Article Gouvernance Cybersecurite Vue2pages
Article Gouvernance Cybersecurite Vue2pages
Article Gouvernance Cybersecurite Vue2pages
GOUVERNANCE DE
LA CYBERSÉCURITÉ
PORTRAIT ET TENDANCES AU QUÉBEC
BASÉ SUR
LE RAPPORT
GOUVERNANCE
AU QUÉBEC
2023
Collège des administrateurs de sociétés ―2― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
TABLE DES MATIÈRES
INTRODUCTION. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
SOMMAIRE EXÉCUTIF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
CONCLUSION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
ANNEXE 1 – Méthodologie et description de l’échantillon . . . . . . . . . . . . . . . . . . . . . . . . . 29
Collège des administrateurs de sociétés ―3― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
INTRODUCTION
« GOUVERNANCE DE
LA CYBERSÉCURITÉ : PORTRAIT
ET TENDANCES AU QUÉBEC 1 »
FAIT PARTIE D’UN VASTE PROJET
D’OBSERVATION DES PRATIQUES
DE GOUVERNANCE DES
CONSEILS D’ADMINISTRATION
OU DES COMITÉS
CONSULTATIFS.
Collège des administrateurs de sociétés ―4― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
INTRODUCTION
Le terme « cybersécurité » est apparu à la fin des années La cybersécurité est apparue comme une
2000 et l’Union internationale des télécommunications préoccupation pour les conseils d’administration
l’a défini comme « l’ensemble des outils, politiques, au milieu des années 2000. Certaines attaques ont
concepts de sécurité, mécanismes de sécurité, lignes reçu énormément de visibilité dans les médias à cette
directrices, méthodes de gestion des risques, actions,
époque, telles celles de Yahoo et Target aux États‑Unis,
formations, bonnes pratiques, garanties et technologies
qui peuvent être utilisés pour protéger le cyberenvironnement et cela a fortement contribué à rehausser l’intérêt
et les actifs des organisations et des utilisateurs. Les envers le sujet.
actifs des organisations et des utilisateurs comprennent Depuis, les attaques ayant visé Desjardins, Revenu
les dispositifs informatiques connectés, le personnel,
Québec, Bell Canada, Equifax, Capital One, le Cégep
l'infrastructure, les applications, les services, les systèmes
de St-Félicien et la Société de transport de Montréal
de télécommunication, et la totalité des informations
transmises et/ou stockées dans le cyberenvironnement. ont frappé l’imaginaire, par le nombre de données
La cybersécurité cherche à garantir que les propriétés personnelles volées, par l’ampleur des rançons exigées,
de sécurité des actifs des organisations et des utilisateurs ou par la durée de l’arrêt des opérations des organisations
soient assurées et maintenues par rapport aux risques infectées.
affectant la sécurité dans le cyberenvironnement »2.
Aujourd’hui, une proportion importante des organisations
a subi des attaques de cybersécurité, les rançongiciels
en étant une manifestation bien connue.
Cet article fait état des perceptions et des pratiques Ces groupes sont :
en matière de cybersécurité pour les conseils • Groupe 1 : Petites organisations – Moins de
d’administration au Québec en 2023 3. 100 employés
• Groupe 2 : Moyennes et grandes organisations –
Il est divisé en trois grandes parties : 100 employés et plus
• Partie 1 : Le risque perçu de la cybersécurité,
selon la taille et le type d’organisation Une ventilation des résultats en fonction du type
d’organisation est également présentée. Cinq groupes
• Partie 2 : Les pratiques de gouvernance de
la cybersécurité sont ainsi formés pour une meilleure contextualisation
et appréciation des résultats :
• Partie 3 : L’importance actuelle accordée
aux enjeux de cybersécurité et celle souhaitée • Groupe A : Sociétés ouvertes, comprenant
les sociétés cotées en bourse et leurs filiales
• Groupe B : Sociétés privées, incluant les PME et
Les résultats sont présentés selon la taille des les grandes entreprises de propriété privée
organisations. Le nombre d’employés équivalent temps • Groupe C : Organisations coopératives
plein est utilisé comme base de référence. Les résultats • Groupe D : Sociétés publiques ou parapubliques,
sont ainsi ventilés en deux groupes et un test statistique regroupant les organismes liés à l’État
est utilisé pour déterminer si la différence observée • Groupe E : Organisations sans capital-actions,
entre les deux groupes est significative ou non. désignant les organismes à but non lucratif (OBNL),
les associations, les ordres professionnels et
les fondations
Collège des administrateurs de sociétés ―5― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
SOMMAIRE
EXÉCUTIF
Collège des administrateurs de sociétés ―6― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
FAITS SAILL ANTS – PARTIE 1
LE RISQUE PERÇU
DE CYBERSÉCURITÉ
2e
PLUS IMPORTANT
RISQUE PERÇU
POUR LA PROCHAINE ANNÉE
PAR LES ORGANISATIONS.
