Les entreprises à capital fermé du Canada doivent renforcer la cybersécurité pour faire face à la volatilité

Photo de Tony Ritlop
Tony Ritlop

Leader, Risques technologiques, Certification, EY Canada

8 minutes de lecture 21 juill. 2025
Sujets connexes
Entreprise à capital fermé
Cybersécurité
Risques

Les entreprises à capital fermé du Canada doivent privilégier la cybersécurité en réponse à la montée des cyberrisques afin de protéger leurs actifs essentiels sur un marché instable.

En bref

  • Les entreprises à capital fermé aux prises avec une multitude de facteurs macroéconomiques et géopolitiques ne doivent pas abandonner leurs activités de cybersécurité.
  • En fait, étant donné que l’imprévisibilité des marchés peut accroître les cyberrisques, il est d’autant plus nécessaire de redoubler d’efforts en matière de cybersécurité.
  • L’adoption d’une approche intégrée de type « évaluer, protéger, intervenir » peut aider les entreprises à capital fermé du Canada à protéger leurs actifs financiers et non financiers ainsi qu’à acquérir un avantage concurrentiel.

Dans le contexte d’affaires volatil que nous traversons, il peut être difficile pour les entreprises à capital fermé canadiennes de s’y retrouver parmi tant de priorités concurrentes. Certains enjeux pourraient bien constituer des menaces existentielles, susceptibles de nécessiter des changements dans l’organisation, la chaîne d’approvisionnement, la main‑d’œuvre ou ailleurs. Cependant, à l’heure actuelle, il est essentiel que la cybersécurité demeure dans la liste des priorités.

Grâce à l’adoption d’une approche intégrée permanente d’évaluation, de protection et d’intervention en présence de cybermenaces, la gestion de risque proactive s’avère possible et plus efficace. Aborder la question de cette manière permet d’intégrer cette priorité à même le tissu culturel de votre organisation. Cette pratique est particulièrement importante dans un monde où les situations et les marchés imprévisibles peuvent augmenter les risques à la cybersécurité et les coûts connexes.

Pourquoi les entreprises à capital fermé doivent‑elles demeurer axées sur la cybersécurité en 2025?

Dans le secteur industriel, même les violations de données d’ampleur relativement restreinte coûtent en moyenne près de 6 millions de dollars aux entreprises à capital fermé1. Les violations de plus grande ampleur (pour lesquelles la sécurité d’entre 50 et 60 millions de fichiers est compromise) entraînent des coûts nets moyens pouvant atteindre 375 millions de dollars pour les entreprises de tous les secteurs2.En revanche, la recherche indique que l’utilisation proactive des technologies modernes pour atténuer les risques permet de réduire ces coûts de millions de dollars3.

En ce qui a trait aux entreprises à capital fermé du Canada, ces statistiques soulignent l’importance d’une gestion préventive des cyberrisques. On ne rénove pas une maison sans d’abord remettre en état une fondation fissurée ou une toiture précaire. Il en va de même pour la question qui nous intéresse.

Au Canada et autour du globe, les entreprises font face à un vaste éventail de risques : des menaces internes (vol de données, violations de données accidentelles, utilisation malveillante d’identifiants ou non‑respect de politiques), des forces externes (stratagèmes d’hameçonnage, rançongiciels et attaques par saturation de service) et de nouvelles menaces qui surgissent chaque jour.

En outre, une enquête récente d’EY a indiqué que 44 % des organisations canadiennes ont subi une cyberattaque au cours de l’année dernière.

Loin de ralentir, la prolifération de ces menaces s’accélère dans les périodes d’incertitude. L’établissement d’un cadre de responsabilité partagée et interfonctionnelle en matière de cybersécurité dans le cours normal de vos activités permet de renforcer vos défenses et de protéger vos données financières. Cela permet également d’assurer la sécurité d’autres actifs d’affaires essentiels, y compris les renseignements privés des employés et la propriété intellectuelle issue des activités d’innovation, voire la confiance de la clientèle.

Comment EY peut vous aider

Comment une approche de type « évaluer, protéger, intervenir » permet‑elle de barrer la route aux cybermenaces?

Pour être efficace dans les entreprises à capital fermé, la cybersécurité ne doit pas évoluer en vase clos. Vous devez en faire une partie intégrante de l’entreprise dans son ensemble. Autrement dit, il importe de faire de la cybersécurité la responsabilité de tous et de s’en occuper de manière proactive et continue.

