Avec l’intégration des nouvelles technologies dans les bâtiments intelligents, le risque de cyberattaques augmente, si bien que l’utilisateur, mais aussi les gestionnaires de bâtiments commerciaux, doivent améliorer leur cybersécurité. En d’autres termes, il faut mettre en place des processus soient pour garantir la priorisation de la cybersécurité pour toutes les techniques mises en œuvre dans les bâtiments intelligents. Une position que ne peut que partager Jochen Verboven, responsable de la numérisation des infrastructures intelligentes chez Siemens. Vous découvrirez ci-dessous notre entretien avec Jochen, qui a porté sur les bâtiments intelligents, les données et la cybersécurité.
Qu’est-ce qu’un bâtiment intelligent ?
Les bâtiments ont connu une véritable révolution ces dix dernières années. Bon nombre d’entre eux, avant 2010, pouvaient être qualifiés de « traditionnels ». Les processus qui s’y déroulent – qu’il s’agisse de bureaux, d’hôpitaux ou de bâtiments publics – étaient souvent peu ou pas optimisés. Aujourd’hui, nous attendons des bâtiments qu’ils nous offrent, à nous utilisateurs, un grand confort individuel. En pratique, il est question d’équiper les bâtiments de technologies et de les connecter entre elles. Ainsi naît un bâtiment intelligent.
Quelles possibilités offre un bâtiment intelligent ?
Un bâtiment intelligent utilise des processus automatisés et des données pour assurer le contrôle d’activités telles que le chauffage, la ventilation, la climatisation, l’éclairage, la domotique et la sécurité. De nombreux bâtiments intelligents s’appuient sur la technologie de l’Internet des objets (IdO), ce qui signifie qu’ils sont équipés de capteurs pour collecter des données, et de logiciels pour gérer ces données, afin de minimiser la consommation d’énergie et l’impact écologique. Par exemple, des compteurs énergétiques « intelligents » fournissent des conseils sur les économies d’énergie ou des capteurs surveillent les fonctions corporelles. Enfin, les bâtiments n’échappent pas à la tendance qui veut que notre smartphone devient le prolongement numérique de notre corps. Il existe désormais des applications qui permettent notamment de réserver un lieu de travail, de régler l’éclairage et le chauffage selon vos préférences, et de rechercher le poste de travail de vos collègues.
Les bâtiments intelligents représentent un pas vers l’avenir parce que les technologies sont de plus en plus présentes dans notre quotidien. Il est apparu récemment que les bâtiments et les infrastructures sont de plus en plus exposés aux cyberattaques. Pourquoi ?
Il y a plusieurs raisons à cela. Par exemple :
– Les bâtiments intelligents nécessitent une connexion entre le bâtiment et ses utilisateurs.
– Toute connectivité qui n’est pas judicieusement mise en place présente un risque.
– Les données générées par les bâtiments ont de plus en plus de valeur.
Et comme tout ce qui a de la valeur, elles suscitent l’intérêt des criminels, des pirates informatiques, dans ce cas-ci.
Quel est le risque ?
– L’évaluation des risques dépend de la fonction du bâtiment. Un immeuble de bureaux, un hôpital ou une salle de sport ont chacun un degré de risque spécifique.
– Accéder aux données du bâtiment. Les données sont tantôt non importantes, tantôt très précieuses, notamment en cas de fuite de données personnelles.
– Un exemple d’incident est l’attaque dite du « Denial of Service ». Dans ce cas, les pirates ne peuvent pas contrôler un système mais peuvent empêcher son propriétaire de l’utiliser.
– Perte de réputation : personne n’a envie de travailler dans un bâtiment où ses données personnelles sont à la portée de la moindre infraction.
Les bâtiments intelligents interagissent avec leurs utilisateurs et s’adaptent automatiquement à leurs besoins et aux facteurs de l’environnement. Ils échangent des informations avec l’environnement et tirent des enseignement des situations. Mais comment assurer la cybersécurité des personnes, des données et des bâtiments ?
La « défense en profondeur », qui rappelle le château médiéval, est un concept souvent utilisé en matière de cybersécurité. Ces châteaux disposaient de plusieurs « périmètres de défense » physiques que les assaillants devaient franchir un à un. Plus les obstacles sont nombreux et difficiles à franchir, moins il y a de chances qu’une personne mal intentionnée puisse faire effraction et provoquer des dégâts. En matière de cybersécurité, prévoir une sécurité physique suffisante est une recommandation très simple mais importante à adresser aux sociétés d’ingénierie et aux installateurs. C’est le type de bâtiment et le budget du client qui détermineront si la réalisation, au plan technologique, passe par des plans de fermeture, des installations de contrôle d’accès ou une surveillance vidéo. La cybersécurité se divise en deux phases : sécuriser les technologies pendant la construction et les maintenir à jour tout au long du cycle de vie du bâtiment. L’installateur est impliqué dans la construction et joue un rôle de premier plan dans le choix du partenaire technologique
Des études récentes montrent que le nombre de cyberattaques sur les appareils connectés issus de solutions IdO est en augmentation. La cybersécurité fait-elle l’objet d’une attention suffisante dans le développement des bâtiments intelligents ?
Dans l’industrie allemande, une charte de confiance a été conclue, que Siemens a également signée. La charte englobe une norme éthique sur la cybersécurité. Mais c’est évidemment le point de vue du fournisseur qui ne veut pas se retrouver lui-même dans les difficultés. Dans la pratique, les chose sont souvent plus complexes. Quid si vous louez ou vendez un bâtiment ? Cela soulève de très nombreuses questions concernant la propriété de certaines données et la responsabilité de ces données.
Il est devenu évident pour nous que la cybersécurité dans les bâtiments revêt une importance cruciale. L’UE également prend à cet égard des mesures de lutte contre les cybermenaces. Pouvez-vous nous parler de la directive européenne NIS ?
La directive pour la sécurité des réseaux et des systèmes d’information, NIS en version courte, s’applique à des secteurs spécifiques (notamment l’énergie, la mobilité, les soins de santé, la finance, l’eau et l’infrastructure numérique), qui doivent se conformer à des exigences spécifiques en matière de cybersécurité. Par exemple, ils sont contraints de signaler sur un site internet public les cyberincidents dans leurs systèmes. Une fois encore, le choix d’un partenaire technologique est crucial pour l’installateur.
Nous voyons beaucoup de bon sens dans cette approche, mais il semble que d’importants changements se profilent pour le secteur. Comment les fournisseurs de technologie comme Siemens font-ils face ?
Nous assistons à une modification importante des mentalités : dans le passé, nous fournissions des produits et des solutions qui étaient censés être parfaitement finis à la livraison et prêts à servir pour de longues années. Si ce modèle reste totalement applicable pour le hardware, l’évolution des logiciels est beaucoup plus rapide. La puissance de calcul augmente très rapidement, les cybercriminels s’en servent et deviennent rapidement plus intelligents. Pour nos produits logiciels, nous conseillons désormais à tous les clients de souscrire un contrat de service afin qu’il nous soit possible de mettre périodiquement à disposition les dernières mises à jour et les derniers correctifs. C’est aussi pour cette raison que Siemens dispose d’un CERT (Computer Emergency response team) qui recourt à des méthodes de piratage pour évaluer la résistance de ses propres produits aux cyberattaques, et procéder à des ajustements si nécessaire.
