Ma technique de sécurité est-elle également équipée contre les cyber-attaques ?

Les systèmes de sécurité physique doivent être sûrs - même en ce qui concerne les cybermenaces. C'est pourquoi l'association SES a réagi en publiant un nouveau guide. 

Edi Lehmann et Roger Hiestand, groupe de travail Cyber-Security de l'Association suisse des constructeurs de systèmes de sécurité (SES) : Il faut également tenir compte de l'évolution constante de la technique et de la transformation numérique dans notre secteur. Dans la technique du bâtiment, les différents corps de métier tels que le contrôle d'accès, la vidéosurveillance, la protection contre les effractions ou les incendies sont reliés entre eux par un système de gestion. Ainsi, la sécurité physique doit également répondre aux exigences de la cybersécurité. C'est pourquoi l'association SES et le groupe de travail chargé de cette tâche ont commencé il y a quelque temps à élaborer un nouveau guide de la cybersécurité. Ce document est une aide pour les intégrateurs de systèmes de sécurité, mais pas pour un centre de données complexe. Le document, petit et pratique, montre de manière simple et compréhensible comment les installations de sécurité peuvent être préparées à la cybersécurité grâce à des mesures techniques et organisationnelles.

Le guide n'aborde pas les différentes techniques de sécurité. Pourquoi ? 

L'objectif premier est de sensibiliser le secteur. Nous avons déjà atteint un premier objectif lorsque tant le fournisseur de techniques de sécurité que le planificateur et, en fin de compte, l'utilisateur se demandent ce qui doit être protégé et comment. Dans un deuxième temps, il s'agit de segmenter le réseau : les transitions qui se créent entre les différents corps de métier de la technique du bâtiment permettent de contrôler et d'empêcher efficacement les connexions (voir illustration "Segmentation du réseau"). Enfin, il faut encore protéger le point final, c'est-à-dire par exemple la caméra de vidéosurveillance ou le système d'alarme incendie lui-même. Depuis longtemps, il ne suffit plus de travailler avec un logiciel antivirus.

Quels sont les domaines des différentes technologies de sécurité qui ont une longueur d'avance en matière de cybersécurité ? 

Une forte sensibilisation a eu lieu ces dernières années dans l'industrie vidéo, mais aussi au niveau des plates-formes de gestion. En principe, tous ceux qui sont passés depuis longtemps de l'analogique au numérique se sont engagés dans cette voie. En effet, la protection contre les cyber-attaques devient logiquement pertinente. Tous les intégrateurs de systèmes de sécurité devraient aujourd'hui se pencher sur ce sujet, car leurs solutions sont presque toujours intégrées dans un réseau.

L'association SES n'aurait-elle pas dû aborder le sujet plus tôt ? 

Mieux vaut tard que jamais ! Ce n'est pas une si mauvaise chose que l'association ait attendu. La sécurité informatique est un sujet récent et la prise de conscience n'est pas encore aussi grande. Il est encore souvent négligé sous prétexte que "nous ne sommes pas intéressants pour les pirates". Pourtant, les cybercriminels n'agissent pas toujours de manière ciblée, mais disséminent des programmes malveillants au hasard. Les différents cas qui ont été rendus publics ces derniers temps mettent clairement en évidence cette problématique. L'industrie de la sécurité doit également s'en préoccuper davantage et concevoir ses solutions en conséquence.

La fusion des technologies de l'information et de la sécurité est un grand pas en avant. défi, peut-on lire dans le guide. Qu'est-ce que cela signifie pour chaque installateur de systèmes de sécurité ? 

Les réseaux classiques d'autrefois n'existent plus. Autrefois, on disait "never touch a running system". Aujourd'hui, c'est le contraire : si l'on n'intervient pas sur les systèmes existants, la situation peut devenir très critique. Car sans gestion des correctifs (correction d'un programme) et mises à jour, que le fabricant de techniques de sécurité doit proposer, rien ne va plus. Auparavant, il s'agissait de systèmes isolés, qui n'étaient pas intégrés dans un réseau d'entreprise.

Mais avec la mise en réseau - la surface d'attaque pour les pirates informatiques s'agrandit inévitablement - cela a radicalement changé et les éventuelles fuites de sécurité doivent être rapidement corrigées. La technique de sécurité, c'est-à-dire la technologie opérationnelle (Operational Technology, OT), doit également pouvoir garantir cela.

