
© DR
De plus en plus connecté, le bâtiment tertiaire devient fréquemment la cible de cyberattaques. De la serrure connectée à la Gestion Technique du Bâtiment (GTB), en passant par les caméras de surveillance, de nombreux systèmes peuvent en effet s'avérer critiques pour l'usage du bâtiment et la sûreté de ses utilisateurs. Personne n'est épargné : même Google, qui possède pourtant de très bonnes connaissances sur ces sujets, retrouve occasionnellement des failles importantes de sécurité numérique sur ses bâtiments. Il n'est en effet pas rare, selon les organisations et les process immobiliers en place, que les services généraux échappent aux périmètres usuels des directeurs des systèmes d'information (DSI, ou directeurs informatiques) qui disposent des compétences sur les sujets de sécurité numérique. L'apport de nouvelles compétences et la formation de l'ensemble des acteurs de l'immobilier est donc nécessaire dans le cadre de la conception, de la réalisation et de l'exploitation des bâtiments. Une évolution de la gouvernance des projets est également souhaitable, avec notamment la prise en compte d'une temporalité différente, afin que l'immobilier ne soit pas une source de vulnérabilité pour les utilisateurs du bâtiment et, à une échelle plus large, du quartier. Face à la prise de conscience des usagers, à la sortie de nouvelles réglementations et à la médiatisation de plus en plus importante de ces sujets, il est impératif d'être pro-actif afin de préserver la confiance dans les services numériques offerts par l'immobilier tertiaire.
Cyberattaques: plusieurs typologies
On distingue trois catégories de cyberattaques du bâtiment :
1 L'attaque à distance via le réseau internet ou le Cloud.
Dans ce cas de figure l'attaquant passe par les interfaces du site avec le réseau extérieur, que ce soit via une liaison directe avec un équipement ou par l'intermédiaire des utilisateurs (phishing). Tous les équipements disposant d'un accès à distance sont potentiellement concernés, notamment les GTB que l'on trouve régulièrement exposées sur internet sans protection. Certains bâtiments ont d'ores et déjà fait l'objet d'attaques impliquant la prise de contrôle de la GTB, le verrouillage des portes, la mise hors service des systèmes de CVC ... Ces attaques à distance peuvent éga- lement concerner l'hébergement externalisé des informations du bâtiment et de ses utilisateurs (sur des serveurs distants) avec comme conséquence la perte de données potentiellement sensibles et/ou personnelles. Attaques qui sont régulièrement mentionnées dans les médias.
2 L'attaque de proximité via les réseaux sans fil disponibles (Wi-Fi, Bluetooth ... ).
La multiplication des services et la présence étendue de l'IOT entrainent la présence de nom - breux types de réseaux sans fils dans le bâtiment, allant du Wi-Fi au Bluetooth en passant par Sigfox, ZigBee ou LoRa. L'ensemble de ces réseaux sans fils débordent du bâtiment et peuvent être ciblés par une personne à proximité que ce soit pour récupérer les informations émises ou pour s'infiltrer dans le bâtiment. On notera par exemple un cas d'ampoules connectées qui, via leur propre réseau sans fil, ont permis la propagation d'un virus au sein d'un bâtiment.
3 L'attaque depuis l'intérieur du bâtiment. Ces attaques s'effectuent via une intervention physique sur le site. Elles peuvent avoir lieu en cas d'absence de protections physiques des locaux sensibles (positionnement des locaux Cfa, point d'accès physique au réseau dans les espaces communs, niveau de sécurité insuffisant des badges ... ) ou de problématique d'usage du bâtiment (maintien des portes d'accès ouvertes, passage non unicitaire des contrôles d'accès ... ).
Ces attaques peuvent également être menées involontairement par les occupants du bâtiment (phishing, utilisation de clé USB personnelle ... ). Une fois menée à bien, une attaque peut entrainer un large scope de nuisances : espionnage industriel, déni de service, demande de rançon ... Ces nuisances peuvent impacter les entreprises sur du plus ou moins long terme. À court terme, l'attaque d'un bâtiment peut causer l'arrêt complet des systèmes, entrainer une perte sèche de productivité, des problèmes de sécurité, des sanctions financières et pénales (RGPD) ainsi que des coûts de gestion de crise et de remise en état des systèmes. À long terme, les conséquences peuvent se poursuivre en induisant une perte de confiance dans les services proposés par l'entreprise touchée, mettant ainsi en danger sa réputation et sa légitimité.
La sécurité numérique : un impératif national et international
De nouvelles réglementations, telles que le Règlement Général sur la Protection des Données (RGPD), officiellement lancé le 25 mai 2018, la Loi de programmation militaire ou encore la directive Network and Information Security (NIS), font leur apparition et démontrent ainsi 'importance de la sécurité numérique dans la politique nationale et européenne. Ces réglementations impactent le monde de l'immobilier et ne peuvent pas être ignorées par les acteurs du secteur.
De nouvelles certifications se sont également emparées du sujet ; c'est notamment le cas de Ready2Services (R2S) portée par Certivéa, la Smart Building Alliance (SBA) et l'Alliance HQE-GBC dont l'une des six thématiques concerne la sécurité numérique.
D'autres organismes (associations, services publics, normes ... ) tels que l'Agence Nationale de la Sécurité des Systèmes d'information (l'ANSSI), le Centre National de Prévention et de Protection (CNPP) ou encore les normes ISO 27001, peuvent servir de référence lors de la conception d'un projet ou de la sélection d'équipements techniques.
Importance des phases de conception
Afin de pallier les défaillances constatées lors des attaques précédentes survenues dans de petites entreprises comme dans de grands groupes tels que Saint Gobain et Renault, mais aussi pour répondre aux nouvelles réglementations, il est nécessaire de travailler les projets immobiliers en intégrant, dès leurs phases initiales de conception, les enjeux de cybersécurité. Il est donc impératif d'apporter des compétences afin de définir pour chaque projet les points essentiels à sécuriser (sélection du pare feu, choix de la technologie de badge, procédures de mise à jour, protection des données ... ) et valider l'intégration des bonnes pratiques par les différents bureaux d'étude. La présence de ces compétences permet notamment d'anticiper les risques associés aux déploiements de nouvelles technologies et de maitriser l'obsolescence de la conception vis-à-vis de la sécurité numérique. Cette expertise doit également se retrouver en exploitation, ce qui nécessite la formation des exploitants et des facility manager ou la mise à disposition du savoir-faire des services existants (DSI, SSI...).
Rôle clé de la gouvernance transverse
La gouvernance mise en place est donc déterminante : elle doit être transverse, couvrir toutes les phases du projet et se baser sur les spécificités de l'entreprise, son organisation interne, prendre en considération les retours d'expérience et prévoir la gestion de crise associée à de potentielles cyberattaques. Cette gouvernance passe notamment par la création d'un suivi documentaire propre au numérique, la réalisation d'audits externes (Pen-Test ou Red Team) et la définition d'un mode dégradé, à minima pour les systèmes critiques, permettant de garantir la résilience du bâtiment qu'en cas de défaillance numérique. Le bâtiment est aujourd'hui vulnérable aux attaques informatiques, l'intégration des bonnes pratiques dès à présent dans le cadre de la conception, de la réalisation et de l'exploitation est un prerequis pour garantir aux utilisateurs une bonne qualité de services et s'assurer qu'à l'avenir le bâtiment ne soit pas une source de vulnérabilité pour la Smart City.
">
Continuez votre lecture en créant votre compte et profitez de 5 articles gratuits
Pour lire tous les articles en illimité, abonnez-vous