09:06 OPINIONS

Le piratage informatique s’attaque aussi à la construction

Écrit par: Philippe Chopard
Teaserbild-Quelle: Société suisse des entrepreneurs

Pas un jour ne se passe sans que les médias ne parlent d’attaque informatique, de vols de données  ou de demandes de rançon. La cybercriminalité touche aussi bien les administrations publiques que  les sociétés privées ou les personnes. Les nombreuses PME de la construction n’y échappent pas. La prévention s’organise, notamment au travers de programmes d’information et de sensibilisation. 

Cybersécurité 1

Crédit image: Société suisse des entrepreneurs

La construction se révèle de plus en plus vulnérable, du moment qu’elle recourt à la numérisation et aux partages de ses informations.

La cybersécurité devient de plus en plus importante du fait de l’explosion des piratages. Les collectivités publiques et le secteur des services sont particulièrement touchés. Mais pas seulement eux. La Société suisse des entrepreneurs (SSE) constate une explosion des risques d’attaques informatiques dans les petites et moyennes entreprises. Et les cibles les plus vulnérables sont les sociétés qui n’ont pas encore renforcé leur dispositif sécuritaire.

La construction est-elle épargnée par les attaques ciblant à priorité des services publics, tels que les banques ? Pas vraiment ! De multiples attaques ont été constatées. La plus marquante a visé Losinger Marazzi en Suisse romande, infectée à partir de son entreprise faîtière, le groupe Bouygues.

Le fonctionnement de la société Matisa, à Crissier (VD) a aussi été perturbé par une cyberattaque l’an dernier. Les pirates ont installé un logiciel de rançon sur le serveur de cette entreprise spécialisée dans les machines d’entretien des voies. En 2019, Meier Tobler, spécialisé dans la technique du bâtiment, a aussi  été affecté par un virus par la simple réservation d’une chambre d’hôtel pour un de ses collaborateurs.

Immobilier paralysé
Dans le domaine de l’immobilier, le groupe DBS a subi une sévère attaque en décembre dernier. Les pirates ont paralysé l’activité de 700 personnes travaillant dans ne douzaine de gérances et une quarantaine d’agences. Et les attaques contre les collectivités publiques, comme les communes de Montreux et de Rolle (VD) ainsi que, plus récemment, contre l’Université de Neuchâtel, la Banque cantonale neuchâteloise, divers cabinets médicaux, le fabricant de matériel ferroviaire Stalder, le groupe Saurer ou le fournisseur en produits pharmaceutiques Siegfried, ont mis à mal la protection de leurs données.

Risques sous-estimés
Les nouvelles variantes pour Mac OS ont subi 670 millions d’attaques de malwares depuis 2017. En 2020, le Centre suisse de cybersécurité a été saisi de 11 000 cas d’attaques ou de tentatives avérées. Malgré cette recrudescence d’actes informatiques malveillants, la menace ne semble toujours pas bien prise en compte. Une étude récente montre que plus d’un tiers des PME suisses de la construction et de l’immobilier jugent l’importance de la sécurité  informatique faible ou neutre. Et cela même si plus de la moitié des entreprises du secteur s’attend à être exposées à un acte délictueux.

La SSE est pourtant catégorique : les demandes de rançon et de phishing vont s’intensifier ces prochaines années. « Le risque zéro n’existe pas, souligne Moritz Lüscher, chef de projet de la transformation digitale à la SSE. Dans notre domaine, la cybersécurité est centrale. Notre radar des tendances le montre clairement, mais il est possible de se protéger en prenant des mesures simples et peu coûteuses. »

Si l’argent est toujours le nerf de la guerre, les précautions du passé, par exemple bien fermer la porte de son bureau, demeurent. Eteindre son ordinateur et le protéger par un mot de passe suffisamment compliqué restent des notions de base incontournables. Pour protéger ses données, Moritz Lüscher privilégie des mots de passe sans aucun rapport avec le contenu de l’activité de l’entreprise. Les algorithmes sont en effet suffisamment puissants pour qu’un pirate puisse pénétrer aisément dans l’intimité d’une société.


Cybersécurité 2

Crédit image: Société suisse des entrepreneurs

Le travail avec le BIM n’est pas épargné par les risques de piratages. Mais une bonne gestion du cloud permet d’y parer.

« Nous vivons dans un monde d’échanges généraux de données, précise encore le spécialiste. Il faut donc se prémunir avec des formules appropriées à chaque entreprise, en fonction de ses activités et de sa taille. » Les statistiques des attaques en Suisse montrent que les pirates apprécient surtout les ransomwares, avec demande de compensation financière pour un prétendu dommage subi, et les tentatives de prendre le contrôle de la messagerie électronique de l’entreprise. Suivent les logiciels malveillants, les virus, les chevaux de Troie, et toutes autres formes d’irruption, dont certaines sont encore à inventer.

