Espace : L’Internet de toutes choses (Internet of Everything) s’empare de vous et de votre entreprise immobilière
Par : Groupe services-conseils en gestion des risques
Cet article a initialement été publié dans Espace Montréal
Il y a 15 ans, le célèbre entrepreneur français Benjamin Sonntag présumait que si le service ou le produit sur Internet était gratuit ou pratiquement gratuit… c’était vous le véritable produit qui était consommé. Cet adage comme tant d’autres du même acabit ont contribué à l’élaboration du concept de l’« Internet de toutes choses ».
Que veut-on dire par l’Internet de toutes choses (ci-après, IoE : concept qui va bien au-delà de celui de l’Internet des objets c.-à-d. IoT)?
Réponse : tout ce qui est « intelligent » et « branché ». L’Union internationale des télécommunications (IoT-UIT) définit l’IoT comme « l’infrastructure de la société d’information ».
Maintenant, comment tout cela est-il lié aux structures concrètes du secteur de l’immobilier? Dans un article publié récemment dans le magazine Forbes, Casey Talon affirmait que peu importe le type d’entreprise que vous exploitiez à l’intérieur d’un immeuble commercial, si vous ne collectez pas, ne stockez pas ou n’utilisez pas de données, ou même si vous n’apprenez pas de celles-ci, vous ne faites pas votre travail[1]. Autrement dit, vous ne tirez pas pleinement profit du vrai potentiel, de l’efficacité et du rendement des données.
Récemment, ce marché a explosé à la suite de l’arrivée d’outils conçus pour améliorer les systèmes de gestion de bâtiment (BMS) particuliers, allant des systèmes de chauffage, d’éclairage et de sécurité physique, au marketing de prochaine génération (fondé sur les tendances de la neuroscience), et les connecter aux utilisateurs, aux locataires potentiels, aux clients d’hôtels, aux acheteurs au détail, etc.
Comme le souligne M. Talon, la principale préoccupation jusqu’à présent a été de « capitaliser sur l’IoT afin de favoriser l’occupation complète des immeubles commerciaux de grande valeur[2]. » Le secteur de l’immobilier commercial s’est doté de nouveaux moyens et de nouvelles fonctionnalités afin de s’adapter à l’environnement des technologies et de rester concurrentiel. À l’instar de toute autre avancée technologique, ces progrès devaient cadrer avec les objectifs des entreprises immobilières et élargir leurs flux de rentrées. Par exemple, dans les immeubles certifiés LEED, une connexion intégrale permet le réglage de la température de façon intelligente par l’établissement d’une corrélation entre les données en temps réel portant sur des facteurs tels que le nombre de personnes à l’intérieur, l’ensoleillement et l’orientation, la circulation de l’air, l’heure du jour et la production de chaleur des ordinateurs et leur consommation électrique. Nous pouvons remercier l’IoT! L’IoT peut également faciliter les transactions du secteur de l’immobilier commercial en permettant la création de plus de modèles de type « paiement à l’utilisation » et « location automatique », même pour les locations à long terme (offrant des postes de travail temporaires, des bureaux flexibles et des services connexes). En fait, un rapport de 2017 présenté par l’IDC (International Data Corporation) évaluait que les dépenses liées à l’IoT atteindraient 1,29 trillion de dollars d’ici 2020.
Procéder à de plus gros investissements pour obtenir plus de revenus des immeubles intelligents est un projet ambitieux de grande envergure. Même si un tel projet possède son lot d’avantages, de nombreuses questions et préoccupations subsistent. Qui exactement utilise les renseignements personnels et veille à l’application des mesures de protection : le propriétaire, l’IoE, ou un tiers fournisseur de services infonuagiques? Qui est le véritable responsable de la protection de la vie privée? Les propriétaires démontrent-ils suffisamment de maturité pour pouvoir gérer et protéger tous ces renseignements? Les entreprises du secteur de l’immobilier commercial subiront-elles un préjudice si les immeubles connectés sont considérés comme de vraies passoires en matière de cybersécurité? En fin de compte, qu’arrive-t-il si les données sont piratées, volées ou perdues? Aucune certification LEED ni aucun transfert de responsabilité à vos fournisseurs d’IoT n’aidera un propriétaire ou un gestionnaire à rétablir la réputation de son entreprise et à regagner la confiance de ses clients.
Ces risques ont rendu nécessaires la mise en place d’audits et de vérifications obligatoires à l’égard de la cybersécurité ainsi que l’élaboration consécutive de mesures de protection. Au début de 2016, une évaluation comparative de la performance portant sur la cybersécurité dans les aéroports internationaux a été menée mondialement. Celle-ci a démontré que l’un des défis les plus importants et les plus difficiles auxquels font face les aéroports concerne la capacité de ces dernières à assurer la cybersécurité dans l’ensemble des technologies liées aux systèmes de contrôle industriel et aux systèmes transactionnels et de marketing pour utilisateurs finaux (boutiques hors taxes, technologies publicitaires, etc.)
