Pourquoi la cybersécurité OT des automates de bâtiment devient un sujet FM
Dans un site industriel moderne, les automates de bâtiment pilotent le CVC, la GTB et le contrôle d’accès. Ces systèmes de contrôle-commande sont souvent connectés au même réseau que l’IT, ce qui crée des risques cyber majeurs pour les bâtiments et les infrastructures critiques. Quand la cybersécurité OT du bâtiment est négligée, un simple automate mal protégé peut compromettre la sécurité des systèmes de production et la continuité d’exploitation, comme l’ont montré plusieurs incidents réels de coupure de chauffage ou de blocage d’accès sur des sites logistiques.
La directive NIS et la nouvelle directive NIS2 (directive (UE) 2022/2555) élargissent clairement le périmètre de la cybersécurité aux systèmes industriels et aux services essentiels, ce qui inclut de plus en plus de bâtiments connectés. Pour un responsable maintenance, la cybersécurité OT bâtiment NIS2 facility management n’est plus un sujet purement RSSI, mais un volet structurant de la gestion des risques opérationnels. Les automates, capteurs IoT, points d’extrémité et réseaux de terrain deviennent des actifs critiques au même titre que les équipements de process industriels, avec des obligations de sécurité renforcées décrites dans les articles 21 et 23 de NIS2 sur les mesures techniques et la notification d’incident.
Les automates de CVC, de sécurité incendie ou de contrôle d’accès fonctionnent souvent avec des firmwares obsolètes, rarement mis à jour par manque de gouvernance claire. Ces produits OT sont parfois exposés sur Internet via des services de supervision à distance, sans architecture de type Zero Trust ni segmentation réseau adaptée. Dans ce contexte, la protection des données techniques du bâtiment et la sécurité informatique des systèmes OT doivent être traitées de manière proactive par le facility management, en s’appuyant sur les bonnes pratiques publiées par l’ANSSI (guides « Recommandations de sécurité relatives aux systèmes industriels ») et l’ENISA (rapports sur la cybersécurité OT et la directive NIS2).
Ce que NIS2 attend concrètement du facility manager sur l’OT
La directive NIS et la future directive NIS2 imposent une approche structurée de la gestion des risques cyber pour les opérateurs de services essentiels et de services publics. Pour un parc de bâtiments industriels, cela signifie que la cybersécurité OT bâtiment NIS2 facility management doit intégrer un inventaire des actifs OT, une gouvernance des accès et une visibilité renforcée sur les réseaux. Le responsable maintenance devient co responsable de la sécurité des systèmes techniques, au même niveau que le RSSI pour l’IT, conformément aux exigences de gestion des risques et de reporting d’incident prévues par NIS2, avec des délais de notification précis (24 h pour l’alerte précoce, 72 h pour le rapport d’incident).
Premier pilier attendu par NIS2 : un inventaire des actifs exhaustif couvrant automates, variateurs, capteurs, passerelles, serveurs de GTB et produits de sécurité incendie connectés. Sans cet inventaire des actifs OT, aucune visibilité ni protection cohérente ne sont possibles sur les réseaux de bâtiment et les systèmes industriels associés. Une checklist simple peut servir de point de départ : localisation de chaque armoire, modèle et version de firmware, adresses IP, protocoles utilisés (BACnet, Modbus, KNX, OPC UA), accès distants existants et criticité métier. La directive NIS demande aussi une gestion des risques documentée, incluant la protection des données, la résilience des services et la sécurité des systèmes d’information supportant les bâtiments, avec des mesures techniques et organisationnelles proportionnées au niveau de criticité.
Deuxième pilier : une gouvernance claire des accès fournisseurs et des services de télémaintenance, avec des solutions de contrôle d’accès et de journalisation. Les contrats de maintenance doivent préciser les exigences en matière de cybersécurité, de protection des données et de sécurité informatique pour chaque système OT, en s’alignant sur les recommandations de l’ANSSI pour les accès distants (authentification forte, comptes nominatifs, traçabilité). Pour structurer cette démarche, certains facility managers s’appuient sur une trame d’audit interne similaire à celle utilisée pour la conformité énergétique, comme dans cette approche d’audit interne structuré appliquée à d’autres réglementations.
Les trois niveaux de segmentation réseau OT à poser en priorité
Pour répondre aux exigences de cybersécurité OT bâtiment NIS2 facility management, la segmentation réseau devient l’outil principal du responsable maintenance. Premier niveau incontournable : isoler le réseau de GTB du réseau bureautique, afin que les automates de bâtiment ne soient plus directement exposés aux postes utilisateurs. Concrètement, cela revient à placer la GTB dans un VLAN ou une zone dédiée, derrière un pare-feu filtrant les flux vers l’IT. Cette séparation, recommandée par les guides de l’ANSSI sur les architectures industrielles, réduit fortement les risques de propagation d’un incident cyber depuis un poste de travail vers les systèmes industriels.
