Tribune publiée le 8 décembre 2023 sur le Journal du Net.

Les bâtiments intelligents représentent une opportunité indéniable pour réinventer le secteur, longtemps figé, de l’immobilier. Conçus comme des plateformes de services, ces bâtiments se révèlent des plus prometteurs à l’heure de la transformation numérique et environnementale des entreprises : optimisation de l’utilisation des espaces de travail, amélioration de leur efficacité énergétique, qualité de vie et expérience utilisateur accrues pour leurs occupants, etc. Un océan de promesses dans cette quête de bâtiments toujours plus performants, vertueux, serviciels et attractifs. Mais l’ensemble des objets connectés sur lesquels reposent ces innovations les ont également rendus plus fragiles face aux risques de cyberattaques auxquels ils sont exposés. La mise en place d’une stratégie de Security by design est ainsi devenue un enjeu crucial pour les entreprises et les bâtiments connectés.

L’ampleur des dégâts

Au niveau mondial, une cyberattaque toutes les 11 secondes et des pertes d’environ 20 milliards d’euros chaque année*. En France, près d’une entreprise sur deux est victime d’une cyberattaque en 2022 avec des pertes évaluées à 2 milliards d’euros**. Deux tiers des PME-PMI attaquées risquant de disparaître dans les deux ans suivant l’attaque. Les chiffres sont unanimes quant à l’ampleur des cyberattaques, et l’amplification du phénomène qui est devenu selon PWC le premier risque auquel doivent faire face les chefs d’entreprise, et ce, dans le monde entier. Information confirmée dans le dernier rapport de l’agence européenne pour la cybersécurité (ENISA)*** au premier semestre 2023. Et la situation ne cesse de s’amplifier dans un contexte de développement des bâtiments et des villes intelligentes où l’interconnexion croissante des infrastructures et des objets connectés crée autant de portes ouvertes aux cyberattaques dans un contexte où le niveau de sécurité général est encore faible. Les conséquences en sont des dommages matériels mais aussi immatériels tels que vols de données, demandes de rançon et paralysies des systèmes d’information (SI). Et c’est sans compter les dommages en termes d’image pour ces organisations – entreprises, collectivités ou encore services publics – qui ne savent que faire pour garantir la sécurité de leurs bâtis, de leurs données, de leur activité et de leurs collaborateurs.

Mieux vaut prévenir que guérir

Comme le rappelle très justement le livre blanc La Cyber sécurisation des bâtiments tertiaires****, si le risque est inhérent à toute activité, le besoin de confiance l’est tout autant. C’est un facteur de qualité. Les systèmes d’information des bâtiments ne font pas exception : en tant qu’infrastructures interconnectant des ressources et générant de la donnée, ils doivent, comme tout autre système informatique, être protégés, et ce, dès leur conception. C’est ce que l’on appelle le « Security by Design » ou « Sécurité dès la conception », essentiel pour de nombreuses raisons.

La première semble évidente : la conception de la sécurité dès le début d’un projet réduit d’autant les risques liés aux cyberattaques et aux failles de sécurité car les vulnérabilités sont identifiées et traitées en amont. Si cela semble évident, force est de constater que c’est loin d’être la norme. Selon une étude de Trellix parue fin novembre*****, les RSSI conservent une approche principalement réactive, la volonté de leur direction à soutenir la cybersécurité ne se manifestant souvent qu’après une cyberattaque !

Intégrer la cybersécurité dès la conception d’un bâtiment s’avère également beaucoup plus avantageux économiquement qu’après sa mise en service. Ainsi il est dès le départ adapté aux usages prévus, et amorti dans l’investissement en équipement immobilier, le rendant plus innovant et compétitif.

S’ajoute enfin un bénéfice loin d’être anodin : l’approche Security by Design participe à une meilleure satisfaction grâce à une bonne continuité des services, ce qui conduit à une plus grande confiance des utilisateurs, des clients et des parties prenantes.

Expertise, formation et bon sens en action

La mise en place d’une approche Security by Design doit relever d’une stratégie volontariste et réfléchie en amont, avec une politique de sécurité des bâtiments impliquant les usages numériques dès le départ.

