La Cybersécurité – EPISODE 5
Le smart building est aujourd’hui en plein essor et la valeur d’un bâtiment se mesure davantage par sa capacité à proposer des services aux occupants et aux exploitants, que par sa localisation ou son design. Mais le bâtiment, parce qu’il est désormais connecté, a ouvert la porte aux cyberattaques. Afin de le protéger efficacement, Pascal Zératès, directeur général de Kardham Digital et co-coordinateur de la commission cybersécurité de la SBA, planche activement à la mise en place d’un référentiel dédié.
Pour Pascal Zératès, spécialiste des services numériques dans le bâtiment, le risque de cyber-malveillance est bien réel dans un immeuble connecté. Le danger n’est pas tant le vol de données, mais bien celui d’un accident grave : « une attaque qui par exemple bloque totalement un étage dans un smart building et qui déclenche le chauffage pour augmenter la température à 50 °C est plausible, redoutable pour les occupants, révèle-t-il. Un tel événement risque d’arriver ; il convient donc de s’en prémunir et de protéger le système d’information du bâtiment, comme c’est l’usage pour tout autre système d’information. »
Le danger vient des objets connectés et des applications
Dans les smart buildings, les objets connectés et les applications sont directement concernés par les cyber-risques, en première ligne lorsqu’ils communiquent par les adresses IP (Internet Protocol). « L’explosion du télétravail a multiplié les connexions à distance aux systèmes d’information des entreprises amenuisant leurs défenses, » confie Pascal Zératès. Difficile, en effet, d’assurer le même niveau de protection à domicile que dans l’environnement hyper sécurisé en entreprise. Mais c’est possible, en utilisant par exemple un réseau privé virtuel (VPN), qui crée un réseau privé sur les réseaux publics. Il permet aux usagers d’échanger des données par l’intermédiaire de réseaux publics ou partagés, comme si leurs ordinateurs étaient connectés à un réseau privé : cela permet un contrôle d’accès par sécurisé.
Les bâtiments les plus exposés abritent des OIV
Parmi les bâtiments, tous ne sont pas autant exposés. Les cibles privilégiées des cyberpirates sont ceux qui abritent les SIIV[1] des opérateurs d’importance vitale (OIV), comme les banques, les aéroports, les fournisseurs d’énergie ou les hôpitaux, et leurs sous-traitants. S’ils étaient victimes d’une attaque, les conséquences seraient dramatiques : économie au ralenti, avions cloués au sol, coupure généralisée de l’électricité sur tout le territoire ou services d’urgence impossible à joindre ! Pour faire face à ces menaces, la loi de programmation militaire de la France impose justement de renforcer la sécurité de ces systèmes d’information d’importance critique. Cette sécurisation passe par l’application d’un certain nombre de règles. « Des règles qu’il serait intéressant de généraliser et simplifier avec un référentiel, » propose Pascal Zératès.
Un référentiel fondé sur le modèle Open Systems Interconnection (OSI)
Les entreprises Kardham Digital et WALLIX, éditeur de logiciels de cybersécurité, ont donc œuvré main dans la main pour concevoir un tel référentiel. « Pour être pertinents et en phase avec la réalité du terrain, nous avons travaillé sur une opération en cours, indique Pascal Zératès. Nous avons conçu un référentiel fondé sur le modèle OSI, une norme de communication des systèmes informatiques, qui décrit les conditions nécessaires aux fonctions des réseaux. » Comme l’OSI, le référentiel imaginé par Kardham Digital et WALLIX est organisé en couches, qui permet d’assurer la cybersécurité du bâtiment du point de vue à la fois préventif et curatif. Il est aujourd’hui en cours d’application sur le bâtiment Well 22 du gestionnaire immobilier luxembourgeois IKO Real Estate.
Une modélisation du bâtiment en cinq niveaux
Ce bâtiment a été modélisé, pour mieux examiner son comportement cyber, en considérant cinq couches – celle de la sécurité périmétrique, puis celles du contrôle d’accès, du traçage des accès aux données[2], du scan des vulnérabilités[3], de la corrélation d’événements[4] – et de lever à chaque niveau les alertes. « La cyber-surveillance de l’immeuble Well 22 est ainsi appliquée sur ce modèle, décrit Pascal Zératès, et aujourd’hui nous envisageons son déploiement sur un grand campus, afin d’entrevoir son extension à l’échelle d’une smart city. »
La “cybersécurité by design” à chaque projet de construction
Kardham Digital et WALLIX veulent désormais partager leur pratique opérationnelle acquise sur ce projet au Luxembourg, pour constituer dans le cadre de la SBA un référentiel plus global, adapté aux différents types de bâtiments. La cybercriminalité est en effet plus que jamais d’actualité. Non seulement le cybercrime rapporte davantage que le trafic de drogues par exemple, mais en plus il est moins risqué et moins sévèrement puni. « C’est pourquoi nous cherchons à intégrer la démarche de cyber-protection by design dès la conception de nouveaux bâtiments, conclut Pascal Zératès. Notre commission Cybersécurité va ainsi renforcer le volet cyber dans le label R2S, même si sa configuration originale en couches permet déjà aux smart buildings de mettre le pied à l’étrier en matière de cyber-défense. »
[1] Systèmes d’Information d’Importance Vitale
[2] Le traçage des accès permet de prévoir des procédures pour gérer les incidents afin de pouvoir réagir en cas de violation de données
[3] Le scan des vulnérabilités permet de remonter les vulnérabilités les plus communes et de les analyser
[4] La corrélation d’événements permet de surveiller un enchaînement d’événements attendus et consécutifs sur une période de temps, pour identifier d’éventuelles anomalies