Enquête canadienne sur la cybersécurité et le cybercrime - 2019

Enquête canadienne sur la cybersécurité et le cybercrime - 2019
D'autres versions du questionnaire
Enquête(s) reliée(s)

Information archivée dans le Web

L'information dont il est indiquée qu'elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n'est pas assujettie aux normes Web du gouvernement du Canada et elle n'a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Information archivée dans le Web

Pour information seulementCeci est un exemplaire électronique du questionnaire à titre d’information seulement et ne doit pas être utilisé pour répondre à l’enquête.

Afficher les instructions

INFORMATION POUR LE RÉPONDANT

Objectif

Le but de l'Enquête canadienne sur la cybersécurité et le cybercrime est de mesurer l'incidence de la cybercriminalité sur les entreprises canadiennes.

Cette enquête recueille des renseignements concernant :
- Les mesures que les entreprises mettent en place en matière de cybersécurité, y compris la formation du personnel;
- Les types d'incidents de cybersécurité qui ont des répercussions sur les entreprises; et
- Les coûts associés à la prévention des incidents de cybersécurité et au rétablissement des activités à la suite des incidents.

Renseignements supplémentaires

Les renseignements que vous fournissez pourraient aussi être utilisés par Statistique Canada à d'autres fins statistiques et de recherche. Votre participation à cette enquête est requise en vertu de la Loi sur la statistique.

Autorité

Ces données sont recueillies en vertu de la Loi sur la statistique, Lois révisées du Canada (1985), chapitre S-19.

Confidentialité

La loi interdit à Statistique Canada de divulguer tout renseignement recueilli qui permettrait de dévoiler l'identité d'une personne, d'une entreprise ou d'un organisme, à moins d'avoir obtenu son consentement ou d'en être autorisé par la Loi sur la statistique. Statistique Canada utilisera les données de cette enquête à des fins statistiques.

Entente de partage de données

Afin de réduire le fardeau des répondants, Statistique Canada a conclu des ententes de partage de données avec des organismes statistiques provinciaux et territoriaux ainsi qu'avec d'autres organismes gouvernementaux, qui ont accepté de protéger la confidentialité des données et de les utiliser uniquement à des fins statistiques. Statistique Canada partagera les données tirées de cette enquête uniquement avec les organismes ayant démontré qu'ils avaient besoin de les utiliser.

L'article 11 de la Loi sur la statistique permet le partage de données avec des organismes statistiques provinciaux et territoriaux qui satisfont à certains critères. Ces organismes doivent détenir l'autorisation légale de recueillir les mêmes données, dont la remise est obligatoire, et les lois en vigueur doivent contenir essentiellement les mêmes dispositions que la Loi sur la statistique en ce qui a trait à la confidentialité et aux sanctions imposées en cas de divulgation de renseignements confidentiels. Comme ces organismes possèdent l'autorisation légale d'obliger les entreprises à fournir les mêmes données, on ne demande pas le consentement des entreprises concernées et celles-ci ne peuvent pas s'opposer au partage des données.

Pour cette enquête, des ententes ont été conclues en vertu de l'article 11 avec les organismes statistiques provinciaux et territoriaux de Terre-Neuve-et-Labrador, de la Nouvelle-Écosse, du Nouveau-Brunswick, du Québec, de l'Ontario, du Manitoba, de la Saskatchewan, de l'Alberta, de la Colombie-Britannique et du Yukon.

Les données partagées seront limitées aux renseignements relatifs aux établissements commerciaux situés dans la province ou le territoire en question.

L'article 12 de la Loi sur la statistique prévoit le partage de données avec des organismes gouvernementaux fédéraux, provinciaux ou territoriaux. En vertu de l'article 12, vous pouvez refuser que vos données soient transmises à l'un ou l'autre de ces organismes. Pour ce faire, veuillez écrire une lettre d'objection au statisticien en chef, dans laquelle vous spécifierez les organismes avec lesquels vous refusez que Statistique Canada partage vos données. Veuillez nous faire parvenir cette lettre à l'adresse suivante :

Statisticien en chef du Canada
Statistique Canada
À l'attention du Directeur, Division des investissements, science et technologie
150, promenade Tunney's Pasture
Ottawa (Ontario) K1A 0T6

Vous pouvez aussi communiquer avec nous par courriel à statcan.istdinformation-distinformation.statcan@canada.ca.

