La sensibilisation : Votre première ligne de défense contre les cyberattaques
Au fur et à mesure que le secteur de la construction adopte de nouvelles technologies et plonge davantage dans la transformation numérique, il importe de protéger les données sensibles contre les tactiques de plus en plus sophistiquées des cybercriminels. Il s’agit de veiller à la protection des documents, des renseignements personnels, des modèles de bâtiment et de bien d’autres éléments encore.
Comme 80 % des cyberintrusions commencent par un courriel, les cyberattaques deviennent de plus en plus coûteuses et de plus en plus courantes pour les entreprises de toutes tailles.
John Frainetti, directeur de la cybersécurité chez Graham, déclare qu’un changement de culture s’impose. « Le secteur de la construction a fait un excellent travail pour ce qui est de créer une culture de santé et de sécurité, explique John Frainetti. Nous devons élargir cette culture pour y inclure la sécurité numérique ou la cybersécurité. »
« Le secteur de la construction a fait un excellent travail pour ce qui est de créer une culture de santé et de sécurité. Nous devons élargir cette culture pour y inclure la sécurité numérique ou la cybersécurité. »
John Frainetti, directeur de la cybersécurité, Graham
M. Frainetti suggère que le secteur doit commencer à faire des analogies avec la sécurité sur les chantiers. En utilisant le même langage que celui adopté pour les évaluations des risques de sécurité physique, comme les quasi-accidents, les indicateurs avancés et l’identification des dangers, l’industrie commencera alors à reconnaître à quel point la cybersécurité est cruciale pour le bien-être d’une entreprise et de ses travailleurs.
Au cours de ses 12 années chez Graham, dont cinq comme directeur de la cybersécurité, M. Frainetti s’est concentré sur la création d’une stratégie de cybersécurité, entre autres, la sensibilisation, des tactiques de protection-détection-réaction, des mesures de conformité, la formation et la gestion des risques.
Selon M. Frainetti, la clé de la gestion des cyberrisques réside dans la formation et la sensibilisation. Les entreprises et leur personnel ne sont pas toujours conscients des cybermenaces qui existent dans l’espace de la construction, non seulement les menaces contre leur propre entreprise, mais aussi contre leurs fournisseurs.
Il a créé une liste de contrôle pour la cybersécurité afin d’aider les entrepreneurs à se préparer en vue de présenter leurs soumissions. Bien que cette liste ne soit pas exhaustive, il espère qu’elle servira de tremplin à une discussion sur les questions et les domaines dans lesquels les entreprises doivent commencer à réorienter leurs efforts afin de se protéger.
Cette liste comprend différents éléments à prendre en compte, entre autres, l’authentification multifacteur, les protocoles de mots de passe, la déclaration et la notification d’incidents, le cryptage des données, les correctifs de sécurité, les essais d’intrusion et la formation. « Si les maîtres d’ouvrage, les partenaires ou d’autres organisations n’ont pas encore commencé à vous poser des questions à ce sujet, ils ne tarderont pas à le faire », déclare M. Frainetti.
L’écosystème de la construction comporte de nombreuses voies qui peuvent exposer une entreprise à un cyberrisque. Plusieurs parties interviennent dans le cadre de projets, notamment des maîtres d’ouvrage, des promoteurs, des entrepreneurs généraux, des entrepreneurs spécialisés, des fournisseurs et d’autres tierces parties. Avec chaque nouvelle connexion numérique, l’éventail des points d’accès pour des attaques potentielles par des cybercriminels augmente.
Le partage des connaissances est essentiel, puisque tous les intervenants sont exposés à la même menace. Les entreprises devraient également mettre en œuvre des contrôles internes rigoureux, comme l’utilisation de mots de passe robustes, la formation des employés sur la manière d’identifier, d’éviter et de signaler les activités malveillantes et l’élaboration d’un plan d’intervention en cas d’incident – et si nécessaire, elles devraient investir dans des services/solutions de TI pour les aider.
M. Frainetti est conscient des défis que pose la mise en œuvre de ces cyberprotections pour les petites et moyennes entreprises, mais les entreprises de toutes tailles sont la cible de criminels, et les conséquences d’une attaque peuvent être très néfastes, qu’il s’agisse de l’impact sur les flux de trésorerie et la propriété intellectuelle ou de l’atteinte à la réputation et aux relations tout au long de la chaîne d’approvisionnement.
Son conseil : n’hésitez pas à partager. « N’ayez pas peur de partager des renseignements et de demander de l’aide. Il existe une foule de renseignements sur les pratiques exemplaires à suivre qui peuvent aider les petites entreprises. »
Ressources utiles
Centre canadien pour la cybersécurité
- Ce site offre une source unifiée de conseils, d’avis, de services et de soutien spécialisés en matière de cybersécurité pour les Canadiens.
La cybersécurité pour les entreprises de construction (en anglais, National Cyber Security Centre, Royaume-Uni
- Ce site fournit des conseils pour aider les petites et moyennes entreprises de construction à se protéger contre les cyberattaques.
Canadian Cyber Threat Exchange (CCTX)
- Ce site partage des renseignements sur les cybermenaces entre les différents secteurs d’activité.