2e
RANG
5e
RANG
Collège des administrateurs de sociétés ―7― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
FAITS SAILL ANTS – PARTIE 2
LES PR ATIQUES
DE GOUVERNANCE
DE L A CYBERSÉCURITÉ
1 2 3
LA SUPERVISION LES DISCUSSIONS AUTOUR LA DÉLÉGATION
DE LA GESTION DE LA STRATÉGIE ET DES À UN COMITÉ
DES RISQUES PROCESSUS STRATÉGIQUES
UN PEU PLUS DE
10 %
DES CA
CE SONT SURTOUT
LES CA DES SOCIÉTÉS
PRIVÉES ET PUBLIQUES
PEU
DE SOCIÉTÉS OUVERTES
OU SANS CAPITAL-ACTIONS
ONT UN COMITÉ TI
ONT MIS SUR PIED OU PARAPUBLIQUES
UN COMITÉ TI
UN PEU PLUS DE
35,5 % DES CA
CE SONT SURTOUT
LES MOYENNES ET GRANDES
COMPTENT AU MOINS ORGANISATIONS
UNE PERSONNE AYANT
UNE EXPERTISE EN CYBERSÉCURITÉ
Collège des administrateurs de sociétés ―8― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
FAITS SAILL ANTS – PARTIE 3
L’IMPORTANCE
ACTUELLE ACCORDÉE
AUX ENJEUX DE
CYBERSÉCURITÉ ET
CELLE SOUHAITÉE
LES MOYENNES ET
GRANDES ORGANISATIONS
ACCORDENT UNE IMPORTANCE
SUPÉRIEURE AUX ENJEUX DE
CYBERSÉCURITÉ EN COMPARAISON
AUX PLUS PETITES.
TOUTES LES
ORGANISATIONS
SOUHAITERAIENT Y ACCORDER
LES ORGANISATIONS DAVANTAGE D'IMPORTANCE.
SANS CAPITAL-ACTIONS,
PLUS PETITES,
DÉMONTRENT UNE IMPORTANCE
ACTUELLE OU SOUHAITÉE
INFÉRIEURE AUX AUTRES TAILLES
D'ORGANISATION.
Collège des administrateurs de sociétés ―9― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 1
LA CYBERSÉCURITÉ
PARMI LES PLUS GRANDS
RISQUES PERÇUS
Collège des administrateurs de sociétés ― 10 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 1 – LA CYBERSÉCURITÉ PARMI LES PLUS GRANDS RISQUES PERÇUS
Recrutement
Recrutementet
et rétention
rétention des employés
Cybersécurité Cybersécurité
Inflation Inflation
Évolution
Évolution des marchés
des marchés et deet
la concurrence
de la concurrence
Gouvernance Gouvernance
Pandémie / Covid-19
Pandémie / Covid-19
Enjeux environnementaux
Enjeux environnementaux
Chaînes d'approvisionnement
Chaînes d'approvisionnement
Contexte géopolitique
Contexte international
géopolitique international
Autres Autres
0 10 20 30 40 50 60 70 80 90 100
Collège des administrateurs de sociétés ― 11 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 1 – LA CYBERSÉCURITÉ PARMI LES PLUS GRANDS RISQUES PERÇUS
De telles attaques peuvent aussi coûter très cher aux Selon une autre étude, de Barracuda6, le personnel
organisations. Selon une étude d’IBM5, le coût moyen d’une organisation de moins de 100 employés est
d’un vol de données pour une entreprise est de susceptible de recevoir 350 % plus de cyberattaques
5,64 millions $US en 2022, dont environ le quart livrées par courriel que le personnel d’une grande
représente une perte du chiffre d’affaires. entreprise. L’étude attribue l’attrait des PME pour les
cybercriminels au fait que ces entreprises représentent
Pour 60 % des organisations impactées, l’attaque
une valeur économique importante et manquent
les a menées à augmenter le prix de leurs
souvent de ressources ou d’expertise en cybersécurité.
