Les avantages des smart buildings sont sans conteste. Ils apportent du confort aux utilisateurs, de la flexibilité et de la simplicité en matière de gestion opérationnelle du bâti, mais aussi des outils d’efficacité énergétique. Néanmoins, la connectivité sous-jacente à ces avantages engendre également des risques de taille en matière de cybersécurité.
On a tendance à l’oublier mais ce que l’on appelle aujourd’hui les smart buildings regroupe en fait une grande variété de bâtiments aux usages eux-mêmes très différents. Bien des immeubles de bureaux et de logements sont aujourd’hui conçus ou rénovés selon les principes du smart building, mais sont aussi concernés des supermarchés, des hôtels, des banques ou encore des hôpitaux.
Ils ont généralement en commun une gestion intelligente et globalisée de tous leurs systèmes : chauffage, ventilation, éclairage, détection incendie, ascenseurs, caméras de surveillance, contrôles d’accès… L’objectif étant de collecter leurs données de fonctionnement pour surveiller l’état des installations, disposer d’analyses statistiques et finalement mieux opérer et maintenir les systèmes.
Mais la connectivité, les automatismes et les outils de monitoring employés dans le smart building s’accompagnent de cyber-risques qu’il ne faut pas négliger. « Si les innovations technologiques visent à améliorer la valeur immobilière et l’attractivité d’un bâtiment, elles précipitent en parallèle les cybermenaces sur le devant de la scène », estime la Smart Building Alliance (SBA) dans un récent livre blanc dédié à la cyber-sécurisation des bâtiments tertiaires.
Les risques sont avérés : selon une étude menée sur 40 000 smart buildings dans le monde par Kapersky, l’un des leaders de solutions et services de cybersécurité, 37,8% d’entre eux avaient déjà été la cible de cyberattaques au cours du premier semestre 2019. Certes, les attaques ne ciblaient pas uniquement les systèmes de gestion technique des bâtiments (GTB) ou autres systèmes d’automatisation des bâtiments (BAS), mais d’autres supports comme les ordinateurs ou machines hébergeant des systèmes (caisses enregistreuses, scanners…) sont exploitables par les hackers pour finalement prendre le contrôle complet des smart buildings. Ainsi, parmi les bâtiments ciblés interrogés par Kapersky, 11% ont été attaqués par des logiciels malveillants de type spyware, lesquels visent à subtiliser les identifiants permettant de se connecter au système.
Un premier enjeu critique : la sécurité des biens et des personnes
“Le risque cyber associé au secteur du smart building est spécifique. Les modèles communs de cyberattaques, qui ont pour objectifs de crypter les données et mettre en place un système de rançon, ou simplement de revendre les données, ne sont pas appropriés. En effet, les données collectées pour le bon fonctionnement d’un smart building (les données de gestion du bâtiment, relatif à la consommation énergétique, relatif à la qualité de l’air, etc.), n’ont pas nécessairement une grande valeur, en dehors des données à caractère personnel, explique Allan Spagnol, consultant conformité et cybersécurité chez Synelience. Il est donc fort probable que de nouveaux archétypes de cyberattaques voient le jour, et que les méthodes soient bien plus extrêmes afin de forcer les responsables des smart buildings à payer, quitte à mettre en danger la vie de personnes physiques ou à menacer l’intégrité de biens.”
Comme le modèle du smart building repose sur un grand nombre d’objets connectés, c’est une aubaine pour les cyberattaquants. “Les portes d’entrées se multiplient, et par conséquent les vulnérabilités aussi, analyse encore le consultant conformité. De plus, chaque bâtiment dispose de son propre mode de fonctionnement et a donc des scenarii de menaces qui lui sont propres.” Il est alors essentiel d’adopter une approche de cyber protection spécifique à chaque situation.
