LA Cybersécurité – EPISODE 2
Fini le bâtiment qui servait uniquement à assurer un environnement de travail confortable aux salariés des entreprises ! En opérant sa transition numérique, le bâtiment offre aujourd’hui davantage de services aux occupants. S’il a de cette manière gagné en flexibilité et boosté sa valeur globale, il s’est aussi exposé à certaines failles liées au numérique. Grégory Rousseau, Vice-Président Customer Success chez l’éditeur de logiciel de cybersécurité WALLIX, nous donne les clés d’une protection efficace pour que le smart building puisse se prémunir de ces risques.
Quand le bâtiment est devenu smart, on ne s’est pas tout de suite mobilisé pour éliminer ses potentielles failles de sécurité. Pourtant, une étude réalisée par Kaspersky a montré que près de quatre ordinateurs sur dix utilisés pour contrôler les systèmes d’automatisation des bâtiments intelligents auraient été impactés par des cyberattaques au premier semestre 2019. « Les promesses des technologies numériques dans le bâtiment intelligent sont pourtant à la mesure des vulnérabilités qui le fragilisent, confie Grégory Rousseau. Ces failles peuvent impacter le système d’information de l’immeuble, qui gère les éclairages, les ascenseurs, l’affichage sur des écrans ou encore les réservations de salles de réunion. Chaque point de vulnérabilité doit être identifié et repéré. Prenons un exemple : il suffirait que le réceptionniste s’absente une minute du poste à l’accueil qui gère les accès du bâtiment, pour qu’une personne malveillante en profite pour usurper son identité. » C’est un risque à ne pas négliger !
Quand les vulnérabilités viennent de l’extérieur
Les menaces peuvent aussi provenir de l’extérieur, dans la mesure où les appareillages connectés sont souvent maintenus à distance par un prestataire externe. « Il y a déjà plus de 7 ans maintenant, en décembre 2013, une entreprise de grande distribution discount nord-américaine a ainsi été victime d’une cyberattaque massive sur ses serveurs, conduisant à la subtilisation de 40 millions de numéros de cartes bancaires et de 70 millions d’adresses mails, coordonnées postales et numéros de téléphones de clients, révèle Grégory Rousseau. L’élément marquant dans cette attaque est qu’elle a été organisée à partir du vol des identifiants d’un prestataire, qui gérait les systèmes de ventilation et de climatisation du groupe. » La mise en place d’une stratégie pour prévenir ces risques inhérents à la digitalisation des bâtiments est aujourd’hui devenue incontournable. Mais comment s’y prendre ?
Identifier les vulnérabilités sur le système d’information de l’immeuble
Les smart buildings qui ont déjà prévu en amont leurs défenses contre les cyber-risques sont rares. « La tendance ″Security by design″ dans l’immobilier est récente, confirme Grégory Rousseau, même si désormais chaque cahier des charges pour la construction de nouveau bâtiment intègre nécessairement la cybersécurité. C’est pourquoi on nous consulte avant tout pour un état des lieux du système d’information. » Un état des lieux global, où aucun objet connecté ne doit être oublié : ascenseur, ventilation, affichages, sécurité incendie, contrôle des accès au parking et à l’immeuble… « Nous réalisons, dans cette perspective, un schéma complet des systèmes numériques du bâtiment, détaille Grégory Rousseau, et nous recherchons les vulnérabilités à l’intérieur du smart building, mais aussi celles qui proviennent de l’extérieur, via des prestataires par exemple. »
Évaluer les enjeux de sécurisation
Toutes les vulnérabilités repérées dans un smart building n’ont pas le même niveau de criticité. Elles n’ont pas les mêmes conséquences et n’induisent pas toutes des enjeux forts de sécurisation. Avant même de mettre en place des solutions, ce sont donc ces enjeux qu’il faut mesurer pour évaluer la pertinence ou non de recourir à tel ou tel moyen de cybersécurité. Dans les faits, il s’agit d’une démarche d’analyse de risques, pour mettre en face les moyens de sécurisation adéquats. Les solutions qui protègent les personnes sont généralement prioritaires.
« Ces étapes d’identification des vulnérabilités et de mesure des enjeux doivent être réévaluées à chaque fois qu’un service est ajouté dans le bâtiment, en optant à nouveau pour une démarche qui englobe l’analyse des risques de tous les systèmes digitaux du bâtiment impactés parce qu’ils peuvent interagir, complète Grégory Rousseau. L’objectif est de savoir s’il faut envisager de nouvelles défenses. » En complément à ces analyses d’impact unitaires, s’ajoute le cycle d’évaluation périodique des risques et des mesures de sécurité, réalisé durant toute la durée de vie du projet. Il vise à garantir la cohérence entre le plan de sécurité déployé et les menaces qui sont elles aussi en constante évolution.
Mettre en place des solutions de cybersécurité adaptées
Plusieurs types de solutions de cybersécurité peuvent alors être proposées. « Commençons par effectuer un travail sur la sécurité périmétrique, en installant un pare-feu pour sécuriser le réseau du bâtiment et maîtriser les flux d’informations, » conseille Grégory Rousseau.
D’autres solutions visent à renforcer la protection des identités des usagers, les accès aux applications et la confidentialité des données. Elles complètent ainsi le dispositif de cybersécurité dans le smart building. Il est en particulier essentiel de bien identifier les personnes qui bénéficient d’accès privilégiés – les techniciens de maintenance par exemple – et de consigner le périmètre de leur travail. L’objectif est de délimiter les accès numériques de ces utilisateurs à privilège, de contrôler, superviser et assurer la traçabilité de leur activité.
Enfin, le pare-feu, la gestion des identités, des accès et des privilèges pour certains utilisateurs vont permettre de collecter des informations, transmises à un centre opérationnel de sécurité (SOC[1]), chargé de détecter les incidents. « Prenons un exemple, propose Grégory Rousseau. Si une personne a un accès à la sécurité incendie. Chacune des tentatives de connexion à ce système est enregistrée et transmise au SOC. Si ces tentatives se multiplient encore et encore, l’équipe du SOC détecte la possibilité d’une cyberattaque, et réagit sans attendre pour la bloquer. En concentrant tous ces moyens de sécurité – pare-feu, protection des identités et des accès, SOC… – et en les faisant communiquer, nous apporterons aux occupants la confiance nécessaire à l’usage des services numériques dans l’immobilier tertiaire. »
Il est donc essentiel que les professionnels du bâtiment et du digital partagent un langage commun. En ce sens, l’approche fédératrice de la SBA constitue une bonne initiative puisqu’elle permet aux deux mondes de se rencontrer et de travailler ensemble. Son référentiel de connectivité dans le bâtiment R2S est d’ailleurs en cours d’évolution pour encore mieux intégrer la dimension cybersécurité.
[1]Security Operation Center
Rétroliens/Pings