De : Innovation, Sciences et Développement économique Canada
Août 2021
Préparé pour Innovation, Sciences et Développement économique Canada
Fournisseur : Le groupe-conseil Quorus Inc.
Date d'octroi du contrat : 6 janvier 2021
Numéro de contrat : U4408-210641/001/CY
Valeur du contrat : 59 944,96 $
Date de livraison : septembre 2021
Numéro de ROP : ROP 098-20
Pour plus d'information, veuillez communiquer avec Innovation, Sciences et Développement économique Canada : IC.PublicOpinionResearch-Recherchesurlopinionpublique.IC@canada.ca
This report is also available in English.
Cette publication est disponible en ligne à l'adresse suivante : https://www.ic.gc.ca/eic/site/112.nsf/fra/accueil.
Pour obtenir une copie de la présente publication ou la recevoir sous une autre forme (Braille, gros caractères, etc.), veuillez remplir le formulaire de demande à www.ic.gc.ca/Publication-Request ou communiquer avec :
Centre des services Web
Innovation, Sciences et Développement économique Canada
Édifice C.D. Howe
235, rue Queen
Ottawa (Ontario) K1A 0H5
Canada
Téléphone (sans frais au Canada) : 1 800 328-6189
Téléphone (international) : 613 954-5031
ATS (pour les personnes malentendantes) : 1 866 694-8389
Heures d'ouverture : 8 h 30 à 17 h (heure de l'Est)
Courriel : ised-isde@ISED-ISDE.gc.ca
À moins d'indication contraire, les renseignements contenus dans la présente publication peuvent être reproduits, en tout ou en partie, par quelque moyen que ce soit, sans frais ni autre permission du ministère de l'Industrie, pourvu qu'une diligence raisonnable soit exercée afin d'assurer l'exactitude de l'information reproduite; que le ministère de l'Industrie soit mentionné comme organisme source; et que la reproduction ne soit pas représentée comme étant une version officielle de l'information reproduite ni comme une copie ayant été faite en collaboration avec le ministère de l'Industrie ou avec son consentement.
Pour obtenir la permission de reproduire les renseignements contenus dans la présente publication à des fins commerciales, veuillez remplir la Demande d'affranchissement du droit d'auteur à https://tc.canada.ca/fr/services-generaux/demande-affranchissement-droit-auteur ou contacter le Centre de services Web à l'adresse susmentionnée.
© Sa Majesté la Reine du chef du Canada, représentée par le ministre de l'Industrie, 2021.
Numéro de catalogue : Iu4-407/2021F-PDF
ISBN 978-0-660-40732-6
Also available in English, entitled CyberSecure Canada – Final report.
J'atteste, par les présentes, à titre de président du groupe-conseil Quorus, que les produits livrables sont entièrement conformes aux exigences en matière de neutralité politique du gouvernement du Canada énoncées dans la Politique sur les communications et l'image de marque et la Directive sur la gestion des communications – Annexe C.
Plus précisément, les produits livrables ne comprennent pas d'information sur les intentions de vote électoral, les préférences quant aux partis politiques, les positions des partis ou l'évaluation de la performance d'un parti politique ou de ses dirigeants.
Signé :
Rick Nadeau, président
Le groupe-conseil Quorus Inc.
En réponse aux menaces à la cybersécurité, le budget de 2018 prévoyait la mise en place d'un programme de certification en cybersécurité pour les petites et moyennes entreprises (PME). En partenariat avec le Conseil canadien des normes et le Centre de la sécurité des communications, ISDE a mis sur pied le programme CyberSécuritaire Canada, dont l'objectif consiste à hausser la base de référence en matière de sécurité pour les PME et par conséquent, à accroître la confiance des consommateurs envers l'économie numérique, à promouvoir la normalisation à l'échelle mondiale et à mieux positionner les PME canadiennes afin qu'elles soient plus concurrentielles à l'international.
Pour mieux sensibiliser le public cible, des campagnes publicitaires ont été organisées. La première, lancée en février 2021, était une publicité numérique visant à encourager les PME à se renseigner sur le programme CyberSécuritaire et à obtenir leur certification.
Le principal objectif de la campagne numérique était de bâtir une image de marque et faire connaître le programme CyberSécuritaire Canada et sa marque. Son appel à l'action visait les petites et moyennes entreprises et les encourageait à visiter le site CyberSécuritaire Canada à https://www.ic.gc.ca/eic/site/137.nsf/fra/accueil.
Les principaux objectifs de la recherche sur l'opinion publique consistaient à tester les concepts publicitaires et leurs messages sous-jacents en faisant participer des PME à des groupes de discussion en ligne (plateforme virtuelle) avant le lancement de la campagne. La recherche avait également pour but de recueillir les opinions des petites et moyennes entreprises sur la cybersécurité en général et le programme CyberSécuritaire en particulier. La recherche visait à recueillir les renseignements suivants :
La deuxième phase de la recherche consistait en des entrevues personnelles en profondeur sur le Web réalisées auprès d'un éventail de grandes entreprises, de groupes et d'associations de l'industrie, et avait pour but d'approfondir la discussion sur les points suivants :
La première phase de recherche consistait en dix groupes de discussion en ligne; huit groupes ont participé à l'étape 1 du 25 au 28 janvier 2021, et les deux autres, l'étape 2 le 16 février 2021. Les participants étaient des propriétaires de petites et moyennes entreprises, de même que des représentants d'organismes sans but lucratif de partout au Canada. Lors du recrutement, nous avons priorisé les entreprises comptant de 40 à 100 employés (soit le plus grand segment des petites entreprises). Dans chaque organisation, la recherche visait un responsable des décisions en matière de cybersécurité ou une personne qui joue un rôle de premier plan dans les opérations quotidiennes et la direction de l'entreprise.
Chaque participant a reçu 200 $ pour sa contribution. Au total, des représentants de 54 entreprises ont participé aux groupes de discussion.
La deuxième phase de la recherche consistait en six entrevues individuelles en profondeur sur le Web réalisées avec un éventail de grandes entreprises et de groupes et d'associations de l'industrie.
La liste des organisations invitées à participer à cette phase de l'étude a été préparée par ISDE et le recrutement a été mené par Quorus. Chaque participant a reçu 250 $.
Tous les participants ont été informés que la recherche avait été commandée par le gouvernement du Canada.
Chaque séance a débuté par une discussion générale sur la cybersécurité. Les participants ont souvent utilisé les mots « protection », « information » et « sécurité des systèmes » pour la décrire. Bien que la plupart avaient l'impression que leurs entreprises et leurs systèmes étaient de raisonnablement sécuritaires à assez sécuritaires, les participants s'accordaient tous pour dire qu'il était impossible qu'il soit complètement sécuritaire et qu'il y avait toujours place à amélioration. Assurer la cybersécurité a également été perçu comme une dépense de fonctionnement nécessaire pour les entreprises.
Pratiquement toutes les entreprises ont dû s'adapter jusqu'à un certain point en raison de la pandémie de COVID-19. Elles sont devenues de plus en plus dépendantes à l'Internet, notamment en raison du télétravail qui est à la hausse. Le travail à domicile a apporté son lot de défis sur le plan de la cybersécurité et il a fallu modifier les pratiques (p. ex., en offrant une formation au personnel) et les systèmes (matériel informatique, logiciels, largeur de bande).
Un certain nombre de participants ont discuté des cyberattaques qui se sont produites depuis le début de la pandémie et des coûts associés.
Durant la première ronde de groupes de discussion, trois concepts ont été testés :
Certains thèmes sont ressortis durant les discussions sur tous les concepts, y compris le désir des participants de voir un lien plus direct et littéral à la cybersécurité dans l'approche créative. Bon nombre d'entre eux ont également mentionné que le sceau du programme était un élément clé des concepts publicitaires et qu'il devrait être mis de l'avant. Cela aiderait grandement à illustrer le lien plus littéral que les participants recherchent et à atteindre l'auditoire cible (c'est-à-dire les petites et moyennes entreprises) pour transmettre le message principal et le but du nouveau programme.
En revanche, plusieurs étaient d'avis que l'auditoire cible avait déjà saisi l'importance de la cybersécurité et, par conséquent, qu'il n'était pas nécessaire d'en faire le message clé comme c'était le cas dans les concepts testés. Ils ont plutôt suggéré d'ajouter de l'information sur le programme lui-même. Dans les concepts testés, le manque de renseignements à ce sujet a soulevé de nombreuses questions et a amené les participants à faire des suppositions qui n'étaient pas toujours les bonnes. Ceux-ci auraient souhaité qu'on indique clairement que ce programme est commandité par le gouvernement du Canada. Dans les concepts vidéo, ils auraient voulu voir une mention de la commandite beaucoup plus rapidement pour se sentir rassurés quant à la pertinence du message.
La majorité des participants se sont entendus pour dire que les publicités ne réussiraient pas à attirer leur attention. L'appel à l'action pour obtenir plus d'information n'était pas suffisamment fort pour les convaincre de faire leurs propres recherches.
Le concept A – Plus facile a obtenu de faibles notes et s'est retrouvé au dernier rang. Cela s'explique entre autres par l'incertitude quant à l'auditoire cible, que les participants croyaient être les consommateurs et non les entreprises. Cette impression était attribuable principalement aux couleurs vives et à l'image de la tarte, éléments qui ont raté la cible puisque le message véhiculé n'a pas été associé à la cybersécurité. En fait, on semblait dire aux gens que la cybersécurité, c'était simple (de la tarte), ce qui ne reflétait pas nécessairement leur expérience. Le texte a soulevé des questions parmi les participants au lieu de les informer sur le programme. Même si l'appel à l'action qui les invitait à cliquer sur le lien pour en apprendre davantage était clair, la plupart des participants ont affirmé que ce concept ne les inciterait pas à agir.
Le concept B – Un premier pas a suscité des réactions partagées. Bien que certains participants en aient fait leur premier choix, la plupart l'ont relégué au deuxième rang. Il a cependant fait l'objet de critiques pour son exécution, la perception quant à l'auditoire cible et son message.
Bien que dans l'ensemble, le concept ait été qualifié d'accrocheur, certains l'ont trouvé surchargé et sans rapport avec le caractère sérieux qu'ils associent à la cybersécurité. Malgré les mots inscrits sur l'espadrille, de nombreux participants avaient l'impression que le concept s'adressait aux jeunes ou aux entreprises en démarrage. Certains n'ont vu aucun lien avec la cybersécurité. Par ailleurs, d'autres ont aimé la métaphore qui consiste à « faites un premier pas » ou à « se diriger vers quelque chose », c'est-à-dire la certification en cybersécurité.
Les participants ont saisi l'appel à l'action, mais les réactions étaient partagées à savoir si la publicité était suffisamment convaincante pour inciter les gens à poser le geste qu'on leur demandait – certains ont dit qu'ils le feraient et d'autres non.
Le concept C – La confiance s'est distingué et a été le favori des trois concepts présentés. Les participants s'entendaient pour dire que l'idée de la confiance établissait le lien le plus pertinent et le plus direct avec la cybersécurité et que l'ensemble du concept les ciblait mieux que les deux autres. Cela s'explique par l'approche créative, qui a suscité des réactions favorables, et le message principal qui les a interpellés. L'idée et les images de confiance et les liens (que nous sommes tous dans le même bateau, mais que les liens pourraient facilement être rompus s'il y a un maillon faible) ont plu à la majorité.
Les participants ont souvent mentionné que le ton de ce concept était plus sérieux et plus axé vers les entreprises.
Toutefois, le choix des abeilles a déplu à certains qui auraient préféré voir de vraies personnes dans la publicité.
Dans les quatre derniers groupes, nous avons également présenté aux participants une variante de ce concept : le texte était le même, mais l'image était différente et incluait une personne. Bien que certains s'entendaient pour dire que l'idée d'utiliser une personne plutôt que des insectes était un changement positif, la plupart étaient d'avis que l'exécution dans ce cas ne fonctionnait pas.
La présentation des publicités a été suivie d'une brève discussion sur le programme. Même si aucun des participants n'en avait entendu parler, selon la description fournie et les concepts qu'ils venaient de voir, la majorité a dit vouloir en apprendre davantage. Les participants ont cependant fait valoir qu'il faudrait leur fournir plus d'information sur les avantages qu'ils pourraient en tirer et préciser certains détails avant que les entreprises décident d'obtenir leur certification.
