Le 31 août et le 1er septembre, Le Havre recevra le sommet Européen du Numérique (SBT Summit), poumon des bâtiments, des villes et des territoires. Une bonne occasion de mettre en lumière les initiatives locales en matière de villes et de bâtiments intelligents, à commencer par le programme
Le Havre Smart Port City.

Entretien avec Jean-Baptiste Gastinne, Premier Adjoint au maire, chargé de l’urbanisme et de l’environnement de la Ville du Havre et Premier Vice-Président de la communauté urbaine Le Havre Seine Métropole.

Pourquoi est-ce important pour Le Havre d’accueillir un événement comme le sommet européen du numérique ? 

L’organisation de ce sommet Européen au Havre fait sens à double titre. D’abord parce qu’à l’image de plusieurs métropoles, nous sommes pleinement engagés dans la transformation intelligente de la ville. Nous souhaitons porter des projets innovants au service du bien-être des habitants. Autre élément important : les dates du sommet européen du numérique (31 août et 1er septembre). Recevoir une manifestation de cette ampleur, à la veille de la rentrée, est un signal fort qui témoigne des capacités d’adaptation, de mobilisation et d’accueil de notre territoire. Le Havre est et restera une destination incontournable pour le tourisme d’affaires après la crise sanitaire.

Sur cette thématique de la ville et des bâtiments intelligents, Le Havre se distingue notamment par son programme Le Havre Smart Port City. Quelle est son ambition ? 

Il s’agit d’assurer un avenir serein et ambitieux au port du Havre. Aujourd’hui, toutes les grandes villes portuaires européennes sont engagées dans une concurrence très rude. Cela concerne leurs activités maritimes, mais aussi industrielles et logistiques. Pour rester dans la course des grandes villes portuaires du nord-ouest de l’Europe – aux côtés d’Anvers ou de Rotterdam – nous devons sans cesse innover. Le programme Le Havre Smart Port City doit ainsi nous permettre de disposer des moyens financiers, juridiques et humains pour atteindre cet objectif.

Comment se décline cette ambition sur le terrain ?

En 2019, Le Havre a été désigné lauréat d’un appel à projets du gouvernement dans le cadre des investissements d’avenir. Aujourd’hui, nous entamons la phase concrète de ce programme. L’horizon final a été fixé en 2030. Au total, une vingtaine de projets d’innovations sont aujourd’hui labellisés Le Havre Smart Port City. Ce portefeuille de projets continuera de s’étoffer ces prochains mois. Tous les projets retenus sont non seulement innovants mais aussi totalement inédits. Nous ne recyclons pas d’anciens projets, nous impulsons de nouvelles actions de transformation susceptibles d’agir en profondeur sur les usages de la ville et du port. Ce programme Le Havre Smart Port City est un accélérateur d’innovation.

Quels sont les premiers projets emblématiques de ce programme ? 

Nous soutenons tout d’abord des projets qui ont un impact direct sur la vie quotidienne des habitants. Cela passe par un projet comme « Mobi Smart Port » qui vise à proposer une application locale de navigation facilitant les déplacements dans la zone portuaire. Les utilisateurs seront guidés dans leurs trajets. Ils bénéficieront également d’informations en temps réel sur les mouvements des ouvrages comme les ponts mobiles ou les passages à niveau. Toujours pour proposer de nouveaux services aux habitants, nous travaillons sur le déploiement de nouveaux systèmes de mesure, en temps réel, pour la mesure de la qualité de l’eau et de l’air. Nous devons apporter des garanties aux habitants sur la qualité de leur environnement en dépit de la proximité d’équipements industriels.

Concernant les entreprises locales implantées sur la zone portuaire, que peuvent-elles espérer de ce futur “port intelligent” ? 

De la compétitivité ! Nous développons par exemple un projet majeur autour de la data et des réseaux au sein de la zone portuaire. Baptisé “5G Lab”, il est porté par trois grands industriels : Nokia, Siemens et EDF. Son ambition est de mesurer les opportunités qu’offre la 5G pour renforcer la compétitivité portuaire. Il s’agit notamment d’améliorer la communication terre/mer, faciliter les opérations de navigation et plus généralement, proposer de nouveaux services. Sur le plan environnemental, “5G Lab” doit également permettre un pilotage intelligent des systèmes énergétiques locaux.

Des données qu’il conviendra de sécuriser… 

Nous savons que le risque de cyberattaque peut avoir des incidences sur le trafic maritime et sur l’activité portuaire. Nous travaillons donc sur deux projets ambitieux de cybersécurité. Le premier est tourné vers les navires. Il consiste au développement d’outils de simulation qui vont permettre de former les professionnels navigants aux situations de cyberattaques. Le second projet labellisé vise à sécuriser nos systèmes d’exploitation à terre. Je pense notamment à des lieux stratégiques comme la Capitainerie. À terme, tous les industriels de la zone portuaire doivent pouvoir bénéficier de cette protection.

Avec Le Havre Smart Port City, le port et le territoire ne doivent faire qu’un ?

Historiquement, Le Havre est un territoire où la ville et le port sont parfaitement intégrés. Tous les projets de transformation que nous engageons avec Le Havre Smart Port City doivent être réalisés en association avec les citoyens. C’est le rôle du Port Center, un lieu pédagogique qui vise justement à faire découvrir à la population les enjeux et le fonctionnement d’une ville portuaire (économiques, sociaux, environnementaux…). Dans le cadre du programme Le Havre Smart Port City, le Port Center sera reconfiguré pour intégrer les nouvelles ambitions industrielles, numériques et énergétiques du port de demain. Nous voulons renforcer le lien historique qui unit le territoire et son port.

Qu’est-ce qu’un bâtiment intelligent ? C’est un bâtiment qui promet à ses occupants des services pour améliorer leur confort et faciliter leur quotidien. Ceux-ci sont d’autant plus indispensables aujourd’hui qu’après les confinements liés à la crise Covid-19, les salariés n’ont pas forcément envie de perdre leur temps dans les transports pour faire un travail au sein de l’entreprise s’ils peuvent l’effectuer depuis chez eux. Les services contribuent à leur redonner le goût du bureau… à condition de bien les organiser. Explications et rôle de l’opérateur de services par Guillaume Parisot, Président de la société Aveltys, expert reconnu pour le pilotage de la performance et du confort au sein des actifs immobiliers.

