Rapport sur la cybercriminalité

Introduction

La cybercriminalité est une préoccupation croissante pour le secteur de la construction au Moyen-Orient.

Face à la montée de la cybercriminalité et des cyberattaques, il est devenu primordial pour les entreprises du monde entier de donner la priorité à la mise en place de mesures de cybersécurité solides.

Freshfields Bruckhaus Deringer, Accuracy et New York University Abu Dhabi (NYUAD) ont collaboré à la réalisation d'une enquête exhaustive dans le secteur de la construction de la région du Moyen-Orient (l'enquête sur le secteur de la construction). Enquête). L'objectif de l'enquête était d'évaluer les risques auxquels les participants aux projets de construction sont confrontés en matière de cybercriminalité et de mesurer leur niveau de préparation.

Ce rapport examine les pratiques courantes en matière de cybercriminalité et de cybersécurité dans le secteur de la construction au Moyen-Orient en utilisant les résultats de l'enquête. Outre cette introduction, le rapport est structuré comme suit :

  • La section II présente le résumé exécutif.
  • La section III présente les principales conclusions de l'enquête, en soulignant notamment les risques qui rendent le secteur plus vulnérable.
  • La section IV présente nos recommandations sur les meilleures pratiques en matière de cybersécurité, y compris les stratégies d'atténuation, pour le secteur de la construction, sur la base des données et des conclusions recueillies dans le cadre de l'enquête.
  • La section V explique la méthodologie adoptée pour recueillir et analyser les données de l'enquête.
  • La section VI présente notre conclusion et les principaux points à retenir des résultats de l'enquête.

Le secteur de la construction est vulnérable aux cyberattaques

Partout dans le monde, le secteur de la construction a été durement touché par la montée de la cybercriminalité ces dernières années. Pour prendre un exemple, l'entreprise de construction néerlandaise Royal Bam Group a été victime de cyberattaques en 2020, lorsque des cybercriminels ont crypté les données de l'entreprise, empêchant tout accès à celles-ci. L'entreprise a dû mettre hors ligne un certain nombre de ses systèmes pour neutraliser l'attaque. 1 En effet, la numérisation croissante des processus de construction a donné aux cybercriminels de nouvelles possibilités de cibler les participants aux projets de construction, qui détiennent désormais des quantités de plus en plus importantes de données sensibles dans des référentiels en ligne. Malgré la dépendance croissante à l'égard des processus numériques, la sensibilisation à la cybersécurité dans le secteur reste relativement faible. Cette vulnérabilité ressort clairement d'une enquête réalisée en 2021, qui a mis en évidence la vulnérabilité du secteur aux cyberattaques et les taux élevés de réussite de ces attaques.

Dans le même temps, la cybersécurité n'a pas fait l'objet d'une grande attention de la part des chercheurs dans le domaine de la construction, comme le montre une étude aca- démique. 3 Les résultats de l'enquête mettent en lumière l'ampleur et la portée du problème et soulignent la nécessité urgente pour les participants aux projets de construction de prendre la cybersécurité au sérieux.

Pourquoi les entreprises doivent-elles se préoccuper des cyberincidents visant le secteur de la construction au Moyen-Orient ?

Si les entreprises de tous les secteurs sont susceptibles de subir des cyberattaques, les aspects quelque peu uniques du secteur de la construction, à savoir la complexité des projets, les niveaux d'implication des parties prenantes, l'importance accordée à l'efficacité des délais et la forte dépendance à l'égard des données personnelles et professionnelles sensibles, peuvent rendre l'impact des cyberattaques sur les entreprises du secteur de la construction particulièrement préjudiciable. Les entreprises du Moyen-Orient courent un risque encore plus grand, compte tenu des relations étroites qu'elles peuvent avoir avec des entités gouvernementales dans le cadre de projets ou du taux de croissance croissant dans la région, qui ne s'accompagne pas toujours d'un investissement proportionnel dans la cybersécurité. Nous notons en particulier

  • Les projets de construction requièrent une efficacité temporelle. Le temps, c'est de l'argent dans un projet de construction, le risque de retard étant contractuellement réparti au sein de la chaîne d'approvisionnement. Par conséquent, une cyberattaque qui met en péril l'avancement diligent d'un projet peut avoir des ramifications importantes.
  • Les projets de construction reposent sur des données sensibles. Les plans et les dessins utilisés pour la construction peuvent fournir des informations concernant les points d'accès et les faiblesses en matière de sécurité de la structure finie. Il s'agit de données sensibles, en particulier pendant la phase d'exploitation du projet (par exemple, si des systèmes spéciaux de l'aéroport sont accessibles pendant l'exploitation en raison de piratages inconnus pendant la phase de conception et de construction).
  • Les projets de construction ont des chaînes d'approvisionnement complexes. Les chaînes d'approvisionnement des projets de construction peuvent être très longues, et même le niveau le plus bas de la chaîne d'approvisionnement peut avoir accès à des plans, des conceptions et d'autres données sensibles. Pour protéger les données du projet, chaque maillon de la chaîne d'approvisionnement doit se concentrer sur la cybersécurité, mais les petites entités situées au bas de la chaîne d'approvisionnement n'auront pas la même capacité à investir dans la cybersécurité.
  • La sensibilité politique est plus grande au Moyen-Orient. De nombreux projets de construction au Moyen-Orient sont financés par le gouvernement ou par des entités privées dans lesquelles l'État a investi (ou qu'il possède). Cela peut conférer une dimension politique (a) à la nécessité de la cybersécurité (outre les lois sur la protection des données, il peut exister un régime d'autorisation concernant les données relatives à un projet financé par le gouvernement - par exemple, DESC à Dubaï) et (b) à la motivation des cyberattaques.
  • Le Moyen-Orient s'appuie de plus en plus sur la technologie. Historiquement, l'adoption de la technologie dans les projets de construction au Moyen-Orient a été lente, mais elle s'accélère aujourd'hui. En particulier, une étude de PwC sur les projets d'investissement et d'infrastructure au Moyen-Orient réalisée en 2022 a révélé que l'adoption de la technologie dans le secteur de la construction a dépassé pour la première fois les 50%. 4 Si la technologie n'est pas adoptée de concert avec des mesures de cybersécurité appropriées, le secteur de la construction au Moyen-Orient restera confronté à des problèmes.