Pour être conformes et résilients, encore faut-il que les exploitants aient identifié leurs attentes et besoins en matière de système d’information, pour intégrer la cybersécurité en termes de gestion des actifs informatiques, de gestion des accès, d’analyse des vulnérabilités, des incidents et de gestion des correctifs.

Cette stratégie doit également aboutir à un plan de déploiement qui réponde à des enjeux de protection des données personnelles : une démarche « Privacy by Design » conforme avec le RGPD, pour garantir la protection des données des organisations, des entreprises et des individus.

Elle doit englober des aspects préventifs (sensibilisation), des aspects dissuasifs, et des aspects correctifs, en incluant un volet de surveillance au travers d’un Security Operation Center (SOC) ayant la capacité de remonter et de traiter les alertes en cas d’incident ou de piratage.

Un chemin à la fois stratégique et opérationnel qui repose sur la technologie, l’expertise, la formation, la gouvernance, la finance etc.

Un chemin qui sera fastidieux s’il n’est accessible et empreint de bon sens. En effet, il est impératif de minimiser la complexité du Security by Design, d’éviter le mille-feuille technologique en privilégiant des solutions interopérables, administrables et packagées. Les solutions de cyber choisies doivent être reconnues, certifiées par l’ANSSI, et répondre aux standards de cybersécurité du marché avec un support local, accessible et réactif. Le choix du partenaire est clé.

Concernant la gestion centralisée des accès, n’autoriser que le nécessaire sera le maître mot. On privilégiera une approche zéro-trust, l’authentification forte et exclusive des utilisateurs, et une collecte ciblée des données couvrant la surface des risques. Il faudra s’assurer de pouvoir vérifier et revérifier à tout moment, en traçant l’ensemble des connexions informatiques grâce à des technologies de PAM (Privileged Access Management) et d’IAM (Identity and Access Management).

Une démarche holistique

Essentielle pour la cybersécurisation des bâtiments intelligents, la démarche Security by Design ne pourra se faire sans une vision proactive des risques et une approche globale en matière d’analyse, de gouvernance des données, de gestion des crises, de réponse aux incidents, et de surveillance en continu. La solution retenue doit être intégrée au bâtiment, en tant que projet digital avec un réflexe cyber à adopter pour atteindre la confiance tant recherchée.

La démarche doit impliquer l’ensemble des acteurs de la chaîne de valeur : acteurs de la filière bâtimentaire, acteurs de la cybersécurité et de l’IT – équipementiers, intégrateurs, prestataires de services -, législateurs et utilisateurs au sens large – collaborateurs, directions, etc.

Rappelons qu’aujourd’hui les mondes du bâtiment et de la cybersécurité ne parlent pas encore le même langage. Ou encore que les recommandations, référentiels et réglementations diffèrent d’un pays à l’autre complexifiant d’autant la tâche des fournisseurs de solutions en fonction des clients et des zones géographiques qu’ils adressent.

Le Security by Design est une démarche récente dans le domaine du smart building, avec encore un long chemin à parcourir pour en comprendre les concepts, les cas d’usage et les solutions disponibles. L’adoption en janvier 2023 de la directive européenne NIS 2 (Network and Information Security) obligera dès octobre 2024 plus de 15 000 entreprises à renforcer leurs normes en matière de sécurité. C’est une opportunité pour se pencher sur cette approche et la tourner à son avantage. La finalisation le 30 novembre dernier par l’Union Européenne d’un accord sur la règlementation en matière de cybersécurité des produits connectés : le Cyber Resilience Act, est un pas de plus pour créer les conditions d’environnements bâtimentaires plus sûrs et plus résilients et ce dès leur conception.

*Selon un article du Figaro

** Selon une évaluation statistique du cabinet Asterès publiée en juin 2023

***ENISA Threat Landscape 2023

**** La Cybersécurisation des bâtiments tertiaires, un livre blanc réalisé par la commission Cyber Building de la Smart Buildings Alliance

*****Etude Trellix réalisée dans le cadre de son initiative Mind of the CISO et publiée en novembre 2023

Pascal Zératès, Directeur Général de Kardham Digital.