Éliminez les failles de sécurité dans votre chaîne d’approvisionnement intelligente
Le recours aux systèmes intelligents et aux appareils connectés dans les immeubles commerciaux et résidentiels monte en flèche, tout comme l’ampleur des problèmes de cybersécurité qui en résultent. Qu’il s’agisse des systèmes CVCA, des systèmes d’éclairage et d’ascenseurs ou des capteurs qui collectent les données en arrière-plan, les technologies émergentes offrent des avantages de taille, notamment une plus grande fonctionnalité et une meilleure satisfaction des clients.
Elles sont conçues avant tout pour offrir à l’utilisateur efficacité et convivialité, et ne tiennent pas toujours compte de la cybersécurité. Avec l’expansion et l’adoption de tels systèmes et appareils, les nouveaux fournisseurs ne font pas toujours l’objet de contrôles adéquats, et les fournisseurs existants n’ont pas le soutien requis pour renouveler leurs systèmes opérationnels. Les pirates informatiques qui tentent d’accéder à vos systèmes et à vos données sont plus persévérants et patients que jamais et ils exploreront chaque avenue afin de repérer vos maillons faibles, qui se trouvent souvent du côté des fournisseurs et de leurs systèmes.
[ En bref ]
- Les technologies d’immeubles connectés peuvent affaiblir considérablement la cybersécurité des immeubles commerciaux et résidentiels.
- Les failles dans la sécurité des technologies et des pratiques des tiers sont courantes et échappent à la volonté des gestionnaires et des propriétaires d’immeubles.
- La meilleure politique de gestion du risque qui soit passe par un examen rigoureux des fournisseurs et une formation adéquate du personnel d’approvisionnement.
Pour obtenir d’autres conseils utiles sur l’approvisionnement, consultez le Guide du bien-être cybernétique 2020 de la BOMA (en anglais seulement).
Grands pouvoirs, grandes vulnérabilités
Les systèmes intelligents, pensés surtout pour améliorer la convivialité et la fonctionnalité, relèguent parfois la cybersécurité au second plan. Dans un contexte où constructeurs et gestionnaires d’immeubles se livrent à une course effrénée pour suivre les tendances et affronter la concurrence, les nouveaux fournisseurs ne font parfois l’objet d’aucun contrôle et, dans bien des cas, ceux que nous connaissons déjà tardent à fournir le soutien qui s’impose pour adopter de nouveaux systèmes opérationnels.
La multiplication des technologies intelligentes est une occasion en or pour les cybercriminels qui s’attaquent aux chaînes d’approvisionnement, ce qui vous rend vulnérable si des parties non autorisées passent par vos fournisseurs, ou leurs fournisseurs à eux, pour accéder à vos systèmes ou à vos données.
Connaissez vos lacunes
À votre insu peut-être, il est possible que les situations ci-dessous existent dans votre portefeuille d’immeubles, vous exposant du même coup à des cyberrisques :
Accès par des tiers
Plusieurs fournisseurs de services (entretien, ingénierie, etc.) pourraient avoir un accès physique ou virtuel à vos réseaux de technologie de l’information (TI), à vos systèmes de technologie opérationnelle (TO), à vos codes de logiciel ou à votre réseau Internet (câblé ou sans fil).
Points d’accès multiples
Vos systèmes ou données pourraient compter différents points d’accès, ce qui entrave la sécurité physique de vos immeubles.
Pratiques inadéquates en matière de sécurité des systèmes et des renseignements
Les fournisseurs en début de chaîne pourraient n’avoir aucune certification adéquate et n’appliquer aucune pratique reconnue pour protéger vos systèmes et vos renseignements.
Logiciel ou matériel informatique d’un fournisseur compromis
Vos immeubles pourraient abriter des technologies tierces vulnérables, laissant la voie libre aux cybercriminels.
Multiples tiers connectés
Les personnes, les technologies, les fournisseurs et les invités qui sont connectés à vos systèmes pourraient avoir la capacité de collecter, de colliger ou de stocker des données sur vos immeubles.
Manque de formation et d’informations sur la cybersécurité
Des employés pourraient ignorer les questions à poser, les signaux d’avertissement à surveiller et les cyberrisques à considérer lorsqu’ils coopèrent ou collaborent avec des fournisseurs.
Les données à risque sont peut-être beaucoup plus nombreuses que vous ne le croyez. Menace à la sécurité de vos effectifs, dommages à vos immeubles et coûts connexes : votre organisation pourrait en souffrir considérablement si ces données étaient compromises.
Couvrez vos arrières
Assurez-vous de corriger l’ensemble des vulnérabilités informatiques de votre chaîne d’approvisionnement et de prendre les mesures nécessaires pour vous doter d’une cybersécurité qui couvre tous les angles. Pour ce faire, évaluez minutieusement vos fournisseurs, vérifiez leurs références et établissez des attentes claires à l’égard de leurs politiques et de leurs procédures internes avant de conclure un contrat ou d’installer un logiciel ou du matériel informatique dans vos locaux.
Vous devez en outre investir dans la formation des membres de votre propre équipe pour qu’ils développent leurs connaissances de l’enjeu, surtout s’ils travaillent directement avec vos systèmes et vos fournisseurs. Enfin, favorisez une culture axée sur la proactivité et l’autonomie, et définissez des attentes précises envers tous ceux qui gèrent, utilisent ou entretiennent la technologie dans vos immeubles.
Consultez le Guide du bien-être cybernétique 2020 de la Building Owners and Managers Association of Canada (BOMA) pour obtenir d’autres conseils utiles sur l’approvisionnement et la cybersécurité à l’intention des gestionnaires et des propriétaires d’immeubles faisant appel à des fournisseurs.
« Par le passé, l’approvisionnement était perçu comme une fonction transactionnelle, mais il faut maintenant y voir une stratégie pour renforcer votre cybersécurité et vous protéger contre toute intrusion dans vos systèmes et vos données qui passe par vos fournisseurs. »
Trent Bester, vice-président principal,
Consultation et secteur public, MNP sencrl, srl
Si vous avez des questions ou souhaitez en savoir plus sur les façons de renforcer la sécurité de votre chaîne d’approvisionnement intelligente, vous pouvez communiquer avec l’auteur en tout temps.