Principaux sujets de préoccupation : Vol de données sensibles et attaques par ransomware

L'une des formes les plus courantes de cybercriminalité dans le secteur de la construction est le vol de données sensibles, qui peut être utilisé à des fins de ransomware, d'usurpation d'identité, d'accès à des secrets commerciaux, etc. Les données volées peuvent inclure des plans, des dessins, des informations de gestion de projet, ainsi que des données personnelles et financières. Cette perte de données peut avoir des conséquences financières, mettre en péril des projets et nuire à la réputation de l'entreprise.

Une autre préoccupation majeure est la menace des attaques par ransomware. Une étude de Nordlocker a montré que la construction était le secteur le plus visé par les attaques de ransomware en 2022. 5 Dans ces attaques, les cybercriminels cryptent les données d'une entreprise et exigent un paiement en échange de la clé de décryptage. Le secteur de la construction est particulièrement vulnérable à ces menaces en raison de la complexité des données liées aux projets de construction, qui sont souvent déterminantes pour la réussite du projet.

Il est difficile de quantifier les cyberincidents, car nombre d'entre eux ne sont pas signalés

Il est difficile d'évaluer avec précision la prévalence des cyberattaques dans le secteur, étant donné que de nombreux incidents ne sont pas signalés malgré l'existence d'une législation sur la protection des données obligeant à signaler les violations de données dans certaines circonstances. La fréquence et la gravité des attaques peuvent varier considérablement en fonction du secteur et de la région du monde.

Cependant, il ne fait aucun doute que les cyberattaques sont devenues un problème important pour les entreprises de tous les secteurs et qu'il ne cesse de s'aggraver. Ces dernières années, des entreprises de secteurs tels que la santé, la finance, la vente au détail, la technologie et la construction ont fait l'objet d'attaques très médiatisées. Par exemple, en 2019, une entreprise de construction canadienne a été victime d'une grave attaque par rançongiciel, au cours de laquelle les attaquants ont exigé une rançon de 6,5 millions de dollars pour libérer 60 Go de données cruciales. 6 De même, en 2020, une entreprise de construction française a subi une cyberattaque qui a conduit des acteurs malveillants à prendre le contrôle de plus de 200 Go de données sensibles et à exiger une rançon de 11 millions de dollars. Par mesure de précaution, l'entreprise a dû arrêter temporairement plusieurs systèmes opérationnels, ce qui a entraîné d'importants retards dans les projets. 7

Selon un rapport de Cybersecurity Ventures, le coût mondial de la cybercriminalité devrait atteindre 10 500 milliards de dollars d'ici à 2025. Le rapport estime également qu'une nouvelle cyberattaque se produit toutes les 11 secondes et que les attaques augmentent rapidement. 8

Un autre rapport de l'Institut Ponemon a révélé que le coût moyen d'une violation de données aux États-Unis s'élevait à 9,05 millions de dollars en 2021. Le rapport indique également que le temps moyen pour identifier et contenir une violation est de 287 jours. 9

En résumé, les cyberattaques représentent une menace importante et croissante pour les entreprises de tous les secteurs à travers le monde, y compris pour le secteur de la construction au Moyen-Orient. Les coûts financiers et de réputation de ces attaques peuvent être considérables. Les participants aux projets doivent donc investir dans des mesures de cybersécurité solides et rester vigilants face aux nouvelles menaces.

Résumé

L'enquête visait à identifier les pratiques de prévention de la cybercriminalité et les risques de cybersécurité dans le secteur de la construction au Moyen-Orient. Menée auprès de personnes occupant des postes à responsabilité dans de grandes entreprises de la région du Moyen-Orient, l'enquête a mis en évidence une réalité préoccupante : même les grandes entreprises n'ont pas la préparation nécessaire pour lutter efficacement contre les cybercrimes importants. Des cas d'escroquerie par hameçonnage, d'attaques par ransomware et de violations de données ont déjà affecté les entreprises interrogées. La couverture médiatique récente a encore mis l'accent sur les pertes substantielles qui pourraient découler des cyberattaques visant le secteur de la construction.

Les résultats de l'enquête indiquent que même les grandes entreprises disposant de ressources considèrent qu'elles ne sont pas suffisamment préparées pour faire face aux cyberincidents ou les prévenir, et nombre d'entre elles indiquent qu'elles n'ont pas mis en place des mesures suffisantes pour atténuer les cyberrisques. La lutte contre ces menaces exige une action concertée. Les entreprises doivent protéger leurs réseaux, leurs appareils et leurs données en concentrant leurs efforts sur la formation des employés, la mise en œuvre de politiques et un investissement adéquat dans les technologies de cybersécurité.