En février 2014, la Federal Trade Commission a porté des accusations contre un important fournisseur de produits de sécurité et de réseaux informatiques dont les caméras de sécurité connectées, les mots de passe non sécurisés et les systèmes de surveillance exposaient négligemment d’importantes quantités de données, ce qui, par conséquent, violait les attentes des clients en matière de protection de leurs renseignements personnels. Dans ce cas-ci, le propriétaire d’un important immeuble commercial, qui avait choisi et installé et utilisé cet équipement de sécurité, a subi une importante atteinte à sa réputation et a été exposé à des risques de poursuites. Ce propriétaire a réellement encaissé le coup pour ces violations de données des clients.
La migration vers les technologies infonuagiques constitue un autre risque, car elle entraîne le regroupement de données et de processus d’affaires en un point central par l’intermédiaire de fournisseurs logiciels qui stockent des données virtuellement. Les données confidentielles de votre entreprise pourraient se trouver juste à côté de celles de votre compétiteur. Pensez à vos contrats de location, à vos données d’exploitation, à vos factures, à vos correspondances ou à vos campagnes de marketing auprès des locataires, à vos ententes avec les courtiers, etc. Savez-vous pourquoi cette nouvelle technologie est appelée « nuage »? Parce qu’il s’agit d’un concept branché facile à illustrer. Par contre, les fonctions, les clauses contractuelles, les contrôles et l’architecture connexes sont très nébuleux.
Les logiciels infonuagiques devaient être plus économiques et contribuer à éliminer le dédoublement des grands services de TI internes. Mais comment changer de fournisseur? Qui accède à vos données? Serez-vous informé si votre fournisseur de services infonuagiques est victime d’une attaque? Avez-vous le droit de soumettre votre fournisseur à un audit? Votre fournisseur de services infonuagiques est-il certifié? Combien de couches appartenant à d’autres fournisseurs de services infonuagiques votre fournisseur direct utilise-t-il? Il semble que ces questions sont soulevées uniquement lorsque les données ont été déplacées sur la plateforme infonuagique. Les analyses de risque, les exigences de gouvernance et les incidences fonctionnelles n’ont-elles jamais été considérées?
Les clauses contractuelles ne sont pas efficaces ni des contrôles rigoureux en matière de cybersécurité, car ils confèrent uniquement les droits potentiels de réclamer une compensation financière en cas d’incident ou de litige. La plupart des fournisseurs de services infonuagiques offrent leurs services « tels quels », sans proposer d’entente appropriée, concrète et quantifiable sur les niveaux de service. Afin d’être plus flexibles et faciles à déployer, les sites d’IoT fonctionnent conjointement avec les solutions infonuagiques et les sociétés de type SaaS (Software as a service). Toutefois, vous êtes toujours en droit de vous poser les questions suivantes : SEREZ-VOUS en mesure de détecter une cyberattaque? Laisserez-vous les données de vos clients être la cible d’un rançongiciel ou d’une violation?
Les cyberattaques hautement médiatisées récemment, menées par divers acteurs à l’échelle mondiale, ont démontré que nous sommes tous des cibles et, par conséquent, de futures victimes. La seule différence entre deux cibles et deux victimes repose sur le niveau de sensibilisation et de préparation. Les victimes scandent que leurs activités, loyers, locataires et baux ne sont pas suffisamment importants ou intéressants pour être la cible d’une cyberattaque perpétrée par un pirate informatique. Il a été démontré que cette croyance erronée constitue une hypothèse très dangereuse et trompeuse. Les pirates informatiques aiment les cibles faciles. Toute infrastructure technologique non sécurisée, immature ou non contrôlée est vulnérable et considérée comme un terrain de jeu tout à fait approprié pour les cybercriminels. Leurs objectifs est de faire de l’argent en utilisant les données des utilisateurs, y compris les louer à d’autres fraudeurs d’infrastructures informatiques, d’applications infonuagiques et de sites IoE piratés. La complexité et la multiplication de l’IoT au sein des infrastructures constituent des points d’entrée possibles pour ces pirates informatiques. Comment choisissent-ils leurs victimes? Ils choisissent une victime dont les systèmes informatiques sont improvisés et comprennent différents types et différentes générations d’écosystèmes technologiques, dont le contrôle et la mise à jour se révèlent très difficiles à effectuer. En conséquence, les anciens systèmes des propriétaires et des locateurs ayant fait l’objet de nombreuses mises à niveau, d’ajouts modulaires et d’améliorations de la part de tierces parties sont (potentiellement) les plus vulnérables.