produits et/ou services, ce qui les rend encore
moins concurrentielles à moyen et long terme. Il est donc étonnant que pour les petites organisations
ayant répondu à notre sondage, la cybersécurité
arrive au cinquième rang des enjeux perçus,
derrière les enjeux sociaux et l’inflation, deux enjeux
sur lesquels elles n’ont aucun contrôle, mais qui engendrent
probablement beaucoup d’incertitude.
Collège des administrateurs de sociétés ― 12 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 1 – LA CYBERSÉCURITÉ PARMI LES PLUS GRANDS RISQUES PERÇUS
70%
70 %
60%
60 %
50%
50 %
40%
40 %
30%
30 %
20%
20 %
10%
10 %
00%
%
Collège des administrateurs de sociétés ― 13 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 1 – LA CYBERSÉCURITÉ PARMI LES PLUS GRANDS RISQUES PERÇUS
Ce constat n’est pas surprenant pour les organisations En effet, le dernier rapport de Flashpoint7 sur les
sans capital-actions. En effet, les organismes à but non attaques de cybersécurité indique que les secteurs
lucratif (OBNL), les associations, les ordres professionnels de la finance (10 %), du développement logiciel
et les fondations sont des organisations plus petites, et et de l’offre de logiciel en ligne (6,6 %), des
comme nous l’avons vu précédemment, ces organisations hôpitaux (5,3 %), de la santé excluant les hôpitaux
ne placent qu’au cinquième rang l’enjeu de la (4,8 %) et de la fabrication (4,3 %) sont les secteurs
cybersécurité. Par ailleurs, plusieurs de ces organisations ayant rapporté le plus de brèches de cybersécurité.
ne font pas partie des industries particulièrement
Ce sont de grandes sociétés, ciblées depuis de
ciblées par les attaques de cybersécurité.
nombreuses années. Mais comme on l’a noté dans
l’étude de Barracuda citée précédemment, les plus
petites organisations sont de plus en plus ciblées,
ce qui devrait entraîner une hausse de l’intérêt porté
aux mécanismes de prévention par ces organisations.
Collège des administrateurs de sociétés ― 14 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 2
LES PRATIQUES
DE GOUVERNANCE
DE LA CYBERSÉCURITÉ
Collège des administrateurs de sociétés ― 15 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 2 – LES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ
Les mécanismes de gouvernance utilisés par les CA Le tableau ci-dessous présente les différentes approches
pour intégrer différents enjeux dans leurs travaux sont et les illustre par des exemples.
très variés.
Établissement de
Intégration de la cybersécurité dans les critères pour les bonus,
la rémunération
régimes d’intéressement, etc.
des hauts dirigeants
Collège des administrateurs de sociétés ― 16 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 2 – LES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ
Le graphique suivant présente les mécanismes utilisés par les conseils d’administration pour gouverner
la cybersécurité selon la taille de l’organisation.