Trouver une salle de réunion disponible, suivre ses consommations d’énergie, ajuster son confort, réserver un cours de fitness, géolocaliser les membres de son équipe projet dans le bâtiment, signaler un incident technique, connaître les menus et l’affluence au restaurant d’entreprise… Les services dans les smart buildings sont innombrables. « Les usagers cherchent à avoir une vraie cohérence des offres de services auxquels ils accèdent, souligne Guillaume Parisot, alors même qu’il en existe une multitude aujourd’hui et qu’ils peuvent en utiliser des dizaines au quotidien. » L’aspect facilitateur des services les intéresse, pas la complexité d’une pléthore d’applications dédiées à chacun de leurs besoins. Il convient donc de fédérer ces services pour qu’ils ne fassent qu’un. Telle est la mission d’un opérateur de services, à l’instar d’Aveltys, qui s’engage à assurer un maximum de confort aux occupants.

Ce que l’immeuble de bureaux a emprunté à l’hôtellerie

Cette organisation des services est désormais indispensable, considérant la demande croissante des locataires de bâtiments tertiaires pour des solutions tout compris, qui s’adaptent à chaque nouvel usage. « Précisément, c’est le modèle des hôtels, affirme Guillaume Parisot, qui proposent un point d’entrée unique, avec la mission d’assurer le bien-être de ses clients et d’apporter des services donnant toute satisfaction. » Dans le bâtiment tertiaire, la problématique est la même, qui a conduit à la naissance d’un nouveau métier, celui de l’Hospitality Manager, qui a pour mission d’assurer le bien-être des occupants et de garantir le bon fonctionnement des services proposés permettant l’amélioration du cadre de travail et l’attractivité du bâtiment.

« Je crois beaucoup au phygital, confie Guillaume Parisot. Le pilotage des services apporté par l’Hospitality Manager doit aussi être assuré par le digital : une seule application, pour gérer les différents services numériques. » Aveltys a également emprunté l’homogénéité des pratiques propre à chaque chaîne d’hôtels. « Lorsque nous sommes opérateur de services pour un bâtiment, nous assurons une qualité de services propre à nos exigences. Ces standards haut-de-gamme développés au sein d’Aveltys permettront de réenchanter les immeubles de bureaux et attirer les talents. »

Davantage d’engagement sur la performance du bâtiment

Au-delà des attentes des occupants des bâtiments, l’opérateur de services a un rôle à jouer vis-à-vis des exploitants. « Les constructeurs promettent aujourd’hui des performances d’efficacité énergétique et de confort pour leur bâtiment, rapporte Guillaume Parisot. Or, ces performances sont mesurables à l’usage, pas à la livraison. Il convient donc qu’ils s’engagent en amont de la phase d’exploitation du bâtiment, en confiant le suivi et le maintien des performances annoncées à un opérateur de services. » Dans cette démarche, Aveltys va même plus loin, en proposant de suivre le bilan carbone d’un immeuble en fonctionnement. Si les émissions de gaz à effet de serre des chantiers sont effectivement prises en compte par les promoteurs, l’impact environnemental du bâtiment en phase d’exploitation n’est pas garanti. « Là encore, c’est une mission essentielle que peut assurer l’opérateur de services, à l’heure du dérèglement climatique. »

Préparer le bâtiment à accueillir les services numériques avec le label R2S

Évidemment, la fonction de l’opérateur de services n’est possible que si le bâtiment est digitalisé et connecté, et si cette numérisation est bien structurée. « Dans ce contexte, conclut Guillaume Parisot, la démarche de connectivité R2S coule de source. Elle permet de bien préparer le bâtiment au déploiement de services, aux interconnections entre les systèmes et à leur interopérabilité, pour assurer aux usagers un point d’entrée unique pour les différents services. » Aveltys connaît bien le sujet : la société a notamment opéré une mission d’assistance à maîtrise d’ouvrage pour le nouveau site Sways (Smart ways to work), R2S ready, afin d’anticiper l’exploitation du bâtiment.

Plus d’un millier de grands acteurs du bâtiment et de la ville, une centaine d’orateurs, 70 ateliers thématiques, des Grands Prix pour récompenser des projets smarts et durables… les 31 août et 1^er septembre au Havre, le Smart Buildings Territories and Summit est le rendez-vous à ne surtout pas manquer. Mais de quoi parlera-t-on ? Explications par Emmanuel François, Président de la SBA et co-organisateur de ce sommet européen du numérique !

Le déploiement numérique est à l’origine d’une mutation radicale des activités humaines. « On ne travaille, habite, enseigne, … plus comme avant, confie-t-il. Aujourd’hui, on télétravaille, on partage des espaces, on enseigne à distance, et la crise sanitaire a même accéléré cette transformation. Plus question de reculer, car on a clairement perçu les intérêts de cette mutation tant financiers, sanitaires, économiques qu’en termes d’efficacité ou de qualité de vie. »

Une mutation civilisationnelle face à six enjeux majeurs

Au cœur de cette transformation, notre société est également confrontée à des défis majeurs. Un défi démographique d’abord, avec un profond déséquilibre nord-sud et le vieillissement de la population occidentale. Un défi environnemental évidemment, comme l’illustre le réchauffement climatique. A cela s’ajoutent un défi sanitaire (marqué par la crise de la Covid-19 actuelle, mais aussi par la pollution de notre environnement à commencer par l’air, l’eau, la terre et toute la chaîne alimentaire), un défi économique (avec des disparités croissantes entre les plus riches et les plus pauvres) et un défi identitaire (avec une perte de repère et une remise en cause des codes et des règles, ciments de notre société). « Enfin, le défi d’un numérique éthique, qui protège nos données personnelles et nos libertés individuelles, poursuit Emmanuel François. Face à ces enjeux, une remise en cause à 180° de nos modèles et modes de vie s’impose. Cela passe nécessairement par une refonte des bâtiments et des villes et de l’usage que l’on en fait, en replaçant l’humain au cœur de toute réflexion. Il convient donc d’avoir une approche transversale et holistique des sujets et non plus isolée comme c’est encore trop souvent le cas aujourd’hui du fait de nos organisations et modes de pensée. C’est ce que j’appelle la troisième révolution urbaine ! »

Le bâtiment et la ville au premier plan

Urbaine, parce que le bâtiment et la ville se situent au premier plan de cette révolution. 70 % des populations vivent en ville, qui produit 70 % des gaz à effet de serre de la planète. « Bientôt, la mobilité électrique sera intégrée au bâtiment, insiste Emmanuel François. Ensemble, ils représenteront alors 60 % de la consommation énergétique globale, alors que les bâtiments sont utilisés 30 % du temps et les véhicules 5 % seulement. Ce n’est plus durable ! » Précisément, les bâtiments doivent changer et s’adapter à nos activités, qui elles même ont évolué. Il n’est plus possible d’avoir des bâtiments figés et dédiés à un seul usage : commerce, éducation, bureaux… Les bâtiments doivent se transformer rapidement pour devenir pluriels, multi-usages, flexibles. Cette mutation constitue une formidable opportunité pour les prochaines décennies. Il en va de même pour la mobilité, qui doit évoluer pour s’adapter à des modes plus doux et plus durables. Enfin il est également nécessaire de repenser les réseaux et d’évoluer vers plus de local et d’autonomie. C’est particulièrement valable pour l’eau et l’énergie. Notre société devient ainsi hybride à tout égard.

