Enjeu majeur dans le secteur de l’immobilier, la cybersécurité est au cœur de toutes les attentions, et notamment au sein de la Smart Building Alliance (SBA), la plus grande alliance professionnelle des acteurs du smart building, qui considère le sujet comme étant une de ses priorités pour aujourd’hui et pour les années à venir. Interview du fondateur du cabinet Upstairs Stories & Strategies pour le blog de la SBA.
Enjeu majeur dans le secteur de l’immobilier, la cybersécurité est au cœur de toutes les attentions, et notamment au sein de la SBA qui considère le sujet comme étant l’une de ses priorités pour aujourd’hui et pour les années à venir. Interview.
Quand avez-vous été confronté à l’insécurité numérique pour la première fois ?
OS – C’était il y a 4 ans, au cours de la visite d’un immeuble, je me suis aperçu que les mots de passe des contrôleurs sur le réseau GTB étaient tous identiques : ils étaient malencontreusement restés sur les paramétrages par défaut ! Ensuite, j’ai pu constater que je pouvais modifier le nom d’un écran de gestion de confort dans une des salles de réunion en entrant dans le local du mainteneur et en modifiant au clavier un simple réglage. Si la faille n’est pas critique, l’écran de gestion du confort s’appelle toujours « Test Olivier » : personne n’a corrigé la modification depuis ! Cette insécurité numérique est une réalité et nous sommes très attentifs à la prendre en compte.
L’immobilier résidentiel et tertiaire sont-ils tous les deux concernés ar les risques de piratage
OS – Oui, mais pas dans la même mesure. Le risque de piratage dans l’immobilier résidentiel vient avant tout des objets connectés, que les habitants possèdent, toujours plus nombreux. Ces objets connectés ont souvent conservé le mot de passe établi par défaut à l’usine : rien de plus facile d’y accéder depuis l’extérieur, et de prendre le contrôle d’une caméra par exemple. Dans l’immobilier tertiaire, les cas de piratage sont heureusement moins fréquents mais aux conséquences économiques potentiellement dévastatrices : imaginons un piratage de la climatisation d’une salle serveur la veille d’une remise de réponse à un appel d’offres.
Quels sont les points à surveiller en matière d’intrusion numérique dans un smart building ?
OS – L’intrusion numérique ne vient pas forcément d’un pirate qu’on imagine dans un pays lointain. À l’ère des réseaux sans fil, nombreux dans un bâtiment intelligent, elle peut se faire par un drone volant à proximité et interceptant des échanges entre des commandes et des équipements. Ou bien, dans l’immobilier tertiaire, au sein même du bâtiment, par des visiteurs ou des employés malveillants. C’est donc pour cela qu’il est de la responsabilité de toutes les parties prenantes de s’assurer de la sécurisation systémique du smart building : le promoteur, le propriétaire comme le preneur. Cette tâche concerne à la fois les équipements, les réseaux, les interconnexions, les accès et la complexité des bâtiments peut nécessiter le recours à un AMO spécialisé.
5G, outils connectés, smartphones, télétravail… Le besoin de sécuriser les données est-il devenu indispensable ?
OS – Rappelons pour commencer qu’il s’agit d’une obligation légale. Car sécuriser les données, c’est aussi protéger les données personnelles et sensibles. C’est un sujet sur lequel nous sommes particulièrement vigilants, parce qu’il s’agit d’un sujet qui peut détruire la confiance dans le bâtiment intelligent, à raison !
Ensuite, si cette sécurisation des données est indispensable face au risque juridique, économique et réputationnel, elle est aussi utile : elle oblige à repenser nos usages du numérique et elle permet de lutter contre l’infobésité. Des flux de données maîtrisés, c’est moins de données inutiles, une plus grande sobriété énergétique de nos nouveaux modes de travail. Et puis des consignes simples et claires pour la sécurité numérique, c’est tout simplement moins de stress pour les collaborateurs !
Selon vous, comment se traduit l’engagement de la SBA vis-à-vis de la cybersécurité ?
OS – L’intérêt de la SBA sur la sécurité numérique a commencé très tôt. Le référentiel Ready2Services, dès les premiers travaux en commission, a identifié ce sujet et en a fait un thème à part entière à traiter pour obtenir les précieuses étoiles du label R2S. Et il est intéressant de noter que ce thème aborde à la fois la sécurité des réseaux et systèmes du bâtiment, et la protection des données personnelles. C’est sans doute la culture européenne de la SBA qui a positivement influé sur cette approche holistique, sur les objets et sur les utilisateurs.
Le label R2S accorde-t-il assez d’attention à la cybersécurité ?
OS – La cybersécurité est une gestion du risque : on peut toujours aller plus loin. Mais la démarche portée par ce label est un tel progrès que nous pouvons déjà nous satisfaire qu’il existe. Il place haut les exigences portées à l’immobilier et au bâtiment.
Aujourd’hui, peut-on considérer qu’un mètre carré cyberscéurisé a plus de valeur qu’un autre qui ne l’est pas.
OS – Oui, mais j’ai la conviction que cette différence sera plus forte demain et qu’elle sera en partie quantifiable. À travers l’effet de cette cybersécurisation sur la prime d’assurance, notamment. C’est un sujet sur lequel nous pouvons déjà accompagner nos clients qui prennent conscience de l’enjeu. Une autre partie de la valeur du mètre carré cybersécurisé est difficilement quantifiable, il s’agira plutôt d’éviter la perte de valeur des mètres carrés mal sécurisés.
L’immobilier « cybersécurité » est-il en passe de devenir le nouvel Eldorado des investisseurs ?
OS – Je ne pense pas. Mon intuition est qu’il s’agira plutôt d’un must-have. Pour un investisseur, quelle est la probabilité que son portefeuille de quelques dizaines de milliards d’euros d’actifs immobiliers suscite l’intérêt d’une organisation malveillante ? Le développement des bâtiments connectés est une réalité, accélérée par le développement des nouveaux usages numériques dans le monde du travail. Et la nécessité de leur sécurisation va l’être tout autant.