Télécharger le PDF


 Solution technique - Octobre 2019

Cybersécurité : les équipements techniques des bâtiments sont concernés


Le développement du numérique au sein des bâtiments, allié au fait que les réseaux sont de plus en plus interconnectés au-delà des murs, induit de nouveaux risques portés au rang de la cybercriminalité. L’installation électrique et l’ensemble des équipements numériques (contrôle d’accès, protection anti-intrusion…) doivent donc faire l’objet de précautions spécifiques en matière de cybersécurité.



Les attaques sur la Toile sont générales. De ce fait, elles concernent aussi les bâtiments et leurs équipements techniques (courants forts et courants faibles). Chacun se souvient des épisodes d’attaque via des ransomwares (rançongiciels), qui témoignent du risque que courent les entreprises laissant des failles dans leur blindage.

40 % des bâtiments intelligents victimes
Les systèmes d’administration des bâtiments intelligents sont composés de capteurs et de contrôleurs, utilisés pour surveiller et automatiser la gestion des ascenseurs, de la ventilation, du confort thermique, de l’approvisionnement en électricité, des alarmes incendie, de la vidéosurveillance ou encore des accès. Pour résumer, ces infrastructures complexes centralisent la gestion de fonctions critiques de sécurité. Elles n’en restent pas moins des systèmes informatiques comme les autres, gérés le plus souvent de manière traditionnelle, avec des stations de travail classiques et connectées à Internet.
En analysant de manière aléatoire les données télémétriques provenant de 40 000 de ces solutions de sécurité déployées dans des bâtiments intelligents, un éditeur spécialisé dans les logiciels de protection a découvert que près de 38 % des stations de travail avaient été la cible d’attaques en tous genres lors du premier semestre de 2019. L’analyse ne permet pas de déterminer si celles-ci étaient ciblées, car les victimes ont été attaquées par une variété de menaces génériques. Manque de sophistication ne signifie pas absence de danger. Ainsi, parmi les systèmes attaqués, 11 % l’ont été par différentes variantes de spywares – c’est-à-dire des malwares destinés à voler des informations de connexion (login, mot de passe…) et autres précieuses informations. Viennent ensuite les vers (10,8 %), les fraudes par phishing (7,8 %) et les ransomwares (4,2 %). Cette étude montre aussi que 26 % des tentatives d’infection trouvent leur source sur Internet, suivies par les appareils amovibles (de type clés USB ou disques durs externes) à hauteur de 10 %, ainsi que les liens ou pièces jointes malveillants, également à hauteur de 10 %.
Les menaces qui ciblent les bâtiments connectés peuvent sembler n’être qu’une goutte d’eau dans l’océan du cybercrime, mais leur impact ne doit pas être sous-estimé. Certains services sensibles sont aujourd’hui hébergés dans des bâtiments de ce type et toute information les concernant pourrait avoir une valeur non négligeable sur le marché noir. On peut également imager un bâtiment paralysé après une attaque de ransomware. Le nombre de bâtiments intelligents va croître au cours des prochaines années, il est donc important de dresser dès maintenant les enjeux de protection des infrastructures et des données.

 


Faire les premiers pas
Les premiers pas d’une entreprise en matière de cybersécurité passent par une prise de conscience. On ne pense pas forcément à protéger ce qui est important pour elle. D’où la nécessité de conduire une véritable analyse de risques, selon de multiples points : arrêt d’exploitation du bâtiment, contrôle d’accès… Après cela, s’il reste des failles et des risques, il convient de les homologuer en interne.
Sur son site Internet, l’Anssi propose de télécharger en accès libre une collection de guides répondant aux questions les plus courantes des entreprises. Parmi ces documents :
– guide réalisé en collaboration avec la CGPME sur 12 règles de bonne pratique ;
– guide d’hygiène informatique (remis à jour) avec 40 règles à appliquer ;
– autres guides, sur les systèmes industriels, également disponibles.



