Danger sous-estimé, les systèmes de gestion des bâtiments peuvent mettre en péril l’intégrité des processus
Quasiment tous les bâtiments commerciaux et industriels sont aujourd’hui dotés d’un système de gestion technique de bâtiment (GTB). Ces derniers supervisent et contrôlent la ventilation, l’éclairage, la protection incendie, l’alimentation électrique et d’autres équipements mécaniques ou électriques importants, des ascenseurs aux fontaines à eau.
Du fait de l’essor de la mise en réseau et de la numérisation, ces systèmes, autrefois isolés, sont de plus en plus souvent connectés au réseau des entreprises et à Internet. Bien que les exploitants bénéficient ainsi de performances accrues, d’une consommation énergétique optimisée et d’une meilleure rentabilité, la connectivité croissante les expose également aux risques liés la cybersécurité.
Et ces systèmes de gestion des bâtiments sont souvent perçus comme des failles potentielles dans la stratégie de cybersécurité des entreprises. Car les équipes chargées de la sécurité se concentrent bien souvent en premier lieu sur le système informatique bureautique (IT).
Attaques ciblées du système de gestion des bâtiments
En juillet 2019, le ministère américain de la sécurité intérieure a émis un avertissement concernant une faille dans un système automatisé de gestion des bâtiments, largement utilisé pour la surveillance de la climatisation, du chauffage et des serrures via une interface web. Des pirates pouvaient exploiter cette faille de sécurité afin d’accéder à l’intégralité du système et ainsi modifier la température des pièces ou mettre en péril la sécurité physique des bâtiments.
La possibilité de modifier la température ne paraît peut-être pas inquiétante à première vue. Mais plutôt simplement gênante. Il existe cependant un certain nombre de domaines où la température joue un rôle considérable.
Les data centers s’appuient par exemple sur des systèmes de gestion des bâtiments pour maintenir une température idéale (en général entre 17 et 27 °C). Si des pirates informatiques l’augmentent, les conséquences peuvent être nombreuses : pannes, destruction de l’installation, incendie, mise en danger de la vie des personnes présentes, etc.
Des risques conséquents à prendre en compte
En outre, même des petites perturbations peuvent provoquer des pertes de données et limiter la durée d’utilisation de l’équipement. Compte tenu de ces impacts potentiels, les systèmes de gestion des bâtiments d’entreprises dont les processus dépendent des serveurs (telles que les banques, les réseaux sociaux et autres plateformes en ligne) constituent des cibles de choix pour les attaquants qui veulent détruire des données, endommager des infrastructures critiques ou provoquer défaillances et autres interruptions de service.
Les systèmes de GTB jouent également un rôle primordial dans un certain nombre de processus de fabrication sensibles à la température ou à l’humidité. Cela concerne notamment la fabrication de produits électroniques, de denrées alimentaires, de boissons ou de produits pharmaceutiques. En obtenant un accès ciblé, les attaquants seraient en mesure de modifier des conditions définies de manière précise… Et ainsi de compromettre la qualité (et l’efficacité) des produits fabriqués, avec des conséquences catastrophiques.
Convergence et sécurité
Comment intégrer les systèmes de gestion des bâtiments dans la stratégie de sécurité et assurer la protection de ces systèmes sensibles ? Les responsables de la sécurité doivent tout d’abord être en mesure de surveiller les systèmes de gestion des bâtiments de manière globale et centralisée. Il faut pour cela une visibilité complète.
Ce qui est valable pour l’informatique l’est également ici : on ne peut protéger que ce qu’on connaît. Pour que les menaces soient rapidement détectées, les ressources des systèmes de gestion des bâtiments doivent être regroupées dans une seule console. Il ne suffit cependant pas de surveiller la température, l’humidité et d’autres valeurs des processus. Pour identifier une menace ou une anomalie potentielle, il est nécessaire de pouvoir déceler tout écart entre les valeurs mesurées et la plage normale. Ainsi que les causes de ces anomalies.
La situation actuelle, avec de nombreux employés en télétravail, ne fait qu’augmenter ces exigences et nécessite un accès à distance sécurisé aux systèmes d’alarme et de surveillance des solutions de gestion des bâtiments. Mais même au-delà de la pandémie, l’accès à distance restera un moyen d’accroître l’efficacité de la maintenance et bien souvent de donner davantage d’importance aux sites éloignés. Notamment lorsque cette maintenance est confiée à des prestataires tiers, ces derniers pouvant également servir de porte d’entrée aux menaces.
Des ouvertures toujours plus nombreuses pour les cyberattaquants
Les entreprises doivent être conscientes que leur exposition a considérablement augmenté ces dernières années. La multiplication exponentielle des objets connectés et communicants mais surtout la convergence croissante des réseaux et des systèmes jusqu’à présent distincts offrent de nombreuses nouvelles possibilités aux attaquants, qui ne se privent pas de les exploiter.
Aucune entreprise n’est suffisamment petite ou insignifiante pour ne pas être visée par les cybercriminels. Pour être en mesure de faire face aux attaques de plus en plus sophistiquées, les entreprises doivent intégrer le moindre élément de leur infrastructure dans leur stratégie de sécurité, que ce soit le système informatique, la technique d’exploitation ou la gestion des bâtiments.
Emmanuel Le Bohec
Directeur France de Claroty, spécialiste de la cybersécurité des réseaux industriels (OT)
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…