Quelles défenses contre les cyberattaques dans le bâtiment ?
Plus connecté que jamais, le bâtiment devient la cible de cyber menaces. Pourtant la sécurité numérique reste un enjeu sous-estimé dans l’immobilier, parce que le risque est invisible, excepté lorsqu’il y a une attaque. Mais c’est alors trop tard.
Il est donc bon d’anticiper, de développer une culture de la sécurité numérique pour être en mesure de se protéger. Pas si simple, même s’il existe des normes et des standards sur le sujet. Une notice de sécurité manque en effet pour les systèmes qui s’interconnectent, à l’instar d’une GTB avec les réseaux internet du bâtiment. Car il est possible de prendre le contrôle d’un immeuble par l’intermédiaire d’un objet connecté, une caméra ou un chauffage, avec des conséquences parfois dramatiques. Cette situation vaut également à l’échelle d’un quartier.
Voilà pourquoi la SBA s’est emparée du sujet et vous propose ce BAROMÈTRE, qui recense divers points de vue d’experts sur la cybersécurité et vous donne quelques clés pour mieux protéger vos bâtiments !
Les autorités accompagnent la sécurité numérique des bâtiments.
Les cybermenaces s’intensifient, alors les autorités s’organisent.
Ainsi, l’agence de sécurité et de défense des systèmes d’information ANSSI est née le 7 juillet 2009 alors que des affrontements se multipliaient dans le cyberespace mondial. En fait, son histoire remonte au siècle dernier, à la seconde guerre mondiale et à l’ère de la cryptographie. C’est cette histoire, dont l’ANSSI conserve l’empreinte, et le futur de l’organisation de la cyberdéfense des territoires, qui sont racontés par Éric Hazane, Chargé de mission à l’ANSSI.
Plus récemment, en 2019, la gendarmerie s’est dotée d’un Pôle national de lutte contre les cybermenaces. Les hackers n’ont qu’à bien se tenir, face à l’organisation sans faille de cette structure dédiée. Avec les autorités judiciaires, les services d’enquête spécialisés ou encore l’ANSSI, le pôle mène des actions de prévention et s’engage dans une démarche de proximité, pour accompagner au mieux les victimes d’infractions juridiques. Et dans les bâtiments et les villes, la solution la plus efficace contre les attaques selon le Colonel Éric Freyssinet, qui dirige cette structure, passe par la sensibilisation et la formation à la cyber-vigilance des habitants et des citoyens, avec des messages simples et pédagogiques.
Des référentiels pour cadrer la sécurité numérique des bâtiments.
Plutôt que de faire appel aux forces de l’ordre une fois qu’il est trop tard après la cyberattaque, mieux vaut protéger ses bâtiments en amont. Dans cette perspective, les acteurs de l’immobilier ont besoin d’un mode d’emploi, d’un cadre méthodologique, pour couper l’herbe sous les pieds des hackers. C’est en tout cas le point de vue de Pascal Zératès, directeur général de Kardham Digital, qui travaille sur la mise au point d’un référentiel dédié à la défense des smart buildings, en s’inspirant d’une opération immobilière en cours. L’objectif sera d’assurer la cybersécurité du bâtiment des points de vue préventif et curatif à la fois.
La SBA a déjà pris les devants en la matière, avec le label R2S, car sa configuration originale en couches permet de dresser un rempart contre les attaques au sein des réseaux du bâtiment. Sur la protection des données en plus, Philippe Durand, responsable développement chez Bureau Veritas Certification, précise que « parmi ses exigences, le R2S oblige les exploitants à détailler les données collectées et, surtout, pour quel usage. »
Au-delà de ses réseaux, la sécurité dans les smart buildings s’applique aussi au niveau des objets connectés. Là aussi, le label R2S a un rôle à jouer, que la SBA veut encore renforcer. Elle va pour cela s’inspirer des méthodes développées par des organismes spécialisés dans la cyberdéfense, comme l’ANSSI et le CNPP.
Des conseils d’experts en cybersécurité pour accompagner et protéger les bâtiments
Les acteurs privés se mobilisent aussi, pour lutter contre le cybercrime qui se diffuse toujours plus largement dans le monde. Ils créent des logiciels, accompagnent, maîtrisent les données…
Pour la filiale immobilière de BNP Paribas, la sécurisation des bâtiments connectés est tout simplement indispensable et peut nécessiter l’intervention d’un AMO spécialisé. Elle est de la responsabilité de toutes les parties prenantes du smart building, du promoteur au preneur, en passant par le propriétaire, et concerne à la fois les équipements, les réseaux, les interconnexions et les accès.
La gestion des accès fait justement l’objet de toutes les attentions de l’éditeur de logiciel de cybersécurité WALLIX, parce que, souvent, les vulnérabilités des bâtiments viennent de l’extérieur. Pour son Vice-président Customer Success Grégory Rousseau, « il est en particulier essentiel de bien identifier les personnes qui bénéficient d’accès privilégiés, de consigner le périmètre de leur travail et d’assurer la traçabilité de leur activité. » Globalement, il convient d’évaluer les enjeux de sécurisation, pour mettre en place les solutions adaptées : pare-feu, gestion des identités, des accès et des privilèges…
Le plus efficace consiste à mettre en place une sécurité ″by design″, en incluant la notion de risque numérique à chaque projet de construction ou de réhabilitation de bâtiment. SPIE s’inspire de l’expérience de la cybersécurité acquise depuis des années dans l’industrie pour mettre en place les démarches les mieux adaptées. Pour Pascal Mavric, responsable du développement des offres cybersécurité de la filiale numérique, « il ne s’agit pas de s’effrayer face aux risques cyber, mais bien de s’en prémunir. »
Chacun des contributeurs de ce BAROMÈTRE a répété le message. La SBA en a également la conviction.
Pour la SBA, la mise en place d’une cybersécurité des bâtiments est juste indispensable. Elle travaille donc dans cette perspective avec de nombreux acteurs publics et privés, pour intégrer cette notion dès la construction. Il convient d’être en mesure de convaincre les acteurs du bâtiment de son intérêt, de développer une culture de la cybersécurité et de proposer des pistes de réflexion et des outils adaptés. La SBA a donc choisi de l’intégrer au cœur même de son cadre référentiel R2S. Cela permet par exemple d’isoler les flux de données du bâtiment les uns des autres et ainsi d’apporter une protection. Aujourd’hui, le label est en cours d’évolution et cette dimension devrait être encore mieux appliquée.