On parle alors de « smart buildings », tels que banques, hôtels, supermarchés, immeubles de bureaux, etc. Grâce à une connectivité accrue, ils sont de plus en plus efficaces technologiquement parlant et permettent aux personnes qui y travaillent d’être plus productives. La contrepartie, néanmoins, réside dans l’augmentation de la consommation d’électricité. Aux États-Unis, par exemple, plus de 70 % de l’électricité produite est consommée par des bâtiments commerciaux, qui sont également responsables de près de 40 % des émissions de gaz à effet de serre. C’est pourquoi la digitalisation des systèmes d’automatisation des bâtiments comme les équipements CVC (chauffage-ventilation-climatisation), l’énergie, le contrôle de l’éclairage, la vidéosurveillance, les contrôles d’accès, les commandes des ascenseurs et les capteurs, caméras et appareils qui y sont liés, peut permettre de réduire cette consommation d’énergie, d’améliorer le confort des occupants, de limiter le coût d’exploitation global, d’opérer efficacement les systèmes du bâtiment et d’allonger le cycle de vie des équipements.
Toutefois, ces avantages opérationnels l’emportent probablement sur les éventuels problèmes de cybersécurité que la connectivité entraîne dans le processus décisionnel. En effet, les acteurs qui exploitent la plupart des bâtiments intelligents sont confrontés à la convergence entre IT, IoT et OT.
La transformation numérique du secteur de l’automatisation des bâtiments implique également l’abandon progressif des systèmes propriétaires vieillissants et la mise en place d’architectures informatiques edge-to-cloud. Le déploiement de capteurs d’entrée de gamme, filaires ou sans fil, permet de collecter autant de données que possible, devenant ainsi la norme. Pourtant, dans le même temps, le secteur est sous-tendu par une infrastructure conséquente composée de systèmes, d’applications, d’appareils et de réseaux d’automatisation des bâtiment traditionnels, qui doivent être gérés, entretenus et progressivement modernisés.
A l’image des secteurs traditionnels qui utilisent des systèmes de contrôle industriels, comme la production industrielle ou les installations électriques, la gestion des cyber-risques pour les bâtiments intelligents s’accompagne de défis spécifiques.
La convergence de l’IT, de l’IoT et de l’OT : Dans le domaine de l’automatisation des bâtiments, on fait encore une distinction entre cybersécurité IT, IoT et OT. Pourtant, la tactique du phishing au moyen de spams par exemple est communément utilisée pour accéder ou pénétrer au sein de systèmes informatique. Les hackers exploitent les systèmes CVC et d’autres installations de bureautique mal défendues, en s’en servant comme points d’entrée pour accéder aux datacenters, aux réseaux IT professionnels et aux systèmes de contrôles industriels.
Les systèmes d’OT comportent davantage d’IT : L’essor de l’IoT, de l’Industrie 4.0 et d’autres initiatives technologiques suscitent une vague d’adoption de solutions IT et IoT à tous les niveaux de l’architecture système des bâtiments. Les appareils d’edge computing commencent déjà à remplacer les contrôleurs propriétaires pour de multiples applications.
Outre les fonctions que remplissent les systèmes et leurs exigences uniques en matière de capteurs, il va devenir de plus en plus difficile de faire la distinction entre les systèmes d’automatisation des bâtiments et les autres systèmes employés dans les entreprises et leurs infrastructures.
Un nombre de cyberattaques sur l’OT en augmentation : Les cyberattaques menées sur des bâtiments intelligents, ainsi que les attaques contre les villes et autres infrastructures intelligentes (« smart city »), peuvent avoir un impact considérable en termes de sécurité pour les usagers. Une attaque visant un grand bâtiment public (en particulier dans une zone densément peuplée) peut semer le chaos.
Les équipements cyber-physiques au sein des bâtiments, villes et infrastructures sont de plus en plus distribués, en particulier en raison de la nouvelle tendance qui consiste à superviser des ensembles de bâtiments depuis un emplacement central. Sur un campus ou un complexe de soins, ces systèmes couvrent une zone équivalente à plusieurs pâtés de maisons et peuvent être déterminants pour le bon fonctionnement global de la ville ou le quotidien des résidents.
Une surface d’attaque étendue : Les bâtiments intelligents actuels disposent de nombreux systèmes et interconnexions. Dans le cas de l’attaque qui a visé la chaîne de magasins Target, les hackers ont accédé au système CVC et l’ont utilisé pour accéder aux systèmes financiers afin de dérober les informations de plus de 40 millions de cartes de crédit.
Des protocoles non sécurisés : L’utilisation de protocoles industriels non sécurisés constitue une autre vulnérabilité dont les attaquants tirent parti pour perturber les opérations. Et cela est particulièrement vrai pour les systèmes d’automatisation des bâtiments. Les protocoles plébiscités comme BACnet et LonWorks ne sont pas implicitement sécurisés et, comme ceux qui sont utilisés dans le secteur de la production industrielle, ils possèdent leurs vulnérabilités propres. Les attaquants les plus perfectionnés sont conscients de ces brèches et n’ont aucun mal à accéder à la documentation nécessaire pour mettre au point des commandes destinées à perturber les opérations des contrôleurs et d’autres appareils.
On ne peut donc pas se permettre d’ignorer les risques liés à la cybersécurité. L’un des éléments clés d’une bonne stratégie en matière de cybersécurité technologique, en particulier lorsqu’il s’agit d’automatiser des bâtiments et d’ajouter à la connectivité de n’importe quel environnement, une visibilité complète et continue. Après tout, comme le dit l’adage : « on ne peut pas protéger ce qu’on ne voit pas. »
Et il ne s’agit pas simplement de la visibilité liée à la surveillance physique, mais bien à tous les points d’entrée potentiels qu’un attaquant peut exploiter pour établir une tête de pont au sein d’un bâtiment ou de ses systèmes : les points de connexion, les appareils connectés en Wi-Fi et en Bluetooth, les e-mails, les ports laissés accidentellement ouverts… et la liste est encore longue. Cela montre la convergence qui existe entre IT, IoT et OT, qui sont pourtant toujours perçues comme deux entités distinctes. Afin de bénéficier de cette visibilité, les modes de pensée doivent changer, car les bâtiments actuels et à venir, qui sont de plus en plus connectés, vont contribuer à brouiller la ligne de démarcation entre ces deux domaines.
Au sein de réseaux connectés complexes, il suffit d’une seule brèche pour que les attaquants se fraient un chemin qui leur permettra d’accéder à l’ensemble du système. L’adoption des solutions qui intègrent IT, OT et IoT devient nécessaire, afin de bénéficier d’une vue complète des environnements comportant des systèmes d’automatisation des bâtiments, d’une gestion centralisée et de la capacité à assurer une surveillance continue pour se prémunir contre les vulnérabilités, les menaces et les anomalies qui pourraient mener à des cyberattaques au sein de l’environnement d’automatisation des bâtiments.
Grâce à l’automatisation, les bâtiments deviennent plus respectueux de l’environnement, plus efficaces et plus confortables. Mais ces installations connectées peuvent également se révéler dangereuses face à une attaque. C’est pourquoi la cybersécurité doit faire partie des principaux éléments pris en compte dans le cadre d’un projet d’automatisation, afin de rendre les bâtiments véritablement « intelligents ».