Pour cette enquête, des ententes ont été conclues en vertu de l'article 12 avec des organismes statistiques de l'Île-du-Prince-Édouard, des Territoires du Nord-Ouest et du Nunavut, ainsi qu'avec Sécurité publique Canada; Gendarmerie royale du Canada; Ressources naturelles Canada; Centre de la sécurité des télécommunications; Innovation, Sciences et Développement économique Canada; et Services publics et Approvisionnement Canada.

Dans le cas des ententes conclues avec des organismes gouvernementaux provinciaux et territoriaux, les données partagées seront limitées aux renseignements relatifs aux établissements commerciaux situés dans la province ou le territoire en question.

Couplage d'enregistrement

Afin d'améliorer la qualité des données tirées de cette enquête et de réduire le fardeau des répondants, Statistique Canada pourrait combiner les renseignements recueillis avec ceux provenant d'autres enquêtes ou de sources administratives.

Directives générales

Pour ce questionnaire :

Veuillez remplir ce questionnaire pour les activités canadiennes de cette entreprise.

Instructions de déclaration :

-Déclarez les montants en dollars canadiens.
-Déclarez les montants arrondis au dollar le plus proche.
-Si les chiffres exacts ne sont pas disponibles, fournir votre meilleure estimation possible.
-Inscrivez « 0 » s'il n'y a aucune valeur à déclarer.

Caractéristiques de l'entreprise

Caractéristiques de l'entreprise - Identificateur de question :1

Lesquels des éléments suivants sont actuellement utilisés par votre entreprise?
Sélectionnez tout ce qui s'applique.

  • : Site Web pour votre entreprise
  • : Comptes de médias sociaux pour votre entreprise
  • : Plateformes et solutions de commerce électronique
  • : Applications Web
  • : Logiciels libres
  • : Services infonuagiques ou services de stockage de données en nuage
  • : Appareils intelligents connectés à l'Internet ou Internet des objets (IdO)
  • : Intranet
  • : Technologies de la chaîne de blocs
  • : Services de voix sur protocole Internet (VoIP)
  • : OU
  • : L'entreprise n'utilise aucune des éléments ci-dessus

Caractéristiques de l'entreprise - Identificateur de question :2

Quel type de données votre entreprise conserve-t-elle dans des services infonuagiques ou des services de stockage de données en nuage? Inclure les données qui sont sauvegardées. Sélectionnez tout ce qui s'applique.

  • : Renseignements confidentiels sur les employés
  • : Renseignements confidentiels concernant les clients, les fournisseurs ou les partenaires
  • : Renseignements confidentiels sur les entreprises
  • : Renseignements commerciaux de nature délicate
  • : Renseignements de nature non délicate ou information publique
  • : OU
  • : L'entreprise ne conserve pas de données dans des services infonuagiques ou des services de stockage de données en nuage

Caractéristiques de l'entreprise - Identificateur de question :3

Est-ce que quelqu'un dans votre entreprise utilise des dispositifs personnels, comme des téléphones intelligents, des tablettes, des ordinateurs portatifs ou des ordinateurs de bureau pour mener des activités commerciales régulières?
Inclure les dispositifs qui sont subventionnés par l'employeur.

  • : Oui
  • : Non
  • : Ne sais pas

Environnement de cybersécurité

Environnement de cybersécurité - Identificateur de question :4

Lesquelles des mesures de cybersécurité suivantes sont actuellement en place dans votre entreprise? Inclure les mesures de sécurité sur place et externes, y compris celles fournies par un tiers externe. Sélectionnez tout ce qui s'applique.

  • : Sécurité mobile
  • : Logiciels contre les programmes malveillants pour protéger contre les virus, les espiogiciels, les rançongiciels, etc.
  • : Sécurité Web
  • : Sécurité des courriels
  • : Sécurité des réseaux
  • : Protection et contrôle des données
  • : Sécurité aux points de vente (PDV)
  • : Sécurité logicielle et des applications
  • : Sécurité relative au matériel et à la gestion des actifs
  • : Sécurité relative à la gestion de l'accès et de l'identité
  • : Contrôles de l'accès physique
  • : OU
  • : L'entreprise n'a pas de mesures de cybersécurité en place
  • : OU
  • : Ne sais pas

Environnement de cybersécurité - Identificateur de question :5

La mise en oeuvre de mesures de cybersécurité était-elle une exigence de l'un des tiers externes mentionnés ci-dessous, ou une exigence d'une norme de cybersécurité ou d'un programme de certification en matière de cybersécurité?
Sélectionnez tout ce qui s'applique.