Deux concepts révisés ont été testés dans deux autres groupes. Il s'agit de ceux-ci :
Les deux concepts ont suscité des avis partagés.
D'après les participants, le concept A – Les castors avait un message clair, mais plusieurs se sont demandé si la partie concernant la « chaîne logistique » était un élément important du message ou si elle rebuterait ceux qui n'y voient aucune pertinence pour eux parce qu'ils n'ont pas de chaîne logistique. De nombreux participants auraient aimé voir plus d'information sur le programme lui-même.
Ceux qui ont été attirés vers ce concept ont aimé la façon dont il communique les notions de « travail d'équipe », d'« interconnexion » et de « quelque chose que l'on construit ». L'idée de confiance, la visibilité du logo et la nature canadienne du castor ont également été mentionnées comme étant des éléments positifs du concept.
Ceux qui n'ont pas aimé le concept ont invoqué l'absence de lien entre le castor et la cybersécurité, avec les gens ou les TI. D'autres l'ont qualifié de « mignon » alors qu'un ton sérieux aurait été plus approprié, compte tenu du sujet.
Le concept B – La chaîne de confiance a également divisé les participants. Ceux en faveur ont mentionné l'image montrant plusieurs personnes qui travaillent ensemble, la visibilité du logo du gouvernement du Canada et la légitimité qu'il confère au programme, et l'accent sur la confiance. L'exécution globale a plu à certains participants qui seraient attirés par ce concept.
Cependant, pour la majorité des participants, le style dessin animé n'a pas atteint sa cible. Ceux qui ne l'ont pas aimé ont expliqué qu'il ne convenait pas, qu'il manquait de sérieux ou qu'il n'était pas représentatif de la cybersécurité. Certains participants étaient également d'avis que ce concept ne s'adressait pas à tous les auditoires cibles ni à toutes les entreprises, mais qu'il plairait surtout aux jeunes ou aux entreprises en démarrage.
Comme nous l'avons constaté dans les groupes de discussion, selon les participants, on peut toujours faire mieux sur le plan de la cybersécurité, peu importe le niveau de préparation.
Les principaux facteurs d'évaluation de la préparation en cybersécurité mentionnés par les participants étaient les suivants :
Durant les entrevues avec les représentants de grandes entreprises du secteur manufacturier et des soins de santé spécialisés, les participants ont discuté de la gestion de la chaîne logistique. Malgré la grande taille de ces entreprises qui leur permettait de disposer des ressources et du personnel nécessaires pour assurer la gestion des TI, de la cybersécurité et de la chaîne logistique, ces deux types d'organisations avaient des approches différentes pour gérer les données.
Alors que les entreprises du secteur de la fabrication ont tendance à gérer elles-mêmes leurs données internes et à en faire une priorité (comparativement aux données provenant de tiers, comme des clients ou des fournisseurs), les organisations du secteur des soins de santé doivent souvent composer avec des données personnelles provenant du grand public, ce qui rend le tout plus complexe et qui requiert une approche plus sophistiquée en matière de sécurité. De plus, en raison de la sensibilité des données qu'elles hébergent et partagent, le niveau d'inquiétude quant à la façon dont les fournisseurs recueillent et gèrent les données est plus élevé.
Alors que pour les entreprises manufacturières, la cybersécurité ne représente pas une considération logistique dans le choix des fournisseurs ni une source de préoccupation constante une fois que la relation avec un fournisseur est établie, pour les entreprises du secteur des soins de santé, le niveau de cybersécurité des fournisseurs est extrêmement important.
Les participants s'entendaient pour dire que le gouvernement du Canada a un rôle à jouer pour soutenir les entreprises afin qu'elles atteignent un niveau de cybersécurité acceptable. Les types de soutien mentionnés pourraient être classés en quatre grandes catégories : éducation et formation, soutien et incitatif, établissement de normes, et mesures additionnelles pour lutter contre les cybercriminels.
Lorsque nous leur avons mentionné que le gouvernement du Canada pourrait exiger des niveaux de cybersécurité, les participants ont bien compris pourquoi. Certains y ont vu des avantages et d'autres, des inquiétudes. La plupart étaient d'avis qu'il faudrait considérer cela comme un système de soutien et non un système punitif. Des participants ont également parlé de la mise en application, alors que d'autres se sont demandé si on imposerait cette exigence à tous les types d'entreprises ou uniquement aux fournisseurs internationaux.
Nous avons présenté aux participants un aperçu du programme et de la certification. Les connaissances étaient modérées, mais l'intérêt était grand. Plusieurs ont parlé de la valeur ajoutée du programme pour leur industrie. Certains ont indiqué qu'ils le suggéreraient à leurs fournisseurs ou au reste de leur industrie. Le programme a généralement été perçu comme étant approprié et assez exhaustif.
Parallèlement, certains participants ont exprimé des inquiétudes. Celles-ci concernaient principalement (le manque de) capacités et d'expertise à l'interne, et les coûts pour combler les lacunes en cybersécurité et obtenir la certification. Certains avaient l'impression qu'il serait difficile d'avoir une norme ou une certification qui serait appropriée pour toutes les industries. Cependant, ceux qui avaient déjà des normes de cybersécurité propres à leur industrie ont mentionné qu'ils seraient disposés à collaborer avec le gouvernement du Canada.
La recherche qualitative vise à obtenir des points de vue et à trouver une orientation plutôt que des mesures qualitatives qu'on peut extrapoler. Le but n'est pas de générer des statistiques, mais d'obtenir l'éventail complet des opinions sur un sujet, comprendre le langage utilisé par les participants, d'évaluer les niveaux de passion et d'engagement, et d'exploiter le pouvoir du groupe pour stimuler les réflexions. Les participants sont encouragés à exprimer leurs opinions, peu importe si ces opinions sont partagées par d'autres.
En raison de la taille de l'échantillon, des méthodes particulières de recrutement utilisées et des objectifs de l'étude eux-mêmes, il est clair que la tâche en question est de nature exploratoire. Les résultats ne peuvent être extrapolés à une plus vaste population, pas plus qu'ils ne visaient à l'être.
Plus particulièrement, il n'est pas approprié de suggérer ni de conclure que quelques (ou de nombreux) utilisateurs du monde réel agiraient d'une façon uniquement parce que quelques (ou de nombreux) participants ont agi de cette façon au cours des séances. Ce genre de projection est strictement l'apanage de la recherche quantitative.
Fournisseur : Le groupe-conseil Quorus Inc.
Numéro de contrat de SPAC : U4408-210641/001/CY
Date d'octroi du contrat : 6 janvier 2021
Valeur du contrat (TVH incluse) : 59 944,96 $
Pour plus d'information, contacter Innovation, Sciences et Développement économique Canada à : IC.PublicOpinionResearch-Recherchesurlopinionpublique.IC@canada.ca
Les cyberattaques peuvent avoir des répercussions directes sur une organisation et ses clients, y compris des pertes financières et une atteinte à la réputation. En devenant cybersécuritaires, les petites et moyennes entreprises (PME) peuvent améliorer leurs pratiques de cybersécurité et ainsi gagner la confiance des clients, protéger leurs données et leurs finances, et renforcer leur avantage concurrentiel.
En réponse aux menaces à la cybersécurité, le budget de 2018 prévoyait la mise en place d'un programme de certification en cybersécurité pour les petites et moyennes entreprises (PME). En partenariat avec le Conseil canadien des normes et le Centre de la sécurité des communications, ISDE a mis sur pied le programme CyberSécuritaire Canada, dont l'objectif consiste à hausser la base de référence en matière de sécurité pour les PME et par conséquent, à accroître la confiance des consommateurs envers l'économie numérique, à promouvoir la normalisation à l'échelle mondiale et à mieux positionner les PME canadiennes afin qu'elles soient plus concurrentielles à l'international.
Le programme CyberSécuritaire permet aux PME de démontrer qu'elles prennent les mesures appropriées pour défendre leurs systèmes, renforcer leur résilience contre les cyberattaques et protéger les renseignements des clients et des fournisseurs. La certification CyberSécuritaire est renouvelable tous les deux ans. Les entreprises certifiées peuvent afficher la marque de certification sur leurs sites Web, la devanture de leur commerce et leur matériel promotionnel.
La campagne est une promotion publicitaire numérique qui vise à encourager les PME à se renseigner sur le programme CyberSécuritaire et à obtenir leur certification. Le site Web CyberSécuritaire Canada (https://www.ic.gc.ca/eic/site/137.nsf/fra/accueil) fournit aux entreprises et aux consommateurs de l'information sur les pratiques exemplaires en matière de cybersécurité et de protection des renseignements des clients et des fournisseurs. Il offre également aux entreprises une vue d'ensemble complète du programme de certification CyberSécuritaire et son fonctionnement, et les invite à s'inscrire au programme en vue d'obtenir leur certification.
Le principal objectif de la campagne numérique est d'accroître la notoriété de la marque et promouvoir le programme CyberSécuritaire Canada et sa marque. L'appel à l'action de la campagne vise les petites et moyennes entreprises et les invite à se rendre sur le site Web (https://www.ic.gc.ca/eic/site/137.nsf/fra/accueil).
Ce projet met l'accent sur la recherche sur l'opinion publique requise pour appuyer la campagne publicitaire de 2020-21 en vue d'atteindre ses objectifs et mieux comprendre comment les entreprises réagissent aux nouvelles exigences en matière de cybersécurité dans le contexte de la pandémie de COVID-19, laquelle a forcé les entreprises à se tourner vers le télétravail et les activités en ligne, en plus de composer avec une augmentation du nombre de cyberattaques.
La première phase de l'étude avait comme principal objectif de tester les concepts et les messages sous-jacents avec des groupes de discussion composés de représentants de PME sur une plateforme en ligne (virtuelle). La recherche avait pour but de recueillir les renseignements suivants :
Au terme du projet, nous avons utilisé ces renseignements pour sélectionner le meilleur concept, les messages et autres éléments à privilégier pour chaque auditoire cible, et déterminer quels étaient les changements à apporter avant la production finale et le placement média.
Au-delà des concepts et des messages testés, nous voulions observer la réaction des entreprises aux exigences en matière de cybersécurité dans le contexte de la pandémie mondiale de COVID-19, de même que l'approche qu'elles privilégient pour atténuer les risques. La pandémie a modifié leurs perceptions et leur état de préparation à la cybersécurité; elles ont besoin de bases solides en cybersécurité pour s'adapter au nouvel environnement numérique. Une recherche antérieure menée pour ISDE avait permis de détecter d'importantes lacunes au niveau des connaissances, des petites entreprises en particulier, mais également des moyennes entreprises, notamment en ce qui concerne la gestion de la chaîne logistique. Nous avons donc testé ce qui suit :
Au terme du projet, ces renseignements permettront d'améliorer les communications, les campagnes de marketing et les efforts de sensibilisation d'ISDE pour appuyer son mandat qui consiste à aider les entreprises et les consommateurs et cela, grâce à une meilleure compréhension des entreprises et de leurs perceptions de la proposition de valeur du programme CyberSécuritaire et du processus de certification.
La deuxième phase de la recherche était axée sur les grandes entreprises, les groupes et les associations de l'industrie. Son objectif consistait à approfondir la discussion sur les thèmes suivants :
Pour nous aider à acquérir une compréhension initiale du contexte dans lequel un programme de certification pourrait être lancé, le thème général de la cybersécurité a été abordé avec les participants. Plusieurs aspects ont été examinés, de la perception des PME quant au niveau de cybersécurité qu'elles ont atteint, à la façon dont elles ont dû s'adapter en raison de la pandémie. Après la discussion, nous avons testé trois concepts publicitaires.
De façon générale, les participants ont décrit la cybersécurité comme étant la « protection de l'information sur Internet », « l'attention portée à ce qui circule dans nos systèmes et à la sécurité de ces interactions ou des communications », « la protection de toutes les ressources numériques » et « la mise en place de mesures de contrôle et de processus pour se défendre contre les attaques potentielles ».
