1. Quand le facility management connecte élargit la surface d’attaque sans le dire
Dans un site industriel, chaque bâtiment devient un nœud numérique à part entière. Quand la stratégie de facility management déploie des capteurs smart, des systèmes CVC IP et des solutions numériques de workplace, la surface d’attaque du bâtiment intelligent explose sans être réellement cartographiée. Tant que la cybersécurité du bâtiment connecté FM reste gérée en silo, la direction immobilière crée des dépendances invisibles entre réseaux OT et internet.
Les projets de smart building promettent une meilleure performance énergétique et une gestion technique plus fine, mais ils reposent sur des systèmes interconnectés qui manipulent des données en continu. Les BMS, IWMS, logiciels de services et plateformes de réservation d’espaces échangent des informations via le cloud, ce qui rend la frontière entre IT et OT totalement poreuse. Dans ce contexte, les risques de cybersécurité ne sont plus théoriques : des incidents documentés ont déjà touché des contrôles d’accès, des automates CVC et des données d’occupation de bâtiments intelligents, comme l’ont montré plusieurs attaques sur des hôtels, des hôpitaux et des sites industriels depuis 2017.
Le réflexe courant consiste à considérer que le réseau OT du bâtiment est isolé et donc protégé par nature. En réalité, les passerelles vers internet se multiplient avec les solutions numériques de supervision, les contrats de maintenance à distance et les API des fournisseurs de services. Un seul technicien de maintenance qui ouvre un accès VPN mal maîtrisé peut suffire à exposer tout un bâtiment intelligent à une attaque ciblée, comme l’illustrent les scénarios d’intrusion décrits dans les rapports de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) publiés ces dernières années.
Du projet énergétique au risque cyber : le chaînon manquant
Les directions immobilières lancent des programmes d’efficacité énergétique ambitieux pour réduire les consommations des bâtiments. Ces projets s’appuient sur des systèmes smart de pilotage CVC, d’éclairage et de GTB, qui génèrent des données produites en masse sur l’occupation, la température et les usages. Sans gouvernance partagée, le traitement des données et la protection des données restent gérés au cas par cas par les prestataires.
Dans un même bâtiment, on voit cohabiter plusieurs solutions numériques : une plateforme de gestion technique, un outil de suivi de performance énergétique, un logiciel de services aux usagers et un portail de demandes FM. Chacun collecte des informations différentes, parfois des données personnelles, et les envoie vers des serveurs externes via internet. Le directeur de l’environnement de travail pilote ces projets pour améliorer les services, mais le RSSI n’a souvent qu’une vision partielle des systèmes réellement en place.
Cette fragmentation crée un angle mort majeur pour la cybersécurité française appliquée aux bâtiments intelligents. Les risques de cybersécurité ne se limitent plus aux serveurs bureautiques, ils concernent directement les systèmes de sûreté, de sécurité incendie et de gestion énergétique. Tant que le RSSI n’est pas assis à la table du directeur immobilier, la mise en place de nouveaux outils se fait sans analyse globale de la résilience du parc, alors que les guides sectoriels publiés par l’ANSSI depuis 2018 insistent sur la nécessité d’une approche coordonnée entre métiers, DSI et exploitation.
Achats hors DSI : le vrai moteur de l’ombre numérique
Dans la pratique, de nombreux projets de bâtiment connecté sont portés par la direction immobilière ou les services généraux, sans passer par la DSI. Les contrats de services intègrent des plateformes cloud, des applications mobiles et des solutions numériques de reporting, souvent considérées comme de simples outils métiers. Cette logique d’achats rapides permet d’améliorer l’expérience des usagers, mais elle court-circuite la gouvernance de cybersécurité.
Les techniciens de maintenance et les responsables de gestion technique se retrouvent alors à administrer des systèmes complexes, parfois accessibles depuis internet, sans cadre de sécurité formalisé. Ils gèrent des identifiants, des accès distants et des mises à jour logicielles, alors que ce n’est pas leur cœur de métier. Dans ce contexte, la protection des données et la protection des données personnelles deviennent fragiles, car les responsabilités sont floues entre FM, DSI et prestataires.
Ce décalage explique pourquoi tant de RSSI peinent à cartographier le système d’information bâtiment dans son ensemble. Ils ignorent l’existence de certains capteurs, de certains logiciels de services ou de certaines passerelles cloud, car ces éléments ont été intégrés via des marchés FM ou des contrats de maintenance. Tant que cette réalité n’est pas reconnue, les offres d’emploi en cybersécurité bâtiment resteront déconnectées des enjeux opérationnels du facility management, et les profils recherchés ne couvriront pas réellement les risques liés aux réseaux OT et aux systèmes techniques.
