Numérique responsable : l’indispensable sécurité numérique

Rédigé par

Communication CERTIVEA

Direction de la communication

1549 Dernière modification le 09/04/2021 - 20:05
Numérique responsable : l’indispensable sécurité numérique

 

COMMENT CONCILIER TRANSITIONS NUMÉRIQUE ET ENVIRONNEMENTALE ? 
Découvrez notre série de trois articles dédiés au Numérique responsable et à son articulation avec le Bâtiment durable.

 

3ème article : Numérique responsable : l’indispensable sécurité numérique

 

Dans nos deux premiers articles dédiés au Numérique responsable, nous avons évoqué les principes de sobriété, de performance énergétique, de mutualisation des équipements et de partage des données, qui sont nécessaires à une mise en œuvre optimisée et vertueuse du numérique. Le dernier article de notre série est consacré à un troisième volet qui est tout aussi important : protéger les systèmes des attaques, mais aussi concilier la collecte et l’analyse des données du bâtiment avec un cadre permettant d’assurer la sécurité des données de l’entreprise (clients inclus) et de ses collaborateurs. La protection de ces données et la lutte contre les cyberattaques constituent en effet des enjeux stratégiques pour le développement et l’adoption des solutions offertes par le bâtiment intelligent. Qui plus est, cette période exceptionnelle de pandémie planétaire, marquée par la hausse du recours au numérique, questionne de façon accrue cet aspect de sa mise en œuvre.

Selon le Baromètre Stormshield-Usine Nouvelle[1] publié en décembre 2020, 61 % des personnes interrogées reconnaissent que les événements récents (crise sanitaire, mouvements sociaux) ont changé la perception de l’importance de la transformation numérique pour assurer la continuité des activités. Cependant, le développement des solutions digitales est allé de pair avec la croissance du cybercrime et des cyberattaques. Selon la même étude, 57 % des entreprises déclarent avoir connu au moins une cyberattaque en 2020, tandis qu’¼ des organisations n’a eu d’autre choix que de faire des concessions en matière de cybersécurité pour assurer la continuité d’activités. Le baromètre 2020 du CESIN[2] confirme que la crise sanitaire a apporté de nouveaux risques (35 % d’augmentation des risques lui sont liés, dont 37 % sont attribués à la généralisation du télétravail) et indique que 58 % des cyberattaques ont eu des conséquences avérées sur le business, avec des perturbations sur la production dans 27 % des cas. Les entreprises n’étaient visiblement pas toutes prêtes à faire face à ces risques : 6,6/10, c’est la note moyenne d’évaluation du degré de préparation des entreprises et organisations pour cyber-risques induits par la transformation numérique.[3] Par ailleurs, l’infrastructure personnelle du salarié devient une préoccupation pour l’entreprise : les terminaux mobiles et les services de partage de documents ne sont toujours pas suffisamment sécurisés pour respectivement 33 et 21 % du panel. Les observateurs du secteur s’accordent globalement pour dire que les évolutions rendues nécessaires par la situation sanitaire actuelle ont accéléré la prise de conscience de l’importance des sujets de sécurité numérique et 43 % des entreprises se disent prêtes à augmenter leurs budgets pour affronter ces aléas.

Il apparaît ainsi que l’aspect connecté et communicant, devenu incontournable, n’est pas uniquement un socle technologique apporté au bâtiment permettant le développement anarchique des solutions numériques. Il nécessite des garde-fous à mettre simultanément en place dans le cadre d’un management responsable des activités de toute organisation.

Des systèmes ouverts mais protégés 

Nous recommandons qu’un bâtiment connecté et communicant s’appuie sur un système ouvert et interopérable, c’est-à-dire en capacité d’assurer des échanges de données entre les équipements. Se pose dès lors la question de la gestion du risque, et notamment du risque d’interruption d’activité. « Un système ouvert, interopérable lorsqu’il est bien fait n’a pas pour corollaire la baisse du niveau global de sécurité du système », explique Armand Heslot, ingénieur au Service de l’expertise technologique de la Commission Nationale de l’Informatique et des Libertés (CNIL).[4] « C’est en réalité l’inverse car un système ouvert peut être vérifié par de nombreux tiers, de façon plus précautionneuse. De facto, le système qui en résultera sera mieux sécurisé », poursuit l’ingénieur.

