BTEX 2025 : Ce qui fonctionne, ce qui manque, ce qui s’en vient en matière de cybersécurité au Canada
À l’expo BTEX 2025, Ivo Wiens, directeur de la technologie sur le terrain, Cybersécurité, et Ben Boi-Doku, stratège en chef, Services de cybersécurité, ont présenté les principales conclusions de l’étude sur la cybersécurité canadienne 2025 de CDW dans un format interactif.
Ivo Wiens (à gauche), chef de la technologie sur le terrain, Cybersécurité et Ben Boi-Doku (à droite), stratège en chef, Services de cybersécurité
Cette année, CDW a publié notre étude sur la cybersécurité canadienne 2025, la 10e année où cette étude axée sur les tendances en matière de cybersécurité pour les organisations canadiennes est réalisée. Durant le BTEX 2025, Ivo Wiens, chef de la technologie sur le terrain, Cybersécurité, et Ben Boi-Doku, stratège en chef, Services de cybersécurité, ont présenté certaines des principales conclusions de l’étude dans un format interactif.
L’accent de l’étude porté sur le Canada est ce qui la rend unique dans l’industrie. Toutefois, cette année les choses ont été un peu différentes. « Je participe à l’étude depuis les dernières 10 années », a déclaré M. Boi-Doku. « C’était la toute première fois que nous demandions aux répondants de parler de la maturité de leur organisation. En examinant les résultats du sondage, nous pouvons voir comment ils se sont classés en termes de maturité de la cybersécurité. »
« Ce qui était vraiment intéressant, c’est qu’il existe une réelle différence en termes de maturité et de taille d’organisation », a déclaré M. Wiens. « Ceux qui ont de l’argent à dépenser en cybersécurité semblent faire mieux. Mais il existe des nuances notamment quant à la façon dont cet argent est dépensé. »
« Il s’agit de prendre de meilleures décisions avec vos dépenses en matière de sécurité », a déclaré M. Boi-Doku. « Il y a des moyens d’augmenter vraiment votre maturité sans nécessairement dépenser des centaines de millions de dollars. »
5 principales conclusions de notre étude canadienne sur la cybersécurité 2025
1. L’adoption de l’IA s’arrête à la phase de la validation de concept
Beaucoup d’organisations veulent adopter et mettre en œuvre des cas d’utilisation de l’IA; cependant, elles ont été bloquées dans la phase de la validation de concept. Elles ne sont pas tous passées à la production. »
- Ben Boi-Doku, chef de la stratégie, Services de cybersécurité
« Il est étonnant de voir combien de validations de concept de l’IA ont été effectuées au sein des organisations : en moyenne, 17 validations de concept de l’IA par organisation », a déclaré M. Wiens. « Nous avons interrogé 704 organisations et vous multipliez cela par 17... Je n’ai aucune idée du résultat, mais il était beaucoup plus élevé que lorsque nous avons introduit le nuage pour la première fois, par exemple. Il y a donc beaucoup de pression de la part du marché pour introduire l’IA. »
« Les principaux obstacles à l’adoption étaient la confidentialité et la conformité, de même que le manque de ressources compétentes », a déclaré M. Boi-Doku. « Ce sont les deux principales raisons pour lesquelles les organisations ont découvert que leurs mises en œuvre d’IA ne passaient pas en mode production. »
« Lorsque nous parlons de l'IA générative et de l’impact de l'IA générative sur le risque commercial, la plupart des organisations la veulent pour la prise de décision et l’automatisation, ce qui me dit qu’il y a beaucoup d’espoir pour que l’IA nous aide à combler notre dette technique », a déclaré M. Wiens. « Nous avons toujours souffert d’une lacune au chapitre de la cybersécurité et nous espérons que l’amélioration de la prise de décision et de l’automatisation par l’IA peut aider. »
« La bonne nouvelle, c’est que 41 pour cent ont affirmé que l’IA représentait un avantage pour leur risque commercial plutôt qu'un risque en soi », a ajouté M. Boi-Doku.
2. Les tests de sécurité sont payants pour les organisations canadiennes
Plus vous effectuez de tests dans votre système et plus vous effectuez de tests d'intrusion, mieux vous serez du point de vue de la sécurité. Dans le passé, les organisations auraient pu le faire une fois par année, avec chaque fois un fournisseur différent. Ce contexte a changé. »
– Ivo Wiens, directeur des technologies sur le terrain, Cybersécurité
« Cette conversation a toujours eu lieu chez les organisations qui hésitent même à faire un test d’intrusion : 'Pourquoi devrais-je faire un test d’intrusion si je sais que je vais échouer lamentablement?' Nous entendions souvent cela de la part des clients », a déclaré M. Wiens. « C’est la même chose que de dire ‘Pourquoi devrais-je consulter un médecin si je sais déjà que je suis malade?’ Mais vous devez passer les tests nécessaires.