En effet, pour se protéger contre la cybercriminalité, les participants aux projets de construction doivent mettre en œuvre des mesures de cybersécurité solides. Il s'agit notamment de former les employés aux meilleures pratiques en matière de cybersécurité, d'utiliser des mots de passe forts et une authentification à deux facteurs, et de sauvegarder régulièrement les données. La collaboration avec des experts en cybersécurité est également essentielle, car elle permet aux entreprises d'identifier les vulnérabilités et de mettre en place des mesures de sécurité appropriées. Ces mesures sont particulièrement importantes pour les entreprises du secteur de la construction au Moyen-Orient, compte tenu de la complexité des projets de construction et de la sensibilité accrue de leurs données, de leurs chaînes d'approvisionnement et de leurs parties prenantes. La dépendance accrue à l'égard de la technologie dans le secteur de la construction de la région rend encore plus critique la nécessité d'adopter des mesures de cybersécurité solides.

Résultats

Données démographiques des répondants à l'enquête
Répartition par pays

L'enquête a été menée dans plusieurs pays du Moyen-Orient et dans certains pays en dehors de la région. Au Moyen-Orient, des entreprises des Émirats arabes unis, d'Arabie saoudite, du Qatar, de Jordanie, d'Égypte, d'Oman, de Bahreïn et d'Irak ont répondu à l'enquête. Voir la figure 1 pour la répartition des pays des répondants.

Figure 1 Répartition des pays des répondants à l'enquête

Données démographiques des répondants à l'enquête
Taille de l'entreprise

Les répondants à l'enquête étaient issus d'un large éventail de tailles d'entreprises, allant des micro-entreprises aux grandes entreprises. La plupart des répondants (70%) représentaient des entreprises de plus de 250 employés (grandes entreprises). En revanche, environ 17% représentaient des entreprises de 50 à 249 employés (moyennes entreprises), 8% représentaient des entreprises de moins de dix employés (micro-entreprises) et 5% représentaient des entreprises de 10 à 49 employés (petites entreprises), comme le montre la figure 2.

Figure 2 Répartition de la taille des entreprises des répondants à l'enquête

Données démographiques des répondants à l'enquête
L'ancienneté

L'enquête a recueilli les réponses de personnes ayant différents niveaux d'ancienneté au sein de leur entreprise : les cadres supérieurs représentaient 34% ; les cadres ou conseillers, environ 27% ; et les employés supérieurs non cadres, 25%. Les 14% restants étaient des cadres supérieurs de haut niveau, des employés débutants ou autres. La figure 3 montre la répartition des anciennetés des répondants à l'enquête.

Figure 3 Répartition de l'ancienneté des répondants à l'enquête

Données démographiques des répondants à l'enquête
Champ d'application des entreprises

L'enquête a recueilli les réponses de divers participants au projet impliqués dans le secteur de la construction, notamment des gestionnaires de projet, des entrepreneurs, des propriétaires, des fournisseurs, des architectes et des concepteurs. La plupart des répondants (20%) représentaient la gestion de projet, tandis qu'environ 25% représentaient les entrepreneurs et les sous-traitants. Les autres répondants représentaient des rôles tels que les propriétaires, les partenaires, les parties prenantes, les ingénieurs, les concepteurs et les architectes, comme le montre la figure 4.

Figure 4 Répartition des entreprises des répondants à l'enquête

Le secteur de la construction est particulièrement vulnérable aux cyberattaques

Le secteur de la construction a longtemps été reconnu comme un secteur traditionnel, qui met en œuvre la technologie plus lentement que beaucoup d'autres. Dans un rapport publié en 2016 par McKinsey, il est cité comme le deuxième secteur le moins numérisé, après l'agriculture et la chasse. 10

Cependant, l'intégration progressive de la technologie dans le secteur, associée à des mesures de protection insuffisantes en matière de cybersécurité, en a fait une cible de plus en plus attrayante pour les cybercriminels. Les résultats de l'enquête mettent en évidence la prévalence alarmante de la cybercriminalité et des cyberattaques dans le secteur et soulignent la nécessité pour les participants aux projets de donner la priorité à la cybersécurité.