Dans l’idéal, les défenses cybersécuritaires se déploient en permanence dans les coulisses tandis que vos gens s’affairent en première ligne à protéger les actifs d’affaires. En outre, en abordant la cybersécurité de cette façon, vous pouvez préparer le terrain à l’adoption des technologies émergentes, un avantage dont les entreprises à capital fermé ne devraient pas se passer.

Les outils comme l’intelligence artificielle générative dépendent de votre capacité à les adopter de manière responsable. Une approche intégrée en matière de cybersécurité permet à votre entreprise privée de continuer à innover et de se doter d’outils de pointe tout en tenant à distance les menaces potentielles.


Nous recommandons d’adopter une approche intégrée en matière de cybersécurité en trois étapes afin de comprendre les risques auxquels vous faites face, de vous protéger des menaces et d’être à même d’intervenir rapidement si les choses tournent mal :

1. Évaluer les mesures de sécurité actuellement en place pour détecter les vulnérabilités et les menaces potentielles touchant votre système.

Qu’il s’agisse d’une première évaluation ou de la mise à jour d’une évaluation effectuée plusieurs années auparavant, cette mesure permet d’arrimer vos stratégies de cybersécurité à vos objectifs d’affaires. Ce genre de démarche fondamentale met en évidence des informations exploitables grâce auxquelles vous pourrez ensuite établir l’ordre des priorités et réaliser des investissements ciblés.

EY offre des méthodes solides afin d’offrir aux entreprises à capital fermé une vue d’ensemble des cybermenaces les concernant. Nous employons une méthodologie adaptable et éprouvée permettant de dresser votre profil de risque à la lumière de quatre piliers principaux : protection des données et des renseignements personnels, gestion des identités et des accès, architecture et ingénierie de la sécurité, et opérations de sécurité.

Ces évaluations de la cybersécurité vous permettent de revoir les mesures de sécurité actuelles en fonction des risques d’entreprise et des risques sectoriels. Voilà comment vous pouvez détecter les vulnérabilités et voir grand, et même accroître la probabilité que votre entreprise soit conforme aux normes sectorielles. De plus, les évaluations fournissent des informations utiles à la planification de vos stratégies futures, vous aidant à établir l’ordre de priorité des investissements en sécurité et à affecter les ressources de manière efficace, tout en vous rapprochant de vos pairs du secteur. Les évaluations permettent aux entreprises de mieux protéger les infrastructures et données essentielles. Ensemble, ces mesures intègrent la cybersécurité à même les stratégies et objectifs d’affaires, favorisant ainsi son adoption sur le plan culturel.

À l’étape de l’évaluation, et périodiquement par la suite, voici ce que nous vous recommandons :

  • Relever les profils de maturité actuels et souhaités qui correspondent à vos risques d’entreprise et sectoriels.
  • Réaliser une évaluation de l’état actuel conforme aux pratiques et aux normes de pointe, en y joignant une analyse rétrospective de la maturité, dans la mesure du possible.
  • Envisager de préparer une feuille de route pour la stratégie en matière de cybersécurité et l’état futur en fonction de votre appétence pour le risque et du contexte d’affaires.

2. Protéger l’entreprise à l’aide d’une stratégie multicouches.

Doter votre entreprise privée d’une évaluation de cybersécurité vous prépare à agir avec discernement et renforce les défenses organisationnelles. Il peut s’agir d’améliorer la sécurité des points d’extrémité (utilisateurs de première ligne), des réseaux internes et externes, des services, des applications et des bases de données.

En vous appuyant sur les résultats de l’évaluation, vous pourrez mettre en œuvre des activités de sensibilisation des équipes internes à la cybersécurité. Plus les gens connaissent les risques de cybersécurité propres à votre entreprise, plus ils peuvent en comprendre l’étendue et se préparer à se protéger (et à protéger l’organisation) d’une violation de données potentielle.

Ainsi, en vous concentrant délibérément sur les gens, les processus et la technologie dans la gestion des risques en matière de cybersécurité, vous pourrez détecter les menaces avant qu’elles ne bouleversent vos activités. En outre, vous pourrez également établir des plans d’intervention en cas d’incident plus solides et améliorer continuellement vos défenses à la lumière des cybermenaces nouvelles et émergentes.

À l’étape de la protection, et périodiquement par la suite, voici ce que nous vous recommandons :

  • Former les gens afin qu’ils acquièrent les compétences nécessaires pour prévenir les accès non autorisés et réduire les risques de violation de données.
  • Établir des processus clairs et les diffuser avec transparence afin que les gens sachent comment protéger les actifs et assurer la poursuite des activités en cas de cyberattaque. Cette mesure aide à faire diminuer considérablement le nombre d’interruptions de service et à accélérer les processus de reprise en situation de crise.
  • Implanter les meilleures technologies et mettre en œuvre des comportements de protection exemplaires de sorte à favoriser la conformité aux obligations légales et réglementaires (pour aider votre entreprise privée à éviter les amendes ou les problèmes juridiques), à protéger votre marque et, potentiellement, à vous distinguer de la concurrence, ainsi qu’à ouvrir la voie à de nouvelles possibilités de revenus.