Un autre point est important : la durée de vie différente des technologies de l'information (TI) et des techniques de sécurité. L'informatique évolue très rapidement et est régulièrement renouvelée. En revanche, la durée de vie de la technique de sécurité est plus longue. L'intégrateur de système doit en tenir compte, car sa technique de sécurité doit pouvoir continuer à communiquer en toute sécurité avec l'informatique, même si celle-ci est mise à jour.

La question de la responsabilité n'est pas abordée dans le guide SES. Pourquoi ? 

L'installateur d'installations de sécurité doit certes, comme nous l'avons dit, fournir automatiquement des correctifs à l'utilisateur afin de combler rapidement les lacunes de sécurité. Mais en ce qui concerne la responsabilité, le nouveau guide SES précise d'emblée : "Le principe de base est que la responsabilité de l'utilisateur est engagée.

La responsabilité de l'autoprotection incombe aux entreprises et organisations concernées". Le risque incombe donc en principe à l'exploitant d'une installation. Nous ne nous prononcerons pas davantage sur la thématique de la responsabilité dans le guide.

Le thème de la cybersécurité est-il inclus dans les contrats de maintenance ?

Dans ce domaine, le secteur de la sécurité a encore un peu de retard à rattraper et la thématique de la cybersécurité devrait être davantage réglée par des contrats de maintenance. C'est aussi une chance pour les petites entreprises d'installation, car elles peuvent offrir à leurs clients des possibilités de maintenance appropriées, ce qui renforce la fidélisation de la clientèle.

Nous souhaitons encore souligner qu'un technicien d'un fournisseur de sécurité doit aujourd'hui disposer d'un grand savoir-faire dans le domaine des réseaux, car il doit également pouvoir entretenir une installation en matière de cybersécurité.

Il existe toujours une tension entre la sécurité, le confort et les coûts. Que peut-on dire sur la question du rapport coût-efficacité ?

C'est comme pour la sécurité physique : chaque entreprise mise sur des exigences de sécurité différentes en fonction de son activité. Chaque responsable d'entreprise peut calculer lui-même ce que cela lui coûte par jour si l'entreprise ou même une partie de celle-ci est paralysée.

La cybersécurité est une question d'organisation et de technique. Les utilisateurs, les planificateurs et les fabricants devraient discuter ensemble de l'importance de la "mise à niveau" d'une entreprise pour contrer les cyberattaques. Un meilleur niveau de sécurité coûte généralement plus cher.

De nos jours, toute technique de sécurité ne devrait-elle pas être testée ou même certifiée en matière de cybersécurité ?

En théorie, c'est une bonne chose. Dans l'ordonnance sur la protection contre les incendies, il existe des obligations en matière d'assurance et de police du feu. Mais de telles dispositions n'existent pas dans le domaine de la cybersécurité. De plus, si une instance de contrôle vérifie aujourd'hui la cybersécurité d'une installation de sécurité et la juge bonne, un tel certificat de contrôle serait probablement obsolète en peu de temps. Dans le domaine de la protection contre les incendies, les installations sont soumises à des contrôles annuels périodiques. Dans le domaine de la cybersécurité, les intervalles seraient beaucoup plus courts, ce qui entraînerait une hausse des coûts. Il serait toutefois envisageable que la technique de sécurité soit testée ou certifiée au niveau de la conception pour l'aspect de la sécurité informatique.

La cybersécurité dans la structure SES

L'Association suisse des constructeurs de systèmes de sécurité, ou SES, est divisée en deux secteurs : "Fire" et "Security". Au-dessus de la technique de sécurité et de protection contre l'incendie se trouve désormais la cybersécurité dans l'organigramme de la SES. Elle est actuellement constituée au sein de l'association d'un groupe de travail composé de quatre membres : Edi Lehmann, Roger Hiestand, Patrik Kamber et Christian Sigrist. La modification de l'organigramme doit encore être approuvée lors de l'assemblée générale de SES du 9 juin 2020. Ce n'est qu'à ce moment-là que la nouvelle commission Cyber-Security sera officiellement créée au sein de l'association SES.

Infos : www.sicher-ses.ch