Enquête canadienne sur la cybersécurité et le cybercrime (ECCC)

Information détaillée pour 2017

Le but de cette enquête est de recueillir des données sur l'incidence du cybercrime sur les entreprises canadiennes ainsi que des données sur les activités qu'elles mènent en vue d'en atténuer les effets. L'enquête porte notamment sur l'investissement dans les mesures de cybersécurité, la formation en matière de cybersécurité, le nombre d'incidents de cybersécurité et les coûts associés aux interventions effectuées lors de ces incidents.

Date de la parution - 15 octobre 2018

• Questionnaire(s) et guide(s) de déclaration
• Aperçu
• Sources de données et méthodologie
• Exactitude des données

Aperçu

L'Enquête canadienne sur la cybersécurité et le cybercrime est menée pour le compte de Sécurité publique Canada. Le lancement de cette enquête repose sur la nécessité de référencer et de surveiller l'environnement en évolution rapide qui entoure la cybersécurité et le cybercrime. Les données recueillies servent les objectifs généraux suivants : mieux comprendre l'incidence du cybercrime sur les entreprises canadiennes, dont les aspects comme l'investissement dans les mesures de cybersécurité, la formation sur la cybersécurité, le nombre d'incidents de cybersécurité et les coûts associés à l'intervention lors de ces incidents. Les données de cette enquête sont destinées :

a) à Sécurité publique Canada et à d'autres ministères fédéraux, dans le but d'appuyer l'élaboration de politiques sur le cybercrime au Canada fondées sur des données probantes;
b) aux gouvernements provinciaux, aux chercheurs universitaires et au public canadien, afin de mieux comprendre l'incidence du cybercrime sur les entreprises canadiennes;
c) aux associations industrielles et aux entreprises privées, en vue d'étudier les caractéristiques du cybercrime dans leurs industries.

Comme il s'agit d'une question nouvelle, des données de ce type et de cette ampleur n'ont jamais été recueillies par le gouvernement du Canada.

Période de référence : Les 12 mois de l'année civile

Période de collecte : Période de contacts préliminaires à la mi-novembre à mi-décembre
Période de collete de janvier à mars

Sujets

• Technologie de l'information et des communications
• Utilisation d'Internet par les entreprises et les gouvernements
• Utilisation d'Internet par les particuliers et les ménages

Sources de données et méthodologie

Population cible

La population cible est constituée d'entreprises privées dans presque tous les secteurs industriels. Les entreprises dont le revenu est inférieur à 100 000 $ ou à 250 000 $, selon le secteur, ont été exclues de la base de population.

Afin de réduire le fardeau de réponse des petites entreprises, seules les entreprises comptant au moins 10 employés ont été prises en compte lors de la sélection de l'échantillon.

Élaboration de l'instrument

Les données d'enquête sont recueillies au moyen d'un questionnaire électronique.

Le contenu du questionnaire a été élaboré en consultation avec les clients de Sécurité publique, des spécialistes du domaine, d'autres ministères fédéraux, des entreprises privées et des intervenants externes.

Les tests cognitifs effectués relativement au contenu du questionnaire ont été réalisés en deux phases, dans les deux langues officielles, conjointement avec le Centre de ressources en conception de questionnaires de Statistique Canada. La première ronde de mise à l'essai visait principalement à valider la compréhension des concepts, des questions et de la terminologie, la pertinence des catégories de réponse et l'accessibilité des renseignements demandés. Le contenu a été mis à l'essai dans le cadre d'interviews individuelles menées auprès de 23 répondants potentiels à Ottawa, à Montréal et à Vancouver. D'autres modifications ont été apportées au questionnaire en fonction des commentaires reçus et de l'analyse de ces interviews pour accroître la pertinence des questions et pour qu'il soit plus facile d'y répondre.

À la deuxième phase, un total de 17 interviews cognitives individuelles ont eu lieu à Montréal et à Toronto afin d'évaluer le contenu mis à jour du questionnaire (selon les résultats de la ronde précédente de mise à l'essai) au moyen de saisies d'écran fictives dans un formulaire PDF actualisable simulant un questionnaire électronique (QE). Cette ronde finale de mise à l'essai a permis de confirmer que les répondants étaient en mesure de parcourir facilement l'application du QE tout en fournissant les renseignements demandés.

Le principal défi lié à la conception du questionnaire consistait à trouver un équilibre entre les besoins en données des utilisateurs et la capacité et la volonté des répondants potentiels de fournir les renseignements.