2. NIS2, OT et smart building : pourquoi le FM ne peut plus rester hors jeu
La directive NIS2 élargit le périmètre des obligations de cybersécurité à de nombreux acteurs industriels et tertiaires. Pour un directeur de l’environnement de travail, cela signifie que les bâtiments et les systèmes techniques entrent progressivement dans le champ de la conformité. Les projets de cybersécurité du bâtiment connecté FM ne peuvent donc plus être traités comme de simples sujets techniques.
Les réseaux OT des bâtiments, historiquement isolés, sont désormais reliés à des plateformes cloud pour la supervision, la maintenance prédictive et le pilotage énergétique. Cette intégration crée des chaînes de dépendance entre les systèmes de gestion technique, les solutions numériques de workplace et les infrastructures IT de l’entreprise. Quand un smart building s’appuie sur plusieurs fournisseurs SaaS, chaque maillon devient un point potentiel de vulnérabilité.
Dans l’industrie, les sites classés ou sensibles sont particulièrement concernés par ces évolutions réglementaires. Les contrôles d’accès IP, les caméras intelligentes et les automates de sécurité incendie sont désormais considérés comme des éléments critiques du système d’information. Un incident sur ces systèmes peut avoir un impact direct sur la sécurité des usagers, la continuité de production et la conformité réglementaire SSIAP, au même titre que les exigences abordées dans un QCM SSIAP 2 en milieu industriel, comme l’ont montré plusieurs retours d’expérience publiés après des sinistres majeurs en Europe depuis 2019.
Quand la performance énergétique devient un sujet de cybersécurité
Les projets de performance énergétique reposent sur une collecte massive de données produites par les systèmes CVC, l’éclairage et les capteurs d’occupation. Ces données sont traitées par des algorithmes d’intelligence artificielle pour optimiser les consignes, détecter les dérives et proposer des scénarios de pilotage. Chaque flux de traitement des données ouvre un nouveau front pour la cybersécurité du bâtiment connecté FM.
Dans un bâtiment intelligent, les plateformes de suivi énergétique croisent souvent des données techniques et des données d’occupation, parfois liées à des données personnelles. La frontière entre information purement technique et information sensible devient floue, surtout quand les solutions numériques permettent de tracer les usages individuels. Sans cadre clair de protection des données, le risque de non conformité réglementaire s’ajoute aux risques de cybersécurité purement techniques.
Les directions immobilières qui pilotent ces projets doivent donc intégrer la cybersécurité française comme un volet à part entière de leurs stratégies énergétiques. Il ne s’agit pas seulement de choisir les bons capteurs ou les bons logiciels de services, mais de définir avec le RSSI les règles de traitement des données et les exigences de sécurité des systèmes. Cette approche conjointe permet de renforcer la résilience tout en préservant les gains d’efficacité énergétique, en s’appuyant sur des objectifs concrets comme la réduction du délai moyen de déploiement des correctifs de sécurité ou l’augmentation du pourcentage d’équipements inventoriés.
RSSI et directeur immobilier : un binôme obligatoire, pas optionnel
La vraie rupture apportée par NIS2 tient au fait que la cybersécurité devient une responsabilité de gouvernance, pas uniquement un sujet IT. Pour un directeur immobilier, cela implique de considérer chaque projet de smart building comme un projet de système d’information à part entière. Le RSSI doit donc être associé dès la phase de cadrage, et non appelé en urgence après un incident.
Dans la pratique, cela signifie que les cahiers des charges FM doivent intégrer des exigences de cybersécurité claires pour les systèmes techniques et les solutions numériques. Les contrats de services doivent préciser les modalités de protection des données, de gestion des accès et de supervision des incidents. Sans cette mise en place structurée, les techniciens de maintenance se retrouvent en première ligne sans filet, exposant l’entreprise à des risques de cybersécurité évitables.
Co construire cette gouvernance ne demande pas nécessairement un budget massif, mais une volonté de partager la cartographie des systèmes et des flux. Un comité cyber FM trimestriel, réunissant RSSI, directeur immobilier, responsables de gestion technique et principaux prestataires, permet déjà de renforcer la résilience du parc. Ce rituel simple transforme la cybersécurité du bâtiment connecté FM en sujet de pilotage continu, plutôt qu’en réaction ponctuelle à des incidents, et facilite la mise en place de plans d’action chiffrés et suivis dans le temps.
