqu'à trois.

• : Langage de script
• : Développement, déploiement ou débogage de logiciels
• : Développement, mise en oeuvre ou mise à jour des systèmes de TI
• : Gestion ou analyse des données
• : Connaissance des systèmes de détection d'intrusion (SDI) ou des systèmes de prévention d'intrusion (IPS)
• : Expérience du travail en sécurité de la TI ou des réseaux
• : Expérience du travail en sécurité des applications
• : Expérience de l'intervention en cas d'incident de cybersécurité
• : Expérience en matière de piratage éthique
• : Autre - Veuillez préciser les autres compétences techniques

Environnement de cybersécurité - Identificateur de question :14

En 2023, votre entreprise a-t-elle eu de la difficulté à trouver des employés qualifiés en cybersécurité ou à maintenir en poste ses employés spécialisés en cybersécurité?

Sélectionnez tout ce qui s'applique.

• : Difficulté à trouver des employés qualifiés en cybersécurité
• : Difficulté à maintenir en poste les employés spécialisés en cybersécurité
• : OU
• : L'entreprise n'a eu aucune difficulté à trouver ou à maintenir en poste des employés qualifiés en cybersécurité en 2023
• : OU
• : Ne sais pas

Environnement de cybersécurité - Identificateur de question :15

À quels défis votre entreprise a-t-elle dû faire face au moment d'embaucher des employés spécialisés en cybersécurité en 2023?

Sélectionnez tout ce qui s'applique.

• : Manque de compétences des candidats
• : Manque d'expérience des candidats
• : Demandes trop exigeantes en matière de salaire
• : Manque de temps ou de ressources pour effectuer un recrutement efficace
• : Manque d'intérêt pour le poste de la part des candidats
• : Autre défis - Précisez les autres défis
• : OU
• : Ne sais pas

Environnement de cybersécurité - Identificateur de question :16

Pour quelles raisons des employés spécialisés en cybersécurité ont-ils quitté votre entreprise en 2023?

Sélectionnez tout ce qui s'applique.

• : Recrutement par une autre entreprise
• : Promotions ou occasions d'avancement insuffisantes à l'interne
• : Niveau de stress élevé au travail
• : Manque de flexibilité (conciliation travail-vie personnelle)
• : Meilleur salaire
• : Autres raisons - Précisez les autres raisons
• : OU
• : Aucun employé spécialisé en cybersécurité n'a quitté l'entreprise en 2023
• : OU
• : Ne sais pas

Environnement de cybersécurité - Identificateur de question :17

Votre entreprise a-t-elle communiqué des pratiques exemplaires ou des renseignements généraux sur les risques pour la cybersécurité à vos employés en 2023?

Inclure le partage d'information au moyen des courriels, des babillards et des séances d'information générale sur des sujets se rapportant aux points suivants :
• reconnaître et éviter les arnaques par courriel
• importance de la complexité des mots de passe et des techniques de sécurité de base
• sécuriser votre navigateur Web et avoir des pratiques de navigation Web sécuritaires
• éviter les attaques d'hameçonnage
• reconnaître et éviter les espiogiciels.

• a. : Renseignements communiqués aux employés spécialisés en cybersécurité
• b. : Renseignements communiqués à d'autres employés
  o Oui
  o Non
  o Sans Objet
  o Ne sais pas

Environnement de cybersécurité - Identificateur de question :18

Votre entreprise a-t-elle offert une formation officielle pour développer ou mettre à jour les compétences liées à la cybersécurité de vos employés ou de vos intervenants en 2023?

Inclure la formation offerte par d'autres sources externes.
Exclure l'échange de renseignements ad hoc entre les employés.

• 1. : Formation offerte aux employés spécialisés en cybersécurité
• 2. : Formation offerte aux autres employés
• 3. : Formation offerte aux intervenants, comme les fournisseurs, les clients ou les partenaires
  o Oui
  o Non
  o Sans Objet
  o Ne sais pas

Environnement de cybersécurité - Identificateur de question :19

Pourquoi votre entreprise n'a-t-elle pas offert de formation officielle à certains ou à tous ses employés pour perfectionner ou améliorer leurs compétences en matière de cybersécurité?

• : Incapable de trouver la formation appropriée
• : Coût de la formation
• : Pas assez de temps ou de ressources pour permettre aux employés de suivre une formation
• : Manque d'intérêt des employés
• : Les employés n'avaient pas besoin de formation officielle
• : Autre

Environnement de cybersécurité - Identificateur de question :20

Quelles sont les trois principales raisons pour lesquelles votre entreprise consacre du temps ou un budget à des mesures de cybersécurité ou à des formations en cybersécurité?

