La cybersécurité et les « smarts building »

La cybersécurité et les « smarts building »

Par Gérard Haas et Emilien Burel

La cybercriminalité explose partout dans le monde. Il y a eu autant d’attaques en janvier 2020 que sur toute l’année 2019.

Cette croissance exponentielle n’est pas près de s’arrêter quand on sait qu’un jeune ingénieur informaticien se débauche pour environ 500 000$ annuels par les cybercriminels, contre 40 à 50 000 € bruts par les entreprises. L’utilisation grandissante des nouvelles technologies laisse entrevoir un futur où la sécurité des données sera au cœur des préoccupations.

La transformation numérique des villes est déjà en cours, dans une recherche constante d’efficacité par la technologie, que ce soit en matière d’habitat, d’énergie, ou d’économie des ressources.  Les territoires enregistrent de plus en plus de données qui permettent ou permettront de faire des mesures et des analyses pour les repenser.

De plus en plus de « smart buildings » sont aujourd’hui construits. Ils offrent plus de confort et sont également plus économes et respectueux de l’environnement (gestion optimale de la température, de la ventilation, de l’éclairage…). Ces bâtiments promettent également d’être plus sûrs grâce à des systèmes d’alarmes, de détection d’intrusion, de vidéosurveillance, ou encore de contrôles d’accès. Mais cette promesse n’est-elle pas un leurre ?

1. Les enjeux de la cybersécurité dans l’aménagement du territoire

Comme nous le disions en introduction, nous souhaitons toujours plus de confort, et souhaitons réaliser toujours plus d’économies et être plus respectueux de l’environnement. Interrogés, certains promoteurs immobiliers indiquent d’ailleurs que leurs immeubles sont de plus en plus connectés et informatisés, au bénéfice des occupants, mais également de la gestion du bâtiment.

Cependant, l’informatisation des bâtiments a ses risques. Les « smart buildings » ont des systèmes informatiques ouverts pour qu’ils puissent fonctionner et communiquer ensemble. Cela permettrait, si le système est mal ou non sécurisé, à des sources non autorisées de se connecter. On pourrait alors imaginer une attaque malveillante permettant de retenir un immeuble entier en otage avec une alarme non désactivable jusqu’au paiement d’une rançon. Le criminel n’aurait même plus à être sur place puisqu’il contrôlerait tout à distance.

Parce qu’ils sont invisibles, les risques informatiques ne sont souvent pris au sérieux que lorsqu’une cyberattaque apparaît. Pourtant, il existe de nombreuses solutions permettant de limiter les risques, surtout lorsque l’on sait que la France est classée 2e sur la cybersécurité dans le monde, avec ses start-ups qui n’ont rien à envier à la Silicon Valley. On observe d’ailleurs que les hackeurs se portent bien plus souvent sur les bâtiments et société dépourvus de tout système de sécurité pour maximiser leur efficacité et donc leurs revenus.

2. Les solutions apportées par les experts en cybersécurité

De nombreuses entreprises offrent des moyens de se prémunir contre les cyberattaques, ou tout du moins d’en limiter les conséquences. En effet, les experts estiment qu’il est quasiment impossible d’empêcher une attaque ciblée, et que pour certaines entreprises détenant des données sensibles, l’enjeu se trouve alors dans la réactivité face à une attaque. On retrouve par exemple certaines solutions qui ressemblent au système des « boîtes noires » de l’aéronautique.

Il existe également des méthodes pour virtualiser et isoler les différents flux de données, comme par exemple la vidéo et la climatisation. C’est d’ailleurs l’une des exigences du label « R2S » qui certifie la capacité des bâtiments à accueillir des services numériques de manière sécurisée. Ce système a néanmoins ses failles puisqu’il est possible pour des utilisateurs de prendre le mauvais réseau pour lancer une attaque. Le « Policy Server » par exemple permet de contrer cela.

La sonde de détection réseau est un autre dispositif très populaire dans le domaine de la défense contre la cybercriminalité. Il s’agit d’un équipement passif qui analyse les flux d’un réseau à la recherche de signaux faibles pouvant être causés par une cyberattaque. Ces sondes réseau ont l’avantage de s’améliorer sans cesse grâce au machine learning.

Il existe également de plus en plus de solutions numériques dans le bâtiment, dont la conception même peut être influencée par la cybersécurité (on l’appelle alors « par design »), et qui peuvent parfois croiser des données diverses pour donner des autorisations d’accès en fonction de paramètres contextuels (telle personne est à tel endroit à telle heure).

Enfin, n’oublions pas que l’un des meilleurs remparts contre les cyberattaques reste de garder à jour les systèmes d’exploitation des produits, et en particulier de prendre garde aux objets connectés non sécurisés qui n’ont pas leur place dans la stratégie de sécurité globale des bâtiments.

***

Le Cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement ses clients du secteur public comme du secteur privé dans la mise en conformité de leurs traitements en vue de la sécurisation de ceux-ci, ainsi que dans la gestion de crise liée aux cyberattaques. Pour nous contacter cliquez ici.

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin