Programme CyberSécuritaire Canada

Innovation, Sciences et Développement économique Canada

Rapport final

Juillet 2019

Préparé pour Innovation, Sciences et Développement économique Canada

Nom du fournisseur : Le groupe-conseil Quorus Inc.

Date d’octroi du contrat : Le 5 mars 2019

Numéro de contrat : U1400-198102/001/CY

Valeur du contrat : 129 006,45 $

Date de livraison : Juillet 2019

Numéro ROP : ROP 132-18

Pour de plus amples renseignements, veuillez communiquer avec Innovation, Sciences et Développement économique Canada, à : IC.PublicOpinionResearch-Recherchesurlopinionpublique.IC@canada.ca

This report is also available in English.

Droits d’auteur

Cette publication est également offerte en ligne : https://www.ic.gc.ca/eic/site/112.nsf/fra/accueil.

Pour obtenir un exemplaire de cette publication ou un format substitut (Braille, gros caractères, etc.), veuillez remplir le formulaire de demande de publication : www.ic.gc.ca/demande-publication ou communiquer avec :

Centre de services Web

Innovation, Sciences et Développement économique Canada

Édifice C.D.-Howe

235, rue Queen

Ottawa (Ontario) K1A 0H5

Canada

Téléphone (sans frais au Canada) : 1-800-328-6189

Téléphone (international) : 613-954-5031

TTY (pour les personnes malentendantes) : 1-866-694-8389

Les heures de bureau sont de 8 h 30 à 17 h (heure de l’Est)

Courriel : ISDE@Canada.ca

Autorisation de reproduction

Sauf indication contraire, l’information contenue dans cette publication peut être reproduite, en tout ou en partie et par quelque moyen que ce soit, sans frais et sans autre permission du ministère de l’Industrie, pourvu qu’une diligence raisonnable soit exercée afin d’assurer l’exactitude de l’information reproduite, que le ministère de l’Industrie soit mentionné comme organisme source et que la reproduction ne soit présentée ni comme une version officielle ni comme une copie ayant été faite en collaboration avec le ministère de l’Industrie ou avec son consentement.

Pour obtenir l’autorisation de reproduire l’information contenue dans cette publication à des fins commerciales, veuillez demander l’affranchissement du droit d’auteur de la Couronne : www.ic.gc.ca/demande-droitdauteur ou communiquer avec le Centre de services Web aux coordonnées ci-dessus.

© Sa Majesté la Reine du chef du Canada, représentée par le ministre de l’Industrie, (2019).

N° de catalogue Iu4-266/1-2019F-PDF

ISBN 978-0-660-32482-1

N.B. Dans cette publication, la forme masculine désigne tant les femmes que les hommes.

This publication is also available in English, under the title CyberSecure Canada Program – Final Report.

Printed in Canada; Recycle icon.

Énoncé sur la neutralité politique

J’atteste, par la présente, à titre d’agent principal du groupe-conseil Quorus Inc., que les produits livrables se conforment entièrement aux exigences en matière de neutralité politique du gouvernement du Canada énoncées dans la Politique sur les communications et l’image de marque et l’Annexe C de la Directive sur la gestion des communications.

Plus précisément, les produits livrables ne contiennent pas d’information sur les intentions de vote électoral, les préférences quant aux partis politiques, les positions des partis ou l’évaluation de la performance d’un parti politique ou de ses dirigeants.

Signé :

Signature de Rick Nadeau, Président, Quorus Consulting Group Inc.

Rick Nadeau, président
Le groupe-conseil Quorus Inc.

Table des matières

Sommaire

Contexte et objectifs

Le gouvernement du Canada est déterminé à protéger la sécurité et la prospérité des Canadiens et des Canadiennes à l’heure de l’ère numérique.

Dans cet esprit, Innovation, Sciences et Développement économique Canada (ISDE) et ses partenaires collaborent dans le but de développer et d’établir un programme de cybercertification volontaire et identifiable pour aider les petites et moyennes entreprises (PME) à se protéger contre les cybermenaces et ainsi accroître leur résilience. Le programme vise à permettre aux PME de démontrer à leurs clients d’affaires et aux consommateurs qu’elles ont complété un programme de certification et qu’elles se conforment aux exigences de base en matière de pratiques sécuritaire.

Ce projet de recherche vise à assurer le succès du lancement, de la promotion et de la mobilisation envers le programme de cybercertification dans le but d’inciter les PME à l’adopter. Il se penchera sur les éléments suivants :

  • la perception des participants face aux trois concepts créés pour désigner le programme (l’aspect visuel et les messages);

  • les éléments préférés de chaque concept;

  • la réaction et le niveau de confiance à l’égard d’une « image de marque cybersécuritaire »;

  • les attentes qu’une certification sur la cybersécurité engendre;

  • les avantages perçus et l’identification d’obstacles à l’adoption; et

  • la compréhension générale et la crédibilité des messages présentés (écrits et visuels).

Somme toute, la recherche servira à créer une image de marque reconnaissable et crédible pour la cybersécurité au Canada, en plus d’appuyer le programme pour qu’il soit en mesure d’accroître la résilience de la cyberinfrastructure des PME à l’endroit des cyberattaques et d’augmenter le nombre de PME dotées d’un système cybersécuritaire efficace.

Résultats de la recherche

La confiance des PME en matière de cybersécurité

On a exploré des concepts généraux de cybersécurité avec des consommateurs et des PME dans le but d’acquérir une compréhension initiale du contexte dans lequel s’inscrirait un programme de certification.

La perspective des consommateurs

Lorsqu’on a demandé aux consommateurs de décrire la première chose qui leur vient à l’esprit à la mention de « cybersécurité », la plupart d’entre eux se sont limités aux transactions financières. En d’autres mots, ils se préoccupent principalement de la protection et de l’usage éthique de l’information associée à leurs cartes de débit ou de crédit. Ils s’attendent également à ce que leurs institutions financières les remboursent si on utilise leurs cartes sans leur consentement. L’expression « cybersécurité » a aussi fait ressortir le sentiment de sécurité lié à l’usage de sites Web de certains commerçants, le vol d’identité en général et les « pirates informatiques » ou les virus retrouvés dans leurs dispositifs personnels.

Les consommateurs perçoivent un risque limité dans le cas où ils auraient fait affaire avec une PME dont la cybersécurité aurait été compromise ou dont les agissements seraient contraires à l’éthique. Bon nombre de consommateurs se disent d’ailleurs rassurés, car ils considèrent que les pirates informatiques accordent généralement peu d’intérêt aux PME.

Certains consommateurs ont mentionné les notions de sécurité suivantes dans le cadre de leurs transactions avec des PME :

  • Les sites Web qui affichent « un petit cadenas vert » offrent un environnement sécuritaire pour faire des achats en ligne.

  • Ils se sentent plus en sécurité lorsqu’ils font affaire avec des PME et des sites Web de PME appuyés par des fournisseurs tiers ou des institutions comme les banques, PayPal, Visa, Interac et autres fournisseurs de services de points de vente.

À la question sur les mesures que les PME pourraient ou devraient prendre pour accroître leur niveau de cybersécurité, les consommateurs ont offert peu de solutions. Même si les PME communiquaient mieux leur niveau de cybersécurité, ils acceptent qu’en général, il soit impossible d’atteindre un niveau absolu.

La perspective des PME

Les PME se préoccupent davantage de leur propre niveau de cybersécurité. Elles admettent qu’il s’agit d’un défi pour elles de rester au fait de leur système informatique et de la technologie en général. Très peu d’entre elles emploient du personnel dédié à leur système informatique et plusieurs indiquent que la surveillance de ces systèmes ajoutée à la gestion d’une petite entreprise constituait un défi de taille.

Lorsqu’elles réfléchissent au niveau de confiance qu’elles ont de leur propre cybersécurité, la plupart des PME semblent se concentrer principalement, voire exclusivement, sur les renseignements qu’elles obtiennent de leurs clients. Elles se préoccupent moins des données internes à l’entreprise (y compris les renseignements sur leurs employés, les données financières et les données exclusives), et des renseignements liés à leurs fournisseurs.

Les PME parmi les plus confiantes quant à leur niveau de cybersécurité sont surtout les plus « grandes »; elles sont plus susceptibles d’avoir érigé une expertise interne pour traiter des questions de cybersécurité. Trois autres catégories d’entreprises affichent un niveau élevé de confiance : celles qui ont une expertise en cybersécurité ou en informatique, celles qui ne considèrent pas recueillir suffisamment de données pour justifier un investissement important en matière de cybersécurité et celles qui ne font pas la cueillette de renseignements sur leurs clients ou qui n’entreposent pas les données dans leurs ordinateurs.

Peu importe leur positionnement sur le spectre de la « cybersécurité », toutes les PME reconnaissent l’impossibilité d’atteindre un niveau de sécurité absolue. Elles supposent que si les pirates informatiques peuvent s’introduire dans les systèmes de grandes entreprises, elles n’en sont pas à l’abri. À savoir si la cybersécurité constitue un critère important dans le choix d’un fournisseur, les entreprises semblent être partagées sur la question. Toutefois, la plupart disent que lors de l’évaluation de deux fournisseurs pour un service ou un contrat donné, elles favoriseraient le fournisseur qui démontre la présence de mesures en matière de cybersécurité plutôt que celui qui ne le démontre pas.

Les avis sont également partagés sur les occasions d’affaires manquées puisqu’elles ne peuvent « prouver » leur niveau de cybersécurité. Certaines plus petites PME perçoivent qu’elles ratent des occasions d’affaires et croient qu’elles seraient en mesure de soumissionner sur de plus grands projets ou devenir des fournisseurs pour de plus gros clients si elles pouvaient faire la preuve de leur niveau de sécurité. À l’inverse, d’autres entreprises, et particulièrement les entreprises traditionnelles ayant pignon sur rue (p. ex., petits détaillants, personnes de métier) n’y voient aucun problème.

Le rôle du gouvernement en matière d’appui aux PME

La plupart des PME et des consommateurs croient que le gouvernement fédéral a un rôle à jouer pour aider les PME à améliorer leur niveau de cybersécurité. Parmi les suggestions les plus populaires, il y a l’offre de formation, des lignes directrices, des pratiques exemplaires et des listes de contrôle pour que les PME puissent vérifier et améliorer le niveau de cybersécurité. Certains participants ont suggéré que le gouvernement fournisse des logiciels ou des systèmes informatiques abordables ou encore des conseils sur le genre de système ou de logiciel que les entreprises devraient se procurer.

Cependant, l’implication gouvernementale ne bénéficie pas d’un soutien unanime. Certains s’opposaient à une réglementation additionnelle pour les entreprises ou encore au fait qu’on affecte des ressources fédérales à une question qui, pour eux, se gère bien par le secteur privé. On note aussi certaines craintes à l’égard du gouvernement du Canada vu ses propres problèmes liés aux systèmes informatiques, ce qui met en doute la capacité du gouvernement du Canada à devenir un conseiller de confiance en la matière.

L’idée d’exiger un certain niveau en matière de cybersécurité pour exploiter une entreprise au Canada a suscité des réactions mitigées. À la base, la plupart s’entendent sur le fait que les PME doivent offrir un niveau minimum de cybersécurité. Certains se disent préoccupés par une approche universelle puisque certaines entreprises doivent assurer un niveau de sécurité supérieur à d’autres en fonction de la quantité et la nature de la collecte de renseignements d’une entreprise. Dans le même ordre d’idées, certains participants des deux groupes s’inquiètent que des exigences en matière de cybersécurité puissent être injustes envers les petites entreprises qui n’ont pas les ressources ou les moyens de satisfaire aux exigences.

L’évaluation générale des concepts

Les participants aux groupes de discussion ont évalué trois différents concepts visuels. Ils ont commenté l’attrait et la pertinence globale des concepts et ont donné leurs impressions à savoir si ceux-ci se prêtent bien à un programme de certification sur la cybersécurité.

Les commentaires suivants s’appliquent aux trois concepts :

  • La feuille d’érable rouge constitue un symbole canadien fort pour chaque concept.

  • La feuille d’érable seule ne suffit cependant pas pour indiquer que le gouvernement du Canada endosse le programme ou qu’il s’agit d’un programme du gouvernement du Canada.

  • Plusieurs participants trouvent que les concepts paraissent trop simples et que n’importe quelle entreprise pourrait reproduire et afficher le logo sans pour autant détenir la certification. Il faut pouvoir valider l’authenticité du certificat.

  • On a bien reçu les concepts bilingues – certains les préféraient aux concepts unilingues.

  • Les francophones ont décidément aimé le langage utilisé dans la version anglaise des concepts, mais ont trouvé la version française déficiente. Plus particulièrement, ils ont remis en question l’utilisation du mot « fiable » - certains trouvaient qu’il n’était pas suffisamment robuste ou percutant alors que d’autres ne trouvaient pas qu’il se prêtait bien à la cybersécurité.

  • Certains participants aimeraient que le mot « certifié » soit intégré au concept de manière à informer qu’il s’agit d’une certification, et non d’un logo d’entreprise ou de produit.

Les commentaires propres à chaque concept sont résumés ci-dessous :

  • Concept A (bouclier) : Plusieurs ont aimé l’image puisqu’elle rend bien l’aspect de sécurité; ils ont aussi aimé la police de caractère utilisée avec le concept. D’autre part, bien qu’elle communique la sécurité, on ne considère pas l’image unique puisque d’autres entreprises du domaine de la sécurité utilisent le bouclier dans leur logo.

  • Concept B (cadenas) : Le concept communique clairement l’aspect « sécurité » - presque tous les participants ont tout de suite reconnu le cadenas. Certains ont aimé l’incorporation d’un « C » pour cyber et d’un « S » pour sécurité dans la conception du cadenas. Cependant, certains y ont vu un cadenas ouvert, suggérant un manque de sécurité. Plusieurs auraient préféré deux types de polices (semblable à celles utilisées dans les deux autres concepts).

  • Concept C (voûte) : Le seul avantage du concept est que certains l’ont trouvé unique. En revanche, on a souvent rejeté ce concept parce que des participants ne pouvaient pas identifier ce que l’image représentait et qu’il ne transmettait pas l’aspect « sécurité ». On a aussi trouvé la police de caractère inadéquate et « manquant de sérieux ».

Dans l’ensemble, les consommateurs aiment mieux, dans une large mesure, le concept du cadenas alors que le choix des PME se partage entre le concept du bouclier et celui du cadenas. Le concept de la voûte s’est classé bon dernier dans les deux groupes. Un concept plus fort pour bon nombre des participants combine l’image du cadenas et la police de caractère utilisée dans le concept du bouclier.

L’exploration d’un programme composé d’échelons

Les consommateurs et les PME ont tous deux largement rejeté la notion d’un programme composé d’échelons. Ils préfèrent un programme qui précise si une entreprise est cybersécuritaire ou si elle ne l’est pas. Les principales préoccupations des participants face aux échelons sont :

  • Les consommateurs ont trouvé qu’il faut déjà suffisamment d’efforts pour remarquer le logo, et plus encore pour les échelons. De plus, même s’ils les remarquent, ils croient qu’il faudrait beaucoup de temps pour se familiariser avec le programme et comprendre la différence entre les échelons.

  • Les PME considèrent ne pas vouloir rendre les échelons publics, particulièrement s’ils ne se trouvent pas à l’échelon le plus élevé. Elles s’inquiètent du fait que leurs clients s’interrogeraient sur le niveau de cybersécurité, peu importe la signification des échelons.

  • Certaines PME ont carrément indiqué qu’elles ne publiciseront pas leur niveau si elles se trouvent « seulement au premier échelon » – elles considèrent que le message suggère des mesures moindres en matière de cybersécurité, ce qui nuirait à leur entreprise, et de plus, les identifierait comme une cible pour les pirates informatiques.

  • En examinant la manière de communiquer les échelons aux clients à l’aide des logos, plusieurs participants s’entendent que l’intégration des échelons aux concepts visuels les encombre.

L’usage de couleurs dans les concepts visuels

Les participants ont souvent réagi immédiatement et de manière décisive face aux couleurs présentées : peu d’entre eux les ont aimées. S’ils étaient contraints de choisir, les participants opteraient soit pour le statu quo (c.-à-d. le concept en noir et blanc) ou ils choisiraient le gris parmi les couleurs proposées.

Quoique la plupart des participants n’aiment tout simplement pas les couleurs présentées, certains trouvent que l’ajout d’une couleur affaiblissait le ton général ou le message véhiculé par le concept visuel. Ils considèrent que le concept de sécurité doit être transmis par une couleur plus sérieuse ou plus « dure » que les couleurs présentées.

L’impact possible sur la concurrence

Les consommateurs s’avèrent peu enclins à modifier leurs habitudes de magasinage selon qu’une entreprise a ou non une cybercertification, surtout parce qu’ils font confiance aux entreprises avec lesquelles ils font affaire en ce moment. Les consommateurs ne cesseront pas de faire affaire avec une PME en l’absence de certification.

Les PME ont une opinion partagée à savoir si le fait de détenir une certification aura un impact positif sur leur entreprise. Les PME qui s’intéressent à la cybercertification supposent qu’elle peut devenir un différentiateur concurrentiel, que les consommateurs la remarqueront, et qu’elle pourrait les aider à devenir une meilleure entreprise en étant plus proactives et plus « sensibilisées » à la cybersécurité. Pour plusieurs PME, l’impact de la certification sur leur entreprise dépend largement de l’intérêt et de la compréhension des consommateurs face au programme, de ce que la certification représente pour le consommateur et de ce que la PME a dû faire pour obtenir sa certification.

  • Certaines PME se rendent compte que les consommateurs ne reconnaitront pas le programme du jour au lendemain et que l’impact sur leur entreprise pourrait prendre du temps à se faire sentir, impression partagée par certains consommateurs.

Outre sur la vitrine d’un magasin ou sur un site Web, les participants s’attendent à voir ou à utiliser les logos à différents endroits, par exemple sur l’emballage, à la caisse enregistreuse ou près des dispositifs de points de vente, dans la publicité, sur les cartes professionnelles, les factures et dans les signatures de courriel.

Les attentes face au programme

Les participants, et particulièrement les consommateurs, ont eu peine à décrire ce à quoi le programme devrait ressembler. Les PME et les consommateurs voient du même œil certains des principaux éléments du programme, dont plusieurs portent sur le rôle du gouvernement du Canada, et qui comprennent les points suivants :

  • Le gouvernement fédéral offrirait à tous ceux qui détiennent une certification l’accès à de la formation, à des lignes directrices et aux pratiques exemplaires en matière de cybersécurité.

  • Il devrait y avoir une forme d’audit de la certification et la plupart des participants présument qu’un expert en informatique qui travaille pour le compte du gouvernement du Canada s’en chargerait (plutôt que de sous-traiter à une tierce partie).

  • Il faudrait inclure le renouvellement périodique de la certification.

La perspective des consommateurs

Les consommateurs sont d’avis que le programme devrait comprendre un volet important d’éducation publique. Les consommateurs veulent connaitre certains détails du programme, par exemple, qu’est-ce qu’on certifie, quelle est la pertinence de la certification pour le consommateur et quelles exigences une entreprise doit satisfaire pour obtenir sa certification. Au final, les consommateurs veulent que les détails qui entourent le programme deviennent publics pour comprendre les avantages qu’ils en retireront.

Si le programme voyait le jour, bon nombre de consommateurs se sentiraient plus en sécurité lorsqu’ils font affaire avec les PME en général, même s’ils ne recherchent pas activement des assurances en matière de cybersécurité dans leurs transactions avec les PME.

Quelques consommateurs reconnaissent les avantages que le programme pourrait procurer aux PME canadiennes de manière générale, même s’ils n’y voient aucun impact direct pour eux en tant que consommateurs. Si le programme se veut un effort du gouvernement du Canada pour appuyer les PME dans leur quête pour accroître leur niveau de cybersécurité, en particulier celles qui ne pourraient pas y arriver d’elles-mêmes, ils perçoivent alors le programme comme une mesure favorable aux petites entreprises.

La perspective des PME

Les PME qui ont participé à la recherche ont des attentes plus précises face au programme :

  • Elles veulent s’assurer que le programme soit utile et que la certification et son renouvellement n’ajoutent pas de lourdeur administrative aux entreprises.

  • L’audit pourrait comprendre une inspection sur les lieux ainsi qu’une vérification externe (p. ex., qu’un auditeur tente de pirater le système de la PME).

  • Elles veulent que le programme soit accessible financièrement aux plus récentes et aux plus petites entreprises. La plupart s’attendent à ce que le processus de certification soit gratuit, offert à faible coût ou à un coût proportionnel à la taille de l’entreprise afin de maximiser l’adoption du programme par les entreprises de tous les domaines et de toutes les tailles.

Si le programme voit le jour, il semble que l’accroissement de la confiance des PME envers leur propre niveau de cybersécurité serait minimal. Plusieurs d’entre elles demeurent passablement indifférentes au programme, n’étant pas convaincues qu’elles aient besoin d’obtenir la certification.

En l’absence de renseignements précis sur le programme, comme les coûts et le processus de certification, plusieurs PME hésitaient à prédire toute modification de leur niveau de confiance à la suite de la mise en place du programme voire même l’obtention de leur certification.

Le rôle du gouvernement

Parmi les rôles les plus fréquents, les participants croient que le gouvernement du Canada devrait :

  • Faire la promotion du programme au public pour s’assurer que celui-ci comprenne bien ce que la certification signifie.

  • Établir les normes liées à la certification.

  • Mener les audits, la certification et le renouvellement de la certification, y compris des évaluations spécifiques qui permettent de s’assurer que les entreprises certifiées continuent d’être sécuritaires.

  • Offrir les outils et les ressources pour valider l’authenticité du certificat d’un fournisseur.

  • Offrir des ressources pour la formation des employés, des listes de vérification, des ressources et des outils éducatifs et des pratiques exemplaires pour appuyer les efforts d’obtention et du maintien de la certification.

  • Offrir un certain soutien aux entreprises « piratées » malgré leur certification.

  • Poursuivre en justice les pirates informatiques et autres cybercriminels de manière plus proactive.

  • Sensibiliser les Canadiens et les Canadiennes à leur propre cybersécurité.

Méthodologie

Pour réaliser cette recherche, on a mené 10 groupes de discussion traditionnels en personne, six groupes de discussion par webconférence (téléweb), et cinq entrevues en profondeur par téléweb. Des consommateurs âgés de plus de 18 ans de genre, de niveau d’éducation et de revenu différents ont participé à cinq groupes de discussion en personne. On a réalisé toutes les autres séances et les entrevues avec des décideurs de petites ou moyennes entreprises ou des personnes qui jouent un rôle important dans l’exploitation et la gestion de l’entreprise et qui ont également des connaissances sur les systèmes d’informatique et les pratiques de gestion des données de l’entreprise.

Les séances ont eu lieu à travers le pays dans des villes de grande taille et de taille moyenne (Calgary, Alb., Victoria, C.-B., Halifax, N.-É., Kitchener, Ont., et Montréal, Qc), de même que dans des régions rurales et éloignées à travers le Canada. Les groupes de discussion ont eu lieu entre le 18 et le 28 mars 2019 alors que les entrevues par webconférence (téléweb) ont eu lieu entre le 25 mars et le 2 avril 2019. La durée de chaque groupe de discussion était de 90 minutes alors que celle des entrevues était de 45 minutes. Rick Nadeau et Eva Gastelum, chercheurs principaux chez Quorus et tous deux sur la liste de l’offre à commandes du gouvernement du Canada, ont animé tous les groupes de discussion.

Résultats détaillés

But de la recherche et objectifs

Le budget de 2018 a fait l’annonce d’un programme de cybercertification pour les petites et moyennes entreprises (PME) afin de répondre à des cybermenaces importantes à l’endroit de la communauté d’affaires et des consommateurs. De concert avec le Conseil canadien des normes et le Centre de la sécurité des télécommunications, Innovation, Sciences et Développement économique Canada (ISDE) a entrepris l’élaboration de ce programme de certification pour ultimement augmenter le seuil référentiel en matière de cybersécurité chez les PME. L’atteinte de cet objectif aura trois principaux effets : accroître la confiance des consommateurs face à l’économie numérique, faire la promotion de normes internationales et mieux positionner les PME canadiennes face à la concurrence à l’échelle internationale.

La présente recherche vise à assurer la réussite du lancement, de la promotion, de la mobilisation et de l’adoption du programme de cybercertification par les PME canadiennes en explorant les éléments suivants :

  • la perception des participants face aux trois concepts créés pour désigner le programme (l’aspect visuel et les messages);

  • les éléments préférés de chaque concept;

  • la réaction et le niveau de confiance à l’égard d’une « image de marque cybersécuritaire »;

  • les attentes qu’une certification sur la cybersécurité engendre;

  • les avantages perçus et l’identification d’obstacles à l’adoption; et

  • la compréhension générale et la crédibilité des messages présentés (écrits et visuels)

Une fois la recherche terminée, les résultats serviront à :

  • choisir le logo et les messages clés en appui au programme de cybercertification et faire les ajustements nécessaires au concept préféré lors de la production finale;

  • améliorer l’efficacité des efforts de communication, de marketing et de sensibilisation d’ISDE pour réaliser son mandat auprès des entreprises et des consommateurs; et

  • concevoir des messages qui expliquent la proposition de valeur du processus de certification ISDE pour favoriser l’adoption du programme auprès des PME. Ces messages devront être porteurs de sens à la fois pour les entreprises (rassurer les clients qu’on se soucie de leur bien-être / de leur niveau de satisfaction) et pour les consommateurs (les aider à repérer facilement des entreprises cybercertifiées où ils peuvent magasiner en toute quiétude sachant que leurs renseignements sont protégés).

Somme toute, la recherche servira à créer une image de marque reconnaissable et crédible pour la cybersécurité au Canada, en plus d’appuyer le programme pour qu’il soit en mesure d’accroître la résilience de la cyberinfrastructure des PME à l’endroit des cyberattaques et d’augmenter le nombre de PME dotées d’un système de cybersécurité efficace.

Confiance envers la cybersécurité des PME

Dans un premier temps, on a exploré des concepts généraux en matière de cybersécurité avec les consommateurs et les PME pour mieux comprendre le contexte dans lequel s’inscrirait un programme de certification. On a examiné un éventail de thèmes, dont leur propre sentiment à propos de la cybersécurité dans le monde d’aujourd’hui, et le rôle que le gouvernement du Canada devrait jouer pour appuyer les PME canadiennes dans ce domaine.

La perspective des consommateurs

Ayant demandé aux consommateurs de décrire la première chose qui leur venait à l’esprit à la mention de « cybersécurité », la plupart d’entre eux se sont limités aux transactions financières. En d’autres mots, ils se préoccupent principalement de la protection et de l’usage éthique de l’information associée à leurs cartes de débit ou de crédit. Ils s’attendent également à ce que leurs institutions financières les remboursent si on utilise leurs cartes sans leur consentement.

Certains participants se sont demandé comment on entrepose et utilise leurs renseignements personnels, mais cette question se pointe surtout après la discussion sur les transactions. L’expression « cybersécurité » fait aussi ressortir chez certains le sentiment de sécurité lié à l’usage de sites Web de commerçants et chez quelques personnes, le vol d’identité en général.

L’expression « cybersécurité » a aussi fait surgir la notion de « pirates informatiques », de virus et de pare-feu, et la protection de renseignements personnels et financiers (ou son absence) contre un usage frauduleux ou illégal. Dans ce contexte, plusieurs se concentraient sur l’accès non autorisé aux renseignements à partir des outils du consommateur (p. ex., leur téléphone intelligent, leur ordinateur) plutôt qu’à partir des systèmes d’une PME.

Les consommateurs considèrent la cybersécurité importante et, même s’ils ne sont pas unanimes, la plupart se sentent en confiance en matière de cybersécurité lorsqu’ils font affaire avec des PME canadiennes. À la question sur le niveau de protection ressenti lorsqu’ils font affaire avec des PME au Canada actuellement, plusieurs évaluent ce sentiment à au moins 8 sur 10, alors qu’un petit groupe évalue leur confiance à 5 ou moins (10 signifie qu’ils se sentent entièrement protégés).

  • Les consommateurs se sentent plus vulnérables lorsqu’ils se procurent des services ou font des achats d’une PME en ligne comparativement aux transactions effectuées auprès d’entreprises traditionnelles ayant pignon sur rue.

    Un diagramme en forme d’anneau décrit comment les consommateurs se sentent en sécurité de nos jours, sur une échelle de 0 à 10, où 0 signifie qu’ils se sentent extrêmement vulnérables et 10 signifie qu’ils se sentent complètement protégés. Il y a trois tranches, représentant les valeurs 0 à 5, 6 à 7 et 8 à 10. La proportion dans ces tranches est d’environ 20 %, 40 % et 40 %, respectivement. Toutes les valeurs sont approximatives.

Ceux qui ont donné une évaluation plus faible ont soit fait directement l’objet d’activités frauduleuses dans le passé, ont lu des situations vécues par d’autres personnes ou se méfient généralement de tout ce qui se rapporte à l’Internet :

“There have been problems but the bank was there to help – but because of a problem that’s why I did not give a perfect score.”

[Nous avons eu des problèmes, mais la banque nous a prêté main-forte – mais je n’ai pas attribué un score parfait à cause de ce problème.]

“You see on the news sometimes – gas stations taking credit card numbers.”

[Vous pouvez parfois le voir dans les actualités – une station-service qui s’approprie des numéros de cartes de crédit.]

Les consommateurs associent ce niveau de confiance relativement élevé au fait qu’ils font presque toujours affaire avec les mêmes entreprises et qu’ils n’ont jamais eu de problèmes dans le passé. Ils expliquent également qu’ils accordent le bénéfice du doute aux entreprises et croient que les PME prennent la cybersécurité au sérieux, car il y va de la survie de l’entreprise. Un participant a résumé la situation comme suit : “it’s not only expected but assumed” [on s’y attend alors on le suppose].

Les consommateurs estiment que le risque est limité s’ils ont fait affaire avec une PME dont la cybersécurité a été compromise ou qui manque d’éthique puisque celle-ci n’aura que le numéro de leur carte de crédit (“all they have is my credit card number”). Ils précisent qu’il s’agit habituellement de petites transactions et qu’ils ont divers moyens pour se faire rembourser (p. ex., communiquer avec l’émetteur de la carte) s’ils ont été victimes d’une utilisation non autorisée de leur carte de crédit :

“Any time I’ve had an issue, I contact the credit card company or PayPal and they fix it.”

[Les fois où j’ai rencontré un problème, j’ai communiqué avec l’entreprise émettrice de la carte de crédit ou PayPal et ils ont rectifié la situation.]

Beaucoup de consommateurs se disent rassurés par le fait qu’ils croient que les pirates informatiques ne ciblent habituellement pas les PME. Ils croient plutôt qu’ils s’intéressent aux grandes entreprises où l’appât du gain est plus lucratif.

En fin de compte, les consommateurs avouent qu’ils ont peu ou pas de moyens pour savoir si les PME avec lesquelles ils font affaire sont effectivement cybersécuritaires. La plupart admettent qu’ils ont tout simplement « confiance » que ces entreprises le sont compte tenu des commentaires décrits ci-dessus.

“There is a large range of variables when it comes to cyber security – you could have a company that has invested nothing in security, and a company that invests millions and you don’t know who is investing.”

[Il existe un grand nombre de variables lorsqu’on traite de cybersécurité – il peut s’agir d’une entreprise qui n’a rien investi dans la sécurité ou encore une qui y a investi des millions. On ne sait pas laquelle des deux investit.]

Ceci dit, les consommateurs n’agissent pas tous à l’aveuglette en matière de cybersécurité :

  • Certains participants considèrent que les sites Web qui affichent « un petit cadenas vert » offrent un environnement sécuritaire pour faire des achats en ligne. Plusieurs étaient aussi conscients du niveau de sécurité plus élevé des sites Web « https ».

  • Les consommateurs favorisent aussi les PME et les sites Web de PME qui font affaire avec des banques ou des entreprises comme PayPal. Ils se fient beaucoup au type de système de paiement du détaillant pour évaluer leur niveau de sécurité. Par exemple, plusieurs ont expliqué que si le détaillant utilisait un système comme PayPal, un service comme Vérifié par Visa, Interac ou des terminaux de points de vente (PDV) pour cartes de crédit, ils considèrent comme sécuritaires les données de leur transaction, car ces grands fournisseurs de services tiers sont bien établis, sécuritaires et reconnus. Ils croient aussi que si un problème survient, ces fournisseurs constituent leur filet de sécurité et qu’ils les rembourseront.

  • Il importe de mentionner que les consommateurs ignorent l’existence de coûts transférés (à eux ou aux détaillants) par les banques ou PayPal en matière de protection de PDV. Le fait de le savoir les rend plus sensibles à la suggestion qu’un nouveau programme de cybercertification ou de nouvelles exigences puissent augmenter le coût aux PME.

Lorsqu’on leur a demandé ce que les PME pourraient ou devraient faire pour qu’ils se sentent plus « cybersécurisés », les consommateurs ont offert peu de solutions. Quelques-uns ont indiqué une forme de certification, mais dans l’ensemble, les participants n’en voyaient pas le besoin (car ils se sentent déjà plutôt en sécurité) ou encore ignoraient ce qui pourrait être fait. Même si les PME communiquaient mieux leur niveau de cybersécurité, les consommateurs en général ne croient pas à la cybersécurité absolue.

La perspective des PME

Les PME se préoccupent davantage de leur propre niveau de cybersécurité. À la question portant sur le niveau de cybersécurité qui existe dans leur entreprise à l’heure actuelle, la note la plus fréquente se situe à 6 ou 7. Un groupe d’entre elles s’évalue à 5 ou moins et presque autant s’évaluent à au moins 8 sur 10 (10 signifie qu’elles se sentent entièrement protégées).

Un diagramme en forme d’anneau décrit comment les PME se sentent en sécurité de nos jours, sur une échelle de 0 à 10, où 0 signifie qu’elles se sentent extrêmement vulnérables et 10 signifie qu’ils se sentent complètement protégés. Il y a trois tranches, représentant les valeurs 0 à 5, 6 à 7 et 8 à 10. La proportion dans ces tranches est d’environ 25 %, 40 % et 35 %, respectivement. Toutes les valeurs sont approximatives.

Les entreprises admettent qu’il s’agit d’un défi pour elles de rester au fait de leur système informatique et de la technologie en général. Très peu d’entre elles emploient du personnel dédié à leur système informatique et plusieurs indiquent que la surveillance de ces systèmes ajoutée à la gestion d’une petite entreprise constituait un défi de taille. Parmi les autres défis liés à la cybersécurité, on trouve :

  • Le manque de moyens pour se doter des meilleurs logiciels et de la meilleure infrastructure. Même si elles le pouvaient, certaines PME se demandent si cela suffirait puisque bien de grandes entreprises et même des gouvernements sont aux prises avec des pirates informatiques :

    “Our hard drive has died several times and we have lost important information, so we thought of a cloud service, but you hear about a lot of stories with hackers and cloud services – so not sure what to do now.”

    [Notre disque dur est tombé en panne plusieurs fois et nous avons perdu des renseignements importants. Nous pensions nous tourner vers un service infonuagique, mais on entend toute sorte de choses concernant les pirates informatiques et les services infonuagiques – je ne suis pas certaine de savoir ce que je devrais faire.]

