Le secteur immobilier vu par EY : cinq façons de protéger les immeubles contre les cyberrisques

Les immeubles commerciaux intelligents présentent des occasions pour les pirates informatiques. Ne tardez plus à rehausser votre cybersécurité.

Plus un immeuble est intelligent, plus le cyberrisque qui le menace est important. À quoi est‑ce dû? Le rôle accru de la technologie offre aux constructeurs d’immeubles commerciaux et résidentiels de nouvelles façons d’interagir avec les utilisateurs finaux, ce qui multiplie les points d’accès au système dont les pirates peuvent abuser. Toujours est‑il qu’une bonne gestion des cyberrisques vous permettra de transformer ceux‑ci en occasions d’affaires.

Quelle analyse de rentabilité faut‑il mettre en œuvre pour renforcer les mesures de cybersécurité? 

La sécurité physique a toujours été une priorité pour les promoteurs immobiliers et les organisations du secteur immobilier. Qu’il s’agisse de protéger des tours de bureaux situées au centre‑ville, des centres commerciaux en banlieue ou des immeubles en copropriété situés dans des quartiers en forte croissance, les espaces doivent être entièrement sécuritaires pour que les gens puissent en tirer le meilleur parti. Cela dit, l’usage croissant de technologies virtuelles par les personnes (et par les espaces physiques qui abritent leurs interactions) fait en sorte que les risques menaçant les leaders du secteur immobilier sont de moins en moins visibles.

Imaginons une intrusion de pirates informatiques dans le réseau de contrôle des ascenseurs, des alarmes incendie ou de tout autre système qui sert les clients ou les employés d’un centre commercial. Imaginons aussi que des personnes mal intentionnées pénètrent le système de contrôle de pointe d’une maison intelligente, incident qui se solde par le vol des données à caractère personnel de son nouveau propriétaire. La réalité de ce type de risques se fait de plus en plus criante, car les technologies qui révolutionnent le secteur immobilier engendrent de nouvelles vulnérabilités.

Le défi est énorme, mais tout espoir n’est pas perdu. Comme toujours, les parties prenantes se souviendront de la façon dont vous aurez surmonté le défi. Le fait que vous y soyez parvenu renforcera la confiance des clients envers vous et améliorera votre image de marque.

Comment les organisations du secteur immobilier peuvent‑elles prévenir les cyberrisques? 

1.  Dresser un inventaire des actifs critiques en temps opportun et le tenir à jour. L’atténuation efficace des cyberrisques commence par l’analyse du « où » et du « comment » de votre exposition. Les organisations du secteur immobilier ont besoin d’inventaires à jour des actifs considérés comme critiques. Elles doivent actualiser ces inventaires de façon régulière, au fur et à mesure de l’avancement des projets, de la modernisation des immeubles et de l’émergence de nouvelles technologies. Il importe d’intégrer tout actif critique à la fonction même de l’espace où il se trouve. Le cadre ainsi établi guidera le renforcement de votre protection contre les cyberattaques potentielles.

2.  Aligner les actifs et les opérations de façon fluide en élaborant un plan intégré. Complétez les plans des actifs critiques par des données sur le propriétaire de l’aire correspondante. Articulez clairement les liens entre les équipes et les outils opérationnels et informatiques afin que tout le monde sache qui est responsable de quoi, où et comment. Cette analyse permet à l’organisation de suivre une approche proactive de la cybersécurité ainsi que des plans de crise qu’elle peut appliquer rapidement afin de résoudre les problèmes de manière précoce.

3. Tissez la cybersécurité dans l’étoffe même de la gestion du risque d’entreprise. Auparavant, les équipes opérationnelles décidaient de ce qui était important du point de vue du risque. Cependant, la cybersécurité ne peut exister en vase clos. Les technologies et le lot de menaces qui les accompagne évoluent trop vite pour que ce soit possible. Vous avez donc tout intérêt à tisser la cybersécurité dans l’étoffe même du système de gestion du risque de votre organisation et des processus qui s’y rattachent. La cybersécurité doit faire partie du cadre de travail afin que les menaces soient connues de tous et que des mesures de gestion appropriées soient prises. C’est ainsi que la responsabilité partagée de la cybersécurité peut être incorporée dans le tissu même de l’organisation et de ses actifs physiques, selon un véritable modèle de sécurité, dès la conception.

4. Mettre en place des contrôles bien définis. Les changements réglementaires sont un déclencheur important des mises à jour des contrôles. Toutefois, il importe que les organisations du secteur immobilier surveillent en permanence leurs contrôles, même en l’absence de nouveautés réglementaires. Mettez en place des processus réguliers qui vous permettront de repérer de manière quasi intuitive les contrôles qui ne fonctionnent pas et ceux qui demandent des réglages supplémentaires.

5. Renforcer les contrôles préalables. L’origine des cyberrisques est à chercher au delà des tiers : ils remontent souvent à leurs sous‑traitants, voire aux sous‑traitants des sous‑traitants. Mieux votre organisation connaît sa chaîne de valeur, plus elle sera capable de gérer les menaces dès leur apparition. Il est impératif que les entreprises du secteur immobilier élargissent la portée de leurs contrôles préalables pour tenir compte des cyberrisques émergents. Les obligations à respecter doivent être portées à la connaissance de l’ensemble des contractants et sous‑traitants. Les vérifications doivent se faire en permanence. Ainsi, une meilleure communication entre les systèmes de RH et d’approvisionnement en TI s’impose. Pensez‑y dès maintenant. La plus grande menace est toujours celle dont vous ne soupçonniez même pas l’existence.