Si vous vous demandez pourquoi ces produits nuagiques, l’IoT ou l’IoE ne sont pas plus sécuritaires étant donné qu’ils sont nécessaires au traitement des données confidentielles, la réponse est facile : c’est en raison de la pression exercée par les marchés. Cette dernière a naturellement entraîné un manque de maturité sur le plan de la technologie et de la sécurité. Ces technologies sont vendues « telles quelles » pour ce qui est de la sécurité, celle-ci incombant à l’administrateur des données réelles, l’utilisateur de la plateforme IoT ou de l’appareil.
Avec l’arrivée dans nos vies et notre travail quotidien de ces produits « intelligents et tactiles », notre vigilance s’évanouit peu à peu au profit d’un état d’esprit reposant sur un modèle cognitif de type « sans autre choix » ou des mécanismes décisionnels de type « évoluer ou s’éteindre ». Tous ces actifs immobiliers interconnectés et convergents ainsi que toutes les stratégies « à court terme » augmentent considérablement les risques de cyberattaques pour les propriétaires, les locataires, les locateurs et les gestionnaires.
Existe-t-il des solutions? Oui. Comme c’est le cas de nombreux problèmes informatiques, l’écart provient d’un problème d’architecture. Bien entendu, l’IoT, et, par le fait même, l’IoE, peuvent réduire les coûts d’exploitation dans des domaines tels que l’énergie, les réparations, l’entretien, les rebuts et l’administration, mais comme l’explique l’article, ils serviront également de prolongement pour vos principaux systèmes d’affaires et de données personnelles. Afin de protéger adéquatement ces écosystèmes importants, la cybersécurité doit être intégrée à TOUS les aspects de l’architecture, de la conception et des processus opérationnels liés aux technologies ET au plan stratégique de l’entreprise. Si ce n’est pas le cas, elle devra être assurée par un fournisseur de services de sécurité, comme un courtier de sécurité de l’accès au nuage (autrement dit un CaSB). Vous ne pouvez pas vous fier uniquement aux contrôles ou aux mesures ad hoc de sécurité autonomes faciles et simples intégrées aux solutions IoE traitant vos données sur le secteur de l’immobilier commercial. L’approche en matière de cybersécurité se doit d’être globale et conforme.
Il est possible de protéger adéquatement le système de données essentielles à votre entreprise, à condition que celui-ci soit bien connu et compris. Sinon, si vous ignorez quel type de données essentielles vous produisez, stockez, modifiez et transmettez, comment pouvez-vous savoir si elles sont protégées? Si vous ne les utilisez pas à l’heure actuelle, quelqu’un d’autre y a-t-il accès dans le cadre de leur cycle de vie? Il est mieux de laisser les questions de sécurité liées à l’IoT aux véritables architectes de la cybersécurité, afin de ne pas mettre la réputation de votre entreprise en danger.
L’intelligence artificielle, la réalité virtuelle et la réalité augmentée ainsi que les chaînes de blocs ou la cryptomonnaie sont les nouvelles tendances émergentes et convergentes. Ces avancées devraient s’ajouter verticalement aux enjeux et aux complexités de l’IoT et de l’IoE. Les villes intelligentes favorisent l’émergence des immeubles intelligents, mais, malheureusement, même ces projets ne mettent pas suffisamment l’accent sur la cybersécurité et l’utilisation des données. Les violations de données et les vols de données sont de plus en plus médiatisés sur DarkNet. Les sources de ces violations convergent vers l’équipement de l’IoT et les technologies connexes (le site Web Shodan.io présente des IoT et des systèmes de contrôle industriel qui sont exposés et qui ne sont pas sécurisés). Vos immeubles et vos entreprises seront-ils le maillon faible?
Tous les propriétaires immobiliers, gestionnaires et locataires doivent constamment faire preuve de vigilance et se poser la question suivante : mes immeubles et mon entreprise sont-ils une véritable passoire en matière de cybersécurité? Faire preuve d’une vigilance adéquate, conforme et évolutive et assurer une bonne gouvernance ne freineront jamais le développement de votre entreprise. Alors que nous nous orientons vers un monde encore plus connecté, prouvez à vos locataires, à vos parties prenantes, à vos investisseurs et à vos partenaires que vous accordez une grande attention aux données confidentielles dont vous avez la responsabilité.
[1] « Can IoT be a New Competitive Advantage to Commercial Real Estate », Forbes, août 2017. https://www.forbes.com/sites/pikeresearch/2017/08/31/can-iot-be-a-new-competitive-advantage-to-commercial-real-estate/#3b761013a637
[2] « Can IoT be a New Competitive Advantage to Commercial Real Estate », Forbes, août 2017. https://www.forbes.com/sites/pikeresearch/2017/08/31/can-iot-be-a-new-competitive-advantage-to-commercial-real-estate/#3b761013a637