Enquête canadienne sur la cybersécurité et le cybercrime - 2017

Information archivée dans le Web

L'information dont il est indiquée qu'elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n'est pas assujettie aux normes Web du gouvernement du Canada et elle n'a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Pour information seulementCeci est un exemplaire électronique du questionnaire à titre d’information seulement et ne doit pas être utilisé pour répondre à l’enquête.

Afficher les instructions

INFORMATION POUR LE RÉPONDANT

Objectif

Le but de cette enquête est de recueillir des données sur l'incidence du cybercrime sur les entreprises canadiennes ainsi que des données sur les activités qu'elles mènent en vue d'en atténuer les effets. L'enquête porte notamment sur l'investissement dans les mesures de cybersécurité, la formation en matière de cybersécurité, le nombre d'incidents de cybersécurité et les coûts associés aux interventions effectuées lors de ces incidents.

Renseignements supplémentaires

Les renseignements que vous fournissez pourraient aussi être utilisés par Statistique Canada à d'autres fins statistiques et de recherche. Votre participation à cette enquête est requise en vertu de la Loi sur la statistique.

Autorité

Ces données sont recueillies en vertu de la Loi sur la statistique, Lois révisées du Canada (1985), chapitre S-19.

Objectif

Le but de cette enquête est de recueillir des données sur l'incidence du cybercrime sur les entreprises canadiennes ainsi que des données sur les activités qu'elles mènent en vue d'en atténuer les effets. L'enquête porte notamment sur l'investissement dans les mesures de cybersécurité, la formation en matière de cybersécurité, le nombre d'incidents de cybersécurité et les coûts associés aux interventions effectuées lors de ces incidents.

Confidentialité

La loi interdit à Statistique Canada de divulguer tout renseignement recueilli qui permettrait de dévoiler l'identité d'une personne, d'une entreprise ou d'un organisme, à moins d'avoir obtenu son consentement ou d'en être autorisé par la Loi sur la statistique. Statistique Canada utilisera les données de cette enquête à des fins statistiques.

Entente de partage de données

Afin de réduire le fardeau des répondants, Statistique Canada a conclu des ententes de partage de données avec des organismes statistiques provinciaux et territoriaux et d'autres organisations gouvernementales, qui ont accepté de garder les données confidentielles et les utiliser uniquement à des fins statistiques. Statistique Canada communiquera les données de la présente enquête seulement aux organisations ayant démontré qu'elles avaient besoin de les utiliser.

L'article 11 de la Loi sur la statistique prévoit le partage de données avec des organismes statistiques provinciaux et territoriaux répondant à certaines conditions. Ces organismes doivent posséder l'autorisation légale de recueillir les mêmes données, sur une base obligatoire, et les lois en vigueur doivent contenir essentiellement les mêmes dispositions que la Loi sur la statistique en ce qui concerne la confidentialité et les sanctions imposées en cas de divulgation de renseignements confidentiels. Comme ces organismes possèdent l'autorisation légale d'obliger les entreprises à fournir les mêmes données, on ne demande pas le consentement des entreprises et celles-ci ne peuvent s'opposer au partage des données.

Pour la présente enquête, des ententes en vertu de l'article 11 ont été conclues avec les organismes statistiques provinciaux et territoriaux de Terre-Neuve-et-Labrador, de la Nouvelle-Écosse, du Nouveau-Brunswick, du Québec, de l'Ontario, du Manitoba, de la Saskatchewan, de l'Alberta, de la Colombie-Britannique et du Yukon.

Les données partagées seront limitées aux renseignements relatifs aux entreprises commerciaux situées dans la province ou le territoire en question.

L'article 12 de la Loi sur la statistique prévoit le partage de données avec des organisations gouvernementales fédérales,provinciales ou territoriales. Pour la présente enquête, des ententes en vertu de l'article 12 ont été conclues avec les organismes statistiques de l'Île-du-Prince-Édouard, des Territoires du Nord-Ouest et du Nunavut ainsi qu'avec Sécurité publique Canada.

