Les bâtiments intelligents séduisent de plus en plus de personnes par leur côté pratique, la sécurité qu’ils offrent et les économies qu’ils permettent de réaliser. Le secteur connaît de ce fait une croissance fulgurante. Qui dit bâtiments intelligents dit connectivité accrue et Internet des Objets (IoT), mais aussi risques de cyberattaques si la protection est insuffisante. Les acteurs concernés sont donc tenus de protéger ces bâtiments contre les cyberattaques, et d’assurer la continuité des services clés ainsi qu’une reprise rapide en cas de piratage. Vous êtes propriétaire ou gestionnaire d’un ou plusieurs bâtiments connectés ? Nous vous livrons ci-dessous sept conseils pour améliorer votre cyber-résilience.
Comprendre les menaces et les risques pour la cybersécurité
Si vous souhaitez renforcer la cyber-résilience, vous devez tout d’abord bien comprendre les types de menaces, de vulnérabilités et de risques qui existent. Il vous faut donc procéder à une évaluation des menaces et des risques pour la cybersécurité. Cet audit comprend plusieurs étapes. Vous commencerez par dresser l’inventaire des actifs afin d’identifier tous les actifs connectés au réseau du bâtiment. Vous poursuivrez par une cartographie du trafic réseau afin d’identifier les niveaux normaux d’activité sur le réseau du bâtiment. Puis, vous terminerez par une identification des vulnérabilités. Cet exercice vous permettra de repérer les manques : actifs non documentés, activités anormales sur le réseau et faiblesses de l’environnement technologique. En procédant ainsi, vous serez à même de détecter rapidement les menaces pour intervenir au plus tôt.
Sensibiliser
La mise en place d’actions de sensibilisation à la cybersécurité permet d’impliquer les publics concernés dans votre stratégie de cybersécurité. Propriétaires et exploitants de bâtiments pourront ainsi commencer par former leurs employés et utilisateurs aux règles d’hygiène informatique de base. Cette sensibilisation permettra aux utilisateurs d’identifier les menaces pour éviter de tomber dans tous les pièges. La formation devra aussi porter sur les procédures de signalement des menaces. Sachant que toute part du sommet avant de redescendre aux étages inférieurs, il est essentiel que les dirigeants soutiennent les objectifs de cybersécurité… et montrent l’exemple.
Disposer des bonnes personnes en place
En plus d’instaurer une culture axée sur la cybersécurité, il faut pouvoir s’appuyer sur une équipe de sécurité capable d’identifier et d’atténuer les attaques. Dans cette équipe, les rôles et les responsabilités de chacun doivent être clairement définis pour garantir la fluidité des processus et faire aboutir les actions menées. Faire appel à un prestataire de solutions en cybersécurité peut aussi permettre d’améliorer la cyber-résilience. Les responsables de ces bâtiments intelligents devront donc trouver des partenaires fiables pour les aider à renforcer leurs capacités de lutte contre des menaces en tous genres.
Évaluer régulièrement la stratégie de cybersécurité
Pour atténuer proactivement les risques, il est indispensable de mettre en place une stratégie de cybersécurité qui portera, entre autres, sur les points suivants : le recrutement des bonnes personnes, la mise en place d’actions de sensibilisation, l’adaptation des principes du Zero Trust, et d’autres principes de sécurité. Le renforcement de la cyber-résilience nécessite une évaluation régulière de la stratégie adoptée. On s’assurera ainsi de sa pertinence en tout temps face aux risques et aux menaces. L’évaluation de la stratégie de cybersécurité devra par ailleurs s’inscrire dans le cadre de revues régulières du système intelligent — équipements, réseau, codes sécurisés, droits d’accès, etc.
Utiliser la bonne technologie
L’amélioration de la cyber-résilience passe également par des mesures de sécurité visant à prévenir les attaques. Le choix de la technologie peut être déterminant. Ainsi, grâce à des alertes intelligentes, les technologies d’analyse comportementale dans le cloud permettent de détecter certaines attaques à partir des changements dans le comportement des utilisateurs sur le réseau. La technologie de Wi-Fi sensing peut sécuriser des informations d’identification personnelle et protéger la vie privée des utilisateurs grâce à ses fonctions de détection de mouvements non intrusive. Bon à savoir : les données collectées par le Wi-Fi sensing sont stockées sous forme chiffrée, pour une protection optimale en cas d’actes malveillants.
Assurer la conformité réglementaire
En se conformant aux réglementations sur la confidentialité des données, les propriétaires et les exploitants de bâtiments intelligents s’assurent d’être en règle. La démarche leur permet aussi de se doter des moyens de lutter contre les vulnérabilités. La réglementation leur impose en effet de se protéger contre les attaques et les violations de données. [Aux États-Unis], ces standards comprennent les normes IoT du National Institute of Standards and Technology (NIST), 20 contrôles de sécurité critiques du Center for Internet Security (CIS), ainsi que le respect du guide publié par la Cybersecurity & Infrastructure Security Agency (CISA). La réglementation évoluant en permanence, les exploitants de bâtiments intelligents veilleront à suivre les changements afin de maintenir la conformité et de renforcer la cybersécurité.
Sécuriser la chaîne d’approvisionnement
Lorsque l’on fait appel à des prestataires tiers, on expose les réseaux des bâtiments intelligents à des risques, comme l’introduction de logiciels malveillants et d’autres attaques. Un contrôle des prestataires et des fournisseurs permet de renforcer sa cyber-résilience, en s’assurant que les mesures de sécurité ont bien été prises. Les propriétaires et les exploitants de bâtiments intelligents doivent donc vérifier que les fournisseurs respectent les normes et les réglementations en vigueur. Il devront, par ailleurs, surveiller et suivre les vulnérabilités de tous les composants qui proviennent de tiers.
En Conclusion
Les technologies IoT et l’intensification de la connectivité exposent les bâtiments intelligents à de nombreuses vulnérabilités et menaces cyber. Le secteur doit donc muscler sa cybersécurité. Renforcer la cyber-résilience de ces bâtiments permet en outre de maintenir la continuité des opérations et de rebondir en cas d’attaque. Les propriétaires et exploitants de bâtiments connectés trouveront dans les conseils proposés dans cet article des pistes pour améliorer leur cyber-résilience.