Vulnérabilité des bâtiments intelligents: pas si des mesures sont mises en place
2 min read
J’ai lu un article sur la manière dont un appareil de passerelle réseau Tridium situé dans le bâtiment Google Wharf 7 à Sydney (Australie) a récemment été piraté. L’appareil Tridium est utilisé pour la visibilité et le contrôle de divers systèmes de gestion des bâtiments (SGB). En y accédant, le pirate obtient la visibilité et le contrôle de tous les systèmes de bâtiment connectés par le biais de l’appareil Tridium. Bien que cette exposition puisse être très préjudiciable, ce n’était pas le cas puisque le « pirate » s’avère être une entreprise de sécurité travaillant sur un projet visant à identifier la vulnérabilité Internet par rapport aux systèmes de contrôle industriel (SCI). Leurs intentions n’étaient pas malveillantes.
J’ai porté intérêt à cet article non dans le but d’en savoir plus sur la capacité de pirater un appareil de contrôle de systèmes de bâtiment, mais bien pour en savoir plus sur les préoccupations concernant la vulnérabilité des bâtiments intelligents qui utilisent un réseau convergent pour tous leurs systèmes de gestion des bâtiments (SGB).
Bien que la préoccupation relative aux accès non autorisés aux opérations liées aux bâtiments soit réelle, un réseau convergent mis en œuvre adéquatement dans un bâtiment intelligent est beaucoup moins vulnérable.
Les bâtiments de construction classique utilisent pour leurs solutions de SGB des réseaux variés et souvent non sécurisés. La qualité et la sécurité des réseaux se situent au bas de la liste des priorités, puisque la spécialité des entreprises de SGB consiste à offrir leurs solutions et non à suivre les meilleures pratiques de réseaux sécurisés et à prévenir les accès non autorisés. En fait, l’appareil Tridium qui a été piraté dans le bâtiment Wharf 7 était équipé d’une version obsolète du logiciel et n’utilisait pas toutes les mesures de sécurité conçues pour empêcher l’accès non autorisé. Des mesures telles que l’utilisation de mots de passe forts, d’une fonctionnalité de verrouillage ou d’un RPV avec pare-feu n’étaient pas appliquées. Vraisemblablement, le verrouillage de l’accès n’a pas été suffisamment pensé.
Les bâtiments intelligents ont plus recours à un réseau convergent de bâtiment partagé par le biais de solutions SGB, notamment pour les systèmes de chauffage, ventilation et climatisation (CVCA), d’éclairage, de sécurité et d’accès. Pour cette raison, le réseau est conçu pour être de niveau professionnel, ce qui comprend non seulement la fiabilité, mais aussi la sécurité. Ces réseaux convergents de bâtiments intelligents devraient présenter toutes les caractéristiques, notamment en matière de sécurité, d’un réseau servant au fonctionnement d’une entreprise. La société qui a piraté le bâtiment de Wharf 7 recherchait des périphériques connectés à Internet vulnérables et les a exposés aux risques. Un réseau de bâtiment intelligent correctement mis en œuvre et entretenu n’apparaîtrait même pas sur leur radar.
L’essentiel dans mon message est qu’il ne faut pas condamner les bâtiments intelligents et leur réseau convergent quand quelqu’un n’a pas appliqué les pratiques de sécurité appropriées. Après tout, même les mesures de sécurité les meilleures au monde ne pourront empêcher les accès non autorisés, si elles ne sont pas mises en œuvre adéquatement.