En vertu de cet article, vous pouvez refuser de partager vos données avec l'une ou l'autre de ces organisations en écrivant une lettre d'objection au statisticien en chef dans laquelle vous précisez les organisations avec lesquelles vous ne voulez pas partager vos données et en postant cette lettre à l'adresse suivante:

Statisticien en chef du Canada
Statistique Canada
À l'attention du directeur, Division de l'investissement, des sciences et de la technologie
150, promenade Tunney's Pasture
Ottawa, Ontario
K1A 0T6

Vous pouvez aussi communiquer avec nous par courriel à STATCAN.infostats-infostats.STATCAN@canada.ca.

Dans le cas des ententes conclues avec des organisations gouvernementales provinciales et territoriales, les données partagées seront limitées aux renseignements relatifs aux entreprises commerciaux situées dans la province ou le territoire en question.

Couplage d'enregistrement

Afin d'améliorer la qualité des données tirées de cette enquête et de réduire le fardeau des répondants, Statistique Canada pourrait combiner les renseignements recueillis avec ceux provenant d'autres enquêtes ou de sources administratives.

Directives générales

Pour ce questionnaire :

Veuillez remplir ce questionnaire pour les activities canadiennes de cette entreprise.

Instructions de declaration :

- Déclarez les montants en dollars canadiens
- Déclarez les montants arrondis au dollar le plus proche
- Exclure la taxe de vente
- Déclarez les heures exactes arrondis à l'heure le plus proche
- Lorsque les chiffres exacts ne sont pas disponibles, veuillez nous fournir vos meilleures estimations
- Entrez « 0 » s'il n'y a aucune valeur à déclarer
- Le questionnaire être rempli par un gestionnaire des TI ou un cadre supérieur responsable de la sécurité informatique et de la sécurité de réseau au sein de l'entreprise
- Le cas échéant, les experts-conseils ou les entrepreneurs externes qui gèrent l'infrastructure des TI de l'entreprise dovient apporter leur aide

À titre de référence, vous pouvez imprimer un questionnaire vide en sélectionnant le lien qui suit :
«insérer l'adresse et le texte du hyperlien de la page web»

Imprimer votre questionnaire rempli :

Vous pouvez imprimer ce questionnaire une fois que vous l'aurez rempli et envoyé.

Caractéristiques de l'entreprise

Caractéristiques de l'entreprise - Identificateur de question :1

Lesquels des éléments suivants sont actuellement utilisés par votre entreprise?
Sélectionnez tout ce qui s'applique.

  • : Site Web pour votre entreprise
  • : Comptes de médias sociaux pour votre entreprise
  • : Plateformes et solutions de commerce électronique
  • : Applications Web
  • : Systèmes informatiques ou stockage de données en nuage
  • : Appareils « intelligents » connectés à Internet
  • : Intranet
  • : Services de voix sur protocole Internet (VoIP)
  • : OU
  • : L'entreprise n'utilise aucune des applications ci-dessus

Caractéristiques de l'entreprise - Identificateur de question :2

Lesquels des éléments suivants sont actuellement utilisés par votre entreprise?
Inclure les données qui sont sauvegardées. Sélectionnez tout ce qui s'applique.

  • : Renseignements confidentiels sur les employés
  • : Renseignements confidentiels concernant les clients, les fournisseurs ou les partenaires
  • : Renseignements confidentiels sur les entreprises
  • : Renseignements commerciaux de nature délicate
  • : Renseignements de nature non délicate et information publique
  • : OU
  • : L'entreprise ne stocke pas de données sur des services Web hébergés à l'externe

Caractéristiques de l'entreprise - Identificateur de question :3

Est-ce que quelqu'un dans votre entreprise utilise des dispositifs personnels, comme des téléphones intelligents, des tablettes, des ordinateurs portatifs ou des ordinateurs de bureau pour mener des activités commerciales régulières?
Inclure les dispositifs qui sont subventionnés par l'employeur.