    “Take some precaution, as much as you can, but you are vulnerable. You might just have to accept it. Small businesses don’t have the money.”

    [Vous pouvez prendre autant de précautions que vous pouvez, mais vous êtes toujours vulnérable. Il va probablement falloir l’accepter, tout simplement. Les petites entreprises n’en ont pas les moyens.]

  • Le fait de ne pas savoir ce qu’être complètement cybersécuritaire veut dire – en d’autres mots, plusieurs entreprises admettent ne pas savoir ce qu’ils ne connaissent pas dans ce domaine :

    “You can feel secure but you’ll never know for sure.”

    [On peut se sentir en sécurité sans pour autant savoir si on l’est vraiment.]

  • La difficulté de se garder au fait des éléments qui menacent leur système informatique, car la cybersécurité semble être une cible qui se déplace et évolue constamment :

    “You can’t be consistently on top of it on a daily basis.”

    [Impossible de constamment savoir ce qui en est au quotidien.]

Lorsqu’elles réfléchissent au niveau de cybersécurité de leur entreprise, la plupart des PME semblent se concentrer principalement, voire exclusivement, sur les renseignements qu’elles obtiennent de leurs clients. Elles se préoccupent moins des données internes à l’entreprise (y compris les renseignements sur leurs employés, les données financières et les données exclusives), et des renseignements liés à leurs fournisseurs.

Les PME parmi les plus confiantes quant à leur niveau de cybersécurité (en d’autres mots, elles ne se sentent pas particulièrement vulnérables à présent) semblent appartenir à l’une de quatre grandes catégories :

  1. Certaines PME, notamment les plus « grandes » et celles de taille moyenne, sont plus susceptibles d’avoir érigé une expertise interne, des pratiques et une infrastructure pour traiter des questions de cybersécurité de manière appropriée. Ces mesures comprennent la présence d’employés dédiés spécifiquement aux technologies de l’information (certaines de ces personnes ont d’ailleurs participé à une des séances de recherche). Du point de vue du processus, ces entreprises disent qu’elles ont des procédures de cybersécurité écrites, y compris des protocoles de formation des employés.

  2. Les entreprises qui ont une expertise en cybersécurité ou en technologies de l’information (une entreprise qui fait de la consultation en informatique ou qui fait la conception de sites Web, par exemple) ont clairement exprimé la vulnérabilité des autres entreprises, puisqu’elles en sont témoins quotidiennement. Quant à leurs propres entreprises, elles doivent absolument être cybersécuritaires, car leur modèle d’affaires en dépend. Cela dit, elles ne peuvent pas nécessairement le prouver à leurs clients – la réputation de l’entreprise les rassure, mais plusieurs indiquent que ceux-ci supposent qu’une entreprise qui opère dans le domaine des technologies de l’information s’y connait en matière de cybersécurité.

  3. Les entreprises qui recueillent peu de données, ou qui recueillent des données qui nécessitent un faible niveau de sécurité ne peuvent justifier un investissement important en cybersécurité. À titre d’exemple, plusieurs entreprises de vente au détail disent qu’elles ne conservent que des données transactionnelles et qu’elles se servent d’un important fournisseur tiers.

  4. Quelques entreprises soutiennent qu’elles ne recueillent pas de renseignements de leurs clients ou encore qu’elles ne stockent pas de données dans leurs ordinateurs. Par exemple, certaines disent n’avoir que des renseignements sur support papier (ou principalement sous cette forme) et considèrent que ces données ne peuvent être piratées.

Les entreprises qui se disent modérément confiantes face à leur niveau de cybersécurité expliquent qu’elles sont généralement conscientes des risques et elles prennent des mesures de base comme la sauvegarde périodique. Elles sont aussi à l’affût de courriels suspects, elles maintiennent à jour leurs logiciels antivirus et pare-feu, elles demandent à leurs employés d’éviter les courriels douteux et elles utilisent des services infonuagiques reconnus pour le stockage et la sauvegarde de dossiers (p. ex., Dropbox). En dépit de ces mesures, elles considèrent qu’elles pourraient en faire davantage et que si un pirate informatique professionnel les ciblait, elles auraient sans doute des problèmes.

Peu importe où elles se situent sur le spectre de la cybersécurité, toutes les PME acceptent le fait que la sécurité absolue n’existe pas. Elles comprennent que si des pirates informatiques peuvent s’en prendre aux grandes entreprises, ils peuvent attaquer la leur. De plus, certaines soutiennent que c’est lorsqu’on croit être entièrement cybersécuritaire que la méfiance se relâche et qu’on devient vulnérable.

Plusieurs PME croient que leurs clients se soucient de la cybersécurité de leur entreprise, mais ils ne s’en sont jamais informés. Elles expliquent que leurs clients supposent probablement qu’elles le sont jusqu’à preuve du contraire :

“It’s not a part of the conversation but it would be an issue if something happened.”

[Cela ne fait pas partie de nos échanges, mais ça constituerait un problème s’il arrivait quelque chose.]

Selon la nature de l’entreprise et la quantité et le genre de données qu’elles détiennent sur un client, la cybersécurité fait partie du dialogue de certaines entreprises. Certains clients demandent parfois à consulter la politique de l’entreprise en matière de protection des renseignements personnels alors que d’autres s’enquièrent sur le fournisseur de service de traitement des paiements ou sur l’assurance de sécurité du site Web :

“I think most people look for a lock on their browser, and as long as that is there, they feel comfortable.”

[Je crois que la plupart des gens scrutent leur navigateur à la recherche du cadenas et s’il y est, ils se sentent à l’aise.]

Les entreprises semblent être partagées relativement à l’importance de considérer l’aspect de la cybersécurité dans le choix d’un fournisseur. Certaines soutiennent que leurs fournisseurs possèdent peu de renseignements sur elles alors que d’autres estiment qu’elles font affaire avec leurs fournisseurs depuis très longtemps et leur font implicitement confiance. D’autres indiquent qu’elles se sentiraient plus rassurées si elles savaient que leurs fournisseurs se préoccupent de leur propre cybersécurité. Toutefois, la plupart disent que lors de l’évaluation de deux fournisseurs pour un service ou un contrat donné, elles favoriseraient le fournisseur qui démontre la présence de mesures de cybersécurité plutôt que celui qui ne le démontre pas.

Les avis sont également partagés sur les occasions d’affaires manquées puisqu’elles ne peuvent « prouver » leur niveau de cybersécurité. D’une part, certaines PME (particulièrement les jeunes pousses, les services professionnels et les entreprises à but non lucratif qui dépendent de bailleurs de fonds et les entreprises en ligne) perçoivent qu’elles ratent des occasions d’affaires. Certaines estiment également qu’elles seraient en mesure de soumissionner sur de plus grands projets ou fournir de plus gros clients si elles pouvaient faire la preuve de leur niveau de sécurité. À l’inverse, d’autres entreprises, et particulièrement les entreprises traditionnelles ayant pignon sur rue (p. ex., petits détaillants, personnes de métier) n’y voient aucun problème. Elles ne croient pas que leurs clients s’attardent à cet aspect – ce serait pour d’autres motifs qu’elles ne seraient pas considérées.

Un nombre important d’entreprises ignorent si elles ratent des occasions d’affaires pour cause « d’absence de preuve » de leur niveau de cybersécurité – encore une fois, ces PME expliquent qu’elles n’en discutent pas avec leurs clients. En fin de compte, cependant, la plupart semblent s’entendre que si un problème survenait et qu’on les percevait comme non sécuritaires, cela ferait beaucoup de tort à leur entreprise.

Le rôle du gouvernement en matière d’appui aux PME

La plupart des PME et des consommateurs croient que le gouvernement fédéral a un rôle à jouer pour aider les PME à améliorer leur niveau de cybersécurité. Parmi les suggestions les plus populaires, il y a l’offre de formation, des lignes directrices, des pratiques exemplaires et des listes de contrôle pour que les PME puissent vérifier et améliorer leur niveau de cybersécurité. Certains participants ont suggéré que le gouvernement fournisse des logiciels ou des systèmes informatiques abordables, ou encore des conseils sur le genre de système ou de logiciel que les entreprises devraient se procurer.

Parmi les autres suggestions, on trouve :

  • L’introduction d’une certaine forme de certification (semblable à ISO, LEED, et aux inspections en santé publique des restaurants) :

    “Comparing it to going to a restaurant, especially a no name one–the first thing I look for is their certification from the health department and that they passed all the requirements by the government so maybe something similar for cyber security.” (SME)

    [C’est comme aller au restaurant, tout particulièrement un restaurant peu connu – la première chose que je vérifie c’est leur certification du ministère de la Santé et qu’ils satisfont aux exigences gouvernementales alors quelque chose de semblable pour la cybersécurité. (PME)]

    “Businesses have to post their level of security so that consumers know and they can choose.” (Consumer)

    [Les entreprises doivent afficher leur niveau de sécurité pour motiver le choix des consommateurs. (Consommateur)]

  • Au-delà des PME, il faut aussi s’assurer que tous les Canadiens et Canadiennes soient cybersécuritaires – par exemple, le gouvernement pourrait mener une campagne d’éducation sur la manière de reconnaitre une entreprise sécuritaire.

  • Réglementer davantage les fournisseurs d’accès Internet (FAI) pour s’assurer de la sécurité de ces systèmes.

  • Offrir des crédits d’impôt ou un soutien financier additionnel/des incitatifs aux PME lorsqu’elles investissent dans la cybersécurité :

    “For very small businesses, some education and funding would be good to help people who are less tech savvy – make their business more competitive and safe for their customers.” (SME)

    [Pour les très petites entreprises, il serait bon de fournir un peu de formation et du financement aux gens qui sont moins technophiles – et ainsi rendre leur entreprise plus concurrentielle et sécuritaire pour leurs clients. (PME)]

Cependant, l’implication gouvernementale ne bénéficie pas d’un soutien unanime. Certains s’opposent à une réglementation additionnelle pour les entreprises ou encore le fait qu’on affecte des ressources fédérales à une question qui, pour eux, se gère bien par le secteur privé. On note aussi certaines craintes à l’égard du gouvernement du Canada vu ses propres problèmes liés aux systèmes informatiques, ce qui met en doute la capacité du gouvernement du Canada à devenir un conseiller de confiance en la matière. Certains participants se demandent s’ils voulaient voir une agence gouvernementale associée de si près à leurs données alors que d’autres ignoraient s’il était pratique ou réaliste pour le gouvernement de surveiller le niveau de cybersécurité de toutes les PME du pays :

“How do you enforce this with the amount of small businesses out there?” (Consumer)

[Comment faire pour appliquer une telle approche compte tenu du nombre de petites entreprises au pays ? (Consommateur)]

  • L’opposition à la présence gouvernementale dans ce domaine s’est particulièrement fait sentir dans les groupes de discussion à Calgary et à Halifax.

L’idée d’exiger un certain niveau de cybersécurité pour exploiter une entreprise au Canada a suscité des réactions mitigées. À la base, la plupart s’entendent sur le fait que les PME doivent offrir un minimum de cybersécurité et que si cela devenait une exigence, elle devrait être assortie d’une forme de soutien gouvernemental.

“Would make me as a business owner and a consumer feel a lot more comfortable but would want to know more about how it would be implemented and regulated.” (SME)

[Une telle exigence me rendrait bien plus à l’aise à la fois comme entrepreneur et comme consommateur, mais je voudrais en savoir davantage sur la manière dont elle serait mise en œuvre et réglementée. (PME)]

Cependant, certains se disent préoccupés par une approche universelle puisque certaines entreprises doivent assurer un niveau de sécurité supérieur à d’autres en fonction de la quantité et la nature de la collecte de renseignements par l’entreprise. Dans le même ordre d’idées, certains participants des deux groupes s’inquiètent que des exigences en matière de cybersécurité puissent être injustes envers les petites entreprises qui n’ont pas les ressources ou les moyens de satisfaire aux exigences ou qui soient forcées de se conformer à des exigences injustifiables pour leur entreprise.

“I would probably have to shut down if this happened because I wouldn’t know what I should be doing.” (SME)

[Je devrais probablement fermer mes portes si cela se produisait, car je ne saurais que faire. (PME)]

Ceux qui s’opposent à ce type d’exigence, en particulier les PME, ne voient aucun aspect pratique à l’application d’un tel règlement ou ne considèrent pas que ce soit un enjeu pour le gouvernement. Parmi les citations des PME :

“There are so many things going on, that this shouldn’t be priority.”

[Ceci est loin d’être une priorité avec tout ce qui se passe.]

“Should be up to the company – have enough regulations.”

[Devrait être du ressort de l’entreprise – il y a suffisamment de règlements.]

“As business owners – we know that there are security levels that we need to have – this is our responsibility not government.”

[En tant que propriétaires d’entreprises – nous savons que nous devons avoir certains niveaux de sécurité – c’est notre responsabilité et non celle du gouvernement.]

“Make it available but not mandatory.”

[Rendez cette certification disponible, mais pas obligatoire.]

Évaluation générale des concepts

On a présenté les trois concepts visuels suivants aux participants, un à la fois, et on a modifié l’ordre à chaque séance pour réduire les biais. On a ensuite présenté ces concepts en couleur, sur une feuille de format lettre. Avant d’entamer la discussion, on a demandé aux participants d’évaluer cinq aspects précis du concept : son caractère unique, son caractère mémorable, sa crédibilité, sa pertinence et son attrait global (la feuille d’exercice des participants se trouve en annexe). Une fois l’évaluation terminée, on a discuté des impressions des participants avant de passer au concept suivant pour refaire l’exercice.

Une image montre les représentations de trois concepts visuels différents, A, B et C. Tous les concepts comprennent les logos de CyberFiable Canada  (présentés en blanc et en noir) . Bien que tous les trois intègrent la feuille d’érable, chaque concept utilise un symbole distinctif comme suit : A – Bouclier, B – Cadenas et C – Voûte. Dans le concept A, les lettres C et F sont en majuscules dans le nom CyberFiable. Dans le concept B, touts les noms sont écrits en majuscules. Dans le concept C, la lettre C dans Cyber est en majuscule, et tous le mot « FIABLE » est en majuscules.

Parmi les commentaires qui s’appliquent aux trois concepts, on note :

Les commentaires spécifiques à chaque concept sont résumés dans la grille ci-dessous :

Un tableau présente un résumé de chaque concept. Le tableau présente les forces et les faiblesses du concept A (Bouclier), du concept B (Cadenas) et du concept C(Voûte).

Forces

Faiblesses

Concept A – Bouclier

  • Plusieurs ont aimé l’image puisqu’elle rend bien l’aspect « sécurité », soit parce qu’ils reconnaissent bien le bouclier ou parce qu’il leur rappelle ce dont se servent d’autres entreprises ou produit associés à la sécurité.

  • Plusieurs ont aimé la police de caractère utilisée avec le concept.

  • Certains ont aimé que le mot « Secure » soit présenté en caractère gras.

  • Bien qu’elle communique la « sécurité », on ne considère pas l’image unique puisque d’autres entreprises du domaine de la sécurité utilisent le bouclier dans leur logo, par exemple des agences de sécurité privées, les logiciels antivirus (McAfee), etc.

  • Pour certains, le bouclier leur rappelle un insigne ou un écusson qui se porte avec un uniforme, ce qui fonctionne pour certains, mais pas pour d’autres.

  • Dans d’autres cas, le bouclier a fait penser à un concessionnaire automobile, à un chandail de hockey ou au logo de Canadian Tire, ce qui affaiblissait le concept à leurs yeux, car ces entités n’ont rien à avoir avec la sécurité.

  • Vue sous un angle de cohérence, l’image semble détachée ou dissociée du texte (ce qui n’est pas le cas avec les deux autres concepts).

Concept B – Cadenas

  • Le concept communique clairement l’aspect « sécurité » - presque tous les participants ont tout de suite reconnu le cadenas.

  • Certains ont aimé l’incorporation d’un « C » pour cyber et d’un « S » pour sécurité dans la conception du cadenas.

  • Certains participants savent que l’adresse d’un site Internet sécurisé commence avec les lettres « https » et affiche un cadenas fermé. Ils y ont donc vu un symbole de cybersécurité.

  • Quoique le concept transmette la notion de sécurité, le fait que le cadenas semble ouvert suggère une « faille de sécurité ».

  • Plusieurs préfèrent deux types de polices pour les lettres du mot plutôt qu’une seule – ils préfèrent l’approche utilisée dans les deux autres concepts.

Concept C – Voûte

  • Le seul avantage du concept est que quelques participants l’ont trouvé unique.

  • Certains ont aimé que le mot « Secure » soit présenté en caractère gras.

  • La plupart ne reconnaissent pas l’image utilisée. Bien que certains aiment le côté unique du concept, d’autres l’ont rejeté d’emblée parce qu’il n’invoque pas la notion de « sécurité ». L’image évoque un éventail de « choses » : un parapluie, un signal Wi-Fi, un arc-en-ciel, une bulle, un toit, le lever du soleil, une couverture de sécurité, un macaroni, un dôme ou un sourcil (froncé). Certains n’ont pu l’associer à quoi que ce soit.

  • Pour d’autres, ils y voient le logo d’Air Canada, des Jets de Winnipeg et le logo de l’Aviation royale canadienne.

  • Pour quelques participants, surtout dans l’Ouest canadien, ils y reconnaissent le logo d’une entreprise de services financiers.

  • On a aussi trouvé que la police de caractère « manque de sérieux ».

Dans l’ensemble, les consommateurs aiment mieux, dans une large mesure, le concept du cadenas alors que le choix des PME se partage entre le concept du bouclier et celui du cadenas. Le concept de la voûte s’est classé bon dernier dans les deux groupes. Un concept plus fort pour bon nombre des participants combine l’image du cadenas et la police de caractère utilisée dans le concept du bouclier.