  • Types de cyberattaques dans le secteur de la construction :Les résultats de l'enquête indiquent que les types de cyberattaques en augmentation dans le secteur de la construction sont les escroqueries par hameçonnage, les attaques par ransomware et les violations de données. L'escalade de ces attaques est largement attribuée à l'impact du COVID-19. Ces attaques peuvent entraîner la perte d'informations sensibles, des pertes financières et des perturbations du processus de construction, ce qui entraîne des retards et des coûts supplémentaires. Le rapport Verizon 2020 Data Breach Investigations Report (rapport d'enquête sur les violations de données de Verizon 2020) désigne les schémas d'ingénierie sociale 11 comme l'une des principales cybermenaces auxquelles est confrontée l'industrie de la construction. Il s'agit de cyberattaquants qui se font passer pour des cadres supérieurs et des fournisseurs clés par le biais de tactiques de compromission par courrier électronique (BEC). Leur objectif est de convaincre les victimes de transférer des fonds ou de fournir des informations sensibles susceptibles d'être exploitées à des fins lucratives. 12
  • Manque de préparation :Les résultats de l'enquête révèlent également que le manque de préparation ne se limite pas aux petits participants aux projets. Les participants à de grands projets disposant de ressources importantes ne sont souvent pas préparés à faire face aux cybermenaces, et nombre d'entre eux ne disposent pas des mesures et des ressources nécessaires en matière de cybersécurité pour se protéger contre d'éventuelles cyberattaques. L'enquête universitaire de 2021 mentionnée précédemment 13 a révélé que seulement 39% des entreprises du secteur de la construction disposaient d'un plan de cybersécurité, soulignant ainsi la nécessité pour le secteur de la construction de mettre davantage l'accent sur la cybersécurité.L'enquête a révélé qu'une proportion importante de répondants se sont déclarés préoccupés par la cybersécurité dans le secteur de la construction. Plus précisément, 34% des répondants étaient très préoccupés par la cybersécurité, tandis que 41% étaient plutôt préoccupés. Ces chiffres montrent que la majorité des répondants considèrent la cybersécurité comme une question impérative qui exige une attention particulière ou estiment que leur entreprise de construction n'est pas suffisamment équipée pour y faire face.L'un des principaux obstacles à l'état de préparation est la sensibilisation et le fait de savoir comment gérer les risques. Interrogés sur la compréhension de la cybersécurité par leur employeur, 34% des répondants à l'enquête ont déclaré avoir une très bonne connaissance de la cybersécurité, tandis que 41% en ont une certaine connaissance. Cela suggère que de nombreux propriétaires d'entreprises de construction reconnaissent l'importance de la cybersécurité, mais qu'ils pourraient bénéficier d'un soutien supplémentaire pour approfondir leurs connaissances.L'enquête a également révélé que seuls 24% des répondants ont déclaré avoir investi de manière significative dans la cybersécurité, et que seuls 27% ont déclaré que leur investissement était suffisant. Pas moins de 27% des répondants ont déclaré que leur investissement dans la cybersécurité était insuffisant, ce qui indique qu'il faut davantage de ressources consacrées à la cybersécurité dans le secteur de la construction.
    À la question de savoir si leur employeur procède périodiquement à des évaluations des risques en matière de cybersécurité, les réponses sont plus homogènes : 37% des personnes interrogées ont répondu "oui", indiquant que leur employeur prend la cybersécurité au sérieux et prend des mesures pour évaluer les risques potentiels ; 31% des personnes interrogées ont répondu "non", indiquant que leur employeur ne procède pas à des évaluations des risques en matière de cybersécurité ; et 32% ne savaient pas ou n'étaient pas sûres, ce qui met en évidence une lacune potentielle dans les connaissances en matière de cybersécurité au sein du secteur de la construction.

    Face à l'augmentation de la cybercriminalité, les entreprises de construction doivent donner la priorité à l'éducation à la cybersécurité, aux ressources et à la mise en œuvre de politiques afin de protéger leurs réseaux, leurs appareils et leurs données sensibles contre les cybermenaces. En adoptant un ensemble complet de mesures de sécurité et en travaillant avec des experts en cybersécurité, les participants aux projets peuvent atténuer le risque de cyberattaques et se protéger, ainsi que leurs partenaires commerciaux, des dommages potentiels.

Investir dans la cybersécurité

L'impact de la cybercriminalité sur le secteur de la construction est devenu une préoccupation croissante en raison de l'évolution vers la numérisation et le travail à distance. Les résultats de l'enquête donnent un aperçu des perceptions des professionnels du secteur de la construction quant à l'impact de divers facteurs sur la cybercriminalité, notamment l'intervention humaine, les réglementations en matière de cybersécurité, les juridictions nationales, les capacités d'enquête et les finances de l'entreprise. En outre, dans cette section, nous examinons dans quelle mesure les participants aux projets ont mis en place des politiques et des procédures pour lutter contre la cybercriminalité.

