News & Insights
Cybersécurité pour la construction de systèmes : pourquoi votre réseau n’est peut-être pas la prochaine cible cybernétique
Cet article explore les nouveaux défis de cybersécurité auxquels les bâtiments sont confrontés et ce que les propriétaires de bâtiments devraient savoir en termes de protection contre ces vecteurs d’attaque.
La plupart des organisations accordent la priorité à la sécurisation de leurs réseaux contre les cybermenaces avec des protocoles robustes. Mais de plus en plus, ils doivent également envisager d’autres vecteurs d’attaque par le biais de systèmes de construction.
Les systèmes des bâtiments, qui sont souvent moins sûrs que les réseaux informatiques, peuvent être intentionnellement manipulés ou désactivés par des connexions qui existent à l’extérieur du réseau d’une organisation. Par exemple, si un acteur malveillant accède au contrôle numérique d’un système CVC, la climatisation d’une salle de serveurs (ou d’un centre de données) peut être désactivée, ce qui provoque une surchauffe des systèmes et une perturbation aussi grave qu’une attaque réseau.
Cet article explore les défis auxquels les bâtiments sont confrontés et ce que les propriétaires de bâtiments doivent savoir en matière de cybersécurité des systèmes de bâtiments.
Qu’est-ce qui rend les bâtiments vulnérables aux cyberattaques ?
L’innovation numérique a considérablement amélioré l’efficacité des opérations des bâtiments. Les systèmes de contrôle des bâtiments intégrés et interconnectés sont devenus indispensables pour assurer un environnement intérieur confortable, sécuritaire et très efficace. Cependant, l’accessibilité et le contrôle accrus sur des aspects critiques comme les systèmes de sécurité physique, le CVC, les alarmes incendie, les systèmes d’éclairage et l’alimentation électrique introduisent également des vulnérabilités qui doivent être corrigées.
Les systèmes du bâtiment étaient auparavant câblés avec des contrôleurs mécaniques, mais le passage aux systèmes de contrôle des bâtiments interconnectés signifie que plus d’appareils et de systèmes sont maintenant connectés à Internet, qu’ils soient ou non sur un réseau interne. Cette connectivité augmente la taille du système ouvert aux attaques et fournit de nouveaux et différents types de points d’entrée que les cybercriminels peuvent exploiter.
Les protocoles normalisés sont un autre problème. De nombreux systèmes de contrôle des bâtiments reposent sur des technologies qui ont été conçues en mettant l’accent sur la fonctionnalité plutôt que sur une sécurité robuste. Ces protocoles manquent souvent de fonctions de sécurité intégrées, ce qui permet aux attaquants d’obtenir plus facilement un accès non autorisé.
Un autre défi est que l’équipe des opérations qui gère les systèmes d’automatisation des bâtiments ne fait pas partie des équipes de TI ou de cybersécurité, ce qui crée une lacune dans la cybersécurité et une opportunité pour les acteurs malveillants. Par exemple, la plupart des contrôleurs d’automatisation des bâtiments d’aujourd’hui sont dotés d’une option de câblage ou d’une capacité WiFi. Si le contrôleur est installé et que le Wi-Fi n’est pas désactivé, un acteur malveillant peut y accéder pour créer des ravages. Les services de mise en service en cybersécurité de Salas O’Brien peuvent combler ces échappatoires et fournir une couche de sécurité supplémentaire pendant les phases de conception et de construction et tout au long de la durée de vie du bâtiment.
Pour remédier à ces vulnérabilités, les organisations doivent accorder la priorité à la cybersécurité dans leurs pratiques de gestion des bâtiments. Cela comprend la création du même niveau de mesures proactives que celles mises en œuvre sur les systèmes de réseaux informatiques pour atténuer les risques.
