La généralisation des outils connectés conduit à la remise en question des pratiques pour mieux maîtriser les cyber-risques.
Les systèmes informatiques auront toujours des failles. Récemment, des hackers anglais ont traqué les échanges de mails entre des agents immobiliers et leurs clients. Ils ont surveillé l’avancée des négociations et, au moment du paiement, se sont fait passer pour l’agent en envoyant un e-mail : l’acheteur devait transférer le montant de la transaction sur un nouveau compte. Au total, 13 millions d’euros auraient ainsi disparu.
En 2016, aux États-Unis, un pirate informatique aurait réussi à récupérer une base de 258 millions de données non sécurisées d’une entreprise de gestion de données, opérant pour le compte du secteur immobilier. En 2017, toutes les cartes d’accès d’un hôtel autrichien ont été bloquées à distance et débloquées suite au versement d’une rançon. Des chercheurs de l’université de Corwell ont même montré que les hackers pouvaient s’infiltrer dans les systèmes informatiques via… des caméras de surveillance. Le paradoxe de la sécurité atteint alors son apogée.
Les e-mails, cibles d’attaques privilégiées.
Les exemples de « hacking » sont légion et touchent le secteur immobilier au moins de deux manières : dans la capacité à prendre le contrôle des bâtiments et dans celle de disposer des fichiers clients. Les outils technologiques deviennent aujourd’hui plus « intelligents » car ouverts et connectés à différents réseaux, et donc plus vulnérables. Le processus est irréversible : tout comme Internet s’est généralisé, les solutions « cloud » s’imposeront d’ici à 2020.
.
L’enjeu de la sécurisation réside dans l’effort humain déployé pour aider à (re)formater le lien entre collaborateurs et ordinateur.
.
Aujourd’hui c’est une évaluation plus rationnelle des risques qui est souhaitable : en 2016, les entreprises se méfiaient moins de l’email (67 %) que des sites de stockage « cloud » du type Dropbox (73 %). Or, les premiers sont bien davantage la cible d’attaques. S’ouvrir au monde est, par nature, insécurisant et les réponses techniques doivent être pensées dans leur écosystème humain. Imposer toujours plus de garde-fous techniques pour protéger ses données peut même conduire à une sécurité défaillante des outils collaboratifs. La nécessaire sécurisation n’émerge plus d’une vision top/down, mais davantage d’une co-production et d’une co-préparation impliquant tous les acteurs.
Coproduire les normes
La sécurisation ne doit pas être pensée sur le seul volet « solutions techniques ». Certes, dans un environnement toujours plus exposé, il faut évaluer et anticiper les risques afférant au patrimoine informationnel et aux parties prenantes : maîtriser le cycle de vie de la donnée, classer selon le niveau de sensibilité, stocker et surveiller via un contrat de services très cadré. Il y a, de fait, des arbitrages à effectuer entre d’une part les coûts financiers, humains, organisationnels et d’autre part l’intérêt de l’outil de sécurisation. Mais les solutions informatiques doivent rester agiles et offrir des « expériences clients » et « interfaces collaborateurs » satisfaisantes. La mise aux normes doit, elle aussi, être intégrée et co-produite : dans le cadre du processus de mise en conformité de la gestion de la donnée (RGDP) le déploiement technique seul n’occuperait que 10 % du temps des équipes informatiques. Les 90 % restants seraient destinés à la formation des opérationnels, à la sensibilisation des salariés, à la conduite du changement, etc.
L’enjeu de la sécurisation réside dans l’effort humain déployé pour aider à repenser le lien entre collaborateurs et ordinateur, là où se crée l’information, là où se construit la confiance : « La sécurité est d’abord ce que les acteurs en font » disait, dès 1992, le sociologue Wendt.
Sources : « Anarchy is what states make of it : the social construction of power politics », A. Wendt, International Organization (1992), vol. 46, n° 2. pp. 391-425 ; « Cybersécurité : les entreprises doivent avoir une approche qui surpasse la technique ! », F. Tanguy et F. Rech, Usine digitale, www.usine-digitale.fr, 22/12/16.
Chercheur CNRS au centre de recherche DRM (Dauphine Recherche en Management), ancien élève de l’Ecole Normale Supérieure, agrégé d’Economie et Gestion, il est titulaire d’un doctorat en Sciences de Gestion de l’Université Paris Dauphine. Auteur de différentes publications scientifiques et de l’ouvrage Marketing de l’immobilier (Dunod), il assure des cours de marketing de l’immobilier à l’Université Paris-Dauphine.