Lorsque nous leur avons demandé jusqu'à quel point leurs entreprises et leurs systèmes étaient « cybersécuritaires », la plupart des participants ont répondu qu'ils se sentaient plutôt bien protégés ou « raisonnablement positifs », et croyaient avoir les bons systèmes, les bonnes procédures et les bonnes technologies en place. Certains participants, principalement ceux qui avaient récemment fait l'objet d'un audit de sécurité ou qui avaient fait des mises à niveau, se sentaient bien protégés. Pour ceux qui se sentaient moins bien protégés, ce sentiment avait moins à voir avec leurs systèmes, et davantage avec l'impression que les niveaux de menaces avaient atteint un sommet dans la dernière année, comparativement à la période prépandémique. Ces participants se sentaient plus vulnérables dans des secteurs qui leur étaient moins familiers ou dans d'autres où ils se sentaient relativement bien protégés dans le passé.
Les participants s'entendaient pour dire qu'il était impossible d'être entièrement protégés et qu'on pouvait toujours faire mieux, et un besoin de continuer à évaluer le niveau de protection et de l'améliorer en tenant compte des nouveaux risques.
Quelques entreprises, surtout celles de petite taille, n'étaient pas certaines de ce qui devrait être mis en place pour assurer leur pleine cybersécurité, ou de ce qui pourrait être fait sans que les coûts soient trop exorbitants.
L'investissement dans la cybersécurité est en grande partie considéré comme un prix à payer qui est acceptable et nécessaire pour faire des affaires, et qui doit constamment figurer dans la colonne des dépenses d'une entreprise. C'est un élément qui est examiné sur une base constante ou régulière, qui attire plus d'attention et d'investissements au fur et à mesure des besoins, que ce soit en raison de nouvelles circonstances (p. ex., le nombre accru d'employés en télétravail), de menaces ou d'atteintes à la sécurité. Certaines grandes entreprises peuvent compter sur du personnel à l'interne pour s'occuper des TI et de la cybersécurité, alors que d'autres font appel à des fournisseurs externes pour remplir ces tâches.
Bien que les cyberattaques provenant de l'extérieur aient pu inquiéter les participants, ceux-ci ont souvent mentionné que leur sentiment de sécurité était directement lié aux comportements de leurs employés, et la confiance qu'ils avaient en ces derniers pour prendre la sécurité au sérieux et respecter toutes les règles et tous les protocoles. Même si certains étaient convaincus que leurs employés ne « cliquaient pas sur tous les liens qu'ils reçoivent » et qu'ils signalaient toutes les menaces ou les atteintes potentielles, d'autres ont indiqué qu'avec les pirates informatiques qui deviennent de plus en plus créatifs et sophistiqués, les risques liés aux comportements humains susceptibles de rendre leur entreprise vulnérable demeurent un sujet d'inquiétude.
Presque tous les participants s'entendaient pour dire que la pandémie avait fait en sorte qu'ils avaient accru leur présence en ligne et dépendaient de plus en plus de l'Internet. La majorité des entreprises se sont adaptées en introduisant ou en augmentant le télétravail, et dépendaient de plus en plus des plateformes de vidéoconférence comme Zoom, Google Meet ou Microsoft Teams. Des participants ont également mentionné que certains employés qui, auparavant, n'avaient jamais été tenus d'utiliser la technologie à ce point, voire pas du tout, comme ceux qui visitaient les lieux de travail ou qui travaillaient dans des entrepôts ou des usines, avaient dû s'adapter à la technologie ou tenter de reproduire des interactions en personne avec des clients ou des fournisseurs, et qu'une formation à la volée était souvent requise.
Certains participants avaient aussi constaté une hausse des activités liées au commerce électronique.
Le simple fait que les gens travaillaient de la maison et utilisaient leur propre connexion Internet plutôt que celle du bureau donnait souvent l'impression d'une cybersécurité et d'un contrôle moindre sur les activités en ligne.
Bon nombre de participants dont les entreprises avaient connu une hausse du télétravail ont indiqué qu'ils avaient déjà mis en place des systèmes et des technologies. Presque tous ceux qui employaient un grand nombre de télétravailleurs ont expliqué qu'ils avaient dû apporter des ajustements afin d'accommoder ces travailleurs, et le faire de façon sécuritaire, notamment :
Certains ont mentionné qu'ils avaient dû offrir une formation additionnelle aux employés en situation de télétravail pour la première fois, dont une formation sur la façon d'assurer sa cybersécurité à la maison. Dans l'ensemble, les participants avaient le sentiment que depuis le début de la pandémie, les employés avaient pris davantage conscience de leurs responsabilités et leurs comportements lorsqu'il s'agit d'utiliser la technologie et les ressources en ligne. Ils ont toutefois admis qu'une formation continue ou des rappels étaient nécessaires.
La majorité des participants croyaient qu'ils avaient fait la transition vers une présence accrue en ligne de façon relativement sécuritaire. Un des plus grands risques demeurait les utilisateurs, souvent leurs propres employés, plutôt que la technologie utilisée, ce qui a mené plusieurs à dire qu'il était important d'offrir au personnel une formation continue dans ce domaine.
Dans presque toutes les séances, un participant a mentionné que depuis le début de la pandémie, son entreprise avait été victime d'une cyberattaque. La plupart des autres ont dit connaître d'autres entreprises qui avaient subi le même sort. Plusieurs ont souligné les coûts importants liés à ces attaques, que ce soit pour effectuer des changements aux systèmes et des mises à niveau après l'incident, ou du nombre d'heures de production perdues en raison de l'attaque. D'autres ont expliqué que leurs systèmes étaient constamment menacés, ou qu'ils avaient constaté une hausse du nombre de pourriels bloqués, mais qu'ils avaient été en mesure de les contenir.
Aucun des participants n'a été étonné d'apprendre que le nombre de cyberattaques avait augmenté depuis le début de la pandémie.
Quelques participants ont expliqué que les clients posaient davantage de questions au sujet de la sécurité des systèmes, mais qu'il ne s'agissait pas d'un sujet récurrent. Encore une fois, seul un petit nombre de participants a mentionné une augmentation du commerce électronique.
Nous avons présenté aux participants trois concepts publicitaires et les avons informés que ceux-ci avaient pour but de promouvoir un programme de certification en cybersécurité destiné aux petites et moyennes entreprises lancé par le gouvernement du Canada. Chaque concept comportait une publicité imprimée, une bannière (en format vidéo) et une courte vidéo en ligne. L'ordre de présentation des trois concepts et la discussion qui a suivi variaient d'une séance à l'autre.
Plusieurs thèmes principaux sont ressortis de toutes les discussions :
Les résultats détaillés pour chacun des concepts publicitaires sont présentés ci-dessous.
Concept publicitaire pour CyberSecure Canada. Le concept est une image d'une tarte. Le concept a une bannière rouge au-dessus indiquant que « se lancer dans la cybersécurité est plus facile que vous ne le pensez ». À côté de la bannière se trouve une tarte divisée en 5 tranches dans une assiette à tarte. Chaque tranche est d'une couleur différente et contient du texte. Une tranche bleue indique plus de confiance, une tranche jaune indique plus de sécurité, une tranche verte indique plus de confiance et une tranche orange indique plus d'opportunités et il y a une tranche manquante et l'assiette à tarte apparaît en rose pâle.
En dessous de ce visuel se trouve la tranche de tarte manquante qui est orange et qui indique la tranquillité d'esprit. Le visuel montre cette tranche servie à deux mains. À côté de l'image de service de la part de tarte se trouve un texte.
En dessous du texte se trouve la marque de certification CyberSecure Canada avec le mot-symbole Canada dans le coin droit et un drapeau canadien au-dessus du dernier « a » du mot Canada.
Seuls les groupes de discussion en anglais ont reçu une image supplémentaire de la façon dont ce concept apparaîtrait sur la page Web de Globe and Mail. Les groupes de discussion comprenaient les régions de Saskatoon/Regina, de Winnipeg, de Calgary/Edmonton, de Toronto, de l'Ontario sans Toronto, du Canada atlantique et de Vancouver.
Dans l'ensemble, ce concept n'a pas été très bien accueilli et s'est classé au dernier rang des trois concepts testés.
Les premières réactions ont souvent révélé que ce concept créait une certaine confusion quant au public cible. Pour de nombreux participants, la publicité ne semblait pas s'adresser aux entreprises, mais plutôt aux consommateurs. L'idée de « commencer » a suscité des réactions chez certains qui ont commenté que si ce concept s'adressait aux entreprises, ce serait pour des entreprises en démarrage ou de jeunes entrepreneurs nouvellement arrivés sur le marché – des entreprises qui n'ont pas encore investi dans la cybersécurité. D'autre part, le sentiment contradictoire était que le look rétro semblait viser davantage une génération plus âgée. Pour certains, la répétition du mot « plus » dans les pointes de tarte donnait l'impression que la publicité était destinée aux entreprises qui ont déjà des mesures en place, mais qui souhaitent ou doivent investir ou en faire « plus » plutôt qu'aux entreprises en démarrage.
Le contenu, qui a plu à certains et qui, pour d'autres, était le seul élément important, a soulevé plus de questions qu'il n'a apporté de réponses, sur la raison d'être de la publicité comme sur le programme de certification. Même si nous leur avons expliqué que la publicité avait pour but d'attirer l'attention et d'inciter les auditeurs à se rendre sur le site Web, le concept a raté la cible puisque, compte tenu de leur première impression, la plupart des participants ne seraient pas tentés d'en savoir plus.
Sur le plan de la créativité, bien que les couleurs vives aient réussi à capter l'attention des participants et que ceux-ci aient trouvé un certain mérite à l'idée de la tarte et de l'information présentée en sections, le concept est tombé à plat. La représentation de la tarte était la principale raison pour laquelle le concept a déplu aux participants en tant que décideurs d'entreprises. Outre l'impression générale selon laquelle la publicité était destinée aux consommateurs, à première vue, certains pourraient présumer qu'elle a quelque chose à voir avec la vente de tartes ou d'autres produits de boulangerie, ou bien une recette, d'où leur manque d'intérêt. Quelques participants ont qualifié l'exécution de maladroite, enfantine ou de style « clipart », loin de l'image professionnelle à laquelle on pourrait s'attendre de la part du gouvernement du Canada. L'exécution a nui au message selon lequel les gens devraient faire confiance à la certification ou au programme et se sentir en sécurité.
Un des messages principaux de cette publicité provenait du titre qui laissait entendre que la cybersécurité est facile (de la tarte), une prémisse qui n'a pas fait l'unanimité. D'autres ont mentionné que le message principal était l'obtention d'une certification et par conséquent, une augmentation du volume d'affaires. De nombreux participants étaient d'avis que le message s'est perdu dans l'exécution quelque peu encombrée et qu'il leur faudrait lire les petits caractères ou la banderole au complet, ou bien regarder la vidéo jusqu'à la fin pour en savoir plus. Bien que dans l'ensemble, les participants étaient d'avis que le texte en petits caractères puisse contenir de l'information utile et intéressante, l'exécution maladroite et le sentiment général selon lequel ils ne porteraient pas beaucoup d'attention au message au-delà du titre ou de la première image, il était peu probable qu'ils se rendent jusqu'au message principal. L'allusion à la « tranquillité d'esprit » a été perçue comme positive et pertinente.
Le logo du gouvernement du Canada a permis à pratiquement tous les participants de comprendre qu'il s'agissait d'une publicité du gouvernement du Canada. Quelques-uns se sont demandé si une tierce partie était impliquée dans la certification parce qu'ils n'ont pas bien compris comment le programme serait déployé.
La plupart ont bien compris que l'appel à l'action était de cliquer sur le lien. Toutefois, en raison de la mauvaise exécution, la majorité des participants ont admis qu'ils n'étaient pas tentés de le faire.
Concept publicitaire pour CyberSecure Canada. Ce concept est celui d'une personne qui monte les escaliers. Le concept a un fond violet et une personne portant un pantalon bleu et chaussure de sport blanche de son pied droit. Cette chaussure blanche a des lacets et écritures disant : "faire confiance", "opportunité à votre portée", "sécuriser votre chaîne d'approvisionnement", « la cybersécurité fonctionne». À droite de la personne qui monte l'escalier se trouve un texte en caractères blancs indiquant Faites le premier pas vers la certification CyberSecuritaire. C'est facile de commencer quand on connaît le chemin.