Échantillonnage

Il s'agit d'une enquête transversale par échantillon.

Le plan d'échantillonnage correspond à un échantillon aléatoire stratifié d'entreprises classées selon le Système de classification des industries de l'Amérique du Nord (SCIAN) Canada 2012.

Unité d'échantillonnage:
L'unité d'échantillonnage est l'entreprise.

Méthode de stratification:
La stratification correspond à l'industrie, au niveau requis pour l'estimation (niveau à deux ou trois chiffres du SCIAN), et à la taille de l'entreprise (selon le nombre d'employés).

- Petite entreprise (10 à 49 employés)
- Entreprise moyenne (50 à 249 employés)
- Grande entreprise (250 ou plus employés)

Échantillonnage et sous-échantillonnage:
La taille de l'échantillon de l'enquête était d'environ 12 000 unités, sélectionnées dans le Registre des entreprises de Statistique Canada; le taux de réponse souhaité était de 60 %.

La qualité étant égale pour les trois groupes de taille d'effectif, l'erreur-type visée était de 4,7 % pour le calcul des proportions au niveau à deux chiffres du SCIAN, et de 5,8 % pour certains codes à trois ou à quatre chiffres du SCIAN.

Sources des données

Collecte des données pour cette période de référence : 2018-01-03 à 2018-03-26

Il s'agit d'une enquête à participation obligatoire.

Les données sont obtenues directement auprès des répondants.

Les données sont recueillies auprès des répondants au moyen de questionnaires électroniques. Avant d'envoyer les questionnaires, nous communiquons avec toutes les entreprises échantillonnées afin d'obtenir le nom et l'adresse électronique du répondant qui possède suffisamment de connaissances sur l'entreprise et ses pratiques de sécurité informatique (y compris la sécurité de réseau) pour être en mesure de répondre à l'enquête (p. ex. gestionnaire de la TI ou cadre supérieur). Une invitation à remplir le questionnaire électronique est envoyée aux répondants ayant une adresse électronique. Un code d'accès est envoyé par la poste aux unités échantillonnées sans adresse électronique. Un suivi intensif des cas de non-réponse est effectué par courriel et par téléphone, comme il convient.

Voir le(s) Questionnaire(s) et guide(s) de déclaration .

Détection des erreurs

La détection des erreurs fait partie intégrante des activités de collecte et de traitement des données. Des vérifications automatisées sont appliquées aux enregistrements de données durant la collecte afin de repérer les erreurs de déclaration.

La phase de traitement de l'enquête s'est concentrée en grande partie sur l'application des vérifications de la cohérence et de la validité des données déclarées au niveau micro. La vérification de la cohérence des données permet de veiller à ce que les données d'une question ne contredisent pas l'information fournie en réponse à une autre question. La vérification de la validité assure la validité des données déclarées (c. à d. que le modèle d'enchaînement des questions est suivi, etc.).

La vérification visant la détection des valeurs aberrantes a également été appliquée aux principales variables au cours du traitement des données, tout d'abord à un niveau macro pour trouver les valeurs aberrantes, puis à un niveau micro pour déclencher l'imputation.

Imputation

Les non-réponses par unité sont imputées par enregistrement donneur selon la méthode du plus proche voisin dans le système généralisé BANFF. Cette méthode utilise le plus proche voisin pour trouver, pour chaque enregistrement à imputer, l'enregistrement valide qui y est le plus semblable et qui permettra à l'enregistrement receveur imputé d'être accepté aux vérifications et post vérifications d'imputation spécifiées.

Ces enregistrements semblables sont trouvés en tenant compte d'autres variables en corrélation avec les valeurs manquantes ou incorrectes par le biais des classes d'imputation personnalisées et des variables correspondantes pour chaque variable à imputer. Lorsqu'il n'était pas possible de trouver des enregistrements donneurs selon la méthode du plus proche voisin pour tous les enregistrements receveurs, il est nécessaire d'adopter une approche moins restrictive en modifiant les classes d'imputation et en traitant à nouveau les données. Ce traitement par imputation se poursuit selon une séquence prédéterminée, jusqu'à ce que des enregistrements donneurs selon la méthode du plus proche voisin aient été attribués à tous les enregistrements à imputer ou qu'il ne reste plus d'enregistrements donneurs selon la méthode du plus proche voisin. Des vérifications et des vérifications postérieures sont appliquées durant l'imputation pour que l'enregistrement résultant n'enfreigne aucune des règles de vérification spécifiées.