3. Cartographier le SI bâtiment : méthode pragmatique pour FM et RSSI
La première étape pour reprendre la main consiste à cartographier le système d’information bâtiment de manière partagée. Cette cartographie doit couvrir les systèmes techniques, les solutions numériques, les flux de données et les accès internet associés. L’objectif n’est pas de produire un schéma parfait, mais un outil vivant pour piloter les risques de cybersécurité.
Sur un site industriel, il est pertinent de commencer par les bâtiments les plus critiques pour la production ou la sécurité des usagers. Pour chaque bâtiment, on recense les systèmes de gestion technique, les automates, les contrôles d’accès, les caméras et les plateformes cloud associées. On identifie ensuite les données produites, les traitements réalisés et les interconnexions avec les réseaux IT et internet.
Cette démarche doit intégrer les systèmes de sécurité incendie au même titre que les autres équipements critiques. Comprendre le rôle d’un RIA ou d’un SSI dans l’architecture globale, comme détaillé dans l’analyse sur le rôle du RIA incendie en milieu industriel, permet de mieux évaluer l’impact potentiel d’un incident cyber. Un automate de désenfumage compromis peut avoir des conséquences aussi graves qu’un serveur de production à l’arrêt, comme l’ont montré plusieurs études de cas d’incidents OT publiées depuis 2020.
Une méthode en 6 mois avec des moyens réalistes
Un grand groupe industriel a récemment mené une cartographie cyber FM sur un périmètre de dix bâtiments stratégiques. Le projet a mobilisé l’équivalent de deux ETP sur six mois, en combinant un expert cybersécurité OT et un responsable de gestion technique expérimenté. Cette équipe mixte a travaillé en binôme avec les techniciens de maintenance et les responsables de services généraux.
La méthode suivie était volontairement pragmatique, avec des ateliers sur site, des relevés d’armoires, des entretiens avec les prestataires et une analyse des contrats de services. Chaque système a été décrit selon quelques critères simples : fonction, données traitées, exposition à internet, dépendances logicielles et responsabilités de maintenance. Cette approche a permis d’identifier plusieurs chemins d’attaque possibles, notamment via des accès distants non maîtrisés et des solutions numériques oubliées.
Au terme des six mois, la direction immobilière et le RSSI disposaient d’une vision commune des systèmes critiques et des priorités d’action. Ils ont pu définir ensemble un plan de renforcement de la résilience, en ciblant d’abord les bâtiments les plus exposés et les systèmes les plus sensibles. Cette expérience montre qu’une cybersécurité du bâtiment connecté FM efficace repose d’abord sur une bonne compréhension partagée, avant même le déploiement de nouveaux outils, et qu’un délai de quelques mois suffit pour obtenir une première cartographie exploitable.
Inclure les prestataires et les équipes terrain dans la boucle
Une cartographie purement documentaire reste théorique si elle n’intègre pas la réalité des interventions terrain. Les techniciens de maintenance, les exploitants CVC et les prestataires de services sont ceux qui connaissent réellement les systèmes et les contournements utilisés au quotidien. Les associer dès le départ permet de révéler des accès distants, des mots de passe partagés ou des solutions numériques non déclarées.
Les contrats FM doivent évoluer pour intégrer des clauses de cybersécurité explicites, au même titre que les exigences de qualité ou de sécurité incendie. Les grilles d’audit, déjà utilisées pour évaluer la qualité des prestations, peuvent intégrer des critères de cybersécurité, comme le montre l’approche détaillée dans l’analyse sur la grille d’audit d’un contrat de propreté tertiaire. Cette logique peut être transposée aux contrats de gestion technique, de sûreté et de maintenance des systèmes connectés, par exemple via une clause type imposant un inventaire annuel des équipements connectés, un délai maximum de 30 jours pour l’application des correctifs critiques et une authentification forte pour tout accès distant.
En impliquant les prestataires dans cette démarche, le directeur immobilier transforme la cybersécurité en enjeu partagé plutôt qu’en contrainte unilatérale. Les offres d’emploi pour des techniciens de maintenance ou des responsables de services intègrent progressivement des compétences de base en cybersécurité OT. Cette montée en compétence collective est indispensable pour que les bâtiments intelligents restent maîtrisés sur la durée.
4. De la technique au pilotage : installer une gouvernance cyber FM durable
Une fois la cartographie établie, le véritable enjeu consiste à installer une gouvernance durable entre RSSI et directeur immobilier. Cette gouvernance doit s’ancrer dans les rituels existants du facility management, plutôt que créer une couche bureaucratique supplémentaire. L’objectif est de faire de la cybersécurité du bâtiment connecté FM un sujet régulier de pilotage, au même titre que la performance énergétique ou la qualité de service.
