À l’occasion de sa dernière intervention de l’année 2020, la SBA a choisi d’organiser une table ronde sur la cybersécurité dans le bâtiment et la ville. Cet échange préfigure la mise en place d’un label dédié et la publication d’un livre blanc en 2021. Extraits choisis des échanges avec Éric Hazane, Chargé de mission Stratégie des territoires à l’ANSSI[1], Vincent Blavet, Solution Architect Manager chez Hewlett Packard, Jacques de la Rivière, Président de Gatewatcher, Jean-Noël de Galzain, Président de Wallix, et Alexandre Marsaff, Responsable sécurité chez Icade.

L’engagement de l’ANSSI au sein de la SBA ne date pas d’hier. Il y a 2 ans déjà, l’agence avait contribué très activement au Thema « Construire un territoire de confiance et de sécurité », destiné aux élus pour la sécurité de leurs concitoyens. « Mais les collectivités ont encore du mal à mettre en œuvre les solutions adaptées, note Éric Hazane, car les élus sont confrontés à un nombre de risques importants, climatiques, sanitaires, de troubles à l’ordre public. On leur demande de composer avec la transformation numérique des villes et l’ouverture des données d’une part, et avec la cybersécurité et la protection des données personnelles d’autre part. »

Un risque invisible 

C’est d’autant plus complexe que le risque en matière de sécurité numérique est invisible, excepté lorsqu’il y a une cyberattaque. Mais c’est alors trop tard. « Il faut donc être en mesure de convaincre les élus de l’intérêt de la cybersécurité, poursuit-il, et de proposer des pistes de réflexion et des outils adaptés. » Les villes les plus réceptives et les mieux préparées à ces risques ne sont pas forcément les plus importantes, mais celles qui ont déjà développé une culture de la cybersécurité et qui en ont bien compris les risques.

Des réseaux virtuels parallèles

Pour que les systèmes numériques fonctionnent et communiquent ensemble – ce qui est indispensable dans un smart building -, on répète qu’il faut que ces systèmes soient ouverts. « Mais dans ces conditions, on ouvre aussi les canaux d’accès à des sources non autorisées et aux risques de cyberattaques, reconnaît Vincent Blavet. Pour s’en prémunir, on sait virtualiser et isoler les uns des autres les différents flux de données du bâtiment, comme le réseau de la climatisation et celui de la vidéosurveillance. » Il est ainsi possible d’apporter un niveau de sécurité au bâtiment, même si les objets connectés eux-mêmes ne sont pas sécurisés. Précisément, notons que cette capacité de virtualisation est intégrée aux exigences R2S. Néanmoins, quand les différents flux sont isolés, qu’est-ce qui garantit que les utilisateurs prennent le bon réseau et ne vont pas lancer une attaque ? Une solution existe : le Policy Server. Certains protocoles, en effet, permettent d’appliquer des stratégies d’accès réseau à l’ensemble des utilisateurs, pour l’authentification et l’autorisation des demandes de connexion, à l’aide d’informations contextuelles.

L’industrialisation des solutions contre le cybercrime 

D’autres solutions se développent, pour lutter contre le cybercrime qui s’étend à vitesse exponentielle dans le monde. « Saviez-vous que durant le mois de janvier 2020, il y a eu autant d’attaques crypto-ransomware que dans toute l’année 2019, déplore Jacques de la Rivière, et que le cybercrime coûte 2 000 milliards de dollars aux économies mondiales, contre 400 milliards en 2015 ? » Il faut donc agir vite et les sondes réseaux représentent une solution intéressante. En surveillant les flux de données, un peu comme une caméra, elles détectent les fonctionnements anormaux et préviennent les cyberattaques, par des technologies d’apprentissage (machine learning). Les sondes permettent ainsi d’industrialiser la cyberdéfense.

La maîtrise des accès informatiques 

Dernière piste de solution via la maîtrise des accès informatiques. C’est précisément ce que propose l’éditeur de logiciels spécialisés Wallix. « C’est ce qui permet à un chef d’entreprise de garder le contact avec ses collaborateurs en télétravail ou de superviser son usine à distance en toute sécurité, décrit Jean-Noël de Galzain. Avec cette problématique d’accès, on se protège contre les cyberattaques et il a été démontré qu’une entreprise bien protégée n’intéresse pas les hackers. » Pour le bâtiment plus spécifiquement, il convient « d’appliquer la sécurité dès la phase de conception du bâtiment. C’est ce que l’on appelle la Cybersecurity by design, explique-t-il. Il s’agit d’adopter une approche holistique, de l’identification des utilisateurs au traçage, en passant par les accès, en intégrant des technologies de confiance via le système d’exploitation du bâtiment, le BOS. » De cette manière, les attaques ne se répandront pas dans les différents réseaux du bâtiment.

Un tour de table des solutions rassurant pour le bâtiment

La table ronde s’achève avec l’intervention d’un acteur du bâtiment, confronté aux problématiques de sécurité : le promoteur et foncière Icade : « Nos immeubles sont de plus en plus connectés et informatisés, pour les besoins des occupants et de la gestion du bâtiment, confie Alexandre Marsaff. Il y a donc pour nous un enjeu important d’analyse des risques, à mettre en parallèle avec les services qui valorisent nos immeubles, notre capacité d’investissements et le coût des charges au m² pour les locataires. » Aujourd’hui, la difficulté principale est l’hétérogénéité des systèmes en rénovation. C’est pourquoi les professionnels de la cybersécurité présents conseillent de se faire accompagner par un architecte, pour aborder à la fois les usages et les précautions en termes de cybersécurité dans le bâtiment, tout en évitant l’empilement des responsabilités.

Sachant que la France est classée 2e sur la cybersécurité dans le monde, le secteur du bâtiment peut être rassuré, d’autant plus que de nombreuses initiatives sont en cours pour promouvoir le savoir-faire national, comme l’ouverture des portes d’un campus cyber en octobre prochain à la Défense ou la mise en œuvre en 2021 d’un label dédié à la cybersécurité par la Commission Cyber de la SBA !

[1] Agence nationale de la sécurité des systèmes d’information

 

Nous utilisons des cookies sur notre site

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. Plus d’informations