Estimation

L'échantillon utilisé pour l'estimation résulte d'un processus d'échantillonnage en une phase. Un poids d'échantillonnage initial (le poids déterminé par le plan d'échantillonnage) est calculé pour chaque unité de l'enquête et correspond simplement à la multiplication de l'inverse de la probabilité de sélection. Il est ensuite ajusté en vue de compenser la non-réponse complète.

Le poids final calculé pour chaque unité d'échantillonnage indique combien d'autres unités elle représente. Les poids finaux sont habituellement égaux ou supérieurs à un. Les unités d'échantillonnage qui sont choisies pour la certitude (unités à tirage obligatoire) ont un poids d'échantillonnage de un et ne représentent qu'elles-mêmes.

L'unité d'échantillonnage étant l'entreprise, elle est considérée comme une unité d'estimation. Les caractéristiques des unités d'estimation sont utilisées pour calculer des estimations agrégées, y compris la classification des industries. L'estimation pour la partie enquêtée de la population se fait par simple agrégation des valeurs pondérées de tous les emplacements échantillonnés qui se trouvent dans le domaine d'estimation.

Évaluation de la qualité

Avant la diffusion des données, on analyse les résultats combinés de l'enquête afin d'en évaluer la comparabilité. Cette analyse comprend un examen détaillé des éléments suivants :
- les réponses des entreprises individuelles (surtout pour les plus grandes organisations),
- la cohérence avec les résultats d'autres enquêtes et études liées à la cybersécurité et à la cybercrime,
- les renseignements d'autres sources externes (p. ex. rapports annuels et articles de journaux).

Contrôle de la divulgation

La loi interdit à Statistique Canada de divulguer toute information recueillie qui pourrait dévoiler l'identité d'une personne, d'une entreprise ou d'un organisme sans leur permission ou sans en être autorisé par la loi. Diverses règles de confidentialité s'appliquent à toutes les données diffusées ou publiées afin d'empêcher la publication ou la divulgation de toute information jugée confidentielle. Au besoin, des données sont supprimées pour empêcher la divulgation directe ou par recoupement de données reconnaissables.

Révisions et désaisonnalisation

Cette méthodologie ne s'applique pas à ce programme statistique.

Exactitude des données

Deux types d'erreurs peuvent avoir une incidence sur les données, à savoir, les erreurs d'échantillonnage et les erreurs non dues à l'échantillonnage. Des erreurs non dues à l'échantillonnage peuvent se produire pour diverses raisons au cours de la collecte et du traitement des données. La non-réponse, par exemple, est une source importante d'erreurs non dues à l'échantillonnage. Le sous-dénombrement ou le surdénombrement de la population, les différences d'interprétation des questions et les erreurs dans la consignation et le traitement des données sont d'autres exemples d'erreurs non dues à l'échantillonnage. On tente le plus possible de réduire au maximum ces erreurs par une conception soignée du questionnaire d'enquête, par une vérification des données d'enquête et par un suivi de la non-réponse afin de maximiser les taux de réponse.

Les indicateurs d'exactitude des données utilisés pour l'ECCC sont l'erreur-type et le coefficient de variation. L'erreur-type est une mesure statistique communément utilisée qui indique l'erreur d'échantillonnage que comporte une estimation. Le coefficient de variation est l'erreur-type exprimée en pourcentage de l'estimation.

Les indicateurs de la qualité des données à l'enquête sont fondés sur l'erreur-type (ET) et les taux d'imputation. Les indicateurs de la qualité vont comme suit : A est très fiable (ET allant jusqu'à 2,5 %); B est fiable (ET entre 2,5 % et 5,0 %); C est bon(ET entre 5,0 % et 7,5 %); D est acceptable (ET entre 7,5 % et 10,0 %); E est à utiliser avec prudence (ET entre 10,0 % et 12,5 %); et F est trop peu fiable pour être publié (ET de 12,5 % et plus).

Taux de réponse:
Le taux de réponse à l'étape de l'estimation est de 88,04 %.

Bias de non-réponse:
En plus d'augmenter la variance, la non-réponse peut donner lieu à des estimations biaisées si les non-répondants présentent des caractéristiques différentes de celles des répondants. La non-réponse est traitée au moment de la conception de l'enquête, du suivi auprès des répondants, de la repondération, ainsi que de la vérification et de la validation des microdonnées. D'autres indicateurs de la qualité comme le taux de réponse sont également fournis.

Erreur de couverture:
Le Registre des entreprises a été utilisé comme base de sondage.