Tout devient possible avec le numérique au cœur de cette transition

« Le SBTSummit a donc été organisé pour réfléchir à cette révolution urbaine, indique Emmanuel François. Il conviendra de repenser les bâtiments et la ville avec plus de sobriété, de mixité et de proximité. Les infrastructures, les réseaux d’eau, de déchets, l’agriculture seront donc gérés en local, pour économiser les ressources. Côté énergie, on devrait assister au retour du courant continu, qui permet de piloter plus aisément production d’énergie renouvelable et usages de mobilité électrique. Parlons-en ! C’est l’ambition de ces journées. » L’objectif sera de montrer comment le numérique peut accompagner cette troisième révolution urbaine. « Un numérique maîtrisé, sobre et sécurisé, avec une gouvernance locale des données, que j’appelle girondine pour une plus grande implication citoyenne et une meilleure inclusion sociale en s’appuyant sur des micro-Data Centers à l’échelle du bâtiment et du quartier, conclut Emmanuel François. Le chantier est tout aussi gigantesque qu’enthousiasmant ! La dimension politique est manifeste. Voilà pourquoi il est important de prendre part aux discussions et aux décisions aujourd’hui pour la ville de demain et les générations futures. Soyez visionnaires, participez à la troisième révolution urbaine et inscrivez-vous pour participer au SBTSummit ! Vous êtes les bienvenus. »

« Construire la ville sur la ville », « Réinvestir les territoires », « Urban remix, à l’aune des nouveaux usages »… pour découvrir les intervenants, le programme complet de l’événement et réserver votre pass, rendez-vous sur www.sbtsummit.com

Le 31 août et le 1er septembre, la Ville du Havre accueillera dans son Carré des docks, le Smart Buildings & Territories Summit, le Sommet Européen du Numérique, poumon des bâtiments, des villes et des territoires. À cette occasion, en marge d’un programme complet de keynotes, table-ronde, pitchs et entretiens, des Grands Prix viendront récompenser les équipes ayant su intégrer les dimensions smart et durable à leurs projets. Les explications d’Alain Kergoat, Directeur des programmes de la Smart Buildings Alliance, partenaire majeur de l’événement.

Comment est née cette initiative des Grands Prix SBT Summit ?

Alain Kergoat : Cela part d’un constat au sein de notre association. S’il existait déjà de nombreux prix et récompenses dans le secteur de l’immobilier et de la construction, nous trouvions qu’il manquait une distinction adaptée à notre philosophie. En effet, nous souhaitions mettre en lumière les projets faisant parfaitement le lien entre le numérique et le développement durable. Nous avons donc décidé de profiter de l’organisation du SBT Summit 2021 au Havre pour lancer notre propre compétition. Afin d’en garantir la légitimité, nous avons constitué un jury d’experts intégrant à la fois les membres de l’Advisory board de la SBA mais aussi des personnalités extérieures à notre association. La Présidence en a été confiée à Alexandra François-Cuxac, Présidente de la Fédération des Promoteurs Immobiliers de France (FPI France). C’est un honneur pour la Smart Buildings Alliance de bénéficier de sa confiance et de son engagement.

Comment va se dérouler le processus de sélection ? 

A.K : Nous trouvions intéressant de ne pas nous limiter à l’échelle du bâtiment mais aussi récompenser des projets innovants de quartier ou de territoire. Nous avons donc imaginé cinq catégories. Les trois premières portent directement sur les projets de bâtiments intelligents : bâtiments d’activité, immeubles résidentiels et projets d’éco-rénovation. Les deux autres catégories ciblent plutôt les territoires : projets d’aménagement et projets territoriaux. Pour ces cinq catégories, les porteurs de projet pourront postuler en ligne jusqu’à la fin juillet. Nous avons volontairement proposé un dossier de candidature assez simple pour favoriser la participation d’un maximum de projets. Les prix seront remis le mardi 31 août 2021 lors de la soirée SBT Summit.

Sur quels critères seront départagés les projets ?

A.K : Cela dépendra évidemment des catégories. L’idée générale sera de récompenser des projets adoptant une véritable ambition numérique. C’est vraiment la philosophie de la SBA d’intégrer le numérique à toutes les étapes et à tous les étages d’un projet. Pour les catégories ciblées sur les bâtiments, le jury sera particulièrement attentif à la mise en œuvre des principes édictés par le label R2S : intégration de services numériques, ouverture des solutions, prise en compte de la cybersécurité, pilotage de gouvernance des données ou encore usage du numérique pour l’exploitation et la maintenance de l’immeuble.

La dimension environnementale fera également partie des critères…

A.K : Oui, à condition qu’il s’agisse de réelles performances en matière de consommations énergétiques et/ou d’impact carbone. Nous veillerons particulièrement à ce que les promesses vertes des porteurs de projets se concrétisent réellement sur le terrain et dans leurs projets. Nous observerons aussi des sujets nouveaux comme la gestion de l’eau, la végétalisation, la santé, et plus généralement le bien être des occupants et/ou habitants.

Vous êtes donc optimiste sur la qualité des candidatures proposées ? 

A.K : Oui ! Objectivement, il y a une réelle dynamique sur ces sujets depuis plusieurs années. Nous le constatons chaque jour en échangeant avec les 500 membres de la Smart Buildings Alliance. Je ne suis donc pas inquiet sur la qualité des candidatures. Cela dit, le numérique reste un sujet récent pour l’industrie du bâtiment. Tous les acteurs du secteur n’en maîtrisent pas encore les codes. Ils ont donc besoin de s’inspirer de réalisations pionnières. C’est pour cela que nous souhaitons récompenser à travers les Grands Prix SBT Summit celles et ceux qui ont fait un réel effort d’engagement.

Un dernier mot pour les porteurs de projets ? 

A.K : Je suis convaincu que parmi nos lecteurs, nombreux sont celles et ceux qui ont mené un projet en sachant y intégrer les dimensions smart et durable. Si vous voulez le faire savoir et tenter de remporter l’un des Grands Prix remis dans le cadre du Smart Buildings & Territories Summit, candidatez en quelques clics sur le site de l’événement :

https://www.sbtsummit.com/#grandsprix

La Cybersécurité – EPISODE 8

Dans un entretien au Parisien, Guillaume Poupard, le directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a déclaré que : « Il y a parfois des produits avec tellement de vulnérabilités qu’il n’y a pas besoin de portes dérobées pour que ces équipements soient dangereux. » Il convient donc de garantir un certain niveau de sécurité de ces équipements du quotidien. La SBA contribue à la mise en place de solutions, via son groupe de travail ″Équipements″ de la commission Cybersécurité, piloté par Patrice Ferrant.