Sélectionnez jusqu'à trois.

• : Permettre aux employés de travailler à distance en toute sécurité
• : Protéger la réputation de l'entreprise
• : Protéger les renseignements personnels des employés, des fournisseurs, des clients ou des partenaires
• : Protéger les secrets commerciaux et la propriété intellectuelle
• : Observation aux lois et règlements canadiens
• : Observation aux lois et règlements étrangers
• : Observations des contrats
• : L'entreprise a déjà subi un incident de cybersécurité
• : Éviter les temps d'arrêt et les pannes informatiques
• : Empêcher la fraude et le vol
• : Garantir la continuité des activités de l'entreprise
• : Requis par le fournisseur d'assurance contre les cyberrisques
• : OU
• : L'entreprise ne dépense pas de temps ou d'argent sur des mesures de cybersécurité ou une formation en cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :21

Lesquelles des dispositions suivantes en matière de gestion des risques sont actuellement appliquées par votre entreprise? Sélectionnez tout ce qui s'applique.

• : Une politique écrite en place pour la gestion des risques internes liés à la cybersécurité
• : Une politique écrite en place pour la gestion des risques liés à la cybersécurité associés aux partenaires de la chaîne d'approvisionnement
  
  La politique écrite de votre entreprise associée aux partenaires de la chaîne d'approvisionnement aborde-t-elle l'un des points suivants?
  o Risques pour la cybersécurité associés aux fournisseurs ou partenaires immédiats
  o Risques pour la cybersécurité associés à la chaîne d'approvisionnement élargie de votre entreprise
• : Une politique écrite en place pour signaler des cyberincidents
• : Un autre type de politique écrite liée à la cybersécurité est en place
• : Une assurance contre les cyberrisques
  
  De quel type d'assurance contre les cyberrisques votre entreprise dispose-t-elle?
  o Couverture indirecte au moyen d'une police d'assurance existante
  o Ajout propre à la cybersécurité à une police d'assurance existante
  
  De quel type d'ajout propre à la cybersécurité votre entreprise dispose-t-elle?
  o Ajout propre à la cybersécurité à une police d'assurance existante avec une couverture de
  moins de 100 000 $
  o Ajout propre à la cybersécurité à une police d'assurance existante avec une couverture de plus de 100 000 $
  o Ne sais pas
  o Assurance distincte contre les cyberrisques
  o Autre
• : Une procédure pour informer les employés d'incidents ou de menaces en matière de cybersécurité
• : Un plan de continuité des activités ou des affaires (PCA) intégrant des processus pour la gestion des cybermenaces, des vulnérabilités et des risques
• : Employés chargés d'assurer la surveillance des risques et des menaces pour la cybersécurité
• : Membres de la haute direction chargés d'assurer la surveillance des risques et des menaces pour la cybersécurité
• : Un expert-conseil ou entrepreneur pour gérer les risques et les menaces pour la cybersécurité
• : Application de correctifs ou mises à jour visant à améliorer la sécurité des systèmes d'exploitation tous les mois ou plus fréquemment
• : Application de correctifs ou mises à jour visant à améliorer la sécurité des logiciels tous les mois ou plus fréquemment
• : Formation récurrente obligatoire dur la cybersécurité pour les employés
• : OU
• : L'entreprise n'applique aucune disposition en matière de gestion des risques pour la cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :22

Pourquoi votre entreprise n'a-t-elle pas adopté de politique écrite pour gérer les risques en matière de cybersécurité associés aux partenaires de la chaîne d'approvisionnement?

Sélectionnez tout ce qui s'applique.

• : Manque de temps ou d'argent quand vient le temps d'investir dans la création ou le maintien d'une politique
• : Manque de connaissance quand vient le temps d'élaborer une politique
• : Manque de renseignements accessibles sur les partenaires de la chaîne d'approvisionnement
• : La création d'une telle politique n'est pas une prioritément
• : Une telle politique ne s'applique pas à l'entreprise
• : L'entreprise n'a pas envisagé de mettre en oeuvre une politique
• : Autre

État de préparation en matière de cybersécurité - Identificateur de question :23

Vos politiques écrites en matière de cybersécurité ont-elles été examinées par des tiers, comme des experts-conseils en cybersécurité ou des auditeurs externes, au cours des deux dernières années?

• : Oui
• : Non
• : Ne sais pas

État de préparation en matière de cybersécurité - Identificateur de question :24

Comment décririez-vous le niveau de préparation de votre entreprise quand vient le temps de se défendre contre les cybermenaces?

