[{"term":"221","id":0,"type":"QUICKLINKS"},{"term":"Libraries_BA","id":1,"type":"QUICKLINKS"},{"term":"Notes d'application","id":2,"type":"QUICKLINKS"},{"term":"WAGO-I/O-PRO","id":3,"type":"QUICKLINKS"},{"term":"Bâtiment","id":4,"type":"QUICKLINKS"}]
[{"url":"/solutions","name":"Solutions","linkClass":null,"categoryCode":null},{"url":"/building","name":"Technique du bâtiment","linkClass":null,"categoryCode":null},{"url":"/building/bâtiment-intelligent","name":"Bâtiment Intelligent","linkClass":null,"categoryCode":null},{"url":"/building/bâtiment-intelligent/interview-cybersecurity-buildings","name":"La cybersécurité dans les bâtiments","linkClass":"active","categoryCode":null}]
Interview

« Notre position en matière de cybersécurité est encore trop faible. »

Norbert Pohlmann est professeur d'informatique pour les systèmes distribués et la sécurité des renseignements et directeur de l'Institut pour la sécurité de l'internet à l'université des sciences appliquées de Gelsenkirchen, en Westphalie.

Il explique que les entreprises spécialisées dans l'automatisation des bâtiments doivent de toute urgence mettre leur technologie de sécurité à la pointe du progrès. La cybercriminalité augmente et se professionnalise de plus en plus. Les attaques contre les systèmes informatiques et les structures informatiques complexes, comme c'est le cas dans les bâtiments, sont de plus en plus fréquentes et représentent une menace de plus en plus grande.

La criminalité informatique s'industrialise de plus en plus et atteint des niveaux de professionnalisme jamais vus auparavant. Comment cela affecte-t-il les bâtiments et, plus précisément, comment les attaques contre les systèmes d'automatisation des bâtiments sont-elles menées?

Norbert Pohlmann : Il est malheureusement vrai que toute technologie de l'information peut être attaquée. La sécurité à 100 % n'existe pas. Les bâtiments ont aujourd'hui des structures informatiques complexes qui contrôlent le chauffage, l'éclairage, les stores, les ascenseurs et d'autres systèmes. Tous les domaines peuvent être touchés.

Pouvez-vous nous donner un exemple?

Pohlmann : Nous avons piraté le système de chauffage d'un hôpital à titre de démonstration. Il s'agissait d'illustrer les failles de sécurité. Les exploitants de l'hôpital pouvaient ensuite corriger ces failles de sécurité, ce qui, à notre grande surprise, a pris plusieurs mois. Mais imaginez que nous ayons été de vrais pirates, que nous ayons eu l'intention de faire du chantage et que nous ayons menacé de désactiver complètement les systèmes de chauffage? Une autre possibilité concevable serait de provoquer la panique en baissant soudainement les stores ou en fermant les portes contrôlées électroniquement. Dans un hôpital, ces scénarios mettent des vies en danger. Cependant, il est également concevable que des pirates informatiques puissent, dans un premier temps, obtenir des renseignements sur un bâtiment et son infrastructure de sécurité, puis désactiver les caméras de sécurité de manière ciblée et cambrioler le bâtiment. D'autres menaces existent également. Les logiciels malveillants, par exemple, peuvent paralyser les systèmes, et les dispositifs en réseau tels que les caméras de sécurité peuvent être attaqués. Des milliers de ces dispositifs peuvent être reliés à des réseaux de zombies pour mener des attaques par déni de service afin de paralyser les serveurs web, par exemple.

Dans quelle mesure ces scénarios de risque sont-ils réels?

Pohlmann : C'est une réalité, et la menace augmente chaque année. La transformation numérique a apporté avec elle de plus en plus de systèmes et d'appareils dans les bâtiments qui sont reliés entre eux par des réseaux et couplés à l'Internet. Cela multiplie les points d'attaque potentiels. Il existe un dicton en matière de sécurité informatique – il n'y a que deux types d'entreprises : celles qui savent qu'elles ont été attaquées, et celles qui ne le savent pas encore. Officiellement, toutes les entreprises sont attaquées.

Qui sont les criminels?

Pohlmann : Ils couvrent un large spectre. Par exemple, les simples « script kiddies » (pirates adolescents) et les pirates en herbe veulent simplement essayer les outils de piratage disponibles gratuitement en ligne et remporter quelques victoires rapides. Un peu plus haut, il y a des bandes criminelles qui mènent des attaques pour gagner de l'argent. Le niveau le plus élevé est constitué par les pirates sanctionnés et financés par les gouvernements, dont le piratage sert des objectifs politiques. Ce processus s'apparente à une guerre à certains égards, mais une guerre non déclarée.

Vous avez dit que la sécurité à 100 % n'existait pas. Cela signifie-t-il que nous devrions jeter l'éponge?

Pohlmann : Non, bien au contraire. S'il est vrai qu'il est impossible d'atteindre une sécurité à 100 %, cela devrait être une incitation, et non une raison de se rendre. Il s'agit d'utiliser des solutions de sécurité informatique efficaces pour rendre la tâche des attaquants aussi difficile que possible. Cela signifie qu'il faut commencer par utiliser des outils et des méthodes conventionnels, comme les pare-feu et le chiffrement. Il s'agit également d'être aussi proactif que possible. Mais comme il y a toujours une faille quelque part, l'étape suivante consiste à reconnaître les attaques le plus rapidement possible, par exemple à l'aide d'un système de détection d'intrusion. Ainsi, lorsque j'identifie un intrus, je peux réagir et éventuellement arrêter les pirates au cours de l'attaque. Même si cela ne fonctionne pas, l'attaque peut être analysée pour éliminer la faille.

Outre les systèmes de sécurité techniques, qui peut vous aider?

Pohlmann : Les grandes entreprises devraient disposer d'une équipe d'employés qui forment une sorte de force opérationnelle en cas d'attaque. Ils pourront alors prendre rapidement toutes les décisions nécessaires. Il peut s'agir de retirer des systèmes du réseau ou de les mettre hors service pour mettre fin à une attaque. Un autre point important est la formation régulière des employés. Les employés doivent être informés des risques potentiels, car c'est le seul moyen de les prévenir.