En matière de sécurité numérique, l’équipement (automate, objet connecté, poste de travail) constitue généralement le maillon faible, comme le confirme Patrice Ferrant, Regional sales manager chez le pionnier des technologies vidéo IP MOBOTIX. « Effectivement, dit-il, selon une intéressante étude récente, 22 % des cyberattaques viennent de ″l’homme du milieu″, c’est-à-dire d’interception de communications entre deux parties, lors d’une opération de télémaintenance par exemple dans le cas d’un équipement connecté dans un bâtiment. »

Quatre fois plus de cyber-victimes en un an

La sécurité dans le Smart Building s’applique à trois niveaux : l’infrastructure numérique, les postes utilisateurs (ordinateurs, tablettes ou smartphone) et les objets connectés. « La sécurité numérique est un enjeu majeur, lance Patrice Ferrant. On assiste à une augmentation importante des failles potentielles, car les particuliers, les sociétés, leurs salariés et les collectivités sont de plus en plus connectés. Le stockage de données personnelles ou professionnelles attire les personnes mal intentionnées, qui cherchent à se les procurer pour en tirer parti. » Pour l’ANSSI, l’heure est grave actuellement. Depuis le début de l’année 2020, la cybercriminalité explose, multipliant par 4 le nombre de victimes à périmètre constant.

Un manque de protection des produits connectés

Des études ont montré que les développeurs de produits numériques ne protègent pas assez leurs produits. « C’est tout l’inverse chez MOBOTIX. Nous fabriquons des caméras Security by design, rapporte Patrice Ferrant. Cela nous permet de constater l’importance des attaques. Citons l’exemple d’une attaque par un agent logiciel conçu par un hacker, qui a réalisé en 1,30 minute plus de 1 200 tentatives de connexion, dont 570 avec le login Admin tout simplement, sur une installation en Espagne, heureusement sans dommage, puisque nos caméras sont protégées par des fonctions d’alertes. »

Shodan : une mine d’informations sur les vulnérabilités des équipements librement accessible 

Les hackers n’ont pas forcément de grandes difficultés pour accéder aux vulnérabilités des équipements connectés. Connaissez-vous le moteur de recherche Shodan ? Il s’utilise comme Google, Bing ou Qwant, mais il recherche les équipements connectés à internet, les localise et récupère leur adresse IP. « Entre le web et le deepweb, Shodan permet aux hackers d’accéder à tous les ports ouverts, déplore Patrice Ferrant. Il est ainsi devenu en 12 ans un acteur clé dans les recherches de vulnérabilités sur internet et dispose d’une centaine de filtres pour trouver précisément un service, un équipement au sein d’une ville, une faille informatique… » Il peut aussi localiser des caméras de vidéosurveillance, des installations de traitement d’eau, des automates, des appareils médicaux, des feux de circulation, des téléviseurs intelligents… C’est tellement facile !

La SBA veut améliorer la confiance en matière de sécurité numérique des produits 

Pour contribuer à réduire les vulnérabilités des équipements connectés, la SBA a constitué un groupe de travail ″Sécurité des équipements″ au sein de la commission Cybersécurité, lancé en mai 2021. L’objectif ? Répertorier les bonnes pratiques en matière de cybersécurité, évaluer la robustesse des équipements vis-à-vis de risques, définir des critères de confiance sur la sécurité numérique… « Nous n’allons pas réinventer les moyens et méthodes déjà développés par des organismes experts comme l’ANSSI, ou le CNPP[1], conclut Patrice Ferrant, mais nous allons nous inspirer de leurs bases de travail. Nous avons la chance d’accueillir justement, au sein du groupe de travail de la SBA, un représentant du CNPP, pour que l’on avance ensemble et pour intégrer à terme un haut niveau de sécurité dans le label R2S. »

[1] La Certification Produit par le CNPP apporte une évaluation de la confiance. Elle est basée sur un référentiel et une organisation reconnue par les assureurs et les professionnels du métier.

La Cybersécurité – EPISODE 7

Directeur innovation de BNP Paribas Real Estate, Olivier Sellès s’est prêté au jeu des questions – réponses sur le sujet de la cybersécurité pour le blog de la SBA. Enjeu majeur dans le secteur de l’immobilier, la cybersécurité est au cœur de toutes les attentions, et notamment au sein de la SBA qui considère le sujet comme étant l’une de ses priorités pour aujourd’hui et pour les années à venir. Interview.

Quel est votre rôle au sein de BNP Paribas Real Estate ?

Olivier Sellès – Je coordonne l’équipe chargée d’identifier et de développer des solutions nouvelles pour nos clients, mais aussi pour l’optimisation de nos propres processus opérationnels. Chez BNP Paribas Real Estate, nous sommes toujours à l’écoute des tendances émergentes et travaillons dans une démarche d’open innovation avec des partenaires de tout type : grand industriel, proptech ou institutionnels par exemple.

Sur ce point, notre implication dans la SBA est une évidence. La plus grande alliance professionnelle des acteurs du smart building est pour nous l’occasion d’agir dans le sens du collectif, prendre la mesure des défis à relever, participer à répondre collectivement aux enjeux de l’immobilier et trouver les bons partenaires pour nous accompagner dans cette aventure. BNP Paribas Real Estate fait d’ailleurs partie des membres fondateurs de la SBA.

Quand avez-vous été confronté à l’insécurité numérique pour la 1ère fois ?

OS – C’était il y a 2 ans, au cours de la visite d’un immeuble, je me suis aperçu que les mots de passe des contrôleurs sur le réseau GTB étaient tous identiques : ils étaient malencontreusement restés sur les paramétrages par défaut ! Ensuite, j’ai pu constater que je pouvais modifier le nom d’un écran de gestion de confort dans une des salles de réunion en entrant dans le local du mainteneur et en modifiant au clavier un simple réglage. Si la faille n’est pas critique, l’écran de gestion du confort s’appelle toujours « Test Olivier » : personne n’a corrigé la modification depuis ! Cette insécurité numérique est une réalité et nous sommes très attentifs à la prendre en compte.

L’immobilier résidentiel et tertiaire sont-ils tous les deux concernés par les risques de piratage ?