  • : Fournisseur de biens matériels
  • : Fournisseur de biens ou de services numériques
  • : Fournisseur d'autres services non numériques
  • : Client
  • : Partenaire
  • : Organisme de réglementation canadien
  • : Organisme de réglementation étranger
  • : Norme de cybersécurité ou un programme de certification en matière de cybersécurité
  • : OU
  • : Aucune de ces réponses

Environnement de cybersécurité - Identificateur de question :6

Combien d'employés de votre entreprise s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles?

Inclure employés à temps partiel et à temps plein. Les exemples de tâches à compléter par les employés peuvent inclure :
- gérer, évaluer ou améliorer la sécurité des réseaux, de la présence sur le Web, des systèmes de messagerie électronique ou des dispositifs de l'entreprise;
- apporter des correctifs aux logiciels ou aux systèmes d'exploitation utilisés par l'entreprise ou les mettre à jour pour des raisons de sécurité;
- accomplir des tâches liées aux mesures de rétablissement à la suite des incidents de cybersécurité.

Exclure les experts-conseils ou entrepreneurs en TI externes.
Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation.

  • : Un employé
  • : Deux à cinq employés
  • : 6 à 15 employés
  • : Plus de 15 employés
  • : Aucun
  • : Ne sais pas

Environnement de cybersécurité - Identificateur de question :7

Quelles sont les principales raisons pour lesquelles votre entreprise ne compte aucun employé qui s'occupe de tâches liées à la cybersécurité dans le cadre de ses responsabilités habituelles? Sélectionnez tout ce qui s'applique.

  • : L'entreprise a recours à des experts-conseils ou à des entrepreneurs du secteur privé pour surveiller la cybersécurité
  • : L'entreprise fait appel à des consultants ou à des entrepreneurs du secteur public pour surveiller la cybersécurité
  • : L'entreprise a une assurance contre cyberrisques
  • : L'entreprise est en voie de recruter un employé spécialisé en cybersécurité
  • : L'entreprise est incapable de trouver un employé spécialisé en cybersécurité ayant les qualifications adéquates
  • : L'entreprise n'a pas d'argent ou les ressources pour embaucher un employé spécialisé en cybersécurité
  • : La cybersécurité ne représente pas un risque élevé pour l'entreprise
  • : La société mère de l'entreprise gère la cybersécurité

Environnement de cybersécurité - Identificateur de question :8

Quel pourcentage des employés de votre entreprise qui s'occupent de tâches liées à la cybersécurité dans le cadre de leurs responsabilités habituelles s'identifient aux genres suivants? Le genre fait référence au genre actuel, qui peut être différent du sexe attribué à la naissance et de ce qui figure dans les documents juridiques.

Exclure les experts-conseils ou entrepreneurs en TI externes.
Si des chiffres précis ne sont pas accessibles, fournir votre meilleure estimation.

  • : Femme
  • : Homme
  • : Autre genre

Environnement de cybersécurité - Identificateur de question :9

Votre entreprise a-t-elle communiqué des pratiques exemplaires ou des renseignements généraux sur les risques pour la cybersécurité à vos employés en 2021?

Inclure le partage d'information au moyen des courriels, des babillards et des séances d'information générale sur des sujets se rapportant aux points suivants :
- reconnaître et éviter les arnaques par courriel
- importance de la complexité des mots de passe et des techniques de sécurité de base
- sécuriser votre navigateur Web et avoir des pratiques de navigation Web sécuritaires
- éviter les attaques d'hameçonnage
- reconnaître et éviter les espiogiciels.


a. Renseignements communiqués au personnel interne de la TI
b. Renseignements communiqués à d'autres employés

  • : Oui
  • : Non
  • : Sans objet
  • : Ne sais pas

Environnement de cybersécurité - Identificateur de question :10

Votre entreprise a-t-elle offert une formation officielle pour développer ou mettre à jour les compétences liées à la cybersécurité de vos employés ou de vos intervenants en 2021? Inclure la formation offerte par des sources externes.

a. Formation offerte au personnel interne de la TI
b. Formation offerte aux autres employés
c. Formation offerte aux intervenants, comme les fournisseurs, les clients ou les partenaires

  • : Oui
  • : Non
  • : Sans objet
  • : Ne sais pas

Environnement de cybersécurité - Identificateur de question :11

Quelles sont les principales raisons expliquant les dépenses en temps ou en argent de votre entreprise pour des mesures de cybersécurité et/ou la formation en cybersécurité? Sélectionnez jusqu'à trois.