• : Extrêmement préparée
• : Très préparée
• : Plutôt préparée
• : Mal préparée
• : Très mal préparée

État de préparation en matière de cybersécurité - Identificateur de question :25

Lesquels des éléments suivants sont couverts par votre police d'assurance contre les cyberrisques? Sélectionnez tout ce qui s'applique.

• : Pertes directes par suite d'une attaque ou d'une intrusion
• : Réaction aux incidents
• : Frais de restauration des logiciels, du matériel et des données électroniques
• : Interruption des activités (perte de temps de production)
• : Petre relative à la réputation
• : Responsabilité envers les tiers
• : Cyberextorsion ou paiement de rançon
• : Pertes financières
• : Mesure corrective pour les infractions à la sécurité et frais de notification
• : Frais de surveillance du crédit
• : Demandes d'indemnisation des employés
• : Autre - Veuillez préciser
• : OU
• : Ne sais pas

État de préparation en matière de cybersécurité - Identificateur de question :26

Lorsque l'assurance contre les cyberrisques de votre entreprise a été renouvelée la dernière fois, votre fournisseur a-t-il apporté des modifications à l'un des points suivants?

Sélectionnez tout ce qui s'applique.

• : Primes plus élevées
• : Franchise plus élevée
• : Limite de couverture inférieure
• : Exclusions additionnelles
• : Coassurance
• : Sous-limites
• : Augmentation du seuil de base en cybersécurité ou de la liste de vérification des normes en cybersécurité requis pour obtenir une couverture
• : Couverture réduite pour les rançongiciels
• : Soumissions plus détaillées, y compris, mais sans en exclure d'autres, des questionnaires supplémentaires sur les rançongiciels
• : Fournir des services préalables à une atteinte à la sécurité
• : Embaucher une entreprise de cybersécurité tierce pour réaliser des évaluations additionnelles
• : Réaliser des analyses externes d'actifs sur le Web
• : Autre - Veuillez préciser
• : OU
• : Aucun
• : OU
• : Ne sais pas

État de préparation en matière de cybersécurité - Identificateur de question :27

Pourquoi votre entreprise n'a-t-elle pas une assurance contre les cyberrisques?
Sélectionnez tout ce qui s'applique.

• : Les polices d'assurance actuelles de l'entreprise couvrent les cyberrisques
• : Le coût d'une assurance contre les cyberrisques est trop élevé
• : Les mesures de cybersécurité actuelles de l'entreprise offrent suffisamment de protection pour qu'une assurance contre les cyberrisques ne soit pas nécessaire
• : L'entreprise n'est exposée à aucun cyberrisque
• : L'entreprise n'a pas envisagé d'obtenir une assurance contre les cyberrisques
• : Ne connaissions pas l'assurance contre les cyberrisques avant de répondre à cette enquête
• : Autres raisons de ne pas avoir d'assurance contre les cyberrisques
• : OU
• : Ne sais pas

État de préparation en matière de cybersécurité - Identificateur de question :28

Avant de répondre à cette enquête, connaissiez-vous des normes de cybersécurité ou des programmes de certification en matière de cybersécurité auxquels les entreprises peuvent s'inscrire?

Inclure :
- les normes et les programmes canadiens, étrangers et internationaux;
- les normes et les programmes que vous connaissiez, mais auxquels votre entreprise n'était pas admissible ou ne s'est pas inscrite.

Sélectionnez tout ce qui s'applique.

• : Normes de cybersécurité
  
  Votre entreprise se conforme-t-elle à une norme en matière de cybersécurité?
  o Oui
  o Non
  o Ne sais pas
• : Programmes de certification en matière de cybersécurité
  
  Votre entreprise dispose-t-elle d'une certification en matière de cybersécurité?
  o Oui
  o Non
  o Ne sais pas
• : OU
• : Ne connaissions aucune norme de cybersécurité ni aucun programme de certification

État de préparation en matière de cybersécurité - Identificateur de question :29

Lesquelles des activités suivantes votre entreprise mène-t-elle pour identifier les risques à la cybersécurité? Sélectionnez tout ce qui s'applique.

