Actualité • 23 February 2022
La gestion technique et l’exploitation d’un bâtiment tertiaire s’appuient sur un nombre croissant de systèmes qui tendent à adopter le protocole Internet. En adoptant ce protocole de communication, les concepteurs cherchent à faciliter l’interopérabilité et l’intercommunication entre les systèmes pour améliorer la qualité des services rendus aux locataires et usagers de l’immeuble. Cet avantage n’est pas sans risque puisque ces systèmes deviennent donc communicants hors des murs de l’immeuble. L’usage du protocole Internet les expose donc au risque de cyberattaque.
Pour parler de cybersécurité des systèmes d’information bâtimentaires, il convient de définir d’abord ce qu’est un système d’information bâtimentaire.
Nous proposons ainsi de considérer 3 familles de systèmes:
- Les systèmes d’information bâtimentaires ;
- Les services digitaux aux usagers du bâtiment ;
- Les systèmes d’information de gestion du bâtiment.
Dans cette approche, les systèmes d’information bâtimentaires sont définis comme étant les systèmes d’information, dont tout ou partie des éléments actifs essentiels sont physiquement dans le bâtiment, qui concourent à la maintenance, à la sécurité et à la sûreté, à la connectivité, aux objectifs RSE et à l’exploitation de l’immeuble. Cette définition englobe notamment: la gestion technique du bâtiment (GTB), les ascenseurs, la gestion de la performance énergétique (GTPE), les systèmes IOT**, le système de sécurité incendie (SSI), le contrôle d’accès, la vidéo protection, la visio-interphonie, le GSM indoor* et le wifi, le système de comptage des places de parking, l’installation de recharge des véhicules électriques (IRVE), les caisses de paiement du parking, l’arrosage automatique.
Les services digitaux aux usagers comprennent des applications locales ou SaaS liés à des services comme notamment l’imprimante partagée, la gestion des salles de réunion, l’espace de coworking, le restaurant d’entreprise, la conciergerie, les mini-boutiques, la réservation de places de parking. Ce sont en clair des systèmes ayant une interface avec l’usager du bâtiment.
Enfin, les systèmes de gestion du bâtiment comprennent par exemple l’outil de ticketing de la maintenance, les compteurs de fluides connectés, la gestion de la maintenance (GMAO),l’outil de modélisation de bâtiments (BIM) ou la main courante informatique du poste de sécurité. En d’autres termes, ce sont les applications auxquelles l’usager du bâtiment n’a pas accès directement.
Cette définition permet ainsi de préciser les limites de compétences dans la gestion de cybersécurité du bâtiment. Les systèmes d’information bâtimentaires sont finalement un ensemble de systèmes physiquement très ancrés dans le bâtiment dont les caractéristiques le rapprochent des systèmes industriels. Les autres systèmes, bien que destinés à contribuer au fonctionnement du bâtiment, restent proches des systèmes que connaissent les DSI (exemple: application connectée).
Icade a ainsi choisi de développer une expertise dédiée aux systèmes d’information bâtimentaire au plus proche des opérations, au sein de la foncière tertiaire et non au niveau de sa DSI.
Les stratégies de propriété et de gestion sont diverses : propriétaire occupant, monolocataire, multi-locataires, bâtiment exploitant en code du travail, en ERP ou de manière mixte, maintenance et gestion internalisée ou externalisée, etc. Il est vraisemblablement difficile de réduire les bâtiments à un profil-type. Malgré tout, pour un système d’information bâtimentaire, on peut considérer 3 types d’utilisateurs : l’intégrateur qui conçoit et installe le système, le mainteneur qui en assure le maintien en condition opérationnelle et l’opérateur qui l’exploite dans le cadre de sa mission. Que ces utilisateurs soient un ou plusieurs, internes ou externalisés, il convient de fixer le cadre de leur contribution dans le dispositif de cybersécurité du système.
Le sujet étant émergeant, cette démarche implique un effort notable d’acculturation des prestataires. Cela commence par l’adaptation du contrat pour y inclure des exigences et objectifs à atteindre. Icade a ainsi commencé à exprimer ses objectifs de cybersécurité en termes de maintenance et de gestion des incidents, de gestion des actifs informatiques, de gestion des accès physiques, de gestion des accès logiques***, de gestion des vulnérabilités et des correctifs, de maintien en condition de sécurité. Les prestataires, pour leur part, formalisent leur contribution par l’intermédiaire d’un plan d’assurance sécurité.
Dans un environnement où des intercommunications se créent entre les systèmes du bâtiment et ceux des locataires, Icade continue d’innover en renforçant la résilience du bâtiment et en assurant un environnement informationnel sain à ses locataires. Pour cela, chaque acteur a, selon son rôle dans l’utilisation des systèmes, une pierre à apporter !
*Le «GSM indoor» est un réseau de bornes GSM installé à l’intérieur du bâtiment pour palier la faiblesse des signaux provenant de l’extérieur dans certains bâtiments.
**Un système IOT est un réseau de capteurs connectés permettant notamment d’automatiser certaines fonctionnalités du bâtiment (régulation de la température, reporting du taux d’occupation, allumage des lumières, etc.)
***Les accès logiques sont des dispositifs permettant de restreindre l’utilisation d’un système d’information (exemple: login et mot de passe au déverrouillage d’un ordinateur).