Une récente étude de Sécurité Publique Canada [1] s’est penchée sur le taux de signalement à la police des entreprises canadiennes. À partir des données de l’Enquête canadienne sur la cybersécurité et le cybercrime de 2017 de Statistique Canada, le rapport met en lumière la problématique du signalement des incidents de cybersécurité des entreprises.
Que nous disent les statistiques?
Généralement, après qu'un crime se soit produit, la victime se doit de signaler le crime aux autorités compétentes chargées de l'application des lois [2].
Environ 21% des entreprises canadiennes ont déclaré avoir été touchées par des incidents de cybersécurité en 2017. Environ 10% de ces entreprises touchées ont déclaré avoir perdu des revenus en raison d’incidents de cybersécurité et 6% ont estimé que les incidents ont nui à la réputation de leur entreprise [3].
Environ 10% des entreprises canadiennes touchées par un incident de cyber sécurité ont signalé l’incident à un service de police en 2017 [4]. Environ 8% de ces entreprises étaient des petites entreprises, 12,5% des moyennes et 15% des grandes entreprises. En tout, seulement 6% des entreprises ont signalé tous les incidents de cybersécurité dont elles en ont été victimes à la police [1].
Les incidents qui ont été le plus couramment signalés à la police ont été les mêmes pour les petites, moyennes et grandes entreprises. Ces incidents étaient principalement des vols d’argent ou des demandes de paiement de rançons, des vols de données personnelles ou financières, des accès non autorisés [1].
Pourquoi les entreprises ne signalent pas
Plusieurs explications ont été avancées par les entreprises sur la raison pour laquelle elles n’ont pas signalé l’incident à la police, telle que la résolution de l’incident à l’interne (52%) ou par un consultant TI (33%), l’incident a été évalué comme étant mineur (29%), les entreprises n’ont pas pensé à contacter la police (24%) ou que la police ne considèrerait pas ces incidents comme étant assez important (19%), les entreprises ne voulaient pas investir plus d’argent (14%) et /ou les entreprises ont pensé que le criminel ne serait pas adéquatement puni ou jugé (12%)[1].
Les raisons invoquées par les entreprises sur la raison pour laquelle elles n’ont pas signalé l’incident divergent selon la taille de l’entreprise. Les grandes entreprises (70%) avaient plus tendance à déclarer avoir résolu le problème à l’interne que les moyennes entreprises (53%) ou les petites (50%). Par contre, les petites (34%) et moyennes (32%) entreprises ont fait plus souvent appel à des consultants TI lors d’incidents de cybersécurité. Un quart des petites entreprises (25%) ont indiqué qu’elles n’ont pas pensé à contacter la police alors que cela a été le cas pour près d’un sixième des grandes entreprises (15%). De plus, presque un quart des grandes entreprises (23%) n’ont pas pensé que les services de police allaient considérer l’incident comme important [1].
Que nous dit la littérature?
Le signalement de la cybercriminalité à la police par les entreprises est un sujet encore peu étudié. Il n’existe pas d’études empiriques mais des auteurs suggèrent qu’une des principales raisons serait l’impact sur la réputation de l’entreprise. Par exemple, une entreprise peut estimer perdre la confiance de ses clients parce qu’elle n’aurait pas su protéger leurs données adéquatement [5]. Par contre, il existe quelques études qui se sont penchées sur le signalement à la police par des individus.
Plusieurs études hollandaises montrent que seulement 13% des victimes de cybercrime signalent à la police, le taux le plus bas étant pour les victimes de piratage et le plus élevé pour les victimes de cyber harcèlement [6]. Moins d’un quart des victimes de vol ou de fraude et moins de 10 % des victimes de piratage signalent à la police [7].
Une étude australienne a montré qu’une des raisons pour lesquelles les victimes ne signalent pas leur victimisation à la police s’explique en raison du nombre élevé de différentes institutions auxquelles elles peuvent signaler leur victimisation comme par exemple, les banques, les organismes de protection du consommateur, les fournisseurs internet, etc. [8] Les victimes ne savent pas forcément à qui signaler leur victimisation.