• : Surveiller du comportement associé à un risque de menace interne
• : Surveiller le comportement d'autres employés
• : Surveillance du réseau et des systèmes d'entreprise
• : Évaluation formelle des risques liés aux pratiques en matière de cybersécurité, par un employé
• : Évaluation formelle des risques liés aux pratiques en matière de cybersécurité, par un tiers externe
• : Tests d'intrusion, par un employé
• : Tests d'intrusion, par un tiers externe
• : Évaluation de la sécurité des appareils intelligents connectés à Internet ou des dispositifs de l'Internet des objets (IdO)
• : Investissement au titre du renseignement sur les menaces
• : Participation à une communauté d'échange d'informations sur la cybersécurité
• : Vérification complète des systèmes de la TI, par un tiers externe
• : L'entreprise mène d'autres activités pour identifier les risques pour la cybersécurité
• : OU
• : L'entreprise ne mène pas d'activités pour identifier les risques pour la cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :30

À quelle fréquence votre entreprise mène-t-elle des activités pour identifier les risques pour la cybersécurité? Sélectionnez tout ce qui s'applique.

• : Selon un horaire précis
  
  À quelle fréquence votre entreprise mène-t-elle des activités pour déterminer les risques pour la cybersécurité?
  o Tous les jours
  o Toutes les semaines
  o Tous les mois
  o Tous les trimestres
  o Chaque année
  •o Autre
• : Lorsque survient un incident de cybersécurité
• : Lorsqu'une nouvelle initiative ou un nouveau projet en TI est lancé
• : De façon irrégulière

État de préparation en matière de cybersécurité - Identificateur de question :31

À quelle fréquence la haute direction de votre entreprise reçoit-elle une mise à jour sur les mesures prises concernant la cybersécurité?
Sélectionnez tout ce qui s'applique.

• : Selon un horaire précis
  
  À quelle fréquence la haute direction reçoit-elle une mise à jour sur les mesures prises concernant la cybersécurité?
  o Tous les jours
  o Toutes les semaines
  o Tous les mois
  o Tous les trimestres
  o Chaque année
  o Autre
• : Lorsque survient un incident de cybersécurité
• : Lorsqu'une nouvelle initiative ou un nouveau projet en TI est lancé
• : La haute direction dispose d'outils qui lui permet d'assurer le suivi des questions relatives à la cybersécurité
• : La haute direction reçoit une mise à jour sur de façon irrégulière
• : OU
• : La haute direction ne reçoit pas de mise à jour sur les problèmes de cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :32

Parmi les ressources suivantes fournies par le gouvernement fédéral en matière de cybersécurité, lesquelles votre entreprise a-t-elle utilisées?

Sélectionnez tout ce qui s'applique.

• : Campagne Pensez cybersécurité
• : Programme de certification de CyberSécuritaire Canada
• : Contrôles de cybersécurité de base pour les petites et moyennes organisations
• : Outil canadien de cybersécurité (OOC)
• : Guide sur les rançongiciels
• : Élaboration d'un plan d'intervention en cas d'incident de la technologie opérationnelle et de la technologie de l'information
• : Orientations ou outils spécifiques à un secteur
• : Autres rapports, conseils ou orientations
• : OU
• : Aucun
• : OU
• : Ne sais pas

Incidents de cybersécurité - Identificateur de question :33

Selon vous, lesquels des incidents de cybersécurité suivants ont touché votre entreprise en 2023?

Sélectionnez tout ce qui s'applique.

• : Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
• : Incidents pour voler des renseignements personnels ou financiers
• : Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
• : Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
• : Incidents pour accéder à des zones d'accès non autorisé ou privilégié
• : Incidents pour surveiller et suivre les activités commerciales
• : Incidents sans motif connu
• : OU
• : L'entreprise n'a pas été touchée par des incidents de cybersécurité en 2023

Incidents de cybersécurité - Identificateur de question :34

En 2023, votre entreprise a-t-elle été contactée par l'un des autres tiers externes suivants au sujet de leurs incidents de cybersécurité parce qu'ils pouvaient concerner votre entreprise?

Sélectionnez tout ce qui s'applique.

• : Fournisseurs, clients ou partenaires
• : Expert-conseil ou entrepreneur de la TI
• : Fournisseur d'assurance contre les cyberrisques
• : Ministère, organisme, centre ou organisme de réglementation canadien
  
  Quels ministères, organismes, centres ou organismes de réglementation canadiens ont contacté votre
  entreprise?
  o Commissariat à la protection de la vie privée
  o Conseil de la radiodiffusion et des télécommunications canadiennes
  o Bureau de la concurrence
  o Innovation, Sciences et Développement économique Canada
  o Centre canadien pour la cybersécurité (CCC)
  o Centre canadien de notification des pourriels
  o Agence du revenue du Canada (ARC)
  o Autre
• : Ministère, organisme, centre ou organisme de réglementation étranger
• : Association industrielle
• : Banque ou autre institution financière
• : Fournisseur de logiciels ou de services
• : Autres parties non susmentionnées
• : OU
• : Les tiers externes n'ont pas signalé leurs incidents de cybersécurité à l'entreprise en 2023

Incidents de cybersécurité - Identificateur de question :35

Vous avez indiqué précédemment que d'autres tiers externes ont contacté votre entreprise au sujet de leurs incidents de cybersécurité parce qu'ils auraient pu impliquer votre entreprise en 2023. Comment votre entreprise a-t-elle réagi à ces incidents de cybersécurité?