Sous l'image se trouve un texte supplémentaire pour expliquer le programme qui inclut l'adresse du site Web du programme. En bas à droite, l'annonce montre la marque de certification du programme, un hexagone avec le cadenas CyberSecuritaire Canada au milieu, le nom du programme au-dessus et en dessous du cadenas en français et en anglais, ainsi que la date d'expiration, « CyberSecure, CyberSécuritaire, Exp. 2021 ». Dans le coin inférieur droit se trouve le mot-symbole du gouvernement du Canada.
Seuls les groupes de discussion en anglais ont reçu une image supplémentaire de la façon dont ce concept apparaîtrait sur la page Web de Globe and Mail. Les groupes de discussion comprenaient les régions de Saskatoon/Regina, de Winnipeg, de Calgary/Edmonton, de Toronto, de l'Ontario sans Toronto, du Canada atlantique et de Vancouver.
Ce concept a suscité des réactions variées et s'est classé au deuxième rang. Seulement quelques participants en ont fait leur premier choix. Cependant, comme ce fut le cas pour le concept A, quelques critiques ont été formulées, en particulier pour l'exécution et les perceptions concernant le public cible. De plus, les participants n'ont pas nécessairement compris que la publicité portait sur la certification en cybersécurité; ils ont d'abord cru qu'il s'agissait d'une publicité d'espadrilles ou d'un programme d'emploi, d'un programme communautaire, d'un programme de mise en forme, d'un refuge pour jeunes ou d'un programme collégial.
Certains participants n'avaient pas l'impression d'être ciblés par la publicité, mais que celle-ci s'adressait à un jeune public, comme les étudiants de niveau collégial. Cette impression était attribuable non seulement à l'image de l'espadrille et à l'approche créative dans son ensemble, mais également au message du « premier pas ». Les participants avaient le sentiment qu'on s'adressait aux (petites) entreprises en démarrage qui n'avaient pas encore touché à la cybersécurité, plutôt qu'à des entreprises établies qui étaient depuis longtemps confrontées à cet enjeu. Certains participants ont mentionné que le « premier pas » avait été fait il y a des décennies avec l'arrivée de l'Internet.
D'autres ont cependant compris que le message principal était un encouragement pour les entreprises à faire un premier pas vers la certification (plutôt qu'un premier pas vers la cybersécurité en général). Selon eux, ce message était plus convaincant et plus pertinent que les autres, et les convaincrait d'agir. L'idée que les entreprises devraient poser un geste pour atteindre la cybersécurité plutôt qu'on leur serve sur un plateau d'argent leur a plu. Dans l'ensemble, le texte de la publicité a suscité des réactions favorables, notamment pour ce qui est de l'approche multidimensionnelle utilisée dans la bannière et la vidéo. Cependant, quelques participants avaient toujours l'impression qu'il manquait de l'information, ce qui a semé la confusion dans leur esprit.
L'approche créative a été qualifiée d'accrocheuse et la plupart des participants ont admis qu'elle capterait leur attention. Plusieurs ont eu de la difficulté à lire ce qui était écrit sur l'espadrille; par conséquent, ils ont trouvé que l'image était trop chargée. Étant donné que les messages ont plu, certains ont suggéré de les transmettre d'une autre façon. Quelques participants étaient d'avis que l'approche globale ne reflétait pas la gravité qu'ils associent normalement à la cybersécurité des entreprises.
L'appel à l'action qui les invite à cliquer sur le lien était clair. Toutefois, ce ne sont pas tous les participants qui répondraient à l'appel étant donné qu'ils n'avaient pas l'impression que le programme ou la certification s'adressaient à eux. Par ailleurs, certains ont indiqué que l'information était suffisamment intéressante pour les inciter à aller en ligne pour obtenir des réponses aux questions qu'ils se sont posées en regardant ou en lisant la publicité.
Les participants ont remarqué le logo du gouvernement du Canada logo qui, selon eux, a donné de la crédibilité à la publicité et à la certification. En le voyant, les participants étaient plus réceptifs à l'idée d'obtenir une certification; d'autres ont admis que si ce n'était pas du logo, ils auraient cru que la publicité provenait d'une entreprise privée.
Concept publicitaire pour CyberSecure Canada. Ce concept représente des abeilles sur une ruche d'abeilles. L'annonce a un fond bleu sur la moitié supérieure et la moitié inférieure est verte avec des hexagones blancs . L'annonce a des abeilles sur le côté gauche dans un groupe et un autre groupe d'abeilles sur le côté droit. Au centre, 5 abeilles forment une ligne depuis le groupe d'abeilles vers la gauche et se dirigent vers le nid d'abeilles à droite. Au-dessus de cette ligne d'abeilles se trouve un texte disant « la confiance est essentielle» et au-dessous de la ligne d'abeilles se trouve du texte. En bas de l'image se trouve la marque de certification CyberSecure Canada, un hexagone avec le cadenas CyberSecure Canada au milieu, le nom du programme au-dessus et en dessous du cadenas en français et en anglais et la date d'expiration, « CyberSecure, CyberSécuritaire, Exp. 2021 ». Dans le coin inférieur droit se trouve le mot-symbole du gouvernement du Canada.
Seuls les groupes de discussion en anglais ont reçu une image supplémentaire de la façon dont ce concept apparaîtrait sur la page Web de Globe and Mail. Les groupes de discussion comprenaient les régions de Saskatoon/Regina, de Winnipeg, de Calgary/Edmonton, de Toronto, de l'Ontario sans Toronto, du Canada atlantique et de Vancouver.
Ce concept était de loin le favori parmi les trois présentés, non pas parce qu'il était parfait, mais parce qu'il s'est démarqué des autres concepts, qui étaient plus ou moins réussis. Les principales raisons qui expliquent le choix de ce concept étaient sa plus grande pertinence ou son lien plus direct avec la cybersécurité, et pour l'utilisation du thème de la « confiance ». Ce concept était le plus efficace pour convaincre les participants de cliquer sur le lien pour en apprendre davantage sur la certification.
Ce concept a été le plus souvent perçu comme ciblant un auditoire plus vaste de gens d'affaires, principalement en raison de son ton plus sérieux comparativement aux deux autres. Les participants s'entendaient pour dire que ce concept utilisait un langage qu'ils comprenaient bien et qu'il était moins axé sur les consommateurs.
L'approche créative a été qualifiée d'accrocheuse et de bien exécutée. Le thème des abeilles qui travaillent ensemble, à la chaîne, était clairement véhiculé et avait un lien direct avec le message principal de la publicité. Certains participants ont aussi remarqué les ruches en arrière-plan qui leur ont rappelé les connexions de réseau. Toutefois, certains n'ont pas saisi le lien entre les abeilles et la cybersécurité alors que d'autres qui avaient une aversion pour les insectes ou les abeilles ont suggéré d'utiliser des personnes afin que la publicité soit plus attrayante pour eux.
Quelques participants ont exprimé l'opinion que la vidéo était trop lente à transmettre son message et qu'il serait peu probable qu'ils la regardent jusqu'au bout.
Le message principal de la confiance et que celle-ci « fait toute la différence » a bien été compris et a été considéré comme pertinent dans le contexte de la cybersécurité. L'idée que le lien de confiance pourrait aisément être rompu par un seul maillon faible – que ce soit une abeille ou un membre de l'équipe dans l'entreprise, ou bien une défaillance dans un système des TI – a également trouvé écho auprès des participants. À leur avis, la cybersécurité requiert un réseau solide, qu'il soit interne ou externe, dans toute la chaîne logistique. Ils ont également fait valoir qu'en augmentant sa cybersécurité, une entreprise bâtissait des liens et attirait davantage de clients.
L'appel à l'action qui consiste à se renseigner et à visiter le site Web du gouvernement du Canada pour obtenir sa certification a bien été compris de la majorité des participants. La présence du logo leur a également permis d'identifier le gouvernement du Canada comme commanditaire.
Dans les quatre derniers groupes de discussion, nous avons présenté une variante du concept C (La confiance) après la première version. Nous avons testé uniquement une publicité imprimée qui contenait le même texte que le concept original : seule l'image était différente.
Concept publicitaire pour CyberSecure Canada. L'image représente une scène avec une montagne et une rivière en arrière-plan et un homme portant un équipement de randonnée qui tend la main au premier plan. Un texte Superposé sur l'image ou on peut lire "la confiance est essentielle" au-dessus de la tête de l'homme. À partir du milieu de l'image, un texte plus petit superposé sur un fond jaune avec de faibles contours d'hexagones en blanc, indiquant « Batissez la confiance avec la certification CyberSecuritaire Canada. Les entreprises sont fondées sur les relations. Et les relations solides reposent sur la confiance. Dans un monde en évolution rapide, offrir un environnement cybersécurisé renforce vos liens, protège tous ceux que votre entreprise touche et ouvre la porte à des opportunités.
C'est facile de commencer, nous allons vous montrer comment. Canada.ca/cybersécurité ».
En dessous de l'image se trouve la marque de certification CyberSecuritaire Canada, un hexagone avec le cadenas CyberSecure Canada au milieu, le nom du programme au-dessus et en dessous du cadenas en français et en anglais et la date d'expiration, « CyberSecure, CyberSécuritaire, Exp. 2021 ». Dans le coin inférieur droit se trouve le mot-symbole du gouvernement du Canada.
Ce concept publicitaire alternatif a été produit uniquement en anglais pour les quatre derniers groupes de discussion organisés, notamment les groupes de la région de Saskatoon/Regina, de la région de Winnipeg, de la région de Calgary/Edmonton et de la région de Vancouver.
Le concept révisé a suscité des réactions variées et a été de loin considéré comme moins efficace que la version avec les abeilles.
Les participants qui ont bien accueilli l'idée d'utiliser un humain plutôt que des insectes se sont sentis davantage interpellés par cette image qu'ils ont trouvée plus attrayante. Le message portant sur la confiance a plu, mais certains participants n'ont pas vu immédiatement la main qui se tendait et n'ont donc pu faire le lien entre l'image et le message. D'autres ont mentionné que l'homme ne semblait pas nécessairement avoir besoin d'aide ou d'être dans une position trop précaire. Comme l'ont fait remarquer certains participants – il ne tombe pas d'une falaise périlleuse, il fait seulement une belle randonnée dans un endroit magnifique.
Des participants ont expliqué que l'image leur rappelait davantage une publicité pour le tourisme, avec ses airs de liberté et d'exploration, plutôt qu'une publicité sur la cybersécurité ou sur l'établissement de liens ou de rapports de confiance. Pour cette raison, ils seraient moins tentés de la lire au complet ou d'essayer d'en savoir plus.
Dans certains groupes, nous avons demandé aux participants à quel endroit ISDE devrait diffuser ces publicités pour qu'elles soient vues de leur public cible.
Voici les réponses que nous avons obtenues :
Avant de discuter du programme, nous avons demandé aux participants s'ils se souvenaient avoir vu le nom de celui-ci dans les publicités que nous leur avons présentées. Dans chaque groupe, au moins un participant s'est rappelé l'avoir vu alors que les autres n'étaient pas certains ou donnaient de mauvaises réponses.
La description suivante a été présentée aux participants :
Le programme de certification CyberSécuritaire Canada est un programme à participation volontaire de certification en cybersécurité mis en œuvre par le gouvernement du Canada.
Pour obtenir la certification, les entreprises doivent mettre en place 13 domaines de contrôle de sécurité couvrant un vaste éventail de points vulnérables pour les petites et moyennes entreprises, comme la formation du personnel, la protection des mots de passe, les plans d'intervention en cas d'incident, et plus encore.
Ces domaines de contrôle de sécurité ont été créés par le Centre canadien de la cybersécurité, les experts de la cybersécurité au Canada pour les petites et moyennes entreprises.
Avant de participer à la discussion de groupe, aucune des entreprises ne connaissait le nouveau programme.
Après avoir pris connaissance de la description, presque tous les participants souhaitaient en apprendre davantage sur le programme et bon nombre d'entre eux songeraient à réserver du temps à leur horaire pour obtenir la certification.
Même si la plupart des participants croyaient que la certification serait « bonne pour les affaires » et n'y voyaient que des avantages, ils n'ont pas toujours bien compris ce qu'ils pourraient en tirer et la manière dont leur entreprise en profiterait. Certains se sont demandé si, par exemple, ils pouvaient mentionner le fait qu'ils ont obtenu la certification à leur compagnie d'assurances pour obtenir un rabais sur leur assurance-responsabilité (comme c'est le cas pour quelques certifications internationales). Le fait de pouvoir utiliser le sceau sur le matériel publicitaire a été vu comme un avantage. Des participants étaient d'avis que si toutes choses étaient par ailleurs égales, les entreprises seraient tentées de choisir un partenaire ou un fournisseur qui possède la certification et qui affiche le logo, ce qui leur donnerait une longueur d'avance sur la compétition.