Les préférences des PME et des consommateurs en matière de concepts sont représentées à l’aide d’un graphique à barres verticales. Les préférences des PME sont à peu près les suivantes : Concept de bouclier – 45 %, concept de cadenas – 45 % et concept de voûte – 10 %. Pour les consommateurs, les pourcentages sont Bouclier – 20 %, serrure – 75 % et Arc – 5 %. Remarque : Toutes les valeurs sont approximatives.

L’exploration d’un programme composé d’échelons

On a examiné un programme composé d’échelons, sans pour autant offrir de détails sur sa structure ni sur la définition des échelons. Les participants en sont donc arrivés à leur propre interprétation des échelons.

Les participants ont interprété la notion d’échelons de deux manières. Certains associent les échelons au niveau de sécurité des PME – soit des niveaux obtenus. Dans ce cas, une PME de niveau 3 serait plus sécuritaire qu’une PME de niveau 2 ou de niveau 1. D’autres ont interprété les échelons comme des niveaux de cybersécurité qu’une entreprise doit atteindre en fonction de la quantité et du type de donnée qu’elle recueille et stocke – on les a décrits comme niveaux nécessaires ou exigés. Dans cet esprit, on considère une entreprise qui n’a besoin que d’un niveau de cybersécurité de base (car elle ne recueille et/ou ne conserve que peu de données) comme entreprise de Niveau 1 alors qu’une entreprise qui recueille et stocke une quantité importante de données ou des données particulièrement sensibles se classerait au Niveau 3. Certaines PME ont émis l’hypothèse que plus le niveau est élevé, plus les coûts associés à l’obtention de ce niveau seront élevés :

“Why are different companies on different levels? Do business owners have to pay to get a higher level?” (SME)

[Pourquoi les entreprises se retrouvent-elles à différents niveaux? Les propriétaires d’entreprises doivent-ils payer pour obtenir un niveau plus élevé? (PME)]

Les consommateurs et les PME ont tous deux largement rejeté la notion d’un programme composé d’échelons. Ils préfèrent un programme qui précise si une entreprise est cybersécuritaire ou si elle ne l’est pas.

Les principales préoccupations des participants face à l’approche par échelons comprennent les suivantes :

  • Les consommateurs ont trouvé qu’il faut déjà suffisamment d’efforts pour remarquer le logo, et plus encore pour les échelons. De plus, même s’ils les remarquaient, ils croient qu’il faudrait beaucoup de temps pour se familiariser avec le programme au point de connaitre la différence entre les échelons. Le fait que le système puisse être interprété de deux manières complètement différentes incite certains à croire que l’utilisation des échelons comporte un risque. Les PME estiment également que les échelons pourraient prêter à confusion.

    “If they are only level one you start wondering – why aren’t you level 3?” (Consumer)

    [Si l’entreprise se situe au premier échelon, vous pourriez vous demander – pourquoi n’est-elle pas à l’échelon 3 ? (Consommateur)]

    “Would be concerned of what consumers think of less than 3 – as SMEs you research what they mean, consumers won’t.” (SME)

    [Je me préoccuperais de ce que le consommateur comprend d’un échelon inférieur à 3 – en tant que PME, je m’informe de ce que cela veut dire, mais les consommateurs ne le feront pas. (PME)]

  • Les PME considèrent ne pas vouloir rendre les échelons publics, particulièrement s’ils ne se trouvent pas à l’échelon le plus élevé. Elles s’inquiètent du fait que leurs clients s’interrogeraient sur leur niveau de cybersécurité, peu importe la signification des échelons. Plusieurs indiquent qu’un échelon moindre que le niveau supérieur créera plus de problèmes qu’il ne comportera d’avantages – les PME s’attendent à devoir se défendre auprès de leurs clients si elles ne sont pas cotées à l’échelon 3 plutôt que fièrement faire la promotion du fait qu’ils ont atteint un niveau de cybersécurité.

    • Cela dit, il y a eu un certain intérêt à conserver les détails des échelons à l’interne pour que les gestionnaires/les propriétaires sachent où ils en sont et où ils devraient se situer en matière de cybersécurité.

  • Certaines PME ont carrément indiqué qu’elles ne publiciseraient pas leur niveau si elles se trouvaient « seulement au premier échelon ». Elles considèrent que le message suggère des mesures en matière de cybersécurité moindres, ce qui nuirait à leur entreprise, et de plus, les identifierait comme une cible pour les pirates informatiques.

    “If you’re a hacker you’re going around looking for the place with 1 dot.” (SME)

    [Si vous êtes un pirate informatique, vous allez naviguer pour trouver les entreprises situées au premier échelon. (PME)]

    “I feel as a business owner I would be at a disadvantage if I could only put out a 1.” (SME)

    [Comme propriétaire d’entreprise, je me sentirais désavantagé si je ne pouvais me positionner qu’au premier échelon. (PME)

    “Depending on the business you might not need level 3 but now you look bad if you don’t get it.” (SME)

    [Selon le type d’entreprise, il se peut que vous n’ayez pas besoin de l’échelon 3, mais vous ne feriez pas bonne figure si vous ne l’avez pas. (PME)]

    “Tier 1 could actually hurt the business rather than help.” (SME)

    [L’échelon 1 pourrait nuire à l’entreprise beaucoup plus qu’il ne l’aiderait. (PME)]

  • En examinant la manière de communiquer les échelons aux clients à l’aide des logos, plusieurs participants considèrent que l’intégration des échelons aux concepts visuels les encombre. Certains ont ajouté que les petits points représentant ces échelons, placés dans des formats beaucoup plus petits (sur une carte professionnelle, par exemple), seraient difficiles à voir ou amoindriraient l’aspect visuel du concept.

L’usage de couleurs dans les concepts visuels

Les participants ont examiné les concepts imprimés dans les couleurs suivantes :

Les logos de CyberFiable Canada sont représentés selon les trois concepts visuels différents qui utilisent respectivement un bouclier, un cadenas et une voûte. En outre, les concepts intègrent des couleurs, à la fois pour le mot  « Fiable », ainsi que pour le symbole utilisé. Dans la première, les premières lettres des mots « Cyber » et « Fiable » sont en majuscules. Dans le second concept, les deux mots sont en majuscules. Dans la troisième, la lettre C dans Cyber et le mot entier « FIABLE » sont en majuscules. Il y a quatre variantes pour chaque concept, où une couleur différente est utilisée pour le mot « Fiable » et pour le symbole. La première variante utilise le vert, la seconde la couleur or, la troisième la couleur bronze et la quatrième la couleur argent. La feuille d’érable est représentée en rouge dans toutes les variantes des concepts sauf la première, où la feuille est représentée en gris.

Les participants ont souvent réagi immédiatement et de manière décisive face aux couleurs présentées : peu d’entre eux les ont aimées. Les participants optent soit pour le statu quo (c.-à-d. le concept en noir et blanc) ou, s’il faut choisir une couleur parmi celles présentées, ils opteraient pour le gris. Parmi les autres réactions, on trouve :

  • La couleur « or » pourrait fonctionner pourvu qu’elle ressorte clairement.

  • La première couleur, identifiée verte, comporte une association positive, mais les participants n’ont pas aimé le fait que la feuille d’érable soit grise.

  • Les participants ont souvent spontanément proposé le rouge.

Quoique la plupart des participants n’aiment tout simplement pas les couleurs présentées, certains trouvent que l’ajout d’une couleur affaiblissait le ton général ou le message véhiculé par le concept visuel. À l’opposé des couleurs présentées, perçues comme étant « jolies » ou « obscures », ils considèrent que l’aspect de sécurité doit être transmis par une couleur plus sérieuse ou plus « dure ». Outre le gris dans une certaine mesure, aucune couleur présentée n’offrait suffisamment de « sérieux ». L’ajout d’une couleur pousse certains à trouver que le concept s’éloigne d’un programme gouvernemental. Quelques-uns se demandent également comment ces couleurs s’agenceraient à la palette de couleurs et l’image de marque de leur PME.

“They don’t add anything to the design – maybe the green, but the black and white with the red for the leaf is best.” (SME)

[Les couleurs n’ajoutent rien au design – peut-être le vert, mais le noir et blanc avec la feuille d’érable rouge conviennent le mieux. (PME)]

“Black is best because it’s clean and simple.” (SME)

[Le noir fonctionne le mieux puisqu’il est clair et simple. (PME)]

“It’s such a serious thing – don’t add colour, keep it black and white.” (Consumer)

[C’est un thème très sérieux – n’ajoutez pas de couleur. Gardez le noir et le blanc. (Consommateur)]

“It takes away from the idea of it being secure – it makes it playful.” (Consumer)

[La couleur amenuise l’aspect sécuritaire – elle donne un ton enjoué au concept. Consommateur)]

“Don’t like blue/turquoise. Gold and brown are okay but agree to keep it simple with black and white. Makes the leaf stand out more.” (SME)

[Je n’aime pas le bleu/turquoise. L’or et le brun pourraient convenir, mais je suis d’accord avec la simplicité du noir et du blanc. On voit mieux la feuille d’érable. (PME)]

Le seul autre commentaire concernant la couleur porte sur la feuille d’érable, et tous s’entendent qu’elle doit être rouge.

Impact possible sur la concurrence

Les consommateurs s’avèrent peu enclins à modifier leurs habitudes de magasinage selon qu’une entreprise ait ou non une cybercertification, principalement car ils font confiance aux entreprises avec lesquelles ils font affaire en ce moment. Leurs réactions à des scénarios précis comprennent :

Les PME ont une opinion partagée à savoir si le fait de détenir une certification aura un impact positif sur leur entreprise. Les PME qui s’intéressent à la cybercertification supposent qu’elle peut servir de différentiateur concurrentiel : les consommateurs la remarqueront et elle pourrait les aider à devenir une meilleure entreprise en étant plus proactives et plus « sensibilisées » à la cybersécurité. Plusieurs entreprises peinent à saisir certains aspects de la cybersécurité, mais saisissent l’importance de la cybersécurité aux yeux de leurs clients. Les entreprises qui ne considèrent pas la cybersécurité comme un enjeu ou pour qui la certification importe peu à leurs clients sont moins portées à croire qu’elle ferait une différence.

Pour plusieurs PME, l’impact de la certification sur leur entreprise dépend largement de l’intérêt et de la compréhension des consommateurs face au programme, de ce que la certification représente pour eux et de ce que la PME a dû faire pour obtenir sa certification. Certains se demandent même si les consommateurs remarqueront le logo puisqu’ils n’ont jamais eu à s’en préoccuper jusqu’à présent et vu la quantité de « toute sorte d’étiquettes sur le marché ».

Outre sur la vitrine d’un magasin ou sur un site Web, les participants s’attendent à voir ou à utiliser les logos à différents endroits, par exemple :

Une représentation tabulaire montre les identificateurs pour les participants comme suit: (les consommateurs s’attendraient à voir l’identificateur, les PME s’attendraient à placer l’identificateur).

Les consommateurs s’attendent à voir le logo …

Les PME s’attendent à pouvoir apposer le logo …

  • Sur l’emballage

  • À la caisse enregistreuse ou près des dispositifs de points de vente

  • Sur des formulaires de demande – par exemple, un programme de fidélisation

  • Dans la publicité

  • Sur l’emballage

  • Dans les signatures de courriel

  • Sur l’en-tête de la papeterie de l’entreprise

  • Sur les factures

  • En réponse à des appels d’offres/sur des devis

  • Sur les cartes professionnelles

  • À la caisse enregistreuse ou près des dispositifs de points de vente

  • Sur tout le matériel de marketing/les brochures

  • Sur les véhicules de l’entreprise

  • Sur la publicité en ligne

  • “I would put it everywhere!”

    [Je le mettrais partout !]

  • Intégré au panier des achats en ligne – p. ex., sous le bouton « Ajouter au panier »

  • Sur le profil Facebook et autres réseaux sociaux de l’entreprise

Attentes face au programme

Sans leur donner beaucoup de renseignements sur le programme, on a demandé aux participants de décrire la manière dont celui-ci devrait fonctionner. Les participants, et particulièrement les consommateurs, ont eu peine à décrire ce à quoi le programme pourrait ressembler. Les PME et les consommateurs voient du même œil certains des principaux éléments du programme, dont plusieurs portent sur le rôle du gouvernement du Canada, et qui comprennent les points suivants :

Les consommateurs et les PME avaient tous deux des attentes particulières.

La perspective des consommateurs

Les consommateurs sont d’avis que le programme doit inclure un volet important d’éducation publique. Les consommateurs veulent connaitre certains détails du programme, par exemple, qu’est-ce qu’on certifie, quelle est la pertinence de la certification pour le consommateur et quelles exigences une entreprise doit satisfaire pour obtenir sa certification. Certains se demandent ce qui a incité le gouvernement à vouloir mettre ce programme en place – une question importante pour les consommateurs qui se sentent plutôt en sécurité lorsqu’ils font affaire avec les PME à présent. Certains d’entre eux ont qualifié le programme de « solution qui se cherche un problème ». Cette validation plus large du programme devra être distincte d’une campagne d’éducation qui décrit le programme. En fin de compte, les consommateurs veulent que les détails qui entourent le programme deviennent publics pour comprendre les avantages qu’ils en retireront.

“What are they trying to accomplish by bringing this in? What are the challenges that the Government is facing that is prompting them to want to roll this out?”

[Que tentent-ils d’accomplir en introduisant ce programme ? Avec quels problèmes le gouvernement est-il aux prises pour vouloir le mettre en place ?]

Si le programme voyait le jour, bon nombre de consommateurs se sentiraient plus en sécurité lorsqu’ils font affaire avec les PME en général, même s’ils ne recherchent pas activement des assurances en matière de cybersécurité dans leurs transactions avec les PME.

L’accroissement le plus grand de la confiance du consommateur proviendrait de personnes qui ont vécu des expériences négatives dans le passé ou qui étaient plus méfiantes face à la cybersécurité en général. Du reste, les consommateurs reconnaissent que les entreprises en feront plus pour les garder dans un environnement sécuritaire même s’ils ne s’attendent pas à un niveau de sécurité à toute épreuve, avec ou sans certification.

Même si le programme ne les rassure pas davantage, quelques consommateurs reconnaissent les avantages que le programme pourrait fournir en général aux PME canadiennes. Dans les groupes de discussion avec les consommateurs, plusieurs ont exprimé un faible pour les petites entreprises. Si le programme se veut un effort du gouvernement du Canada pour appuyer les PME dans leur quête pour accroître leur niveau de cybersécurité, en particulier celles qui ne pourraient pas y arriver d’elles-mêmes, ils perçoivent alors le programme comme une mesure favorisant les petites entreprises.

La perspective des PME

Les PME qui ont participé à la recherche ont des attentes plus précises face au programme :

  • Elles veulent s’assurer que le programme soit utile et que la certification et son renouvellement n’ajoutent pas de paperasserie, de formalités ou de lourdeur administrative aux entreprises.

  • L’audit pourrait comprendre une inspection sur les lieux ainsi qu’une vérification externe (p. ex., qu’un auditeur tente de pirater le système de la PME).

  • Elles veulent que le programme soit accessible financièrement aux plus récentes et aux plus petites entreprises. Puisqu’il s’agit d’un programme national, la plupart s’attendent à ce que le processus de certification soit gratuit ou accessible à un coût très faible pour maximiser l’adoption du programme auprès des entreprises de tous les domaines et de toutes les tailles. Plusieurs ont suggéré un coût en fonction des revenus et des besoins d’une entreprise de manière à ce qu’il soit relativement abordable et proportionnel à l’importance de la cybersécurité pour l’entreprise.

Certaines doutent que la certification augmente leur niveau de cybersécurité de leur entreprise, soit parce qu’elle est aussi bonne que possible ou parce qu’elles n’ont pas besoin davantage de sécurité. Même avec la certification, les PME ne s’attendent pas à ce que leur entreprise soit à 100 % cybersécuritaire puisqu’elles reconnaissent qu’un tel niveau de sécurité relève de l’impossible.

Si le programme voit le jour, il semble que l’accroissement de la confiance des PME envers leur propre niveau de cybersécurité serait minimal. Plusieurs d’entre elles demeurent passablement indifférentes face au programme, n’étant pas convaincues qu’elles aient besoin d’obtenir la certification, surtout à cause :

  1. de leurs préoccupations concernant le fardeau de la conformité;

  2. d’une confiance injustifiée – elles se sentent aussi sécurisées qu’elles puissent l’être, ayant peu de compréhension face à leur propre vulnérabilité; et

  3. du manque de connaissance quant à leur place dans la chaine d’approvisionnement.

En l’absence de renseignements précis sur le programme, comme les coûts et le processus de certification, plusieurs PME hésitent à prédire toute modification de leur niveau de confiance à la suite de la mise en place du programme voire même l’obtention de leur certification.

Plusieurs PME s’attendent à ce que le programme soit gratuit alors que d’autres s’attendent à ce que le coût soit relatif à la taille de leur entreprise. La plupart de celles du deuxième groupe ont suggéré un coût annuel modeste ou encore un coût pour la certification jumelé à un audit gratuit. Cependant, la plupart avaient de la difficulté à suggérer un montant raisonnable en l’absence de renseignements sur le programme.

Le rôle du gouvernement

On a demandé aux participants de définir le rôle qu’ils verraient le gouvernement du Canada jouer dans le cadre du programme proposé. Parmi les rôles les plus fréquents, les participants croient que le gouvernement du Canada devrait :

  • Faire la promotion du programme pour s’assurer que le public comprend bien ce que la certification signifie. Les participants veulent également s’assurer que les coûts et le fardeau associés à la promotion du programme ne sont pas refilés aux PME.

  • Établir des normes liées à la certification.

  • Mener les audits, la certification et le renouvellement de la certification, y compris des évaluations au besoin qui permettent de s’assurer que les entreprises certifiées continuent d’être sécuritaires.