Deuxième niveau de segmentation : créer un VLAN par système technique majeur, par exemple un VLAN pour le CVC, un pour la sécurité incendie, un pour le contrôle d’accès et un pour les services d’éclairage. Cette granularité permet une meilleure visibilité et une meilleure surveillance des flux, tout en facilitant la gestion des risques et la mise en œuvre de politiques de sécurité des systèmes adaptées. Dans une logique Zero Trust, chaque flux entre VLAN doit être explicitement autorisé, journalisé et contrôlé par des solutions de filtrage adaptées aux protocoles OT, avec des règles de pare-feu limitant les ports, les adresses IP sources et les destinations autorisées (par exemple autoriser uniquement BACnet/IP entre le serveur de supervision et les automates, bloquer les services non utilisés comme Telnet ou FTP, restreindre l’administration à SSH ou HTTPS depuis une zone d’administration sécurisée).
Troisième niveau : mettre en place une passerelle sécurisée pour la supervision à distance, avec authentification forte, chiffrement et contrôle des points d’extrémité. Cette passerelle doit être le seul chemin autorisé entre le réseau OT des bâtiments et le réseau IT ou Internet, afin d’assurer une visibilité et une protection cohérentes. Un scénario type consiste à placer cette passerelle dans une DMZ, à imposer un VPN avec MFA pour les mainteneurs et à consigner tous les accès dans un journal centralisé. Les impacts de cette segmentation doivent aussi être intégrés dans les projets immobiliers, au même titre que les exigences énergétiques ou réglementaires, comme on le fait déjà pour un DPE de location de bureaux ou pour les obligations liées au CVC.
Rédiger un cahier des charges intégrateur orienté cybersécurité OT
Quand un nouveau système de GTB, de contrôle d’accès ou de sécurité incendie est déployé, le cahier des charges reste souvent focalisé sur les performances techniques. Pour être aligné avec la cybersécurité OT bâtiment NIS2 facility management, ce document doit intégrer des exigences précises en matière de sécurité des systèmes et de protection des données. Le facility manager doit y imposer la segmentation réseau, la gestion des mises à jour et la gouvernance des accès fournisseurs, en cohérence avec les obligations de sécurité prévues par la directive NIS2 et les recommandations de l’ENISA sur la gestion de la chaîne d’approvisionnement.
Un bon cahier des charges doit exiger un inventaire des actifs détaillé, mis à jour par l’intégrateur à chaque modification de configuration ou ajout d’équipement. Il doit aussi préciser les exigences de sécurité informatique, comme la compatibilité avec une architecture Zero Trust, la journalisation des accès et la capacité à intégrer les équipements OT dans les solutions de supervision de sécurité existantes. Un extrait type peut prévoir : « l’intégrateur fournit un export mensuel des journaux d’accès, garantit la désactivation des comptes par défaut et documente les ports et protocoles utilisés ». Pour structurer ces exigences, un livre blanc interne ou un référentiel groupe peut servir de base commune à tous les projets de bâtiments industriels, en s’inspirant des guides de l’ENISA sur la sécurité des systèmes industriels et des réseaux OT.
Ce cahier des charges doit également clarifier la répartition des responsabilités en matière de cybersécurité entre l’intégrateur, le fournisseur de services cloud et l’équipe de facility management. Les clauses doivent couvrir la résilience des services, la protection des données, la gestion des incidents et la continuité d’activité pour les bâtiments critiques, y compris dans les secteurs des soins de santé ou des services publics. Des indicateurs simples peuvent être suivis : taux d’équipements OT à jour, nombre d’incidents de sécurité déclarés, temps moyen de correction. Pour approfondir la structuration de ces exigences et de la gestion de parc, un responsable maintenance peut s’appuyer sur des retours d’expérience détaillés, comme ceux présentés dans cet article sur le logiciel de gestion de parc matériel pour le facility management industriel.
Capteurs IoT, SaaS et responsabilité des données dans les bâtiments connectés
Les capteurs IoT en mode SaaS se multiplient dans les bâtiments industriels pour le suivi énergétique, la qualité d’air ou la maintenance prédictive. Ces produits apportent des services utiles, mais complexifient fortement la cybersécurité OT bâtiment NIS2 facility management et la protection des données. La question clé pour le facility manager reste simple : qui maîtrise réellement les réseaux, les données et les accès distants, et comment ces éléments sont couverts par les exigences de la directive NIS2, notamment sur la sécurité de la chaîne de sous-traitance et la localisation des données.