  • L'intervention humaine joue un rôle clé dans la cybercriminalité :
    L'intervention humaine joue un rôle crucial dans la perpétuation et la prévention de la cybercriminalité. Au fur et à mesure que la technologie progresse, les actions, les comportements et les attitudes des individus à l'égard de la technologie influencent considérablement leur vulnérabilité à la cybercriminalité. La plupart des cyberattaques, telles que les mots de passe faibles, l'ingénierie sociale ou les escroqueries par hameçonnage, exploitent l'erreur ou la négligence humaine.Selon un rapport de 2022 préparé par Verizon, les facteurs humains ont joué un rôle important dans 82% des quelque 2 250 incidents de violation de données dans le monde. 14 Cela souligne l'influence décisive de l'engagement humain dans la cybercriminalité. Le même rapport souligne en outre que les attaquants enfreignent principalement les défenses de sécurité en utilisant des logiciels malveillants et en capitalisant sur des informations d'identification volées. Ce modèle de cyberattaques centrées sur l'homme est tout aussi répandu dans la région EMEA- où les informations d'identification volées représentaient plus de 65% des moyens utilisés par les attaquants pour obtenir un accès non autorisé - comme c'est le cas dans le monde entier. 15La majorité des personnes interrogées dans le cadre de l'enquête (76%) estiment que l'intervention humaine a un impact critique sur la cybercriminalité. Cela souligne encore l'importance de la formation et de l'éducation des employés dans la prévention des cyberattaques et, en fin de compte, dans la réduction du risque de cyberattaques, car les employés sont souvent la première ligne de défense contre la cybercriminalité.
  • Les cyber-réglementations et les politiques et la culture d'entreprise contribuent à créer des environnements de cybersécurité efficaces :La réglementation, associée à la priorité accordée par les entreprises à la cybersécurité, est essentielle pour lutter contre la cybercriminalité. Interrogés sur l'impact des réglementations en matière de cybersécurité sur la cybercriminalité, 37% des personnes interrogées déclarent qu'elles ont un effet significatif, tandis que 52% déclarent qu'elles ont un léger impact. Interrogés sur le contexte réglementaire et socioculturel plus large, 35% des personnes interrogées ont déclaré que le lieu où vous exercez votre activité peut avoir une influence significative sur la cybercriminalité, tandis que 46% ont déclaré qu'il n'avait qu'une faible influence.Ces résultats plaident en faveur d'une approche globale dans laquelle les entreprises jouent un rôle central dans l'instauration d'un climat propice à l'adoption de réglementations efficaces en matière de cybersécurité. Cet effort concerté est essentiel pour prévenir et combattre la cybercriminalité, ce qui souligne encore davantage le rôle des organisations dans la création d'une culture de cybersécurité protectrice.
  • L'engagement de ressources financières et l'adoption de mesures d'investigation sont essentiels pour prévenir et détecter les cyberattaques :Les résultats de l'enquête suggèrent que les ressources financières et les capacités d'investigation sont essentielles pour prévenir et détecter les cyberattaques. Plus de la moitié des personnes interrogées (57%) estiment que les capacités d'investigation ont un impact important sur la cybercriminalité, tandis que 26% déclarent qu'elles ont un faible impact. En outre, 52% des personnes interrogées déclarent que l'investissement financier d'une entreprise dans la cybersécurité a un impact significatif sur la cybercriminalité, et 39% déclarent qu'il a un faible impact. 
  • Politiques et procédures relatives à la lutte contre la cybercriminalité :
    En réponse aux questions sur les politiques et les procédures concernant la cybercriminalité, 48% des personnes interrogées ont confirmé avoir mis en place de telles mesures. Cela indique que la majorité des participants aux projets interrogés sont activement équipés de politiques de protection contre les cybermenaces. Toutefois, 22% des personnes interrogées ont répondu "non", ce qui laisse supposer que certaines entreprises ont négligé cet aspect de la cybersécurité. Enfin, 30% des personnes interrogées ne savaient pas ou n'étaient pas sûres, ce qui souligne la nécessité d'une sensibilisation et d'une éducation accrues en matière de prévention et de réponse à la cybercriminalité.

Cybercriminalité et COVID-19

La pandémie de COVID-19 a provoqué d'importantes perturbations dans divers secteurs, dont celui de la construction. L'évolution vers le travail à distance et la dépendance accrue à l'égard de la technologie ont fait de la cybercriminalité un problème urgent. 16

  • Impact du COVID-19 sur la criminalité dans le secteur de la construction :
    Au Moyen-Orient, le COVID-19 a eu un impact reconnu sur l'incidence de la cybercriminalité. Interrogés sur l'impact de la pandémie sur la criminalité dans le secteur de la construction, les réponses ont été les suivantes :

    • 29% des personnes interrogées ont signalé une augmentation significative de la criminalité.
    • 31% des personnes interrogées ont signalé une légère augmentation de la criminalité.
    • 23% des personnes interrogées ont déclaré que la criminalité était restée à peu près la même.

    Pourtant, seuls 13% des personnes interrogées ont déclaré que leur entreprise avait modifié de manière significative les mesures de prévention de la cybercriminalité existantes en raison de COVID-19 ; 25% ont déclaré qu'aucune modification n'avait été apportée.

     

  • Impact du COVID-19 sur la vulnérabilité des entreprises à la cybercriminalité :La pandémie a également eu un impact significatif sur la vulnérabilité des entreprises de construction à la cybercriminalité. Interrogés sur l'effet du COVID-19 sur l'exposition de leur entreprise à la cybercriminalité, les répondants ont répondu comme suit :
    • 15% ont signalé une augmentation significative de la vulnérabilité.
    • 67% a signalé une légère augmentation de la vulnérabilité.
  • Types de cybercriminalité vécus ou observés :
    L'enquête a également interrogé les répondants sur les types de cybercriminalité qu'ils ont vécus ou observés depuis le début de la pandémie. Les résultats sont les suivants :

    • 73% des personnes interrogées ont signalé une augmentation significative ou légère des attaques de phishing et d'ingénierie sociale.
    • 25% des personnes interrogées ont déclaré que la diffusion de logiciels malveillants et de virus n'avait pas changé, 23% ont déclaré une augmentation significative et 35% ont déclaré une légère augmentation.
    • Aucun répondant n'a constaté de diminution des attaques par déni de service, des compro- mis de courrier électronique professionnel, des piratages de médias sociaux et du spamming, de la fraude à la monnaie électronique, de la fraude à la vente, du vol d'identité et de la fraude à la carte de crédit.

    Les résultats de l'enquête indiquent que la pandémie de COVID-19 a eu un impact notable sur la cybercriminalité dans le secteur de la construction, un grand nombre de personnes interrogées ayant signalé une augmentation des cyberattaques. Elles suggèrent également que les entreprises sont devenues plus vulnérables aux cyberattaques au cours de cette période, la prévalence des attaques de phishing et d'ingénierie sociale se distinguant comme les cybercrimes les plus couramment vécus ou observés.