Compte tenu de l'information qui leur a été fournie, les participants ont parfois eu de la difficulté à évaluer comment la certification pourrait améliorer leur cybersécurité. Certains avaient toutefois espoir qu'elle permettrait à tout le moins de déterminer comment rehausser le niveau de cybersécurité ou confirmer qu'ils font déjà tout ce qu'il faut.
Ceux qui ont démontré de l'intérêt pour le programme s'entendaient pour dire que si le processus de certification révélait des problèmes nécessitant des changements pour rehausser le niveau de protection, ils seraient disposés à investir dans des logiciels, du matériel informatique et de la formation. Par contre, quelques participants ont indiqué qu'il y avait des limites aux dépenses qu'ils seraient prêts à faire pour obtenir la certification s'ils avaient le moindre doute qu'ils seraient beaucoup mieux protégés.
La référence au Centre canadien de la cybersécurité a rassuré plusieurs participants qui ont suggéré de l'inclure dans la publicité pour la rendre plus crédible.
Après la première ronde de groupes de discussion, deux autres ont eu lieu (une en anglais et l'autre en français) pour tester deux nouveaux concepts publicitaires créés sur la base des commentaires reçus durant la ronde initiale et la préférence manifestée envers les concepts ayant pour thème « la confiance ». Ceux nouveaux concepts ont été présentés aux participants sous forme de bannières vidéo en ligne. Durant la discussion, nous avons conservé la séquence des images à l'écran pour aider les participants à se rappeler le contenu de chacune dans la bannière vidéo.
Le concept publicitaire pour CyberSecuritaire Canada. Les six bannières sont destinées à être un carrousel publicitaire qui défileraient séquentiellement à travers les bannières. Chaque bannière contient le mot-symbole du gouvernement du Canada en blanc, superposé sur une bande noire au bas de la bannière et un fond vert sur le reste de la bannière avec de faibles contours d'hexagones blancs superposés.
La première bannière a le texte « la confiance est essentielle» en gros caractères.
La deuxième bannière comporte le texte « Construire la confiance avec la certification CyberSecure » sur le côté gauche, la marque de certification au milieu et une image d'un castor construisant un barrage sur le côté droit. La marque de certification est un hexagone avec le cadenas CyberSecure Canada au milieu, le nom du programme au-dessus et en dessous du cadenas en français et en anglais et la date d'expiration. Le texte de la marque est « CyberSecure, CyberSécuritaire, Exp. 2021 ».
La troisième bannière a le texte suivant « Les entreprises sont fondées sur des relations » sur le côté gauche. Sur le côté droit se trouve une image de deux castors construisant un barrage ensemble.
La quatrième bannière comporte le texte « Et des relations solides reposent sur la confiance » sur le côté gauche. Sur le côté droit se trouve une image de trois castors construisant un barrage ensemble.
La cinquième bannière porte le texte « Sécurisez votre chaîne d'approvisionnement avec la certification CyberSecuritaire Canada ».
La sixième bannière comporte le texte « Prêt à commencer ? Nous allons vous montrer comment » sur le côté gauche avec la marque de certification dans le coin inférieur gauche et une image d'un seul castor sur le côté droit.
Ce concept a suscité des réactions diverses.
De façon générale, les participants ont bien compris le message, mais se sont posé des questions sur les étapes à suivre pour obtenir la certification. Certains croyaient qu'il s'agissait d'un cours alors que d'autres étaient incertains. Toutefois, la plupart ont compris qu'ils pouvaient obtenir plus d'information en ligne sur le programme et obtenir des réponses à leurs questions.
Il y a eu des discussions à savoir si la référence à la chaîne logistique (image 5) était pertinente pour tous ou s'il s'agissait d'un élément essentiel. Certains étaient d'avis que cela pourrait démotiver ceux qui n'ont pas de chaîne logistique ou qui estiment qu'il n'est pas important pour leur entreprise d'en avoir une, et que cette image pourrait être mieux utilisée pour fournir un peu plus d'information sur le programme lui-même. Par exemple, certains participants ont fait valoir que les entreprises peuvent uniquement se protéger elles-mêmes et contrôler les comportements de leurs employés, et qu'elles n'ont aucune influence sur les autres éléments de la chaîne logistique – sauf si une certification devient obligatoire. D'autres ont dit ne pas avoir remarqué cette référence, mais que cela ne les empêchait pas de comprendre le message ou l'appel à l'action pour obtenir plus d'information.
Ceux qui ont aimé ce concept ont souligné ce qui suit :
Ceux qui n'ont pas aimé ce concept ont fourni les raisons suivantes :
Les participants ont fait les suggestions suivantes :
Le concept publicitaire pour CyberSecure Canada. Les sept bannières sont destinées à être un carrousel publicitaire qui defileraient séquentiellement à travers les bannières. Chaque bannière contient une bannière contenant le mot-symbole du gouvernement du Canada en blanc, superposé sur une bande noire au bas de la bannière et un arrière-plan bleu de style bande dessinée sur le reste de la bannière.
La première bannière a le texte « la confiance est essentielle » en grande police jaune de style bande dessinée.
La deuxième bannière comporte le texte « Bâtir la confiance avec la certification CyberSecuritaire » entourant une image d'une femme de bande dessinée vêtue d'une chemise blanche à manches longues avec un masque blanc.
Ce concept a également obtenu des réactions diverses, notamment en raison de son exécution.
Ceux qui l'ont aimé ont mentionné ce qui suit :
Ceux qui n'ont pas aimé le concept ont donné les raisons suivantes :
Plusieurs améliorations ont été suggérées, notamment :
Pour cette phase de la recherche, nous avons fait appel à deux groupes de parties intéressées et leur avons présenté deux séries de questions différentes. Les participants qui représentaient des groupes ou des associations de l'industrie ont été interrogés sur l'importance de la cybersécurité pour leur industrie en général, l'impact de la pandémie, l'état de préparation de l'industrie et ce qui devait se produire pour que l'industrie s'améliore sur ce plan. Les participants qui représentaient les entreprises du secteur privé disposant de chaînes logistiques importantes ont été interrogés au sujet de leur état de préparation en matière de cybersécurité, de l'impact de la pandémie, et ont dû répondre à diverses questions sur l'approvisionnement et leur opinion de l'état de préparation de leur chaîne logistique en matière de cybersécurité.
Dans les deux groupes, nous avons demandé aux participants quel était selon eux le rôle du gouvernement du Canada; les représentants de l'industrie devaient se concentrer sur le segment vertical de leur industrie en général, et les participants du secteur privé, sur leur chaîne logistique en particulier.
En dernier lieu, nous avons fourni aux participants un aperçu du programme CyberSécuritaire Canada et leur avons demandé s'ils en avaient déjà entendu parler et ce qu'ils en pensaient. Les représentants de l'industrie étaient également invités à nous dire si ce type de programme leur serait utile et s'il serait utilisé dans leur industrie, s'il aurait un impact sur leur état de préparation en matière de cybersécurité, les obstacles qui les empêcheraient de s'inscrire au programme, et le rôle du gouvernement du Canada en lien avec ce programme. Nous avons posé des questions similaires aux participants du secteur privé, en leur demandant de se concentrer sur leur chaîne logistique.
En ce qui a trait à la préparation en matière de cybersécurité, peu d'entreprises avaient l'impression d'être entièrement protégées ou que les entreprises de leur industrie le sont. Tous s'entendaient pour dire qu'au moins une partie de leur approche ou de leur système pouvait être améliorée. Même les entreprises les plus sophistiquées ont hésité à se donner une note parfaite sur ce plan.
La présente recherche a révélé que les entreprises des différentes industries couvraient tout l'éventail de la préparation à la cybersécurité – certaines semblaient faire mieux que d'autres.
La recherche a également fait ressortir plusieurs facteurs qui contribuent à l'état de préparation à la cybersécurité, notamment ceux-ci :
Le lien entre l'intensité des données et la préparation en matière de cybersécurité n'est pas parfait et on remarque un paradoxe intéressant dans certaines industries. Certaines entreprises ne considèrent pas que les données qu'elles possèdent, gèrent ou produisent sont « délicates » de nature et par conséquent, elles ne font pas de la cybersécurité une priorité absolue. De plus, un représentant d'industrie a expliqué que les entreprises dans son secteur (professionnels de la santé) géraient des volumes importants de données personnelles, mais il considérait que le niveau de préparation en matière de cybersécurité était relativement bas. Pour cette industrie en particulier, les propriétaires et les exploitants ne sont pas négligents, non plus qu'ils ne sous-estiment l'importance des données qu'ils gèrent – en fait, ils accordent une grande importance à la protection de la vie privée. Cependant, d'autres activités, comme la prestation de soins (« prendre soin de leurs patients ») l'emportent et d'autres facteurs, décrits ci-dessous, les empêchent de protéger complètement ces données.
Il semble que la pandémie ait eu des répercussions variées sur les diverses industries qui ont participé à la première phase de la recherche. Dans plusieurs cas, elle a entraîné le recours à la technologie et forcé de nombreuses entreprises à utiliser celle-ci comme elles ne l'avaient jamais fait auparavant (p. ex., soins virtuels pour les professionnels de la santé, télétravail, nouveaux systèmes en ligne pour le commerce électronique). Certaines de ces initiatives ont été mises en œuvre de façon sécuritaire et d'autres, de manière disparate.
La pandémie a également forcé les entreprises à concentrer toutes leurs énergies à maintenir leurs activités et à demeurer prospères, reléguant ainsi la gestion ou la mise à niveau des systèmes informatiques à l'arrière-plan à court terme. Cela étant dit, la nécessité de déployer de nouveaux systèmes, comme ceux liés au commerce électronique, a mis la question de la cybersécurité à l'avant-plan pour certains qui ont été forcés d'accomplir en quelques mois ce que d'autres avaient pris des années à réaliser.
Les discussions avec les représentants de grandes entreprises ont révélé deux approches relativement différentes sur le plan de la gestion de la chaîne logistique dans le contexte de la cybersécurité. Ces discussions n'avaient pas pour but de révéler une approche commune à toutes les entreprises canadiennes, mais plutôt de découvrir l'éventail de perspectives et de priorités sur le plan de la gestion de la chaîne logistique et de la cybersécurité.
