Interview

"Encore trop faible en matière de cybersécurité"

Norbert Pohlmann est professeur d'informatique pour les systèmes distribués et la sécurité de l'information et directeur de l'Institut de cybersécurité de l'Université de Westphalie à Gelsenkirchen.

Il explique que les entreprises spécialisées dans l'automatisation des bâtiments doivent moderniser de toute urgence leurs technologies de sécurité. La cybercriminalité est en augmentation et se professionnalise. Les attaques contre les technologies de l'information et les infrastructures informatiques complexes, telles que celles que l'on trouve dans les bâtiments, sont de plus en plus fréquentes et constituent une menace croissante.

La cybercriminalité connaît une industrialisation croissante et, par conséquent, un niveau de professionnalisation sans précédent. Comment cela se manifeste-t-il dans les bâtiments, et plus précisément : de quelles manières les attaques contre les systèmes d’automatisation des bâtiments sont-elles menées ?

Norbert Pohlmann : en principe, malheureusement, toute technologie de l'information est vulnérable. Il n'y a pas de sécurité à 100%. Aujourd'hui, les bâtiments disposent d'une infrastructure informatique complexe qui contrôle le chauffage, l'éclairage, les stores, les ascenseurs et d'autres systèmes. Cela peut toucher tous les domaines.

Pouvez-vous donner un exemple ?

Pohlmann : nous avons piraté le chauffage d'un hôpital à des fins de démonstration. Cela a servi à révéler des failles de sécurité. L'exploitant de l'hôpital a alors pu combler le manque, ce qui, contre toute attente, nous a pris plusieurs mois. Mais imaginez que ce soit de vrais hackers dans le but d'extorquer de l'argent, peut-être en menaçant de couper complètement le système de chauffage. Il est également possible de déclencher la panique en baissant les stores ou en fermant les portes à commande électronique. Dans un hôpital, de tels scénarios mettent des vies en jeu. Mais il est aussi possible que les auteurs d'infractions se procurent dans un premier temps des informations sur un bâtiment et ses installations de sécurité, puis déconnectent de manière ciblée des caméras de surveillance et commettent un cambriolage. Mais il y a aussi d'autres menaces. Par exemple, des logiciels malveillants qui peuvent paralyser les systèmes ou détourner des périphériques réseau tels que des caméras de surveillance. Des dizaines de milliers de ces appareils sont ensuite connectés pour former des botnets, qui peuvent être utilisés pour mener des attaques par déni de service, par exemple pour paralyser des serveurs web.

Dans quelle mesure de tels scénarios de danger sont-ils réalistes ?

Pohlmann : c’est tout à fait réel, et le risque augmente chaque année. Avec la transformation numérique, les bâtiments comportent de plus en plus de systèmes et d'appareils interconnectés via des réseaux et reliés à Internet. Cela augmente les points d'attaque potentiels. Dans le secteur de la sécurité informatique, on dit souvent qu'il existe deux types d'entreprises : celles qui savent qu'elles ont été attaquées et celles qui ne le savent pas encore. Toutes les entreprises sont publiquement attaquées.

Qui sont les auteurs de ces actes ?

Pohlmann : le spectre est large. Par exemple, il y a les simples script kiddies et les hackers en herbe. Ils veulent simplement tester des outils de piratage disponibles gratuitement sur Internet et obtenir des résultats rapides. Au-dessus d'eux se trouvent des bandes criminelles qui attaquent par appât du gain. Ce spectre s'étend jusqu'aux pirates informatiques financés par des États qui travaillent pour le compte de gouvernements afin d'atteindre des objectifs politiques. La situation prend alors un caractère belliqueux, sans pour autant qu'il y ait déclaration de guerre.

On dit que la sécurité à 100 % n'existe pas. Cela signifie-t-il abandonner ?

Pohlmann : non, bien au contraire. Il est vrai qu'une sécurité à 100 % ne peut être atteinte. Cela devrait être une motivation, et non une raison de capituler. L'objectif est de rendre la tâche aussi difficile que possible pour les attaquants grâce à des solutions de sécurité informatique efficaces. Dans un premier temps, cela signifie utiliser des outils et des méthodes courants tels qu'un pare-feu ou un cryptage. Il faut donc faire le plus de prévention possible. Mais comme il y a toujours une faille quelque part, la prochaine étape consiste à détecter les attaques le plus rapidement possible, par exemple avec un "système de détection d'intrusion". Une fois que j'ai identifié une attaque, je peux y répondre et peut-être arrêter les attaquants pendant une attaque. Si cela échoue, l'attaque peut au moins être analysée afin de corriger la vulnérabilité existante.

Outre les dispositifs de sécurité techniques, qui d'autre peut nous aider ?