3. Se préparer à intervenir en cas de cyberattaque et s’en rétablir.

Les violations de données sont une réalité. C’est pourquoi il importe de les anticiper et d’être prêts à intervenir. Lorsqu’on a prévu comment agir si le pire scénario devait survenir, on est mieux préparé à traiter les violations de données de manière efficace. Cette mesure permet d’économiser des coûts, de limiter les dommages et d’accélérer la reprise des activités.

À l’aide d’une approche de type « évaluer, protéger, intervenir », vous pouvez tirer le meilleur des informations recueillies à chaque étape pour vous assurer que votre plan d’intervention est adapté aux types de risque auxquels votre entreprise est le plus susceptible de faire face.

Par exemple, les technologies qui étaient auparavant à un stade précoce (intelligence artificielle, Internet des objets et 5G) gagnent du terrain au sein des organisations canadiennes, apportant avec elles à la fois des possibilités et des vulnérabilités.

Au cours des dernières années, les cybercriminels ont exploité ces faiblesses de plus en plus. Avec l’IA, l’apprentissage automatique et l’automatisation, les cybercriminels ont la possibilité de multiplier les attaques à des fins lucratives, perturbatrices ou politiques, ce qui pose des risques complexes à la sécurité, aux chaînes d’approvisionnement et aux données. Les attaques par rançongiciel ont également gagné en ampleur et en complexité, ciblant particulièrement les infrastructures critiques.
Orienter l’approche de type « évaluer, protéger, intervenir » de l’organisation sur les contextes actuel et futur vous donne le temps de procéder à des exercices de simulation qui reproduisent des cyberincidents du monde réel. En abordant la cybersécurité de cette manière, vous avez toutes les informations en main pour établir des équipes dédiées d’intervention en cas d’incident, tenir à jour les plans d’intervention et mettre en œuvre un suivi et une journalisation continus.

Ensemble, ces capacités réduisent considérablement les coûts associés aux cyberincidents, contribuent à assurer la poursuite des activités, même en cas de cyberattaque, et favorisent la mise en œuvre de pratiques et de stratégies de pointe permettant de répondre aux obligations légales et réglementaires.

À l’étape de l’intervention, et périodiquement par la suite, voici ce que nous vous recommandons :

  • Établir et régulièrement tenir à jour des plans d’intervention en cas d’incident afin de gérer efficacement les cybermenaces et de s’en rétablir.
  • Surveiller les systèmes en permanence pour détecter rapidement les cybermenaces et intervenir avec diligence.
  • Fournir aux équipes des possibilités de mettre en pratique les plans d’intervention, d’améliorer la coordination, de détecter les vulnérabilités et de renforcer la cyberrésilience en général.

Résumé

L’instabilité du marché grandit, tout comme l’ampleur des cyberrisques. Les entreprises à capital fermé du Canada doivent adopter une stratégie du type « évaluer, protéger, intervenir » pour combattre les cyberrisques courants et émergents dans une époque d’incertitude généralisée. 

Contenu connexe

Évaluer et rehausser le volet cybersécurité des entreprises à capital fermé

Dans cette webémission, les panélistes discutent de l’importance de renforcer le volet cybersécurité des entreprises à capital fermé ainsi que de stratégies d’atténuation des risques.

Cybersécurité : comment passer de la protection de la valeur à la création de valeur?

Selon l’étude Global Cybersecurity Leadership Insights Study de 2025 d’EY, les chefs de la sécurité de l’information représentent 36 millions de dollars américains pour chaque initiative stratégique à laquelle ils participent. En savoir plus.

EY Canada

    À propos de cet article

    Photo de Tony Ritlop
    Tony Ritlop
    Leader, Risques technologiques, Certification, EY Canada
    Leader canadien qui sait tirer parti aussi bien des avancées technologiques que des pratiques d’une saine gestion des risques pour aider les clients à atteindre leurs objectifs et à accroître leurs chances de réussite, tout en atténuant leurs risques.
    Sujets connexes
    Entreprise à capital fermé
    Cybersécurité
    Risques

    EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, et peut désigner une ou plusieurs de ces sociétés membres, lesquelles sont toutes des entités juridiques distinctes. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume‑Uni, ne fournit aucun service aux clients.