Les risques d’atteinte à la confidentialité prolifèrent, de même que les problèmes en matière de conformité réglementaire et les éventuelles crises réputationnelles s’y rattachant. Dans les faits, tous secteurs confondus, 40 % des dirigeants d’entreprise du Canada affirment n’avoir jamais été aussi préoccupés que maintenant par les questions de cybersécurité. Selon eux, du fait du cloisonnement de leurs activités opérationnelles, les entreprises n’arrivent pas à faire intervenir leurs équipes de cybersécurité et de protection des renseignements personnels assez tôt dans le processus de mise au point de nouveaux services et de nouvelles offres pour qu’elles puissent véritablement changer les choses.
Nous obtenons toujours des résultats semblables à l’échelle du secteur. Seulement 43 % des représentants d’entreprises ayant participé à un sondage distinct soutiennent que les membres de la haute direction sont bien au fait des cyberrisques et y consacrent des ressources suffisantes pour assurer la protection de leurs environnements de systèmes de contrôles industriels (SCI) et de technologies opérationnelles (TO). Une autre étude révèle que 52 % des membres du personnel des TI ne comprennent pas les besoins opérationnels de leur entreprise en matière de TO.
Nous constatons que les répercussions de cet état de fait se font sentir au quotidien dans tout le secteur de l’immobilier commercial. Selon un rapport Forbes, entre 2015 et 2017 seulement, le nombre de comptes de courriel d’entreprises et d’employés dont la sécurité a été compromise dans le cadre de cyberattaques a augmenté de 1 100 %. Au cours de la même période, les pertes financières signalées à l’échelle du secteur immobilier ont augmenté de 2 200 %.
Les répercussions de tels incidents vont bien au delà de l’événement ou du coup dur financier initial. Pertes de données. Vol de la propriété intellectuelle. Demandes de rançons. Atteintes à la réputation. Cette liste n’est aucunement exhaustive, et ces répercussions sont encore plus graves pour les petites entreprises victimes de cyberattaques; 60 % d’entre elles auront fermé leurs portes six mois plus tard
Les entreprises qui ne disposent pas d’un plan axé sur l’imbrication stratégique de la cybersécurité dans leurs activités opérationnelles globales pourraient désormais être vulnérables à toutes sortes de problèmes. En revanche, celles qui traitent les questions de cybersécurité avec plus de rigueur sont plus à même de soutenir la conduite de leurs activités et de celles de leurs parties prenantes, tout en se démarquant en tant que prestataires de services immobiliers de choix.
Comment les sociétés immobilières peuvent elles renforcer leurs mesures de protection contre les cybermenaces?
Quel que soit son degré de maturité en matière de cybersécurité, votre entreprise a toujours la possibilité de renforcer son dispositif de défense et de passer à la prochaine étape de son processus de maturation. L’essentiel est d’établir une feuille de route qui prend en compte sa situation actuelle, de même que ses lacunes et ses risques, tout en prévoyant la mise au point de plans d’action permettant ultimement de parvenir à un état futur plus cybersécuritaire.
Pour faciliter le lancement du processus de planification et accélérer la réalisation des initiatives de cybersécurité, et ce, de façon significative, il est utile de se poser dès maintenant les questions suivantes :
- Savons‑nous quels sont les actifs de notre entreprise qui sont essentiels à sa mission? Toute entreprise du secteur de l’immobilier commercial doit recenser les actifs dont elle a absolument besoin dans le cadre de ses activités. Vous devez obtenir une vision claire de l’équipement et des systèmes qu’il faut à votre entreprise pour qu’elle puisse maintenir la sécurité de ses employés et le fonctionnement de ses activités.
- La performance de notre entreprise à l’égard des exigences de base est-elle adéquate? Le système d’éclairage. Les ascenseurs. Les portes. Il est important de connaître la situation de votre entreprise quant aux principaux secteurs d’exposition aux risques engendrés par l’automatisation. Déterminez si les rôles et responsabilités sont bien définis au sein de votre entreprise. Veillez à bien documenter et gérer toutes les modifications apportées à l’équipement. Pour commencer, configurez l’équipement de votre entreprise de façon à permettre la sauvegarde des données s’y rattachant, ainsi que leur conservation en lieu sûr. Déterminez clairement à qui incombe la responsabilité de contrôler l’accès aux systèmes. Favorisez l’avènement d’une culture organisationnelle assurant la prise en compte des pratiques de cybersécurité exemplaires et l’accès permanent des employés à de la formation en la matière.
- Savons‑nous bien à quoi nous en tenir quant aux risques opérationnels de notre entreprise? Pour harmoniser la gestion des cyberrisques de votre entreprise avec sa mission, il s’avère nécessaire de définir ses niveaux d’appétit pour le risque et de tolérance aux risques à l’échelle organisationnelle. Cela requiert une vision globale des risques pouvant être facilement comprise, puis communiquée aussi bien au sein de l’entreprise qu’aux autorités de réglementation. Procédez à une analyse rigoureuse des risques opérationnels et des risques d’atteinte à la réputation de votre entreprise. Déterminez quels sont les secteurs où des investissements et des améliorations supplémentaires s’imposent.
- Notre entreprise est‑elle prête à intervenir en cas de catastrophe naturelle ou de cyberattaque et a‑t‑elle ce qu’il faut pour se relever d’une telle situation? Tout est une question de délais d’intervention et de rétablissement. Les entreprises du secteur de l’immobilier commercial ont besoin de plans proactifs permettant à leurs équipes d’intervenir rapidement en situation de crise. Soumettez régulièrement ces plans à des tests de continuité des activités, de sorte que votre entreprise puisse assurer le maintien de ses activités en cas de perturbations majeures.
- Est‑il possible que les tiers constituent un facteur d’accroissement des risques? Que la gestion des actifs immobiliers de votre entreprise soit effectuée en externe ou qu’elle repose sur une chaîne d’approvisionnement complexe, il est possible que vos risques liés à des tiers soient plus importants que vous le croyez. Obtenez une vision claire des composantes organisationnelles où de telles lacunes peuvent être observées, puis intégrez sans délai des processus et cadres de gestion des risques à ces composantes. N’oubliez pas de prendre en compte les technologies immobilières dans le cadre de cette analyse, en accordant une attention particulière au déploiement des logiciels et à la gestion des risques liés aux fournisseurs.
- La cybersécurité fait‑elle partie intégrante des activités d’innovation et de conception de l’entreprise?Dispositifs intelligents. Accès connectés. Un virage de plus en plus marqué vers l’adoption de la 5G. Considérations relatives à l’Internet des objets dans le contexte des quelque cinq milliards de nouveaux dispositifs qui seront éventuellement accessibles en ligne. Ce sont tous des facteurs qui correspondent à de nouvelles priorités, de même qu’à de nouveaux risques potentiels. Procédez au décloisonnement des activités de votre entreprise de façon à permettre l’établissement de liens entre les équipes chargées de la mise en œuvre de tels outils et de telles technologies à l’échelle organisationnelle et l’équipe de cybersécurité, favorisant ainsi l’obtention de meilleurs résultats.
Que faut‑il en conclure?
Le moment est venu pour les entreprises du secteur de l’immobilier commercial de modifier la dynamique de leur environnement de cybersécurité. La prise en compte anticipée des questions de cybersécurité et de protection des renseignements personnels peut mener à des innovations efficaces et sécuritaires, tout en permettant aux entreprises de se démarquer plus facilement auprès des clients qui sont à la recherche des meilleures offres immobilières.
