Avec des bâtiments de plus en plus connectés et des services toujours plus personnalisés, l'immobilier devient un vecteur majeur d'attaque des entreprises. Les conseils d'ARP­Astrance pour éviter toute déconvenue.

De plus en plus connecté, le bâtiment tertiaire devient fréquemment la cible de cyberattaques. De la serrure connec­tée à la Gestion Technique du Bâtiment (GTB), en passant par les caméras de surveillance, de nombreux systèmes peuvent en effet s'avérer critiques pour l'usage du bâtiment et la sûreté de ses utilisateurs. Personne n'est épargné : même Google, qui possède pourtant de très bonnes connaissances sur ces sujets, retrouve occasionnellement des failles importantes de sécurité numé­rique sur ses bâtiments. Il n'est en effet pas rare, selon les organisations et les process immobiliers en place, que les services généraux échappent aux péri­mètres usuels des directeurs des sys­tèmes d'information (DSI, ou directeurs informatiques) qui disposent des com­pétences sur les sujets de sécurité numé­rique. L'apport de nouvelles compé­tences et la formation de l'ensemble des acteurs de l'immobilier est donc néces­saire dans le cadre de la conception, de la réalisation et de l'exploitation des bâti­ments. Une évolution de la gouvernance des projets est également souhaitable, avec notamment la prise en compte d'une temporalité différente, afin que l'immobilier ne soit pas une source de vulnérabilité pour les utilisateurs du bâtiment et, à une échelle plus large, du quartier. Face à la prise de conscience des usagers, à la sortie de nouvelles réglementations et à la médiatisation de plus en plus importante de ces sujets, il est impératif d'être pro-actif afin de préserver la confiance dans les services numériques offerts par l'immobilier tertiaire. 

 

Cyberattaques: plusieurs typologies

On distingue trois catégories de cyberattaques du bâtiment :


1 L'attaque à distance via le réseau internet ou le Cloud.

Dans ce cas de figure l'attaquant passe par les interfaces du site avec le réseau extérieur, que ce soit via une liaison directe avec un équipement ou par l'intermédiaire des utilisateurs (phishing). Tous les équipe­ments disposant d'un accès à distance sont potentiellement concernés, notamment les GTB que l'on trouve régulièrement exposées sur internet sans pro­tection. Certains bâtiments ont d'ores et déjà fait l'objet d'at­taques impliquant la prise de contrôle de la GTB, le verrouil­lage des portes, la mise hors ser­vice des systèmes de CVC ... Ces attaques à distance peuvent éga- lement concerner l'hébergement externalisé des informations du bâtiment et de ses utilisateurs (sur des serveurs distants) avec comme conséquence la perte de données potentiellement sensibles et/ou personnelles. Attaques qui sont régulièrement mentionnées dans les médias. 

 

2 L'attaque de proximité via les réseaux sans fil dispo­nibles (Wi-Fi, Bluetooth ... ).

La multiplication des services et la présence étendue de l'IOT entrainent la présence de nom - breux types de réseaux sans fils dans le bâtiment, allant du Wi-Fi au Bluetooth en passant par Sigfox, ZigBee ou LoRa. L'ensemble de ces réseaux sans fils débordent du bâtiment et peuvent être ciblés par une personne à proximité que ce soit pour récupérer les infor­mations émises ou pour s'infil­trer dans le bâtiment. On notera par exemple un cas d'ampoules connectées qui, via leur propre réseau sans fil, ont permis la pro­pagation d'un virus au sein d'un bâtiment.

 

3 L'attaque depuis l'inté­rieur du bâtiment. Ces attaques s'effectuent via une interven­tion physique sur le site. Elles peuvent avoir lieu en cas d'ab­sence de protections physiques des locaux sensibles (position­nement des locaux Cfa, point d'accès physique au réseau dans les espaces communs, niveau de sécurité insuffisant des badges ... ) ou de problématique d'usage du bâtiment (maintien des portes d'accès ouvertes, pas­sage non unicitaire des contrôles d'accès ... ). 

