Avec la flambée de la cyber-criminalité, qui atteint des niveaux inédits, il est clair qu’aucune organisation n’est totalement à l’abri. Bien des secteurs sont en retard dans leur appréhension des pertes liées aux cyber-attaques. Si la numérisation est un sujet récurrent abordé lors des discussions des conseils d’administration, il subsiste une confusion quant aux risques et à l’incidence potentiellement préjudiciable de la numérisation et des technologies, tout spécialement pour les entreprises dont la culture en matière de cyber-sécurité est particulièrement laxiste.
Au cours des derniers mois, nous avons recueilli les préoccupations de 350 cadres du secteur de la construction dans notre Indice des risques de la construction. Les résultats ont montré que les risques liés à la numérisation et aux nouvelles technologies figurent parmi les préoccupations les plus fréquentes, quatre des dix principaux risques entrant dans cette catégorie. Le risque « menace de sécurité croissante provenant des cyber attaques et des atteintes à la protection des données confidentielles » s’est classé à la neuvième place pour le secteur dans son ensemble, ce qui indique que la prévention des pertes liées aux cyber-attaques est devenue essentielle pour les entreprises du secteur de la construction.
Caractérisé par une une adoption plus lente des technologies et une numérisation plus poussive, le secteur de la construction est généralement perçu comme étant à la traîne des autres secteurs en termes d’efficacité pour sa cyber-sécurité. Néanmoins, les cadres interrogés pour l’Indice des risques ont observé qu’ils ne pouvaient plus se permettre d’être passifs concernant cette menace et que personne ne devait s’imaginer que le secteur de la construction est moins exposé aux risques ou qu’il est à l’abri des pertes liées aux cyber-attaques.
Les capacités de conception virtuelle sont en constante évolution et des données sensibles peuvent être compromises si des pirates informatiques infiltrent un réseau au moyen d’applications de modélisation du bâtiment. De fait, les acteurs malveillants du cyber-espace agissent sans se préoccuper de la nature de leur cible. Le secteur doit comprendre que si ces acteurs anticipent des gains monétaires ou intellectuels en ciblant leurs organisations, celles-ci doivent se considérer comme des cibles potentielles et se préparer à faire face à cette menace.
Toutefois, le secteur de la construction présente des défis uniques en termes de cyber-sécurité, notamment pour ce qui est de la reconnaissance des points de contact où un risque peut survenir. En effet, les entreprises de construction ne sont pas seulement exposées à la perte de données. De fait, l’utilisation accrue des technologies dans la conception et la modélisation ouvre la voie aux attaques, y compris aux préjudices physiques infligés aux personnes et aux biens au moyen d‘attaques non physiques (par ex., le piratage). L’introduction de plateformes multi-utilisateurs auxquelles accèdent différentes personnes au sein d’une entreprise de construction et à l’extérieur de celle-ci fait peser une menace supplémentaire car les points d’accès et les références sont plus difficiles à contrôler.
Certaines compagnies d’assurance ont signalé une augmentation des attaques de ransomware allant jusqu’à 400% en 2016
À mesure qu’augmente la dépendance des entreprises vis-à-vis de l’informatique et tandis que les avancées technologiques offrent aux organisations des possibilités d’innovation illimitées, de nouvelles dimensions de risques s’ajoutent avec la généralisation des atteintes aux systèmes informatiques. Lorsqu’elles développent des solutions numériques, les entreprises de construction doivent veiller à ce que la cyber-sécurité soit dûment prise en compte avant de lancer toute initiative et éviter que cet aspect soit négligé au détriment d’un avantage concurrentiel.
Certaines compagnies d’assurance ont signalé une augmentation des attaques de ransomware allant jusqu’à 400% en 2016 ; ces attaques peuvent paralyser un réseau et stopper non seulement les réseaux informatiques et les plateformes de conception, mais également, dans certains cas, l’utilisation des équipements mobiles et la capacité à respecter les délais de soumission d’offres en raison d’une dépendance accrue vis-à-vis de l’accès au réseau pour effectuer ces opérations.
Un des plus gros défis pour le secteur de la construction est qu’il est largement décentralisé et qu’il collabore avec un grand nombre de parties prenantes, rendant plus difficiles à gérer les cyber-menaces provenant des employés et posées par ces derniers. Selon Dean Chapman de l’équipe Cyber de Willis Towers Watson, « [Il] estime que le facteur humain sera toujours le maillon faible de toute chaîne de cyber-sécurité. Un plan de cyber-sécurité peut être mis en échec si les collaborateurs ne savent pas aider l’entreprise à atténuer les cyber-menaces, et n’ont pas les moyens de le faire ».
Le facteur humain sera toujours le maillon faible de toute chaîne de cyber-sécurité
Tandis que la plupart des employés du secteur de la construction ne travaillent pas face à un écran, ceux qui ont accès au réseau sont sources de vulnérabilité s’ils ne suivent pas suffisamment, et de façon régulière, des formations en cyber-sécurité.
Comme l’indique l’enquête Wilis Towers Watson 2017 sur les risques liés aux cyber-attaques, 85% des employeurs aux États-Unis considèrent la cyber-sécurité comme étant une des principales priorités de leur entreprise. Néanmoins, beaucoup ne mettent pas en œuvre la formation, les mesures incitatives et les stratégies à même de créer et de motiver un personnel formé aux différents aspects de la cyber-sécurité. La nature informelle du secteur de la construction ne facilite pas les choses. Par ailleurs, les cadres des entreprises de construction peuvent être les cibles de plans d’ingénierie sociale où des victimes peu méfiantes sont amenées illégalement à transférer des fonds à des cyber-criminels.
Il est donc essentiel, dans un premier temps, de former tous les employés, à tous les niveaux de l’entreprise pour réduire les risques liés aux cyber-attaques. Alors que l’utilisation des technologies progresse, la formation visant à la sensibilisation des questions de sécurité doit être intégrée à la stratégie de cyber-sécurité, et doit en particulier aider les employés à identifier, à signaler et à atténuer une attaque de façon efficace.
Willis Towers Watson a développé une approche globale en matière de cyber-sécurité pour les entreprises qui souhaitent développer une culture de sensibilisation et de formation.
William (Bill) Noonan est Directeur Engagement Client pour le secteur de la Construction en Amérique du Nord et co-dirige la Practice Construction pour Willis Towers Watson.