Les approches pour chaque type d'entreprise sont résumées ci-dessous :
| Fabrication | Soins de santé spécialisés |
|---|---|
|
Possède des ressources et des employés dédiés aux TI et à la gestion de la chaîne logistique. |
Possède des ressources et des employés dédiés aux TI et à la gestion de la chaîne logistique. |
| Fabrication | Soins de santé spécialisés |
|---|---|
|
Types de données hébergées : procédés de fabrication, données opérationnelles, données sur le personnel, données sur les fournisseurs, données sur les clients. L'entreprise voit son approche en matière de gestion des données comme se limitant à ses propres données. Sa priorité est sur les données qu'elle héberge, sans se préoccuper des données gérées par les fournisseurs ou la façon dont elles sont gérées. Elle ne voit pas une vulnérabilité dans sa chaîne logistique comme une vulnérabilité pour son propre niveau de cybersécurité. Elle ne sait pas exactement comment sa chaîne logistique s'est adaptée durant la pandémie ou son degré de résilience. Elle ignore également si la pandémie a exposé ou introduit des vulnérabilités ou des défis sur le plan de la cybersécurité parmi ses fournisseurs, lesquelles ont également eu des répercussions sur son entreprise. |
Types de données hébergées : données opérationnelles, données sur le personnel, données sur les fournisseurs, données sur les clients. L'entreprise considère son infrastructure de données comme complexe et nécessitant des systèmes et des procédés sophistiqués pour assurer une protection continue et l'intégrité de ces données. Elle recueille et héberge un volume important de données personnelles du grand public et par conséquent, prend les mesures qui s'imposent pour protéger au maximum ces données de toutes les perspectives possibles, y compris la façon dont les fournisseurs recueillent et gèrent leurs données. Elle considère que ses fournisseurs font partie intégrante de son plan et sa stratégie de gestion des données. Dans le même ordre d'idées, son sentiment d'être « entièrement protégé » tient compte de la chaîne logistique. En fait, pour cette entreprise, la plus grande source d'inquiétude est l'intégrité de sa chaîne logistique. Elle est assez convaincue de bien comprendre à quel point la pandémie a eu un impact ou non sur sa chaîne logistique. Elle a le sentiment que même si cette dernière n'a pas été imperméable aux cyberattaques qui se sont multipliées durant la pandémie, elle est demeurée passablement résiliente. |
| Fabrication | Soins de santé spécialisés |
|---|---|
|
La cybersécurité n'est pas un facteur dans le choix d'un fournisseur non plus qu'elle n'est une préoccupation constante une fois la relation établie avec celui-ci. Les fournisseurs ne sont pas tenus de fournir de l'information sur l'intégrité de leurs systèmes de TI, leurs procédés ou les balises qu'ils ont mis en place pour assurer leur cybersécurité. Même si elle voulait commencer à le faire, l'entreprise ne saurait pas quels renseignements demander. Étant donné que bon nombre de ses fournisseurs sont à l'international, elle ne sait pas comment elle pourrait vérifier ou renforcer les exigences relatives à la cybersécurité. La discussion sur les vulnérabilités de la chaîne logistique a semblé faire réfléchir ce participant à l'importance d'examiner de plus près en quoi les vulnérabilités de sa chaîne logistique en matière de cybersécurité pourrait influencer ses propres opérations et d'intégrer cela à sa stratégie de gestion des risques. |
Le niveau de cybersécurité des fournisseurs est intégré au processus d'approvisionnement et dans certains cas, influe sur le choix des fournisseurs. Il peut arriver que des chargés de projets favorisent des fournisseurs, peu importe leur niveau de cybersécurité, ce qui exerce une certaine pression sur la logistique. Lorsqu'un fournisseur est choisi, sans égard au niveau de cybersécurité, des efforts sont déployés après-coup pour vérifier et maximiser son niveau de cybersécurité. L'entreprise a développé son propre processus d'audit ou de vérification auxquels doivent se soumettre les fournisseurs. Durant ce processus, des indicateurs et des rapports sont recueillis pour établir le niveau de cybersécurité des fournisseurs. On s'assure ainsi de la cohérence de l'information recueillie auprès de ces derniers. Bien que ce processus soit rigoureux et étroitement suivi, il n'y a aucune inspection sur place ni aucune vérification à distance des systèmes des fournisseurs. Par conséquent, en l'absence de rapports normalisés et reconnus par l'industrie pour les TI, l'entreprise peut uniquement se fier à ce que ses fournisseurs font et à ce qu'ils affirment au sujet de leur niveau de cybersécurité. |
Les participants se sont entendus pour dire que le gouvernement du Canada et, dans certains cas, le gouvernement provincial, avaient un rôle à jouer pour aider les petites et moyennes entreprises à devenir cybersécuritaires, notamment en faisant ce qui suit :
Aucun des participants n'a suggéré que le gouvernement du Canada rende obligatoire pour les entreprises d'avoir un certain niveau de cybersécurité ou de démontrer une diligence raisonnable. Lorsque nous leur avons demandé si cette approche était envisageable, les participants ont émis des opinions variées; ils ont mentionné quelques avantages, mais également des préoccupations.
Conscients que la cybersécurité est un enjeu qui a pris de l'ampleur durant la pandémie, les participants étaient favorables à tout effort visant à améliorer le rendement des petites et moyennes entreprises canadiennes à ce chapitre. La raison pour cette exigence est facile à comprendre et, à plusieurs égards, justifiée. Ceux qui disposent de chaînes logistiques importantes ont également fait valoir qu'une telle exigence leur faciliterait la tâche pour évaluer le niveau de cybersécurité de leurs fournisseurs et rehausser leur confiance envers la chaîne logistique.
Dans la mesure où les représentants de l'industrie et les entreprises qui peuvent compter sur d'importantes chaînes logistiques ont bien accueilli l'idée de rendre obligatoire un certain niveau de cybersécurité pour les entreprises, tous les participants ont également exprimé des inquiétudes face à cette approche. Premièrement, ils souhaiteraient que cette exigence soit considérée comme un soutien plutôt qu'une punition ou un fardeau supplémentaire. Ils ont expliqué que le gouvernement ne pouvait pas rendre cette mesure obligatoire sans offrir un soutien financier aux entreprises. Les préoccupations visaient principalement les petites entreprises, dont bon nombre n'ont pas les mêmes types de ressources que les moyennes et grandes entreprises pour surveiller leurs systèmes informatiques.
Certains se sont aussi demandé comment cette exigence serait mise en application. Ils s'inquiétaient qu'à elle seule, la surveillance soit trop fastidieuse pour le gouvernement et s'entendaient pour dire qu'une telle exigence pourrait, à certains égards, mener à une surveillance excessive du secteur privé de la part du gouvernement. D'autres étaient d'avis que ce genre d'obligation ne devrait pas s'appliquer à tous les types d'entreprises, mais uniquement à celles qui recueillent ou gèrent un certain volume ou certains types de données.
Quelques participants se sont demandé comment une telle exigence pourrait s'appliquer aux fournisseurs internationaux. Certains ont exprimé des doutes quant à la capacité du gouvernement du Canada à imposer une telle exigence aux entreprises étrangères. Même s'il y parvenait, plusieurs s'inquiétaient que cela dissuade les fournisseurs internationaux à transiger avec des acheteurs canadiens. Bien que ces fournisseurs soient très importants pour les entreprises canadiennes, à l'échelle mondiale, celles-ci ne représentent pas nécessairement une proportion importante des revenus des fournisseurs qui n'hésiteraient pas à abandonner ces relations en cas d'exigences excessives. Finalement, certains participants craignaient que cette obligation nuise à la compétitivité des entreprises canadiennes à l'international en augmentant leurs coûts d'exploitation.
Nous avons fourni à chaque participant l'information suivante au sujet du programme :
Le programme CyberSécuritaire permet aux PME de démontrer qu'elles prennent les mesures nécessaires pour protéger leurs systèmes, se mettre à l'abri des cyberattaques et protéger les renseignements concernant les clients et les fournisseurs.
Pour être admissible à la certification, l'organisation doit revoir et appliquer les 13 contrôles de sécurité établis par le Centre canadien pour la cybersécurité :
Un organisme de certification (agréé par le Conseil canadien des normes) évaluera la mise en œuvre des 13 contrôles de sécurité. L'organisme discutera avec l'organisation pour :
Lorsqu'une entreprise obtient la certification CyberSécuritaire, elle est certifiée pour une période de deux ans et elle peut afficher la marque de certification sur son site Web, sa devanture et son matériel promotionnel.
Les participants étaient modérément au courant du programme. Une des associations de l'industrie qui connaissait bien le programme l'avait découvert pendant qu'elle développait le programme d'accréditation pour son propre groupe.
L'aperçu du programme a suscité beaucoup d'intérêt chez les participants. Les représentants de l'industrie avaient le sentiment qu'un programme de certification comme celui-là serait profitable pour leurs « membres » et l'ensemble de l'industrie. lls n'hésiteraient pas à en faire la promotion pour inciter les membres à s'inscrire. Le représentant d'une association de recherche marketing qui avait développé un programme d'accréditation pour ses membres était désireux de trouver une façon d'effectuer un audit de ses membres par l'entremise d'un tiers. Le processus d'audit irait au-delà des systèmes informatiques et du niveau de cybersécurité des membres, mais si l'un d'eux obtenait sa certification, cela simplifierait le processus d'audit pour ce dernier. De plus, le programme pourrait sembler davantage à la portée des membres, compte tenu des coûts élevés associés à d'autres types de certification (comme ISO).
Les participants qui pouvaient compter sur de grandes chaînes logistiques s'entendaient également pour dire que ce type de programme aurait une influence positive. Bien qu'ils n'exigeraient peut-être pas de leurs fournisseurs qu'ils soient certifiés, ils leur recommanderaient sans doute le programme.
Les participants ont jugé que le programme était suffisamment complet et approprié pour une certification en cybersécurité. Le représentant de l'entreprise spécialisée en soins de santé disposant d'une chaîne logistique importante était d'avis que la certification correspondait très bien à ce qu'il recherchait pour évaluer le niveau de cybersécurité de ses fournisseurs.
Quelques participants ont exprimé des inquiétudes envers le programme, lesquelles reflétaient largement celles émises précédemment au sujet des défis que doivent affronter les entreprises en matière de cybersécurité. Peu d'entre eux auraient l'expertise interne requise pour entreprendre les démarches en vue d'obtenir ce type de certification. Les participants s'entendaient également pour dire que les entreprises n'étaient pas suffisamment familiarisées avec les concepts décrits dans l'aperçu, sans compter les exigences technologiques requises pour remplir les conditions de la certification. Finalement, même s'ils s'engageaient dans le processus de certification pour cerner leurs plus importantes lacunes, ils n'étaient pas convaincus que les entreprises de leur industrie seraient en mesure de payer pour l'infrastructure requise. Certains soupçonnaient que les lacunes étaient importantes pour bon nombre d'entreprises de leur industrie et que les recommandations formulées seraient accablantes et trop coûteuses à mettre en application.
Quelques représentants du groupe de l'industrie ont mentionné que des programmes ou des processus d'audit en matière de cybersécurité étaient déjà en place dans leur organisation. Après avoir pris connaissance de l'aperçu, ils ont conclu que le programme fédéral serait un bon complément et qu'il leur permettrait sans doute d'obtenir les résultats qu'ils recherchent à travers leurs propres initiatives. Cela étant dit, les groupes de l'industrie accueilleraient favorablement l'occasion de collaborer avec le gouvernement fédéral pour s'assurer que les exigences de certification tiennent compte des besoins particuliers de leurs industries respectives. Quelques participants étaient d'avis que tout effort pour trouver une solution universelle ne répondrait pas aux besoins particuliers de chacun.
Un participant s'inquiétait que l'objectif du programme, qui vise les petites et moyennes entreprises, pourrait suggérer que la certification est « allégée » ou simplifiée pour répondre aux besoins des plus petites entreprises canadiennes. Il a ajouté que si les grandes entreprises étaient elles aussi certifiées, cela conférerait beaucoup de crédibilité au programme et à la certification qui en résulte.
En dernier lieu, certains ont dit souhaiter que la certification ne devienne pas une activité unique ou « à cocher » sur la liste. Ils ont suggéré d'intégrer une formation continue, un engagement et un renouvellement de la certification au processus, de manière à garantir la réussite du programme à long terme.
La méthodologie de recherche consistait en dix groupes de discussion en ligne et six entrevues individuelles sur le Web. Les groupes de discussion étaient composés de représentants de petites et moyennes entreprises (PME) canadiennes, avec un accent sur celles qui comptent un plus grand nombre d'employés (40 et plus). Les séances ont eu lieu partout au pays, dans de moyennes et grandes villes ainsi que des régions rurales et éloignées. Des entrevues individuelles sur le Web ont été organisées avec un éventail de grandes entreprises et de groupes et d'associations de l'industrie (p. ex., des associations professionnelles ou de gens d'affaires).
Quorus était responsable de coordonner tous les aspects du projet de recherche, y compris de collaborer avec ISDE pour la conception et la traduction du questionnaire de recrutement, des courriels d'invitation et des guides de l'animateur, de recruter les participants, de gérer la plateforme pour les entrevues en ligne et la logistique associée, d'animer toutes les séances et diriger les entrevues, et de livrer tous les rapports exigés au terme de la collecte de données. La méthodologie de recherche est décrite plus en détail ci-dessous.
La recherche a été menée avec deux larges segments du milieu des affaires :
Pour ce segment, nous avons fait de notre mieux pour recruter des participants provenant des groupes démographiques suivants :
En plus des critères généraux susmentionnés, d'autres mesures ont été utilisées pour recruter des participants de qualité :
Deuxième groupe cible : Nous avons recruté les participants à partir d'une liste remise à Quorus par ISDE, laquelle incluait le nom de l'organisation ou de l'entreprise, le nom d'une personne-ressource, un numéro de téléphone et/ou une adresse de courriel. Nous avons obtenu les coordonnées d'autres participants par l'entremise d'associations contactées par des consultants de Quorus. Pour s'assurer qu'elles étaient admissibles à participer à cette phase de l'étude, toutes les organisations ont été approuvées par ISDE avant d'être contactées.