OS – Oui, mais pas dans la même mesure. Le risque de piratage dans l’immobilier résidentiel vient avant tout des objets connectés, que les habitants possèdent, toujours plus nombreux. Ces objets connectés ont souvent conservé le mot de passe établi par défaut à l’usine : rien de plus facile d’y accéder depuis l’extérieur, et de prendre le contrôle d’une caméra par exemple. Dans l’immobilier tertiaire, les cas de piratage sont heureusement moins fréquents mais aux conséquences économiques potentiellement dévastatrices : imaginons un piratage de la climatisation d’une salle serveur la veille d’une remise de réponse à un appel d’offres.

Quels sont les points à surveiller en matière d’intrusion numérique dans un smart building ?

OS – L’intrusion numérique ne vient pas forcément d’un pirate qu’on imagine dans un pays lointain. À l’ère des réseaux sans fil, nombreux dans un bâtiment intelligent, elle peut se faire par un drone volant à proximité et interceptant des échanges entre des commandes et des équipements. Ou bien, dans l’immobilier tertiaire, au sein même du bâtiment, par des visiteurs ou des employés malveillants. C’est donc pour cela qu’il est de la responsabilité de toutes les parties prenantes de s’assurer de la sécurisation systémique du smart building : le promoteur, le propriétaire comme le preneur. Cette tâche concerne à la fois les équipements, les réseaux, les interconnexions, les accès et la complexité des bâtiments peut nécessiter le recours à un AMO spécialisé.

5G, outils connectés, smartphones, télétravail… le besoin de sécuriser les données est-il devenu indispensable ? 

OS – Rappelons pour commencer qu’il s’agit d’une obligation légale. Car sécuriser les données, c’est aussi protéger les données personnelles et sensibles. C’est un sujet sur lequel nous sommes particulièrement vigilants, chez BNP Paribas Real Estate, du fait de la culture que nous apporte en la matière le groupe bancaire auquel nous appartenons.

Ensuite, si cette sécurisation des données est indispensable face au risque juridique, économique et réputationnel, elle est aussi utile : elle oblige à repenser nos usages du numérique et elle permet de lutter contre l’infobésité. Des flux de données maîtrisés, c’est moins de données inutiles, une plus grande sobriété énergétique de nos nouveaux modes de travail. Et puis des consignes simples et claires pour la sécurité numérique, c’est tout simplement moins de stress pour les collaborateurs !

Selon vous, comment se traduit l’engagement de la SBA vis-à-vis de la cybersécurité ?

OS – L’intérêt de la SBA sur la sécurité numérique a commencé très tôt. Le référentiel Ready2Services, dès les premiers travaux en commission, a identifié ce sujet et en a fait un thème à part entière à traiter pour obtenir les précieuses étoiles du label R2S. Et il est intéressant de noter que ce thème aborde à la fois la sécurité des réseaux et systèmes du bâtiment, et la protection des données personnelles. C’est sans doute la culture européenne de la SBA qui a positivement influé sur cette approche holistique, sur les objets et sur les utilisateurs.

Le label R2S accorde-t-il assez d’attention à la cybersécurité ? 

OS – La cybersécurité est une gestion du risque : on peut toujours aller plus loin. Mais la démarche portée par ce label est un tel progrès que nous pouvons déjà nous satisfaire qu’il existe. Il place haut les exigences portées à l’immobilier et au bâtiment.

Aujourd’hui, peut-on considérer qu’un mètre carré cybersécurisé a plus de valeur qu’un autre qui ne l’est pas ?

OS – Oui, mais j’ai la conviction que cette différence sera plus forte demain et qu’elle sera en partie quantifiable. À travers l’effet de cette cybersécurisation sur la prime d’assurance, notamment. C’est un sujet sur lequel nous pouvons déjà accompagner nos clients qui prennent conscience de l’enjeu. Une autre partie de la valeur du mètre carré cybersécurisé est difficilement quantifiable, il s’agira plutôt d’éviter la perte de valeur des mètres carrés mal sécurisés.

L’immobilier “cybersécurisé” est-il en passe de devenir le nouvel eldorado des investisseurs ?

OS – Je ne pense pas. Mon intuition est qu’il s’agira plutôt d’un must-have. Pour un investisseur, quelle est la probabilité que son portefeuille de quelques dizaines de milliards d’euros d’actifs immobiliers suscite l’intérêt d’une organisation malveillante ? Le développement des bâtiments connectés est une réalité, accélérée par le développement des nouveaux usages numériques dans le monde du travail. Et la nécessité de leur sécurisation va l’être tout autant.

La Cybersécurité – EPISODE 6

Comment parler de cybersécurité, sans évoquer l’autorité française en matière de sécurité et de défense des systèmes d’information ? Histoire, missions et perspectives de l’ANSSI[1] par son chargé de mission stratégie des territoires Éric Hazane, également membre de la commission Cybersécurité de la SBA.

Les origines de l’ANSSI trouvent leurs racines à l’ère de la cryptographie et des secrets d’État français. « Si l’agence est née le 7 juillet 2009, elle hérite d’une longue série d’organismes et son histoire remonte aux deux guerres mondiales, raconte Éric Hazane, à des époques où l’État français cherchait plus que jamais à protéger ses informations sensibles, ses ″secrets″, à l’aide de techniques de chiffrement. »  

Une histoire passionnante depuis le décryptage du code Enigma   

En 1943, le Conseil de défense de la France libre crée à Alger la « Direction technique du chiffre ». L’objectif ? Protéger les informations échangées mais aussi contribuer, aux côtés des Britanniques et des Polonais, à casser d’autres codes, notamment celui des machines allemandes Enigma. Certains messages codés par les Allemands ont ainsi été interceptés et décryptés, permettant de suivre de près les mouvements des convois de ravitaillements des forces de l’Axe sur terre, sur mer et dans les airs.

