6 minute read
Cybersécurité
Pour un hacker, la construction est un secteur comme un autre. Les entreprises de construction sont donc également exposées aux risques de cyberattaques. Elles peuvent être divisées en cinq grandes catégories. • RANSOMWARE, également connu sous le nom de logiciel de prise d’otage. L’attaquant rend les données illisibles ou crée un blocus numérique. Ce n’est qu’en payant une rançon que vous recevrez la clé permettant de décrypter les données. Pour plus d’informations et un e-book gratuit permettant aux entreprises de se protéger contre ces attaques, consultez le site www.combell.com. • PHISHING. Ici, les cybercriminels tentent de tromper leurs victimes via e-mail, sms, téléphone ou médias sociaux. Ils se font passer pour une personne ou une entreprise digne de confiance, mais tentent de mettre la main sur des mots de passe, des coordonnées bancaires, des données de carte de crédit et d’autres informations personnelles. • DENIAL OF SERVICE. Avec ce type de cyberattaque, un hacker veut paralyser un système informatique, un réseau ou une machine. Il inonde le réseau de données ou de demandes.
Le système ou la machine est surchargé et tombe en panne, de sorte que les utilisateurs ordinaires ne peuvent plus y accéder. • ATTAQUER AVEC DES APPLICA-
TIONS WEB. Les hackers abusent des composants web tels que les navigateurs, les serveurs web ou les logiciels comme WordPress. Si ces derniers présentent des points faibles ou sont mal configurés, l’hacker peut accéder aux données. • FRAUDE AU CEO. Le fraudeur se fait passer pour le CEO de l’entreprise. Il demande à un collaborateur de cette société d’effectuer des paiements avec des montants importants, sans en parler à personne. L’objectif est d’inciter les gens à transférer de l’argent sur le compte bancaire du fraudeur. La fraude au CEO est une forme de fraude à la facture.
Votre système informatique estil bien sécurisé ?
Vous n’y pensez sans doute pas toujours, mais la sécurité de votre entreprise n’est peut-être pas optimale. Attention, car il est possible qu’un jour, vous deviez payer une rançon pour utiliser votre propre système informatique. Nous décrivons ici les risques et les cyberattaques. Heureusement, vous pouvez y remédier.
Cybersécurité mobile
Le secteur de la construction compte de plus en plus de travailleurs mobiles. Dans le passé, il s’agis-
Les cyberattaques peuvent être divisées en cinq grandes catégories.
sait généralement d’employés qui travaillaient à domicile ou sur la route. Mais aujourd’hui, les ouvriers de la construction reçoivent aussi de plus en plus souvent un appareil mobile avec leur programme quotidien ou leur horaire de travail. Auparavant, ils n’avaient qu’une empreinte numérique minimale dans l’entreprise. Désormais, leurs appareils mobiles leur permettent d’accéder aux e-mails et autres communications sensibles. En outre, ils utilisent généralement des applications dans le cloud, qui sont connectées à des données internes et externes à l’entreprise.
Il n’est donc pas surprenant que ces appareils soient des cibles très intéressantes pour les cybercriminels. En 2016, seulement 7,5 % de tous les logiciels malveillants étaient mobiles, mais les experts prévoient une augmentation à 33 % d’ici 2023. Les problèmes de sécurité liés au travail mobile sont les suivants : • FUITES DE DONNÉES via des applications non sécurisées ; • HOTSPOTS/RÉSEAUX WIFI insuffisamment ou non sécurisés ; • USURPATION DE RÉSEAU. Les hackers créent alors de faux points d’accès qui ressemblent à des réseaux wifi, mais piègent l’utilisateur ; • PHISHING. Dangereux avec les appareils mobiles car, contrairement aux réseaux de l’entreprise, il n’y a pas de filtres disponibles.
Dès lors, il est important que les entreprises prennent les mesures informatiques adéquates pour sécuriser le travail en dehors de l’entreprise (à domicile, sur chantier…).
Sécuriser les modèles numériques
Que nous réserve l’avenir ? De nouvelles opportunités pour les criminels numériques vont-elles apparaître ? Il est vrai que les nouvelles méthodes de travail dans la construction créent de nouveaux risques pour la sécurité.
L’utilisation de l’internet ne cesse de croître dans le secteur de la construction. Les solutions en ligne sont souvent utilisées pour le BIM ou les plateformes de gestion de projet. De plus, les informations sont échangées via notamment Sharepoint et des portails de projets. Cela rend les entreprises de construction et d’infrastructure plus vulnérables aux pirates informatiques et aux cyberattaques. L’augmentation du télétravail amène également les travailleurs à partager beaucoup d’informations via l’internet. Les réunions sont organisées avec Zoom, Teams et d’autres applications. ›››
CYBERSÉCURITÉ
Depuis le début de la crise du coronavirus, des efforts considérables ont été déployés pour sécuriser ces applications.