La collecte de données a été effectuée exclusivement durant les discussions de groupes en ligne et les entrevues individuelles sur le Web. La durée des séances était comme suit :
Les participants du premier groupe cible ont été sélectionnés par Quorus au téléphone; nous en avons recruté six pour nous assurer de la présence de quatre à six dans chaque groupe. Le choix des participants a été effectué par une combinaison d'appels téléphoniques aléatoires et le recours à une base de données exclusive. Ces candidats ont été recrutés à l'aide d'un questionnaire pour s'assurer qu'ils répondaient aux critères établis pour cette étude.
Le recrutement pour le deuxième groupe cible a été effectué exclusivement à partir des listes fournies par ISDE, par les consultants de Quorus, avec le soutien du personnel d'ISDE qui entretenaient déjà des relations de travail avec certains des candidats visés par cette étude. Ces personnes ont été informées par ISDE avant le début du projet qu'elles seraient contactées par un consultant de Quorus pour une entrevue.
Le recrutement des participants pour les groupes de discussion et les entrevues en profondeur a été fait conformément aux règles de sélection, de recrutement et de protection de la vie privée établies dans les Normes pour la recherche sur l'opinion publique effectuée par le gouvernement du Canada – Recherche qualitative. Les exigences suivantes ont également été respectées :
À l'étape du recrutement et au début de chaque groupe de discussion, nous avons informé les participants que cette recherche se faisait pour le compte du gouvernement du Canada /ISDE. Nous avons aussi informé les participants que les séances seraient enregistrées et que des observateurs du gouvernement du Canada et ISDE seraient présents. Quorus s'est assuré d'obtenir le consentement préalable des participants lors de l'étape du recrutement ainsi qu'au début de chaque séance de discussion.
Tous les groupes de discussion en ligne ont eu lieu en soirée, après les heures normales de bureau, alors que les entrevues individuelles se sont déroulées durant les heures normales de bureau ou en soirée (selon les disponibilités et les préférences des participants). L'équipe de recherche a utilisé la plateforme Zoom pour héberger et enregistrer les séances (avec des microphones et des webcams connectés aux appareils électroniques de l'animateur et des participants, tels qu'ordinateurs portables et tablettes) pour permettre à nos clients d'observer les échanges à distance.
La recherche comportait deux phases :
Phase 1 – Groupes de discussion en ligne
Au total, il y avait dix séances de discussion de groupes divisées en deux étapes :
Les renseignements au sujet de ces groupes sont présentés ci-dessous.
|
Ville |
Segment |
Langue |
Nombre de participants |
Date et heure |
Prime |
|---|---|---|---|---|---|
|
Phase 1 – Étape 1 (travail préparatoire) |
|||||
|
Région de Toronto |
PME |
Anglais |
5 |
25 janvier 17 h 30 |
200 $ |
|
Ontario, à l'exception de Toronto |
PME |
Anglais |
5 |
25 janvier 19 h 30 |
200 $ |
|
Canada atlantique |
PME |
Anglais |
6 |
26 janvier 17 h 30 |
200 $ |
|
Région de Montréal |
PME |
Français |
6 |
26 janvier 19 h 30 |
200 $ |
|
Saskatoon/ Regina |
PME |
Anglais |
6 |
27 janvier 18 h 30 |
200 $ |
|
Région de Winnipeg |
PME |
Anglais |
6 |
27 janvier 20 h 30 |
200 $ |
|
Calgary/ Edmonton |
PME |
Anglais |
6 |
28 janvier 19 h 30 |
200 $ |
|
Région de Vancouver |
PME |
Anglais |
4 |
28 janvier 21 h 30 |
200 $ |
|
Phase 1 – Étape 2 (vérification du succès) |
|||||
|
Québec/Nouveau-Brunswick/Ontario |
PME |
Français |
5 |
16 février 17 h 30 |
200 $ |
|
Manitoba/ Saskatchewan/Alberta |
PME |
Anglais |
5 |
16 février 19 h |
200 $ |
Au total, six entrevues individuelles sur le Web ont été réalisées avec des participants du deuxième groupe cible, dans la langue officielle choisie par ceux-ci.
Les renseignements au sujet des séances sont présentés ci-dessous :
| Entrevue | Langue | Date et heure | Prime |
|---|---|---|---|
|
Entrevue 1 : secteur privé |
Anglais |
22 avril à 10 h 30 |
250 $ |
|
Entrevue 2 : association ou organisation professionnelle de l'industrie |
Anglais |
6 mai à 10 h |
250 $ |
|
Entrevue 3 : association ou organisation professionnelle de l'industrie |
Bilingue |
10 mai à 13 h |
250 $ |
|
Entrevue 4 : association ou organisation professionnelle de l'industrie |
Anglais |
11 mai à 11 h |
250 $ |
|
Entrevue 5 : association ou organisation professionnelle de l'industrie |
Anglais |
12 mai à 8 h |
250 $ |
|
Entrevue 6 : secteur privé |
Anglais |
26 mai à 11 h |
250 $ |
Groupes de discussion en ligne
(A = anglais; F = français)
Groupe 1 : Toronto et régions avoisinantes (A); 25 janvier, 17 h 30 HNE
Groupe 2 : Centres urbains de l'Ontario autres que Toronto (A); 25 janvier, 19 h 30 HNE
Groupe 3 : Canada atlantique (mélange des 4 provinces) (A); 26 janvier, 17 h 30 HNM
Groupe 4 : Montréal et régions avoisinantes (F); 26 janvier, 19 h 30 HNE
Groupe 5 : Saskatoon/Regina et régions avoisinantes (A); 27 janvier, 17 h 30 HNC
Groupe 6 : Winnipeg et régions avoisinantes (A); 27 janvier, 19 h 30 HNC
Groupe 7 : Calgary/Edmonton et régions avoisinantes (A); 28 janvier, 17 h 30 HNR
Groupe 8 : Vancouver et régions avoisinantes (A); 28 janvier, 18 h 30 HNP
Groupe 9 : Québec/Nouveau-Brunswick/Ontario (F); 16 février, 17 h 30 HNE
Groupe 10 : Manitoba/ Saskatchewan/Alberta (A); 16 février, 19 h 00 HNE
Détails :
Sélectionner 6 participants pour s'assurer de la présence de 4 à 6 d'entre eux
Incitatif : 200 $
Séances de 90 minutes
Les PME canadiennes et les organismes sans but lucratif, avec l'accent sur les petites organisations de plus grande taille (qui comptent 40 employés et plus). Dans ce groupe, la recherche ciblera un sous-segment d'entreprises d'intérêt pour ISED, y compris des entreprises de chaîne d'approvisionnement, du secteur manufacturier et celles qui ont adopté un modèle numérique en ligne durant la pandémie. Dans chaque organisation, la recherche ciblera un décideur en matière de cybersécurité ou une personne qui joue un rôle de premier plan dans les opérations quotidiennes et la direction de l'entreprise.
Dans ce segment, la recherche tiendra également compte, dans la mesure du possible, des groupes démographiques suivants dans ses efforts de recrutement. Toutefois, compte tenu de l'échéancier du projet, leur représentation ne peut être garantie.
Bonjour. Je m'appelle ________________et je téléphone du groupe-conseil Quorus, une firme canadienne de recherche sur l'opinion publique, au nom du gouvernement du Canada.
Préférez-vous continuer en anglais ou en français ? / Would you prefer to continue in English or French?
[Note pour l'intervieweur : Pour les discussions ou les entrevues en anglais, si le participant préfère continuer en français, répondre : « Malheureusement, nous recherchons des gens qui parlent anglais pour participer à cette recherche. Nous vous remercions de votre intérêt. » Pour les discussions ou les entrevues en français, si le participant préfère continuer en anglais, répondre : « Unfortunately, we are looking for people who speak French to participate in this research. We thank you for your interest. »]
De temps à autre, nous sollicitons des opinions en discutant avec des gens. Nous nous apprêtons à mener plusieurs discussions pour le gouvernement du Canada. J'aimerais m'entretenir avec la personne dans votre organisation qui joue un rôle de premier plan dans les opérations courantes et la direction de l'entreprise, et qui connaît bien ses systèmes de TI et les pratiques de gestion des données. Est-ce que la personne qui répond à ces critères est disponible pour discuter avec moi ? Il pourrait s'agir du propriétaire ou du président de l'entreprise, ou encore de la personne responsable des TI.
Une fois que la bonne personne est au bout du fil, répéter l'introduction, au besoin et continuer.
Nous vous téléphonons aujourd'hui pour vous inviter à une séance de recherche où vous pourrez partager vos commentaires sur les opportunités qui s'offrent à votre entreprise et les défis qu'elle doit affronter, et sur le rôle que devrait jouer le gouvernement du Canada, selon vous, en rapport avec ceux-ci.
D'autres décideurs de petites et moyennes entreprises canadiennes participeront à ce projet de recherche. Pour la discussion, nous n'utiliserons que les prénoms des participants. Personne, y compris le gouvernement du Canada, ne saura quelles sont les entreprises représentées. En guise de remerciement, les participants recevront une prime en argent.
La participation est strictement volontaire. Toutes les opinions demeureront anonymes et elles serviront uniquement aux fins de la recherche, conformément aux lois visant à pour protéger votre vie privée. Nous voulons simplement entendre vos opinions. Personne ne tentera de vous vendre quoi que ce soit. La discussion prendra la forme d'une discussion en ligne menée par un professionnel de la recherche.
La protection de la santé et de la prospérité économique des Canadiens en période de pandémie de COVID-19 est une priorité du gouvernement du Canada. Les résultats de sondages comme celui-ci lui permettront au gouvernement canadien de continuer à remplir son mandat et améliorer son travail.
[Note pour l'intervieweur : Si on vous questionne au sujet des lois sur la protection des renseignements personnels, dites : « Les renseignements recueillis durant la recherche sont régis par les dispositions de la Loi sur la protection des renseignements personnels, les lois du gouvernement du Canada et les lois provinciales en matière de protection des renseignements personnels. »]
Avant de vous inviter à participer, j'aimerais vous poser quelques questions pour m'assurer qu'une bonne variété d'entreprises soit représentée. Cela ne prendra que 5 minutes. Si vous hésitez, je tiens à souligner que toutes mes questions concernent les activités de votre entreprise au Canada. Puis-je vous poser quelques questions?
Au besoin : Dans toute entreprise, les risques et les défis associés à l'utilisation des technologies numériques (par exemple, lorsqu'un ordinateur est connecté à Internet) sont nombreux lorsqu'il s'agit de gérer la sécurité et la confidentialité des données. Comment évaluez-vous votre niveau de familiarité à l'égard de ces risques et de ces défis ?
Si a répondu pas très familier ou pas du tout familier, demander : Puisque ce sera un des thèmes de la discussion, y a-t-il quelqu'un d'autre dans votre entreprise qui connaîtrait mieux ces enjeux ?
*Source : Enquête Canadienne sur l'incapacité de 2017
Note 1 : Recruter une bonne variété de participants parmi tous les groupes.
Note 2 : Ne pas lire : Genre – Confirmer le genre actuel, qui pourrait être différent de celui à la naissance (masculin ou féminin) ou de celui qui figure sur les documents juridiques.
J'aimerais vous inviter à participer à une discussion de groupe en ligne dirigée par un expert-conseil d'une entreprise canadienne de recherche sur l'opinion publique, le groupe-conseil Quorus. La séance pour les entreprises de votre région aura lieu le [jour] [date] à [heure] et durera 90 minutes. Les participants recevront 200 $ en guise de remerciement. Nous vous ferons parvenir ce montant par virement courriel ou par chèque envoyé par la poste, une fois la séance terminée.
Acceptez-vous de participer ?
La séance sera enregistrée sur support audiovisuel pour les fins de la recherche. Des membres de l'équipe de recherche du gouvernement du Canada observeront la discussion en ligne. Vous devrez reconnaître que vos propos seront enregistrés. Les enregistrements seront utilisés uniquement par l'équipe de recherche du groupe-conseil Quorus. Ils ne seront pas partagés avec des tierces parties. Comme je l'ai mentionné précédemment, tous les renseignements recueillis durant la discussion demeureront strictement anonymes et serviront uniquement aux fins de la recherche, conformément aux lois qui protègent votre vie privée.
