Cinq façons de protéger votre entreprise de BTP contre les cybermenaces

Par Joshua Glazer
- 8 Mai 2018 - 8 min De Lecture
cybersecurite entreprises de btp

Avouez-le : il vous est arrivé de cliquer sur un lien douteux, de répondre à une enquête en ligne futile ou d’oublier, par paresse, de faire une mise à jour. Cela arrive à tout le monde. Si ces écarts de conduite en matière de cybersécurité vous donnent un semblant de sueurs froides, imaginez les millions d’euros qu’ils pourraient coûter à votre entreprise de BTP. Et si un seul pourriel vous mettait tous au chômage ?

Ces scénarios catastrophes se passent malheureusement dans le monde réel, que ce soit des violations très médiatisées comme celles d’Uber, d’Equifax, ou de Target , ou celles de pirates qui chaque jour détournent des fonds appartenant à des PME du BTP. En fait, le piratage de Target est survenu suite au vol des données de sécurité d’un sous-traitant d’installations CVC.

Il est même possible que cette cyberattaque très médiatisée ait donné l’impression aux pirates informatiques que les entreprises de BTP étaient des cibles faciles… Mais selon Ashkan Soltani, expert technologique de la société Soltani LLC et ancien responsable technologique à la Commission fédérale américaine du commerce et conseiller principal à la Maison-Blanche, cela dépend du profil de risque.

Et d’expliquer : « Mettons que vous créez une banque : compte tenu du genre d’opérations de ce secteur, le profil de menaces ou de risques sera plus élevé. Vous aurez régulièrement à gérer les comptes de clients possèdant énormément d’avoirs et donc vous aurez besoin d’une meilleure sécurité de fonctionnement. »

construction business cybersecurity internet hacking

Pour cet expert, envisager le risque, c’est un peu comme protéger une voiture contre le vol : « Est-ce que vous avez une alarme sur votre voiture ? Est-ce que vous avez une canne antivol sur le volant ? Si vous habitez dans un quartier un peu louche où les vols de voiture sont fréquents, et que vous avez une belle voiture, vous prendrez des précautions supplémentaires. Il en va de même pour les entreprises. Connaissez vos propres risques et calculez dans quel aspect vous devez investir. »

En 2016, le site Construction Dive, spécialisé dans le domaine de la construction a signalé, pour l’année précédente, une augmentation de 400 % des attaques avec demande de rançon dans le secteur du BTP. Et une enquête menée par des chercheurs de l’université de Bolton au Royaume-Uni a révélé que 70 % des répondants étaient d’accord avec l’affirmation suivante : « Les gens doivent prendre plus au sérieux la sécurité des maquettes numériques. » Si on ajoute à cela l’utilisation quasi omniprésente des fraudes plus ordinaires contre les sociétés d’architecture, d’ingénierie et de bâtiment, la question ne sera plus de savoir si, mais quand votre société sera menacée par un pirate informatique.

Même si aucune sécurité n’est fiable à 100 %, toutes les sociétés du bâtiment peuvent prendre des mesures pour parer les cyberattaques. Voici cinq choses que votre société peut faire dans ce sens.

1. Modérez l’affabilité de votre secrétaire

L’image que donnent les médias des pirates informatiques est souvent celle d’un solitaire au teint blafard qui se sert de son modem pour accéder à vos systèmes numériques via des écrans remplis de codes. La réalité, c’est que la plupart des piratages incluent au moins un élément d’ingénierie sociale. Des bribes d’informations banales qu’un employé sympathique donne au téléphone peuvent servir à gagner la confiance d’autres employés qui à leur insu, autoriseront un programme malfaisant à accéder au système.

Pour Ashkan Soltani, « l’ingénierie sociale est toujours le maillon faible. Les gens mal intentionnés ou les pirates peuvent essayer de tirer des informations du personnel inexpérimenté. Traitez la sécurité comme une priorité et formez votre personnel à la cybersécurité tout comme vous le faites pour la sécurité physique des chantiers. »

2. Ne faites pas d’économies sur votre système de messagerie électronique

La plupart des gens sont suffisamment malins pour reconnaître les escroqueries évidentes d’hameçonnage. Mais que faire si le courriel provient d’un collègue, d’une associée ou même de la PDG de votre société ? Ces attaques sont appelées « harponnage » et peuvent être activées en utilisant des services de messagerie électronique à bas prix qui sont piratés pour envoyer de faux courriels semblant provenir de comptes légitimes.

Un cas célèbre s’est produit cette année : des pirates ont utilisé ce qui semblait un compte e-mail légitime des entrepreneurs du BTP Adolfson & Peterson Construction pour tromper les autorités scolaires de la région de Boulder Valley aux États-Unis et leur faire transférer 850 000 dollars sur un faux compte en banque. Vous trouvez ça inquiétant ? Une escroquerie du même genre s’est produite à Edmonton au Canada : quelqu’un a persuadé l’université MacEwan de transférer pratiquement 12 millions de dollars sur des comptes censés appartenir à l’entreprise de bâtiment Clark Builders.

construction business cybersecurity cheap email

La question est de savoir quel type de messagerie électronique est le plus sûr : un serveur privé dans le sous-sol de votre bureau, un serveur que vous louez et gérez à partir d’un centre de données hors site ou un système de messagerie basé sur le Cloud ?

