DomotiquePremium

Est-ce qu'un bâtiment intelligent est sûr?

La cybersécurité dans les bâtiments intelligents

Les bâtiments modernes sont de plus en plus intelligents, à tous les niveaux. Mais sont-ils vraiment sûrs? En effet, cela fait longtemps que les cyberattaques font partie de notre réalité et elles ne feront qu'augmenter.

cybersecurity in smart buildings

Dans un bâtiment intelligent, de nombreux appareils communiquent entre eux via internet et d'autres réseaux (photo: Gerd Altmann)

Vulnérabilité numérique

Les bâtiments intelligents sont constitués d'un réseau d'appareils, de capteurs, de systèmes de contrôle et d'outils d'analyse de données qui communiquent entre eux via internet et d'autres réseaux. Cela permet d'obtenir un système efficace et flexible, mais cela signifie aussi que ces bâtiments sont vulnérables aux cybermenaces.

Les systèmes de construction font généralement appel à la fois à la technologie opérationnelle (OT) et à la technologie de l'information (IT). Dans le monde de la technologie opérationnelle, on utilise beaucoup de vieux protocoles, qui sont en retard sur les protocoles informatiques plus récents en termes de cybersécurité.

Dans un bâtiment intelligent, les systèmes OT et IT sont connectés les uns aux autres et à internet à différents niveaux. Plus le nombre de systèmes augmente, plus l'intégration devient complexe, surtout si plusieurs fabricants sont impliqués.

Outre la complexité technique, les facteurs organisationnels jouent également un rôle. Au cours d'un projet de construction, différentes parties sont impliquées à différents moments, à la fois pendant la phase de construction et pendant l'exploitation (par exemple, les entreprises de maintenance et les gestionnaires IT). Une coopération et une coordination adéquates dans le domaine de la cybersécurité sont cruciales mais cela représente souvent un véritable défi. 

Vous voulez en savoir plus sur ce sujet?

Inscrivez-vous à BuildUp, l'événement de connaissances dédié aux Smart Buildings

Cyberattaques externes

Quels sont les dangers liés à l'accès des pirates informatiques aux bâtiments intelligents? Ces derniers peuvent voler des données, perturber l'infrastructure et même demander une rançon. Les formes les plus courantes de cyberattaques sont les ransomwares, les attaques par déni de service distribué (DDoS) et les attaques sur les infrastructures telles que les systèmes de chauffage, de ventilation et de climatisation ou les systèmes de contrôle d'accès. Certaines entreprises belges ont ainsi déjà été victimes d'une 'prise d'otage numérique' ces dernières années.

Des pirates informatiques chevronnés peuvent même prendre le contrôle d'un système de gestion des bâtiments. La continuité opérationnelle du bâtiment, la sécurité des occupants et la protection de la vie privée peuvent alors être compromises. De telles attaques peuvent également entraîner d'énormes pertes financières et potentiellement nuire à la réputation.

Les appareils IoT comme cibles

Les dispositifs de l'Internet des objets (IoT) dans les bâtiments intelligents, tels que les thermostats intelligents, l'éclairage, les caméras de sécurité et les capteurs, peuvent constituer un maillon faible. Beaucoup de ces appareils fonctionnent avec des logiciels obsolètes ou ont des mots de passe par défaut faciles à deviner.

Des chercheurs ont montré à plusieurs reprises qu'il est possible d'accéder à certains appareils IoT insuffisamment sécurisés directement via internet 

Des chercheurs ont montré à plusieurs reprises qu'il est possible d'accéder à certains appareils IoT insuffisamment sécurisés directement via internet. Si les attaquants parviennent à accéder à un appareil IoT, ils peuvent souvent passer à d'autres systèmes critiques dans le bâtiment, tels que les systèmes CVC ou le système d'accès.

L'interaction entre les systèmes de sécurité tels que les points d'accès, les caméras de sécurité, l'éclairage et les réseaux numériques signifie qu'une attaque numérique peut également avoir des conséquences physiques. En effet, la frontière entre la sécurité physique et la sécurité numérique est floue dans les bâtiments intelligents. Un pirate informatique capable de s'introduire via un système d'accès numérique peut même déverrouiller des portes de cette manière, ou perturber le fonctionnement des alarmes, par exemple.