Les Alliés ont gardé le secret, les Allemands restaient persuadés que le code Enigma résistait et la victoire a changé de camp. « En 1951, le Service central technique du chiffre a ensuite été fondé à Paris, poursuit Éric Hazane, puis en 1977 le service central du chiffre de la sécurité des télécommunications, suivi en 1986 par le Service central de la sécurité des systèmes d’information et en 2001 par la Direction centrale de la sécurité des systèmes d’information… »   

Une vague de cyberattaques en 2008

La période 2008 marque une première rupture en matière de cybersécurité. À cette date, le Livre blanc sur la défense et la sécurité nationale relève que les affrontements se multiplient dans le cyberespace. On observe en parallèle la paralysie de sites internet géorgiens en pleine guerre entre la Géorgie et la Russie par exemple, ou l’action de neutralisation à distance de la défense antiaérienne par l’armée de l’air israélienne lors du bombardement d’une installation nucléaire en Syrie. « La création de l’ANSSI en 2009 a permis de répondre à cette massification des cyberattaques devenues sophistiquées, lance Éric Hazane. La première attaque d’ampleur contre l’État français s’est déroulée contre le ministère des Finances à Bercy, en fin d’année 2010. Elle a donné lieu à la première opération de cyberdéfense majeure pour l’agence. »

Désignée autorité nationale en matière de cyberdéfense en 2011

Plus près de nous, il y a 10 ans, un décret a désigné l’ANSSI comme le chef d’orchestre français en cas de ″crise cyber majeure″. En 2013, la Loi de programmation militaire met ensuite l’ANSSI au cœur de la stratégie de cyberdéfense de la France en renforçant ses pouvoirs et sa capacité d’actions. L’Europe suit avec la Directive Network and Information System Security (NIS) en 2016, adoptée par les États-membres à partir de 2018. « En tant que service à compétence nationale, nous bénéficions d’une certaine latitude, nous permettant de nous adapter au fil des situations, précise Éric Hazane. Nous observons un vrai tournant ces derniers mois. Sans être forcément lié directement à la crise sanitaire ou au recours massif au télétravail, les attaques informatiques touchent davantage les collectivités territoriales et, plus grave, les établissements de santé. » Ces derniers subissent une tentative d’attaque par semaine. La cybercriminalité coûterait plus de 1 000 milliards d’euros à l’économie mondiale et les pirates informatiques ont désormais franchi un cap, s’attaquant à des structures chargées de sauver des vies. « Ils n’ont plus aucune moralité, si tenté qu’ils en aient eu ! » lance-t-il.

L’ANSSI, les smart buildings et la smart city

Si l’ANSSI apporte des réponses à des bâtiments confrontés à la cybercriminalité, comme les hôpitaux et d’autres bâtiments publics, l’agence n’a entamé que récemment sa réflexion sur les smart buildings et la smart city. Pour Éric Hazane, le sujet est complexe avec des interconnexions multiples de systèmes à d’autres systèmes, qu’il conviendra de sécuriser.

« En France, en attendant d’avoir des projets entièrement smart à grande échelle, nous travaillons déjà avec l’écosystème de la ville et du bâtiment intelligents, confie-t-il. Nous avons par exemple coréalisé avec l’Association des maires de France un guide sur la cybersécurité des communes et des intercommunalités, disponible à partir de novembre 2020. » Depuis plusieurs mois, l’ANSSI s’implique également dans les réflexions collectives de la SBA, sur l’évolution du label R2S pour poser les bases de la cybersécurité dès la conception des bâtiments, et a participé à la rédaction d’un livre blanc sur la safe city, et bientôt d’un autre dédié à la cybersécurité.

Bientôt des centres régionaux de réponse aux incidents

« C’est important de participer à cette co-construction, souligne-t-il, car les collectivités représentent aujourd’hui des cibles potentielles insuffisamment sécurisées, souvent faciles à attaquer pour des pirates qui exploitent des vulnérabilités parfois connues mais non corrigées. » Pour aider ces collectivités, l’ANSSI alerte, sensibilise, informe et apporte les solutions concrètes. Elle met à leur disposition des guides méthodologiques, techniques ou juridiques, à la pointe des dernières solutions et mis à jour en permanence selon la connaissance des menaces. Elle délivre aussi des Visas de sécurité aux services et aux solutions de cybersécurité les plus éprouvées et les plus fiables, pour que les collectivités les identifient mieux.

« Ajoutons que le plan France Relance consacre 136 millions d’euros à un volet sur la cybersécurité piloté par l’ANSSI, dont 60 millions sont ciblés pour les collectivités, » conclut Éric Hazane. Ce budget sera consacré à la création de centres de réponse aux incidents cyber CSIRT (Computer Security Incident Response Team) dans chaque région au profit des collectivités pour leur apporter des réponses de proximité, en qualifiant l’incident et en les orientant vers les compétences les plus adaptées. France Relance sert aussi déjà à proposer des parcours de sécurisation aux collectivités, qui leur permettent de connaître leur niveau de maturité face aux cybermenaces et de concevoir un plan d’actions afin de mettre à niveau leurs infrastructures et leurs bâtiments. L’objectif : sécuriser les collectivités territoriales pour une cyberdéfense en profondeur.

[1] Agence nationale de la sécurité des systèmes d’information

La Cybersécurité – EPISODE 5

Le smart building est aujourd’hui en plein essor et la valeur d’un bâtiment se mesure davantage par sa capacité à proposer des services aux occupants et aux exploitants, que par sa localisation ou son design. Mais le bâtiment, parce qu’il est désormais connecté, a ouvert la porte aux cyberattaques. Afin de le protéger efficacement, Pascal Zératès, directeur général de Kardham Digital et co-coordinateur de la commission cybersécurité de la SBA, planche activement à la mise en place d’un référentiel dédié.

Pour Pascal Zératès, spécialiste des services numériques dans le bâtiment, le risque de cyber-malveillance est bien réel dans un immeuble connecté. Le danger n’est pas tant le vol de données, mais bien celui d’un accident grave : « une attaque qui par exemple bloque totalement un étage dans un smart building et qui déclenche le chauffage pour augmenter la température à 50 °C est plausible, redoutable pour les occupants, révèle-t-il. Un tel événement risque d’arriver ; il convient donc de s’en prémunir et de protéger le système d’information du bâtiment, comme c’est l’usage pour tout autre système d’information. »

Le danger vient des objets connectés et des applications

Dans les smart buildings, les objets connectés et les applications sont directement concernés par les cyber-risques, en première ligne lorsqu’ils communiquent par les adresses IP (Internet Protocol). « L’explosion du télétravail a multiplié les connexions à distance aux systèmes d’information des entreprises amenuisant leurs défenses, » confie Pascal Zératès. Difficile, en effet, d’assurer le même niveau de protection à domicile que dans l’environnement hyper sécurisé en entreprise. Mais c’est possible, en utilisant par exemple un réseau privé virtuel (VPN), qui crée un réseau privé sur les réseaux publics. Il permet aux usagers d’échanger des données par l’intermédiaire de réseaux publics ou partagés, comme si leurs ordinateurs étaient connectés à un réseau privé : cela permet un contrôle d’accès par sécurisé.