Par ailleurs, les technologies numériques sont également de plus en plus utilisées dans les projets de construction. Les compteurs d’énergie intelligents, les capteurs dans les bâtiments et les infrastructures intelligentes dans les routes et les tunnels font de la sécurité numérique un point d’attention important dans la conception des bâtiments et des infrastructures. Il est donc important d’investir de manière significative dans ce domaine spécifique de la cybersécurité. Le monde académique et de la recherche aura un rôle important à jouer dans ce domaine.
Facteur humain
Ensuite, il y a le facteur humain. Les cybercriminels sont de plus en plus créatifs. Mais, l’erreur humaine reste la principale cause de fuites de données, de temps d’arrêt et d’atteinte à la réputation d’une entreprise. Le CEO a tout intérêt à sensibiliser son personnel et mettre en place des formations afin de diminuer les risques.
La Cybersecurity Coalition a donc développé des outils de sensibilisation. Vous pouvez les utiliser immédiatement dans votre entreprise. Nous donnons deux exemples qui sont particulièrement destinés aux PME : • LE CYBER SECURITY KIT. Cela aide les PME à sensibiliser leurs travailleurs. Le kit contient, entre autres, des outils permettant de renforcer les mots de passe et de reconnaître les mails-phishing ; • L’OUTIL D’APPRENTISSAGE EN
LIGNEACCESSIBLEETINTERAC-
TIF. Il met les travailleurs au défi, leur fixe des échéances et leur donne un feedback sur leurs résultats.
Intéressé ? Surfez sur www.cybersecuritycoalition.be et cliquez en haut sur Outils.
En raison de leur taille et de la com-
UN HACKER ÉTHIQUE SENSIBILISE L’ENTREPRISE DE CONSTRUCTION BENEENS
Notre membre Beneens a récemment subi plusieurs attaques de ransomware. Heureusement, il n’y a eu aucun dommage financier ou opérationnel. En effet, auparavant, Beneens avait engagé un hacker éthique de Fox&Fish Cyberdefense pour sensibiliser davantage ses collaborateurs.
L’approche se composait de deux parties : un exercice de phishing et une formation avec démonstration de piratage. Pour évaluer la situation de départ, l’hacker éthique a envoyé un e-mail de phishing inoffensif aux collaborateurs de Beneens. Il s’est avéré que pas moins de 24 % ont cliqué dessus. « Cela a été un véritable coup de semonce pour nous », déclare Joeri Beneens.
Les collaborateurs ont ensuite reçu une formation d’1h30. L’hacker éthique Reinaert Van de Cruys de Fox&Fish Cyberdefense explique que plusieurs aspects entrent en ligne de compte. « Nous enseignons aux gens, de manière accessible, comment reconnaître les e-mails de phishing et les faux sites web. Ils apprennent ensuite comment réagir s’ils ont fait quelque chose de mal. »
Beneens continue de prendre des mesures supplémentaires pour devenir une PME plus cybersécurisée. « Notre feuille de route en matière de cybersécurité consiste à la fois à déployer des mesures et des procédures organisationnelles et à poursuivre la mise en œuvre de logiciels de détection et de sécurité », indique Joeri Beneens.
Plan d’action Il est important pour une entreprise de développer une cyberstratégie claire. Celle-ci doit inclure divers aspects tels que l’infrastructure technique, la sensibilisation et la formation des collaborateurs et l’obligation légale imposée par le GDPR. Pour cela, vous pouvez utiliser le pme-IT scan et le Cybersecurity Starters KIT sur www.cybersecuritycoalition.be (cliquer sur Outils en haut).
L’élément central d’un tel plan d’action pour les PME est de fournir des conseils qui, en fonction du budget, du calendrier et des connaissances internes, rassemblent tous les éléments dans un plan sur mesure.
Wallonie Il existe des dispositifs wallons pour aider les entreprises en termes de cybersécurité (voir article p. 27).
plexité de leur trafic de données, il est préférable que les grandes entreprises fassent appel à des fournisseurs spécialisés. Ceux-ci développent des security awareness tests sur mesure. Ils donnent aux entreprises la possibilité d’ajuster leur stratégie en permanence en combinant des simulations de phishing, des formations de sensibilisation et des rapports périodiques.•
INFOS : Avez-vous des questions au sujet de cette problématique importante? Posez-les à melanie.leonard@ccw.be