Photo by <a href="https://unsplash.com/@pawel_czerwinski?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Pawel Czerwinski</a> on <a href="https://unsplash.com/photos/white-security-camera-on-post-zBTYRFCeaS0?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Unsplash</a>
Les dispositifs IoT, tels que les caméras de sécurité, constituent souvent le maillon faible d'un bâtiment intelligent (photo: Pawel Czerwinski)

Insider threats

Il ne faut pas toujours chercher bien loin car il existe aussi ce que l'on appelle des 'insider threats': des risques intentionnels et non intentionnels causés par des employés ou des partenaires. Un employé ayant accès à des données ou à des systèmes sensibles peut agir de manière malveillante, par exemple en divulguant des informations ou en sabotant des systèmes.

Les erreurs internes, telles que les mauvaises configurations involontaires ou le non-respect des protocoles de sécurité, peuvent également avoir des conséquences néfastes. Une certaine sagesse en matière de cybersécurité est donc importante pour toutes les parties et tous les utilisateurs des bâtiments.

Législation

La cybercriminalité étant appelée à exploser dans les années à venir, de nombreuses lois, normes et cadres ont été mis en place pour protéger de manière adéquate les bâtiments et les entreprises. Par exemple, la norme ISO 27001 fournit des directives pour la mise en place et le maintien d'un système de gestion de la sécurité de l'information (SGSI).

Il y a aussi le NIST Cybersecurity Framework (CSF), la norme IEC 62443 (qui traite de la cybersécurité pour les systèmes d'automatisation et de contrôle industriels (IACS), notamment les systèmes de CVC et de sécurité) et le Cyber Resilience Act (CRA). Cette dernière entrera en vigueur en août et obligera les fabricants d'appareils et de systèmes IoT, entre autres, à doter leurs produits d'une sécurité intégrée dès la phase de conception.

La Belgique est le premier État membre européen à exécuter la nouvelle législation NIS2

NIS2

Dans l'UE, la NIS2 (Network and Information Systems Directive) est une loi essentielle qui oblige les organisations à mettre en œuvre des mesures de cybersécurité robustes et à signaler les incidents graves dans des délais stricts.

La Belgique est le premier État membre européen à exécuter pleinement la nouvelle législation NIS2: elle est en vigueur depuis le 18 octobre 2024. Les entreprises d'une certaine taille qui fournissent des services dans des secteurs 'critiques' (tels que l'énergie, les soins de santé, les banques, l'infrastructure numérique...) doivent s'y conformer.

Cette obligation signifie notamment que les entreprises doivent s'enregistrer auprès du Centre pour la Cybersécurité Belgique (CCB) et prendre une série de mesures de cybersécurité appropriées, conformément aux principes et normes de sécurité généralement acceptés. En outre, elles doivent signaler les cyberincidents importants dans un certain délai.

Ces collaborations et obligations devraient permettre aux entreprises d'être mieux armées contre les cybermenaces.

insider threats smart buildings
Il existe également des 'insider threats', c'est-à-dire des risques intentionnels et non intentionnels causés par des employés ou des partenaires (photo: StockSnap)

Quelques principes de base

Sécuriser un bâtiment intelligent n'est pas chose aisée. La collaboration avec une organisation spécialisée dans la cybersécurité peut donc aider à maîtriser la complexité technique et organisationnelle. L'idéal est que cette collaboration intervienne dès la phase de conception du bâtiment.

Pour garantir la qualité de la cybersécurité, un audit peut également être réalisé afin d'identifier les vulnérabilités. Mais bien sûr, c'est encore mieux que chaque partie collaborant au bâtiment intelligent soit consciente de certains principes de sécurité de base.

Bâtiments intelligents: la cybersécurité n'est pas à vendre. Elle est intégrée!

Architecture Zero Trust

Par exemple, l'architecture Zero Trust est un principe de base. Nous ne parlons évidemment pas ici de l'architecture des bâtiments, mais plutôt de la manière dont le réseau d'un bâtiment intelligent est conçu. Dans le 'modèle Zero Trust', tous les points d'accès au réseau sont constamment vérifiés et contrôlés.

Au lieu d'accorder l'accès à tous les appareils du réseau par défaut, chaque appareil et utilisateur est vérifié en permanence sur la base de son identité, de l'état de l'appareil et d'autres facteurs.

Segmentation du réseau

La segmentation du réseau est une autre mesure importante pour garantir la sécurité des bâtiments intelligents. Le principe consiste à diviser les réseaux en différents segments ou 'VLAN' (Virtual LAN).