  • : Permettre aux employés de travailler à distance en toute sécurité
  • : Protéger la réputation de l'entreprise
  • : Protéger les renseignements personnels des employés, des fournisseurs, des clients ou des partenaires
  • : Protéger les secrets commerciaux et la propriété intellectuelle
  • : Observation des lois, des règlements ou des contrats
  • : L'entreprise a déjà subi un incident de cybersécurité
  • : Éviter les temps d'arrêt et les pannes informatiques
  • : Empêcher la fraude et le vol
  • : Garantir la continuité des activités de l'entreprise
  • : OU
  • : L'entreprise ne dépense pas de temps ou d'argent sur des mesures de cybersécurité ou une formation en cybersécurité

État de préparation en matière de cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :12

Lesquelles des dispositions suivantes en matière de gestion des risques sont actuellement appliquées par votre entreprise? Sélectionnez tout ce qui s'applique.

  • : Une politique écrite en place pour la gestion des risques internes liés à la cybersécurité
  • : Une politique écrite en place pour la gestion des risques liés à la cybersécurité associés aux partenaires de la chaîne d'approvisionnement
  • : Une politique écrite en place pour signaler des cyberincidents
  • : Un autre type de politique écrite liée à la cybersécurité est en place
  • : Un plan de continuité des activités ou des affaires (PCA) intégrant des processus pour la gestion des cybermenaces, des vulnérabilités et des risques
  • : Employés chargés d'assurer la surveillance des risques et des menaces pour la cybersécurité
  • : Membres de la haute direction chargés d'assurer la surveillance des risques et des menaces pour la cybersécurité
  • : Un expert-conseil ou entrepreneur pour gérer les risques et les menaces pour la cybersécurité
  • : Application de correctifs ou mises à jour visant à améliorer la sécurité des systèmes d'exploitation tous les mois ou plus fréquemment
  • : Application de correctifs ou mises à jour visant à améliorer la sécurité des logiciels tous les mois ou plus fréquemment
  • : Une assurance contre les cyberrisques
  • : OU
  • : L'entreprise n'applique aucune disposition en matière de gestion des risques pour la cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :13

Lesquels des éléments suivants sont couverts par votre police d'assurance contre les cyberrisques? Sélectionnez tout ce qui s'applique.

  • : Pertes directes par suite d'une attaque ou d'une intrusion
  • : Frais de restauration des logiciels, du matériel et des données électroniques
  • : Interruption des activités (perte de temps de production) et perte de réputation
  • : Responsabilité envers les tiers
  • : Pertes financières
  • : Mesure corrective pour les infractions à la sécurité et frais de notification
  • : Demandes d'indemnisation des employés

État de préparation en matière de cybersécurité - Identificateur de question :14

Avant de répondre à cette enquête, connaissiez-vous des normes de cybersécurité ou des programmes de certification en matière de cybersécurité auxquels les entreprises peuvent s'inscrire?
Inclure :
- les normes et les programmes canadiens, étrangers et internationaux;
- les normes et les programmes que vous connaissiez, mais auxquels votre entreprise n'était pas admissible ou ne s'est pas inscrite.

Sélectionnez tout ce qui s'applique.

  • : Normes de cybersécurité
    o Précisez les normes que vous connaissiez
  • : Programmes de certification en matière de cybersécurité
    o Précisez les programmes de certification que vous connaissiez
  • : OU
  • : Ne connaissions aucune norme de cybersécurité ni aucun programme de certification

État de préparation en matière de cybersécurité - Identificateur de question :15

Lesquelles des activités suivantes votre entreprise mène-t-elle pour identifier les risques à la cybersécurité? Sélectionnez tout ce qui s'applique.