Intégration
INTÉGRATION desDEenjeux
DES ENJEUX de cybersécurité
CYBERSÉCURITÉ
Résultats ventilés selon la taille de l’organisation
SELON LA TAILLE DE L'ORGANISATION
Processus stratégiques
Processus stratégiques
Suivi de la performance
Suivi de la performance organi sationnelle
organisationnelle
StructureStructure dedu
de comités comités
CA du CA
Matrice de compétences
Matrice de compétences des administrateurs
des administrateurs
Formation du CA Formation du CA
Évaluation de la performance
Évaluation de la performance des hauts di rigeants
des hauts dirigeants
Divulgation externe
Divulgation externe
Établissement de la rémunération
Établ issement de la rémunération des hauts dirigeants
des hauts dirigeants
D’une part, on note qu’en général, les pratiques En effet, les petites organisations semblent davantage
associées à la supervision de la gestion des risques, traiter la cybersécurité comme un enjeu opérationnel
aux discussions autour de la stratégie et des suivi au moyen d’indicateurs et de tableaux de bord.
processus stratégiques et la délégation à un comité La perspective est donc celle du court terme et tournée
composent le trio privilégié de mécanismes. Cela vers le passé (« les infrastructures ont-elles été disponibles
laisse penser que la cybersécurité est vue, avec ou non ») plutôt que de considérer la cybersécurité
justesse, comme un risque pour les organisations, un comme un risque qui pourrait se matérialiser dans le
risque qui peut à la fois impacter les stratégies futur et possiblement impacter les stratégies d’affaires.
organisationnelles et leur exécution, et que l’on confie Sachant que les petites organisations disposent
à un comité afin d’assurer une vigie plus approfondie. de moins d’expertise en cybersécurité, il est
dommage que leurs conseils d’administration ne
En général, les moyennes et grandes organisations
soient pas utilisés stratégiquement pour combler
ont recours davantage aux différentes pratiques
ce manque d’expertise, ou à tout le moins, pour
énumérées comparativement aux petites organisations,
effectuer une surveillance accrue des enjeux stratégiques
avec une exception importante cependant.
reliés à la cybersécurité au moyen d’un comité ou par
l’intégration dans les processus de planification
stratégique, par exemple.
Collège des administrateurs de sociétés ― 17 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 2 – LES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ
Le graphique suivant présente les mécanismes utilisés Il existe également quelques différences dans les
pour gouverner la cybersécurité selon le type pratiques utilisées, mais celles-ci sont minimes et
d’organisation. généralement non significatives.
Intégration
INTÉGRATION DES ENJEUX des enjeux de cybersécurité
DE CYBERSÉCURITÉ
SELON LE TYPE D'ORGANISATION
Résultats selon le type d'organisation
5
Intégration faible (1) à forte (5)
Intégration faible (1) à forte (5)
.
ss
eess
ccee
eaea ce
t sts
ee
m.
CCAA
CA
nt nts
uuee
rrnn
aann
uC
qquu
aann
rig ig an
aad
s
tete
iqiq
du
ggee
risis
rrmm
di dir m
eexx
sd
éégg
es
dde
iririi
t s ts f o r
ssr
ioon
rrffoo
aatt
iitté
nn
dee
sts dd
ioio
a ti
auau er
ees
sttrr
mm
ppee
nnd
aat t
p
ncc
coo
sss
rrmm
uut
itoio
lglg
haa
aa
– -h a
s usu
eec
tee
FFoo
l
vivuu
es ts
ssh
ddee
rf. e
pé
e dd
eces
pe n d
GGe
ddee
h
DDi
mm
oroc
iivvii
uur
la io
nn
co
PPr
SSuu
cctt
itoio
e at
rturu
de
u
arat
n d al
SSt
néré
e
tio Év
ri c
unu
mém
att
M
RéR
ua
al
Év
Collège des administrateurs de sociétés ― 18 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 2 – LES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ
b. LE RECOURS À
UN COMITÉ TI
Comme tout comité du conseil, un comité TI (CTI) a Tel que l’indique le tableau suivant, les conseils
pour objectif d’assister le conseil dans la d’administration où siègent les répondantes et
gouvernance d’un domaine particulier, dans le répondants au sondage se sont adjoint trois comités
cas présent, celui des technologies de l’information. en moyenne et un peu plus de 10 % des CA ont
Cela permet de s’assurer que les TI sont examinées de mis sur pied un comité des technologies de
façon régulière par le conseil, généralement de façon l’information (CTI). En revanche, il est intéressant
plus structurée et planifiée que ce n’est le cas autrement. de noter, ici aussi, que les petites organisations ont
peu recours à ces comités (4 %) alors qu'ils sont
Le CTI s’assure en général de l’alignement des TI
présents dans presque 20 % des moyennes et
avec les stratégies d’affaires, que les investissements
grandes organisations.
en TI procurent la valeur ajoutée attendue, que
les risques engendrés par l’usage, ou le non-usage,
des TI sont sous contrôle, et que les TI performent
au niveau attendu.
