par Andrea Carcano, Co-fondateur de Nozomi Networks
Que nous en soyons conscients ou non, les bâtiments et les installations deviennent chaque jour plus « intelligents ». Grâce à cette connectivité accrue, ils deviennent technologiquement plus efficaces et permettent aux travailleurs qui s’y trouvent d’être plus productifs. Le coût, cependant, est une augmentation de la consommation d’électricité. Aux États-Unis, par exemple, plus de 70 % de l’électricité produite est consommée par les bâtiments commerciaux, ce qui représente près de 40 % des émissions de gaz à effet de serre.
Table des matières
gestion du risque cybernétique
Par conséquent, la digitalisation des systèmes d’automatisation des bâtiments, tels que les systèmes de chauffage, de ventilation et de climatisation, les systèmes de gestion de l’énergie, les systèmes de contrôle de l’éclairage, les systèmes de vidéosurveillance, les contrôles d’accès, les contrôles d’ascenseurs, ainsi que les capteurs, les caméras et les dispositifs associés, peut contribuer à réduire la consommation d’énergie, à améliorer le confort des occupants, à maintenir un coût total de possession faible, à exploiter efficacement les systèmes des bâtiments et à augmenter le cycle de vie des services publics.
Cependant, ces avantages opérationnels l’emportent probablement sur les éventuels problèmes de cybersécurité que la connectivité apporte dans le processus décisionnel. En fait, ceux qui gèrent la plupart des bâtiments intelligents d’aujourd’hui sont confrontés à la diminution des ressources, à la rareté des talents en cybersécurité et aux problèmes qui surviennent lorsque l’informatique converge avec l’OT.
La transformation numérique du secteur de l’automatisation des bâtiments implique également l’abandon des anciens systèmes propriétaires et l’adoption d’architectures informatiques de type edge-to-cloud. En conséquence, le déploiement de capteurs à moindre coût, avec ou sans fil, pour recueillir le plus de données possible, est devenu la nouvelle norme. Pourtant, dans le même temps, le secteur repose sur une infrastructure considérable de systèmes, d’applications, de dispositifs et de réseaux d’automatisation des bâtiments hérités, qu’il faut gérer, entretenir et moderniser progressivement.
Selon Larry O’Brien d’ARC Advisory Group, la gestion du risque cybernétique pour les bâtiments intelligents, comme pour les secteurs ICS traditionnels tels que l’industrie manufacturière et les services publics d’électricité, entraîne des défis spécifiques.
Convergence IT/OT –
De nombreux utilisateurs finaux et propriétaires-exploitants du secteur de l’automatisation des bâtiments considèrent encore la cybersécurité IT et OT comme des défis distincts. Cependant, les attaquants exploitent déjà les failles entre les défenses informatiques et les défenses OT. Par exemple, le spam phishing est couramment utilisé pour obtenir des privilèges et entrer dans les systèmes OT. Les pirates utilisent les systèmes CVC et d’autres systèmes OT mal défendus comme points d’entrée dans les centres de données et les réseaux informatiques des entreprises.
Les systèmes OT intègrent davantage de technologies de l’information –
L’essor de l’Internet des objets, de l’industrie 4.0 et d’autres initiatives technologiques d’envergure entraîne une énorme vague d’adoption des technologies de l’information à tous les niveaux de l’architecture des systèmes du bâtiment. Les dispositifs informatiques de pointe remplacent déjà les contrôleurs propriétaires dans une variété d’applications. L’ARC prévoit l’adoption d’une gamme plus large de capteurs moins chers, plus intelligents et plus omniprésents.
Outre les fonctions exécutées par les systèmes et leurs exigences uniques en matière de détection, il sera de plus en plus difficile de distinguer les systèmes d’automatisation des bâtiments des systèmes d’entreprise d’un point de vue informatique.
La montée des cyberattaques au niveau des OT –
Les cyberattaques contre les bâtiments intelligents, ainsi que les attaques connexes contre les villes et les infrastructures intelligentes, peuvent avoir des répercussions de grande ampleur et poser des risques pour la sécurité humaine. Une attaque dans un grand bâtiment ou une structure publique (en particulier dans une zone densément peuplée), pourrait potentiellement provoquer le chaos.
Les actifs cyber-physiques dans les bâtiments, les villes et les infrastructures intelligents sont de plus en plus distribués, notamment si l’on considère la nouvelle tendance à surveiller des parcs entiers de bâtiments à partir d’un emplacement centralisé.
Sur un campus ou dans un complexe médical, ces systèmes couvrent plusieurs pâtés de maisons et peuvent être essentiels au fonctionnement global d’une ville ou d’une communauté.
Surface d’attaque élargie –
Les bâtiments intelligents d’aujourd’hui comportent de nombreux systèmes et interconnexions. Cela élargit le champ d’action d’une attaque. Dans le cas du piratage de la chaîne de magasins Target, le système de chauffage, de ventilation et de climatisation a été utilisé pour accéder aux systèmes financiers et dérober les informations relatives aux cartes de crédit de plus de 40 millions de personnes.
