Cybersécurité et immobilier : comment améliorer son niveau de protection face aux attaques ?
Aucune entreprise n’est à l’abri des risques cyber. Celles du secteur de l’immobilier encore moins ! Les agences détiennent de nombreuses données clients et réalisent des opérations financières : c’est suffisant pour attiser les convoitises des hackers. La combinaison entre les bonnes pratiques des dirigeants et des collaborateurs et l’installation de solutions informatiques adaptées permet de limiter les tentatives de cyberattaques. Mais en la matière, le risque zéro n’existe pas. Il est donc indispensable d’y ajouter la souscription d’une assurance cyber.
SOMMAIRE
● Les cyberattaques n’épargnent pas les entreprises de l’immobilier
● Quels sont les principaux risques cyber pour le secteur immobilier ?
● Les bonnes pratiques à appliquer au quotidien
● L’enjeu de la sensibilisation continue à la cybersécurité
● Des solutions pour la protection des systèmes informatiques
● Et pourquoi pas un audit de sécurité cyber ?
● L’assurance cyber pour protéger son activité
Les cyberattaques n’épargnent pas les entreprises de l’immobilier
Ces exemples illustrent une criante réalité : les cyberattaques touchent de plein fouet les professionnels de l’immobilier. Par leur taille, bien souvent des TPE‑PME, ces entreprises constituent des cibles de choix auxquelles les hackers s’intéressent particulièrement. Selon le bilan 2022 de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), les TPE‑PME représentent 40 % des attaques par rançongiciels. Et seul un tiers des TPE et PME est considéré comme correctement paré.
Une étude du cabinet de conseil Asterès, publiée en juin 2023 et qui se fonde sur l'analyse de 385 000 cyberattaques en France en 2022, pointe les conséquences désastreuses des attaques. Leur coût moyen s’élève à 59 000 euros pour les entreprises et les organisations. Sur le total des 385 000 cyberattaques évaluées par le cabinet, 90 % touchent des entreprises privées. Et en grande majorité des PME (330 000).
Quels sont les principaux risques cyber pour le secteur immobilier ?
Ces attaques sont souvent retentissantes. Les rançongiciels représentent désormais l’une des principales menaces pour les professionnels de l’immobilier. Le principe ? Les cybercriminels aspirent ou chiffrent les fichiers de l’entreprise (qui contiennent de nombreuses données personnelles et sensibles des clients). Ces éléments ne seront restitués qu’en échange du paiement d’une rançon.
Le piratage des boîtes mail constitue une autre menace importante. Un hacker qui s’introduit en toute simplicité dans le contenu de la messagerie pourra aisément se faire passer pour un membre de l’agence et réaliser des virements frauduleux. L’arnaque « au président », également appelée « arnaque aux faux ordres de virement » est une attaque désormais bien connue. Elle continue de faire des victimes.
Le phishing n’en finit pas non plus de faire des ravages. Il consiste à tromper le destinataire d’un e‑mail pour obtenir des données, par exemple ses informations bancaires.
C’est également le plus souvent par l’e‑mail qu’un malware peut être introduit dans les systèmes informatiques d’une entreprise de l’immobilier. La conséquence de ce logiciel malveillant : des dommages catastrophiques.
Enfin, les attaques en déni de service (DDoS) se multiplient elles aussi. Elles visent à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer. Ce qui provoque une panne ou un fonctionnement fortement dégradé du service.
Les bonnes pratiques à appliquer au quotidien
Fuites de données des agences et de leurs clients, blocage de l’activité, pertes financières : avec ces attaques, les hackers font planer de multiples risques sur le secteur immobilier.
Pourtant, en matière de cybersécurité, des gestes simples appliqués au quotidien par les collaborateurs et les collaboratrices peuvent considérablement limiter la menace.
● Les mots de passe : ils doivent être différents pour chaque service utilisé, suffisamment longs, complexes et impossibles à deviner (mélangeant des majuscules, des minuscules, des chiffres et des symboles). Ne jamais les communiquer à un tiers.
● La double authentification : elle demande à chaque utilisateur de disposer de deux moyens pour s’identifier. Un code secret envoyé sur smartphone ou une clé digitale par exemple valident son identité et limitent les risques d’intrusion.
● Réaliser fréquemment des sauvegardes des données des PC, téléphones portables, tablettes, et en conserver une copie sur un support externe (clé ou disque). En cas de piratage, elles seront à l’abri.
● Les mises à jour des appareils et des logiciels : réalisées régulièrement, elles permettent la mise en place des correctifs de sécurité. On limite ainsi les failles par lesquelles les hackers peuvent s’introduire pour mener des cyberattaques.
Les agents immobiliers sont de plus en plus nomades. Raison pour laquelle il convient également de se méfier des réseaux wifi publics ou inconnus. En mobilité, mieux vaut privilégier la connexion à son abonnement téléphonique. En effet, les pirates peuvent facilement contrôler ou usurper ces réseaux wifi souvent mal sécurisés.
