Près de 80 % d’entre elles ne surveillent pas les technologies qui soutiennent les opérations essentielles des immeubles.

Bien que la plupart des sociétés immobilières canadiennes intègrent maintenant des technologies intelligentes dans leurs immeubles pour surveiller, gérer et entretenir de nombreuses fonctions, comme le chauffage, l’éclairage, les ascenseurs, les compteurs d’électricité et les systèmes d’alarme incendie, très peu d’entre elles ont investi pour s’assurer que ces systèmes ne peuvent pas être piratés, selon une nouvelle étude de KPMG au Canada.

Un sondage mené auprès de 17 des plus grandes organisations immobilières cotées en bourse et privées du Canada, représentant plus de 160 milliards de dollars en actifs immobiliers, a révélé que près de 80 %d’entre elles ne surveillent pas de façon proactive leur réseau ou leurs dispositifs de technologie opérationnelle (TO) pour détecter les menaces ou les vulnérabilités en matière de cybersécurité.

Selon l’étude, la moitié d’entre elles (50 %) n’ont pas d’inventaire de leurs actifs de TO et environ le quart (22 %) d’entre elles ont un inventaire incomplet ou mis à jour irrégulièrement. Les correctifs – un contrôle clé pour remédier aux nouvelles vulnérabilités – sont rarement déployés, et habituellement de façon ponctuelle.

« La technologie intelligente des bâtiments est courante dans l’industrie aujourd’hui et présente de nombreux avantages, mais elle comporte aussi des risques qui pourraient entraîner des problèmes de santé et de sécurité importants », affirme Tom Rothfischer, associé et leader national du groupe Bâtiment, immobilier et construction de KPMG au Canada. « Il est essentiel que ces mesures soient intégrées à leurs systèmes dès le départ. Mais laréalité est que la plupart des entreprises constatent maintenant qu’elles font du rattrapage pour combler les lacunes en matière de sécurité. »

L’étude a révélé que la plupart des sociétés immobilières ont un programme de cybersécurité et que la majorité d’entre elles ont de très petites équipes à l’interne chargées des principales activités de cybersécurité. Cependant, leurs rôles et responsabilités ne sont pas clairement définis. De plus, même si le conseil d’administration est régulièrement informé de la situation de l’organisation en matière de technologie de l’information (c’est-à-dire la capacité de prévoir les cybermenaces ou les cyberattaques, de les prévenir et d’y répondre), il n’est pas tenu au courant de la situation en matière de technologie opérationnelle. Seulement environ 10 % des entreprises produisent des rapports sur leur situation en ce qui a trait à la sécurité ou à la préparation en matière de TO.

Le sondage a révélé que la majorité (83 %) des répondants ont séparé leurs réseaux informatiques et opérationnels, réduisant ainsi le risque que des pirates se déplacent d’un réseau à l’autre.

« Il s’agit d’une première étape importante, mais elle ne suffit pas », soutient John Heaton, associé en cybersécurité chez KPMG. « Les réseaux de TO et de TI n’ont généralement pas les mêmes mécanismes de protection. De plus, de nombreux appareils de technologie opérationnelle fonctionnent avec des versions logicielles plus anciennes qui ne sont plus prises en charge.

« Il faut à tout prix éviter que des pirates infiltrent les systèmes et y insèrent des codes malveillants pour modifier ou prendre en charge les commandes et causer un dysfonctionnement », souligne-t-il.

Principales constatations :

  • 78 % des répondants ne surveillent pas de façon proactive leur réseau ou leurs appareils de technologie opérationnelle pour détecter les cybermenaces ou les vulnérabilités.
  • Aucune des entreprises sondées n’a répertorié tous ses actifs de TO :
    • 50 % n’ont pas un inventaire complet de leurs actifs de TO;
    • 22 % ont un inventaire incomplet qui n’est pas tenu à jour régulièrement;
    • 22 % n’ont inventorié que les actifs de TO critiques, et les 6 % restants les ont catalogués uniquement à des fins d’approvisionnement.
  • 72 % appliquent les correctifs de TO de façon ponctuelle (50 %) ou ne les ont jamais appliqués (22 %).
  • 89 % ne font pas régulièrement rapport au conseil d’administration de l’état de préparation des TO en matière de cybersécurité.
  • 83 % ont séparé leurs réseaux des TI et des TO.
  • 66 % ont une cyberassurance pour appuyer les efforts de reprise.
  • 50 % n’ont pas testé leurs capacités globales de réponse aux cyberincidents, ou n’en sont qu’au stade de la planification des tests.

Points à retenir

Les organisations immobilières devraient faire ce qui suit :

  1. Élargir leur approche de cybersécurité des TI de façon à y inclure les risques liés aux TO, faire intervenir des membres du conseil d’administration ayant de l’expérience en matière de TI ou de cybersécurité, ainsi que définir clairement et mettre en œuvre les rôles et les responsabilités en matière de cybersécurité à l’interne et à l’externe.
  2. Intégrer les TO dans les programmes de cybersécurité, notamment en déterminant les actifs essentiels, en produisant régulièrement des rapports sur les menaces, les vulnérabilités et les mesures prises, et en définissant les rôles et les responsabilités des équipes de cybersécurité et d’exploitation des TO.
  3. Faire l’inventaire de tous les actifs de TI et de TO afin de surveiller et de cibler les vulnérabilités en matière de cybersécurité et les correctifs.
  4. Surveiller les réseaux, les appareils et les actifs de TI et de TO pour détecter les cybermenaces ou les cyberattaques, en particulier lorsque les fournisseurs n’offrent pas de correctifs ou de mises à jour périodiques pour les vulnérabilités en matière de cybersécurité.
  5. Effectuer régulièrement des exercices de simulation de cybersécurité, y compris pour les rançongiciels et les courriels d’hameçonnage, afin de valider les processus et les responsabilités en matière de réponse aux incidents et de s’assurer qu’ils sont bien compris.