  • Offrir des outils et des ressources aux consommateurs pour qu’ils puissent valider l’authenticité du certificat d’un fournisseur.

  • Offrir des ressources pour la formation des employés des PME, des listes de vérification, des ressources, des outils éducatifs et des pratiques exemplaires pour appuyer les efforts d’obtention et du maintien de la certification.

  • Offrir un certain soutien aux entreprises « piratées » malgré leur certification. Certains considèrent que le gouvernement, à titre d’émetteur de la certification, doit aussi se porter garant en quelque sorte si un incident se produisait à l’endroit d’une PME certifiée. Ce point, à l’instar du grand nombre d’autres points soulevés dans le rapport, souligne l’importance pour le gouvernement du Canada de communiquer éventuellement et clairement ce que le programme comprendra ou ne comprendra pas.

  • Poursuivre en justice les pirates informatiques et autres cybercriminels de manière plus proactive.

  • Sensibiliser les Canadiens et les Canadiennes quant à leur propre cybersécurité.

Méthodologie détaillée

Pour réaliser cette recherche, on a mené 10 groupes de discussion traditionnels en personne, six groupes de discussion par webconférence (téléweb), et cinq entrevues en profondeur par téléweb. La recherche a surtout mis l’accent sur les petites et moyennes entreprises. Une partie des groupes de discussion en personne s’est déroulée avec des consommateurs. On a réparti les séances à travers le pays, dans de grandes villes et des villes de taille moyenne, de même que dans des régions rurales et éloignées.

Quorus s’est chargé de la coordination de tous les aspects du projet de recherche, y compris la conception et la traduction du questionnaire de recrutement et du guide du modérateur. La firme a aussi coordonné tous les aspects du recrutement des participants, des installations et des éléments de logistique afférents. Quorus a de plus modéré toutes les séances, a conduit les entrevues et a livré les rapports exigés à la fin de la cueillette de renseignements.

Cette enquête a ciblé les petites et moyennes entreprises (PME) canadiennes ainsi que les consommateurs. Plus précisément, elle a rassemblé un mélange d’entreprises et de consommateurs définis comme suit :

Aux fins de la recherche, une petite entreprise se définit comme employant moins de 100 personnes (et comprends les travailleurs autonomes canadiens) et une entreprise moyenne se définit comme employant de 100 à 499 personnes. À l’intérieur du segment des petites entreprises, on a aussi voulu cibler les microentreprises, soit celles qui emploient cinq personnes ou moins.

Dans l’ensemble du segment des PME, on a aussi cherché à joindre des représentants des sous-segments suivants :

Les efforts de recrutement ont permis de rassembler une variété d’entreprises de divers secteurs d’activités, dont le commerce de détail, le commerce électronique, les services, les technologies de l’information, le secteur de la fabrication, les services interentreprises, et les entreprises qui font des affaires à l’extérieur du pays.

Pour former les groupes de discussion et sélectionner les personnes pour les entrevues en profondeur, on a recruté les participants à l’aide de contacts téléphoniques aléatoires et d’une base de données exclusive. Pour les groupes de consommateurs, on a recruté les participants par téléphone, de manière aléatoire, à partir de la population générale.

Lors de la conception du questionnaire de sélection des participants, on a inséré des questions particulières pour déterminer l’admissibilité des participants à cette recherche et, le cas échéant, pour assurer la représentativité des participants :

En plus des critères de sélection des participants cités ci-dessus, on a pris des mesures de recrutement additionnelles pour assurer la qualité des répondants :

Pour recueillir les données, on a tenu des groupes de discussion en personne et des entrevues de webconférence d’une durée de 90 minutes, de même que des entrevues en profondeur par webconférence d’une durée de 45 minutes chacune. Pour chaque groupe de discussion en personne, Quorus a recruté 10 participants pour s’assurer de la participation de 8 à 10 personnes par groupe de discussion. Pour les groupes de discussion par webconférence, Quorus a recruté 7 participants pour s’assurer de la participation de 5 à 7 participants par groupe de discussion.

Le recrutement des participants aux groupes de discussion et aux entrevues téléphoniques en profondeur a été effectué conformément aux normes de sélection préliminaire, de recrutement et de vie privée établis selon les Normes pour la recherche sur l’opinion publique effectuée par le gouvernement du Canada – Recherche qualitative. De plus, les techniques de recrutement utilisées satisfont aux exigences suivantes :

À l’étape du recrutement et au début de chaque groupe de discussion/entrevue en profondeur, on a informé les participants que cette recherche se faisait pour le compte du gouvernement du Canada/ISDE. On a aussi informé les participants de l’enregistrement des groupes de discussion et de la présence d’observateurs d’ISDE. Quorus s’est assuré d’obtenir le consentement préalable des participants lors de l’étape du recrutement ainsi que le jour même du groupe de discussion, avant d’avoir accès à la pièce, ou avant le début de l’entrevue téléphonique. Quorus a conçu et ISDE a approuvé le formulaire de consentement par écrit et chaque participant aux groupes de discussion en personne l’a rempli avant le début de l’enregistrement.

Tous les groupes de discussion ont eu lieu en soirée et à l’intérieur d’installations professionnelles destinées aux groupes de discussion qui ont permis à l’équipe client d’observer la séance. On a offert une rétribution différente aux participants recrutés selon le segment auxquels ils appartenaient.

Au total, on a mené 10 groupes de discussion en personne à travers le pays, répartis selon le tableau suivant.

Un tableau présente l’information sur le lieu, le segment, la langue, le nombre de participants, la date et l’heure ainsi que les honoraires de 10 groupes de discussion en personne.

Lieu

Segment

Langue

Nombre de participants

Date et heure

Rétribution

Calgary (Alb.)

Consommateurs

Anglais

8

18 mars, 17 h 30

75 $

Calgary (Alb.)

PME

Anglais

8

18 mars, 19 h 30

150 $

Victoria (C.-B.)

Consommateurs

Anglais

8

19 mars, 17 h 30

75 $

Victoria (C.-B.)

PME

Anglais

6

19 mars, 19 h 30

150 $

Halifax (N.-É.)

Consommateurs

Anglais

9

21 mars, 17 h 30

75 $

Halifax (N.-É.)

PME

Anglais

8

21 mars, 19 h 30

150 $

Kitchener (Ont.)

Consommateurs

Anglais

6

26 mars, 17 h 30

75 $

Kitchener (Ont.)

PME

Anglais

8

26 mars, 19 h 30

150 $

Montreal (Qc)

Consommateurs

Français

9

28 mars, 17 h 30

75 $

Montreal (Qc)

PME

Français

8

28 mars, 19 h 30

150 $

Au total, on a mené six groupes de discussion par webconférence à l’aide d’un service de webconférence (« Zoom ») afin que le modérateur puisse partager les concepts visuels avec les participants. Cette formule a permis l’enregistrement de chaque séance et a aussi permis à l’équipe client d’observer les séances à distance. On a effectué un enregistrement audio et vidéo de chaque séance (enregistrement de l’écran du modérateur – les participants n’ont pas eu à utiliser leur caméra Web). Les groupes étaient entièrement composés de PME, tels que décrits ci-dessous.

Un tableau présente le segment, la langue, le nombre de participants, la date et l’heure ainsi que les honoraires de six groupes de discussion téléweb de “Zoom”.

Segment

Langue

Nombre de participants

Date et heure

Rétribution

Ontario – Région rurale/éloignée

Anglais

3

20 mars, 17 h 30 HNE

150 $

Femmes entrepreneures

Anglais

3

25 mars, 17 h 30 HNE

150 $

Jeunes entrepreneurs

Anglais

2

25 mars, 19 h 30 HNE

150 $

Québec – Région rurale/éloignée

Français

7

27 mars, 18 h HNE

150 $

Prairies – Région rurale/éloignée

Anglais

5

27 mars, 20 h HNE

150 $

Femmes et jeunes entrepreneurs

Anglais

5

28 mars, 17 h 30 HNE

150 $

Enfin, on a mené cinq entrevues par webconférence (quatre en anglais et une en français) entre le 25 mars et le 2 avril 2019 avec des entrepreneurs vivant avec un handicap. On a mené toutes les entrevues en profondeur durant les heures de bureau ou en soirée (selon la disponibilité et la préférence de chaque répondant) au moyen d’un service de webconférence (« Zoom »), ce qui a permis au modérateur de partager les concepts visuels avec les participants et aux membres de l’équipe client d’écouter les entrevues. On a procédé à un enregistrement audio et vidéo de chaque séance (enregistrement de l’écran du modérateur – les participants n’ont pas eu à utiliser leur caméra Web). Tous les participants ont reçu une rétribution de 150 $.

Annexes

Questionnaire de sélection – Consommateurs (Français)

Questionnaire de sélection - Consommateurs

[REMARQUE : Le questionnaire de recrutement pour le segment des PME est disponible dans un document distinct.]

Groupes de discussion dans les installations :

Détails:

Sélectionner 10 participants pour s’assurer de la présence de 8 à 10 d’entre eux

Séances de 90 minutes

Calgary : Le 18 mars 2019 – EN ANGLAIS

Groupe 1 : Consommateurs

17 h 30

75 $

Groupe 2 : PME

19 h 30

150 $

Victoria : Le 19 mars 2019 – EN ANGLAIS

Groupe 3 : Consommateurs

17 h 30

75 $

Groupe 4 : PME

19 h 30

150 $

Halifax : Le 21 mars 2019 – EN ANGLAIS

Groupe 5 : Consommateurs

17 h 30

75 $

Groupe 6 : PME

19 h 30

150 $

Kitchener-Waterloo : Le 26 mars 2019 – EN ANGLAIS

Groupe 7 : Consommateurs

17 h 30

75 $

Groupe 8 : PME

19 h 30

150 $

Montréal : Le 28 mars 2019 – EN FRANÇAIS

Groupe 9 : Consommateurs

17 h 30

75 $

Groupe 10 : PME

19 h 30

150 $

A. Renseignements sur les installations

Calgary

Victoria

Qualitative Coordination 707 10th Avenue SW, bureau 120

RA Malatest

858, avenue Pandora

Halifax

Kitchener-Waterloo

Corporate Research Assoc.

7071 Bayers Road, bureau 5001 (5e étage)

Metroline Research Group Inc.

301-7, rue Duke Ouest

Montréal

CRC

1610, rue Sainte-Catherine Ouest, bureau 411

Bonjour. Je m’appelle __________. Would you prefer to continue in English or French? / Préférez-vous continuer en anglais ou en français ?

[NOTE POUR L’INTERVIEWEUR : POUR LES DISCUSSIONS OU LES ENTREVUES EN ANGLAIS, SI LE PARTICIPANT PRÉFÈRE CONTINUER EN FRANÇAIS, RÉPONDRE : « Malheureusement, nous recherchons des gens qui parlent anglais pour participer à cette recherche. Nous vous remercions de votre intérêt. » POUR LES DISCUSSIONS OU LES ENTREVUES EN FRANÇAIS, SI LE PARTICIPANT PRÉFÈRE CONTINUER EN ANGLAIS, RÉPONDRE : « Unfortunately, we are looking for people who speak French to participate in this research. We thank you for your interest. »]

Je téléphone du groupe-conseil Quorus, une firme nationale de recherche sur l’opinion publique. Nous organisons des discussions de groupe au nom du gouvernement du Canada pour discuter de nouveaux programmes et de nouvelles initiatives qui pourraient éventuellement être offerts.

La participation est volontaire. Personne ne tentera de vous vendre quoi que ce soit ou de vous faire changer d’idée. La discussion, qui prendra la forme d’une « table ronde » sera dirigée par un spécialiste de la recherche. Toutes les opinions exprimées demeureront anonymes. Les commentaires seront regroupés pour préserver l’anonymat des participants. La recherche sera menée conformément aux lois visant à protéger vos renseignements personnels.

[NOTE POUR L’INTERVIEWEUR : SI ON VOUS QUESTIONNE AU SUJET DES LOIS SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS, DITES : « Les renseignements recueillis durant la recherche sont régis par les dispositions de la Loi sur la protection des renseignements personnels, les lois du gouvernement du Canada et les lois provinciales en matière de protection des renseignements personnels. »]

Environ dix personnes comme vous, sélectionnées au hasard, participeront à la discussion. Tous recevront un montant de 75 $. Avant de vous inviter, j’aimerais obtenir quelques renseignements pour m’assurer de recruter une grande variété de participants. Puis-je vous poser quelques questions ?

Oui

CONTINUER

Non

REMERCIER LE RÉPONDANT ET METTRE FIN À L’ENTRETIEN.

  1. Est-ce que vous ou d’autres membres de votre ménage ou de votre famille immédiate travaillez dans l’un ou l’autre des secteurs suivants ? LIRE LA LISTE.

    OUI

    NON

    Études de marché ou marketing

    1

    2

    Relations publiques ou médias (télévision, journaux ou magazines)

    1

    2

    Publicité et communications

    1

    2

    Parti politique

    1

    2

    Ministère ou organisme fédéral ou provincial

    1

    2

    SI A RÉPONDU OUI À L’UNE OU L’AUTRE DE CES OPTIONS, REMERCIER LE RÉPONDANT ET METTRE FIN À L’ENTRETIEN.

  2. À quel groupe d’âge appartenez-vous ?

    Moins de 18 ans

    0

    REMERCIER LE RÉPONDANT ET METTRE FIN À L’ENTRETIEN.

    De 18 à 24 ans

    1

    Decorative

    RECRUTER UNE BONNE VARIÉTÉ DE PARTICIPANTS DANS CHAQUE GROUPE

    De 25 à 34 ans

    2

    De 35 à 44 ans

    3

    De 45 à 54 ans

    4

    De 55 à 64 ans

    5

    De 65 à 74 ans

    6

    De 75 ans et plus

    7

    Refuse

    9

    REMERCIER LE RÉPONDANT ET METTRE FIN À L’ENTRETIEN.

  3. Quel est le plus haut niveau de scolarité que vous avez atteint ?

    Secondaire partiel

    1

    Decorative

    RECRUTER UNE BONNE VARIÉTÉ DE PARTICIPANTS DANS CHAQUE GROUPE

    Diplôme d’études secondaires

    2

    Études collégiales/universitaires partielles

    3

    Diplôme d’études collégiales/universitaires

    4

    Refuse/ne sait pas

    9

  4. Quelle est votre situation d’emploi actuelle ?

    Employé/employée à temps plein

    1

    Employé/employée à temps partiel

    2

    Travailleur/travailleuse autonome

    3

    Retraité/retraitée

    4

    Sans emploi

    5

    Decorative

    MAXIMUM DE 2 PAR GROUPE

    Étudiant/étudiante

    6

    Autre

    7

    Ne sait pas/refuse

    9

  5. [EMPLOYÉ(E)/RETRAITÉ(E)] Quelle est votre profession actuelle/quelle était votre profession antérieure ?

    __________________________ (PRÉCISER)

  6. Laquelle des catégories suivantes décrit le mieux le revenu total de votre ménage, c’est-à-dire le revenu combiné de tous les membres de votre ménage, avant impôts ? [LIRE LA LISTE]

    Moins de 20 000 $

    1

    Decorative

    RECRUTER UNE BONNE VARIÉTÉ DE PARTICIPANTS DANS CHAQUE GROUPE

    De 20 000 $ à moins de 40 000 $

    2

    De 40 000 $ à moins de 60 000 $

    3

    De 60 000 $ à moins de 80 000 $

    4

    De 80 000 $ à moins de 100 000 $

    5

    De 100 000 $ à moins de 150 000 $

    6

    150 000 $ et plus

    7

    Ne sait pas/refuse

    99

  7. Durant un mois normal, à quelle fréquence menez-vous chacune de ces activités ? RÉPÉTER L’ÉCHELLE AU BESOIN

    1. Magasinage en ligne à partir de votre ordinateur personnel, tablette ou votre téléphone sans fil

    2. Opérations bancaires en ligne à partir de votre ordinateur personnel, tablette ou votre téléphone sans fil

    3. Utilisation des réseaux sociaux sur votre ordinateur personnel, tablette ou votre téléphone sans fil (AU BESOIN : comme Facebook, Instagram, Twitter, Snapchat ou Whatsapp)

    4. Utilisation d’une carte de crédit pour effectuer des achats en personne

    5. Accumulation ou échange de points de récompenses en faisant des achats

    Souvent

    1

    Decorative

    RECRUTER UNE VARIÉTÉ D’UTILISATEURS

    Parfois

    2

    Rarement

    3

    Jamais

    4

  8. À quel groupe vous identifiez-vous ? (NE PAS LIRE : Le sexe désigne le genre actuel, qui pourrait être différent du sexe à la naissance (sexe masculin ou sexe féminin) ou de ce qui figure dans les documents juridiques.)

    Genre masculin

    1

    Decorative

    RECRUTER UNE VARIÉTÉ DE GENRES

    Genre féminin

    2

    Diverses identités de genre

    3

    Je préfère ne pas répondre

    4

  9. Êtes-vous un Autochtone, c’est-à-dire un membre des Premières Nations, un Métis ou un Inuk (Inuit) ? Les Premières Nations incluent les Indiens inscrits et les Indiens non inscrits.

    Oui

    1

    Non

    2

  10. Si vous remportiez un million de dollars, quelles sont les deux premières choses que vous feriez avec cet argent ? (DEUX RÉPONSES DOIVENT ÊTRE FOURNIES. METTRE FIN À L’ENTRETIEN SI LE RÉPONDANT EST IMPERTINENT, RÉCALCITRANT OU HÉSITANT)

  11. Avez-vous déjà participé à une discussion de groupe ou à une entrevue portant sur un sujet établi à l’avance et pour laquelle vous avez été payé(e) ?