« La relation entre la fréquence de réalisation des tests et la fréquence des violations démontre l’importance de passer les tests plus fréquemment. »
« Je ne dirais pas nécessairement que les tests d'intrusion devraient être faits en permanence », a déclaré M. Boi-Doku. « Il existe de nombreuses technologies et organisations qui peuvent vous aider à effectuer un test d’intrusion approfondi de manière plus structurée.. Par conséquent, on trouve maintenant une gamme beaucoup plus variée d’options, qu’elles soient hebdomadaires ou continues, par rapport à l’année dernière. »
« Nous avons également constaté que beaucoup de gens utilisaient les mêmes processus pour les tests d'intrusion sur place et dans le nuage », a déclaré M. Wiens, « et cette statistique est vraiment effrayante, car le nuage est plus attaqué que les environnements sur place. Les attaquants s’éloignent des terminaux parce que les solutions de détection et réponse pour terminaux (Endpoint detection and response, EDR) font un si bon travail. Ils passent à la zone d’attaque suivante, qui pourrait être votre infrastructure-service (IaaS), votre plateforme-service (PaaS) ou même vos systèmes en logiciel-service (SaaS). Donc, ne pas faire le bon type de tests de sécurité rend le nuage un peu triste. »
« Et nous ne voulons pas que le nuage soit triste », a ajouté M. Boi-Doku. « Les tests de sécurité informatique en nuage sont différents des tests d’intrusion classiques, alors assurez-vous que vous êtes engagé avec ceux qui font vos tests et que ces derniers disposent des pratiques pour faire les deux types de tests. »
3. Les organisations ne sont pas toutes égales quant à leurs temps de détection et d’intervention.
« Les organisations réussissent de mieux en mieux à détecter les brèches et les infiltrations, et nous y réagissons beaucoup plus rapidement également », a déclaré M. Boi-Doku.
« Nous constatons une amélioration dans toutes les organisations », a déclaré M. Wiens. « Mais il existe encore une lacune en matière de détection. Les petites et moyennes entreprises au Canada présentent un réel écart lorsqu’il s’agit de temps moyen de détection. Nous constatons que le niveau d’amélioration n’est pas le même pour toutes les organisations au Canada. »
4. La vérification systématique n’est pas adoptée autant qu’elle fait l’objet de discussions
« De nombreuses organisations veulent mettre en œuvre des architectures à vérification systématique », a déclaré M. Boi-Doku. « Elles désirent mettre en place les outils, elles veulent s’assurer qu’elles ont une segmentation. Cependant, elles ont de la difficulté à formuler des recommandations et à les mettre en pratique. Ces recommandations concernent une infrastructure de gestion des identités et des accès, d’anciens systèmes, d’évolutivité, de nuage, de gestion des flux de données, tout ce qui présente des préoccupations et des défis communs. »
« Comment faites-vous en sorte que la théorie passe à la pratique? » a demandé M. Wiens. « C’est un défi auquel beaucoup d’organisations doivent faire face et des clients viennent constamment nous voir pour dire ‘Aidez-moi à combler les lacunes’. »
« Qu’il s’agisse de défis d’interopérabilité, de capacités nébuleuses, de complexité, de nouvelles technologies sur d’anciens systèmes, il est très difficile d’essayer de mettre en œuvre la vérification systématique », a déclaré M. Boi-Doku. « Assurez-vous donc d’avoir une organisation ou des membres de votre personnel qui peuvent vous aider dans ce parcours. »
5. Les organisations canadiennes adoptent la détection et l’intervention gérées
Les organisations constatent que l’utilisation de la détection et de l’intervention gérées leur permet d’obtenir des résultats plus favorables et plus positifs. De plus, un nombre croissant d’organisations ont adopté une approche gérée pour la détection et l’intervention. »
- Ben Boi-Doku, chef de la stratégie, Services de cybersécurité
« Il ne s’agit plus de la complexité du logiciel ni du nombre d’agents que vous allez diriger », a déclaré M. Wiens. « Vous dites plutôt : 'J’ai besoin que quelqu’un s’occupe de cela, mais je ne peux pas avoir d’équipe de chasse aux menaces dans une organisation de ma taille, alors je dois externaliser.' » Il est donc devenu de plus en plus courant pour les organisations canadiennes d’adopter les services gérés de détection et de réponse (MDR). »
4 mesures stratégiques de la cybersécurité pour 2025 et au-delà
À la fin de leur présentation, messieurs Wiens et Boi-Doku ont quitté l’auditoire en recommandant les mesures clés suivantes :
- Vérification systématique opérationnalisée
- Passage à des tests continus spécifiques au nuage
- Établissement des bases sécurisées pour l’AI générative
- Choisir le service MDR par résultats, et non par pile technologique