  • : Surveillance du comportement des employés
  • : Surveillance du réseau et des systèmes d'entreprise
  • : Évaluation formelle des risques en matière de cybersécurité, par un employé
  • : Évaluation formelle des risques en matière de cybersécurité, par un tiers externe
  • : Tests d'intrusion, par un employé
  • : Tests d'intrusion, par un tiers externe
  • : Évaluation de la sécurité des appareils intelligents connectés à Internet ou des dispositifs de l'Internet des objets (IdO)
  • : Investissement dans le domaine du renseignement sur les menaces
  • : Vérification complète des systèmes de la TI, par un tiers externe
  • : L'entreprise mène d'autres activités pour identifier les risques pour la cybersécurité
  • : OU
  • : L'entreprise ne mène pas d'activités pour identifier les risques pour la cybersécurité

État de préparation en matière de cybersécurité - Identificateur de question :16

À quelle fréquence votre entreprise mène-t-elle des activités pour identifier les risques pour la cybersécurité? Sélectionnez tout ce qui s'applique.

  • : Selon un horaire précis
  • : Lorsque survient un incident de cybersécurité
  • : Lorsqu'une nouvelle initiative ou un nouveau projet en TI est lancé
  • : De façon irrégulière

État de préparation en matière de cybersécurité - Identificateur de question :17

À quelle fréquence la haute direction de votre entreprise reçoit-elle une mise à jour sur les mesures prises concernant la cybersécurité?
Sélectionnez tout ce qui s'applique.

  • : Selon un horaire précis
  • : Lorsque survient un incident de cybersécurité
  • : Lorsqu'une nouvelle initiative ou un nouveau projet en TI est lancé
  • : La haute direction dispose d'outils qui lui permettent d'assurer le suivi des questions relatives à la cybersécurité
  • : La haute direction reçoit une mise à jour sur de façon irrégulière
  • : OU
  • : La haute direction ne reçoit pas de mise à jour sur les problèmes de cybersécurité

Résilience de l'entreprise

Résilience de l'entreprise - Identificateur de question :18

Lesquels des risques ou des menaces suivants pour la cybersécurité estimez-vous comme étant les plus nuisibles pour votre entreprise? Sélectionnez jusqu'à trois.

  • : Vol ou atteinte à l'intégrité des logiciels ou du matériel
  • : Accès aux données non autorisé, manipulation inappropriée et vol de données
  • : Vol d'identité
  • : Arnaques et fraudes
  • : Utilisation inappropriée des ordinateurs ou du réseau
  • : Attaques logicielles malveillantes
  • : Déni de service (DoS) ou déni de service distribué (DDoS)
  • : Perturbation ou défiguration de la présence Web

Résilience de l'entreprise - Identificateur de question :19

Quel est l'état de préoccupation de votre entreprise à l'égard de sa vulnérabilité aux futurs risques et menaces pour la cybersécurité?

  • : Extrêmement préoccupé
  • : Très préoccupé
  • : Quelque peu préoccupé
  • : Légèrement préoccupé
  • : Pas du tout préoccupé

Incidents de cybersécurité

Incidents de cybersécurité - Identificateur de question :20

Selon vous, lesquels des incidents de cybersécurité suivants ont touché votre entreprise en 2021? Sélectionnez tout ce qui s'applique.

  • : Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
  • : Incidents pour voler des renseignements personnels ou financiers
  • : Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
  • : Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
  • : Incidents pour accéder à des zones d'accès non autorisé ou privilégié
  • : Incidents pour surveiller et suivre les activités commerciales
  • : Incidents sans motif connu
  • : OU
  • : L'entreprise n'a pas été touchée par des incidents de cybersécurité en 2021

Incidents de cybersécurité - Identificateur de question :21

En 2021, lesquels des tiers externes suivants ont signalé à votre entreprise un incident de cybersécurité la concernant?

Sélectionnez tout ce qui s'applique.

  • : Fournisseurs, clients ou partenaires
  • : Expert-conseil ou entrepreneur de la TI
  • : Personnes ou groupe ayant perpétré les incidents
  • : Fournisseur d'assurance contre les cyberrisques
  • : Ministère ou organisme gouvernemental
  • : Services de police
  • : Centre canadien pour la cybersécurité (CCC)
  • : Commissariat à la protection de la vie privée
  • : Organisme de réglementation
  • : Association industrielle
  • : Banque ou autre institution financière
  • : Fournisseur de logiciels ou de services
  • : Autres parties non susmentionnées
  • : OU
  • : Les tiers externes n'ont pas signalé d'incidents de cybersécurité à l'entreprise en 2021

Incidents de cybersécurité - Identificateur de question :22

Comment votre entreprise a-t-elle traité les incidents de cybersécurité vous ayant été signalés par des tiers externes en 2021?

