logements sociaux

Les données sensibles et la transformation numérique font du logement social une cible privilégiée pour les cybermenaces

Version imprimable, PDF et e-mail

Les cybercriminels privilégient les cibles qui disposent d’une quantité importante de données sensibles, à caractère personnel, et d’une surface d’attaque peu protégée, donc facile à exploiter. L’un de leurs terrains de jeu préférés est donc le secteur du logement social, qui englobe divers organismes privés, financés par l’État ou à but non lucratif dont la mission est de permettre aux ménages modestes, ainsi qu’aux personnes ayant des besoins spécifiques, de se loger. Face au nombre croissant de bailleurs sociaux qui se tournent vers la technologie et le cloud pour améliorer leurs services (communication avec les résidents, gestion et entretien des immeubles), il est plus important que jamais de comprendre et de gérer les risques informatiques associés.

Les biens à protéger

La sécurité des données est l’une des priorités des bailleurs sociaux. Ils doivent tout particulièrement protéger les informations personnelles, financières et confidentielles de leurs résidents. Il ne s’agit pas seulement de respecter leurs obligations en matière de protection des données afin d’éviter une amende. Les résidents en logement social sont souvent vulnérables, car victimes de violence conjugale, de traite des êtres humains ou d’abus sexuels. Si leurs données personnelles tombent entre de mauvaises mains, les conséquences peuvent s’avérer désastreuses.

Par ailleurs, bon nombre de bailleurs sociaux allient applications en ligne et infrastructures connectées pour gérer les immeubles à distance, simplifier leurs opérations, réduire les coûts et améliorer la qualité des services proposés à leurs résidents. Cette transformation numérique engendre de nouvelles surfaces d’attaque que les cybercriminels armés de ransomwares et autres malwares n’hésitent pas à exploiter.

Étude de cas : les bailleurs sociaux au Royaume-Uni

Actuellement, le Royaume-Uni compte environ 1 600 bailleurs sociaux, 2,4 millions de logements sociaux et près de 6 millions de personnes qui en bénéficient.

En 2022, Bromford, qui gère environ 44 000 logements, ForHousing et Liberty, qui comptent ensemble 24 000 résidences, et Clarion, l’un des principaux bailleurs sociaux d’Europe (125 000 logements), ont été victimes de cyberattaques ayant fait la une des journaux. Bromford a fait l’objet de plusieurs tentatives malveillantes avant d’y succomber. ForHousing et Liberty ont été victimes d’une attaque par ransomware, tandis que leur société mère, ForViva, a subi un vol de données.

Dans la plupart des cas, ces attaques ont entraîné des perturbations, voire une défaillance des systèmes de télécommunications tels que les lignes téléphoniques, plaçant les résidents dans l’impossibilité de payer leur loyer, d’appeler pour demander de l’aide ou des travaux de réparation. Autre source d’inquiétude, la perte de leurs données personnelles. Il a fallu des semaines, voire des mois, pour que ces incidents soient résolus.

La solution choisie par l’un de ces organismes

L&Q, entreprise sociale pour l’habitat, a fait le choix des nouvelles technologies, à savoir des applications en ligne, afin de pouvoir interagir à tout moment avec ses salariés, ses partenaires, ses fournisseurs et ses 250 000 résidents, et ce où qu’ils soient. Une quantité considérable d’informations financières confidentielles et autres données dont le traitement est réglementé est donc transportée par le biais des applications, puis stockée dans les bases de données de l’entreprise. En parallèle, cette dernière utilise un logiciel de connectivité des bâtiments afin de pouvoir gérer et surveiller à distance ses différentes installations : chaudières, systèmes électriques, de plomberie et de gaz. Le trafic de données de télémétrie collectées par les appareils IoT est très important et doit être protégé contre le vol et le sabotage.

« La surface de notre pile est manifestement très étendue et diversifiée. Notre architecture hybride rend le défi de la sécurité encore plus complexe » affirme Kieron Prince, responsable Cloud et infrastructure chez L&Q. « Il nous était impossible d’évaluer la fréquence à laquelle nous étions sondés et attaqués. »

L&Q a choisi Barracuda et sa solution Web Application Firewall (WAF)-as-a-Service pour sécuriser ses applications cloud et sur site. « Ayant pu explorer nos journaux, nous avons ouvert les yeux. Avoir échappé à une violation massive de nos données relève du miracle », nous confie M. Prince.

Check-list pour les bailleurs sociaux disposant d’un budget sécurité restreint

Quelles solutions pour les équipes informatiques dans le secteur du logement social ? Comment renforcer la sécurité sans avoir à investir dans des technologies complexes ou gourmandes en ressources naturelles, financières et humaines ?

Voici quelques mesures clés à mettre en place :

  • Former l’ensemble des utilisateurs à repérer et à signaler les e-mails d’hameçonnage et autres types de messages suspects ;
  • Appliquer les correctifs sans tarder : installer les mises à jour dès que possible ; au besoin, prioriser les éléments les plus critiques et faciles à exploiter ;
  • Activer l’authentification à deux facteurs pour l’ensemble du réseau et des applications, et surtout pour les services d’accès à distance, comme le protocole RDP, et les comptes utilisés par les résidents et le personnel non technique ;
  • Installer un antimalware sur chaque appareil connecté au réseau ;
  • Mettre en place une solution de protection multicouche efficace au niveau de l’application cloud, de la passerelle de messagerie et de la couche réseau ;
  • Désactiver les macros et les environnements de script ;
  • Sauvegarder régulièrement vos données selon la règle 3-2-1 (trois copies, deux supports différents, dont l’un est hors ligne).

Lire l’étude de cas en intégralité

Remonter en haut de page
Tweeter
Partager
Partager