Intégrité et disponibilité des données, confidentialité, éthique numérique, liberté individuelle : dans un monde hyperconnecté dans lequel les infrastructures interagissent entre elles, la conception, la réalisation et l’exploitation des smart buildings nécessitent aujourd’hui une approche de la cybersécurité plus exigeante et plus globale, qu’il convient d’intégrer dès la conception et tout au long de la vie du bâtiment. Dans un contexte où les cyberattaques contre des organisations et des entreprises se multiplient, c’est précisément à cette problématique que la SBA propose de répondre dans son nouveau livre blanc sur “La cybersécurisation des bâtiments tertiaires“.
Avec l’essor du smart building, le bâtiment se transforme en une plateforme de services numériques destinée à assurer le confort et la sécurité des occupants, à optimiser les espaces, à améliorer l’efficacité énergétique et la sûreté. Dans le même temps, les objets connectés et les dispositifs numériques rendent ce bâtiment intelligent plus “bavard”, générant une grande quantité de données d’usages et autant de contenus et de cibles potentielles à protéger. Si les innovations technologiques visent à améliorer la valeur immobilière et l’attractivité d’un bâtiment, elles précipitent en parallèle les cybermenaces sur le devant de la scène. Une nouvelle page s’ouvre pour l’immobilier, l’avènement des “Cyber Smart Buildings”…
Une stratégie de cybersécurité indispensable au smart building
Pour protéger les utilisateurs et leurs données personnelles des risques numériques, comme des menaces internes ou externes auxquelles ils sont exposés, la mise en place d’une stratégie pour prévenir les risques inhérents à la numérisation des bâtiments est aujourd’hui devenu incontournable. La transformation numérique qu’opère le secteur de l’immobilier doit s’accompagner en conséquence d’une approche holistique de la cybersécurité. Mais par où commencer ? Comment s’y prendre ? Vers quels acteurs se tourner ?
Foncières, bailleurs, collectivités, industriels, experts et dirigeants d’entreprises se sont réunis au sein de la commission “Cyberbuilding” de la SBA, pour partager un langage commun, et allier technologies, usages et métiers. Fruit de leur travail collectif, le livre blanc sur la cybersécurisation des bâtiments tertiaires va permettre à tous les acteurs concernés par le sujet de la cybersécurité d’en comprendre les concepts et les cas d’usage. Cet ouvrage fait le point sur l’état à date des outils et des méthodes à disposition des professionnels pour renforcer la cybersécurité de leur projets bâtimentaires. Il les éclaire sur les bonnes pratiques à mettre en œuvre pour intégrer la dimension cybersécurité au cœur de la réussite d’un projet de smart building.
Enjeux et vecteurs de risques
Ainsi, après avoir (re)défini ce qu’est un “Système d’Information Bâtimentaire“, l’ouvrage précise les enjeux de la cybersécurité dans un smart building : protéger ses usagers, garantir sa disponibilité, sécuriser les données personnelles de ses occupants et les données sensibles des entreprises qu’il abrite. Le livre blanc réalise également un panorama des vecteurs de risques dans le bâtiment, pour mieux s’en prémunir et comprendre quelles sont les cibles à protéger prioritairement.
Ces défis nécessitent une approche de la cybersécurité intégrée par conception (Security by Design), dans tous les systèmes de gestion du bâtiment, les capteurs, la gestion des accès et des services offerts, l’interconnexion avec les équipements mobiles, et ce que l’on appelle le “smart office”. Si la tendance “Security by Design” dans l’immobilier est récente, elle doit aujourd’hui nécessairement être ajoutée à chaque cahier des charges pour la construction de nouveaux bâtiments intégrant des systèmes intelligents.
L’OT dans le smart building et les besoins de sécurisation
Si l’OT (Operationnel Technology) est bien connue dans l’industrie pour le pilotage des process, elle est aussi très présente dans les systèmes d’information techniques des bâtiments, par exemple pour le monitoring énergétique. L’ensemble des composants communicants et des flux de données associées doivent donc être sécurisés selon les grands principes de la cybersécurisation pratiqués dans le cadre de l’OT, en l’occurrence cartographier les composants, segmenter les opérations par process ou encore sécuriser les accès distants et la gestion des mots de passe, des identités et des droits associés. Pour se prémunir des risques liés aux cyberattaques sur le système d’informations technique du bâtiment, le livre blanc de la SBA liste et décrypte les normes applicables au smart building et les recommandations de l’ANSSI en la matière.