Sélectionnez tout ce qui s'applique.

  • : Les incidents ont été réglés à l'interne
  • : Les incidents ont été réglés avec le tiers externe
  • : Les incidents ont été réglés par l'intermédiaire d'un expert-conseil ou entrepreneur de la TI
  • : Les incidents ont été signalés à un service de police
  • : Les incidents ont été signalés à d'autres tiers externes
  • : L'entreprise travaille actuellement avec le tiers externe pour régler les incidents
  • : OU
  • : Aucune mesure n'a été prise par l'entreprise

Coûts liés à la cybersécurité

Coûts liés à la cybersécurité - Identificateur de question :23

En 2021, quel est le montant total que votre entreprise a dépensé pour prévenir ou détecter les incidents de cybersécurité? Exclure les coûts engagés à la suite des incidents de cybersécurité antérieurs (p. ex. les coûts de reprise après des incidents de cybersécurité).

Si des chiffres précis ne sont pas disponibles, fournir votre meilleure estimation en dollars canadiens.

Entrez « 0 » s'il n'y a aucune valeur à déclarer.

  • a. : Coût du salaire des employés lié à la prévention ou à la détection
  • b. : Coût de la formation des employés, des fournisseurs, des clients ou des partenaires
  • c. : Coût d'embauche d'experts-conseils et d'entrepreneurs en TI
  • d. : Coût des services juridiques ou de relations publiques (RP)
  • e. : Coût du logiciel de cybersécurité
  • f. : Coût du matériel lié à la cybersécurité
  • g. : Coût annuel de l'assurance contre les cyberrisques ou équivalent
  • h. : Autres coûts connexes

Coûts liés à la cybersécurité - Identificateur de question :24

En 2021, combien cela a-t-il coûté en tout à votre entreprise pour se remettre des incidents de cybersécurité? Exclure les coûts liés à la prévention et à la détection des incidents de cybersécurité, car ils sont couverts à la question précédente.

Si des chiffres précis ne sont pas disponibles, fournir votre meilleure estimation en dollars canadiens.

Entrez « 0 » s'il n'y a aucune valeur à déclarer.

  • a. : Coût du salaire des employés pour se remettre des incidents
  • b. : Coût de la formation des employés, des fournisseurs, des clients ou des partenaires
  • c. : Coût d'embauche d'experts-conseils et d'entrepreneurs en TI
  • d. : Coût des services juridiques ou de relations publiques (RP)
  • e. : Coût des logiciels de cybersécurité nouveaux ou mis à jour
  • f. : Coût du matériel de cybersécurité nouveau ou mis à jour
  • g. : Augmentation des coûts de l'assurance contre les cyberrisques ou équivalent
  • h. : Remboursement à des fournisseurs, à des clients ou à des partenaires
  • i. : Amendes imposées par des organismes de réglementation ou des autorités
  • j. : Paiements de rançon
  • k. : Autres coûts connexes

Conséquences des incidents de cybersécurité

Conséquences des incidents de cybersécurité - Identificateur de question :25

Selon vous, qui a commis les incidents de cybersécurité en 2021?
Sélectionnez tout ce qui s'applique.

Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
Incidents pour voler des renseignements personnels ou financiers
Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
Incidents pour accéder à des zones d'accès non autorisé ou privilégié
Incidents pour surveiller et suivre les activités commerciales
Incidents sans motif connu

  • : Un tiers externe
  • : Un employé interne
  • : Fournisseur, client ou partenaire
  • : OU
  • : Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question :26

Quelle était la méthode utilisée pour compromettre la cybersécurité? Sélectionnez tout ce qui s'applique.

Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
Incidents pour voler des renseignements personnels ou financiers
Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
Incidents pour accéder à des zones d'accès non autorisé ou privilégié
Incidents pour surveiller et suivre les activités commerciales
Incidents sans motif connu

  • : Exploitation des vulnérabilités des logiciels, du matériel ou des réseaux
  • : Piratage ou décodage du mot de passe
  • : Vol d'identité
  • : Arnaques et fraudes
  • : Rançongiciel
  • : Attaques logicielles malveillantes
  • : Déni de service (DoS) ou déni de service distribué (DDoS)
  • : Perturbation ou défiguration de la présence Web
  • : Abus des privilèges d'accès commis par un employé interne actuel ou ancien
  • : Autre
  • : OU
  • : Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question :27

Vous avez indiqué précédemment que votre entreprise a une assurance contre les cyberrisques. Votre entreprise a-t-elle déjà tenté de présenter une demande de règlement d'assurance après les incidents de cybersécurité en 2021? Sélectionnez tout ce qui s'applique.

  • : Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'entreprise et la demande a été acceptée.
  • : Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'entreprise mais la demande a été rejetée
  • : Oui, nous avons demandé un règlement en vertu de l'assurance contre les cyberrisques de l'entreprise et la demande est toujours en cours.
  • : OU
  • : Non, nous n'avons pas présenté une demande de règlement pour un incident de cybersécurité

Conséquences des incidents de cybersécurité - Identificateur de question :28

Quelles ont été les répercussions des incidents de cybersécurité sur votre entreprise en 2021?
Sélectionnez tout ce qui s'applique.

  • : Pertes de revenus
  • : Perte de fournisseurs, de clients ou de partenaires
  • : Frais de réparation ou de rétablissement supplémentaires
  • : Paiement d'une rançon
  • : Indisponibilité des ressources ou des services
  • : Impossibilité pour les employés d'effectuer leurs tâches quotidiennes
  • : Temps supplémentaire nécessaire pour permettre aux employés de faire leur travail quotidien
  • : Atteinte à la réputation de l'entreprise
  • : Amendes imposées par des organismes de réglementation ou des autorités
  • : Décourager l'entreprise d'effectuer une activité future prévue
  • : Incidents mineurs ayant eu une incidence minimale sur l'entreprise
  • : Autre
  • : OU
  • : Ne sais pas

Conséquences des incidents de cybersécurité - Identificateur de question :29

Combien d'heures environ d'interruption de service votre entreprise a-t-elle subies en raison d'incidents liés à la cybersécurité en 2021?

Inclure :
- le temps d'arrêt total pour les appareils mobiles, les ordinateurs de bureau et les réseaux;
- les périodes pendant lesquelles les activités des employés ou de l'entreprise ont été réduites ou pendant lesquelles les employés ou l'entreprise ont été inactifs.

Si des chiffres précis ne sont pas disponibles, veuillez inscrire votre meilleure estimation.

  • : Heures
  • : OU
  • : L'entreprise n'a pas subi de temps d'interruption en 2021
  • : OU
  • : Ne sais pas

Rapport d'incident de cybersécurité

Rapport d'incident de cybersécurité - Identificateur de question :30

Votre entreprise a-t-elle signalé des incidents de cybersécurité à un service de police en 2021?
Inclure tous les paliers de services de police, y compris les services fédéraux, provinciaux, territoriaux, municipaux et autochtones.

  • : Oui
  • : Non
  • : Ne sais pas

Rapport d'incident de cybersécurité - Identificateur de question :31

Lesquels des incidents de cybersécurité suivants votre entreprise a-t-elle signalés à un service de police en 2021?

Sélectionnez tout ce qui s'applique.

  • : Incidents pour perturber ou défigurer l'entreprise ou sa présence Web
  • : Incidents pour voler des renseignements personnels ou financiers
  • : Incidents pour voler de l'argent ou pour demander le paiement d'une rançon
  • : Incidents pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
  • : Incidents pour accéder à des zones d'accès non autorisé ou privilégié
  • : Incidents pour surveiller et suivre les activités commerciales
  • : Incidents sans motif connu

Rapport d'incident de cybersécurité - Identificateur de question :32

Quelles sont les raisons pour lesquelles vous avez signalé les incidents de cybersécurité à un service de police en 2021?
Sélectionnez tout ce qui s'applique.

  • : Pour réduire les dommages causés par les incidents
  • : Pour que d'autres entreprises soient moins susceptibles d'être touchées par le même incident
  • : Pour aider à attraper l'auteur ou les auteurs de l'incident
  • : Pour répondre aux exigences des clients, des fournisseurs, des organismes de réglementation, des normes de cybersécurité ou des programmes de certification en matière de cybersécurité
  • : Autre
    o Précisez d'autres raisons

Rapport d'incident de cybersécurité - Identificateur de question :33

Quelles étaient les raisons de ne pas signaler certains ou tous les incidents de cybersécurité à un service de police en 2021?