Ashkan Soltani estime que « beaucoup de gens ont peur des messageries Cloud parce que le fournisseur d’accès peut lire les courriels. Mais est-ce que vous avez peur que ce soit Google qui lise vos courriels ou que ce soit des pirates ukrainiens ? Si ce sont ces derniers que vous craignez, je pense que des solutions de stockage sur le Cloud avec des paramètres de sécurité puissants (comme l’identification à deux facteurs) sont une bonne solution. Les sociétés basées sur le Cloud surveillent et protègent leurs systèmes de millions d’utilisateurs. » Prenez également des mesures supplémentaires pour protéger vos identifiants sur les systèmes de contrôle de code source basé sur le Cloud. 

3. Envisagez d’employer en interne un expert en sécurité

Le personnel informatique coûte cher et votre société doit faire avec des marges suffisamment étroites lorsqu’elle cherche à gagner des appels d’offres. Mais le fait de ne pas sécuriser vos données peut entraîner des pertes qui pourraient mettre votre entreprise en faillite, voire entraîner des poursuites judiciaires de la part des autorités de réglementations commerciales.

Ashkan Soltani résume la situation : « La sécurité est-elle une question suffisante pour mériter que la PDG embauche un assistant dont la seule responsabilité est la sécurité ? Quel que soit le salaire, mettons 100 000 € par an, cela vaut-il le coup d’investir dans un tel poste ? Si la réponse est affirmative, embauchez cette personne et donnez-lui la responsabilité de mettre en œuvre des solutions pour remédier aux risques, comme des correctifs de sécurité ou des connexions VPN pour les gens qui travaillent avec des données clients dans des lieux publics équipés de bornes Wi-Fi. »

Si vous n’êtes pas prêts à embaucher du personnel informatique à plein temps, faites au moins appel à un expert qui pourra vous aider à esquiver des cybermenaces en évolution constante. Un rapport de 2016 des services d’assurance DHG recommande d’employer les services d’un conseiller en informatique possédant les certifications CISSP, CCECISACRISC et GCIH. Lisez aussi le guide complet de la sécurité des données personnelles publié par la CNIL.

4. Limitez le nombre d’administrateurs

Les entreprises compromettent aussi trop facilement leur sécurité quand elles accordent le statut d’administrateur à trop d’employés. Cela peut s’avérer très ennuyeux, sachant que les systèmes en réseau comme le BIM accordent un accès à distance à votre propriété intellectuelle et via de multiples acteurs tiers.

construction business cybersecurity too many admins

Ashkan Soltani poursuit : « Mettons que je sois un pirate informatique qui cherche à accéder aux serveurs d’une société : si une seule personne connaît les mots de passe, j’essaie mon attaque sur cette personne et si ça ne marche pas, l’aventure est terminée. Par contre, si 20 personnes ont un accès administrateur, je n’ai besoin que d’un d’entre eux pour accéder au système. »

Pour éviter de distribuer trop de clés du château, un rapport [PDF] de la Mission interministérielle pour la qualité des constructions publiques propose un ensemble de protocoles de modélisation numérique qui incluent la nomination d’un responsable de l’information « chargé de gérer la plateforme collaborative, de gérer les informations du projet, et d’étayer le travail collaboratif, l’échange d’informations et l’équipe de projet. »

5. Effectuez toujours les mises à jour de vos logiciels

Les cybermenaces sont en évolution constante et les nouvelles technologies (telles que les capteurs de l’Internet des objets ou les verrouillages intelligents) vont présenter de nouveaux problèmes de sécurité. Quel que soit le logiciel que vous utilisez, il est essentiel de le mettre régulièrement à jour pour garantir que les dernières brèches sont colmatées. Cela peut prendre du temps, surtout si une mise à jour désactive une fonctionnalité sur laquelle vous comptez, mais la sécurité passe avant tout.

Ashkan Soltani termine en disant : « un grand nombre de mises à jour de logiciel n’actualisent pas seulement des fonctionnalités. Elles réparent les bugs et, chose plus importante, les bugs de sécurité. Par exemple, lorsque vous avez une mise à jour iOS, si vous regardez de près, vous verrez qu’Apple répare un type d’attaque que quelqu’un a décelé. Et une fois que cette attaque est connue, tout le monde sait que c’est une attaque. Par conséquent, si vous n’appliquez pas un correctif, votre système est vulnérable. »

Sur le même sujet…

Accès validé !

Merci!

Découvrez le « Future of Making »

Abonnez-vous à notre newsletter