Des outils et des méthodes
Pour préciser ces concepts, la commission “Cyberbuilding” de la SBA s’attache en plus à faire un état des lieux des outils, en particulier des référentiels, des méthodes et des bonnes pratiques destinés à renforcer la cybersécurité dans les projets de smart buildings. Elle utilise dans cette perspective des cas d’usages pour illustrer et éclairer ses propos. De cette manière, les acteurs du bâtiment seront plus à même de connaître les risques encourus et les démarches à appliquer, de comprendre ce qui se passe sur leur réseau et de définir des alertes, d’anticiper des budgets pour investir dans des protections de cibles à surveiller…
Il ne s’agit pas évidemment de “faire peur” et de voir la transformation numérique de l’immobilier comme une contrainte ou un nouveau poste de coûts. Dans la réalité, elle représente une vraie opportunité pour réduire les consommations d’énergie des bâtiments tout en améliorant la qualité de vie au travail. En revanche, il convient d’être attentif aux risques cyber des bâtiments, car les cybercriminels ont les moyens de s’engouffrer dans chaque faille de sécurité. La priorité est donc de couvrir les systèmes et les réseaux des bâtiments, mais aussi d’avoir à l’esprit qu’une attaque est souvent le résultat d’une négligence ou d’une inattention humaine, auxquelles ce livre blanc “La cybersécurisation du bâtiment tertiaire” apporte aussi des solutions et des démarches de protection.
Remerciements
Cet ouvrage collectif a été réalisé sous la coordination et la direction éditoriale d’Alain Kergoat, co-fondateur de URBAN PRACTICES et président de la commission “Cyberbuilding” de la SBA, et Jean-Christophe Denis, Responsable de l’offre cyber building chez WALLIX Groupe.
La SBA remercie chaleureusement les membres de la commission “Cyberbuilding” qui ont contribué à la rédaction de ce livre blanc : ACOME, Julien Leroy • ACTIVUS GROUP, Laurent Fraimont et Cédric Thevenot • ACS-2I, Gilles Trojani • AFNOR, Brice Gilbert • ALLIANZ, Sébastien Chemouny • ANITEC, Lilian Caule • AN2V, Virgile Augé • ARCOM, Philippe Raynaud • CAISSE DES DÉPÔTS, Aymeric Buthion • CNPP, Nathalie Labeys et Ronan Jezequel • CYBERHUB, Philippe Hubert • DALKIA SMART BUILDING, Jean-Christophe Clément • EIFFAGE ÉNERGIE, Jocelyn Zindy • ENGIE, Loïc Mouëzy et Gilles Courtes • ENOCEAN, Emmanuel François • GATEWATCHER, Karim Mazoir • GIMELEC, Rodolphe de Beaufort • HPE, Vincent Blavet • HYVILO, Damien Couval • ICADE, Frédéric Caufriez et Alexandre Masraff • IGNES, Anne- Sophie Perrissin-Fabert • IMAPROTECT, Henri Morawek • KARDHAM DIGITAL, Pascal Zerates • MOBOTIX, Patrice Ferrant • OCCITALINE, Daniel Zotti • ONEPOINT, Sophie Lérault • ORANGE, Nicolas Joulain et Grégory Levilain • PICHET, Julien Ohayon • PATRIARCHE, Maxime Favre-Mercuret • POLESTAR, Christian Carle • SIA PARTNERS, Ronan Mac Farlane • SIEMENS, Mathieu Demont • SIGNIFY, François Darsy • SPAC, Mickaël Wajnglas • STID, Sandrine Castillo et Baptiste Dupart • SYLVANIA LIGHTING, Pierre Taing • SYS ET COM, Stéphane Rigolet • TWO-I, Ariane Truffert • WALLIX Groupe, Jean-Noël de Galzain et Yoann Delomier • WAVESTONE, Gérôme Billois.
La SBA remercie également les membres du Club Cyber OT du GIMELEC pour leurs précieux apports qui nous ont permis collectivement de faire grandir notre vision de la cybersécurisation du bâtiment..
Pour aller plus loin…
Un webinaire dédié à la présentation des travaux de la commission “Cyber Building” de la SBA sera organisé courant 2023. Plus d’informations à suivre sur le site web de la SBA et ses réseaux sociaux.
Il y a tellement plus simple à faire pour rendre un réseau absolument inviolable. Il faut absolument changer de stratégie. Chez Edison Ways nous réalisons un ensemble réseau de distribution locale électrique et de données ultrasécurisés et.. tellement plus simple. Il consomme également beaucoup moins d’énergie pour les données. Elles restent absolument confidentielles.