Un système d'automatisation des bâtiments et un réseau informatique traditionnel peuvent ainsi se trouver physiquement sur le même réseau, par exemple, tout en étant 'virtuellement' séparés. Ainsi, si un pirate accède à un segment moins critique du réseau, il est possible de limiter les dégâts en protégeant le reste du réseau.

vlan netwerksegmentatie stock
Les systèmes peuvent être physiquement sur le même réseau, mais 'virtuellement' séparés par des VLAN (photo: blickpixel)

Protection par mot de passe fort et authentification multifacteur (MFA)

Les appareils IoT et les connexions réseau doivent être sécurisés par des mots de passe forts et uniques. L'utilisation de mots de passe par défaut ou de mots de passe faibles est l'un des moyens les plus faciles pour les pirates d'obtenir un accès.

L'authentification multifacteur (MFA) peut ajouter une couche supplémentaire de sécurité en exigeant plusieurs formes d'authentification avant d'autoriser l'accès d'un utilisateur.

Mises à jour régulières des logiciels et des microprogrammes

Étant donné que les appareils IoT et les composants du système fonctionnent souvent (et toujours) avec des logiciels obsolètes, il est important de les mettre à jour régulièrement.

Après tout, de nombreuses attaques utilisent des logiciels obsolètes pour exploiter des vulnérabilités. Tous les appareils, des thermostats intelligents aux caméras de sécurité, doivent donc être mis à jour régulièrement, automatiquement ou non.

Utiliser des technologies

Diverses technologies peuvent également être utilisées pour renforcer la sécurité.

Pare-feu et systèmes de détection d'intrusion (IDS)

Les pare-feu jouent un rôle important dans la protection du réseau. Les pare-feu de nouvelle génération peuvent être spécifiquement configurés pour surveiller le trafic provenant des systèmes de gestion des bâtiments, tels que les systèmes de chauffage, de ventilation et d'éclairage, et pour bloquer toute activité suspecte.

Les systèmes de détection d'intrusion (IDS) surveillent le trafic réseau et l'activité des appareils afin de détecter tout comportement suspect ou inhabituel. Cela permet d'apporter une réponse rapide et appropriée.

Chiffrement des données

Le chiffrement de bout en bout des données est également essentiel. Il garantit que même si les données sont interceptées, elles ne peuvent pas être lues par des personnes non autorisées.

foto susanne plank vingerafdruk
De nombreuses données personnelles sont enregistrées dans un bâtiment intelligent, telles que les empreintes digitales utilisées comme badges d'accès (photo: Susanne Plank)

Vie privée des utilisateurs du bâtiment

De nombreuses données personnelles sont enregistrées dans un bâtiment intelligent. Pensez aux empreintes digitales utilisées comme badges d'accès, mais aussi, par exemple, aux préférences personnelles en matière d'éclairage et de chauffage et à l'utilisation de certaines installations.

En outre, il n'y a pas toujours de transparence sur la nature exacte des données collectées, sur les personnes qui y ont accès et sur la manière dont elles sont (bien) cryptées. En 2018 est donc entré en vigueur le Règlement général sur la protection des données (RGPD), en anglais General Data Protection Regulation (GDPR), une loi européenne qui définit la manière dont les organisations peuvent collecter, stocker et traiter les données à caractère personnel.

L'hypothèse par défaut est celle d'un traitement minimal des données. Toute dérogation à cette règle doit être transparente, correctement sécurisée et faire l'objet d'un consentement explicite.

Ainsi, même dans les bâtiments intelligents, des mesures appropriées doivent être prises pour protéger et garantir la vie privée des utilisateurs.

Vous voulez en savoir plus sur ce sujet?

Inscrivez-vous à BuildUp, l'événement de connaissance dédié aux Smart Buildings

Faites un essai gratuit!Devenez un abonné Premium gratuit pendant un mois et découvrez tous les avantages uniques que nous avons à vous offrir.
  • checkLa lettre d'information hebdomadaire avec des conseils supplémentaires et un contenu exclusif
  • checkAccès complet aux archives numériques
  • checkAccès illimité aux 3.000 instructions de construction
  • checkAccès illimité aux 1.400 vidéos d’instruction
Vous êtes déjà abonné? Cliquez ici pour vous connecter
S'inscrire gratuitement

Déjà enregistré ou abonné?Cliquez ici pour vous connecter

Inscrivez-vous à notre newsletter et conservez la possibilité de vous désinscrire à tout moment. Nous garantissons la confidentialité et utilisons vos données uniquement à des fins de newsletter.
Écrit par Florus Tack

Dernière édition

Voir touschevron_right
Devenez un abonné Premium gratuit pendant un mois et découvrez tous les avantages uniques que nous avons à vous offrir.
Dans ce magazine