Moyennes
Comités du conseil Petites Différence
Global et grandes
organisations statistique 1
organisations
Nombre moyen de comités 3,1 2,6 3,9
Oui
[Min - Max] [0-7] [0-6] [0-7]
Pourcentage des CA
disposant d’un comité des 10,4 % 4% 19,7 % Oui
technologies de l’information
Il n’est pas certain cependant que les dossiers de L’existence d’un CTI ou plus particulièrement d’un
cybersécurité soient automatiquement confiés à un comité sur la cybersécurité devrait augmenter
CTI lorsqu’il existe. Dans la mesure où il s’agit d’un dans le futur, surtout pour les moyennes et grandes
risque que l’organisation doit bien gérer, le dossier organisations, alors que les autorités de
peut être confié au comité de gestion des risques ou, règlementation commencent à s’y intéresser.
plus fréquemment, au comité d’audit souvent chargé Au Québec, cependant, peu de sociétés ouvertes se
de superviser la gestion des risques. sont dotées d’un CTI. On constate une plus grande
présence de CTI aux conseils des sociétés publiques
ou parapubliques, un phénomène que l’on observe
depuis plusieurs années, ainsi que dans une plus faible
proportion au sein des sociétés privées.
Collège des administrateurs de sociétés ― 19 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 2 – LES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ
25%
25 %
20%
20 %
15%
15 %
10%
10 %
55%
%
00%
%
Collège des administrateurs de sociétés ― 20 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 2 – LES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ
c. L’EXPERTISE EN CYBERSÉCURITÉ
AU SEIN DU CA
Des réflexions sont en cours dans plusieurs juridictions En moyenne, un peu plus de 35,5 % des CA comptent
afin d’exiger que les conseils d'administration se dotent au moins une personne ayant de l’expertise dans
d’une personne avec une expertise approfondie en le domaine. Cependant, ce résultat varie beaucoup
cybersécurité. Mais est-ce bien nécessaire? On s’attend et est statistiquement significatif entre les petites
à ce que l’organisation dispose elle-même ou par organisations (24,6 %) et les moyennes et grandes
l’intermédiaire de consultants de l’expertise requise organisations (50 %). Étant donné l’importance de
pour anticiper et gérer les enjeux de cybersécurité. ces enjeux, une réflexion s’impose pour nos conseils
Un ou une membre du CA devrait pouvoir identifier les d’administration.
enjeux auxquels son industrie est confrontée et examiner
Ces résultats se reflètent aussi au niveau du type
comment la direction les anticipe et les gère, en se
d’organisation, alors que les organisations coopératives
faisant appuyer au besoin par les auditeurs externes
et celles sans capital-actions notent un manque d’expertise
ou des firmes spécialisées pour réaliser des tests de
plus fréquent. À nouveau, ce sont les organisations
pénétration, par exemple. Les enjeux de cybersécurité
gouvernementales qui semblent davantage sensibilisées
doivent être pris en compte dans une perspective
à l’importance de couvrir la cybersécurité au sein de
plus globale de gestion des risques et d’établissement
leurs conseils.
des priorités et des stratégies d’affaires, ce que
tout membre de CA devrait pouvoir faire. Une
formation en cybersécurité de niveau-conseil
d’administration est davantage utile que d’ajouter une
personne spécialisée uniquement dans ce domaine.