Pour prévenir ces agressions, la SSE a organisé l’an passé une série de cours à l’intention des responsables d’entreprises. Cette activité s’est développée d’abord outre-Sarine, avant de s’implanter pour la première fois en septembre dernier en Suisse romande sous la forme d’un webinaire.

« Nous proposons une catégorisation des risques et dressons une liste des précautions à prendre, indique encore Moritz Lüscher. Les cours proposent ainsi des solutions pratiques pour minimiser les risques ».

Le BIM exposé
La digitalisation prend de plus en plus d’importance dans la construction. Notamment par la généralisation du BIM, qui permet un vaste échange de données sur les chantiers. « Ce n’est pas parce que les techniques numériques sont considérées comme sûres qu’elles le sont réellement, précise notre expert. Tout dépend de l’usage qui en est fait. Le BIM propose un système d’accès commun et général à des données qui peuvent se révéler sensibles. Nous  l’appelons Common Data Environment. La protection des données part du principe que l’exploitant a pris les dispositions adéquates. Il faut exploiter au mieux le cloud et tenir compte du fait que derrière la technique se cache toujours l’humain ».

Aussi une affaire de marketing
Moritz Lüscher estime aussi que le cryptage des ordinateurs des collaborateurs peut aider à renforcer la sécurité. Il ne dédaigne pas non plus la pose de caméras de surveillance pour superviser l’accès aux bureaux. « Chaque employeur est libre, explique-t-il. Mais la cybersécurité est aussi une affaire de marketing. Nous aidons les patrons qui sont submergés d’offres à y voir plus clair et faire le meilleur choix. »

Les patrons doivent aussi sensibiliser leurs employés en permanence. Surtout lorsque les entreprises n’ont pas la taille critique suffisante pour développer elles-mêmes un concept de sécurité informatique.

Rappel en 17 points

Cybersécurité 3

Quelle: Société suisse des entrepreneurs

Les précautions à prendre pour ne pas se faire pirater touchent à la fois la gestion de son système informatique et son utilisation quotidienne.

La Société suisse des entrepreneurs édite sous forme de 17 questions-réponses un rappel des précautions  à prendre en matière de cybersécurité. Elles sont toutes axées sur l’organisation interne de l’entreprise, seul levier de protection efficace contre les attaques informatiques.

 - Existe-t-il un plan pour la sauvegarde centralisée et physique des données ?

 - Des responsabilités fermes concernant l’exécution de la sauvegarde centralisée des données sont-elles définies ?

- Y a-t-il des directives clairement définies sur la nature des données à sauvegarder et la durée de conservation ?

- Les enregistrements anciens sont-ils automatiquement écrasés par de nouvelles entrées ?

- Les données importantes sont-elles sauvegardées quotidiennement ?

- La possibilité d’utiliser des cookies est-elle proposée aux visiteurs du site Internet ?

- Les cookies sont-ils utilisés uniquement après que l’utilisateur a donné explicitement son consentement ?

 - Le site Internet de l’entreprise comporte-t-il une déclaration de confidentialité claire ?

- Les adresses IP des visiteurs du site Internet sont-elles rendues anonymes ?

- Est-il garanti qu’aucune donnée personnelle n’est transmise à Google Analytics ou à d’autres outils d’analyse ?

-  Les formulaires de contact disponibles sur le site Internet se limitent-ils aux informations vraiment nécessaires pour le service ?

- Le formulaire de contact contient-il une mention des directives de protection des données en vigueur ?

- Les données personnelles sont-elles enregistrées et transmises sous forme chiffrée et sécurisée ?

- Existe-t-il un journal automatique sur lequel les accès aux données personnelles et sensibles sont consignés ? 

- Les sites Internet sont-ils chiffrés et protégés par TSL  (Transport Layer Security) ou SSL (Secure Sockets Layer) ?

- Est-il garanti que la newsletter ne soit envoyée qu’après une inscription explicite ?

- L’inscription à la newsletter est-elle documentée et enregistrée ?

- Existe-t-il une directive de protection des données relative aux données personnelles conforme aux dispositions de la Loi fédérale sur la protection des données et son règlement d’application ?

Autres articles intéressants

Annonces

Dossiers

Bois

Bois

Le bois dans tous ses états

S'abonner à la newsletter.

Avec la Newsletter-Batimag, vous recevez régulièrement des nouvelles pertinentes et indépendantes sur l'actualité de la construction en Suisse et dans le monde.