12 minute read
RESEAUX
« La caméra est par défaut ouverte à tous les protocoles de communication. Ceux-ci devraient tous être fermés, laissant le choix à l’installateur. » Ronan Jezequel, CNPP.
Advertisement
Aujourd’hui, l’image du pirate « romantique » est périmée. Depuis une dizaine d’années, de véritables groupements ont professionnalisé le cybercrime.
Des méfaits ciblés « On passe d’un mode opportuniste à une mode ciblé, incluant la préméditation, poursuit Loïc Guézo. Les hackers initient une phase de renseignements pour prendre des informations, lancent des tests pour localiser les données les plus importantes et analyser leur valeur... Ils ne se précipitent pas : ils décident quand l’opération commence et la manière dont se déroule la négociation. » Les systèmes techniques du bâtiment entrent dans leur collimateur : autrefois autonomes et séparés du monde informatique, ils basculent vers l’IP et deviennent connectés, exposant leur flanc aux menaces informatiques.
En mars dernier, Tesla faisait encore une fois la une de l’actualité technologique. A ses dépens, cette fois-là : quelques milliers de caméras surveillant l’intérieur de ses entrepôts avaient été piratées et des séquences vidéos confidentielles s’étaient retrouvées sur les réseaux sociaux, à la vue de tous. Dans leur intention de dénoncer une « société de surveillance », les hackers ont étendu leur attaque à d’autres entreprises privées, ainsi qu’à des hôpitaux, des écoles et des prisons. Le point commun à toutes ces organisations ? Elles sont clientes de Verdaka, une start-up américaine commercialisant un service de vidéosurveillance sur le cloud. Il a suffi aux hackers d’une campagne de phishing (hameçonnage) pour dérober un identifiant réservé à un administrateur. A partir de là, ces réseaux de caméras étaient ouverts aux quatre vents. Une telle affaire serait inédite qu’elle susciterait une indulgence polie. Mais les cas similaires ont foisonné ces dernières années, suggérant que de nombreux systèmes de sécurité protégeant les entreprises et les industries sont eux-mêmes insuffisamment protégés. La fuite de données sensibles constitue un premier danger. Dans l’exemple de Tesla, cependant, les hackers - plutôt des activistes - avaient des visées politiques et leur acte avait surtout une portée symbolique. Mais les conséquences sont parfois plus graves, pesant sur la trésorerie et le fonctionnement opérationnel. « Dans un scénario d’attaque de type rançongiciel, qui se développe fortement depuis trois ans, un logiciel malicieux parvient à chiffrer les données de l’entreprise et à rendre le système inopérant, explique Loïc Guézo, secrétaire général du Clusif, une association qui promeut la cybersécurité en France. Les entreprises sont ensuite victimes d’un chantage au paiement. » Pour récupérer leurs données, elles doivent débourser une somme qui peut être considérable - la rançon demandée à Acer en mars dernier atteignait 50 millions de dollars en cryptomonnaie. Le Clusif a mis en place un groupe de travail étudiant la sécurité des systèmes industriels et assimilés, dont la vidéosurveillance, le contrôle d’accès et la GTB font partie. Trois vecteurs d’attaque principaux sont identifiés. « Les services RDP (remote desktop protocol, protocole utilisé pour l’accès à un ordinateur distant, ndlr), inhérents aux systèmes Microsoft,
Remise officielle à Mobotix de la certification « CNPP Certified » au siège du CNPP en 2019. De gauche à droite : Ronan Jezequel (responsable développement laboratoires CNPP), Amaury Lequette (directeur CNPP Cert), Patrice Ferrant (country manager Mobotix France) et Nathalie Labeys (ingénieur certification CNPP).