Pohlmann : dans les grandes entreprises, il devrait y avoir une équipe d’employés qui forment une sorte de cellule de crise en cas d’attaque. Toutes les décisions seront alors prises par ce groupe de travail. Cela pourrait inclure, par exemple, la mise hors service ou l'arrêt de systèmes pour stopper les attaques. Un autre sujet important est la formation régulière du personnel. Les employés doivent être conscients des dangers potentiels, car c'est la seule façon de les éviter.

Quel est selon vous le rôle des fabricants ?

Pohlmann : ils portent une bonne part de responsabilité. Cependant, notamment en ce qui concerne les systèmes d'exploitation ou les applications bureautiques, domaines dominés par des entreprises américaines comme Microsoft, Apple, Google et autres, il est malheureusement fréquent que les logiciels soient délibérément maintenus non sécurisés. Les révélations d'Edward Snowden l'ont notamment révélé. Les entreprises allemandes dans le domaine de l'automatisation des bâtiments font bien de se forger un avantage concurrentiel en utilisant des technologies de sécurité actuelles et de le mettre en évidence. La cybersécurité revêt une importance croissante dans ce secteur également. Cette solution coûtera peut-être plus cher, mais les acheteurs l'apprécieront. Au final, ils devront dépenser moins pour moderniser leurs systèmes en matière de sécurité ou réparer les dommages.

Des exigences réglementaires seraient-elles judicieuses ici ?

Pohlmann : il en existe déjà plusieurs, les plus connues étant certainement celles destinées aux entreprises du secteur des infrastructures critiques. Il serait certainement bon que d'autres entreprises n'appartenant pas à ce groupe s'orientent vers ces normes. Cependant, je ne pense pas que des réglementations supplémentaires du côté politique soient nécessaires. Il serait souhaitable que les entreprises du secteur de l'automatisation des bâtiments unissent leurs forces pour créer des normes de sécurité communes. De telles coopérations permettent d'atteindre de nombreux objectifs et donc de mettre en œuvre une automatisation de bâtiment sûre et fiable.

À quoi ressemblerait pour vous un monde idéal, dans lequel les systèmes informatiques seraient beaucoup plus sécurisés ?

Pohlmann : en tant que scientifique, je vois que la recherche a au moins cinq ans d'avance sur les normes de sécurité actuelles dans l'économie. L'Allemagne est très bien placée dans la recherche en sécurité informatique ; par rapport aux autres pays européens, nous sommes à l'avant-garde. De plus, nous avons une industrie de la sécurité informatique très développée. Rien qu'en Rhénanie-du-Nord-Westphalie, il y a plus de 400 entreprises actives dans ce secteur. Cela signifie que les entreprises pourraient être nettement meilleures en matière de sécurité informatique qu'elles ne le sont actuellement. Compte tenu de leurs ressources, leur position est désavantageuse. Par conséquent, les entreprises doivent adapter plus rapidement leurs solutions de sécurité à l'état actuel des connaissances. Ce serait également avantageux d'un point de vue commercial. Car les coûts de réparation des dommages potentiels peuvent être considérables.

Monsieur Pohlmann, nous vous remercions pour cet entretien.

Norbert Pohlmann est un expert reconnu dans le domaine de la cybersécurité. Depuis 2003, il est professeur d'informatique pour les systèmes distribués et la sécurité de l'information dans le département informatique et directeur général de l'Institut pour la sécurité Internet - if (is) à l'Université de Westphalie à Gelsenkirchen. En outre, Pohlmann est entre autres président du conseil d'administration de l'association fédérale pour la sécurité informatique TeleTrust, membre du conseil d'administration de l'association de l'économie Internet eco et membre du conseil scientifique de la société pour la protection et la sécurité des données GDD et membre du comité de direction de l'initiative "Sécurité informatique dans l'économie" du ministère fédéral de l'Économie et de la Technologie.

https://norbert-pohlmann.com

Votre interlocuteur chez WAGO

Autres demandes:

En savoir plus sur la technique de bâtiment

Avec WAGO pour Smart Building

La numérisation et la mise en réseau offrent des possibilités et des défis. Un bâtiment intelligent doit fournir aux utilisateurs et aux opérateurs un environnement optimal et s'adapter à tout moment à leurs besoins. WAGO a les meilleurs produits et solutions pour cela.

Technique du bâtiment

Que vous prévoyiez l'installation et l'automatisation de l'éclairage dans votre immeuble de bureaux, modernisiez un système de chauffage, de climatisation et de ventilation ou que vous vous préoccupiez du sujet de l'automatisation : WAGO vous aide à répondre à vos besoins dans le bâtiment.