Recommandation

La première ligne de défense contre toute cybermenace, y compris dans le secteur de la construction au Moyen-Orient, consiste à renforcer la perception et la prise de conscience au plus haut niveau : mieux vaut prévenir que guérir". La plupart des entreprises pourraient améliorer leur valeur et leur sécurité en adoptant une approche proactive de la part des cadres supérieurs pour s'attaquer aux risques liés à la cybercriminalité.

Une telle approche de la gestion des risques liés à la cybercriminalité nécessite généralement un changement de culture, à commencer par les dirigeants du conseil d'administration qui peuvent intégrer les risques liés à la cybercriminalité dans leur stratégie de gestion des risques. Ce faisant, les dirigeants peuvent rapidement identifier les lacunes et orienter l'organisation vers une approche holistique de la lutte contre les cybermenaces.

En outre, les entreprises devraient se concentrer sur l'élaboration d'une approche durable et à plusieurs niveaux de la gestion des risques, plutôt que sur l'approche fragmentaire souvent adoptée aujourd'hui. Un processus durable commence par une évaluation des risques. Les figures 5 et 6 proposent un cadre pour la réalisation d'une telle évaluation.

Figure 5  Le cadre d'évaluation des risques proposé (fonctions)

Figure 6 Cadre proposé pour l'évaluation des risques (catégories)

Plusieurs mesures dissuasives sont couramment utilisées pour prévenir et atténuer les dommages causés par la cybercriminalité. En outre, diverses mesures post-fraude peuvent être mises en œuvre pour gérer et limiter les conséquences d'une cyberattaque ou d'une atteinte à la protection des données. Il s'agit notamment, mais pas exclusivement, des mesures suivantes

  • Contrôles techniquesCes mesures sont conçues pour empêcher l'accès non autorisé aux systèmes informatiques, aux réseaux et aux données. Les contrôles techniques comprennent les pare-feu, les systèmes de détection et de prévention des intrusions, les logiciels antivirus, le cryptage et les contrôles d'accès. En cas de cyberattaque ou de violation de données, les entreprises doivent d'abord chercher à contenir la violation et à limiter les dommages en travaillant avec un conseiller juridique et l'équipe informatique sur un plan visant à isoler les systèmes et les appareils affectés et à mettre à jour les mesures et les protocoles de sécurité.
  • Politiques, procédures, processus et meilleures pratiquesDes politiques et des procédures sont mises en place pour régir l'utilisation des systèmes informatiques et des données. Il peut s'agir de politiques d'utilisation acceptable, de politiques relatives aux mots de passe, de politiques de sauvegarde et de récupération des données et de plans de réponse aux incidents. Le conseiller juridique peut aider les entreprises à élaborer des plans pour remédier aux faiblesses des processus et des politiques de l'entreprise, qui peuvent contribuer à une violation, et les aider à mettre à jour les politiques et les procédures. Le conseiller juridique peut également recommander à une entreprise victime d'une violation de mener une enquête interne afin d'identifier la cause, l'étendue et l'impact de la violation.
  • Formation et sensibilisationLes employés et les utilisateurs de systèmes informatiques doivent être formés à reconnaître et à éviter les cybermenaces. La formation peut comprendre une sensibilisation à la sécurité, des simulations d'hameçonnage et des rappels réguliers des meilleures pratiques.
  • Contrôles juridiques et réglementairesLes lois et réglementations peuvent fournir un cadre pour la dissuasion de la cybercriminalité. Il peut s'agir de lois sur la protection des données, d'exigences en matière de notification des violations de données, de lois sur la cybercriminalité prévoyant des sanctions pénales pour les cybercriminels, et d'exigences en matière de licences pour le traitement des données dans le cadre de projets financés par l'État.En cas de cyberattaque ou de violation de données, une entreprise peut être amenée à prendre des mesures pour se conformer aux exigences réglementaires ou répondre à des enquêtes réglementaires (entre autres actions). En cas de violation de données, le conseiller juridique peut donner des conseils efficaces sur les obligations de notification aux organismes de réglementation et aux personnes concernées, conformément aux lois sur la protection des données.
  • Collaboration et partage d'informationsLa collaboration entre les organisations, les agences gouvernementales et les forces de l'ordre peut permettre d'identifier les cybermenaces et d'y répondre plus efficacement. Il peut s'agir de partager des informations sur les menaces, des bonnes pratiques et des ressources.Globalement, une stratégie efficace de dissuasion de la cybercriminalité doit être globale et comprendre une combinaison de contrôles techniques, de politiques et de procédures, de formation et de sensibilisation, de contrôles juridiques et réglementaires, ainsi que de collaboration et d'échange d'informations.
  • Investir dans des mesures de cybersécuritéPour lutter contre la cybercriminalité dans le secteur de la construction, les participants aux projets doivent donner la priorité à la cybersécurité. Ils doivent investir dans les mesures nécessaires pour protéger leurs actifs et leur intégrité opérationnelle. Cet effort global comprend l'adoption d'une stratégie de cybersécurité à multiples facettes qui couvre la formation des employés, tire parti de la technologie et applique des politiques efficaces.La collaboration avec des experts en cybersécurité et en cybercriminalité peut aider les participants à un projet à se tenir au courant de l'évolution du paysage des cybermenaces. Cette approche proactive leur permet de mettre en œuvre des contre-mesures appropriées pour atténuer les risques. Un rapport du National Institute of Standards and Technology recommande aux participants aux projets de procéder à des évaluations régulières des risques, de mettre en œuvre des contrôles de sécurité et d'établir des plans d'intervention en cas d'incident pour se protéger contre les cybermenaces. 17Les entreprises devraient toujours chercher à investir dans leurs capacités de cybersécurité pour s'assurer qu'elles sont suffisamment protégées contre les cyberattaques. Toutefois, dans le cas malheureux d'une violation, il est impératif d'avoir un plan bien conçu pour naviguer avec précision dans les suites complexes et souvent stressantes de l'incident. 