Sélectionnez tout ce qui s'applique.

• : Les incidents ont été réglés à l'interne
• : Les incidents ont été réglés avec l'autre tiers externe
• : Les incidents ont été réglés avec l'assurance contre les cyberrisques
• : Les incidents ont été réglés par l'intermédiaire d'un expert-conseil ou entrepreneur de la TI
• : Les événements ont été signalés à un service de police
• : Les événements ont été signalés à d'autres tiers externes
• : L'entreprise travaille actuellement avec l'autre tiers externe pour régler les incidents
• : OU
• : Aucune mesure n'était nécessaire ou aucune action n'a été prise par l'entreprise

Coûts liés à la cybersécurité - Identificateur de question :36

En 2023, quel est le montant total que votre entreprise a dépensé pour prévenir ou détecter les incidents de cybersécurité?

Exclure les coûts engagés à la suite des incidents de cybersécurité antérieurs (p. ex. les coûts de reprise après des incidents de cybersécurité).

Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation en dollars canadiens.

Entrez « 0 » s'il n'y a aucune valeur à déclarer.

• a. : Salaire des employés liée à la prévention ou à la détection
• b. : Coût de la formation des employés, des fournisseurs, des clients ou des partenaires
• c. : Coût d'embauche d'experts-conseils et d'entrepreneurs en TI
• d. : Coût des services juridiques ou de relations publiques (RP)
• e. : Coût du logiciel de cybersécurité
• f. : Coût du matériel lié à la cybersécurité
• g. : Coût annuel de l'assurance contre les cyberrisques ou équivalent
• h. : Autres coûts connexes

Coûts liés à la cybersécurité - Identificateur de question :37

En 2023, combien cela a-t-il coûté en tout à votre entreprise pour se remettre des incidents de cybersécurité?

Exclure les coûts liés à la prévention et à la détection des incidents de cybersécurité, car ils sont couverts à la question précédente.

Si des chiffres précis ne sont pas disponibles, fournir votre meilleure estimation en dollars canadiens.

Entrez « 0 » s'il n'y a aucune valeur à déclarer.

• a. : Salaire des employés pour se remettre des incidents
• b. : Coût de la formation des employés, des fournisseurs, des clients ou des partenaires
• c. : Coût d'embauche d'experts-conseils et d'entrepreneurs en TI
• d. : Coût des services juridiques ou de relations publiques (RP)
• e. : Coût de l'embauche d'autres parties externes
• f. : Coût des logiciels de cybersécurité nouveaux ou mis à jour
• g. : Coût du matériel de cybersécurité nouveau ou mis à jour
• h. : Augmentation des coûts de l'assurance contre les cyberrisques ou équivalent
• i. : Remboursement à des fournisseurs, à des clients ou à des partenaires
• j. : Amendes imposées par des organismes canadiens de réglementation ou des autorités
• k. : Amendes imposées par des organismes étrangers de réglementation ou des autorités
• l. : Paiements de rançon
• m. : Frais de surveillance du crédit
• n. : Coûts associés à la notification d'une atteinte à la sécurité
• o. : Autres coûts connexes

Conséquences des incidents de cybersécurité - Identificateur de question :38

Selon vous, qui a commis les incidents de cybersécurité en 2023?

Sélectionnez tout ce qui s'applique.

• : Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
• : Incidents pour voler des renseignements personnels ou financiers
• : Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
• : Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données de l'entreprise
• : Incidents pour accéder à des zones d'accès non autorisé ou privilégié
• : Incidents pour surveiller et suivre les activités de l'entreprise
• : Incidents sans motif connu
  
  • Un employé d'un autre tiers externe
  • Un employé interne
  • Fournisseur, client ou partenaire
  OU
  • Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question :39

Quelle étaient les méthodes utilisée par l'auteur pour compromettre la cybersécurité?

Sélectionnez tout ce qui s'applique.

• : Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
• : Incidents pour voler des renseignements personnels ou financiers
• : Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
• : Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données de l'entreprise
• : Incidents pour accéder à des zones d'accès non autorisé ou privilégié
• : Incidents pour surveiller et suivre les activités de l'entreprise
• : Incidents sans motif connu
  
  • Exploitation des vulnérabilités des logiciels, du matériel ou des réseaux
  • Décodage du mot de passe
  • Vol d'identité
  • Arnaques et fraudes
  • Rançongiciel
  • Autres attaques de logiciels malveillants
  • Déni de service (DoS) ou déni de service distribué (DDoS)
  • Perturbation ou défiguration de la présence Web
  • Abus des privilèges d'accès commis par un employé interne actuel ou ancien
  • Autre
  OU
  • Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question :40

Vous avez indiqué précédemment que votre entreprise a une assurance contre les cyberrisques. Votre entreprise a-t-elle déjà tenté de présenter une demande de règlement d'assurance après les incidents de cybersécurité en 2023?

Sélectionnez tout ce qui s'applique.

• : Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'entreprise, et la demande a été acceptée
• : Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'entreprise, mais la demande a été rejetée
• : Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'entreprise, et la demande est toujours en cours
• : OU
• : Non, nous n'avons pas présenté une demande de règlement pour un incident de cybersécurité

Conséquences des incidents de cybersécurité - Identificateur de question :41

Quelles ont été les répercussions des incidents de cybersécurité sur votre entreprise en 2023?

Sélectionnez tout ce qui s'applique.

• : Pertes de revenus
• : Perte de fournisseurs, de clients ou de partenaires
• : Frais de réparation ou de rétablissement supplémentaires
• : Indisponibilité des ressources ou des services
• : Impossibilité pour les employés d'effectuer leurs tâches quotidiennes
  
  Quel pourcentage d'employés n'ont-ils pas pu faire leur travail quotidien à un moment en 2023?
  o Pourcentage
• : Temps supplémentaire nécessaire pour permettre aux employés de faire leur travail quotidien
• : Atteinte à la réputation de l'entreprise ou une érosion de confiance du public
• : Sanctions financières ou amendes d'autorités ou d'organismes de réglementation canadiens
• : Sanctions financières ou amendes d'autorités ou d'organismes de réglementation étrangers
• : Décourager l'entreprise d'effectuer une activité future prévue
• : Incidents mineurs ayant eu une incidence minimale sur l'entreprise
• : Manipulation ou vol de données
• : Vol ou atteinte à l'intégrité des logiciels ou du matériel
• : Obligation d'informer les parties externes de toute atteinte à la sécurité
• : Autre
• : OU
• : Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question :42

Combien d'heures environ d'interruption de service votre entreprise a-t-elle subies en raison d'incidents liés à la cybersécurité en 2023?

Inclure :
- le temps d'arrêt total pour les appareils mobiles, les ordinateurs de bureau et les réseaux;
- les périodes pendant lesquelles les activités des employés ou de l'entreprise ont été réduites ou pendant lesquelles les employés ou l'entreprise ont été inactifs.

Si des chiffres précis ne sont pas disponibles, veuillez inscrire votre meilleure estimation.

• : Heures
• : OU
• : L'entreprise n'a pas subi de temps d'interruption en 2023
• : OU
• : Ne sais pas

Rapport d'incident de cybersécurité - Identificateur de question :43

Votre entreprise a-t-elle signalé des incidents de cybersécurité à un service de police en 2023?

Inclure tous les paliers de services de police, y compris les services fédéraux, provinciaux, territoriaux, municipaux et autochtones.

• : Oui
• : Non
• : Ne sais pas

Rapport d'incident de cybersécurité - Identificateur de question :44

Lesquels des incidents de cybersécurité suivants votre entreprise a-t-elle signalés à un service de police en 2023?

Sélectionnez tout ce qui s'applique.

• : Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
• : Incidents pour voler des renseignements personnels ou financiers
• : Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
• : Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
• : Incidents pour accéder à des zones d'accès non autorisé ou privilégié
• : Incidents pour surveiller et suivre les activités commerciales
• : Incidents sans motif connu

Rapport d'incident de cybersécurité - Identificateur de question :45

Quelles sont les raisons pour lesquelles vous avez signalé les incidents de cybersécurité à un service de police en 2023?

Sélectionnez tout ce qui s'applique.

