• CENTRE D’URGENCE | 24/7
  • Vous êtes victime d’une cyberattaque ?
  • Contactez notre centre d’urgence cyber :
  • +33 (0)1 83 07 00 06

Cybersécurité des bâtiments : la GTB sous pression réglementaire

« Et si la porte d’entrée n’était pas la liaison Internet… mais la climatisation ? »
Cette provocation résume à elle seule la menace que représente aujourd’hui la Gestion Technique des Bâtiments (GTB) pour la cybersécurité des organisations. Longtemps cantonnée au confort et à la maintenance, la GTB est aujourd’hui connectée, exposée, souvent négligée… et donc attaquable.

septembre 11, 2025

Par Serge.Carpentier

Cybersécurité des bâtiments : la GTB sous pression réglementaire

Sommaire
Serge.Carpentier

GTB : un cheval de Troie dans les réseaux IT

Climatisation, contrôle d’accès, détection incendie, ascenseurs, éclairage, stores automatisés… tous ces sous-systèmes sont pilotés par la GTB, via des protocoles souvent peu sécurisés comme :

  • BACnet/IP, Modbus/TCP, KNX/IP, LonWorks, ou encore des protocoles propriétaires,
  • avec des interfaces souvent exposées, non isolées, mal authentifiées,
  • et parfois même accessibles en radio via SDR (Software Defined Radio), facilitant des attaques à distance.

 

Les menaces sont bien réelles. L’exemple de la vulnérabilité CVE-2018-8859 (i.LON SmartServer) en est un cas d’école : elle permettait une exécution de code arbitraire à distance sur un serveur GTB connecté via IP.

Un attaquant peut ainsi :

  • déclencher une alarme incendie pour forcer une évacuation,
  • couper la climatisation d’une salle serveur,
  • ouvrir des accès physiques sécurisés,
  • pivoter vers le SI via une interface IP non segmentée,
  • compromettre des équipements critiques via un protocole faiblement chiffré ou une authentification absente.

La GTB n’est donc plus un angle mort : c’est un point d’entrée stratégique.

Réglementation : « NIS 2 » et « Cyber Resilience Act »

Le renforcement réglementaire européen pousse désormais à une responsabilisation claire des acteurs :

NIS 2 (directive 2022/2555/UE)

S’applique à tous les secteurs jugés critiques (énergie, santé, transport, cloud, etc.).
Les obligations sont claires :

  • Mise en œuvre de mesures de sécurité adaptées ; segmentation ; journalisation ; surveillance continue.
  • Déclaration obligatoire des incidents sous 24 heures,
  • Auditabilité et traçabilité,
  • Inclusion des systèmes GTB si ceux-ci impactent une activité essentielle.

CRA – Cyber Resilience Act

S’applique aux fabricants d’équipements numériques, IoT, IT/OT.

Obligation de :

  • sécurité by design & by default,
  • maintenance des équipements tout au long du cycle de vie,
  • publication de SBOM (Software Bill of Materials),
  • gestion des vulnérabilités (veille CVE, security advisories),
  • certification de type IEC 62443-4-1/4-2, à terme.

 

Rôles et responsabilités : qui doit faire quoi ?

1. Fabricants de GTB (CRA)

  • Implémenter Secure Development Lifecycle (SDL) : pas de comptes par défaut, chiffrement TLS/SSH/MQTTS, authentification forte, etc.
  • Fournir des mécanismes de mise à jour vérifiés (firmware signing, rétrocompatibilité sécurisée).
  • Documenter précisément les capacités de journalisation, API, ports utilisés.
  • Accepter l’intégration dans une supervision : SIEM, SOC, SNMPv3, API REST sécurisée.

 

 2. Installateurs / exploitants (NIS 2)

  • Cartographier les composants GTB/GTC et leurs connexions réseau.
  • Segmenter les flux via VLAN, firewalls, zoning IT/OT.
  • Appliquer une configuration minimale sécurisée : désactivation Telnet/HTTP/SNMPv1, suppression des services inutiles.
  • Mettre à jour régulièrement les firmwares, suivre les bulletins de sécurité des éditeurs.
  • Envoyer les logs vers un collecteur SIEM, ou utiliser des sondes passives/TAP réseau.

 

 3. Utilisateurs finaux / RSSI (NIS 2)

  • Intégrer la GTB dans le périmètre de cybersécurité global.
  • Nommer un responsable GTB/OT ou étendre la mission du RSSI.
  • Inclure la GTB dans l’analyse de risque et les plans de continuité.
  • Imposer des clauses de cybersécurité dans les appels d’offres : SBOM, journalisation, plan de remédiation.
  • Intégrer la GTB dans les exercices de gestion de crise, et former les équipes aux risques spécifiques.

 

En résumé : GTB ne rime plus avec « hors périmètre ». 

 

La GTB connectée est un système d’information en soi. Et comme tout système d’information, elle doit être :

  • Sécurisée,
  • Supervisée,
  • Auditable,
  • Conforme à la réglementation,
  • Intégrée dans la gouvernance SSI.

Vous êtes RSSI ou DSI ? La GTB n’est plus une boîte noire réservée aux services techniques. Elle est une surface d’attaque critique, qui relève pleinement de votre responsabilité.

 

SysDream, entité cybersécurité du groupe Hub One, accompagne les RSSI et DSI dans la sécurisation des infrastructures GTB : audit, préparation NIS2, tests d’intrusion OT, supervision SOC.

https://sysdream.com/

 

Cours en cybersécurité : bien se former pour protéger les systèmes et réseaux... sans oublier sa carrière

8 mai 2025

En savoir plus

Cybersécurité : Définition et comment s’y adapter ?

3 juillet 2025

En savoir plus

Formation hacking débutant : Comment se former ?

26 juin 2025

En savoir plus


Contactez-nous