Les bâtiments les plus exposés abritent des OIV

Parmi les bâtiments, tous ne sont pas autant exposés. Les cibles privilégiées des cyberpirates sont ceux qui abritent les SIIV^[1] des opérateurs d’importance vitale (OIV), comme les banques, les aéroports, les fournisseurs d’énergie ou les hôpitaux, et leurs sous-traitants. S’ils étaient victimes d’une attaque, les conséquences seraient dramatiques : économie au ralenti, avions cloués au sol, coupure généralisée de l’électricité sur tout le territoire ou services d’urgence impossible à joindre ! Pour faire face à ces menaces, la loi de programmation militaire de la France impose justement de renforcer la sécurité de ces systèmes d’information d’importance critique. Cette sécurisation passe par l’application d’un certain nombre de règles. « Des règles qu’il serait intéressant de généraliser et simplifier avec un référentiel, » propose Pascal Zératès.

Un référentiel fondé sur le modèle Open Systems Interconnection (OSI)

Les entreprises Kardham Digital et WALLIX, éditeur de logiciels de cybersécurité, ont donc œuvré main dans la main pour concevoir un tel référentiel. « Pour être pertinents et en phase avec la réalité du terrain, nous avons travaillé sur une opération en cours, indique Pascal Zératès. Nous avons conçu un référentiel fondé sur le modèle OSI, une norme de communication des systèmes informatiques, qui décrit les conditions nécessaires aux fonctions des réseaux. » Comme l’OSI, le référentiel imaginé par Kardham Digital et WALLIX est organisé en couches, qui permet d’assurer la cybersécurité du bâtiment du point de vue à la fois préventif et curatif. Il est aujourd’hui en cours d’application sur le bâtiment Well 22 du gestionnaire immobilier luxembourgeois IKO Real Estate.

Une modélisation du bâtiment en cinq niveaux 

Ce bâtiment a été modélisé, pour mieux examiner son comportement cyber, en considérant cinq couches – celle de la sécurité périmétrique, puis celles du contrôle d’accès, du traçage des accès aux données^[2], du scan des vulnérabilités^[3], de la corrélation d’événements^[4] – et de lever à chaque niveau les alertes. « La cyber-surveillance de l’immeuble Well 22 est ainsi appliquée sur ce modèle, décrit Pascal Zératès, et aujourd’hui nous envisageons son déploiement sur un grand campus, afin d’entrevoir son extension à l’échelle d’une smart city. »

La “cybersécurité by design” à chaque projet de construction

Kardham Digital et WALLIX veulent désormais partager leur pratique opérationnelle acquise sur ce projet au Luxembourg, pour constituer dans le cadre de la SBA un référentiel plus global, adapté aux différents types de bâtiments. La cybercriminalité est en effet plus que jamais d’actualité. Non seulement le cybercrime rapporte davantage que le trafic de drogues par exemple, mais en plus il est moins risqué et moins sévèrement puni. « C’est pourquoi nous cherchons à intégrer la démarche de cyber-protection by design dès la conception de nouveaux bâtiments, conclut Pascal Zératès. Notre commission Cybersécurité va ainsi renforcer le volet cyber dans le label R2S, même si sa configuration originale en couches permet déjà aux smart buildings de mettre le pied à l’étrier en matière de cyber-défense. »

^[1] Systèmes d’Information d’Importance Vitale
^[2] Le traçage des accès permet de prévoir des procédures pour gérer les incidents afin de pouvoir réagir en cas de violation de données
^[3] Le scan des vulnérabilités permet de remonter les vulnérabilités les plus communes et de les analyser
^[4] La corrélation d’événements permet de surveiller un enchaînement d’événements attendus et consécutifs sur une période de temps, pour identifier d’éventuelles anomalies

La Cybersécurité – EPISODE 4

Alors que les objets et les services connectés font une véritable percée dans les logements, l’habitat doit évoluer et proposer à ses occupants un environnement numérique respectueux des libertés individuelles. La cybersécurité reste pourtant un sujet souvent oublié par les constructeurs d’immeubles résidentiels. Philippe Durand, responsable développement chez Bureau Veritas Certification, explique pourquoi et comment il faut se mobiliser.    

« À l’heure où le télétravail s’accélère, il y a davantage d’exposition aux cyber-risques dans l’habitat collectif ou individuel, affirme Philippe Durand. Fondamentalement, le numérique n’est pas dangereux, mais il faut savoir se prémunir des failles possibles. » Le particulier qui collabore à distance avec son équipe ou qui échange avec des clients peut ainsi devenir le maillon faible, par lequel un cyberpirate peut pénétrer dans le réseau de son entreprise. Sans oublier la superposition des différentes couvertures Wifi dans l’immeuble qui, si elles ne sont pas organisées, peut permettre d’entrer facilement dans les boîtes électroniques de ses voisins pour récupérer des courriers.

Quels cyber-risques dans le résidentiel ? 

Parmi les cas identifiés, les cyberattaques dans le résidentiel tendent à viser deux objectifs : soit récupérer des informations sans y être autoriser, soit injecter dans le réseau un virus malveillant pour obtenir une rançon. « Imaginez un pirate capable de piller les numéros des comptes bancaires d’un million de clients, démontre Philippe Durand. Il est moins risqué pour lui de collecter un euro sur chaque compte que de voler un million sur un seul compte. »

S’engager dans un parcours cyber-sécurisé, c’est simple 

Pas de panique ! On peut aisément déployer des moyens de sécurisation pour contrecarrer les fragilités cyber d’un bâtiment et en minimiser les risques. Cela, à moindre coût, comme le confirme Philippe Durand : « C’est précisément ce qu’apporte le référentiel R2S résidentiel, sur lequel le Bureau Véritas travaille depuis 2019 avec la SBA et qui est déployé commercialement à partir du 1^er avril 2021. Ce label constitue un passeport pour les immeubles d’habitation connectés et une garantie en matière de cybersécurité et de protection des données. » R2S dispose en effet d’un socle technique incompressible qui permet de définir un cadre et des exigences, pour favoriser une meilleure circulation des informations et de la communication, tout en cloisonnant les autorisations d’accès.

Une organisation structurée contre les cyber-attaques 

Le cadre R2S est ainsi structuré en trois couches, avec des règles d’orientation pour que le tout soit interopérable : une couche support, qui accueille les objets connectés, une couche canal IP (Internet Protocol), pour véhiculer les données, et une couche applicative, qui livre des services aux habitants. « Avec cette architecture, on peut dresser des barrières au sein des réseaux de l’immeuble, autoriser les accès à certaines personnes, en bloquer d’autres, décrit Philippe Durand. On peut aussi tracer l’autoroute des informations dans le bâtiment et fixer quelles sont les données qui entrent, celles qui sortent et avec quelle allure. C’est cette logique que l’on veut partager avec les constructeurs. »

Et pour le respect de la vie privée ?  