  • : Oui
  • : Non
  • : Ne sais pas

Environnement de cybersécurité

Environnement de cybersécurité - Identificateur de question :4

Lesquelles des mesures de cybersécurité suivantes sont actuellement en place dans votre entreprise? Inclure les mesures de sécurité sur place et externes, y compris celles fournies par un tiers externe. Sélectionnez tout ce qui s'applique.

  • : Sécurité mobile
  • : Logiciels contre les programmes malveillants pour protéger contre les virus, les espiogiciels, les logiciels de rançon, etc.
  • : Sécurité Web
  • : Sécurité des courriels
  • : Sécurité des réseaux
  • : Protection et contrôle des données
  • : Sécurité aux points de vente (PDV)
  • : Sécurité logicielle et des applications
  • : Sécurité relative au matériel et à la gestion des actifs
  • : Sécurité relative à la gestion de l'accès et de l'identité
  • : Contrôles de l'accès physique
  • : OU
  • : L'entreprise n'a pas de mesures de cybersécurité en place
  • : OU
  • : Ne sais pas

Environnement de cybersécurité - Identificateur de question :5

La mise en oeuvre des mesures de cybersécurité était-elle une exigence d'un fournisseur, d'un client, d'un partenaire ou d'un régulateur?

  • : Oui
  • : Non
  • : Ne sais pas

Environnement de cybersécurité - Identificateur de question :6

Combien d'employés sont principalement responsables de la cybersécurité générale de votre entreprise? Inclure employés à temps partiel et à temps plein. Exclure les experts-conseils ou entrepreneurs en TI externes.

  • : Un à cinq employés
  • : Six à 15 employés
  • : Plus de 15 employés
  • : Aucun

Environnement de cybersécurité - Identificateur de question :7

Quelles sont les principales raisons pour lesquelles votre entreprise n'a pas d'employés principalement responsables de la cybersécurité? Sélectionnez tout ce qui s'applique.

  • : Tous les employés sont responsables de la cybersécurité dans une certaine mesure
  • : L'entreprise a recours à des experts-conseils ou à des entrepreneurs pour surveiller la cybersécurité
  • : L'entreprise a une assurance cyberresponsabilité
  • : L'entreprise est en voie de recruter un professionnel en cybersécurité
  • : L'entreprise est incapable de trouver un professionnel en cybersécurité ayant les qualifications adéquates
  • : L'entreprise n'a pas les ressources pour embaucher un professionnel en cybersécurité
  • : La cybersécurité ne représente pas un risque élevé pour l'entreprise

Environnement de cybersécurité - Identificateur de question :8

Votre entreprise a-t-elle communiqué des pratiques exemplaires ou des renseignements généraux sur les risques pour la cybersécurité à vos employés en 2017? Inclure le partage d'information au moyen des courriels, des babillards, des séances d'information générale sur des sujets se rapportant aux points suivants : ¿ reconnaître et éviter les arnaques par courriel ¿ importance de la complexité des mots de passe et des techniques de sécurité de base ¿ sécuriser votre navigateur Web et avoir des pratiques de navigation Web sécuritaires ¿ éviter les attaques d'hameçonnage ¿ reconnaître et éviter les espiogiciels.

a. Renseingments communiqués au personnel interne de la TI
b. Renseignments communiqués à d'autres employés

  • : Oui
  • : Non
  • : Sans objet

Environnement de cybersécurité - Identificateur de question :9

Votre entreprise a-t-elle offert une formation officielle pour développer ou mettre à jour les compétences liées à la cybersécurité de vos employés ou de vos intervenants en 2017? Inclure la formation offerte par des sources externes.

a. Formation offerte au personnel interne de la TI
b. Formation offerte aux autres employés
c. Formation offerte aux intervenants,comme les fournisseurs,les clients ou les partnaires

  • : Oui
  • : Non
  • : Sans objet

Environnement de cybersécurité - Identificateur de question :10

Quelles sont les principales raisons expliquant les dépenses en temps ou en argent de votre entreprise pour des mesures de cybersécurité et/ou la formation en cybersécurité? Sélectionnez jusqu'à trois.