LES PIONNIERS DES CERTIFICATIONS « CYBER »
Si, Mobotix avait été le premier fabricant en Europe à obtenir la certification « CNPP certified » incluant une dimension cybersécuritaire, Francofa/Eurodis, distributeur spécialisé dans le domaine du courant faible et filiale du géant Rexel, avait pour sa part ouvert la séquence dans le domaine de lʼalarme anti-intrusion en obtenant dès avril 2018 la certification NF&A2P Cyber, pour son alarme mixte, filaire et radio, Neo.
forment une première faille, détaille Loïc Guézo. Un scan automatique permet de détecter les services exposés. Le risque est plus important dans une GTB, par exemple, car l’expertise du gestionnaire est tournée davantage vers l’opérationnel que vers l’infrastructure technique. » Deuxième brèche potentielle : les vulnérabilités techniques, qui se retrouvent aussi dans tous les environnements techniques du bâtiment. « Ces deux dernières années, beaucoup d’attaques ont été liées aux accès VPN (virtual private network ou réseau privé virtuel), lesquels sont utilisés par les tiers mainteneurs pour le dépannage à distance » indique Loïc Guézo.
La troisième faille, c’est le facteur humain, une attaque pouvant débuter par l’ouverture d’un email contenant un logiciel malicieux. D’où la nécessité, de la part des entreprises, de mettre en place une politique de sensibilisation aux risques de cybersécurité, incitant à la vigilance. Dans les deux premiers cas de figure, en revanche, le fournisseur ou l’installateur est en faute. En l’absence de suivi - l’infrastructure initiale peut changer au cours du temps - et de mises à jour, des vulnérabilités pourtant notoires ne sont pas corrigées et peuvent être découvertes puis exploitées par des hackers. Mais les fournisseurs ont parfois une approche conservatrice, craignant que des maintenances informatiques puissent compromettre la bonne marche de l’installation. Et gare si le client s’avise d’y mettre son nez. « Le fournisseur peut lui mettre la pression et invalider la garantie s’il touche à quoi que ce soit » commente Loïc Guézo.
Des caméras trop peu surveillées Parmi les systèmes de sécurité, les caméras sont placées au premier rang des accusés quand il s’agit de pointer des vulnérabilités informatiques. Les pirates le savent : lors d’un hackaton autour de la thématique du Smart Building, il y a quatre ans, où le challenge était de pirater la gestion technique du bâtiment, toutes les intrusions ont réussi en passant par les caméras. Les causes sont connues et hélas persistantes : micrologiciel obsolète qui n’est pas mis à jour et laisse certaines vulnérabilités béantes, identifiant d’usine (admin/admin) qui n’a pas été modifié et dont le changement n’est pas imposé par la caméra... « Une autre lacune majeure est due à l’interopérabilité, constate Ronan Jezequel, directeur Innovation & Développement au Centre national de prévention et de protection (CNPP). La caméra est par défaut ouverte à tous les protocoles de communication. Ceux-ci devraient tous être fermés et l’installateur devrait avoir le choix d’ouvrir le seul protocole sécurisé nécessaire. » Une étude de Genetec publiée en 2019 révélait que 40% des caméras de surveillance installées présentaient des risques de cybersécurité.
La détection d’intrusion et le contrôle d’accès seraient de meilleurs élèves en la matière. « Pour la première, le cadre réglementaire, encouragé par les assurances notamment, est plus strict, précise Ronan Jezequel, et les certifications encadrées par le CNPP ont imposé d’améliorer la robustesse aux attaques numériques. Cette filière
Crédit Adobe Stock
La direction de l’entreprise doit appréhender le fait que les systèmes techniques du bâtiment, y compris la vidéosurveillnace et la GTB, présentent des risques. Elle a intérêt à y consacrer un budget.