Le référentiel R2S apporte un autre atout, en termes de respect de la vie privée et de protection des données personnelles, indispensables à la collectivité. « Parmi ses exigences, le R2S oblige les exploitants à détailler quelles sont les données collectées et, surtout, pour quel usage, » indique Philippe Durand. Prenons un exemple : l’accueil du parking de l’immeuble peut être équipé avec une caméra pour capter les plaques d’immatriculation et ainsi permettre aux véhicules autorisés d’entrer. Si le syndic décide d’utiliser les images dans une perspective autre que l’usage décrit, comme la réalisation de statistiques, on sort du périmètre défini dans le cadre de la matrice des services R2S. « Cette exigence est non seulement un gage en matière de confiance vis-à-vis des services numériques pour les habitants et contre la cyber-malveillance, conclut-il, mais en plus elle est pédagogique, en professionnalisant les acteurs du bâtiment. »

Avec le cadre R2S, ils choisissent ainsi en connaissance de cause les technologies numériques qui apportent le bon niveau de services dans le résidentiel avec la garantie de sécurité et de protection des données nécessaire. 

La Cybersécurité – EPISODE 3

Parce que l’industrie a un temps d’avance sur la cybersécurité, le secteur du bâtiment et de la ville a clairement un avantage à se servir de l’expérience acquise par les industriels. C’est en tout cas la démarche entreprise par le groupe SPIE, acteur de la transition énergétique et numérique, en tant qu’intégrateur de services et de solutions pour les industriels, les collectivités et les immeubles tertiaires. Explications par Corinne Figuereo, Directrice de l’innovation et de la transformation France, et par Pascal Mavric, Responsable du développement des offres cybersécurité au sein de la filiale numérique de SPIE France. 

Tous les secteurs sont concernés par les cybermenaces, et la veille quotidienne effectuée par Pascal Mavric sur le sujet rapporte une cyberattaque au moins par semaine. Chaque année, 1 000 milliards de dollars s’évaporeraient ainsi, à cause de la cybercriminalité. C’est énorme ! « Depuis quelques années déjà, l’industrie s’est emparée du problème dans un contexte de cyberattaques industrielles croissantes, souligne-t-il. Certains clients ont subi des attaques par des hackers, sans grands dégâts parce que nous avons su croiser notre expérience approfondie des protocoles de communication des systèmes industriels et notre expertise des risques de leurs métiers. » Il s’agit d’appliquer cette double connaissance dans le tertiaire, même si – reconnaissons-le – le sujet de la cybersécurité n’est pas encore souvent abordé ici, alors que, pourtant, il touche les systèmes énergétiques, les réseaux du génie climatique, la mobilité… Il est souvent ajouté au dernier moment, à la fin du projet.

La plupart des objets connectés n’ont aucune protection 

« Rarement, les systèmes d’information sont protégés contre la cyber-malveillance, reconnaît Pascal Mavric, alors qu’il existe de vrais risques dans les smart buildings et les smart cities. Méfions-nous par exemple de l’utilisation des mots de passe par défaut sur les systèmes, pratique couramment observée dans les bâtiments, ce qui les rend faciles à attaquer. » Il faut aussi traiter le fait que les immeubles héritent d’objets connectés accumulés au fil de leur numérisation. La plupart de ces petits objets, à l’image des capteurs, n’intègrent aucune protection. Les hackers n’ont aucun mal à s’infiltrer. « Nous travaillons aujourd’hui sur l’exposition aux menaces cyber des bornes pour véhicules électriques ou des panneaux photovoltaïques, qui sont connectés entre eux pour mieux les piloter et gérer l’énergie. Chaque borne, chaque panneau constitue autant de failles dans la cybersécurité, avec le risque de provoquer des attaques par déni de services, d’ouvrir la voie à la fuite d’informations confidentielles ou de données personnelles. »

Systématiser la cybersécurité dans chacun des projets

L’expérience dans l’industrie permet de mettre en place la démarche la mieux adaptée, consistant notamment à inclure systématiquement la notion de risque dans les projets de construction ou de rénovation. C’est ce que l’on appelle la « security by design« . « Il ne s’agit pas de s’effrayer face aux risques cyber mais bien de s’en prémunir, insiste Pascal Mavric. Vous n’avez pas peur de rouler en voiture et vous mettez à chaque trajet votre ceinture de sécurité. La ceinture n’empêche pas l’accident, mais elle en limite la gravité. »  SPIE a dans cette perspective lancé un programme transversal lié à la cybersécurité au sein de ses activités, comme l’explique Corinne Figuereo : « Nous mobilisons l’ensemble de nos équipes pour qu’elles prennent conscience des risques d’exposition aux cybermenaces et connaissent les solutions à mettre en place. Nous œuvrons également pour compléter nos offres avec des moyens de défense cyber, jusqu’à les labelliser conformément aux exigences de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). »

Identifier les risques à la conception, suivre les failles en fonctionnement, surveiller les signaux faibles

La démarche empruntée à l’industrie consiste premièrement à s’intéresser au design des systèmes, en veillant à identifier les risques cyber dès la conception, et à définir une architecture technique qui réponde aux exigences de sécurité fixées. « Deuxièmement, notre action se poursuit sur le système en fonctionnement, parce que les hackers passent au crible les systèmes connectés en permanence, pour découvrir des failles techniques et les exploiter (une ligne de code un peu plus faible par exemple), qu’il faut corriger en faisant des mises à jour régulières, décrit Pascal Mavric. Troisièmement, parce que certains cyberattaquants sont capables de s’infiltrer dans le moindre ″trou de souris″, il faut une surveillance de tous les instants sur les comportements inattendus et malveillants. Chaque signal faible est scruté, pour être en mesure de détecter et stopper les attaques. Imaginez la cybersécurité comme un château fort : même si vous avez construit des murs très hauts, ils n’empêcheront pas l’ennemi de pénétrer en utilisant une échelle ou en creusant en dessous. D’où l’importance des sentinelles. » Enfin, pour conserver un temps d’avance, SPIE réalise des recherches sur les menaces de fuites d’informations sur la vie privée d’utilisateurs de smartphones, tablettes, écouteurs sans fil, montres connectées ou encore ampoules et interrupteurs domotiques, dans le cadre d’une chaire IoT à l’INSA de Lyon.

Pour SPIE, il est également très important d’intégrer des écosystèmes comme la SBA, pour être mieux armés, ensemble, contre la cyber-malveillance. « Les difficultés portent souvent sur le fait que les systèmes d’informations ne sont pas standards, conclut Corinne Figuereo. Les écosystèmes apportent une harmonie dans les protocoles. Le label R2S, par exemple, est essentiel pour gérer la transversalité dans le bâtiment et donc la ville. Il offre ainsi un canevas pour accrocher le sujet de la cybersécurité plus facilement. »