  • : Protéger la réputation de l'entreprise
  • : Protéger les renseignements personnels des employés, des fournisseurs, des clients ou des partenaires
  • : Protéger les secrets commerciaux et la propriété intellectuelle
  • : Observation des lois, des règlements ou des contrats
  • : L'entreprise a déjà subi un incident de cybersécurité
  • : Éviter les temps d'arrêt et les pannes informatiques
  • : Empêcher la fraude et le vol
  • : Garantir la continuité des activités de l'entreprise
  • : OU
  • : L'entreprise ne dépense pas de temps ou d'argent sur des mesures de cybersécurité et/ou une formation en cybersécurité

Environnement de cybersécurité - Identificateur de question :11

Lesquelles des dispositions suivantes en matière de gestion des risques sont actuellement appliquées par votre entreprise? Sélectionnez tout ce qui s'applique.

  • : Une politique écrite sur la gestion des risques pour la cybersécurité p.ex plan d'intervention en cas de cyberincidents
  • : Une politique écrite en place pour signaler des cyberincident(s)
  • : Un plan de continuité des activités intégrant des processus pour la gestion des cybermenaces, des vulnérabilités et des risques
  • : Employé(s) chargé(s) d'assurer la surveillance des risques et des menaces pour la cybersécurité
  • : Membres de la haute direction chargés d'assurer la surveillance des risques et des menaces pour la cybersécurité
  • : Expert-conseil ou entrepreneur pour gérer les risques et les menaces pour la cybersécurité
  • : Assurance cyberresponsabilité pour protéger contre les risques et les menaces pour la cybersécurité
  • : OU
  • : L'entreprise n'applique aucune disposition en matière de gestion des risques pour la cybersécurité

Environnement de cybersécurité - Identificateur de question :12

Lesquels des éléments suivants sont couverts par votre police d'assurance cyberresponsabilité? Sélectionnez tout ce qui s'applique.

  • : Pertes directes par suite d'une attaque ou d'une intrusion
  • : Frais de restauration des logiciels, du matériel et des données électroniques
  • : Interruption des activités (perte de temps de production) et perte de réputation
  • : Responsabilité envers les tiers
  • : Pertes financières
  • : Mesure corrective pour les infractions à la sécurité et frais de notification
  • : Demandes d'indemnisation des employés

État de préparation en matière de cybersècuritè

État de préparation en matière de cybersècuritè - Identificateur de question :11

Lesquelles des dispositions suivantes en matière de gestion des risques sont actuellement appliquées par votre entreprise? Sélectionnez tout ce qui s'applique.

  • : Une politique écrite sur la gestion des risques pour la cybersécurité p.ex plan d'intervention en cas de cyberincidents
  • : Une politique écrite en place pour signaler des cyberincident(s)
  • : Un plan de continuité des activités intégrant des processus pour la gestion des cybermenaces, des vulnérabilités et des risques
  • : Employé(s) chargé(s) d'assurer la surveillance des risques et des menaces pour la cybersécurité
  • : Membres de la haute direction chargés d'assurer la surveillance des risques et des menaces pour la cybersécurité
  • : Expert-conseil ou entrepreneur pour gérer les risques et les menaces pour la cybersécurité
  • : Assurance cyberresponsabilité pour protéger contre les risques et les menaces pour la cybersécurité
  • : OU
  • : L'entreprise n'applique aucune disposition en matière de gestion des risques pour la cybersécurité

État de préparation en matière de cybersècuritè - Identificateur de question :12

Lesquels des éléments suivants sont couverts par votre police d'assurance cyberresponsabilité? Sélectionnez tout ce qui s'applique.