Protocoles non sécurisés –
L’exploitation de protocoles industriels non sécurisés est un autre moyen pour les attaquants de perturber les opérations. C’est particulièrement vrai pour les systèmes d’automatisation des bâtiments. Les protocoles populaires tels que BACnet et LonWorks ne sont pas intrinsèquement sûrs et, comme les protocoles utilisés dans le secteur manufacturier, ils présentent leurs propres vulnérabilités. Les attaquants sophistiqués sont conscients de ces lacunes et ont facilement accès à la documentation nécessaire pour élaborer des commandes destinées à perturber le fonctionnement des contrôleurs et autres dispositifs.
Protocoles non sécurisés –
L’exploitation de protocoles industriels non sécurisés est un autre moyen pour les attaquants de perturber les opérations. C’est particulièrement vrai pour les systèmes d’automatisation des bâtiments. Les protocoles populaires tels que BACnet et LonWorks ne sont pas intrinsèquement sûrs et, comme les protocoles utilisés dans le secteur manufacturier, ils présentent leurs propres vulnérabilités. Les attaquants sophistiqués sont conscients de ces lacunes et ont facilement accès à la documentation nécessaire pour élaborer des commandes destinées à perturber le fonctionnement des contrôleurs et autres dispositifs.
Maîtriser le risque cybernétique
Une bonne cybersécurité commence par les personnes, les processus et la technologie. Les propriétaires-exploitants de bâtiments doivent être conscients que la cybersécurité est un risque qu’ils ne peuvent pas se permettre d’ignorer. Ils doivent donc recruter des personnes capables de gérer les problèmes de cybersécurité et suivre un processus lors de l’introduction de nouvelles technologies connectées.
Du point de vue des technologies de sécurité, la visibilité est un élément clé de toute stratégie de cybersécurité, en particulier lorsqu’il s’agit d’automatisation des bâtiments et d’ajout de connectivité à tout environnement. Après tout, comme le dit le vieil adage, « vous ne pouvez pas protéger ce que vous ne pouvez pas voir ». Et il ne s’agit pas seulement de la visibilité de la surveillance physique, mais de tous les » ins » potentiels qu’un attaquant peut utiliser pour prendre pied dans un bâtiment et ses systèmes : points de connexion, appareils compatibles Wi-Fi ou Bluetooth, courriels, ports laissés accidentellement ouverts, et la liste est longue. C’est une preuve supplémentaire de la convergence de l’informatique et de l’OT, qui sont encore considérés comme des entités distinctes. Dans le cadre du processus de visibilité, cet état d’esprit doit changer, car les bâtiments de plus en plus connectés d’aujourd’hui, et de demain, vont brouiller les lignes entre les deux.
Les réseaux enchevêtrés de la connectivité ne nécessitent qu’un seul chemin d’attaque exposé pour que les attaquants puissent se frayer un chemin à travers tout un système. Les propriétaires-exploitants doivent donc rechercher des solutions qui intègrent l’IT, l’OT et l’IoT afin de disposer de la vue la plus complète possible de l’environnement de leurs systèmes d’automatisation des bâtiments, avec une gestion centralisée et la possibilité de surveiller en permanence les vulnérabilités, les menaces et les anomalies qui pourraient indiquer des cyberattaques dans l’environnement d’automatisation des bâtiments.
Grâce à l’automatisation, les bâtiments peuvent être plus respectueux de l’environnement, plus efficaces et plus confortables. Mais ces installations connectées peuvent également devenir dangereuses entre les mains d’un attaquant déterminé. C’est pourquoi la cybersécurité doit être l’une des principales considérations de tout projet d’automatisation des bâtiments, afin de mettre de l’intelligence dans les bâtiments intelligents.
Andrea Carcano est un expert et un leader international en matière de sécurité des réseaux industriels, d’intelligence artificielle et d’apprentissage automatique. Il a cofondé Nozomi Networks en 2013 avec l’objectif de fournir une solution de cybersécurité et de visibilité opérationnelle de nouvelle génération pour les réseaux de contrôle industriels.
Nozomi Networks accélère la transformation numérique en protégeant les infrastructures critiques, les organisations industrielles et gouvernementales du monde entier contre les cybermenaces. Notre solution offre une visibilité exceptionnelle des réseaux et des actifs, une détection des menaces et des perspectives pour les environnements OT et IoT. Les clients nous font confiance pour minimiser les risques et la complexité tout en maximisant la résilience opérationnelle.
En tant que Chief Product Officer, Andrea définit la vision des produits de Nozomi Networks et il est la voix du client au sein de l’organisation. Dans ce rôle, il s’appuie sur son expérience du monde réel en tant qu’ingénieur principal en sécurité chez Eni, une multinationale du pétrole et du gaz, ainsi que sur ses recherches universitaires.
Passionné par la cybersécurité depuis le lycée, Andrea a étudié les défis uniques que représente la sécurisation des systèmes de contrôle industriels. Son doctorat en informatique de l’Università degli Studi dell’Insubria portait sur le développement de logiciels permettant de détecter les intrusions dans les systèmes de contrôle des infrastructures critiques. Sa maîtrise en informatique, obtenue auprès de la même institution, portait sur la création d’un logiciel malveillant conçu pour tirer parti du manque de sécurité de certains protocoles SCADA et sur l’analyse des conséquences.
