Intégrer la cybersécurité aux systèmes d'automatisation des bâtiments devient indispensable

Imperceptiblement, les bâtiments et installations sont chaque jour plus "intelligents" ; mais leurs avantages cachent souvent les menaces qu'ils apportent aussi, en particulier celle liée à la cybersécurité dans des systèmes toujours plus interconnectés. Le secteur des bâtiments intelligents fait face à certains défis spécifiques en matière de gestion des cyber-risques.

Les smart buildings, comme les banques, hôtels, supermarchés, immeubles de bureaux, sont de plus en plus efficaces technologiquement parlant grâce à une connectivité accrue et rendent les personnes qui y travaillent plus productives. En contrepartie, néanmoins, la consommation d’électricité augmente aussi ; plus de 70% de l’électricité produite aux Etats-Unis part dans l'alimentation des bâtiments commerciaux, qui émettent également près de 40% des gaz à effet de serre. Pour répondre à cette situation, la digitalisation des systèmes d’automatisation des bâtiments (portant sur les équipements chauffage-ventilation-climatisation, l’énergie, le contrôle de l’éclairage, la vidéosurveillance, les contrôles d’accès, les commandes des ascenseurs et les capteurs et caméras) peut aider à réduire la consommation d’énergie, procurer un plus grand confort aux occupants, limiter le coût d’exploitation global et allonger le cycle de vie des équipements.

Tous ces avantages opérationnels pèsent souvent plus lourd que les éventuels problèmes de cybersécurité liés à la connectivité accrue qui pèsent sur les acteurs qui exploitent la plupart des bâtiments intelligents. En opérant sa transformation numérique, le secteur de l’automatisation des bâtiments abandonne progressivement ses systèmes vieillissants et met en place des architectures informatiques edge-to-cloud. Les capteurs d’entrée de gamme, filaires ou sans fil, permettent de collecter autant de données que possible, et deviennent ainsi la norme. En parallèle, le secteur repose sur une large infrastructure composée de systèmes, d’applications, d’appareils et de réseaux d’automatisation des bâtiment traditionnels, qui nécessitent tous une gestion, un entretien et une modernisation progressive.

A l'image des autres secteurs traditionnels s'appuyant sur des systèmes de contrôle industriels, comme c'est le cas des installations électriques, le secteur des bâtiments intelligents fait face à certains défis spécifiques en matière de gestion des cyber-risques.

Faciliter la convergence de l’IT, de l’IoT et de l’OT 

Le secteur de l’automatisation des bâtiments distingue la cybersécurité IT, IoT et OT. Pourtant, les pirates utilisent tous la même tactique, celle du phishing, pour pénétrer au sein des systèmes informatique. Ils exploitent les systèmes CVC et les installations de bureautique faiblement défendues, les utilisant comme points d’entrée pour accéder aux datacenters, aux réseaux IT professionnels et aux systèmes de contrôles industriels.

Il y a plus d'IT dans les systèmes d’OT 

L'IoT, l’Industrie 4.0 et les autres initiatives technologiques stimulent l’adoption de solutions IT et IoT au sein de l'ensemble de l’architecture système des bâtiments. Les contrôleurs propriétaires sont progressivement remplacer, pour de nombreuses applications, par des appareils d'edge computing. Cette tendance va complexifier la distinction entre les systèmes d’automatisation des bâtiments et les autres systèmes employés dans les entreprises et leurs infrastructures.

Les cyberattaques sur l’OT augmentent fortement 

Une observation d'autant plus préoccupante que l'impact des cyberattaques menées sur des bâtiments intelligents, contre les villes et autres infrastructures intelligentes (smart city), peut être considérable en termes de sécurité pour les usagers et semer le chaos si la zone visée est densément peuplée.

Le caractère de plus en plus distribué des équipements cyber-physiques au sein des bâtiments, villes et infrastructures est accentué par la centralisation de la supervision des ensembles de bâtiments. Sur un campus ou un complexe de soins, la zone couverte par ces systèmes équivaut à plusieurs pâtés de maisons, tout en étant des services déterminants pour le bon fonctionnement global de la ville ou le quotidien des résidents.

Une extension progressive de la surface d’attaque 

Les bâtiments intelligents actuels sont composés de systèmes nombreux et extrêmement interconnectés. L'attaque sur la chaîne de magasins Target s'était déroulée selon une brèche au niveau du système CVC pour accéder aux systèmes financiers du groupe et dérober les informations de plus de 40 millions de cartes de crédit.

Une faiblesse de la sécurité des protocoles 

L’utilisation de protocoles industriels non sécurisés crée une vulnérabilité au profit des attaquants, et ce plus particulièrement pour les systèmes d’automatisation des bâtiments. Certains protocoles plébiscités comme BACnet et LonWorks n'ont pas un niveau suffisant de sécurité et présentent même des vulnérabilités spécifiques, comme ceux qui sont utilisés dans le secteur de la production industrielle. En ayant conscience de ces brèches, les attaquants les plus perfectionnés peuvent accéder à la documentation nécessaire pour établir des commandes destinées à perturber les opérations des contrôleurs et d’autres appareils.

La maîtrise des cyber-risques, un indispensable

Les risques liés à la cybersécurité ne peuvent tout simplement pas être ignorés.

Une bonne stratégie de cybersécurité technologique, surtout dans le contexte de l'automatisation des bâtiments et de l'intensification de la connectivité de n’importe quel environnement, tient à une visibilité complète et continue car, c'est bien connu, on ne peut pas protéger ce qu’on ne voit pas !

Quand on parle de visibilité, cela ne se limite pas à de la surveillance physique, mais concerne tous les points d’entrée potentiels pour qu'un attaquant entre dans un bâtiment ou un système : cela intègre les points de connexion, les appareils connectés en Wi-Fi et en Bluetooth, les e-mails, les ports laissés accidentellement ouverts… Il faut changer les modes de pensée pour espérer atteindre cette visibilité, à mesure que les bâtiments actuels, de plus en plus connectés, contribuent à affaiblir la limite entre ces deux domaines.

Pour bénéficier d'une vue complète sur les environnements des systèmes d'automatisation des bâtiments, il devient nécessaire d'adopter des solutions intégrant IT, OT et IoT devient nécessaire, pour se prémunir contre les vulnérabilités et les menaces de cyberattaques. Il en va de même pour la centralisation de la gestion et la surveillance continue de ces environnements.

L’automatisation confèrent aux bâtiments un plus grand respect de l'environnement, plus de confort et d'efficacité. Mais ouvre aussi la voie à de potentielles attaques. Pour cette raison, la cybersécurité doit être partie intégrante d'un projet, pour véritablement rendre ces bâtiments "intelligents".