DES GUIDES POUR LA CYBERSÉCURITÉ
En France, lʼAgence nationale de la sécurité des systèmes dʼinformations (Anssi) a publié ses premières recommandations pour la sécurisation des systèmes de vidéoprotection et de contrôle dʼaccès à partir de 2013 et 2014. Consultable sur le site Internet de lʼagence, la dernière édition date de mars 2020. Elle guide les installateurs et les responsables informatiques dans la réalisation dʼune installation prompte à résister aux dangers « cyber ». En premier lieu, il y est préconisé de cloisonner physiquement les SI du contrôle dʼaccès et de la vidéoprotection ou, à défaut, dʼopter pour un cloisonnement logique type réseau local virtuel (VLAN). La technologie analogique est également à privilégier pour les caméras externes et les flux doivent être chiffrés et authentifiés, entre autres conseils. Ces bonnes pratiques ne sont imposées quʼaux 250 opérateurs dʼimportance vitale identifiés par lʼÉtat. Le document sʼappuie aussi sur les référentiels R82 (pour la vidéoprotection) et D83 (contrôle dʼaccès) du CNPP, qui décrivent une démarche pour lʼinstallation, basée sur une analyse des besoins et des risques. Celle-ci détermine des exigences pour la conception, lʼexploitation et la maintenance de ces systèmes. Le référentiel spécifique D32 traite de la méthodologie dʼinstallation pour assurer la cybersécurité. est aussi culturellement plus avancée, car elle fait face à la malveillance depuis toujours. Le contrôle d’accès, quant à lui, est un marché plus fermé, dominé par quelques gros acteurs, et soumis à des règles de sécurité informatiques spécifiques. Les quelques systèmes que nous avons testés étaient bons voire très bons. » Les marques de caméras, elles, se comptent par centaines. Seuls quelques fabricants sont venus au CNPP pour éprouver leurs produits, car ce processus est une démarche volontaire. En 2019, Mobotix a été le premier fabricant, en Europe, à obtenir le label « CNPP Certified », qui inclut une dimension cybersécuritaire.
Un périmètre IT élargi La robustesse intrinsèque des caméras est une chose, les bonnes pratiques pour encadrer leur déploiement en sont une autre. Pour Loïc Guézo, l’information est la première à prendre en compte : « Quand un revendeur installe une caméra, il doit expliquer à son client le risque sousjacent, documenté ou non, pour que celui-ci soit prêt à accepter le risque. Sinon, c’est un défaut de conseil. La direction de l’entreprise, pour sa part, doit appréhender le fait que les systèmes techniques du bâtiment, y compris la vidéosurveillance et la GTB, présentent des risques. Elle a intérêt à y consacrer un budget, à mettre au point une gouvernance, à nommer un responsable... Car c’est devenu un risque d’entreprise. » La norme ISO 27001 définit la gestion et le pilotage de la sécurité d’un système d’information. « Or, un système technique du bâtiment est un SI à part entière désormais, ajoute Loïc Guézo. La direction des services informatiques (DSI) doit comprendre le nouveau périmètre de sa sécurité informatique et tenir compte du cloud computing, de l’extension de l’IT vers d’autres systèmes et métiers. Mais elle n’est pas encore assez sensibilisée aux risques systémiques et aux scénarios d’attaques par l’intermédiaire d’un ascenseur ou d’un réseau de vidéosurveillance. » Les entreprises-clientes ont du pouvoir, même si elles ne l’exercent pas assez. « La cybersécurité pourrait faire partie des exigences formulées par les entreprises à l’égard des prestataires de services, notamment la vidéosurveillance, commente Loïc Guézo. Mais très peu de contrats en font mention, et les références sont minimalistes. » Les freins peuvent être de nature économique : la cybersécurité ne survit pas toujours aux considérations budgétaires. Face à une menace grandissante, c’est pourtant la survie de l’entreprise qui entre en jeu. Frédéric Monflier
p.51 ACTUALITE Secteur et tendances p.54 SMART HOME Actus des objets connectés p.56 REALISATION Hôtel Paradiso mk2
SMART HOME & BUILDING
Lʼactualité des services, des équipements et de lʼindustrie de la domotique
Brèves
HITACHI ENERGY Changement de nom
Hitachi ABB Power Grids devient Hitachi Energy à partir d’octobre 2021. Ce changement de nom coïncide avec le premier anniversaire du lancement, le 1er juillet 2020, de la co-entreprise par Hitachi Ltd. (80,1 %) et ABB Ltd. (19,9%). ABB apporte un riche héritage d’avancées technologiques comme la technologie HVDC, qui permet de transmettre efficacement de grandes quantités d’énergie avec des pertes minimales sur des milliers de kilomètres. On peut également citer la fourniture de micro-réseaux et de solutions de stockage d’énergie qui, combinés à des systèmes de commande intelligents, assurent une disponibilité fiable de l’énergie distribuée.