Pour chaque solution IoT, il faut clarifier où sont hébergées les données, qui en est responsable et comment elles sont protégées sur le réseau du bâtiment. Les contrats doivent préciser les engagements de sécurité informatique, la résilience des services, la gestion des incidents et les modalités de réversibilité si le fournisseur cesse son activité. Une clause type peut exiger un export complet des données dans un format ouvert en fin de contrat, ainsi qu’un délai maximal de rétablissement de service. Dans les environnements industriels ou de soins de santé, ces points deviennent critiques, car une perte de service ou une fuite de données peut impacter directement la continuité d’exploitation et la sécurité des personnes, en particulier pour les services essentiels visés par NIS2.
Une approche de type Zero Trust appliquée aux réseaux OT et aux services SaaS impose de limiter les droits, de contrôler les points d’extrémité et de renforcer la visibilité et la surveillance des flux. Le facility management doit travailler en étroite collaboration avec le RSSI pour définir des solutions de segmentation, de supervision et de gestion des risques adaptées aux bâtiments industriels. Pour aller plus loin, il est souvent utile de formaliser ces exigences dans un livre blanc interne et de proposer aux équipes techniques un parcours « learn more » structuré en matière de cybersécurité, de directive NIS et de protection des données, en s’appuyant sur les fiches pratiques publiées par l’ANSSI et l’ENISA, ainsi que sur le texte consolidé de la directive NIS2 disponible sur le site EUR-Lex.
FAQ sur la segmentation OT et NIS2 pour les automates de bâtiment
Pourquoi isoler le réseau de GTB du réseau bureautique
L’isolement du réseau de GTB empêche qu’un incident sur un poste bureautique ne se propage vers les automates de bâtiment. Cette séparation réduit fortement les risques cyber pesant sur les systèmes industriels et les services critiques. Elle facilite aussi la mise en œuvre de politiques de sécurité des systèmes adaptées aux contraintes OT, en cohérence avec les recommandations de segmentation des réseaux industriels publiées par l’ANSSI et reprises dans plusieurs rapports de l’ENISA sur la cybersécurité des infrastructures critiques.
Comment démarrer un inventaire des actifs OT dans un site industriel
Le point de départ consiste à cartographier les armoires techniques, les automates, les passerelles et les serveurs de supervision. Ensuite, il faut documenter pour chaque actif les adresses IP, les versions de firmware, les accès distants et les dépendances réseau. Une checklist minimale inclut aussi le protocole utilisé, le niveau de criticité, le fournisseur et la date de dernière mise à jour. Cet inventaire des actifs doit être maintenu à jour à chaque projet ou modification de configuration, avec une procédure de revue périodique et une journalisation des changements.
Quel est le rôle du facility manager par rapport au RSSI sur NIS2
Le RSSI définit la stratégie globale de cybersécurité et les standards techniques pour l’entreprise. Le facility manager, lui, pilote la mise en œuvre concrète sur les bâtiments, les réseaux OT et les contrats de maintenance. Les deux fonctions doivent partager la gestion des risques, la gouvernance des accès et la supervision des services critiques, en s’assurant que les exigences de la directive NIS2 sont bien intégrées dans les projets immobiliers et industriels. Un indicateur utile est le pourcentage de sites dont la segmentation OT et l’inventaire sont validés conjointement par le RSSI et le FM.
Comment intégrer la cybersécurité OT dans un appel d’offres intégrateur
Il faut ajouter un chapitre dédié à la cybersécurité OT avec des exigences claires sur la segmentation réseau, la journalisation, la gestion des mises à jour et la protection des données. Les candidats doivent décrire leurs solutions techniques, leurs procédures et leurs engagements de service en matière de sécurité. Il est pertinent de demander un exemple de règles de pare-feu types, une matrice de flux entre VLAN et un plan de gestion des vulnérabilités. Les critères de notation doivent valoriser la maturité en cybersécurité autant que la performance technique des systèmes proposés, en particulier pour les sites soumis à la directive NIS ou à NIS2.
Les capteurs IoT en SaaS sont ils compatibles avec NIS2
Ils peuvent l’être, à condition que la responsabilité des données, la sécurité des systèmes et la résilience des services soient clairement définies contractuellement. Le fournisseur doit garantir la protection des données, la gestion des incidents et la réversibilité en cas de changement de solution. Le facility management doit vérifier que l’architecture réseau et les accès distants respectent les principes de la directive NIS et de NIS2, notamment en matière de contrôle d’accès, de chiffrement et de surveillance des journaux. Une bonne pratique consiste à exiger un rapport annuel de conformité aux bonnes pratiques ANSSI/ENISA et aux exigences de NIS2 applicables au secteur concerné.
Ressources de référence
Agence nationale de la sécurité des systèmes d’information (ANSSI) – guides sur la sécurité des systèmes industriels et la segmentation des réseaux
European Union Agency for Cybersecurity (ENISA) – bonnes pratiques pour la cybersécurité OT et la directive NIS2
Ministère de la Transition énergétique – documentation sur les bâtiments et infrastructures critiques et obligations réglementaires associées