• : Pour réduire les dommages causés par les incidents
• : Pour que d'autres entreprises soient moins susceptibles d'être touchées par le même incident
• : Pour aider à attraper l'auteur ou les auteurs de l'incident
• : Pour répondre aux exigences des clients, des fournisseurs, des organismes de réglementation, des normes de cybersécurité ou des programmes de certification en matière de cybersécurité
• : Autre
  o Précisez d'autres raisons

Rapport d'incident de cybersécurité - Identificateur de question :46

Quelles étaient les raisons de ne pas signaler certains ou tous les incidents de cybersécurité à un service de police en 2023?

Sélectionnez tout ce qui s'applique.

• : Les incidents ont été réglés à l'interne
• : Les incidents ont été réglés à l'aide d'un expert-conseil ou d'un entrepreneur de la TI
• : Garder la connaissance des incidents en interne
• : Afin de protéger la réputation de l'entreprise ou des intervenants
• : Aucune volonté de consacrer plus de temps ou d'argent au problème
• : Le service de police ne considère pas les incidents comme étant suffisamment importants
• : Le service de police fournis par le passé ont été insatisfaisants
• : Ne savions pas à qui ou comment signaler l'incident
• : Le processus d'établissement des rapports est trop complexe ou nébuleux
• : On doutait que l'auteur soit déclaré coupable ou adéquatement puni
• : Incident mineur ayant eu une incidence minimale sur l'entreprise
• : Manque de preuves
• : N'a pas pensé de communiquer avec un service de police
• : OU
• : L'entreprise a signalé tous les incidents de cybersécurité à un service de police en 2023

Rapport d'incident de cybersécurité - Identificateur de question :47

Excluant les services de police, à quel tiers externe votre entreprise a-t-elle signalé un incidents de cybersécurité en 2023?

Sélectionnez tout ce qui s'applique.

• : Fournisseurs, clients ou partenaires
• : Expert-conseil ou entrepreneur de la TI
• : Fournisseur d'assurance contre les cyberrisques
• : Ministère, organisme, centre ou organisme de réglementation canadien
  
  Quels ministères, organismes, centres ou organismes de réglementation canadiens avez-vous signalé?
  o Commissariat à la protection de la vie privée
  o Conseil de la radiodiffusion et des télécommunications canadiennes
  o Bureau de la concurrence
  o Innovation, Sciences et Développement économique Canada
  o Centre canadien pour la cybersécurité (CCC)
  o Centre canadien de notification des pourriels
  o Agence du revenue du Canada (ARC)
  o Autre
• : Ministère, organisme, centre ou organisme de réglementation étranger
• : Association industrielle
• : Banque ou autre institution financière
• : Fournisseur de logiciels ou de services
• : Les employés spécialisés en cybersécurité dans d'autres entreprises ou organisations
• : OU
• : L'entreprise n'a pas signalé d'incidents de cybersécurité à des tiers externes en 2023

Rapport d'incident de cybersécurité - Identificateur de question :48

Quelles étaient les raisons de ne pas signaler certains ou tous les incidents de cybersécurité à un tiers externe en 2023?

Sélectionnez tout ce qui s'applique.

• : Les incidents ont été signalés à un service de police uniquement
• : Les incidents ont été réglés à l'interne
• : Garder la connaissance des incidents à l'interne
• : Afin de protéger la réputation de l'entreprise ou des intervenants
• : Manque de preuves
• : Aucun avantage ou obligation à signaler
• : Incident mineur ayant eu une incidence minimale sur l'entreprise
• : N'a pas pensé de signaler l'incident à un tiers externe
• : Ne savait pas où signaler des incidents de cybersécurité
• : OU
• : L'entreprise a signalé tous les incidents de cybersécurité à une société mère ou d'autres tiers externe en 2023

Rapport d'incident de cybersécurité - Identificateur de question :49

En réponse à un incidents de cybersécurité survenu en 2023, avec quels tiers externes votre entreprise a-t-elle communiqué pour obtenir des renseignements ou des conseils?

Sélectionnez tout ce qui s'applique.

• : Fournisseurs, clients ou partenaires
• : Expert-conseil ou entrepreneur de la TI
• : Fournisseur d'assurance contre les cyberrisques
• : Services juridiques
• : Services de police
• : Ministère, organisme, centre ou organisme de réglementation canadien
  
  Avec quels ministères, organismes, centres ou organismes de réglementation canadiens avez-vous
  communiqué?
  o Commissariat à la protection de la vie privée
  o Conseil de la radiodiffusion et des télécommunications canadiennes
  o Bureau de la concurrence
  o Innovation, Sciences et Développement économique Canada
  o Centre canadien pour la cybersécurité (CCC)
  o Centre canadien de notification des pourriels
  o Agence du revenue du Canada (ARC)
  o Autre
• : Ministère, organisme, centre ou organisme de réglementation étranger
• : Association industrielle
• : Banque ou autre institution financière
• : Fournisseur de logiciels ou de services
• : Communauté de partage de renseignements sur la cybersécurité
• : Autre communauté sur Internet
• : Famille, amis ou connaissances
• : Atelier de réparation d'ordinateurs
• : Les employés spécialisés en cybersécurité dans d'autres entreprises ou organisations
• : OU
• : L'entreprise n'a pas consulté de tiers externe en 2023

