La cybersécurité, un enjeu nouveau pour le BTP
![Image Et si la [sensibilisation cyber] devenait efficace grâce aux sciences comportementales ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
![Image Grand Est : la dynamique d’un [écosystème structuré]](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ecosystem-885x690.jpg)
L’utilisation d’outils numériques, du bureau d’études jusqu’aux équipes de maintenance, entraîne l’exposition des smart buildings aux risques d’origine cyber. En quoi consistent ces menaces d’un nouveau genre ? Quelles sont les solutions que les acteurs du secteur proposent pour se protéger ?
Le marché des smart buildings se développe en France. Selon une étude du cabinet Xerfi, il devrait représenter 390 millions d’euros en France en 2023, soit près du double de sa taille de 2017. Les données intégrées dans les bâtiments connectés rendent possibles de nouvelles fonctions (diminution automatique de l’éclairage d’une pièce, réglage de la température…) pour limiter leur consommation d’énergie. Ces données peuvent néanmoins faire peser des cybermenaces sur ces bâtiments.
Le Building Information Modeling (BIM) fournit un exemple de ce phénomène. Il s’agit d’une représentation de toutes les données qui forment une « maquette numérique » renseignant sur l’état d’un édifice ou d’un chantier et d’anticiper l’usure du bâtiment à l’aide d’algorithmes reprenant les données qu’il contient. Le BIM permet alors de programmer à l’avance des travaux et d’insister sur une partie particulièrement fragilisée. Une étude universitaire britannique a néanmoins montré que les questions de cyberprotection des données accumulées ne sont pas suffisamment prises en compte lors de la construction d’un bâtiment administré au moyen d’un tel système.
Selon les auteurs, l’existence d’un BIM, en concentrant toutes les informations sur les installations de l’édifice, rend ce dernier vulnérable aux menaces cyber : « Les informations représentées sous forme d’infographie indiquent de manière détaillée les appareils, les installations, les réglages ainsi que toutes les pièces qui ont été assemblées dans l’immeuble. Par conséquence, cela rend possible un grand nombre de menaces en cas de cyberattaque visant le système de maintenance d’un bâtiment fonctionnant au moyen d’un BIM. »
Les pirates informatiques peuvent aussi pénétrer à l’intérieur du système d’information des smart buildings à partir d’objets connectés. Ceux-ci échangent des données entre eux via Internet mais en ayant un niveau de protection plus faible qu’un réseau privé ou un ordinateur isolé. Les mots de passe de ces objets sont définis par défaut par les fabricants et ne sont pas toujours modifiés une fois installés. Si des pirates arrivent à le deviner, ils peuvent alors s’y connecter pour capter le flux de données qui y transitent et aller jusqu’à prendre contrôle du bâtiment.
L’hôtel autrichien Seehotel Jägerwirt fut le théâtre, début 2017, de ce scénario. Le système de verrouillage des chambres fut activé à partir d’un code informatique enfermant les touristes qui s’y trouvaient. La direction de l’établissement fut contrainte de payer une rançon pour déverrouiller les chambres. Ce cas de ransomware illustre alors les enjeux de sécurité de l’IoT, qui sont d’autant plus importants qu’il y aura, selon Statista, plus de 75 milliards d’appareils connectés à Internet à travers le monde en 2025.
Un effort collectif de veille et de sécurisation
Les solutions de cyberprotection spécifiques au secteur du bâtiment se développent. Selon le cabinet suédois Memoori, le marché de la cyberprotection des smart buildings devrait équivaloir 8,3 milliards d’euros d’ici 2027. En France, les spécialistes de la conception IT et OT se sont réunis au sein de la Smart Building Alliance (SBA) pour développer ce marché.
Cela implique d’établir des pratiques de cybersécurité à adopter. Pour ce faire, le SBA a présenté le label Ready-to-Service (R2S) en collaboration avec l’organisme certificateur du BTP Certivéa. Ce label définit la qualité de conception et de fonctionnement d’un bâtiment connecté. Mis en application pour la première fois en 2018, ce label a été mis à jour en juin 2022, incluant un volet consacré à la cyber. Il sert à des prestataires spécialistes des SI et membres du SBA (ABB, Equans…) de garantie en matière de sécurité pour concevoir le système d’information d’un site.
Pour protéger un édifice des menaces informatiques, il prévoit l’installation d’un matériel précis (contrôle des accès, routage conditionnel du réseau, chiffrement des données, présence d’un Virtual Local Area Network) ainsi que des procédures de sécurité à respecter (Quelle attention est accordée aux alertes ? Quelle est la fréquence des mises à jour ?) en plus de la conformité du réseau au RGPD.
Depuis la création de R2S, une centaine de bâtiments ont reçu ou sont en train de recevoir cette distinction en France. Son déploiement va en augmentant. Entre le premier trimestre de 2021 et celui de 2022, le nombre de demandes pour l’obtenir a en effet été multiplié par trois.
Naissance d’un cadre réglementaire
Cette initiative met en évidence l’absence de règles cyber propres au secteur du BTP. Si le code de la construction énonce des instructions pour garantir la solidité, l’accessibilité ou encore les performances énergétiques d’un édifice, le sujet de la cyberprotection n’y est pas abordé. Cela rend donc difficile la définition d’une stratégie globale de cybersécurité qui établirait le rôle et les responsabilités de chacune des parties prenantes d’un chantier (entreprises de construction, éditeurs de logiciels, bailleurs, fournisseurs de matériel électronique…). Cette situation est néanmoins sur le point de changer pour deux raisons.
La première concerne le Cyber Resilience Act, que la Commission européenne a présenté à la fin du mois de septembre dernier. Ce texte prévoit de rendre obligatoire le respect de critères de cybersécurité par les fabricants d’objets connectés (« security by design ») proposant leurs produits à l’intérieur de l’UE. Ces critères concernent l’installation d’un programme de chiffrement des données, la présence d’un dispositif d’authentification des utilisateurs et/ou des mises à jour fréquentes des logiciels utilisés. Les appareils installés au cœur des smart buildings seront alors plus difficiles à pirater.
La seconde raison concerne l’obligation prévue dans ce même règlement européen, pour les entreprises victimes d’une cyberattaque, de la signaler à l’ENISA. Elle incitera alors les entreprises, dont celles du BTP, à faire preuve de transparence sur le niveau de protection des données qu’elles hébergent. Il est à noter que le RGPD obligeait déjà les personnes morales à protéger les données personnelles qu’elles détenaient.
Ces mesures vont par conséquent accélérer la prise en compte des questions de cybersécurité dans le secteur du bâtiment, où l’utilisation des données est loin d’y être une nouveauté. Des start-ups ont déjà recours à leur analyse pour assurer la sécurité des ouvriers sur les chantiers (comme CAD 42) ou effectuer le monitoring d’un édifice pour ralentir son obsolescence (Cementys). Et en matière de protection contre les cybermenaces, des nouveaux acteurs émergent.
Exemple : le rachat par le groupe Bouygues de la société Equans à Engie, en octobre 2022. Equans a en effet annoncé cette année la création d’une nouvelle marque nommée Equans Digital. Celle-ci prévoit d’appliquer le savoir-faire de ses collaborateurs en matière de cybersécurité de solutions applicatives et d’interopérabilité dans des domaines spécifiques (audiovisuel, robotique, BIM…). Au sein du groupe Bouygues, Equans va absorber sa filiale Energie & Services pour former une nouvelle branche, la plus importante en termes de chiffre d’affaires prévisionnel, qui sera spécialisée dans les technologies de l’information.