  • : Pertes directes par suite d'une attaque ou d'une intrusion
  • : Frais de restauration des logiciels, du matériel et des données électroniques
  • : Interruption des activités (perte de temps de production) et perte de réputation
  • : Responsabilité envers les tiers
  • : Pertes financières
  • : Mesure corrective pour les infractions à la sécurité et frais de notification
  • : Demandes d'indemnisation des employés

État de préparation en matière de cybersècuritè - Identificateur de question :13

Lesquelles des activités suivantes votre entreprise mène-t-elle pour identifier les risques à la cybersécurité? Sélectionnez tout ce qui s'applique.

  • : Surveillance du comportement des employés
  • : Surveillance du réseau et des systèmes d'entreprise
  • : Évaluation formelle des risques en matière de cybersécurité, par un employé
  • : Évaluation formelle des risques en matière de cybersécurité, par un tiers externe
  • : Tests d'intrusion, par un employé
  • : Tests d'intrusion, par un tiers externe
  • : Évaluation de la sécurité des appareils intelligents connectés à Internet ou des dispotifs de l'Internet des objets (IdO)
  • : Investissement dans le domaineau du renseignement sur les menaces
  • : Vérification complète des systèmes de la TI, par un tiers externe
  • : L'entreprise mène d'autres activités pour identifier les risques pour la cybersécurité
  • : OU
  • : L'entreprise ne mène pas d'activités pour identifier les risques pour la cybersécurité

État de préparation en matière de cybersècuritè - Identificateur de question :14

À quelle fréquence votre entreprise mène-t-elle des activités pour identifier les risques pour la cybersécurité? Sélectionnez tout ce qui s'applique.

  • : Selon un horaire précis
  • : Lorsque survient un incident de cybersécurité
  • : Lorsqu'une nouvelle initiative ou un nouveau projet en TI est lancé
  • : De façon irrégulière

État de préparation en matière de cybersècuritè - Identificateur de question :15

À quelle fréquence la haute direction de votre entreprise reçoit-elle une mise à jour sur les mesures prises concernant la cybersécurité?
Sélectionnez tout ce qui s'applique.

  • : Selon un horaire précis
  • : Lorsque survient un incident de cybersécurité
  • : Lorsqu'une nouvelle initiative ou un nouveau projet en TI est lancé
  • : La haute direction dispose d'outils qui lui permettent d'assurer le suivi des questions relatives à la cybersécurité
  • : La haute direction reçoit une mise à jour sur de façon irrégulière
  • : OU
  • : La haute direction ne reçoit pas de mise à jour sur les problèmes de cybersécurité

Coût de prévention ou de détection des incident(s) liés à la cybersécurité

Coût de prévention ou de détection des incident(s) liés à la cybersécurité - Identificateur de question :18

En 2017, quel est le montant total que votre entreprise a dépensé pour prévenir ou détecter les incidents de cybersécurité? Si des chiffres précis ne sont pas disponibles, veuillez fournir votre meilleure estimation en dollars canadiens.

Entrez « 0 » s'il n'y a aucune valeur à déclarer.

Incident(s) de cybersécurité

Incident(s) de cybersécurité - Identificateur de question :19

Selon vous, lesquels des incidents de cybersécurité suivants ont touché votre entreprise en 2017? Sélectionnez tout ce qui s'applique.

Incident(s) de cybersécurité - Identificateur de question :20

Environ combien de fois votre entreprise a-t-elle été touchée par des incident(s) de cybersécurité en 2017?

Incident(s) pour perturber ou défigurer l'entreprise ou sa présence Web
Incident(s) pour voler des renseignements personnels ou financiers
Incident(s) pour voler de l'argent ou pour demander le paiement d'une rançon
Incident(s) pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
Incident(s) pour accéder à des zones d'accès non autorisé ou privilégié
Incident(s) pour surveiller et suivre les activités commerciales
Incident(s) sans motif connu

  • : Nombre de fois que l'incident s'est produit
  • : OU
  • : Ne sait pas

Incident(s) de cybersécurité - Identificateur de question :21

Selon vous, qui a commis les incidents de cybersécurité en 2017?
Sélectionnez tout ce qui s'applique.