L’enjeu de la sensibilisation continue à la cybersécurité
Connaître les bonnes pratiques en cybersécurité, c’est bien. Les garder en tête et les appliquer sur la durée, c’est mieux ! Dans ce cadre, certaines entreprises se dotent d’une charte informatique qui rappelle aux collaborateurs les règles essentielles à respecter pour élever le niveau de protection. En complément, des opérations régulières de sensibilisation, comme des sessions de formation, peuvent être menées. Les messages de prévention resteront à l’esprit.
Pour instaurer une véritable culture du risque cyber, deux organismes gouvernementaux délivrent par exemple des formations gratuites en ligne à destination des TPE‑PME.
France Num apprend à se protéger et à approfondir ses connaissances pour avoir les bons comportements au quotidien. Vidéos, courts écrits, exercices, quiz... tout est conçu par des experts de la sécurité du numérique.
De son côté, Galian propose également des webinars. De son côté, l’ANSSI dispose d’une formation dont l'objectif est que chaque utilisateur (dirigeant et collaborateur d’entreprise) puisse devenir acteur de la sécurité numérique dans son environnement professionnel.
Des solutions pour la protection des systèmes informatiques
Le volet humain de la cybersécurité est incontournable. Mais les solutions techniques de protection des systèmes informatiques complètent évidemment cet arsenal anti‑attaques.
Parmi eux, quelques indispensables :
● L'installation d’un antivirus : il s’agit d’un programme informatique ou d’une application qui identifie, neutralise, voire élimine les virus informatiques.
● La mise en place de pare‑feux : ils assurent la gestion des entrées et des sorties dans le système informatique et détectent un intrus dès son apparition. Ils bloquent les connexions non autorisées.
● La sécurisation de l’accès au wifi de l’entreprise : dans l’interface de configuration, il est possible de modifier l’identifiant de connexion et le mot de passe par défaut du fournisseur d’accès, trop facilement « craquables ». Certaines bornes wifi permettent le chiffrement des identifiants et des mots de passe.
● Le recours aux logiciels de chiffrement : ils sont très utiles pour protéger les données sensibles. Ils chiffrent les données pour les rendre illisibles aux yeux des tiers ou pour s’assurer que des personnes non autorisées ne puissent les intercepter et les lire.
Et pourquoi pas un audit de sécurité cyber ?
Vous ne savez pas trop où en est votre entreprise en matière de cybersécurité ? Et si vous optiez pour un audit de sécurité de votre système informatique ?
L’audit met en lumière les failles et dysfonctionnements éventuels notamment en réalisant des tests d’intrusion dans les systèmes afin d’évaluer leur robustesse. Une fois les vulnérabilités détectées, l’entreprise pourra mettre en place les actions correctives.
Dans ce cadre, début mars 2023, la banque publique d’investissement (Bpifrance) a déployé un outil de diagnostic numérique dédié aux PME. Diag Cybersécurité est ouvert à toutes les structures de moins de 250 salariés, qu’elles soient clientes ou non de l’organisme bancaire. Un spécialiste cyber se rend dans l’entreprise pour évaluer le niveau de sécurité des infrastructures et les points de vulnérabilité. À l’issue de la mission, un diagnostic complet est remis à l’entreprise avec une liste de recommandations. De quoi procéder rapidement aux actions de protection jugées prioritaires.
L’assurance cyber pour protéger son activité
Les professionnels de l’immobilier ont beau prendre toutes les précautions possibles pour protéger leurs systèmes informatiques, nul n’est à l’abri. Tous les experts en cybersécurité le disent : le risque zéro n’existe pas. Face à cette réalité, le meilleur rempart demeure la souscription d’une assurance cyber.
Une bonne cyberassurance, telle que celle proposée par Galian, doit couvrir toutes les pertes financières et les frais associés à une cyberattaque et ses conséquences les plus courantes. Parmi eux, le coût de récupération des données, les frais juridiques, les frais de notification des clients, les frais de gestion de crise et de communication, les pertes d’exploitation subies par l’entreprise, etc.
Ce qu’il faut retenir :
● Les entreprises du secteur de l’immobilier subissent des cyberattaques aux conséquences financières importantes.
● Les rançongiciels, le phishing, l’arnaque aux faux virements et les attaques en déni de service constituent les principales menaces.
● Mots de passe robustes, double authentification, sauvegardes et mises à jour régulières permettent d’améliorer sa protection.
● Des organismes officiels délivrent des formations gratuites ouvertes aux TPE‑PME.
● Des solutions techniques de protection des systèmes informatiques complètent l’arsenal des bonnes pratiques.
● Les audits de sécurité réalisés par des experts en cybersécurité mettent au jour les vulnérabilités des systèmes afin de bien les corriger.
● L’assurance cyber est une protection supplémentaire et indispensable pour les entreprises.