Ces attaques peuvent également être menées involontairement par les occupants du bâtiment (phishing, utilisation de clé USB personnelle ... ). Une fois menée à bien, une attaque peut entrai­ner un large scope de nuisances : espionnage industriel, déni de service, demande de rançon ... Ces nuisances peuvent impac­ter les entreprises sur du plus ou moins long terme. À court terme, l'attaque d'un bâtiment peut causer l'arrêt complet des systèmes, entrainer une perte sèche de productivité, des pro­blèmes de sécurité, des sanc­tions financières et pénales (RGPD) ainsi que des coûts de gestion de crise et de remise en état des systèmes. À long terme, les conséquences peuvent se poursuivre en induisant une perte de confiance dans les ser­vices proposés par l'entreprise touchée, mettant ainsi en dan­ger sa réputation et sa légitimité.

 

 

 

 

La sécurité numérique : un impératif national et international

De nouvelles réglementations, telles que le Règlement Général sur la Protection des Données (RGPD), officiellement lancé le 25 mai 2018, la Loi de programma­tion militaire ou encore la direc­tive Network and Information Security (NIS), font leur appa­rition et démontrent ainsi 'importance de la sécurité numérique dans la politique nationale et européenne. Ces réglementations impactent le monde de l'immobilier et ne peuvent pas être ignorées par les acteurs du secteur.

De nouvelles certifications se sont également emparées du sujet ; c'est notamment le cas de Ready2Services (R2S) por­tée par Certivéa, la Smart Buil­ding Alliance (SBA) et l'Alliance HQE-GBC dont l'une des six thé­matiques concerne la sécurité numérique.

D'autres organismes (asso­ciations, services publics, normes ... ) tels que l'Agence Nationale de la Sécurité des Sys­tèmes d'information (l'ANSSI), le Centre National de Préven­tion et de Protection (CNPP) ou encore les normes ISO 27001, peuvent servir de référence lors de la conception d'un projet ou de la sélection d'équipements techniques. 

 

Importance des phases de conception

Afin de pallier les défaillances constatées lors des attaques précédentes survenues dans de petites entreprises comme dans de grands groupes tels que Saint Gobain et Renault, mais aussi pour répondre aux nouvelles réglementations, il est néces­saire de travailler les projets immobiliers en intégrant, dès leurs phases initiales de concep­tion, les enjeux de cybersécurité. Il est donc impératif d'apporter des compétences afin de défi­nir pour chaque projet les points essentiels à sécuriser (sélection du pare feu, choix de la techno­logie de badge, procédures de mise à jour, protection des don­nées ... ) et valider l'intégration des bonnes pratiques par les dif­férents bureaux d'étude. La pré­sence de ces compétences per­met notamment d'anticiper les risques associés aux déploie­ments de nouvelles technologies et de maitriser l'obsolescence de la conception vis-à-vis de la sécurité numérique. Cette exper­tise doit également se retrouver en exploitation, ce qui nécessite la formation des exploitants et des facility manager ou la mise à disposition du savoir-faire des services existants (DSI, SSI...). 

 

Rôle clé de la gouver­nance transverse

La gouvernance mise en place est donc déterminante : elle doit être transverse, couvrir toutes les phases du projet et se baser sur les spécificités de l'entre­prise, son organisation interne, prendre en considération les retours d'expérience et prévoir la gestion de crise associée à de potentielles cyberattaques. Cette gouvernance passe notamment par la création d'un suivi docu­mentaire propre au numérique, la réalisation d'audits externes (Pen-Test ou Red Team) et la définition d'un mode dégradé, à minima pour les systèmes cri­tiques, permettant de garantir la résilience du bâtiment qu'en cas de défaillance numérique. Le bâtiment est aujourd'hui vul­nérable aux attaques informa­tiques, l'intégration des bonnes pratiques dès à présent dans le cadre de la conception, de la réa­lisation et de l'exploitation est un prerequis pour garantir aux utilisateurs une bonne qualité de services et s'assurer qu'à l'ave­nir le bâtiment ne soit pas une source de vulnérabilité pour la Smart City. 

 

LES AUTEURS

 

Benoît Grigaut, directeur de l'activité Smart Building et Cybersécurité d'ARP-Astrance, et Jean-François Minebois, chef de projet Innovation & Digital, au sein d'ARP-Astrance, cabinet de conseil spécialisé dans les transformations du secteur immobilier. Le 4juillet dernier, l'équipe Smart Building d'ARP-Astrance a dispensé une formation sur la Cybersécurité, dans ses locaux. La prochaine session aura lieu en novembre. 
">