Pour la séance, nous utiliserons une application de vidéoconférence afin que vous puissiez voir le matériel qui vous sera présenté. Nous vous enverrons les directives de connexion par courriel. L'utilisation d'un ordinateur est nécessaire pour voir le matériel et partager vos réactions. Ce sera un volet important de la discussion. Si vous le désirez, vous pouvez utiliser une tablette, mais pas un téléphone intelligent, car l'écran est trop petit.
Si le répondant pose la question : On vous demandera d'utiliser une webcam pour la discussion. Assurez-vous que votre appareil est doté d'un microphone et d'une caméra qui fonctionnent.
Au cours des prochains jours, nous vous enverrons par courriel le lien pour vous connecter en ligne, de même que la date et l'heure de la séance.
Nous vous recommandons de cliquer sur le lien que nous vous enverrons quelques jours avant la date prévue pour la séance afin de nous assurer que vous pourrez avoir accès à la plateforme en ligne qui aura été aménagée. Vous devrez répéter les étapes au moins 10 à 15 minutes avant la séance.
Puisque nous n'invitons qu'un nombre restreint de participants, votre présence est essentielle. Si vous n'êtes pas en mesure de participer, pour quelque raison que ce soit, veuillez nous contacter dans les plus brefs délais afin que nous puissions vous trouver un remplaçant. Vous pouvez nous joindre au 1 800 XXX-XXXX. Demandez à parler à [nom de la personne à contacter]. Quelqu'un vous téléphonera la veille pour confirmer votre présence.
Afin que nous puissions vous envoyer le courriel de directives, vous téléphoner pour le rappel ou vous contacter pour vous informer d'un changement, pourrais-je avoir votre nom et vos coordonnées ? Noter les renseignements sur la première page.
Merci de votre collaboration !
Prenons quelques minutes pour faire les présentations. J'aimerais savoir :
Tout d'abord, combien parmi vous ont dû augmenter leur présence en ligne en raison de la pandémie ou adopter rapidement de nouvelles technologies Internet pour continuer leurs activités? Au besoin : … médias sociaux, plateformes de commerce électronique ou autres applications?
Dans l'ensemble, que pensez-vous de votre niveau de cybersécurité ces jours-ci, compte tenu des répercussions majeures de la pandémie sur l'économie numérique? Je parle ici de votre sentiment quant à la sécurité de l'ensemble de votre système des TI – y compris vos ordinateurs, vos réseaux Internet et Wi-Fi, votre système de stockage et de protection des données de votre entreprise, ainsi que toute information sur vos clients, fournisseurs, employés, etc.
J'aimerais discuter des façons dont certains parmi vous ont dû s'adapter à la pandémie. Parlons d'abord du télétravail qui est à la hausse.
Parlons maintenant de la transition vers le commerce électronique.
Regardons maintenant quelques concepts publicitaires.
Le gouvernement a lancé un programme de certification en cybersécurité pour les petites et moyennes entreprises. Celles qui remplissent les critères sont « certifiées » et peuvent en faire mention en affichant la marque de certification de CyberSécuritaire Canada.
Nous aimerions obtenir vos commentaires sur des concepts publicitaires destinés à une campagne nationale visant à promouvoir l'importance de la cybersécurité en général, et à faire connaître le programme, plus précisément.
Je tiens à souligner qu'il s'agit de versions provisoires des concepts. Je suis impatient d'avoir vos opinions. Ces publicités apparaitront dans la section affaire des médias nationaux publiés et enligne (p. ex. La section affaire du Globe and Mail, de La Presse, etc.), sur des sites Internet sur les TI, etc.
Je vais partager quelques images avec vous à l'écran. Vous ne devez ni les copier ni prendre de captures d'écran. Vous ne pouvez pas non plus les partager avec d'autres personnes.
Le modérateur présente les concepts (chacun est identifié par une lettre) un par un (l'ordre change d'une séance à l'autre).
Pour chaque groupe, randomiser les concepts comme suit :
Pour chaque concept, je vous présenterai (dans cet ordre) :
Le modérateur présente chaque concept et donne le temps aux participants de lire cette question (autoquestionnaire)
Veuillez considérer ce qui suit en regardant chaque publicité – vous pouvez prendre des notes, mais nous attendrons que tous aient terminé avant d'en discuter ensemble :
Le modérateur présente ce qui suit à l'écran après chaque concept :
Quel est le but de cette publicité ?
Que ressentez-vous en la voyant ? à quoi pensez-vous ?
Feriez-vous quoi que ce soit après l'avoir vue ?
Une fois que tous les participants ont terminé, commencer à sonder :
J'aimerais avoir vos opinions du concept. Nous nous pencherons sur les trois composants clés de toute publicité :
Questions exploratoires pour le message principal
Questions exploratoires pour l'idée créative
Questions exploratoires pour l'appel à l'action
Questions exploratoires après la présentation des trois concepts :
J'aimerais avoir vos premières réactions au programme de certification CyberSécuritaire lui-même. Ce programme de certification a été développé avec le Centre canadien de la cybersécurité.
Le modérateur partage son écran :
Le programme de certification CyberSécuritaire Canada est un programme à participation volontaire de certification en cybersécurité mis en œuvre par le gouvernement du Canada.
Pour obtenir la certification, les entreprises doivent mettre en place 13 domaines de contrôle de sécurité couvrant un vaste éventail de points vulnérables pour les petites et moyennes entreprises, comme la formation du personnel, la protection des mots de passe, les plans d'intervention en cas d'incident, et plus encore.
Ces domaines de contrôle de sécurité ont été créés par le Centre canadien de la cybersécurité, les experts de la cybersécurité au Canada pour les petites et moyennes entreprises.
[Le modérateur consulte l'équipe du client pour voir si elle a d'autres questions ou si elle a besoin de précisions.]
En terminant, y a-t-il quelque chose que j'aurais dû vous demander, mais que je n'ai pas fait ?
Merci ! L'équipe qui vous a invité à participer à la séance communiquera avec vous pour obtenir des renseignements afin de vous faire parvenir l'incitatif que nous vous avons promis.
Bonne soirée à tous !
Prenons quelques minutes pour faire les présentations. J'aimerais savoir :
Tout d'abord, combien parmi vous ont dû augmenter leur présence en ligne en raison de la pandémie ou adopter rapidement de nouvelles technologies Internet pour continuer leurs activités? Au besoin : … médias sociaux, plateformes de commerce électronique ou autres applications?
Dans l'ensemble, que pensez-vous de votre niveau de cybersécurité ces jours-ci, compte tenu des répercussions majeures de la pandémie sur l'économie numérique? Je parle ici de votre sentiment quant à la sécurité de l'ensemble de votre système des TI – y compris vos ordinateurs, vos réseaux Internet et Wi-Fi, votre système de stockage et de protection des données de votre entreprise, ainsi que toute information sur vos clients, fournisseurs, employés, etc.
Regardons maintenant quelques concepts publicitaires.
Le gouvernement a lancé un programme de certification en cybersécurité pour les petites et moyennes entreprises. Celles qui remplissent les critères sont « certifiées » et peuvent en faire mention en affichant la marque de certification de CyberSécuritaire Canada.
Nous aimerions obtenir vos commentaires sur des concepts publicitaires destinés à une campagne nationale visant à faire connaître le programme.
Je tiens à souligner qu'il s'agit de versions provisoires des concepts. Je suis impatient d'avoir vos opinions. Ces publicités apparaitront dans la section affaire des médias nationaux publiés et enligne (p. ex. La section affaire du Globe and Mail, de La Presse, etc.), sur des sites Internet sur les TI, etc.
Je vais partager quelques images avec vous à l'écran. Vous ne devez ni les copier ni prendre de captures d'écran. Vous ne pouvez pas non plus les partager avec d'autres personnes.
Le modérateur présente les concepts (chacun est identifié par une lettre) un par un (l'ordre change d'une séance à l'autre).
Pour chaque groupe, randomiser les concepts comme suit :
Pour chaque concept, je vous présenterai (dans cet ordre) :
Le modérateur présente chaque concept et donne le temps aux participants de lire cette question (autoquestionnaire)
Veuillez considérer ce qui suit en regardant chaque publicité – vous pouvez prendre des notes, mais nous attendrons que tous aient terminé avant d'en discuter ensemble :
Le modérateur présente ce qui suit à l'écran après chaque concept :
Une fois que tous les participants ont terminé, commencer à sonder :
J'aimerais avoir vos opinions du concept. Nous nous pencherons sur les trois composants clés de toute publicité :
Questions exploratoires pour le message principal
Questions exploratoires pour l'idée créative
Questions exploratoires pour l'appel à l'action
Questions exploratoires après la présentation des deux concepts :
[Le modérateur consulte l'équipe du client pour voir si elle a d'autres questions ou si elle a besoin de précisionS.]
En terminant, y a-t-il quelque chose que j'aurais dû vous demander, mais que je n'ai pas fait ?
Merci ! L'équipe qui vous a invité à participer à la séance communiquera avec vous pour obtenir des renseignements afin de vous faire parvenir l'incitatif que nous vous avons promis.
Bonne soirée à tous !
L'intervieweur se présente : Je m'appelle [nom de l'intervieweur] et je travaille pour le groupe-conseil Quorus. Nous menons une étude pour le gouvernement du Canada.
Expliquer le but de cette entrevue :
Nous souhaitons explorer le thème de la cybersécurité et recueillir vos réactions à un programme de cybercertification récemment mis en place par le gouvernement du Canada. Pour la discussion, veuillez garder à l'esprit que :
Si vous n'avez pas d'autres questions, commençons !
J'aimerais tout d'abord obtenir quelques renseignements à votre sujet et au sujet de votre organisation.
Votre organisation utilise de petites et moyennes entreprises comme fournisseurs pour sa chaîne d'approvisionnement. Quel est le rôle que le gouvernement du Canada pourrait ou devrait jouer pour aider ces entreprises à devenir cybersécuritaires ?
Note pour l'animateur : S'assurer que la discussion demeure axée sur le rôle du gouvernement fédéral et non pas celui du gouvernement provincial ou de l'administration municipale.
J'aimerais vous parler du programme CyberSécuritaire du gouvernement du Canada et recueillir vos premières réactions. Ensuite, nous reviendrons sur les chaînes d'approvisionnement – plus particulièrement les petites et moyennes entreprises qui supportent votre organisation.
L'intervieweur lit ce qui suit :
Le programme CyberSécuritaire Canada vise à renforcer la confiance envers l'économie numérique du Canada, au pays comme à l'étranger. Son but est d'accroître la cybersécurité de base des petites et moyennes entreprises (PME) canadiennes, de rehausser la confiance des consommateurs envers l'économie numérique, de promouvoir la normalisation internationale et mieux positionner les PME pour leur permettre de concurrencer à l'échelle mondiale.
L'intervieweur présente le sommaire du programme à l'écran et donne le temps au participant de lire l'information, qui demeure à l'écran pour le reste de la discussion.
Le programme CyberSécuritaire permet aux PME de démontrer qu'elles prennent les mesures nécessaires pour protéger leurs systèmes, se mettre à l'abri des cyberattaques et protéger les renseignements concernant leurs clients et leurs fournisseurs.
Pour être admissible à la certification, l'organisation doit revoir et appliquer les 13 contrôles de sécurité établis par le Centre canadien pour la cybersécurité :
Un organisme de certification (agréé par le Conseil canadien des normes) évaluera la mise en œuvre des 13 contrôles de sécurité. L'organisme discutera avec l'organisation pour :
Lorsqu'une entreprise obtient la certification CyberSécuritaire, elle est certifiée pour une période de deux ans et elle peut afficher la marque de certification sur son site Web, sa devanture et son matériel promotionnel.
L'intervieweur poursuit :
Avant de terminer, j'aimerais prendre une minute pour regarder le site Web du programme : Canada.ca/cybersecure. L'intervieweur présente le site à l'écran.
[L'intervieweur vérifie auprès de l'équipe du client pour savoir s'il elle a d'autres questions ou si elle a besoin de précisions.]
En terminant, y a-t-il quoi que ce soit que j'aurais dû vous demander, mais que je n'ai pas fait ?
Merci ! Bonne [journée/soirée] !