50%
50 %
40%
40 %
30%
30 %
20%
20 %
10%
10 %
00%
%
Sociétés
Sociétés ouvertes
ouvertes Sociétés privées Sociétés privées
Organisations Organisations
Sociétés publiques coopératives
Organisations sans
coopératives ou parapubliques capital-actions
Sociétés publ iques ou parapubliques Organisations sans capital action
Collège des administrateurs de sociétés ― 21 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 2 – LES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ
Collège des administrateurs de sociétés ― 22 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 3
L’IMPORTANCE ACTUELLE
ACCORDÉE AUX ENJEUX
DE CYBERSÉCURITÉ
ET CELLE SOUHAITÉE
Collège des administrateurs de sociétés ― 23 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 3 – L’IMPORTANCE ACTUELLE ACCORDÉE AUX ENJEUX
DE CYBERSÉCURITÉ ET CELLE SOUHAITÉE
Le sondage visait aussi à connaître l’importance ces perceptions ainsi que le pourcentage de CA dont
accordée actuellement aux enjeux de cybersécurité au moins un ou une membre possède une expertise
par les CA et l’importance qu’ils souhaiteraient accorder en cybersécurité.
à ces enjeux sur une échelle de 1 (peu important) à
5 (importance majeure). Le graphique suivant présente
IMPORTANCEImportance
ACCORDÉE accordée parAUX
PAR LE CA le CA aux enjeux
ENJEUX de cybersécurité et
DE CYBERSÉCURITÉ
ET CELLE SOUHAITÉE SELON LA TAILLE DE L'ORGANISATION
celle souhaitée selon la taille de l'organisation
5 60%
60 %
4 50%
50 %
40%
40 %
3
3 0%
30 %
2
20%
20 %
1 10%
10 %
0 0%
0%
Global
Global Petites
Petites organisations
organisations Moy ennes et
Moyennes et grandes organisations
grandes organisations
Importance
Importance actuelle actuelle Importance
Importance souhai table
souhaitable Présence
Présenced'au
d'aumoins unmembre
moins un membreayant
ay ant une
une expertise
expertise
D’une part, l’importance accordée actuellement Les petites organisations semblent en être conscientes,
aux enjeux de cybersécurité est plus élevée pour cependant, puisque l’importance souhaitée est bien
les plus grandes organisations par rapport aux plus élevée.
plus petites, ce qui peut être le résultat de la présence
Le graphique suivant présente les résultats par type
d’expertise en cybersécurité sur les conseils des grandes
d’organisation. Ce sont à nouveau les organisations
organisations. Ce résultat est conforme avec la perception
sans capital-actions, plus petites, qui démontrent
de l’importance des enjeux de cybersécurité qui se
une importance actuelle accordée aux enjeux
dégage des autres questions du sondage.
de cybersécurité plus faible; leur rattrapage souhaité
est également plus élevé.
IMPORTANCEImportance
ACCORDÉE accordée parAUX
PAR LE CA le CA aux enjeux
ENJEUX de cybersécurité et
DE CYBERSÉCURITÉ
SELON
ET CELLE SOUHAITÉE celle LE TYPE D'ORGANISATION
souhaitée selon le type d'organisation
5 60%
60 %
4 50%
50 %
40%
40 %
3
30%
30 %
2
20%
20 %
1 10%
10 %
0 0%
0%
Global Sociétés
Sociétés ouvertes Sociétés
Sociétés privées Organisations
Organisations Sociétés
Sociétés Organisations sans
publ iques Organisations sans
Global ouvertes privées coopératives publiques ou capital-actions
coopératives ou parapubliques capital acti on
parapubliques
Importance actuelle Importance souhai table Présence d'au moins un membre ay ant une expertise
Importance actuelle Importance souhaitable Présence d'au moins un membre ayant une expertise
Collège des administrateurs de sociétés ― 24 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 3 – L’IMPORTANCE ACTUELLE ACCORDÉE AUX ENJEUX
DE CYBERSÉCURITÉ ET CELLE SOUHAITÉE
Collège des administrateurs de sociétés ― 25 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 3 – L’IMPORTANCE ACTUELLE ACCORDÉE AUX ENJEUX
DE CYBERSÉCURITÉ ET CELLE SOUHAITÉE
Collège des administrateurs de sociétés ― 26 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
CONCLUSION
Collège des administrateurs de sociétés ― 27 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
CONCLUSION
Les enjeux de cybersécurité préoccupent les membres La taille de l’organisation semble expliquer
de conseils d’administration et ces derniers ont recours plusieurs différences entre les répondantes et
à différents mécanismes pour mieux les gouverner. les répondants. En effet, les membres de CA
d’organisations plus petites, soit de 100 employé.es
Les pratiques associées à la supervision de la gestion
et moins, accordent moins d’importance à la
des risques, aux discussions autour de la stratégie et
cybersécurité et priorisent des mécanismes de
des processus stratégiques et la délégation à un comité
gouvernance parfois différents.