D’autres études suggèrent quant à elles, que la raison pour laquelle les cybercrimes ne sont pas signalés s’explique par la manière dont ils sont enregistrés par les services de police [9] [10]. Il est suggéré que la perception de la police quant à la gravité de la cybercriminalité peut influer sur le fait qu’elle la juge ou non digne d’être traitée. En outre, si un cybercrime est considéré comme ayant une faible probabilité d'être correctement résolu, il est peu probable qu'il soit enregistré en premier lieu afin de maintenir la perception du public de l'efficacité globale de la police [9]. Un autre auteur suggère quant à lui qu'une victimisation suite à un cybercrime ne peut pas être officiellement enregistré par un organisme d'application de la loi comme un incident de cybercriminalité si elle a été traitée par une autre entité; par exemple, la fraude par carte de crédit est généralement gérée par les banques [10].
On néglige souvent de se pencher sur les motivations à signaler un cybercrime et, l’une des raisons évoquées par les entreprises canadiennes nous invite à s’y pencher. En effet, les cybercriminels sont rarement arrêtés ou amenés devant un tribunal. De plus, dans certains cas, la victime est souvent étiquetée comme étant « incompétente » pour s’être fait avoir. Il y a donc peu de motivation pour les victimes de signaler leur victimisation à la police [5] et les chiffres de Statistique Canada suggèrent que les entreprises canadiennes ont une confiance modérée de l’utilité de la police pour ce genre de délinquance.
Si vous êtes victime d’une fraude, contacter le Centre Antifraude du Canada pour la signaler :
Par téléphone (sans frais) : 1-888-495-8501 du lundi au vendredi de 10h à 16h45 (EST)
Références
[1] Wanamaker, K. A. (2019). Profile of Canadian Businesses who Report Cybercrime to Police: The 2017 Canadian Survey of Cyber Security and Cybercrime. Ottawa, ON: Public Safety Canada.
[2] Bidgoli, M. et Grossklags, J. (2016). End user cybercrime reporting: what we know and what we can do to improve it. 2016 IEEE International Conference on Cybercrime and Computer Forensic (ICCCF), Vancouver, BC, 2016, 1-6.
[3] Bilodeau, H., Lari, M. et Uhrbach. (2019). Les défis des entreprises canadiennes quant à la cybersécurité et au cybercrime, 2017. Ottawa, ON :Statistique Canada.
[4] Statistique Canada. (2019). Le Cybercrime au Canada. Les faits, tout simplement. Repéré à https://www150.statcan.gc.ca/n1/pub/89-28-0001/2018001/article/00015-fra.htm.
[5] Goucher, W. (2010). Being a cybercrime victim. Computer Fraud & Security, 2010, 16-18.
[6] Domenie, M., Leukfeldt, E. R., van Wilsem, J. A., Jansen, J. et Stol, W. P. (2013). Victimisation in a Digitised Society. The Hague: Eleven International Publishing.
[7] Van de Weijer, S.G. A. et Bernasco, W. (2016). Aangifte- en meldingsbereidheid: Trends en determinanten [The Willingness to Report Crimes: Trends and Determinants]. Report. The Hague: WODC cité dans Van de Weijer, S. G.A., Leukfeldt ,R. et Bernasco, W. (2019). Determinants of reporting cybercrime: A comparison between identity theft, consumer fraud, and hacking. European Journal of Criminology, 16(4), 486-508.
[8] Cross, C., Richards, K. et Smith, R. G. (2016). The Reporting Experiences and Support Needs of Victims of Online Fraud. Trends & Issues in Crime and Criminal Justice, Report no. 518. Canberra, Australie: Augustus.
[9] Yar, M. (2013). Cybercrime and the Internet, 2nd ed. Londres, R-U : SAGE. cité dans Bidgoli, M. et Grossklags, J. (2016). End user cybercrime reporting: what we know and what we can do to improve it. 2016 IEEE International Conference on Cybercrime and Computer Forensic (ICCCF), Vancouver, BC, 2016, 1-6.
[10] Wall, D. S. (2008). Cybercrime, media and insecurity: The shaping of public perceptions of cybercrime. International Review of Law, Computers & Technology, 22(1–2), 45–63.