Dans des pays comme les États-Unis, la croissance des bâtiments intelligents est estimée à 16.6% d'ici 2020 par rapport à 2014, bien que cette expansion ne se limite pas aux États-Unis mais se déroule plutôt à l'échelle mondiale.
Cette croissance est largement due au fait que nous vivons dans un monde de plus en plus imprégné de technologie, dans lequel l'automatisation des processus et la recherche de l'efficacité énergétique contribuent non seulement à la durabilité, mais aussi à la réduction des coûts - un objectif poursuivi dans toutes les industries, publiques et privées. ressemblent. Naturellement, le secteur de la construction ne fait pas exception, déclare Carey van Vlaanderen, PDG d'ESET Afrique du Sud.
Les bâtiments intelligents utilisent la technologie pour contrôler un large éventail de variables dans leurs environnements respectifs dans le but de fournir plus de confort et de contribuer à la santé et à la productivité des personnes à l'intérieur. Pour ce faire, ils utilisent ce que l'on appelle les systèmes d'automatisation du bâtiment (BAS).
Avec l'arrivée de l'Internet des objets (IoT), les bâtiments intelligents se sont redéfinis. Grâce aux informations qu'ils obtiennent des capteurs intelligents, leurs équipements technologiques sont utilisés pour analyser, prédire, diagnostiquer et maintenir les différents environnements qu'ils contiennent, ainsi que pour automatiser les processus et surveiller de nombreuses variables opérationnelles en temps réel. La température ambiante, l'éclairage, les caméras de sécurité, les ascenseurs, le stationnement et la gestion de l'eau ne sont que quelques-uns des services automatisables actuellement pris en charge par la technologie.
Pour mettre en perspective les possibilités de cette infrastructure intelligente, c'est l'exemple d'un bâtiment intelligent à Las Vegas où, il y a deux ans, ils ont décidé d'installer un système d'automatisation sophistiqué pour contrôler l'utilisation de la climatisation (en gardant à l'esprit que Las Vegas a un climat désertique chaud et très peu de pluie), il n'est donc activé que lorsqu'il y a des personnes présentes. Cette décision a conduit à une économie de 2 millions de dollars US au cours de la première année suivant l'installation du système intelligent, grâce à la réduction de la consommation d'énergie obtenue grâce à l'automatisation du processus. Marriott Hotels a mis en place un système similaire sur l'ensemble de la chaîne, qui devrait générer une estimation US $ 9.9m économies d'énergie.
Un autre exemple d'automatisation via des appareils intelligents est celui d'un supermarché au Royaume-Uni. Le magasin a installé un système intelligent dans son parking qui génère une énergie cinétique à partir du mouvement des voitures qui le traversent, puis utilise cette énergie pour alimenter les caisses.
À première vue, nous ne voyons peut-être aucun risque de sécurité dans ces bâtiments intelligents. Il est probable, cependant, qu'à un moment donné, l'ensemble du réseau intelligent soit connecté à une seule base de données, et c'est là que réside le risque. Surtout si l'on considère que de nombreux appareils IoT sont fabriqués par différents fournisseurs, qui n'ont peut-être pas prêté attention aux considérations de sécurité lors de leur processus de conception et de fabrication.
Possibilité d'attaque d'un bâtiment intelligent
Le risque qu'un incident de sécurité se produise dans un bâtiment intelligent est lié aux motivations des cybercriminels, qui cherchent principalement à réaliser des gains économiques grâce à leurs actions, ainsi qu'à impacter et semer la peur.
Il existe déjà des outils tels que Shodan qui permettent à quiconque de découvrir des appareils IoT vulnérables et / ou non sécurisés connectés publiquement à Internet. Si vous lancez une recherche à l'aide de l'outil, vous pouvez trouver des milliers de systèmes d'automatisation de bâtiment dans ses listes, avec des informations qui pourraient être utilisées par un attaquant pour compromettre un appareil. En février 2019, environ 35,000 systèmes d'automatisation de bâtiments dans le monde sont apparus à Shodan à la portée du public via Internet.
Cela signifie que quelqu'un pourrait prendre le contrôle d'un BAS après l'avoir trouvé grâce à une recherche. Si, par exemple, un criminel a utilisé Shodan pour attaquer des systèmes d'automatisation de bâtiments, il trouvera des adresses IP. S'ils copient ces adresses IP dans la barre d'adresse d'un navigateur Web, dans de nombreux cas, cela fera apparaître une interface pour accéder, où ils doivent entrer un nom d'utilisateur et un mot de passe. Si le mot de passe est un mot de passe par défaut ou s'il peut être facilement piraté par une attaque par force brute, l'attaquant aura accès au panneau de surveillance du système, qui contient des informations similaires aux entreprises situées dans le bâtiment intelligent.
Une fois que les attaquants ont accès à ces informations publiques et peuvent surveiller, par exemple, le fonctionnement de la climatisation, ils peuvent passer un appel téléphonique en faisant semblant d'être de la société de maintenance et dire qu'ils vont envoyer un technicien.
Dans le même temps, les attaquants pourraient demander un accès à distance, ce qui leur donnerait accès au serveur et leur permettrait de contrôler le bâtiment. Une fois qu'ils ont le contrôle, ils peuvent modifier le chauffage ou la climatisation du bâtiment ou ajuster le fonctionnement de l'un des autres systèmes automatisés, puis exiger le paiement d'une rançon en utilisant un système qui leur permet de rester anonymes, comme la crypto-monnaie, en échange de ne pas fermer le bâtiment.
Siegeware: une menace bien réelle
Les cybercriminels mènent déjà de telles attaques lorsqu'ils en ont l'occasion. Ce type d'attaque est un logiciel de siège, ou «la capacité activée par le code à faire une demande d'extorsion crédible basée sur une fonctionnalité de bâtiment altérée numériquement»
En conclusion, le faible coût des appareils IoT pour les bâtiments et les avancées technologiques des systèmes d'automatisation des bâtiments conduisent à des changements ayant un impact sur la sécurité. Cette tendance à l'automatisation et à l'utilisation d'appareils intelligents pour collecter des données - afin de donner plus de confort aux utilisateurs d'un bâtiment et d'utiliser plus efficacement des ressources telles que l'énergie - entraîne également des risques de sécurité accrus. En conséquence, la possibilité qu'un cybercriminel lance une attaque de ransomware sur un bâtiment intelligent est déjà une réalité.
Considérations à garder à l'esprit
Il y a un certain nombre de considérations et d'exigences de sécurité à garder à l'esprit:
- Revoir les spécifications de sécurité des appareils et travailler sur la base du concept de `` sécurité dès la conception ''
- Établissez un budget approprié pour la sécurité
- Choisissez des partenaires qui connaissent les problèmes de sécurité
- Installer un logiciel de gestion des vulnérabilités
- Assurer la coopération entre les différents domaines et / ou départements
Pour les problèmes opérationnels:
- Mettez régulièrement à jour les appareils
- Mettre en œuvre un plan de remplacement pour la fin du cycle de vie du support des appareils
- Faites preuve de précaution à l'égard des appareils connectés
- Surveiller les appareils connectés