composent le trio prioritaire des mécanismes privilégiés
en général. Dans tous les cas, cependant, les Le sondage fait ressortir l’importance de disposer au
répondantes et répondants souhaiteraient y accorder sein du CA lui-même d’une ou d’un membre ayant de
davantage d’attention. l’expertise en cybersécurité afin de permettre au CA
de pouvoir apprécier correctement les enjeux de
cybersécurité, pour ensuite prendre les orientations
et les décisions appropriées.
Collège des administrateurs de sociétés ― 28 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
ANNEXE 1
MÉTHODOLOGIE ET DESCRIPTION
DE L’ÉCHANTILLON
Collège des administrateurs de sociétés ― 29 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
ANNEXE 1
MÉTHODOLOGIE ET DESCRIPTION
DE L’ÉCHANTILLON
Un sondage électronique a circulé sur une période de Quelques-unes des statistiques descriptives de
cinq semaines, du 23 septembre au 7 novembre 2022. l’échantillon sont présentées ci-dessous en deux
L’échantillon de convenance était composé catégories, soit (i) les informations relatives aux
d’administratrices et d’administrateurs de sociétés répondantes et répondants, et (ii) les informations
siégeant à au moins un conseil d’administration ou relatives à l’organisation retenue par la répondante
comité consultatif d’une organisation située au Québec, ou le répondant. La description complète de l’échantillon
et ce, sans égard au type d’organisation, sa forme ainsi que les analyses plus globales sont présentées
juridique ou sa taille. Les répondantes et répondants dans le rapport complet « La gouvernance au Québec :
qui siègent à plusieurs conseils devaient choisir le plus Portrait et tendances 2023 ».
significatif à leurs yeux. L’échantillon total est composé
de 336 conseils d’administration québécois.
GENRE
60
51,7
50 47,6
40
30
%
20
10
0,7
0
Homme
Homme Femme
Femme Autre
Autre
Genre
Genre
Collège des administrateurs de sociétés ― 30 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
ANNEXE 1
ÂGE
40
35 33,8
30,5
30
25
20 17,5
%
15
8,6 9,6
10
0
Moins de
Moins de 40 ans Entre 41 et 50 ans Entre 51
Entre 51 et 60 ans Entre 61 et 70 ans Plus de
de 70 ans
ans
Groupe d'âge
Groupe d'âge
AUTRES INFORMATIONS
Collège des administrateurs de sociétés ― 31 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
ANNEXE 1
TYPE D’ORGANISATION
25 2525 23,823,8
23,8
19,919,9
19,9
20 2020
16,716,7
16,7
16,116,1
16,1
14,614,6
14,6
15 1515
%
%
%
5 5 5
0 0 0
Moins
Moins d’un
d’un
Moins
Moinsmillion
d’un
d’un De
De 1De
million
million 51àmillions
àDe
1 à5à
1 5millions
$ De $ 5$
5 millions De
De 5 àà5millions
àDe
25
5 25
à 25millions De 25
De
millions 25
DeDe à25
100
25 à 100De 100
à 100 DeDe à 100
100500à 500Plus Plus
à 500 dePlus
500 500
de de millions
500 millions
millions
million
$ $$ $ millions $ millions
$ $ $ $ millions
millions $
$ $ $
millions
millions millions
millions $
$ $ $
millions
millions millions
$ $ $ $
Revenus / budgets
Revenus
Revenus
Revenus / annuels
budgets
/ budgets
/ budgets annuels
annuels
annuels
Collège des administrateurs de sociétés ― 32 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
Carré des affaires FSA ULaval - Banque Nationale
1030, avenue du Séminaire
Université Laval
Québec (Québec) G1V 0A6