    Oui

    1

    MAXIMUM DE 5 PAR GROUPE

    Non

    2

    PASSER À L’INVITATION

  12. À quand remonte cette dernière discussion de groupe ou entrevue ? _______________

    METTRE FIN À L’ENTRETIEN SI LA RÉPONSE EST IL Y A MOINS DE 6 MOIS

  13. À combien de discussions de groupes de consommateurs avez-vous participé au cours des 5 dernières années ?

    ________

    À moins de 5

    À 5 ou plus

    METTRE FIN À L’ENTRETIEN

  14. Les participants sont parfois invités à remplir un questionnaire ou à regarder des documents. Y a-t-il une raison qui vous empêche de participer ? Si vous utilisez des lunettes de lecture, n’oubliez pas de les apporter. Vous pourriez en avoir besoin durant la séance.

    Oui

    METTRE FIN À L’ENTRETIEN

    Non

METTRE FIN À L’ENTRETIEN SI LE RÉPONDANT INVOQUE UN TROUBLE VISUEL OU AUDITIF, UN PROBLÈME DE LANGAGE ÉCRIT OU VERBAL, S’IL CRAINT NE PAS POUVOIR COMMUNIQUER EFFICACEMENT OU SI VOUS AVEZ D’AUTRES PRÉOCCUPATIONS.

Invitation

J’aimerais vous inviter à participer à la discussion de groupe qui aura lieu dans votre ville. La séance sera dirigée par un spécialiste en recherche du groupe-conseil Quorus, une firme canadienne de recherche sur l’opinion publique. La séance de 90 minutes aura lieu le [JOUR DE LA SEMAINE], [DATE] à [HEURE]. Chaque participant recevra un montant de 75 $ en guise de remerciement. Ce montant vous sera remis sur place, à la fin de la séance.

Acceptez-vous de participer ?

  • Oui

  • Non

METTRE FIN À L’ENTRETIEN

La séance sera enregistrée sur support audiovisuel pour les fins de la recherche. Des membres de l’équipe de recherche du gouvernement du Canada observeront la discussion dans une salle adjacente. Vous devrez signer un formulaire de renonciation et consentir à ce que vos propos soient enregistrés sur vidéo. Les enregistrements seront utilisés uniquement par l’équipe de recherche du groupe-conseil Quorus. Ils ne seront pas partagés avec des tierces parties. Comme je l’ai mentionné précédemment, tous les renseignements recueillis durant la discussion demeureront strictement anonymes et serviront uniquement aux fins de la recherche, conformément aux lois en matière de protection des renseignements personnels.

La discussion de groupe aura lieu à cet endroit : VOIR LA PAGE 1

Nous vous conseillons d’arriver 15 minutes avant le début de la séance pour stationner, repérer nos locaux et vous présenter à nos hôtes. Ceux-ci pourraient vous demander de présenter une pièce d’identité avec photo avant d’entrer dans la salle. N’oubliez pas d’apporter ce document (p. ex., votre permis de conduire).

Puisque nous n’invitons qu’un nombre limité de participants, votre présence est importante. Si pour une raison quelconque, vous ne pouvez pas vous présenter, veuillez communiquer avec nous afin que nous puissions vous remplacer. Vous ne pouvez pas choisir vous-même votre remplaçant. Vous pouvez nous joindre au 1 800 XXX-XXXX et demander [nom du recruteur]. Nous vous téléphonerons la veille en guise de rappel.

Afin que nous puissions vous contacter pour le rappel ou pour vous faire part d’un changement, pouvez-vous me confirmer votre nom et vos coordonnées ?

Un tableau présente les champs à remplir comme suit: prénom, nom de famille, numéro de téléphone le jour et numéro de téléphone le soir.

 

 

Prénom :

_________________________________________________

Nom :

_________________________________________________

Nº de téléphone (jour) :

_________________________________________________

Nº de téléphone (soir) :

_________________________________________________

Merci infiniment de votre aide !

Questionnaire de sélection – PME (Français)

Questionnaire de sélection - PME

[REMARQUE : Le questionnaire de recrutement pour le segment des consommateurs est disponible dans un document distinct.]

Groupes de discussion dans les installations :

Détails:

Sélectionner 10 participants pour s’assurer de la présence de 8 à 10 d’entre eux

Séances de 90 minutes

Calgary : Le 18 mars 2019 – EN ANGLAIS

Groupe 1 : Consommateurs

17 h 30

75 $

Groupe 2 : PME

19 h 30

150 $

Victoria : Le 19 mars 2019 – EN ANGLAIS

Groupe 3 : Consommateurs

17 h 30

75 $

Groupe 4 : PME

19 h 30

150 $

Halifax : Le 21 mars 2019 – EN ANGLAIS

Groupe 5 : Consommateurs

17 h 30

75 $

Groupe 6 : PME

19 h 30

150 $

Kitchener-Waterloo : Le 26 mars 2019 – EN ANGLAIS

Groupe 7 : Consommateurs

17 h 30

75 $

Groupe 8 : PME

19 h 30

150 $

Montréal : Le 28 mars 2019 – EN FRANÇAIS

Groupe 9 : Consommateurs

17 h 30

75 $

Groupe 10 : PME

19 h 30

150 $

Groupes de discussion par webconférence (télé-web) :

Détails :

Sélectionner 7 participants pour s’assurer de la présence de 5 à 7 d’entre eux

Incitatif : 150 $

Séances de 90 minutes

Zone rurale/Région éloignée – Ontario : Le 20 mars 2019 – EN ANGLAIS

Groupe 11 : PME

17 h 30

150 $

Femmes entrepreneures (pancanadien) : Le 25 mars 2019 – EN ANGLAIS

Groupe 12 : PME

17 h 30

150 $

Jeunes entrepreneurs (pancanadien) : Le 25 mars 2019 – EN ANGLAIS

Groupe 13 : PME

19 h 30

150 $

Zone rurale/Région éloignée – Québec : Le 27 mars 2019 – EN FRANÇAIS

Groupe 14 : PME

18 h

150 $

Zone rurale/Région éloignée – Prairies/Ouest : Le 27 mars 2019 – EN ANGLAIS

Groupe 15 : PME

20 h

150 $

Femmes et jeunes entrepreneures (pancanadien) : Le 28 mars 2019 – EN ANGLAIS

Groupe 16 : PME

17 h 30

150 $

Entrevues en profondeur avec webconférence (télé-web) :

  • 5 entrepreneurs handicapés (pancanadien)

Détails :

Mélange anglais-français

Incitatif : 100 $

Séances de 45 minutes

A. Définitions des segments

Segment

Définition

Microentreprise et Petite entreprise

De 1 à 99 employés ETP

Moyenne entreprise

De 100 à 499 employés ETP

Femmes entrepreneures

Femmes qui ont démarré et qui exploitent leur propre entreprise.

Jeunes entrepreneurs

Personnes présentement âgées de 18 à 34 ans qui ont démarré et qui exploitent leur propre entreprise.

Entrepreneurs/exploitants d’entreprises autochtones

Personnes qui s’identifient comme membres d’une collectivité des Premières Nations, un Métis ou un Inuk (Inuit) et qui ont démarré ou qui exploitent leur propre entreprise. Certains d’entre eux proviennent du Nord du 60e parallèle.

Entrepreneurs/exploitants d’entreprises handicapés

Personnes qui s’identifient comme vivant avec une incapacité physique ou mentale et qui ont démarré ou qui exploitent leur propre entreprise.

Entrepreneurs/exploitants d’entreprises en zone rurale/Région éloignée

Entrepreneurs/exploitants dont l’entreprise est située dans une municipalité, un village ou une zone rurale de moins de 10 000 habitants, à au moins deux heures de route d’une ville de 50 000 habitants et plus

Les entrepreneurs récemment immigrés au Canada

Les entrepreneurs récemment immigrés au Canada, soit des personnes qui ont immigré au Canada au cours des 10 dernières années et qui ont démarré et exploitent leur propre entreprise au Canada.

Pour le segment des PME, toutes les entrevues et toutes les discussions de groupe seront menées avec une variété de participants : entrepreneurs canadiens, propriétaires d’entreprises et gestionnaires de petites et moyennes entreprises. Cette étude s’adresse aux principaux décideurs ou aux acteurs de premier plan dans les activités courantes et la direction de l’entreprise qui connaissent bien le système de sécurité et de stockage des données de l’entreprise.

À l’exception des groupes 12, 13 et 16 et des entrevues par webconférence (télé-web), qui sont réservées à certains sous-segments des PME, nous tenterons aussi de recruter des représentants des segments suivants :

  • les femmes entrepreneures

  • les jeunes entrepreneurs (âgés de moins de 35 ans)

  • les entrepreneurs autochtones

  • les groupes sous-représentés (notamment les entrepreneurs vivant avec un handicap et les entrepreneurs qui ont récemment immigré au Canada)

Les efforts de recrutement pour tous les groupes du segment des PME et pour les entrevues cibleront divers secteurs d’activités, y compris le commerce de détail, le commerce électronique, les services, les TI, le secteur de la fabrication, les services interentreprises, et les entreprises qui font des affaires à l’échelle internationale.

B. Renseignements sur les installations

Calgary

Victoria

Qualitative Coordination 707 10th Avenue SW, bureau 120

RA Malatest

858, avenue Pandora

Halifax

Kitchener-Waterloo

Corporate Research Assoc.

7071 Bayers Road, bureau 5001 (5e étage)

Metroline Research Group Inc.

301-7, rue Duke Ouest

Montréal

CRC

1610, rue Sainte-Catherine Ouest, bureau 411

C. Introduction

Bonjour. Je m’appelle ________________et je téléphone du groupe-conseil Quorus, une firme canadienne de recherche sur l’opinion publique, au nom du gouvernement du Canada.

Would you prefer to continue in English or French? / Préférez-vous continuer en anglais ou en français ?

[NOTE POUR L’INTERVIEWEUR : POUR LES DISCUSSIONS OU LES ENTREVUES EN ANGLAIS, SI LE PARTICIPANT PRÉFÈRE CONTINUER EN FRANÇAIS, RÉPONDRE : « Malheureusement, nous recherchons des gens qui parlent anglais pour participer à cette recherche. Nous vous remercions de votre intérêt. » POUR LES DISCUSSIONS OU LES ENTREVUES EN FRANÇAIS, SI LE PARTICIPANT PRÉFÈRE CONTINUER EN ANGLAIS, RÉPONDRE : « Unfortunately, we are looking for people who speak French to participate in this research. We thank you for your interest. »]

De temps à autre, nous sollicitions des opinions en discutant avec des gens. Nous nous apprêtons à mener plusieurs discussions pour le gouvernement du Canada. J’aimerais m’entretenir avec la personne dans votre organisation qui joue un rôle de premier plan dans les opérations courantes et la direction de l’entreprise, et qui connaît bien ses systèmes de TI et les pratiques de gestion des données. Est-ce que la personne qui répond à ces critères est disponible pour discuter avec moi ? Il pourrait s’agir du propriétaire ou du président de l’entreprise, ou encore de la personne responsable des TI.

UNE FOIS QUE LA BONNE PERSONNE EST AU BOUT DU FIL, RÉPÉTER L’INTRODUCTION AU BESOIN ET CONTINUER.

Nous vous téléphonons aujourd’hui pour vous inviter à une séance de recherche où vous pourrez partager vos commentaires sur les opportunités qui s’offrent à votre entreprise et les défis qu’elle doit affronter, de même que sur le rôle que devrait jouer le gouvernement du Canada, selon vous, en rapport avec ceux-ci.

D’autres décideurs de petites et moyennes entreprises du Canada participeront à ce projet de recherche. Pour la discussion, nous n’utiliserons que les prénoms des participants. Personne, y compris le gouvernement du Canada, ne saura quelles sont les entreprises représentées. En guise de remerciement, les participants recevront une prime en argent.

La participation est strictement volontaire. Toutes les opinions demeureront anonymes et elles serviront uniquement aux fins de la recherche, conformément aux lois conçues pour protéger vos renseignements personnels. Nous voulons simplement entendre vos opinions. Personne ne tentera de vous vendre quoi que ce soit. La discussion pourrait prendre la forme d’une table ronde ou d’une entrevue téléphonique menée par un professionnel de la recherche.

[NOTE POUR L’INTERVIEWEUR : SI ON VOUS QUESTIONNE AU SUJET DES LOIS SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS, DITES : « Les renseignements recueillis durant la recherche sont régis par les dispositions de la Loi sur la protection des renseignements personnels, les lois du gouvernement du Canada et les lois provinciales en matière de protection des renseignements personnels. »]

Avant de vous inviter à participer, j’aimerais vous poser quelques questions pour m’assurer d’avoir une bonne variété d’entreprises. Cela ne prendra que 5 minutes. Si vous hésitez, je tiens à souligner que toutes mes questions concernent les activités de votre entreprise au Canada. Puis-je vous poser quelques questions?

Oui

1

CONTINUER

Non

2

REMERCIER LE RÉPONDANT ET METTRE FIN À L’ENTRETIEN.

D. Profil de l’entreprise et du participant

  1. Comment évaluez-vous votre niveau de connaissance à l’égard de la sécurité et de la confidentialité des renseignements en lien avec l’utilisation des technologies numériques dans un contexte d’entreprise ? Diriez-vous que le sujet vous est… LIRE LES CHOIX DE RÉPONSES ET RECRUTER UNE VARIÉTÉ DE PARTICIPANTS

    AU BESOIN : Dans toute entreprise, les risques et les défis associés à l’utilisation des technologies numériques (par exemple, lorsqu’un ordinateur est connecté à Internet) sont nombreux lorsqu’il s’agit de gérer la sécurité et la confidentialité des données. Comment évaluez-vous votre niveau de connaissance à l’égard de ces risques et de ces défis ?

    • Très familier

    • Assez familier

    • Pas très familier

    • Pas familier du tout

  2. Environ combien d’employés à temps plein (ETP) votre entreprise compte-t-elle au Canada? (NOTER LE NOMBRE EXACT)

    _______ employés à temps plein (ETP)

    • De 1 à 5

    [PETITE ENTREPRISE ET MICROENTREPRISE]

    • De 6 à 99

    [PETITE ENTREPRISE]

    • De 100 à 499

    [MOYENNE ENTREPRISE]

    • Plus de 500

    [REMERCIER LE RÉPONDANT ET METTRE FIN À L’ENTRETIEN]

  3. À quel groupe vous identifiez-vous ? (Remarque 1 : Recruter une bonne variété de participants pour toutes les séances et les entrevues, sauf le groupe 12 – femmes entrepreneurs. Remarque 2 : NE PAS LIRE : Le sexe désigne le genre actuel, qui pourrait être différent du sexe à la naissance (sexe masculin ou sexe féminin) ou de ce qui figure dans les documents juridiques.)

    • Genre masculin

    • Genre féminin

    • Diverses identités de genre

    • Je préfère ne pas répondre

  4. Nous devons nous entretenir avec des décideurs d’âges variés. Pourrais-je avoir votre âge? LIRE LES CATÉGORIES, AU BESOIN (Remarque : Recruter des participants de tous âges pour toutes les séances/entrevues, sauf pour le groupe 12 – Jeunes entrepreneurs.)

    • Moins de 18 ans

    • De 18 à 24 ans

    • De 25 à 34 ans

    • De 35 à 44 ans

    • De 45 à 54 ans

    • De 55 à 64 ans

    • De 65 à 74 ans

    • De 75 ans et plus

    REMERCIER LE RÉPONDANT ET METTRE FIN À L’ENTRETIEN.

  5. Depuis combien d’années êtes-vous propriétaire ou gestionnaire de cette entreprise? Noter le nombre d’années : _______ ans

    • [NE PAS LIRE] Je ne sais pas/je suis incertain(e).

  6. Êtes-vous l’un des cofondateurs de l’entreprise ?

    • Oui

    • Non

    [ENTREPRENEURS]

  1. Veuillez me dire si vous faites partie de l’une ou l’autre des catégories suivantes :

    Un tableau montre une liste de contrôle avec des questions “oui” ou “non”.

    Oui

    Non

    1. Êtes-vous un Autochtone, c’est-à-dire un membre des Premières Nations, un Métis ou un Inuk (Inuit) ? Les Premières Nations incluent les Indiens inscrits et les Indiens non inscrits.

    1. Êtes-vous aveugle ou avez-vous de la difficulté à voir, même en portant des lunettes ou des verres de contact ? (SI LA RÉPONSE EST OUI, REMERCIER LE RÉPONDANT ET METTRE FIN À L’ENTRETIEN)

    1. Êtes-vous atteint d’un handicap physique ou avez-vous de la difficulté à marcher, à utiliser des escaliers, à vous servir de vos mains ou de vos doigts ou à faire d’autres activités physiques ?

    1. Avez-vous de la difficulté à apprendre, à retenir de l’information ou à vous concentrer ?

    1. Avez-vous un trouble d’ordre émotionnel, psychologique ou mental ?

    1. Votre entreprise est-elle située dans une municipalité, un village ou une zone rurale de moins de 10 000 habitants et à au moins deux heures de route d’une ville de 50 000 habitants et plus ?

    1. [NE PAS DEMANDER SI A RÉPONDU OUI À 7A] Avez-vous immigré au Canada au cours des 10 dernières années ?

    *Source pour items b, c, d et f : Enquête Canadienne sur l’incapacité de 2017

  2. Environ quel pourcentage de votre chiffre d’affaires annuel représentent les acheteurs étrangers ? _______ %

    AU MOINS 2 PARTICIPANTS DANS CHAQUE GROUPE DE DISCUSSION DANS LES INSTALLATIONS ET PAR WEBCONFÉRENCE (TÉLÉ-WEB) DOIVENT FAIRE DES VENTES À L’INTERNATIONAL

  3. Dans quelle industrie ou quel secteur votre entreprise exerce-t-elle ses activités? Si vous êtes actif dans plus d’un secteur, veuillez indiquer le secteur principal. NE PAS LIRE LA LISTE. N’ACCEPTER QU’UNE SEULE RÉPONSE. CONFIRMER LE RÉSULTAT AVEC LE RÉPONDANT, AU BESOIN. RECRUTER UN MÉLANGE DE PARTICIPANTS.