Recommandation

La méthodologie utilisée pour la conception, le déploiement et l'analyse de l'enquête est résumée en cinq étapes, comme le montre l'organigramme de la figure 7. Les détails de chaque étape sont présentés ci-dessous.

Figure 7 Organigramme de la méthodologie de l'enquête

  • Étape 1 Déterminer le champ d'application et la population cible :La première étape de la conception d'une enquête consiste à décider de son champ d'application en fonction des questions de recherche auxquelles elle doit répondre. Ces questions détermineront également la population cible, puisque l'accent sera mis sur les personnes qui devraient participer à l'enquête.Dans cette enquête, le champ d'application englobait une série d'objectifs. Il s'agissait d'identifier les cyber-risques ciblant le secteur de la construction, de comprendre le niveau de sensibilisation et de préparation des participants aux projets, et d'évaluer l'impact de COVID-19 sur la prévalence des cyber-crimes. L'enquête a principalement ciblé les professionnels du secteur de la construction, surtout dans la région du Moyen-Orient, afin de mieux cibler l'étude et de tirer des conclusions plus précises.
  • Étape 2 Déterminer les questions et la structure de l'enquête :La deuxième étape consiste à rédiger des questions qui répondent efficacement aux questions de recherche établies et s'alignent sur le champ d'application défini pour l'enquête. Les questions doivent être pertinentes pour la population cible, car certaines d'entre elles peuvent être inutiles dans des zones géographiques ou des rôles professionnels spécifiques. Le mode de distribution de l'enquête, par courriel, sur une plateforme d'enquête en ligne ou en personne, doit également être décidé à ce stade, car il peut avoir une incidence sur le type de questions.Il a été décidé que l'enquête serait menée via une plateforme d'enquête en ligne, Qualtrics, afin d'atteindre le plus grand nombre possible de participants au sein de la population cible. L'enquête se compose de six sections :(1) Données démographiques, (2) Approche organisationnelle et sectorielle de la technologie, (3) Sensibilisation à la cybersécurité, (4) Approche, politiques et procédures en matière de cybercriminalité, (5) Cybercriminalité et COVID-19, et (6) Informations sur les personnes interrogées. La première et la dernière section visaient à obtenir des informations sur les caractéristiques de chaque répondant et sur celles de son employeur, telles que la taille et l'étendue du travail de l'employeur du répondant et le niveau d'ancienneté du répondant. La deuxième section comprenait des questions visant à identifier les types de technologie utilisés par les entreprises des répondants. Les troisième et quatrième sections visaient à évaluer la sensibilisation des personnes interrogées à la cybersécurité, leurs préoccupations en matière de cybercriminalité et l'état de préparation de leur employeur à la lutte contre les cybermenaces potentielles. Enfin, la cinquième section comprenait des questions visant à mesurer l'impact du COVID-19 sur le paysage de la cybercriminalité dans le secteur de la construction, en particulier dans la région du Moyen-Orient.
  • Étape 3 Contrôles internes et finalisation de l'enquête :
    Cette étape vise à effectuer des contrôles afin de détecter toute faille potentielle, d'évaluer la clarté des questions et l'efficacité de la structure de l'enquête, et d'optimiser la longueur de l'enquête afin d'obtenir le plus grand nombre possible de réponses complètes. Étant donné que trois organisations différentes ont mené l'enquête, chacune d'entre elles a effectué les vérifications et fourni un retour d'information selon son point de vue et son expertise. La diversité des champs d'application des organisations impliquées a permis d'améliorer l'enquête. Une fois que toutes les parties se sont mises d'accord sur la présentation et les questions de l'enquête, il a été décidé de passer à l'étape suivante.
  • Étape 4 Déploiement et collecte de données :Cette étape de l'enquête consiste à distribuer les questions de l'enquête en utilisant la méthode décidée précédemment. Si l'enquête est en ligne, le lien vers l'enquête doit être partagé avec les groupes de personnes concernés via les médias sociaux, le courrier électronique ou d'autres moyens de communication en ligne. Les données de réponse doivent être collectées jusqu'à la date limite convenue et stockées pour être analysées à l'étape suivante. Dans le cas des enquêtes en ligne, si des tendances montrent que les répondants laissent l'enquête incomplète à certains endroits, cela peut indiquer qu'elle n'est pas bien conçue et qu'elle doit être améliorée. L'objectif doit être d'obtenir le plus grand nombre possible de réponses complètes sans compromettre la cohérence et l'objectif de l'enquête.Cette enquête a utilisé la plateforme d'enquête en ligne Qualtrics. Les questions ont donc été transférées à Qualtrics dans la présentation convenue et vérifiées par les organisations concernées (Fresh- fields Bruckhaus Deringer, Accuracy et NYUAD) avant d'être distribuées. Pour protéger la vie privée des répondants, les adresses IP, les données de localisation et les informations de contact ont été rendues anonymes par défaut. Les répondants ont fourni leurs coordonnées, qui sont restées confidentielles, dans la dernière section de l'enquête, s'ils souhaitaient recevoir les premiers résultats. Une fois l'enquête finalisée, le lien a été partagé avec les organisations partenaires et via les médias sociaux, tels que LinkedIn. Parmi les entités qui ont reçu l'enquête, citons la Society of Construction Law (SCL) Gulf et la Royal Institution of Chartered Surveyors (RICS). La distribution de l'enquête a commencé le 3 octobre 2022 et est restée ouverte jusqu'au 31 décembre 2022 (90 jours). Pendant cette période, 187 personnes ont commencé à répondre à l'enquête, mais 52 ont rempli toutes les sections.
  • Étape 5 Analyse et rapportIl s'agit de la dernière étape du processus d'enquête. Elle comprend l'analyse et l'interprétation des données collectées et le rassemblement des résultats dans un rapport pour les partager.Les réponses aux questions ont été analysées afin de tirer des conclusions sur l'objectif de l'enquête. Si certains résultats étaient attendus, comme le niveau élevé d'inquiétude face à la cybercriminalité et le faible niveau de sensibilisation et de préparation à la cybersécurité parmi les participants au projet, d'autres étaient inattendus. Par exemple, seuls 15% des répondants ont signalé une augmentation significative de la vulnérabilité de leur entreprise à la cybercriminalité en raison du nouvel environnement de travail après COVID-19. Les résultats de l'enquête, les principales conclusions et les recommandations visant à améliorer le niveau de sécurité des participants aux projets de construction figurent dans le présent rapport.