Types courants de cyberattaques sur les systèmes de construction
Voici quelques-unes des vulnérabilités répandues actuelles :
Accès et contrôle non autorisés
Les canaux de communication non sécurisés ou les vulnérabilités dans les systèmes de bâtiments en réseau peuvent fournir aux attaquants des moyens d’obtenir un accès et un contrôle non autorisés sur les infrastructures critiques. Une fois à l’intérieur, les cybercriminels peuvent modifier les paramètres et altérer les mécanismes de contrôle, les capteurs ou d’autres éléments critiques pour perturber les opérations du bâtiment, compromettre les protocoles de sécurité ou causer des dommages physiques.
Attaques par déni de service (DoS)
Dans une attaque DoS, les cybercriminels surchargent les systèmes de construction avec des demandes excessives ou du trafic malveillant, les rendant incapables de fonctionner correctement. En écrasant les ressources système ou en exploitant les vulnérabilités de l’infrastructure réseau, les attaquants peuvent perturber les opérations du bâtiment, entraînant des pannes de service, des mesures de sécurité compromises ou des pertes financières.
Menaces de logiciels malveillants et de ransomwares
Les systèmes de construction ne sont pas à l’abri des infections par des logiciels malveillants, qui peuvent avoir de graves conséquences. Les logiciels malveillants peuvent s’infiltrer dans les systèmes de contrôle des bâtiments, les réseaux de surveillance ou les logiciels de gestion, permettant aux attaquants de perturber les opérations, de manipuler les données ou même d’exiger des rançons pour restaurer le contrôle. Les attaques de ransomware ciblent spécifiquement les systèmes de construction pour crypter les données critiques ou verrouiller les administrateurs, en tenant la fonctionnalité en otage jusqu’à ce qu’une rançon soit payée.
Atteintes à la protection des données et préoccupations relatives à la protection de la vie privée
Les systèmes de construction traitent souvent des données sensibles, telles que des images de surveillance, des journaux de contrôle d’accès ou des données de surveillance environnementale. Une violation réussie de ces systèmes peut entraîner la compromission de renseignements personnels, l’accès non autorisé à des zones sécurisées ou des violations des règlements sur la protection de la vie privée. Les cybercriminels peuvent exploiter les vulnérabilités dans le stockage de données, le faible cryptage ou les logiciels non corrigés pour obtenir un accès non autorisé à des informations sensibles.
Défis pour les immeubles à locataires multiples
Il y a une lacune pour les propriétaires d’immeubles qui ont des situations de locataires multiples. Bien que l’immeuble puisse fournir Internet à leurs locataires, ils comptent souvent sur le locataire pour le verrouiller.
Que peuvent faire les organisations pour améliorer la cybersécurité de leur bâtiment ?
La cybersécurité pour les systèmes de construction est une question de gestion des risques et utilise bon nombre des mêmes stratégies utilisées pour protéger les systèmes informatiques. Voici quelques considérations clés pour réduire les risques :
Mettre en œuvre des protocoles solides pour les systèmes de gestion des bâtiments (BMS)
La faiblesse des mécanismes d’authentification, tels que les mots de passe simples ou les informations d’identification partagées, facilite l’exploitation des vulnérabilités du système par les cybercriminels. En outre, si le logiciel ou le micrologiciel BMS n’est pas régulièrement mis à jour avec des correctifs de sécurité, il peut contenir des vulnérabilités connues. La mise en œuvre de protocoles de sécurité solides pour l’authentification, les correctifs et les mises à jour peut aider à protéger les systèmes.
Créer une segmentation dans le réseau
Si le BMS est connecté au réseau sans mesures de sécurité adéquates, il devient susceptible aux attaques de l’intérieur du réseau. Même si le BMS est sur son propre réseau, il y a eu des cas où les cybercriminels ont accédé au réseau informatique en « sautant l’écart » entre les deux. Il est important que votre système dispose des pare-feu ou des segmentations de réseau appropriés pour empêcher les cybercriminels d’accéder au réseau informatique via le BMS.