    • Agriculture/pêche/chasse/foresterie

    • Pétrole/gaz/mines

    • Services publics

    • Construction

    • Fabrication

    • Commerce de gros

    • Commerce de détail

    • Transport et entreposage

    • Industrie de l’information et industrie culturelle

    • Finances et assurances/services immobiliers et services de location

    • Services professionnels, scientifiques et techniques/TI/informatique

    • Services administratifs et services de soutien

    • Gestion des déchets

    • Services d’assainissement

    • Arts/spectacles/loisirs

    • Hébergement/services alimentaires/tourisme

    • Autre (préciser)

  4. Quel poste occupez-vous ? _____________________________________

  5. Les participants aux discussions de groupe ou aux entrevues sont invités à exprimer leurs opinions et leurs pensées. Dans quelle mesure êtes-vous à l’aise de vous exprimer devant d’autres personnes? Êtes-vous…? LIRE LES RÉPONSES

    • Très à l’aise

    MINIMUM DE 5 PAR GROUPE

    • Assez à l’aise

    • Pas très à l’aise

    METTRE FIN À L’ENTRETIEN

    • Pas à l’aise du tout

    METTRE FIN À L’ENTRETIEN

  6. Avez-vous déjà participé à une discussion de groupe ou à une entrevue portant sur un sujet établi à l’avance et pour laquelle vous avez été payé(e) ?

    • Oui

    MAXIMUM DE 5 PAR GROUPE

    • Non

    PASSER À L’INVITATION

  7. À quand remonte cette dernière discussion de groupe ou entrevue ?

    • Au cours des 6 derniers mois

    METTRE FIN À L’ENTRETIEN

    • Il y a plus de 6 mois

  8. À combien de discussions de groupe ou entrevues avez-vous participé au cours des 5 dernières années ?

    À moins de 5

    À 5 ou plus

    METTRE FIN À L’ENTRETIEN

E. Invitation à la discussion de groupe

J’aimerais vous inviter à participer à la discussion de groupe qui aura lieu dans votre ville. La séance sera dirigée par un spécialiste en recherche du groupe-conseil Quorus, une firme canadienne de recherche sur l’opinion publique. La séance de 90 minutes aura lieu le [JOUR DE LA SEMAINE], [DATE] à [HEURE]. Chaque participant recevra un montant de 150 $ en guise de remerciement. Ce montant vous sera remis sur place, à la fin de la séance. Acceptez-vous de participer ?

  • Oui

  • Non

METTRE FIN À L’ENTRETIEN

Les participants sont parfois invités à remplir un questionnaire. Y a-t-il une raison qui vous empêche de participer ?

  • Oui

METTRE FIN À L’ENTRETIEN

  • No

Si vous utilisez des lunettes de lecture, n’oubliez pas de les apporter. Vous pourriez en avoir besoin durant la séance.

METTRE FIN À L’ENTRETIEN SI LE RÉPONDANT INVOQUE UN TROUBLE VISUEL OU AUDITIF, S’IL CRAINT NE PAS POUVOIR COMMUNIQUER EFFICACEMENT OU SI VOUS AVEZ D’AUTRES PRÉOCCUPATIONS.

La séance sera enregistrée sur support audiovisuel pour les fins de la recherche. Des membres de l’équipe de recherche du gouvernement du Canada observeront la discussion dans une salle adjacente. Vous devrez signer un formulaire de renonciation et consentir à ce que vos propos soient enregistrés sur vidéo. Les enregistrements seront utilisés uniquement par l’équipe de recherche du groupe-conseil Quorus. Ils ne seront pas partagés avec des tierces parties. Comme je l’ai mentionné précédemment, tous les renseignements recueillis durant la discussion demeureront strictement anonymes et serviront uniquement aux fins de la recherche, conformément aux lois en matière de protection des renseignements personnels.

La discussion de groupe aura lieu à cet endroit : VOIR LA PAGE 3

Nous vous conseillons d’arriver 15 minutes avant le début de la séance pour stationner, repérer nos locaux et vous présenter à nos hôtes. Ceux-ci pourraient vous demander de présenter une pièce d’identité avec photo avant d’entrer dans la salle. N’oubliez pas d’apporter ce document (p. ex., votre permis de conduire).

Puisque nous n’invitons qu’un nombre limité de participants, votre participation est importante. Si pour une raison quelconque, vous ne pouvez pas vous présenter, veuillez communiquer avec nous afin que nous puissions vous remplacer. Vous ne pouvez pas choisir vous-même votre remplaçant. Vous pouvez nous joindre au 1 800 XXX-XXXX et demander [nom du recruteur]. Nous vous téléphonerons la veille en guise de rappel.

Afin que nous puissions vous contacter pour le rappel ou pour vous faire part d’un changement, pouvez-vous me confirmer votre nom et vos coordonnées ? NOTER L’INFORMATION SUR LA PREMIÈRE PAGE.

Merci infiniment de votre aide !

F. Invitation pour la discussion de groupe par webconférence (télé-web)

J’aimerais vous inviter à participer à une discussion de groupe sur le Web. La séance sera dirigée par un consultant principal du groupe-conseil Quorus, une firme canadienne de recherche sur l’opinion publique. Pour les entreprises de votre région, la séance de 90 minutes aura lieu le [JOUR DE LA SEMAINE], [DATE], à [HEURE]. Chaque participant recevra 150 $ en guise de remerciement. Nous vous enverrons ce montant par virement électronique ou par la poste au terme de la séance.

Acceptez-vous de participer ?

  • Oui

  • Non

METTRE FIN À L’ENTREVUE

La séance sera enregistrée sur support audio pour les fins de la recherche. Des membres de l’équipe de recherche du gouvernement du Canada pourraient écouter l’appel. On vous demandera de confirmer que vous acceptez d’être enregistré. Les enregistrements seront utilisés uniquement par l’équipe de recherche du groupe-conseil Quorus. Ils ne seront pas partagés avec des tierces parties. Comme je l’ai mentionné précédemment, tous les renseignements recueillis durant la discussion demeureront strictement anonymes et serviront uniquement aux fins de la recherche, conformément aux lois en matière de protection des renseignements personnels.

Pour la séance, nous utiliserons une application de webconférence qui vous permettra de voir le matériel qui sera présenté au groupe. Nous vous ferons parvenir les directives de connexion par courriel. Vous aurez besoin d’un ordinateur puisque l’animateur voudra obtenir vos réactions au matériel présenté. Cet exercice fera partie intégrante de la discussion.

Au cours des prochains jours, nous vous ferons parvenir un courriel contenant les renseignements pour la webconférence, y compris le numéro de téléphone que vous devrez composer, votre code d’accès, ainsi que la date et l’heure de l’appel.

Nous vous recommandons de cliquer sur le lien que nous vous ferons parvenir, quelques jours avant la séance pour vous assurer d’avoir accès à webconférence qui sera organisée, et de répéter les étapes au moins 10 à 15 minutes avant le début de la séance.

Puisque nous n’invitons qu’un nombre limité de participants, votre participation est importante. Si pour une raison quelconque, vous ne pouvez pas participer, veuillez communiquer avec nous afin que nous puissions vous remplacer. Vous ne pouvez pas choisir vous-même votre remplaçant. Vous pouvez nous joindre au 1 800 XXX-XXXX et demander [nom du recruteur]. Nous vous téléphonerons la veille en guise de rappel.

Afin que nous puissions vous envoyer les renseignements pour la webconférence, vous téléphoner pour vous rappeler la discussion ou vous communiquer des changements, s’il y a lieu, pourriez-vous me confirmer votre nom et vos coordonnées ? NOTER L’INFORMATION SUR LA PREMIÈRE PAGE.

Merci infiniment de votre aide !

G. Invitation à l’entrevue par webconférence (télé-web)

J’aimerais vous inviter à participer à une entrevue par webconférence (télé-web). La séance sera dirigée par un consultant en recherche du groupe-conseil Quorus, une firme canadienne de recherche sur l’opinion publique. Nous aimerions vous donner rendez-vous pour une entrevue entre le DATE DE DÉBUT et DATE DE FIN à l’heure qui vous conviendra. Auriez-vous du temps à nous consacrer le [INSÉRER LA DATE ET LES PLAGES HORAIRES PROPOSÉES] ? L’entrevue durera environ 45 minutes, dépendamment de vos commentaires. Chaque participant recevra un montant de 100 $ en guise de remerciement. Nous vous ferons parvenir ce montant par virement électronique ou par la poste au terme de l’entrevue.

La séance sera enregistrée sur support audio pour les fins de la recherche. Des membres de l’équipe de recherche du gouvernement du Canada pourraient écouter l’appel. On vous demandera de confirmer que vous acceptez d’être enregistré. Les enregistrements seront utilisés uniquement par l’équipe de recherche du groupe-conseil Quorus. Ils ne seront pas partagés avec des tierces parties. Comme je l’ai mentionné précédemment, tous les renseignements recueillis durant la discussion demeureront strictement confidentiels et serviront uniquement aux fins de la recherche, conformément aux lois en matière de protection des renseignements personnels.

Pour la séance, nous utiliserons une application de webconférence qui vous permettra de voir le matériel qui sera présenté au groupe. Nous vous ferons parvenir les directives de connexion par courriel. Vous aurez besoin d’un ordinateur puisque l’animateur voudra obtenir vos réactions au matériel présenté. Cet exercice fera partie intégrante de la discussion.

Au cours des prochains jours, nous vous ferons parvenir un courriel contenant les renseignements pour la webconférence, y compris le numéro de téléphone que vous devrez composer, votre code d’accès, ainsi que la date et l’heure de l’appel. Vous recevrez également les coordonnées de la personne à contacter, au cas où vous devriez changer l’heure ou la date de l’entrevue.

Nous vous recommandons de cliquer sur le lien que nous vous ferons parvenir, quelques jours avant la séance pour vous assurer d’avoir accès à la séance en ligne qui sera organisée, et de répéter les étapes au moins 10 à 15 minutes avant le début de la séance.

Puisque nous n’invitons qu’un nombre limité de participants, votre présence est importante. Si pour une raison quelconque, vous ne pouvez pas participer, veuillez communiquer avec nous afin que nous puissions vous remplacer. Vous ne pouvez pas choisir vous-même votre remplaçant. Vous pouvez nous joindre au 1 800 XXX-XXXX et demander [nom du recruteur]. Nous vous téléphonerons la veille en guise de rappel.

Afin que nous puissions vous envoyer les renseignements pour la webconférence, vous téléphoner pour vous rappeler l’entrevue ou vous communiquer des changements, s’il y a lieu, pourriez-vous me confirmer votre nom et vos coordonnées ? NOTER L’INFORMATION SUR LA PREMIÈRE PAGE.

Merci infiniment de votre aide !

Guide du modérateur – Consommateurs (Français)

Guide du modérateur pour les entrevues de groupe – Consommateurs

A. Introduction (8 minutes)

  • Présentation du modérateur

  • Remerciements aux participants pour leur présence

  • Description des entrevues de groupe :

    • Nous passerons les 90 prochaines minutes à discuter des différents aspects de la cybersécurité lorsque vous achetez des produits et des services d’entreprises canadiennes, en particulier des petites et moyennes entreprises (PME).

    • Nous voulons connaitre votre opinion sur certains enjeux/concepts/produits.

    • Il ne s’agit pas d’un test de connaissances ; il n’y a pas de bonnes ou de mauvaises réponses (nous voulons simplement connaître vos opinions).

    • Vous pouvez être en désaccord. Nous vous encourageons à vous exprimer ouvertement, même si vos opinions diffèrent des autres.

    • Vous n’êtes pas obligés de m’adresser tous vos commentaires ; vous pouvez aussi échanger vos idées entre vous.

    • Ce soir, nous menons une étude pour le gouvernement du Canada, mais le modérateur n’est pas un employé de celui-ci.

    • Nous vous encourageons à parler en toute franchise. Les commentaires recueillis demeureront anonymes et seront présentés sous forme agrégée. L’enregistrement audiovisuel et la prise de notes nous serviront à rédiger le rapport. Des observateurs assisteront à la séance derrière le miroir sans tain.

    • Veuillez éteindre vos téléphones cellulaires.

Prenons quelques minutes pour faire les présentations. Donnez-nous votre prénom et parlez-nous brièvement de vous. Par exemple, avec qui habitez-vous et quel est votre passe-temps favori ?

B. Confiance à l’égard du niveau actuel de cybersécurité (25 minutes)

Merci. Aujourd’hui, nous discuterons de vos perceptions et attitudes envers les achats de produits et services de petites et moyennes entreprises au Canada. Pour que nous nous comprenions bien, selon Statistiques Canada, la microentreprise compte 5 employés ou moins, la petite entreprise, environ 100 employés et l’entreprise moyenne, entre 100 et 500 employés environ.

Pour commencer, discutons de façon générale de vos impressions de la cybersécurité en place de nos jours.

  • Tout d’abord, que signifie la cybersécurité pour vous en tant que consommateurs ?

AU TERME DE LA DISCUSSION, LE MODÉRATEUR LIT CECI : Je parle ici du sentiment de sécurité que vous avez lorsque vous achetez des produits ou des services de petites et moyennes entreprises au Canada. Cela inclut la sécurité de leurs ordinateurs, de leur réseau Internet et Wi-Fi, des systèmes qu’elles ont mis en place pour stocker et protéger les données de l’entreprise, y compris les informations sur les clients, les fournisseurs, les employés, etc.

  • En tant que consommateur, quelle importance accordez-vous à la cybersécurité ?

  • Loin de moi l’idée de suggérer que vous devriez être inquiets. J’aimerais simplement savoir ce que vous pensez, sur une échelle de 0 à 10 où 0 signifie que vous vous sentez extrêmement vulnérables et 10, que vous vous sentez entièrement protégés quand vous achetez des produits ou des services de PME au Canada ces jours-ci. LE MODÉRATEUR NOTE LES RÉSULTATS AU TABLEAU.

    • POUR LES NOTES POSITIVES – Qu’est-ce qui contribue à votre sentiment de sécurité ? Qu’est-ce qui vous fait croire que les renseignements relatifs à votre transaction sont protégés ?

    • POUR LES NOTES NÉGATIVES – Qu’est-ce qui vous préoccupe particulièrement ? Pourrait-on améliorer quoi que ce soit ?

    Sonder : Avez-vous l’impression que les PME prennent ce problème au sérieux ?

  • Qu’est-ce qu’une entreprise doit faire pour que vous vous sentiez plus en sécurité ?

  • Pouvez-vous savoir quel est le niveau de cybersécurité que les entreprises offrent à leurs clients ? Si c’est le cas, comment le savez-vous ?

  • Certains parmi vous ont fait des achats en ligne. Est-ce que la cybersécurité influence votre décision de magasiner en personne ou en ligne ?

  • Croyez-vous que toutes les PME devraient être cybersécuritaires pour vendre des produits et des services au Canada ?

  • Selon vous, quel est le rôle que le gouvernement du Canada pourrait ou devrait jouer afin d’aider les petites et moyennes entreprises en ce qui concerne la cybersécurité ? (Parlons uniquement du gouvernement fédéral et non des gouvernements provinciaux ou municipaux.)

    • Pourrait-il en faire davantage pour aider les entreprises à rehausser leur niveau de cybersécurité ?

    Demander si les participants ne l’ont pas mentionné : Le gouvernement devrait-il exiger des entreprises qu’elles offrent un certain niveau de cybersécurité ?

C. Évaluation globale du concept (35 minutes)

Le gouvernement du Canada s’affaire à mettre sur pied un programme de certification en cybersécurité destiné aux petites et moyennes entreprises. Celles qui satisferont à certaines normes seront « certifiées » et pourront démontrer qu’elles répondent aux exigences gouvernementales, grâce à un insigne ou une étiquette qui pourrait ressembler à ceci.

Il est important de noter que tous les concepts présentés sont des ébauches. J’aimerais avoir vos opinions sincères.

ÉTAPE 1 (20 minutes)

Comme premier exercice, veuillez évaluer chacun des insignes proposés sur la grille que je viens de vous distribuer. Il s’agit d’un exercice individuel. Quand vous aurez terminé, nous en discuterons en groupe. LE MODÉRATEUR DISTRIBUE LA GRILLE D’ÉVALUATION DU CONCEPT.

  • LES PARTICIPANTS UTILISENT UNE GRILLE D’ÉVALUATION POUR CHAQUE CONCEPT, POUR LES CRITÈRES SUIVANTS, SUR UNE ÉCHELLE DE 0 À 10 :

    • ✓ Unique [Il n’y a rien de comparable sur le marché]

    • ✓ Mémorable

    • ✓ Crédible

    • ✓ Pertinent [Il exprime bien la notion de cybersécurité]

    • ✓ Attrait global

LES PARTICIPANTS DISCUTENT DU CONCEPT AVANT DE PASSER AU CONCEPT SUIVANT :

  • Qu’est-ce qui vous vient en tête en voyant ce concept ? À quoi vous fait-il penser ?

  • En quelques mots, que pensez-vous de ce concept ?

  • Qu’est-ce que vous aimez le plus ? Qu’est-ce que vous aimez le moins ?

  • Ressemble-t-il à autre chose que vous avez déjà vu ? À quoi exactement ?

    • Si vous avez répondu oui, est-ce une bonne ou une mauvaise chose ? Est-ce que cela vous aide ou au contraire, vous mêle ?

  • Que pensez-vous du concept bilingue ?

  • Est-ce que ce concept illustre bien ce que signifie être cybersécuritaire ?