EVENEMENT
La 11ème édition d’IBS se profile
La 11ème édition dʼIBS et la 7ème édition de Smart City/Smart Grids auront bien lieu les 20 et 21 octobre prochains à Paris Porte de Versailles après une année 2020 où la pandémie aura privé le monde des manifestations présentielles. A lʼheure où nous mettons sous presse, la crise sanitaire est en net recul et les signes encourageants de reprise sont là. Malgré une activité du bâtiment en baisse lʼan passé, les marchés de la régulation comme de lʼautomatisation ont mieux résisté en 2020 et les perspectives des prochaines années sʼannoncent très prometteuses notamment avec lʼaide du plan de relance gouvernemental. En effet, les nouvelles réglementations comme les décrets BACS et tertiaire ainsi que la RE2020 qui affichent des objectifs très ambitieux en termes de performance énergétique vont durablement dynamiser la profession. Ainsi, la filière des métiers de la régulation du bâtiment (GTB, GTC, CVC, ...) devrait bénéficier pleinement de cette dynamique bien ancrée au cœur de la transition énergétique. Par ailleurs, les nouvelles tendances dʼautoconsommation, de mobilité, de confort, de services et de sécurité des occupants devraient, elles aussi, connaître une activité soutenue. Plus largement, cʼest toute lʼurbanité, qui progressivement se transforme, pour sʼadapter aux contraintes énergétiques mais également environnementales afin de construire une meilleure qualité de vie pour les citadins. A noter que 30 conférences et 25 ateliers sont programmés durant le salon et que Smart Intégrations Mag est partenaire du salon.
ECLAIRAGE DE SECURITE Nouveau catalogue Kaufel
Expert en éclairage de sécurité, Kaufel a édité son nouveau catalogue cet été. Au sommaire, les différentes solutions et gammes de produits de blocs autonomes d’éclairage de sécurité, sources centrales et luminaires, alarmes incendie, alarmes techniques et de détection, ainsi que l’explicatif des normes et de la réglementation en vigueur. Les produits Kaufel sont conçus par une équipe R&D dédiée et basée en France, sur le lieumême de fabrication. Grâce à la flexibilité et la réactivité de son site de production en Bourgogne (Piffonds), la marque offre des délais de livraison courts. Kaufel possède également des services dédiés à la réglementation. www.kaufel.fr
WIREDSCORE
SmartScore un label pour les «Smart Buildings»
Cet été, WiredScore a annoncé le lancement de SmartScore, un nouveau label visant à apporter une définition partagée et une méthode dʼévaluation des « Smart buildings ». Il permet également aux propriétaires de communiquer sur la qualité dʼusage de leurs immeubles. « SmartScore met en évidence lʼimportance du Smart Building pour la valorisation des bâtiments par les usages, observe Emmanuel François, président de la Smart Buildings Alliance. Cette approche est tout à fait en ligne avec les travaux que mène la SBA depuis des années. Les deux organisations travaillent dʼores et déjà à établir des passerelles entre les cadres de référence technique de la SBA et le label SmartScore. » Cʼest le seul label créé par la filière immobilière et pour la filière immobilière. 70 immeubles sont dʼores et déjà engagés dans le label, appartenant à 44 propriétaires dans 7 pays dont Allianz Real Estate, AXA Investment Managers et Sefri-Cime, Gecina, Immovalor Gestion et RedTree Capital en France. WiredScore, lʼentreprise à lʼorigine des labels WiredScore et SmartScore, a été créée en 2013 à New-York par des leaders de lʼimmobilier, de la technologie et des télécommunications, avec lʼappui du maire de lʼépoque, Michael Bloomberg. Forte de son succès aux États-Unis, elle sʼest implantée au Royaume-Uni en octobre 2015 où elle est devenue le système officiel de labellisation de la connectivité numérique de la mairie de Londres. Le système de labellisation sʼest ensuite largement exporté, et lʼentreprise est désormais présente en France, en Irlande, en Allemagne et au Canada. wiredscore.com