Car dans les smart buildings, les attaques sont susceptibles d’avoir un impact direct sur la vie réelle des habitants. Concrètement, les attaquants peuvent accéder à des outils de gestion des bâtiments, comme le chauffage ou les outils de gestion de renouvellement de l’air, et mettre en péril la sécurité des occupants. Et, pour Allan Spagnol : “il faut aussi s’attendre à ce que le profil des attaquants change, et se prémunir contre les attaques étatiques ou le cyberterrorisme.”
Parmi tous ces scenarii possibles, les atteintes matérielles et humaines peuvent donc être conséquentes, voire graves. Car l’un des grands objectifs du smart building est de garantir une continuité de service. Il est en effet indispensable de maintenir opérationnels des équipements comme les ascenseurs, les détecteurs d’incendie, le chauffage ou la climatisation, en particulier dans des infrastructures critiques comme les ministères, les bâtiments de la Défense ou les hôpitaux.
Des exemples concrets
Ci-dessus : illustration de risques liés aux cyberattaques sur les SI techniques d’hôpitaux, auteur S.B.A. (pages 40-41 – Livre Blanc – La cyber-sécurisation des bâtiments tertiaires)
Des cyberattaques visant les hôpitaux ont déjà eu lieu et ont engendré de sérieuses conséquences. Certes, elles ne passaient pas forcément par les systèmes de gestion du bâtiment et ne visaient pas non plus ces systèmes. Mais leurs impacts doivent servir d’alerte générale pour accroître la protection et la vigilance à l’égard de tout système intelligent.
Le 9 février 2021, le Centre Hospitalier de Dax a ainsi fait l’objet d’une cyberattaque par cryptolocker qui a engendré le chiffrage de 85% de ses 150 serveurs. Résultats : il n’y avait plus aucun moyen de communication (téléphone, mails…), plus aucune information sur les patients disponibles, plus d’historique de prescription, aucun historique d’image ou de laboratoire non plus, plus d’étiquettes patient, aucun planning de rendez-vous patient disponible et la radiothérapie comme le logiciel de chimio Drugcam étaient à l’arrêt !
Deuxième enjeu de taille : le risque financier
Les enjeux matériels et humains liés à la cybersécurité dans les smart buildings ne sont pas les seuls risques pour les constructeurs, opérateurs et gestionnaires. Les impacts financiers sont toujours importants et peuvent avoir des conséquences désastreuses pour la pérennité des activités d’une entreprise, son image, l’emploi qu’elle génère…
“On pense souvent aux bureaux et bâtiments d’habitations lorsque l’on parle des smart buildings, mais on oublie les bâtiments à vocation industrielle, déplore Allan Spagnol. Pour autant, c’est sur ces derniers que pèse le plus gros risque financier en cas de cyberattaque, du fait de l’impact sur leurs activités. C’est notamment le cas des usines, qui en fonction de leur production, peuvent subir des millions d’euros de perte, même en cas d’arrêt relativement court. Cette situation pourrait se produire par une cyberattaque qui ne viserait à dérégler qu’un seul capteur connecté, ce qui engendrerait la mise en sécurité de l’ensemble de l’usine ou d’une section spécifique.”
Et les vols d’informations ou de secrets de fabrications sont aussi à prendre en compte. L’impact financier peut alors très rapidement s’élever à plusieurs centaines de milliers, voire millions d’euros. Les exemples de cyberattaques industrielles ne manquent pas.
Selon un rapport publié en 2022 par Capgemini, les usines connectées des grandes industries ont été les plus touchées par les cyberattaques (58%), suivies par celles des entreprises pharmaceutiques et de la santé (44%), puis par les usines des secteurs de l’automobile (36%) et de l’aérospatiale et de la défense (33%). Par ailleurs, une autre étude menée par Trend Micro Incorporated en 2022, révèle notamment que 89% des entreprises industrielles victimes de cyberattaques ont constaté un impact sur leur production et leur approvisionnement en énergie. Surtout, on y apprend que « les dommages financiers s’élèvent en moyenne à 2,8 millions de dollars. L’industrie la plus touchée étant celle du secteur de l’énergie (« oil & gas ») ».
