Les défis de la cybersécurité dans le secteur de la construction

La cybersécurité est devenue un enjeu clé pour toutes entreprises, tous secteurs d’activité confondus, y compris l’industrie de la construction, que l’on pense (à tort) parfois bien loin des considérations digitales. Pourtant, les entreprises du BTP sont de plus en plus confrontées aux problématiques cyber, allant du vol de données sensibles à l’infiltration de systèmes. Cela est en partie dû à la nature même de l’industrie de la construction, qui repose fortement sur la mobilité des travailleurs et le recours à des travailleurs temporaires. Mais alors quelles sont les solutions ?

Les défis de la cybersécurité dans le secteur de la construction

A l’image d’autres secteurs d’activité, l’industrie de la construction présente quelques défis en matière de cybersécurité. Premièrement, le BTP est fortement dépendant (entre autres) des systèmes de gestion de projets, des logiciels de conception assistée par ordinateur, des systèmes de gestion des ressources humaines et des systèmes financiers, entre autres. Ces outils contiennent des informations sensibles et confidentielles qui peuvent ciblées par les cybercriminels.

Deuxièmement, et c’est plus spécifique à ce secteur, la nature mobile et temporaire de la main-d’œuvre peut également rendre ces systèmes vulnérables à la sécurité, sur la partie gestion des accès. Par exemple, un travailleur intérimaire peut avoir besoin d’accéder à une partie du SI pour effectuer son travail. Cependant, si les informations d’identification de ce travailleur ne sont pas correctement gérées, cela peut donner lieu à des situations où des personnes non autorisées ont accès à des informations sensibles.

Sans compter que les travailleurs mobiles utilisent souvent des appareils personnels pour accéder aux systèmes de l’entreprise, une mauvaise pratique qui peut également poser des problèmes de sécurité.

L’importance de la gestion de l’identité et des accès

La gestion des identités et des accès (IAM) est une approche qui aide à renforcer la sécurité des données. Elle consiste à garantir que seules les personnes autorisées ont accès aux systèmes et aux données de l’entreprise, grâce à des mesures telles que l’authentification à multi-facteurs, la vérification des identités des utilisateurs et la surveillance des logs. En mettant en œuvre une solution IAM, une entreprise peut ainsi s’assurer que seules les personnes autorisées ont accès à ses systèmes et à ses données…réduisant ainsi le risque de cyberattaques !

Rappelez-vous que l’ingénierie sociale et les comportements utilisateurs jouent un rôle prépondérant dans la très grande majorité des incidents cyber.

Les solutions IAM pour le secteur de la construction

Le secteur du BTP a des besoins spécifiques en matière de gestion de l’identité. Une entreprise doit par exemple pouvoir gérer efficacement les accès et identités de ses travailleurs intérimaires, notamment pour éviter que ces derniers aient accès à des informations sensibles après la fin de leur contrat.

Une solution IAM peut aider à répondre à ces besoins en fournissant un contrôle centralisé sur qui a accès à quoi, et en assurant une surveillance continue des activités des utilisateurs.

Et pour faire le bon choix, il y a plusieurs caractéristiques clés à rechercher :

la solution doit être capable de gérer un grand nombre d’identités ;
elle doit offrir un contrôle granulaire sur les accès, permettant par exemple de restreindre l’accès à certaines informations en fonction du rôle ou de la fonction de l’utilisateur ;
elle doit être capable de suivre et de rapporter les activités des utilisateurs, afin de détecter toute activité suspecte.

Parmi les principales solutions de gestion des identités et des accès, on peut citer Ilex IAM Platform, Ping Identity ou OneLogin par exemple.

Formation et sensibilisation : un travail obligatoire

La formation et la sensibilisation sont également des éléments clés de toute stratégie de cybersécurité. Et c’est encore une fois particulièrement vrai dans le secteur de la construction, où de nombreux travailleurs peuvent ne pas être familiarisés avec les bonnes pratiques en matière de cybersécurité. En formant, dès les premiers jours, les travailleurs à reconnaître les menaces potentielles et à adopter des comportements sûrs, les entreprises peuvent réduire le risque de cyberattaques.

Cette formation (sensibilisation), même si elle est proposée sur quelques heures seulement, doit couvrir un certain nombre de points essentiels.

Tout d’abord, les travailleurs doivent être formés à reconnaître les menaces potentielles, comme les courriels de phishing ou les logiciels malveillants.

Deuxièmement, ils doivent être formés à adopter des comportements sûrs, comme l’utilisation de mots de passe forts et le changement régulier de leurs mots de passe.

Enfin, ils doivent être formés à signaler toute activité suspecte à leur supérieur ou à leur équipe de sécurité informatique.

Une revue basique des bonnes pratiques qui peut à elle seule, si elle est correctement effectuée et respectée, peut offrir une vraie protection de premier niveau à l’entreprise.

Des pratiques de plus en plus répandues

Il existe de nombreux exemples d’entreprises du BTP qui ont réussi à améliorer leur sécurité grâce à la mise en œuvre de solutions IAM. Si ces dernières ne communiquent pas facilement sur le sujet, il est fortement probable que des grandes entreprises de construction comme Bouygues ou Vinci ont déjà réussi à réduire le nombre d’incidents de sécurité en mettant en place des solutions IAM, pour protéger les données sensibles liées à leurs chantiers à budgets pharaoniques.

La cybersécurité est donc bel et bien un enjeu crucial pour l’industrie de la construction, de prime abord éloigné des considérations numériques. Face aux défis spécifiques de ce secteur, tels que la mobilité des travailleurs et la présence de nombreux travailleurs intérimaires, les entreprises de construction doivent mettre en place des mesures solides pour protéger leurs systèmes et leurs données. Les solutions IAM peuvent jouer un rôle clé à cet égard, en offrant un contrôle centralisé des accès et une surveillance constante des activités des utilisateurs. Cependant, pour que ces solutions soient efficaces, il est essentiel de former et de sensibiliser tous les travailleurs aux menaces de cybersécurité et aux comportements sûrs. En fin de compte, comme partout, la sécurité informatique n’est pas seulement une question de technologie, mais aussi de personnes.