Sélectionnez tout ce qui s'applique.

  • : Les incidents ont été réglés à l'interne
  • : Les incidents ont été réglés à l'aide d'un expert-conseil ou d'un entrepreneur de la TI
  • : Afin de protéger la réputation de l'entreprise ou des intervenants
  • : Aucune volonté de consacrer plus de temps ou d'argent au problème
  • : Le service de police ne considérerait pas les incidents comme étant suffisamment importants
  • : Le service de police a fourni des services insatisfaisants dans le passé
  • : Nous ne savions pas à qui ou comment signaler l'incident
  • : Le processus de signalement est trop compliqué
  • : Nous doutions que l'auteur soit déclaré coupable ou adéquatement puni
  • : Incident mineur ayant eu une incidence minimale sur l'entreprise
  • : Manque de preuves
  • : Nous n'avions pas pensé à communiquer avec un service de police
  • : OU
  • : L'entreprise a signalé tous les incidents de cybersécurité à un service de police en 2021

Rapport d'incident de cybersécurité - Identificateur de question :34

Excluant les services de police, à quel tiers externe votre entreprise a-t-elle signalé un incidents de cybersécurité en 2021? Sélectionnez tout ce qui s'applique.

  • : Fournisseurs, clients ou partenaires
  • : Expert-conseil ou entrepreneur de la TI
  • : Fournisseur d'assurance contre les cyberrisques
  • : Ministère ou organisme gouvernemental
  • : Centre canadien pour la cybersécurité (CCC)
  • : Commissariat à la protection de la vie privée
  • : Centre antifraude du Canada (CAFC)
  • : Organisme de réglementation
  • : Association industrielle
  • : Banque ou autre institution financière
  • : Fournisseur de logiciels ou de services
  • : OU
  • : L'entreprise n'a pas signalé d'incidents de cybersécurité à des tiers externes en 2021

Rapport d'incident de cybersécurité - Identificateur de question :35

Quelles étaient les raisons de ne pas signaler certains ou tous les incidents de cybersécurité à un tiers externe en 2021? Sélectionnez tout ce qui s'applique.

  • : Les incidents ont été signalés à un service de police uniquement
  • : Les incidents ont été réglés à l'interne
  • : Afin de protéger la réputation de l'entreprise ou des intervenants
  • : Manque de preuves
  • : Aucun avantage à signaler
  • : Aucune volonté de consacrer plus de temps ou d'argent au problème
  • : Incident mineur ayant eu une incidence minimale sur l'entreprise
  • : N'a pas pensé de signaler l'incident à un tiers externe
  • : OU
  • : L'entreprise a signalé tous les incidents de cybersécurité à un tiers externe en 2021

Rapport d'incident de cybersécurité - Identificateur de question :36

En réponse à des incidents de cybersécurité survenu en 2021, avec quels tiers externes votre entreprise a-t-elle communiqué pour obtenir des renseignements ou des conseils?

Sélectionnez tout ce qui s'applique.

  • : Fournisseurs, clients ou partenaires
  • : Expert-conseil ou entrepreneur de la TI
  • : Fournisseur d'assurance contre les cyberrisques
  • : Services juridiques
  • : Ministère ou organisme gouvernemental
  • : Services de police
  • : Centre canadien pour la cybersécurité (CCC)
  • : Commissariat à la protection de la vie privée
  • : Centre antifraude du Canada (CAFC)
  • : Organisme de réglementation
  • : Association industrielle
  • : Banque ou autre institution financière
  • : Fournisseur de logiciels ou de services
  • : Communauté Internet
  • : Famille, amis ou connaissances
  • : Atelier de réparation d'ordinateurs
  • : OU
  • : L'entreprise n'a pas consulté de tiers externe en 2021

Avis d'intention d'extraire des données Web

Avis d'intention d'extraire des données Web - Identificateur de question :37

Quelle est l'adresse du site Web de cette entreprise?

Il est possible que nous accédions également au site Web de cette entreprise pour chercher d'autres renseignements accessibles au public à l'aide de méthodes automatisées, tout en prenant garde de ne pas entraver le fonctionnement du site Web.

  • : Adresse du site Web
Date de modification :