La cybersécurité dans le secteur immobilier, un enjeu de taille

Finance, banque, santé, et énergie sont à ce jour les secteurs les plus touchés par les cyberattaques. Cette liste est vouée à s’allonger, et le secteur immobilier pourrait bien être amené à y figurer prochainement. Pour s’en convaincre, il suffit de se représenter les conséquences dramatiques que pourrait avoir l’introduction d’un virus dans le système de Gestion Technique de Bâtiment (système de supervision et de contrôle présent dans les immeubles, permettant de gérer les installations techniques comme l’éclairage, la climatisation, les alarmes incendie). Le secteur immobilier n’échappe pas aux menaces et a fait l’objet de récentes attaques spectaculaires.

Quelles sont les spécificités des risques cyber dans l’immobilier, et en quoi la cybersécurité est un véritable enjeu pour le secteur ?

Les spécificités du secteur immobilier

Immeubles de bureaux, hôpitaux, établissements scolaires, résidences de particuliers… le secteur immobilier répond aux besoins d’acteurs variés, auxquels sont proposés des services bien précis. Le bâtiment, lieu d’accueil de ces différentes parties prenantes, doit leur permettre de réaliser des actions autant cruciales que variées : soigner, éduquer, vendre, commercialiser, acheminer, travailler en équipe…

Le fonctionnement d’un bâtiment repose sur la présence d’automates, de capteurs et de systèmes : surveillance vidéo, contrôles d’accès, contrôle de la lumière, ascenseur, sécurité incendie ou encore distribution électrique. Ces différents composants sont souvent gérés par un système GTB (Gestion Technique du Bâtiment), c’est-à-dire un système de supervision et de contrôle. Ce système est présent dans les immeubles et permet de gérer les installations techniques comme l’éclairage, la climatisation ou les alarmes incendie. Ces éléments sont autant de portes d’entrée pour des attaques potentielles.

Ainsi, en 2013, deux chercheurs d’une société américaine fabricant des antivirus (Cylance) ont réussi à pénétrer le système GTB du siège de Google à Sydney. Après avoir identifié des appareils connectés vulnérables grâce au moteur de recherche Shodan, ils sont parvenus à pénétrer le système GTB, accédant ainsi aux commandes de ventilation, de chauffage et d’alarmes incendie. La prise de contrôle d’un tel système, dans le cas d’une attaque malveillante, aurait pu avoir des conséquences désastreuses.

Le secteur du bâtiment présente des spécificités :

• utilisation de protocoles industriels (Modbus, CANopen, EtherNet/IP)
• des surfaces d’attaques variées : physiques (intrusion dans le bâtiment), électroniques (présence de nombreux capteurs) et informatiques (ransomware)

Les vulnérabilités du secteur immobilier

• Inventaires et identification des systèmes critiques incomplets ou inexistants
• Cartographie des flux de données incomplètes
• Mauvaise séparation entre IT (logiciels, technologies utilisées pour le traitement de l’information) & l’OT (Operational technology, désigne les logiciels qui contrôlent des dispositifs physiques)
• Manque de protocoles de communication sécurisés
• Tests d’intrusion et audits de sécurité pas assez réguliers
• Présence de configurations logiciel et réseau par défaut

Ces vulnérabilités inhérentes au secteur sont amenées à augmenter avec la tendance actuelle des acteurs à faire de la connectivité du bâtiment un véritable avantage concurrentiel. En effet, proposer des services connectés intégrés au bâtiment permet de positionner les loueurs d’espaces comme des fournisseurs de services plutôt que comme de simples bailleurs.

• Pour les fournisseurs d’espaces de bureaux, par exemple, la pandémie actuelle et le développement du télétravail conduisent à proposer une offre plus large qu’un simple espace pour travailler. Puisque de nombreux employés peuvent travailler depuis chez eux, se déplacer au bureau doit présenter un réel avantage et ne pas être perçu comme une contrainte. Les services connectés comme des services de conciergerie, de réservations de salle, réservation de cours dans les salles de sport ou encore service de restauration en entreprises deviennent les nouveaux éléments différenciant.
• Pour les constructeurs d’établissements de santé par exemple, miser sur la connectivité des bâtiments peut consister à proposer des applications qui améliorent le confort du patient lors de son séjour. La start-up Happytal propose ainsi aux hôpitaux une application en mode saas qui permet de suivre le parcours du patient, de son admission au retour à domicile.

Ces nouveaux services connectés apparaissent comme des atouts et permettent une diversification de l’offre mais constituent des vulnérabilités potentielles pour des cyberattaques, d’autant que le secteur attire également l’attention des attaquants en raison du nombre d’informations sensibles qu’il traite.

Le secteur immobilier de plus en plus ciblé par les attaques 

La faible maturité du secteur immobilier en matière de cybersécurité en fait une cible de choix pour les attaquants. L’immobilier présente une attractivité forte de par ses enjeux, notamment vis-à-vis des sommes d’argent mobilisées dans l’exercice de cette activité et de la sensibilité des informations circulant lors des échanges. Par exemple, l’interception de ces différents éléments peut représenter un avantage concurrentiel pour certaines entreprises (données de prospection), ce qui peut motiver les attaquants à porter spécifiquement leur attention sur ce secteur.

Dans cette situation, l’attention des hackers est portée sur l’ensemble des acteurs du secteur : agents immobiliers, acheteurs, compagnies d’assurance… Cela a pu être constaté en 2019 lors de l’attaque de la société « First American », qui fournit des services d’assurance pour le secteur de la construction et de l’immobilier. Cette attaque a abouti à une fuite de données massive : 885 millions de documents financiers et administratifs étaient potentiellement consultables sur le site internet de l’assureur. L’attractivité du secteur pour les attaquants provient également de la sensibilité des informations traitées: données bancaires, numéros de sécurité sociale…

Les différentes formes des attaques

• L’envoi d’e-mails frauduleux où l’attaquant se fait passer pour un acteur du secteur afin de récupérer des fonds liés à des transactions immobilières en cours ;
• L’utilisation de ransomwares: la ville de Baltimore a notamment fait l’objet d’une telle attaque en 2019, qui a perturbé la tenue des opérations immobilières en empêchant le transfert de titres de propriété ;
• Ces attaques peuvent également directement toucher les ensembles immobiliers via leurs équipements connectés (Internet of Things) – gestion du chauffage et de la climatisation, éclairage, contrôle d’accès aux bâtime, etc.… Dans certains cas, ces attaques peuvent mener à l’endommagement ou à la destruction des équipements et occasionner des coûts de remplacement. Dans un contexte où l’IoT se développe fortement, la prise en compte de vecteurs d’attaques est capitale pour une bonne gestion d’un parc immobilier.

Conclusion

Ainsi, le secteur immobilier présente une large surface d’attaque (IoT, Operational Technology systems, building management systems, staff de surveillance ou de maintenance des bâtiments, multiplicité des acteurs dans les opérations immobilières…). Cela en fait une cible de choix pour les attaquants. À ce facteur s’ajoute également le fait que ce domaine d’activité n’a été que récemment ciblé par des attaques informatiques – par rapport à d’autres secteurs historiquement touchés –

Avec le développement des « smart cities » et du télétravail, les bâtiments deviennent de plus en plus connectés. La nécessité pour les entreprises du secteur immobilier de présenter un bon niveau de maturité vis-à-vis des questions de cybersécurité devient un véritable enjeu.

Afin de vous donner les clés pour renforcer la cybersécurité dans le secteur de l’immobilier, HeadMind Partners pourra vous assister grâce à son expertise dans les domaines suivants :

• Gestion des risques IT et Cyber
• Intégration de la sécurité dans les projets
• Sensibilisation des différents acteurs de l’immobilier aux enjeux de la cybersécurité
• Réalisation d’audits et de tests d’intrusion

Co-écrit par Anne-Laure Ledinot et Sarah Tedeschi.

Sources :

https://www.nke-watteco.fr/usages/smart-building/confort-des-occupants/surveiller-la-qualite-de-lair-interieur/

https://www.cerema.fr/fr/actualites/qualite-air-interieur-etablissements-recevant-du-public#:~:text=La%20loi%20Grenelle%202%20a,%2Dgarderies…%20).&text=De%20fait%2C%20la%20surveillance%20de,public%20sensible%20est%20d%C3%A9sormais%20obligatoire

https://www.batiweb.com/actualites/evenements-du-batiment/batiment-connecte-ou-en-est-on-2018-12-06-33801

https://conseils.xpair.com/consulter_savoir_faire/gestion-technique-batiment/protocoles-standards-gtb-bacnet-lonworks-knx.htm

http://www.planbatimentdurable.fr/IMG/pdf/1607_suivrelaperformancedunbatiment_v2_evbdm_effinergie-2.pdf

https://www.auxiliaire.fr/article-de-blog/assurance/quels-cyber-risques-pour-le-btp

https://www.idelecplus.com/blog/gtb-gestion-technique-batiment

https://www.cairn.info/revue-securite-et-strategie-2012-4-page-66.htm

https://www.ipe.fr/quels-sont-les-secteurs-dactivites-les-plus-touches-par-les-cyber-attaques/

https://blog.reasonsecurity.com/2020/09/29/why-real-estate-agencies-need-a-cybersecurity-strategy/

https://www.argusdelassurance.com/tech/first-american.148180

https://www.smh.com.au/technology/australian-google-office-building-hacked-20130507-2j416.html

http://www.cybelius.fr/2017/10/26/equipes-it-et-ot-le-nouveau-duo-de-lindustrie/

https://www.latribune.fr/technos-medias/innovation-et-start-up/e-sante-la-startup-happytal-leve-23-millions-d-euros-pour-rendre-l-hopital-plus-confortable-799023.html