Sans investissement sérieux dans la cybersécurité des smart buildings, le prix à payer peut donc être très élevé matériellement, humainement et financièrement. Dans son bilan réalisé un an après la cyberattaque qu’il a subie, le CH de Dax révèle, en toute transparence, les coûts engendrés :
Impact financier à un an
– Investissements : 174 000 € (matériel pour reconstruction du réseau)
– Prestations cybersécurité et réinstallations : 546 000€
– Sous-traitance biologie : 9 000€
– Coût RH (PM et PNM) renforts, heures sup : 1 484 000€
– 143 000€ pertes de recettes commerciales
Au total 2 356 000€, compensés par l’ARS
+
Manque de recettes liées à l’activité (radiothérapie/imagerie/laboratoire) estimé à 2 344 000 €.
Des enjeux de conformité aussi
Mais les enjeux de cybersécurité dans le smart building sont aussi juridiques et éthiques. Rappelons ainsi que certaines normes nationales et internationales s’appliquent dans les bâtiments intelligents. On peut penser au RGPD, à la loi informatique et liberté mais aussi à des certifications spécifiques à la protection contre les cybermenaces. L’Agence nationale de sécurité des systèmes d’information (ANSSI) qualifie par exemple les logiciels SCADA (Supervisory Control and Data Acquisition).
Constructeurs et gestionnaires doivent donc s’appliquer à être conformes au regard des réglementations. Ce d’autant qu’il existe des risques réels pour les utilisateurs ou habitants de smart building.
Qui dit smart building dit en effet collecte et utilisation de données, lesquelles peuvent être directement liées aux individus (documents d’identité, consommation énergétique d’un logement, utilisation de carte ou badge d’accès, voire données bancaires). Il est donc primordial de garantir des principes consacrés par le RGPD ou la loi informatique et liberté, comme la minimisation des données collectées ou la limitation du temps de conservation de ces données. C’est déterminant en termes de respect de la vie privée mais aussi pour se prémunir d’effets néfastes d’actes cyber malveillants.
L’exemple de la cyberattaque subie en 2014 par la chaîne américaine de supermarchés Target est sans équivoque. À cette époque, les hackers ont piraté le système d’air conditionné et ainsi pu dérober les numéros de carte de crédit de plus de 40 millions de clients !
« Intégrité et disponibilité des données, confidentialité, éthique numérique, liberté individuelle : dans un monde hyperconnecté où les infrastructures interagissent entre elles, la conception, la réalisation et l’exploitation des smart buildings nécessitent aujourd’hui une approche de la cybersécurité plus exigeante et plus globale », tranche ainsi la SBA dans son livre blanc.
Et cette approche est aussi primordiale pour développer les smart cities de demain, rappelle le consultant conformité de Synelience : “la création de quartiers connectés et de villes connectées est essentielle pour une meilleure gestion des ressources et la mise en place d’un développement durable nécessaire à l’évolution de nos sociétés. Mais cette surconnection aura également pour effet de démultiplier les risques et les impacts des cyberattaques. L’exploitation d’une vulnérabilité pourrait avoir pour conséquence de paralyser des zones ou villes entières. Des réflexions globales devront donc avoir lieu avant le déploiement à grande échelle de systèmes smart.”
Les solutions de cybersécurité et de cyber-résilience doivent donc intégrer l’ADN des smart buildings. Heureusement, elles existent et des experts comme Synelience proposent des conseils et un accompagnement sur mesure.
Retrouvez l’ensemble des articles de notre dossier Smart Building.
- Le smart building, une question de regards
- Quelles infrastructures réseaux pour le smart building ?
- Smart building & IoT : des capteurs et des données
- Le smart building au service de l’efficience énergétique
- Data et smart building : quels enjeux de cybersécurité ?
- Smart building : comment se prémunir des risques cyber ?
- Le smart hospital : un smart building exigeant
- Smart building : la première brique d’une évolution urbaine ?