Incident(s) pour perturber ou défigurer l'entreprise ou sa présence Web
Incident(s) pour voler des renseignements personnels ou financiers
Incident(s) pour voler de l'argent ou pour demander le paiement d'une rançon
Incident(s) pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
Incident(s) pour accéder à des zones d'accès non autorisé ou privilégié
Incident(s) pour surveiller et suivre les activités commerciales
Incident(s) sans motif connu

  • : Un tiers externe
  • : Un employé interne
  • : Fournisseur, client ou partenaire
  • : OU
  • : Ne sais pas

Incident(s) de cybersécurité - Identificateur de question :22

Quelle était la méthode utilisée pour compromettre la cybersécurité? Sélectionnez tout ce qui s'applique.

Incident(s) pour perturber ou défigurer l'entreprise ou sa présence Web
Incident(s) pour voler des renseignements personnels ou financiers
Incident(s) pour voler de l'argent ou pour demander le paiement d'une rançon
Incident(s) pour voler ou utiliser de manière inappropriée la propriété intellectuelle ou les données commerciales
Incident(s) pour accéder à des zones d'accès non autorisé ou privilégié
Incident(s) pour surveiller et suivre les activités commerciales
Incident(s) sans motif connu

  • : Exploitation des vulnérabilités des logiciels, du matériel ou des réseaux
  • : Piratage ou décodage du mot de passe
  • : Vol d'identité
  • : Arnaques et frauds
  • : Attaques logicielles malveillantes
  • : Déni de service (DoS) ou déni de service distribué (DDoS)
  • : Perturbation ou défiguration de la présence Web
  • : OU
  • : Ne sais pas

Incident(s) de cybersécurité - Identificateur de question :23

Vous avez indiqué précédemment que votre entreprise a une assurance cyberresponsabilité. Votre entreprise a-t-elle déjà tenté de présenter une demande de règlement d'assurance après les incident(s) de cybersécurité en 2017?Sélectionnez tout ce qui s'applique.

  • : Oui, nous avons demandé un règlement en vertu de l'assurance cyberresponsabilité de l'entreprise, la demande a été acceptée.
  • : Oui, nous avons demandé un règlement en vertu de l'assurance cyberresponsabilité, mais la demande a été rejetée.
  • : Oui, nous avons tenté de demander un règlement et la demande est toujours en cours.
  • : OU
  • : Non, nous n'avons pas présenté de demande de règlement.

Incident(s) de cybersécurité - Identificateur de question :24

Quelles ont été les répercussions des incidents de cybersécurité sur votre entreprise en 2017? Sélectionnez tout ce qui s'applique.

  • : Pertes de revenus
  • : Perte de fournisseurs, de clients ou de partenaires
  • : Frais de réparation ou de rétablissement supplémentaires
  • : Paiement d'une rançon
  • : Indisponibilité des ressources ou des services
  • : Impossibilité pour les employés d'effectuer leurs tâches quotidiennes
  • : Heures supplémentaires requises par les employés pour répondre aux incidents de cybersécurité
  • : Atteinte à la réputation de l'entreprise
  • : Amendes imposées par des organismes de réglementation ou des autorités
  • : Décourager l'entreprise d'effectuer une activité future prévue
  • : Incident(s) mineurs ayant eu une incidence minimale sur l'entreprise
  • : OU
  • : L'entreprise n'a pas été touchée de l'une des manières décrites ci-dessus en 2017
  • : OU
  • : Ne sait pas ou ne connait pas les répercussions

Incident(s) de cybersécurité - Identificateur de question :25

Combien d'heures environ d'interruption de service votre entreprise a-t-elle subies en raison d'incidents liés à la cybersécurité en 2017?

Inclure le temps d'arrêt total pour les appareils mobiles, les ordinateurs de bureau et les réseaux.

Si des chiffres précis ne sont pas disponibles, veuillez inscrire votre meilleure estimation.

  • : Heures
  • : OU
  • : L'entreprise n'a pas subi de temps d'interruption en 2017
  • : OU
  • : Ne sait pas
Date de modification :