  • Remarqueriez-vous ce logo si vous le voyiez dans une vitrine ou sur un site Web ?

ÉTAPE 2 (5 minutes)

POUR TOUS LES CONCEPTS :

  • Lequel de ces concepts illustre le mieux ce que signifie être cybersécuritaire ?

ÉTAPE 3 (5 minutes)

EXPLORATION DU SYSTÈME À NIVEAUX MULTIPLES (UNE FEUILLE CONTENANT TOUS LES CONCEPTS EST PRÉSENTÉE À TOUS LES PARTICIPANTS)

  • En quelques mots, que pensez-vous du concept de système à niveaux multiples (p. ex., trois niveaux de cybersécurité) ?

    • À MAINS LEVÉES : Qui préfère l’idée d’un système à niveaux multiples ?

  • Selon vous, comment devrait-on illustrer les niveaux dans le concept visuel ?

  • Est-ce que l’un de ces concepts est plus efficace ou plus intéressant que les autres pour illustrer les différents niveaux ?

ÉTAPE 4 (5 minutes)

EXPLORATION DES CONCEPTS DE COULEURS (UNE FEUILLE CONTENANT TOUS LES CONCEPTS EST PRÉSENTÉE À TOUS LES PARTICIPANTS)

  • En quelques mots, que pensez-vous des couleurs proposées ?

  • Parmi toutes les options présentées sur la page, laquelle préférez-vous ? Encerclez-la.

  • Si un système à niveaux multiples était offert, devrait-on identifier chaque niveau par une couleur différente ? Si c’est le cas, que proposez-vous ?

D. Impact possible sur la compétitivité (5 minutes)

  • Comme consommateurs, êtes-vous plus enclins à choisir une entreprise qui affiche un logo plutôt qu’une autre qui n’en a pas ?

    • VARIANTE : Croyez-vous que ce logo inspire la confiance ou un sentiment de sécurité pour acheter des produits ou des services ? Selon vous, l’entreprise qui affiche ce logo est-elle plus cybersécuritaire que les autres ?

  • Est-ce que le fait de voir ce logo vous influencerait à acheter un produit ou un service d’une entreprise ?

  • Autre que dans une vitrine ou sur un site Web, à quel autre endroit aimeriez-vous voir ce logo ?

E. Attentes envers le programme (15 minutes)

Le lancement et la mise en œuvre du programme seront conçus et financés par le gouvernement du Canada. Nous vous donnons l’occasion d’exprimer vos attentes envers un tel programme. [AU BESOIN : Il se peut que je ne sois pas en mesure de répondre à certaines de vos questions, parce que je n’ai pas tous les détails concernant ce programme. L’étude vise en partie à savoir en quoi le programme devrait consister, selon vous, ainsi qu’à connaitre vos attentes envers les résultats du programme.]

  • Quelles sont vos attentes en ce qui concerne le fonctionnement du programme ? Qu’aimeriez-vous savoir pour être convaincus de faire affaire avec des entreprises certifiées ?

  • À quoi vous attendez-vous d’une entreprise certifiée, comparativement à une autre qui ne l’est pas ?

  • Comme consommateurs, de quelle manière une entreprise certifiée peut-elle vous offrir une plus grande sécurité qu’une autre qui ne l’est pas ?

  • Si une entreprise obtenait sa certification grâce à ce programme, quel serait votre nouveau sentiment de vulnérabilité ou de sécurité en tant que consommateur ? Revoyons les notes que vous avez données au début de la séance, sur une échelle de 0 à 10 où 0 signifie que vous vous sentez extrêmement vulnérables et 10, que vous vous sentez entièrement protégés.

  • Est-ce que certains parmi vous s’attendent à ce qu’un programme de certification comme celui-ci leur permette à une entreprise d’atteindre un niveau de cybersécurité de 100 % ?

    • Si on ne peut vous offrir une telle garantie, en quoi cela influence-t-il votre intérêt à faire affaire avec une entreprise certifiée ?

  • Quelles sont vos attentes en ce qui concerne le niveau de surveillance ou de participation du gouvernement dans ce programme ?

  • Est-ce que certains parmi vous s’attendent à ce que la certification fasse augmenter le prix d’un produit ou d’un service ?

  • Accepteriez-vous de payer plus cher pour un service ou un produit d’une entreprise certifiée ?

F. REMERCIEMENT ET CONCLUSION (2 minutes)

[QUESTIONS POUR LES OBSERVATEURS]

En terminant, y a-t-il d’autres questions que j’aurais dû vous poser, selon vous ?

N’oubliez pas de signer le registre des présences avant de quitter la salle, pour confirmer que vous avez reçu l’incitatif promis. [GROUPE 1 : Nous vous demandons de ne pas discuter de ce que vous avez entendu en quittant la salle. Les participants de la prochaine séance attendent dans le hall d’entrée/la salle d’attente.]

Merci et bonne soirée !

Guide du modérateur – PME (Français)

Guide du modérateur pour les entrevues de groupe – PME

A. Introduction (8 minutes)

  • Présentation du modérateur

  • Remerciements aux participants pour leur présence

  • Description des entrevues de groupe :

    • Nous passerons les 90 prochaines minutes à discuter des différents aspects de la cybersécurité au sein de votre entreprise et des défis que vous devez surmonter pour atteindre le niveau de sécurité voulu.

    • Nous voulons connaitre votre opinion sur certains enjeux/concepts/produits.

    • Il ne s’agit pas d’un test de connaissances ; il n’y a pas de bonnes ou de mauvaises réponses (nous voulons simplement connaître vos opinions).

    • Vous pouvez être en désaccord. Nous vous encourageons à vous exprimer ouvertement, même si vos opinions diffèrent des autres.

    • Vous n’êtes pas obligés de m’adresser tous vos commentaires; vous pouvez aussi échanger vos idées entre vous.

    • Ce soir, nous menons une étude pour le gouvernement du Canada, mais le modérateur n’est pas un employé de celui-ci.

    • Nous vous encourageons à parler en toute franchise. Les commentaires recueillis demeureront anonymes et seront présentés sous forme agrégée. L’enregistrement audiovisuel et la prise de notes nous serviront à rédiger le rapport. Des observateurs assisteront à la séance derrière le miroir sans tain/par cyberconférence.

    • Veuillez éteindre vos téléphones cellulaires.

Prenons quelques minutes pour faire les présentations. J’aimerais que chacun de vous réponde aux questions suivantes :

  • Quel est votre rôle ou votre poste au sein de l’entreprise ?

  • Quel type d’entreprise possédez-vous, exploitez-vous ou gérez-vous ?

  • À ce titre, quelle est votre plus grande préoccupation ces jours-ci ? Qu’est-ce qui vous empêche de dormir ?

B. Confiance des entreprises à l’égard du niveau actuel de cybersécurité (20 minutes)

Pour commencer, discutons de façon générale de vos impressions du niveau de cybersécurité en place de nos jours. Autrement dit, à quel point votre système des TI est-il sécuritaire selon vous ? Ce système inclut vos ordinateurs, votre réseau Internet et Wi-Fi, les systèmes que vous avez mis en place pour stocker et protéger les données de votre entreprise, y compris les informations sur vos clients, vos fournisseurs, vos employés, etc.

  • Loin de moi l’idée de suggérer que vous devriez être inquiets. J’aimerais simplement savoir ce que vous pensez, sur une échelle de 0 à 10 où 0 signifie que vous vous sentez extrêmement vulnérables et 10, que vous vous sentez entièrement protégés. LE MODÉRATEUR NOTE LES RÉSULTATS AU TABLEAU.

  • Quelles sont vos préoccupations ? Pourrait-on faire mieux ?

  • Qu’est-ce qui vous empêche d’obtenir une protection complète ?

    • Est-ce possible d’être entièrement protégé ? Sinon, quel est le scenario que vous estimez réaliste en ce qui concerne la cybersécurité de votre entreprise ?

  • Vos clients accordent-ils de l’importance à votre niveau de cybersécurité ? Si c’est le cas, croyez-vous qu’ils remarquent les efforts que vous mettez pour être cybersécuritaire ? Comment le savez-vous ? Comment peuvent-ils le savoir ?

  • Avez-vous l’impression de rater des occasions d’affaires parce que vous n’êtes pas en mesure de « prouver » votre niveau de cybersécurité ?

  • Selon vous, quel est le rôle que le gouvernement du Canada pourrait ou devrait jouer afin d’aider les petites et moyennes entreprises comme la vôtre dans ce domaine ? (Parlons uniquement du gouvernement fédéral et non des gouvernements provinciaux ou municipaux.)

    • Pourrait-il en faire davantage pour vous aider à rehausser votre niveau de cybersécurité ?

    • Le gouvernement devrait-il obliger les entreprises à garantir un certain niveau de cybersécurité ?

      • Quel serait l’impact sur vos activités ?

    • Le gouvernement peut-il vous aider à devenir plus compétitifs si vous améliorez votre niveau de cybersécurité ?

C. Évaluation globale du concept (35 minutes)

Le gouvernement du Canada s’affaire à mettre sur pied un programme de certification en cybersécurité destiné aux petites et moyennes entreprises. Celles qui satisferont à certaines normes seront « certifiées » et pourront démontrer qu’elles répondent aux exigences gouvernementales, grâce à un insigne ou une étiquette qui pourrait ressembler à ceci.

Il est important de noter que tous les concepts présentés sont des ébauches. J’aimerais avoir vos opinions sincères.

ÉTAPE 1 (20 minutes)

Comme premier exercice, veuillez évaluer chacun des insignes proposés sur la grille que je viens de vous distribuer. Il s’agit d’un exercice individuel. Quand vous aurez terminé, nous en discuterons en groupe. LE MODÉRATEUR DISTRIBUE LA GRILLE D’ÉVALUATION DU CONCEPT.

LE MODÉRATEUR PRÉSENTE LES CONCEPTS A, B et C UN PAR UN (L’ORDRE VARIE D’UNE SÉANCE À L’AUTRE) :

  • DANS LES INSTALLATIONS : LES PARTICIPANTS UTILISENT UNE GRILLE D’ÉVALUATION POUR CHAQUE CONCEPT, POUR LES CRITÈRES SUIVANTS, SUR UNE ÉCHELLE DE 0 À 10 :

  • TÉLE-WEB : LES PARTICIPANTS UTILISENT LA FONCTION DE CLAVARDAGE POUR ENVOYER LEURS NOTES.

    • ✓ Unique [Il n’y a rien de comparable sur le marché]

    • ✓ Mémorable

    • ✓ Crédible

    • ✓ Pertinent [Il exprime bien la notion de cybersécurité]

    • ✓ Attrait global

LES PARTICIPANTS DISCUTENT DU CONCEPT AVANT DE PASSER AU CONCEPT SUIVANT :

  • Qu’est-ce qui vous vient en tête en voyant ce concept ? À quoi vous fait-il penser ?

  • En quelques mots, que pensez-vous de ce concept ?

  • Qu’est-ce que vous aimez le plus ? Qu’est-ce que vous aimez le moins ?

  • Ressemble-t-il à autre chose que vous avez déjà vu ? À quoi exactement ?

    • Si vous avez répondu oui, est-ce une bonne ou une mauvaise chose ? Est-ce que cela vous aide ou au contraire, vous mêle ?

  • Que pensez-vous du concept bilingue ?

  • Est-ce que ce concept illustre bien ce que signifie être cybersécuritaire ?

  • Aimeriez-vous afficher ce logo dans votre vitrine ou sur votre site Web ?

ÉTAPE 2 (5 minutes)

POUR TOUS LES CONCEPTS :

  • Lequel de ces concepts illustre le mieux ce que signifie être cybersécuritaire ?

  • Lequel choisiriez-vous pour afficher dans votre vitrine ou sur votre site Web ?

    • Pourquoi avez-vous fait ce choix ?

ÉTAPE 3 (5 minutes)

EXPLORATION DU SYSTÈME À NIVEAUX MULTIPLES (UNE FEUILLE CONTENANT TOUS LES CONCEPTS EST PRÉSENTÉE À TOUS LES PARTICIPANTS)

  • En quelques mots, que pensez-vous du concept de système à niveaux multiples (p. ex., trois niveaux de cybersécurité) ?

    • À MAINS LEVÉES/VOTE EFFECTUÉ À PARTIR DE LA FONCTION DE CLAVARDAGE: Qui préfère l’idée d’un système à niveaux multiples ?

  • Selon vous, comment devrait-on illustrer les niveaux dans le concept visuel ?

  • Est-ce que l’un de ces concepts est plus efficace ou plus intéressant que les autres pour illustrer les différents niveaux ?

ÉTAPE 4 (5 minutes)

EXPLORATION DES CONCEPTS DE COULEURS (UNE FEUILLE CONTENANT TOUS LES CONCEPTS EST PRÉSENTÉE À TOUS LES PARTICIPANTS)

  • En quelques mots, que pensez-vous des couleurs proposées ?

  • Parmi toutes les options présentées sur la page, laquelle préférez-vous ? Encerclez-la.

(TÉLE-WEB - VOTE EFFECTUÉ À PARTIR DE LA FONCTION DE CLAVARDAGE)

  • Si un système à niveaux multiples était offert, devrait-on identifier chaque niveau par une couleur différente ? Si c’est le cas, que proposez-vous ?

D. Impact possible sur la compétitivité (10 minutes)

  • Croyez-vous qu’en s’associant à cette marque, votre entreprise en tirerait des avantages ? Est-ce que cela ajouterait une valeur réelle à votre entreprise ?

    • De quoi dépendrait le succès de cette marque pour votre entreprise ? Autrement dit, de quelle manière cette marque pourrait-elle profiter à votre entreprise ?

  • En tant que propriétaires d’entreprises, croyez-vous qu’en affichant ce logo, les clients choisiraient de faire affaire avec vous plutôt qu’avec un compétiteur qui ne l’a pas obtenu ?

    • VARIANTE : Croyez-vous que ce logo créerait un sentiment de confiance et de sécurité à vos clients ? Avez-vous l’impression que les clients auraient tendance à croire que votre entreprise leur offre une meilleure cybersécurité parce qu’elle affiche ce logo ?

  • En plus de votre vitrine et de votre site Web, à quel autre endroit afficheriez-vous ce logo ?

E. Attentes envers le programme (15 minutes)

Le lancement et la mise en œuvre du programme seront conçus et financés par le gouvernement du Canada. Nous vous donnons l’occasion d’exprimer vos attentes envers un tel programme. [AU BESOIN : Il se peut que je ne sois pas en mesure de répondre à certaines de vos questions, parce que je n’ai pas tous les détails concernant ce programme. L’étude vise en partie à savoir en quoi le programme devrait consister, selon vous, ainsi qu’à connaitre vos attentes envers les résultats du programme.]

  • Quelles sont vos attentes en ce qui concerne le fonctionnement du programme ? À quoi devrait ressembler le processus de certification pour vous convaincre qu’il en vaudrait la peine pour vous ?

  • À quoi devrait ressembler ce programme pour vous convaincre que les entreprises qui affichent ce logo offrent une meilleure cybersécurité ?

  • Si vous obteniez la certification avec ce programme, quel serait votre nouveau sentiment de vulnérabilité ou de protection ? Revoyons les notes que vous avez données au début de la séance, sur une échelle de 0 à 10 où 0 signifie que vous vous sentez extrêmement vulnérables et 10, que vous vous sentez entièrement protégés.

  • Est-ce que certains parmi vous s’attendent à ce qu’un programme de certification comme celui-ci leur permette d’atteindre un niveau de cybersécurité de 100 % ?

    • Si on ne peut vous offrir une telle garantie, en quoi cela influence-t-il votre intérêt à obtenir la certification ?

  • Quelles sont vos attentes en ce qui concerne le niveau de surveillance ou de participation du gouvernement dans ce programme ?

  • Vous attendez-vous à ce que la certification soit gratuite ?

    • Si vous deviez payer pour obtenir la certification, est-ce que cela diminuerait votre intérêt ?

    • Quel serait un tarif raisonnable pour la certification ? Je ne parle pas des investissements que vous pourriez devoir faire pour satisfaire les exigences du programme. Je parle uniquement de l’évaluation ou de la vérification à laquelle vous devriez vous soumettre pour connaître votre niveau de cybersécurité.

F. REMERCIEMENT ET CONCLUSION (2 minutes)

[QUESTIONS POUR LES OBSERVATEURS]

En terminant, y a-t-il d’autres questions que j’aurais dû vous poser, selon vous ?

SÉANCES DANS LES INSTALLATIONS : N’oubliez pas de signer le registre des présences avant de quitter la salle, pour confirmer que vous avez reçu l’incitatif promis. [GROUPE 1 : Nous vous demandons de ne pas discuter de ce que vous avez entendu en quittant la salle. Les participants de la prochaine séance attendent dans le hall d’entrée/la salle d’attente.]

Merci et bonne de soirée !

Grille d’Évaluation (Français)

Sur une échelle de 0 à 10 où 0 signifie « mauvais » et 10, « excellent », quelle note donnez-vous à chacun de ces concepts, pour les aspects suivants ?

Le tableau d’évaluation des participants pour les concepts A, B et c est affiché. Le tableau présente la notation comme suit: unique - il n’y a rien de tel sur le marché, mémorable, crédible, pertinent - il transmet la notion de cybersécurité et l’attrait global.

Inscrire une note dans la grille pour chacun des concepts présentés

Concept A

Concept B

Concept C

Unique – Il n’y a rien de comparable sur le marché

Mémorable

Crédible

Pertinent – Il exprime bien la notion de cybersécurité

Attrait global

ÉCHELLE D’ÉVALUATION :

Une échelle d’évaluation de 0 à 10, où 0 représente faible et 10, excellent.

Mauvais

Excellent

0

1

2

3

4

5

6

7

8

9

10