Le volet cybersécurité nécessite trois éléments, qui figurent dans le référentiel du Label R2S et son cadre de confiance numérique, et qu’il est important de mettre en place dès la conception du bâtiment : la sécurité des réseaux et systèmes du bâtiment, les procédures de sécurité réseau ainsi que la sécurité d’accès aux services. Dans un bâtiment intelligent performant, il est donc possible d’intégrer des éléments techniques en toute sécurité, avec notamment l’élaboration d’une procédure de gestion des risques, permettant de gérer les droits d’accès et la connexion aux services. Sont également demandés : une procédure pour gérer et résoudre les incidents, et l’accès aux équipements (cela peut se faire avec des mécanismes d’authentification, de routage conditionnel ou de chiffrement des communications). Chaque équipement peut aussi être isolé dans un réseau virtuel (VLAN) ce qui permet de gagner en sécurité en séparant les réseaux. Par ailleurs, l’adhésion des occupants est prise en compte à travers des actions de sensibilisation sur ses sujets et sur les procédures à mettre en œuvre.

À ne pas perdre de vue non plus : une sécurité numérique bien encadrée,  qui donne notamment les moyens de lutter contre les cyberattaques, est aussi un élément différenciant et valorisable à l’échelle du marché de l’immobilier.

Respect de la vie privée : adopter les innovations en confiance

Outre l’absence de cyberattaques, la confiance des occupants d’un bâtiment connecté et intelligent sera aussi renforcée par l’encadrement du traitement de leurs données personnelles. L’enjeu est de protéger ces données en établissant leurs modalités de gestion et de conservation. Cette protection doit notamment reposer sur la conformité aux règles de la CNIL et au Règlement Général sur la Protection des Données (RGPD) applicable depuis le 25 mai 2018 en France et en Europe. « Clairement, les produits qui ne sont pas en conformité avec la réglementation et qui ne donnent pas confiance auront des difficultés à s’imposer sur le marché. Cela devient un critère concurrentiel », estime Armand Heslot[5]. « Les règlements n’ont pas vocation à empêcher les entreprises de traiter des données, ni à les freiner dans la création de nouveaux services, mais ont pour but que les utilisateurs adoptent les innovations et propositions de services dans le respect de leur vie privée. C’est un enjeu fort ! ».

Le Label R2S-Ready2Services intègre ces exigences, qui ont une importance majeure pour respecter l’éthique numérique qu’attendent légitimement les utilisateurs  pour être en confiance. Le référentiel propose un cadre de confiance numérique permettant la clarification du cadre juridique des opérations, en établissant la propriété de l’infrastructure réseau du bâtiment et en définissant qui est légalement propriétaire des données du bâtiment. Le cadre de contractualisation sur les services fournis par le bâtiment, notamment sur le niveau de services ou le fonctionnement en mode dégradé, est également pris en compte et valorisé le cas échéant.

Comme nous venons de le voir à travers les trois articles de notre série dédiée au Numérique responsable dans le Bâtiment, le numérique reste bien un moyen et non une fin en soi. Ses nombreux impacts (environnementaux, sociétaux, économiques) dépendent de sa mise en œuvre et de ses usages. La conception et l’utilisation des équipements, des réseaux ou des centres de données, sans oublier la consommation de ressources plus ou moins rares, impliquent des besoins conséquents en énergie et des émissions de gaz à effet de serre importantes. Avoir une utilisation non raisonnée du numérique peut mener à l’aggravation de ces impacts. C’est pourquoi, nous recommandons de respecter un certain nombre de principes clés :

  • La sobriété, en visant un numérique pertinent, qui répond aux réels besoins du bâtiment et de ses occupants. Cela permet de mettre de côté les technologies ou services superflus qui ne feraient qu’augmenter les bilans environnemental et économique ;
  • L’efficacité, une fois les usages pertinents détectés, en choisissant des solutions adaptées aux attentes (rénovation globale, régulation, sensibilisation…) qui permettent de réduire les consommations énergétiques du bâtiment et de ses équipements ;
  • L’interopérabilité, en déployant des solutions ouvertes et standardisées, adoptées par le marché, afin qu’elles perdurent dans le temps et soient facilement remplaçables ;
  • La sécurité numérique, afin de lutter contre les cyberattaques et d’encadrer le traitement des données.

Autant d’objectifs qui peuvent être atteints grâce à la mise en œuvre du label R2S de Certivea dans les projets immobiliers. En savoir plus : r2s.certivea.fr

 

 

[1] Baromètre de la transformation numérique et de la cybersécurité 2020 Stormshield/L’Usine Digitale. Il est basé sur une enquête effectuée de juillet à septembre 2020 auprès de 217 décideurs issus de directions SI/Digital/Numérique et de directions métiers, de tous secteurs d’activité et de toutes tailles d’entreprises.
[2] Étude réalisée par Opinion Way auprès d’un échantillon de 228 membres du CESIN, à partir du fichier des membres du CESIN. Les interviews ont été réalisées entre le 7 décembre 2020 et le 11 janvier 2021
[3] Baromètre Stormshield-Usine Nouvelle. Les chiffres suivants mentionnés dans le paragraphe sont tous issus de ce baromètre.
[4] et [5] Livre Blanc “Le numérique au service des occupants et du bâtiment”, Certivéa, juin 2018.

Partager :