Les réseaux du bâtiment sont concernés
L’avènement des équipements connectés pour une maintenance à distance ou un accès client ne facilite pas l’affaire. Mais il y a plus sournois : l’usage d’une simple clé USB non scannée ou d’un PC extérieur branché sur un équipement pour effectuer une mise à jour logicielle ou une action de maintenance pourra générer une contamination tout aussi gênante. Dans tous les cas, la stratégie du cloisonnement s’avère primordiale. À l’image des couloirs sans végétation traversant les forêts particulièrement exposées aux incendies, il est utile de dissocier les réseaux. Autre précaution : les règles de moindre privilège. Il s’agit là d’attribuer à chaque personne (interne ou externe), les niveaux d’accès nécessaires, et pas plus. Cela évite bien des désordres. Quel regard porter sur ses prestataires qui interviennent sur les installations numériques ? Il convient a minima d’en parler avec eux, de faire un état de la situation et d’auditer leurs méthodes d’intervention.

D’abord des mesures organisationnelles
Comment prendre en compte le risque de cybercriminalité ? Plus de 70 % des actions à conduire sont de type organisationnel. Cela signifie que la partie matérielle ou logicielle n’occupe que de 20 à 30 % de la stratégie à déployer.
La première étape ? Les rôles et responsabilités en matière de cybersécurité des installations doivent être clairement établis au sein de l’entreprise. Si ce n’est pas le cas, il convient de nommer le ou les responsable(s). Cette charge incombe généralement aux spécialistes internes de la sécurité informatique ou de la sécurité du site.

Des produits qualifiés et certifiés : l’exemple de l’industrie
La qualification offre des garanties de sécurité et de confiance, tandis que la certification fait plutôt état de la robustesse des produits. À la demande des fabricants, L’Anssi les passe au banc de tests afin d’attester leur conformité à un niveau de sécurité du référentiel général de sécurité. Au 1er septembre 2017, 245 produits étaient entrés en évaluation. Parmi eux, 99 ont été certifiés. Pare-feu, équipements industriels, solution de signature électronique… Une douzaine de catégories sont ainsi répertoriées et accessibles sur le site de l’agence. Ces référentiels français et les produits liés sont surtout utilisés par les 200 organismes d’importance vitale (OIV) désignés par la loi de programmation militaire. Pour les autres entreprises, ils représentent une référence et un gage de performance, face aux cyber-attaques. Quelques fabricants ont obtenu la qualification et la certification d’automates, de commutateurs industriels. D’autres fabricants privilégient le référentiel IEC 62433, s’appuyant notamment sur l’ISA99. Il concerne le processus et présente des fonctionnalités et une ingénierie qui rendent les produits et systèmes robustes dans le cadre d’une approche englobant aussi la notion de cycle de vie.

 


Quelques repères
• Combien coûte la cybersécurité à une entreprise ? Il semble que le montant oscille entre 10 et 15 % du budget informatique. Une somme à rapprocher du coût d’une cyber-attaque.
• Les banques et les assurances peuvent demander des garanties quant à la stratégie déployée en matière de cybersécurité.
• Utiliser un PC professionnel chez soi en situation non protégée peut être néfaste pour sa protection. Même constat pour un équipement personnel utilisé sur son lieu de travail.
• Les pirates peuvent infiltrer une entreprise en utilisant les accès (non limités) d’un sous-traitant. C’est ainsi que l’un d’entre eux s’est introduit dans un casino américain via les accès d’un sous-traitant chargé de la gestion et de l’entretien des aquariums !



Agir sur les installations existantes

Attention aux fausses bonnes idées. Elles peuvent pénaliser l’action des professionnels de terrain, et condamner de manière irréversible des ports USB… Il faut alors agir autrement en commençant par des solutions simples et non intrusives comme l’utilisation d’une clé USB porteuse d’un logiciel antivirus pour analyser les PC en exploitation ou la gestion du scan des clés USB.
Dans tous les cas, les services de maintenance et techniques doivent être intégrés au groupe de réflexion dès le début d’un projet cybersécurité, afin de former et responsabiliser ces acteurs de terrain.
Il convient de faire attention aux prestataires pouvant contaminer une installation à leur insu. Pour éviter cela, nous proposons de sécuriser les couches basses, tel que les clés USB et les ordinateurs portables.

Michel Laurent

Copyright 2013 - Magazine des professionnels de la Filière Électrique - Électro magazine