La Cybersécurité – EPISODE 3
Parce que l’industrie a un temps d’avance sur la cybersécurité, le secteur du bâtiment et de la ville a clairement un avantage à se servir de l’expérience acquise par les industriels. C’est en tout cas la démarche entreprise par le groupe SPIE, acteur de la transition énergétique et numérique, en tant qu’intégrateur de services et de solutions pour les industriels, les collectivités et les immeubles tertiaires. Explications par Corinne Figuereo, Directrice de l’innovation et de la transformation France, et par Pascal Mavric, Responsable du développement des offres cybersécurité au sein de la filiale numérique de SPIE France.
Tous les secteurs sont concernés par les cybermenaces, et la veille quotidienne effectuée par Pascal Mavric sur le sujet rapporte une cyberattaque au moins par semaine. Chaque année, 1 000 milliards de dollars s’évaporeraient ainsi, à cause de la cybercriminalité. C’est énorme ! « Depuis quelques années déjà, l’industrie s’est emparée du problème dans un contexte de cyberattaques industrielles croissantes, souligne-t-il. Certains clients ont subi des attaques par des hackers, sans grands dégâts parce que nous avons su croiser notre expérience approfondie des protocoles de communication des systèmes industriels et notre expertise des risques de leurs métiers. » Il s’agit d’appliquer cette double connaissance dans le tertiaire, même si – reconnaissons-le – le sujet de la cybersécurité n’est pas encore souvent abordé ici, alors que, pourtant, il touche les systèmes énergétiques, les réseaux du génie climatique, la mobilité… Il est souvent ajouté au dernier moment, à la fin du projet.
La plupart des objets connectés n’ont aucune protection
« Rarement, les systèmes d’information sont protégés contre la cyber-malveillance, reconnaît Pascal Mavric, alors qu’il existe de vrais risques dans les smart buildings et les smart cities. Méfions-nous par exemple de l’utilisation des mots de passe par défaut sur les systèmes, pratique couramment observée dans les bâtiments, ce qui les rend faciles à attaquer. » Il faut aussi traiter le fait que les immeubles héritent d’objets connectés accumulés au fil de leur numérisation. La plupart de ces petits objets, à l’image des capteurs, n’intègrent aucune protection. Les hackers n’ont aucun mal à s’infiltrer. « Nous travaillons aujourd’hui sur l’exposition aux menaces cyber des bornes pour véhicules électriques ou des panneaux photovoltaïques, qui sont connectés entre eux pour mieux les piloter et gérer l’énergie. Chaque borne, chaque panneau constitue autant de failles dans la cybersécurité, avec le risque de provoquer des attaques par déni de services, d’ouvrir la voie à la fuite d’informations confidentielles ou de données personnelles. »
Systématiser la cybersécurité dans chacun des projets
L’expérience dans l’industrie permet de mettre en place la démarche la mieux adaptée, consistant notamment à inclure systématiquement la notion de risque dans les projets de construction ou de rénovation. C’est ce que l’on appelle la “security by design“. « Il ne s’agit pas de s’effrayer face aux risques cyber mais bien de s’en prémunir, insiste Pascal Mavric. Vous n’avez pas peur de rouler en voiture et vous mettez à chaque trajet votre ceinture de sécurité. La ceinture n’empêche pas l’accident, mais elle en limite la gravité. » SPIE a dans cette perspective lancé un programme transversal lié à la cybersécurité au sein de ses activités, comme l’explique Corinne Figuereo : « Nous mobilisons l’ensemble de nos équipes pour qu’elles prennent conscience des risques d’exposition aux cybermenaces et connaissent les solutions à mettre en place. Nous œuvrons également pour compléter nos offres avec des moyens de défense cyber, jusqu’à les labelliser conformément aux exigences de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). »
Identifier les risques à la conception, suivre les failles en fonctionnement, surveiller les signaux faibles
La démarche empruntée à l’industrie consiste premièrement à s’intéresser au design des systèmes, en veillant à identifier les risques cyber dès la conception, et à définir une architecture technique qui réponde aux exigences de sécurité fixées. « Deuxièmement, notre action se poursuit sur le système en fonctionnement, parce que les hackers passent au crible les systèmes connectés en permanence, pour découvrir des failles techniques et les exploiter (une ligne de code un peu plus faible par exemple), qu’il faut corriger en faisant des mises à jour régulières, décrit Pascal Mavric. Troisièmement, parce que certains cyberattaquants sont capables de s’infiltrer dans le moindre ″trou de souris″, il faut une surveillance de tous les instants sur les comportements inattendus et malveillants. Chaque signal faible est scruté, pour être en mesure de détecter et stopper les attaques. Imaginez la cybersécurité comme un château fort : même si vous avez construit des murs très hauts, ils n’empêcheront pas l’ennemi de pénétrer en utilisant une échelle ou en creusant en dessous. D’où l’importance des sentinelles. » Enfin, pour conserver un temps d’avance, SPIE réalise des recherches sur les menaces de fuites d’informations sur la vie privée d’utilisateurs de smartphones, tablettes, écouteurs sans fil, montres connectées ou encore ampoules et interrupteurs domotiques, dans le cadre d’une chaire IoT à l’INSA de Lyon.
Pour SPIE, il est également très important d’intégrer des écosystèmes comme la SBA, pour être mieux armés, ensemble, contre la cyber-malveillance. « Les difficultés portent souvent sur le fait que les systèmes d’informations ne sont pas standards, conclut Corinne Figuereo. Les écosystèmes apportent une harmonie dans les protocoles. Le label R2S, par exemple, est essentiel pour gérer la transversalité dans le bâtiment et donc la ville. Il offre ainsi un canevas pour accrocher le sujet de la cybersécurité plus facilement. »
Rétroliens/Pings