Christopher Demas, Responsable des Solutions Techniques et de l’Innovation chez Marsh Construction, a déclaré : « Les résultats de cette enquête confirment largement ce que nous avons entendu de nos clients, avec une adoption des technologies toujours en plein essor. »
« À mesure que la technologie continue de permettre des gains d’efficacité, la demande pour son adoption et son utilisation va inévitablement croître, tout comme le besoin de partager des informations au-delà des frontières organisationnelles. Chaque fois qu’un partage d’informations est demandé, voire nécessaire, le risque de cyber-intrusion augmente, et les entreprises doivent s’assurer qu’elles disposent de la résilience nécessaire pour répondre à ces risques accrus. »
« Par ailleurs, avec l’expansion continue des capacités de programme, des partenariats et des fusions et acquisitions dans le domaine des logiciels, les clients doivent anticiper et planifier les fluctuations de leur profil de risque à mesure que leurs fournisseurs évoluent sur le marché et que les données peuvent être exposées plus largement que prévu à l’origine. »
Risques Cyber
Phishing
L’augmentation des attaques par phishing coïncide avec la montée des IA génératives et des deepfakes, rendant les attaques de plus en plus sophistiquées. Cela souligne la nécessité pour les entreprises de former leurs employés dans divers domaines de la cybersécurité, notamment pour reconnaître la fraude liée à l’ingénierie sociale. Les employés constituent une ligne de défense essentielle contre l’ingénierie sociale et doivent être formés pour identifier les emails de phishing et autres menaces. Parallèlement, l’organisation doit déployer des contrôles de cybersécurité efficaces pour empêcher les emails suspects d’atteindre les boîtes de réception.
Violations de données et risques liés à la vie privée
À mesure que les entreprises utilisent davantage la technologie pour générer, collecter et analyser des informations en temps réel, elles se confrontent à des risques accrus concernant la collecte, l’utilisation et la diffusion appropriées des données sous-jacentes. Il est important d’élaborer une stratégie de protection des données qui garantisse un traitement adéquat des informations – y compris la conformité avec les réglementations existantes, changeantes ou émergentes – et qui protège tant les données de l’entreprise que celles de ses clients.
Historiquement, les risques liés à la vie privée étaient exclusivement liés aux violations de données ou à des incidents de sécurité spécifiques. Cependant, ce risque inclut désormais la collecte, l’utilisation, la divulgation ou la destruction non autorisée ou abusive d’informations confidentielles pouvant porter atteinte à la vie privée d’un individu ou d’une organisation, et cela peut se produire sans qu’il y ait violation des données, par exemple si une organisation maltraite le processus de collecte des données. Les pertes peuvent alors s’accumuler, y compris en raison de problèmes de régulation et de litiges.
Ransomware
Au cours des dernières années, les ransomwares ont suscité une attention médiatique considérable, notamment en raison des coûts potentiellement élevés d’une attaque réussie. Comme pour tous les aspects des risques cyber, il est crucial de garder à l’esprit que le paysage des ransomwares évolue constamment. Récemment, les spécialistes en cybersécurité de Marsh ont constaté une diminution des taux de paiement des rançons en moyenne, bien que certains attaquants aient intensifié la fréquence des attaques, d’autres leur gravité, et certains aient fait les deux. Il semble que cette baisse des paiements soit en partie due à la mise en place de contrôles cyber plus robustes, incitant davantage d’entreprises à ne pas céder aux demandes de rançon.
Les entreprises apprennent également que, dans de nombreux cas, le paiement d’une rançon ne conduit pas à une décryption efficace des données – ni à leur suppression – et peut ne pas avoir d’impact matériel significatif. Des contrôles de cybersécurité solides restent cruciaux pour la gestion du risque de ransomware.
Risque lié à la chaîne d’approvisionnement
À l’ère de l’interconnexion omniprésente, il ne suffit pas de s’assurer que ses propres contrôles de risques cybernétiques sont à jour. Comme dans d’autres secteurs, les relations au sein de la chaîne d’approvisionnement et avec des tiers méritent toute l’attention des entreprises de construction.
Les trois quarts des répondants à notre enquête sur la construction ont indiqué que des contraintes d’approvisionnement avaient entraîné un certain niveau de retard dans leurs projets en 2024. À mesure que la gestion des perturbations de la chaîne d’approvisionnement devient plus complexe, les entreprises doivent réaliser des évaluations approfondies des risques de leurs fournisseurs et sous-traitants, notamment en évaluant leur hygiène cybernétique.
La résilience numérique de la chaîne d’approvisionnement repose sur la compréhension de l’ensemble de l’écosystème des risques. Cela signifie identifier et évaluer les risques potentiels de toutes les sources, y compris les prestataires de services technologiques tiers, les logiciels, le matériel, les plateformes, les bases de données et les partenaires commerciaux tels que les clients et les fournisseurs.
Protéger les avancées
Alors que les entreprises de construction numérisent de plus en plus leurs opérations, leur exposition aux risques cybernétiques va inévitablement augmenter. Ces organisations doivent gérer le risque cyber par une approche combinée intégrant des solutions d’assurance et de cybersécurité, mobilisant des experts en affaires, en sécurité, en opérations et en gestion des risques.
En adoptant des stratégies de gestion des risques qui incluent un programme complet de gestion des risques et une assurance cyber, tout en maintenant une posture de cybersécurité robuste, les entreprises du secteur de la construction peuvent minimiser le risque d’incidents cybernétiques et protéger leurs données sensibles, leurs opérations et leur réputation. Il est essentiel de revoir et de mettre à jour régulièrement les mesures de cybersécurité pour s’adapter aux menaces et technologies évolutives.
Bon à savoir
- La formation des employés est cruciale pour reconnaître les menaces, notamment celles liées à l’ingénierie sociale.
- La gestion des données est soumise à des régulations qui évoluent constamment, il est donc important d’être informé des changements législatifs.
- Les entreprises doivent réaliser des assessments réguliers des risques associés à leurs fournisseurs pour garantir une cybersécurité optimale.
L’augmentation des cyberrisques invite à réfléchir sur notre dépendance croissante aux technologies. Il serait intéressant de considérer comment les entreprises peuvent mieux intégrer la cybersécurité dans leur culture organisationnelle pour anticiper les menaces futures. Comment la sensibilisation au risque peut-elle transformer la façon dont les employés et les dirigeants abordent la sécurité des données ?