Un comité cyber FM trimestriel constitue un format efficace pour structurer ce dialogue. Il réunit le RSSI, le directeur immobilier, les responsables de gestion technique, des représentants des usagers et les principaux prestataires de services. À chaque séance, on passe en revue les nouveaux systèmes déployés, les incidents survenus, les évolutions réglementaires et les priorités de renforcement de la résilience.
Ce comité permet aussi de suivre l’intégration progressive des exigences de cybersécurité dans les contrats et les projets. Les solutions numériques sont évaluées non seulement sur leurs fonctionnalités, mais aussi sur leur capacité à protéger les données et à limiter les risques de cybersécurité. Cette approche renforce la cohérence entre les objectifs de performance énergétique, de qualité de service et de sécurité globale du bâtiment.
Aligner les indicateurs FM, énergie et cybersécurité
Pour que la gouvernance soit efficace, il faut des indicateurs partagés entre FM et RSSI. Les tableaux de bord de facility management intègrent déjà des KPI de disponibilité, de maintenance et d’efficacité énergétique, qui peuvent être complétés par des indicateurs de cybersécurité. Par exemple, le nombre de systèmes exposés à internet, le taux de mises à jour réalisées ou le nombre d’incidents déclarés par bâtiment.
Cette approche permet de relier concrètement les enjeux de cybersécurité aux objectifs opérationnels du directeur immobilier. Un bâtiment qui affiche une excellente performance énergétique mais une exposition cyber élevée n’est pas réellement performant à long terme. À l’inverse, un investissement ciblé dans la sécurisation des systèmes peut éviter des arrêts de production ou des dégradations de services coûteuses.
En intégrant ces indicateurs dans les revues de performance avec les prestataires, la cybersécurité devient un critère de pilotage contractuel. Les logiciels de services et les plateformes de smart building sont évalués sur leur robustesse autant que sur leur ergonomie. Cette logique crée un cercle vertueux où les solutions numériques les plus sûres sont aussi celles qui sont privilégiées dans les appels d’offres, avec des objectifs chiffrés comme un taux de 95 % d’équipements inventoriés, un délai moyen de patching inférieur à 45 jours et une réduction annuelle du nombre d’incidents significatifs.
Former les équipes et structurer les responsabilités
La meilleure architecture technique reste vulnérable si les équipes ne sont pas formées aux bons réflexes. Les techniciens de maintenance, les exploitants et les responsables de services doivent comprendre les risques liés aux accès distants, aux mots de passe partagés et aux mises à jour non maîtrisées. Une sensibilisation ciblée, ancrée dans les cas concrets du site, est souvent plus efficace qu’une formation générique.
La répartition des responsabilités doit être clarifiée entre RSSI, directeur immobilier, gestion technique et prestataires. Chaque incident ou alerte doit avoir un propriétaire identifié, avec des procédures simples pour l’escalade et la résolution. Cette clarté organisationnelle est un levier puissant pour renforcer la résilience sans alourdir inutilement les processus.
En structurant ainsi la gouvernance, l’entreprise transforme la cybersécurité du bâtiment connecté FM en avantage compétitif plutôt qu’en centre de coût. Les bâtiments intelligents deviennent des actifs maîtrisés, capables de soutenir la stratégie industrielle tout en protégeant les données et les usagers. Dans ce cadre, le RSSI n’est plus un contrôleur externe, mais un partenaire stratégique assis à la même table que le directeur immobilier.
Chiffres clés et tendances à suivre
- Plusieurs études internationales publiées depuis 2020 indiquent que plus de 80 % des organisations ayant déployé des solutions IoT dans leurs bâtiments déclarent une amélioration de l’efficacité opérationnelle, mais qu’une minorité seulement dispose d’un inventaire complet et à jour de ses équipements connectés, ce qui complique fortement la gestion des vulnérabilités.
- Les analyses récentes sur les projets de smart building montrent une croissance rapide des déploiements de capteurs d’occupation, avec une augmentation de plus de 30 % des installations sur les sites industriels et tertiaires en quelques années, ce qui multiplie d’autant les points d’entrée potentiels pour une attaque.
- Les retours d’expérience partagés par l’Agence nationale de la sécurité des systèmes d’information dans ses rapports annuels depuis 2019 indiquent une hausse significative des incidents touchant les systèmes industriels et les réseaux OT, en particulier via des accès distants mal sécurisés et des équipements dont les correctifs de sécurité ne sont pas appliqués à temps.