Conclusion

Les résultats de l'enquête mettent en évidence la vulnérabilité des entreprises de construction face aux cybermenaces. Les recherches confirment l'idée que les cyberattaques sont en augmentation dans le monde entier, et le secteur de la construction ne fait pas exception à la règle. Nous ne pensons pas que cette tendance soit limitée au passé. Alors que le secteur continue de passer de la tenue de dossiers sur papier à une gestion plus efficace des données dans des référentiels électroniques, nous nous attendons à une augmentation continue des menaces de cybersécurité dans le secteur. Cela reflète les préoccupations exprimées par 75% des répondants qui estiment qu'il y a des problèmes de cybersécurité dans le secteur de la construction.

Les résultats de l'enquête indiquent que, bien que certains participants au projet soient conscients de l'importance de la cybersécurité, il est nécessaire d'accroître les investissements et la formation dans ce domaine. Seule la moitié des personnes interrogées estiment que leur entreprise a mis en place des mesures de cybersécurité significatives ou suffisantes pour se protéger contre les cybermenaces dans un environnement où la cybercriminalité ciblant le secteur augmente rapidement. Ce résultat est cohérent avec d'autres études, qui suggèrent que de nombreux participants au projet ne disposent pas des mesures de cybersécurité et des ressources nécessaires pour se protéger de manière adéquate contre les cybermenaces.

Les participants au projet doivent donner la priorité à l'éducation à la cybersécurité, aux ressources et à la mise en œuvre de politiques à tous les niveaux de leur entreprise pour résoudre ce problème. Ce besoin est amplifié par les grandes quantités de données sensibles que les participants au projet sont susceptibles de détenir. Cette approche est conforme aux recommandations des experts en cybersécurité, qui suggèrent que les participants aux projets adoptent une approche multicouche de la cybersécurité, comprenant la formation des employés, la technologie et la mise en œuvre de politiques. En outre, la collaboration avec des experts en cybersécurité et en cybercriminalité peut aider les participants au projet à se tenir au courant des dernières cybermenaces et à mettre en œuvre des mesures appropriées pour atténuer les risques.

Bien que l'enquête se soit principalement concentrée sur les points de vue des cadres supérieurs du secteur de la construction, il est essentiel de reconnaître qu'il peut y avoir des variations dans la sensibilisation et la compréhension de la cybersécurité à différents niveaux au sein d'une entreprise. Par exemple, les travailleurs de première ligne ou les employés occupant des fonctions administratives peuvent n'avoir qu'une exposition limitée à la formation à la cybersécurité ou ne pas être pleinement conscients des risques potentiels et des meilleures pratiques. En revanche, les professionnels de l'informatique ou les personnes directement impliquées dans la mise en œuvre des technologies peuvent avoir une meilleure compréhension et une meilleure connaissance des mesures de cybersécurité que les employés occupant des fonctions non techniques.

Pour mieux comprendre le paysage de la cybersécurité dans le secteur de la construction, les futurs efforts de recherche pourraient porter sur un échantillon plus large, comprenant des employés de différents niveaux et départements. Cela permettrait de recueillir un éventail plus diversifié de points de vue et d'éventuelles disparités en matière de sensibilisation, ainsi que d'identifier les lacunes dans les connaissances en matière de cybersécurité.

En résumé, les résultats de l'enquête soulignent la nécessité pour les participants aux projets de donner la priorité aux questions de cybersécurité et de mettre en œuvre des mesures appropriées pour protéger leurs réseaux, leurs appareils et leurs données sensibles contre les cybermenaces. La montée de la cybercriminalité dans le secteur de la construction est une préoccupation croissante, et les participants aux projets doivent prendre des mesures proactives pour protéger leurs actifs et leur réputation. En travaillant avec des experts en cybercriminalité et en cybersécurité et en mettant en œuvre des mesures de sécurité complètes, les participants aux projets peuvent atténuer le risque de cyberattaques et se protéger, ainsi que leurs partenaires commerciaux, d'éventuels préjudices.

Précision-Perspectives-Rapport sur la cybercriminalité
TELECHARGER LE PDF
  • Trier par secteur