/

ActualitéCyber

Le cyber-risque pour le secteur immobilier

La construction ne figurait pas jusqu’ici en tête des secteurs ciblés par les attaquants, préférant la finance, la santé, la justice. Or nous assistons depuis peu à un changement de paradigme.

Aujourd’hui, peu importe le secteur d’activité d’une entreprise, la taille, ou le domaine. La cybersécurité concerne tout le monde.

Les entreprises de construction, de l’immobilier en général, de l’architecture et de l’ingénierie, ne font pas abstraction à la menace.

Comme dans les autres secteurs, la tendance est à l’accélération de la numérisation et l’évolution des méthodes de travail (travail à distance, cloud…) du secteur immobilier.

Le secteur a pris conscience du risque et renforce sa posture sécuritaire.

Est-ce aujourd’hui suffisant ? Quelles sont les caractéristiques de ce secteur en pleine mutation ?

Cybersécurité dans le secteur immobilier : quels enjeux ?

Sommaire

État des lieux

Secteur immobilier de quoi parle-t-on ?

Le secteur de l’immobilier se divise en 3 grands métiers :

  • Le métier de la production et de la promotion
  • Le métier de la transaction
  • Le métier de la gestion des biens

On retrouve des agences immobilières, des promoteurs immobiliers, des négociateurs immobiliers, des administrateurs de biens, des agences de gestion de biens, des gestionnaires locatifs et de copropriété. Mais également des architectes, des entreprises de BTP, toutes les activités dans le génie civil, Ingénieur, Etc.… La liste des acteurs est longue.

Cela représente en France 213 534 entreprises. En Espagne, l’économie est principalement constituée de micro-entreprises, dont le pourcentage le plus élevé appartient au secteur des services.

Constat cyber

Pourquoi le BTP, et plus globalement le secteur immobilier, est-il une cible facile pour les cyberattaquants ?

  • Les investissements des entreprises de construction dans le domaine sont en retard comparativement à d’autres secteurs.
    Ce manque de maturité en matière cyber s’explique par l’absence de réglementations, mais aussi par le manque de préparation. 74% des entreprises issues du secteur de l’immobilier ne sont pas préparées aux cyberattaques.
  • Autre point important : le manque de sensibilisation des salariés entraine aussi une vulnérabilité, cela ouvre une voie royale aux cyber attaquants.
    Le secteur embauche beaucoup de contractuels, de salariés intérimaires, qui ne maitrisent pas toujours les enjeux cyber.
  • La branche possède également un flux de trésorerie très important. Il représentera d’ailleurs 15 milliards de dollars d’ici 2030. L’industrie mondiale devrait croitre de 42%. Cela peut laisser croire que les entreprises paieraient plus facilement en cas de rançon…
  • Autre élément non négligeable, le secteur possède d’importantes ressources qui font briller les yeux des attaquants : des données stratégiques. C’est le cas par exemple lors de la construction de centrales nucléaires ou de centrales hydrauliques. Ces chantiers sont hautement stratégiques pour un Etat ou un concurrent.
  • Enfin le secteur de l’immobilier possède une quantité intéressante de données personnelles, le pétrole du 21ème siècle. Les informations confidentielles ou financières, les données des employés ou des clients sont intéressantes pour un pirate informatique.
  • Enfin le secteur est en pleine mutation technologique (réalité virtuelle, robotique, Machine Learning), cette transformation est à la fois une force et une faiblesse. Une faiblesse car tout le parc n’est pas toujours sécurisé de façon adaptée. Cette transformation augmente l’empreinte numérique et, avec elle, la surface d’attaque des entreprises du bâtiment.

Concrètement

En quelques chiffres :

En deux ans, le nombre d’attaques informatiques contre des acteurs du monde de l’immobilier a été multiplié par dix aux États-Unis, pour un total de pertes qui s’élève à 56 millions de dollars

Capital – L’immobilier, nouvelle cible privilégiée des hackers-2018

Ces statistiques sont confirmées par une autre enquête, celle de l’industrie immobilière par KPMG en 2021 a révélé que « 30 % des organisations avaient connu un événement de cybersécurité au cours des deux dernières années, et seulement 50 % des organisations ont déclaré qu’elles étaient suffisamment préparées pour prévenir ou atténuer une cyberattaque. »

Nature des attaques

La motivation des attaquants reste majoritairement le gain financier.

