Droit et contrat : pourquoi le numérique accroît les risques de cybersécurité

Malgré la rationalisation du processus de construction, ces avancées technologiques ont entraîné une augmentation des risques de cybersécurité, encore renforcés par les flux de trésorerie élevés et les paiements de grande valeur au sein du secteur et par le simple fait que de nombreux projets impliquent des infrastructures nationales critiques, que ce soit au Royaume-Uni ou dans toute l'Union européenne.

Malheureusement, ces facteurs poussent les cybercriminels à considérer les entreprises de construction comme des cibles privilégiées pour les attaques.

À mesure que le secteur de la construction devient de plus en plus numérisé, la quantité de données et d’informations sensibles collectées et partagées électroniquement au sein des organisations a considérablement augmenté, qu’il s’agisse de conceptions propriétaires ou de dossiers d’employés, par exemple.

Par conséquent, les conséquences d’une cyberattaque peuvent être particulièrement graves pour les entreprises de construction, entraînant potentiellement des pertes financières importantes, ainsi que des risques de conformité, voire de sécurité.

L’impact des cyberattaques s’étend également aux atteintes à la réputation, les violations de données entraînant souvent une perte de confiance des clients et de fidélité à la marque.

Cela peut avoir des effets durables sur les résultats d’une entreprise et souligne en fin de compte l’importance croissante d’une cyberpréparation et d’une sécurité robustes pour les entreprises de construction travaillant sur d’importants projets d’infrastructure.

La peur des cyberattaques dans le secteur de la construction s'accentue

Un exemple d'un type courant de cyberattaque contre les entreprises de construction est le ransomware, lorsqu'un système informatique est pris en otage et qu'un attaquant exige un paiement en échange de la restauration de l'accès du propriétaire.

Voici quelques exemples récents d’attaques par ransomware contre des entreprises du secteur de la construction au Royaume-Uni :

Des pirates informatiques ont exploité une vulnérabilité du site Internet d'une entreprise de services de construction pour accéder au réseau de l'entreprise et lancer une attaque par ransomware. Les fichiers de l'entreprise ont ainsi été cryptés et les attaquants ont exigé un paiement pour rétablir l'accès.

Une société de gestion d'infrastructures a été victime d'une cyberattaque d'un groupe de ransomware. Le groupe a divulgué certains de ses contrats, accords de partenariat confidentiels, documents financiers et accords de non-divulgation.

Les virements électroniques frauduleux deviennent également plus courants, impliquant le retrait de sommes importantes d’argent d’un compte.

La législation européenne, comme la directive NIS2, ainsi que le Cyber Resilience Act, fournissent actuellement des bases pour protéger les organisations et infrastructures critiques de l'UE contre les cybermenaces (Photo : AdobeStock)

Cela est souvent dû à la capacité des cybercriminels à manipuler les individus pour qu'ils divulguent des informations sensibles, en utilisant des tactiques telles que l'envoi d'e-mails de phishing prétendant être un fournisseur et demandant aux entreprises de construction de mettre à jour leurs dossiers des coordonnées bancaires du fournisseur pour les paiements futurs.

La législation européenne, comme la directive NIS2, ainsi que le Cyber Resilience Act, fournissent actuellement les bases pour protéger les organisations et les infrastructures critiques de l'UE contre les cybermenaces, dans le but d'atteindre un niveau élevé de sécurité commune dans toute l'UE.

Toutefois, pour répondre aux cyber-risques, le Royaume-Uni et l’UE renforcent les exigences réglementaires et les obligations en matière de cybersécurité imposées aux opérateurs, ainsi qu’à leur chaîne d’approvisionnement. Les régulateurs examinent les domaines d’infrastructure qui nécessitent une protection supplémentaire en matière de cybersécurité.

Le Parlement britannique a récemment mené une enquête sur la cyber-résilience des infrastructures nationales critiques, au cours de laquelle le rôle du gouvernement dans l'établissement de normes et de réglementations pour la préparation à la cyber-sécurité a été exploré, suite à l'avertissement récent du Centre national de cybersécurité (NCSC) selon lequel des groupes alignés sur la Russie avaient l'intention de perturber les infrastructures au Royaume-Uni.

L’enquête porte en partie sur les infrastructures énergétiques et, à partir de là, le gouvernement espère mieux comprendre quel devrait être son rôle dans l’établissement de normes et de réglementations en matière de cyber-résilience et de préparation.

Renforcer la cybersécurité sur le terrain

Le risque cybernétique peut être difficile à contrôler sur un chantier de construction, les sous-traitants et le personnel temporaire s’ajoutant au risque existant posé par les prouesses technologiques des cybercriminels.

Les entrepreneurs doivent donc examiner leurs réseaux de confiance et évaluer leur exposition aux cyber-faiblesses, notamment ce qu’ils peuvent faire de plus sur le terrain pour se doter d’une protection accrue et où cette protection est la plus nécessaire.

Cela implique d’examiner chaque maillon de la chaîne de construction et de demander aux partenaires sous-traitants de démontrer de solides pratiques en matière de cybersécurité dans leurs appels d’offres, par exemple.

Au Royaume-Uni, le NCSC et le Chartered Institute of Building (CIOB) se sont récemment associés pour produire des conseils pratiques destinés à soutenir les entreprises, y compris les PME, travaillant dans le secteur de la construction, qui peuvent servir de ligne directrice pour la mise en œuvre de mesures de cybersécurité.

Ce guide comprend des conseils sur la collaboration avec les fournisseurs et les partenaires pour garantir la protection des informations sensibles partagées entre les parties travaillant sur un projet, et pour encourager les fournisseurs à obtenir la certification Cyber Essentials, un programme soutenu par le gouvernement pour aider les organisations à se protéger contre les cyberattaques courantes. Le NCSC a également développé un module d'apprentissage en ligne « Top Tips For Staff », qui peut être suivi en ligne, pour former les employés à la cybersécurité.

Les entreprises du secteur de la construction sont également invitées à accorder une attention particulière à la manière dont l’intelligence artificielle (IA) interagit avec la cybersécurité. Alors que de plus en plus d’organisations, y compris dans le secteur de la construction, continuent d’étudier comment l’IA peut aider leurs entreprises, les risques liés à la cybersécurité resteront une considération clé et devront être surveillés de près jusqu’en 2024 et au-delà.