Danger sous-estimé, les systèmes de gestion des bâtiments peuvent mettre en péril l’intégrité des processus
Quasiment tous les bâtiments commerciaux et industriels sont aujourd’hui dotés d’un système de gestion technique de bâtiment (GTB). Ces derniers supervisent et contrôlent la ventilation, l’éclairage, la protection incendie, l’alimentation électrique et d’autres équipements mécaniques ou électriques importants, des ascenseurs aux fontaines à eau.
Du fait de l’essor de la mise en réseau et de la numérisation, ces systèmes, autrefois isolés, sont de plus en plus souvent connectés au réseau des entreprises et à Internet. Bien que les exploitants bénéficient ainsi de performances accrues, d’une consommation énergétique optimisée et d’une meilleure rentabilité, la connectivité croissante les expose également aux risques liés la cybersécurité.
Et ces systèmes de gestion des bâtiments sont souvent perçus comme des failles potentielles dans la stratégie de cybersécurité des entreprises. Car les équipes chargées de la sécurité se concentrent bien souvent en premier lieu sur le système informatique bureautique (IT).
Attaques ciblées du système de gestion des bâtiments
En juillet 2019, le ministère américain de la sécurité intérieure a émis un avertissement concernant une faille dans un système automatisé de gestion des bâtiments, largement utilisé pour la surveillance de la climatisation, du chauffage et des serrures via une interface web. Des pirates pouvaient exploiter cette faille de sécurité afin d’accéder à l’intégralité du système et ainsi modifier la température des pièces ou mettre en péril la sécurité physique des bâtiments.
La possibilité de modifier la température ne paraît peut-être pas inquiétante à première vue. Mais plutôt simplement gênante. Il existe cependant un certain nombre de domaines où la température joue un rôle considérable.
Les data centers s’appuient par exemple sur des systèmes de gestion des bâtiments pour maintenir une température idéale (en général entre 17 et 27 °C). Si des pirates informatiques l’augmentent, les conséquences peuvent être nombreuses : pannes, destruction de l’installation, incendie, mise en danger de la vie des personnes présentes, etc.
Des risques conséquents à prendre en compte
En outre, même des petites perturbations peuvent provoquer des pertes de données et limiter la durée d’utilisation de l’équipement. Compte tenu de ces impacts potentiels, les systèmes de gestion des bâtiments d’entreprises dont les processus dépendent des serveurs (telles que les banques, les réseaux sociaux et autres plateformes en ligne) constituent des cibles de choix pour les attaquants qui veulent détruire des données, endommager des infrastructures critiques ou provoquer défaillances et autres interruptions de service.
Les systèmes de GTB jouent également un rôle primordial dans un certain nombre de processus de fabrication sensibles à la température ou à l’humidité. Cela concerne notamment la fabrication de produits électroniques, de denrées alimentaires, de boissons ou de produits pharmaceutiques. En obtenant un accès ciblé, les attaquants seraient en mesure de modifier des conditions définies de manière précise… Et ainsi de compromettre la qualité (et l’efficacité) des produits fabriqués, avec des conséquences catastrophiques.
Convergence et sécurité
Comment intégrer les systèmes de gestion des bâtiments dans la stratégie de sécurité et assurer la protection de ces systèmes sensibles ? Les responsables de la sécurité doivent tout d’abord être en mesure de surveiller les systèmes de gestion des bâtiments de manière globale et centralisée. Il faut pour cela une visibilité complète.
Ce qui est valable pour l’informatique l’est également ici : on ne peut protéger que ce qu’on connaît. Pour que les menaces soient rapidement détectées, les ressources des systèmes de gestion des bâtiments doivent être regroupées dans une seule console. Il ne suffit cependant pas de surveiller la température, l’humidité et d’autres valeurs des processus. Pour identifier une menace ou une anomalie potentielle, il est nécessaire de pouvoir déceler tout écart entre les valeurs mesurées et la plage normale. Ainsi que les causes de ces anomalies.
La situation actuelle, avec de nombreux employés en télétravail, ne fait qu’augmenter ces exigences et nécessite un accès à distance sécurisé aux systèmes d’alarme et de surveillance des solutions de gestion des bâtiments. Mais même au-delà de la pandémie, l’accès à distance restera un moyen d’accroître l’efficacité de la maintenance et bien souvent de donner davantage d’importance aux sites éloignés. Notamment lorsque cette maintenance est confiée à des prestataires tiers, ces derniers pouvant également servir de porte d’entrée aux menaces.
Des ouvertures toujours plus nombreuses pour les cyberattaquants
Les entreprises doivent être conscientes que leur exposition a considérablement augmenté ces dernières années. La multiplication exponentielle des objets connectés et communicants mais surtout la convergence croissante des réseaux et des systèmes jusqu’à présent distincts offrent de nombreuses nouvelles possibilités aux attaquants, qui ne se privent pas de les exploiter.
Aucune entreprise n’est suffisamment petite ou insignifiante pour ne pas être visée par les cybercriminels. Pour être en mesure de faire face aux attaques de plus en plus sophistiquées, les entreprises doivent intégrer le moindre élément de leur infrastructure dans leur stratégie de sécurité, que ce soit le système informatique, la technique d’exploitation ou la gestion des bâtiments.
Emmanuel Le Bohec
Directeur France de Claroty, spécialiste de la cybersécurité des réseaux industriels (OT)
Les plus lus…
Axima Sécurité Incendie, entité d’Equans France, renforce son offre de services et couvre désormais l’ensemble des solutions de protection incendie…
-
L’arrêté du 13 mai 2025, modifiant l'arrêté du 25 juillet 2022 fixant les règles de sécurité et les dispositions…
-
Le 15 juin 1985, un violent incendie se déclare dans un stockage de produits chimiques sur le site de Rhône-Poulenc…
-
Le salon Préventica Paris 2025 se tenait au Parc des Expositions de Paris entre le mardi 10 et le…
-
Le salon Préventica Paris 2025 avait lieu au Parc des Expositions de Paris entre le mardi 10 et le…
-
Le décret n°2025-482 du 27 mai 2025 relatif à la protection des travailleurs contre les risques liés à la…