Éduquer les employés sur les logiciels malveillants et les attaques d’hameçonnage
Bms peut être compromis en ciblant le personnel responsable de la gestion ou de l’exploitation du système. Si un utilisateur sans méfiance ouvre une pièce jointe malveillante ou clique sur un lien d’hameçonnage, cela pourrait entraîner l’installation de logiciels malveillants sur le réseau BMS, permettant un accès non autorisé. De nombreux employés participent à une formation sur les logiciels malveillants et le phishing, de sorte que l’ajout d’une section sur la façon dont les systèmes BMS sont également vulnérables à ces attaques est une stratégie simple d’atténuation des risques.
Soyez conscient de l’intégration avec des systèmes tiers
Certains systèmes de construction se connectent à leur fabricant pour les mises à jour et la facilité de dépannage, mais ces connexions exposent votre bâtiment à toutes les vulnérabilités dans ces systèmes. Il est essentiel de s’assurer que tous les systèmes intégrés maintiennent des mesures de sécurité robustes. La mise en service continue peut protéger les entreprises en passant par les systèmes sur une base continue pour alerter des vulnérabilités.
Planifier des évaluations et des vérifications de sécurité régulières
Effectuer des vérifications périodiques et des évaluations de la sécurité des systèmes de l’immeuble afin de cerner les vulnérabilités et les faiblesses. Les exercices de tests d’intrusion peuvent simuler des scénarios d’attaque réels, aidant les organisations à identifier et à combler les failles de sécurité potentielles.
Salas O’Brien aide les organisations à développer des programmes solides de cybersécurité pour les systèmes de bâtiments. Nous offrons des évaluations, des audits et des tests; la conception et la mise en œuvre des systèmes; services de mise en service et de surveillance continue. Nous pouvons vous aider à combler les failles de sécurité dans les systèmes de votre bâtiment et à protéger votre organisation contre les cyberattaques. Vous voulez parler de cybersécurité pour vos technologies opérationnelles? Contactez [email protected]
Pour les demandes des médias sur cet article, contactez [email protected].
Solutions en cybersécurité industrielle
Alors que les cyberattaques contre les technologies de l’information (TI) causent des dommages aux entreprises et aux organisations en perturbant les données et les communications, les attaques contre les technologies opérationnelles (TO) causent des dommages aux systèmes physiques dans le monde réel.
Notre rapport couvre :
- Ce qui rend l’ERGO vulnérable aux cyberattaques.
- Audits de sécurité et évaluations de la vulnérabilité
- Cadres d’architecture Zero Trust
- Applications de pare-feu et sécurité des points de terminaison
Steve Carroll, MBA
Steve Carroll est vice-président et directeur de la mise en service chez Salas O’Brien. En tant qu’autorité de mise en service, Steve identifie les questions potentielles avant qu’elles ne deviennent des problèmes et augmente la valeur pour ses clients. Il est également spécialisé dans la cybersécurité des systèmes de construction, assurant la surveillance des systèmes afin de sécuriser les vecteurs d’attaque alternatifs. En tant que dirigeant, Steve se concentre sur le mentorat, l’accompagnement professionnel et le développement de son équipe afin de parvenir à une amélioration continue. Il est titulaire d’une maîtrise en administration des affaires et d’un baccalauréat ès sciences en génie. Vous pouvez le contacter à [email protected].
Dan Vogt, MBA, TEC
Dan Vogt a plus de 30 ans d’expérience dans le domaine des technologies de l’information (TI), principalement à des postes de direction dans des entreprises internationales aux activités multiples. Son expérience est variée et englobe diverses industries, des acquisitions et des fusions, la conformité, la sécurité, les centres de données et la création de logiciels et de matériel propriétaires et innovants. Dan reste au fait des tendances et des pratiques de sécurité dans le domaine des TI en participant à des associations régionales, nationales et internationales. Vous pouvez le contacter à [email protected].