Rapport d'incident de cybersécurité - Identificateur de question :50

Votre entreprise a-t-elle signalé toute tentative d'incident de cybersécurité qui a été un échec aux services policiers ou à d'autres parties externes en 2023?

Inclure tous les niveaux des services policiers, y compris les services policiers fédéraux, provinciaux, territoriaux, municipaux et autochtones.

Oui

À quelles parties externes votre entreprise a-t-elle signalé les incidents de cybersécurité?
o Services policiers
o Fournisseurs, clients ou partenaires
o Expert-conseil ou entrepreneur de la TI
o Fournisseur d'assurance en matière de cyberrisque
o Ministère, organisme, centre ou organisme de réglementation canadien

• : À quels ministères, organismes, centres ou organismes de réglementation canadiens avez-vous
  signalé?
  - Commissariat à la protection de la vie privée
  - Conseil de la radiodiffusion et des télécommunications canadiennes
  - Bureau de la concurrence
  - Innovation, Sciences et Développement économique Canada
  - Centre canadien pour la cybersécurité (CCC)
  - Centre canadien de notification des pourriels
  - Centre antifraude du Canada (CAFC)
  - Agence du revenue du Canada (ARC)
  - Autre
  
  o Ministère, organisme, centre ou organisme de réglementation étranger
  o Association industrielle
  o Banque ou autre institution financière
  o Fournisseur de logiciels ou de services
  o Les employés spécialisés en cybersécurité dans d'autres entreprises ou organisations
  o Autre
• : Non
• : Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question :51

En 2023, quel était le montant total des paiements de rançon effectués par votre entreprise?

• : Supérieur à 0 $, mais inférieur ou égal à 10 000 $
• : Supérieur à 10 000 $, mais inférieur ou égal à 50 000 $
• : Supérieur à 50 000 $, mais inférieur ou égal à 100 000 $
• : Supérieur à 100 000 $, mais inférieur ou égal à 250 000 $
• : Supérieur à 250 000 $, mais inférieur ou égal à 500 000 $
• : Supérieur à 500 000 $
• : L'entreprise n'a versé aucune rançon en 2023
• : Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question :52

En 2023, quel était la forme de transaction utilisée par votre entreprise pour faire un paiement de rançon?

Sélectionnez tout ce qui s'applique.

• : Cryptomonnaie
• : Carte-cadeau
• : Virement électronique
• : Autre - Veuillez préciser

Tendances actuelles en matière de cybersécurité - Identificateur de question :53

En 2023, avec quels tiers externes votre entreprise a-t-elle collaboré pour régler des attaques de rançongiciel?

Inclure tous les tires externes à qui votre entreprise a signalé les attaques de rançongiciel.

Sélectionnez tout ce qui s'applique.

• : Expert-conseil ou entrepreneur de la TI
• : Fournisseur d'assurance contre les cyberrisques
• : Gendarmerie royale du Canada (GRC)
• : Autres services de police
• : Centre canadien pour la cybersécurité (CCC)
• : Centre canadien de signalement de pourriels
• : Centre antifraude du Canada (CAFC)
• : Commissariat à la protection de la vie privée
• : Autres tiers externes
• : OU
• : L'entreprise n'a collaboré avec aucun tiers externe pour régler des attaques de rançongiciel en 2023
• : OU
• : Ne sais pas

Tendances actuelles en matière de cybersécurité - Identificateur de question :54

En cas d'attaque par rançongiciel, votre entreprise a-t-elle pour règle ou pour politique de ne pas payer la rançon?

• : L'entreprise a pour règle ou pour politique de ne pas payer de rançon
• : L'entreprise n'a pas pour règle ou pour politique de ne pas payer de rançon
• : Ne sais pas

Avis d'intention d'extraire des données Web - Identificateur de question :55

Quelle est l'adresse du site Web de cette entreprise?

Il est possible que nous accédions également au site Web de cette entreprise pour chercher d'autres renseignements accessibles au public à l'aide de méthodes automatisées, tout en prenant garde de ne pas entraver le fonctionnement du site Web.

• : Adresse du site Web