« 71% de toutes les cyberattaques sont motivées financièrement. », mais le sabotage, pour éliminer la concurrence ou l’affaiblir, et l’espionnage arrivent ensuite.
Globalement, le secteur de la construction est confronté aux mêmes menaces que les autres secteurs ; à savoir :

Les ransomware

Des cybercriminels pourraient prendre le contrôle de réseaux informatiques et les monnayer ou obtenir des informations qui pourraient être utilisées pour commettre des fraudes et d’autres crimes.

L’immobilier est ciblé pour des raisons financières, les attaquants n’hésitent pas à pratiquer la double voire triple extorsion.

Voici quelques exemples :

  • Bird Construction, une société canadienne, a subi une attaque de ransomware orchestrée par le groupe Maze en décembre 2019. La rançon exigeait 9 000 000 $.
  • En janvier 2020, l’entreprise Bouygues Construction a été victime d’une attaque de ransomware. 237 postes de travail avaient été chiffrés.
  • Bam Construct a été victime de cyberattaque à la suite d’une vulnérabilité découverte dans le site Web de l’entreprise, en mai 2020.
  • La société Ronmor Holdings, un promoteur immobilier, a été touchée fin septembre 2021 par un ransomware. Derrière l’attaque REvil. 755 Go de données volées.

Le phishing

Les attaques de hameçonnages sont monnaie courante, le but étant de recueillir des informations personnelles.
Les attaques les plus fréquentes sont les attaques de compromission de messagerie professionnelle BEC ou whaling et le spear-phishing.

Voici quelques exemples :

  • Solid Bridge Construction, une société américaine en a été victime. Coût de l’opération 210 312,00$ .
  • En décembre 2021, un promoteur immobilier français (Sefri-Cime) a perdu 35 millions d’euros, l’attaquant se faisant passer pour le patron de la société en exigeant des virements.

Le vol de données

Les entreprises de construction détiennent des informations très sensibles qui peuvent intéresser à la fois un concurrent ou un Etat.

La propriété intellectuelle, les brevets, ou le savoir-faire de l’entreprise, sont une mine d’or pour les attaquants. Des données d’appels d’offres peuvent constituer un avantage concurrentiel. Toutes ces données vont attirer l’œil d’un cybercriminel.

Voici un exemple :

  • En 2019, First American a été victime d’une violation de données, 885 millions de clients ont été exposés.

Vecteur des attaques

  • La menace interne fréquente dans ce milieu. Le cas de l’employé qui divulgue des données est malheureusement fréquent et ne s’explique pas uniquement par l’appât du gain. Bien souvent sa motivation est ailleurs, elle peut provenir de manque de reconnaissance, ou de soif d’ambition, d’orgueil, amenant l’individu à voler des informations de la société pour réussir dans une autre. La vengeance est aussi une explication.
  • D’autres menaces proviennent directement des Etats lorsqu’il s’agit de projet immobilier extrêmement stratégique. C’est le cas pour des constructions de centrales nucléaires, de barrages hydrauliques par exemple…
  • La chaine logistique: les projets de construction impliquent souvent plusieurs entités telles que des fournisseurs, des sous-traitants et des partenaires, ce qui fragilise la chaine de sécurité. Si ces entités sont compromises alors c’est toute la chaine qui potentiellement devient défaillante.
  • Les criminels ciblent aussi les fournisseurs de cloud pour accéder aux données. Il est important de comprendre les risques liés au stockage de données sensibles sans les précautions de sécurité appropriées.
  • Les IOT : Les bâtiments intelligents sont composés de systèmes interconnectés complexes, pourvus de vulnérabilités qui sont autant de portes d’entrée pour les cybercriminels. Actuellement, on recense dans le monde plus de 12 milliards d’objets connectés.

Conséquences

Au niveau de la législation

Chaque entreprise doit assurer la protection et la confidentialité des données clients, sécuriser les achats en ligne et les données bancaires des clients, des fournisseurs… En Europe, le non-respect du RGPD peut entraîner des sanctions juridiques et financières.

Il existe désormais en France un label appelé R2S pour ready2services. La Smart Building Alliance et Certivéa ont mis en place ce label pour les Bâtiments Tertiaires. Ce label vise à évaluer la qualité des services informatiques via 4 niveaux de certification offerts par un site et leur interopérabilité. https://r2s.certivea.fr/

Au niveau financier

Le moindre système en dysfonctionnement peut entraîner des conséquences financières graves.

  • La violation de la sécurité des données peut avoir un fort impact sur l’activité. Une machine qui ne fonctionne plus, un système informatique inopérant, et l’ensemble du projet prend du retard impliquant des pénalités financières quotidiennes. L’industrie de la construction dépend fortement de la capacité à livrer des projets dans les délais.
  • Cela peut aussi engendrer une incapacité à répondre à un appel d’offre, entrainant la perte de marchés colossaux.
  • Une attaque nuit à la relation de confiance établie entre une entreprise et ses clients et peut ternir son image et son e-réputation.
  • A ceci, il faut ajouter les frais indirects notamment de reconstitution de données, frais de personnel, d’équipement, d’honoraires d’experts …

Au niveau sécuritaire

Un incident de sécurité peut mener au chaos. La protection des infrastructures critiques doit rester une priorité. Imaginez une grue connectée dont on perd le contrôle.

On peut s’attendre (et c’est même déjà le cas) à des menaces de plus en plus sophistiquées notamment avec l’avènement de l’IA, du Machine learning, de l’Informatique quantique qui vont demander une grande adaptation et de fortes compétences spécifiques.

Comprendre le risque

Toutes les entreprises issues du secteur de la construction ne sont pas confrontées au même niveau de risque. Cela va dépendre

  • Du type d’entreprise
  • De la juridiction
  • De la quantité et la nature des informations personnelles détenues
  • De la façon dont une organisation est préparée à gérer un incident de sécurité

Il est donc pertinent pour ces structures de faire une évaluation claire des risques stratégiques. Tout le monde est acteur de ce processus.

Les risques doivent être quantifiés et qualifiés et être rapportés dans un langage simple à la direction, qui va ouvrir des budgets, et amorcer une vraie stratégie de protection, en mettant en place la technologie la plus appropriée.

Sur ce point, la priorité est de détecter et neutraliser les attaques entrantes, avant qu’elles ne nuisent à l’entreprise et c’est la valeur ajoutée de TEHTRIS au quotidien.

Les solutions TEHTRIS

TEHTRIS travaille avec les entreprises du secteur de l’immobilier pour renforcer leur posture de sécurité et les protéger des cybercriminels.

Les entreprises du secteur immobilier ont besoin de protéger l’ensemble de leur système d’information, de déployer facilement et rapidement la solution retenue, ou encore de trouver une solution compatible avec tous les OS du parc.

Dans ce contexte, TEHTRIS préconise, de manière prioritaire, le déploiement de solutions EDR pour la protection des postes de travail et MTD, pour la protection des téléphones et tablettes.

Grâce à la remédiation automatique, les outils informatiques et de production ne sont pas impactés. Le parc informatique est protégé à 360° contre les menaces les plus évoluées grâce à l’hyper automatisation et à l’intelligence artificielle CYBERIA de TEHTRIS, ainsi qu’à la Cyber Threat TEHTRIS CTI. Le déploiement est rapide et TEHTRIS propose un accompagnement dans le suivi de la roadmap cybersécurité.

TEHTRIS EDR et TEHTRIS MTD constituent deux des modules de la TEHTRIS XDR Platform. Cette plateforme modulaire et paramétrable de confiance est la solution de détection et de réponse augmentées adaptée aux cybermenaces fulgurantes.

TEHTRIS XDR Platform surveille, analyse, détecte et neutralise les menaces dans le monde entier au profit d’acteurs majeurs de l’immobilier, de l’industrie, des transports, de l’ingénierie, des services et des administrations.

Labellisé Cybersecurity Made in Europe, TEHTRIS est également le seul éditeur de l’Union européenne reconnu par Gartner® comme fournisseur XDR représentatif dans le Market Guide for eXtended Detection and Response 2021.TEHTRIS est également fournisseur représentatif dans le Market Guide for Mobile Threat Detection 2021.

En veille permanente sur la cybercriminalité et à l’écoute de ses clients, notre volonté est de réduire au maximum les risques, pour faire face à l’imprévisible.

SOURCES :

KPMG. Securing real estate assets in a digital world.2018

https://www.hka.com/cyberattacks/

https://www.natlawreview.com/article/real-estate-industry-target-cyberattacks

https://minfosec.com/cybersecurity-for-real-estate-agencies/

https://krebsonsecurity.com/2019/05/first-american-financial-corp-leaked-hundreds-of-millions-of-title-insurance-records/