Cybersécurité avec BACnet Secure Connect (BACnet/SC) : de la théorie à la pratique

Par Jean Daniel Napar, Président BACnet France, Membre ADVISORY BOARD B.I.G. EU

Dans le monde digital et interconnecté d'aujourd'hui, la cybersécurité occupe une place centrale.

Redoutées encore il y a peu des seuls professionnels de l'informatique, les cybermenaces n'épargnent à présent aucun acteur de la régulation et l'automatisation du bâtiment. D'où la nécessité de bien s'y prendre en matière de cybersécurité. Bonne nouvelle pour les propriétaires, exploitants et concepteurs de bâtiments intelligents : un avancement technologique standardisé a été développé pour offrir une solution de protection complète des communications entre les systèmes et équipements : BACnet Secure Connect (BACnet/SC).

Le bâtiment et ses automatismes ne sont pas à l’abri des cybermenaces

Introduction et fondamentaux : cybersécurité du bâtiment avec BACnet/SC

Que ce soit dans des installations autonomes ou connectées, BACnet/SC est une solution rentable, compatible avec l'IT et qui recourt à la même technologie que les banques en ligne et autres applications critiques pour sécuriser/chiffrer les communications entre les appareils.

Ces préoccupations sont bien comprises par le Comité ASHRAE SSPC-135 en charge du développement des spécifications et certifications de BACnet, qui travaille d’arrache-pied depuis cinq ans sur une nouvelle technologie appelée BACnet Secure Connect (BACnet/SC) qui fait maintenant partie de la norme BACnet. La norme BACnet est identifiée comme la norme ISO 16484-5 et les spécifications de certification utilisée pour l’obtention du logo BTL est ISO 16484-6.

BACnet/SC fournit les moyens de créer des connexions de communication sécurisées entre les appareils BACS à la fois dans le cloud et au sein des installations.

BACnet/SC utilise les dernières techniques de sécurité et s’intègre facilement à l’infrastructure informatique. Dans le même temps, BACnet/SC préserve 100% des capacités et est rétro compatible avec tous les déploiements et périphériques BACnet existants.

Que fait exactement BACnet/SC ? Mêmes mécanismes que les banques, les militaires, …

BACnet/SC permet à deux appareils BACS d’établir une connexion hautement sécurisée et cryptée entre eux, sur laquelle les messages BACnet conventionnels peuvent être envoyés et reçus. Ces connexions ne peuvent pas être « piratées » et ne peuvent pas être déchiffrées sans certifications appropriées, et les certifications elles-mêmes ne peuvent pas être falsifiées ou falsifiables. Cela garantit que seuls les appareils légitimes peuvent être connectés ensemble et que le contenu de leurs communications est complètement privé. Les mécanismes qui assurent cette sécurité sont basés sur les normes internationales établies d’après les meilleures pratiques et sont pleinement alignées sur les normes informatiques.

Cela signifie que BACnet/SC utilise les mêmes mécanismes que les banques, les militaires et d’autres entités pour sécuriser leurs communications.

BACnet/SC permet à deux appareils d’établir de telles connexions directement l’un avec l’autre. Cela dit, il sera probablement beaucoup plus courant de voir essentiellement deux types d’appareils BACnet/SC :
• Un « hub » BACnet/SC qui agit comme un gestionnaire de conversation centralisé.
• Un « nœud » BACnet/SC qui établit une connexion au hub et envoie tous les messages via le hub, qui à son tour redistribue le(s) message(s) aux nœuds destinataires.

Dans tout système où il existe des composants centralisés, tel que le hub BACnet/SC, il est souhaitable d’avoir la possibilité de redondance. BACnet/SC vous permet d’avoir des hubs redondants : hub principaux et hub de secours. Si les nœuds ne peuvent pas atteindre le concentrateur (hub) principal ou perdent la connexion et ne peuvent pas la rétablir, ils peuvent se tourner vers un concentrateur (hub) de secours à la place. Lorsque le hub principal revient, les nœuds peuvent alors se reconnecter au hub principal.

Étant donné que les nœuds sont autorisés à créer et à accepter des connexions directes, l’image réelle peut ressembler davantage à celle-ci-dessous. Le fait est que BACnet/SC dispose d’une flexibilité en termes de type d’architecture pouvant être utilisée dans des parties sécurisées d’un réseau BACnet.

Que signifie 100% rétro compatible ?

Dans ce contexte, ce que nous voulons dire, c’est que les périphériques BACnet/IP et MS/TP existants peuvent rester en place et peuvent interagir avec les périphériques BACnet/SC via des routeurs SC-X. Cela vous permet de migrer les systèmes existants vers des niveaux de sécurité plus élevés de manière progressive pour les fabricants d’appareils, cela signifie qu’ils n’ont pas à réinventer tous leurs appareils BACnet puisque 90% de ce qu’ils font pour BACnet sera exactement le même. Nous pouvons nous attendre à ce que la plupart des fabricants de routeurs BACnet adoptent également BACnet/SC dans leurs produits existants. Il ne s’agira probablement que d’un changement de logiciel ne nécessitant pas nécessairement un remplacement coûteux.

Nouveaux défis

Bien que BACnet/SC fournisse une infrastructure réseau beaucoup plus sécurisée, il y a bien sûr un coût et de nouveaux défis. L’un des défis est la création et le déploiement de ce que l’on appelle des « certificats sécurisés ».  Axés sur un concept de clés publiques et privées ils sont utilisés dans la génération et l’authentification des connexions BACnet/SC. Dans le cadre des efforts continus visant à parvenir à un type de cybersécurité plus « holistique », BACnet travaille également sur des méthodes normalisées de création et de déploiement de certificats qui allégeront l’administration de BACnet/SC. Il est également important de garder à l’esprit l’élément humain lors de la mise en œuvre de toute solution de cybersécurité. Les humains vont toujours jouer un rôle très central dans l’atteinte de niveaux plus élevés de cybersécurité.

Conclusion et message vers les utilisateurs

BACnet/SC a été développé pour créer une infrastructure BACS sécurisée et standardisée, rétro compatible avec les déploiements BACnet existants, conviviale pour les meilleures pratiques informatiques et permettant des applications basées sur le cloud. BACnet/SC est la solution cybersécurité pour les utilisateurs de BACnet.

Rôle et missions de l’association BACnet France

BACnet France est l’association filière des acteurs économiques réunis autour de la technologie BACnet. Son rôle est de promouvoir BACnet sur le marché français, et notamment :
A - Développer l’usage du standard « BACnet » dans les applications concernant les bâtiments à usage résidentiel, tertiaire et industriel.
B - Promouvoir les solutions produits et services d’applications et les produits OEM utilisant le standard « BACnet ».
C - Favoriser les échanges avec les filières du bâtiment et les professions concernées afin d’enrichir et d’optimiser les solutions destinées aux équipements techniques.
D - Adapter l’usage du standard aux spécificités culturelles et structurelles de la France (organisation des filières, de la prescription, de l’environnement et des canaux de diffusion des produits et services, etc).
E - Assurer la coordination avec « B.I.G. EU » dans les domaines de la stratégie et des actions notamment en matière de communication à destination du marché.

Tout naturellement BACnet France s’est donné comme mission d’accompagner le marché français pour :
- Lancer BACnet/SC comme une évolution cybersécurité de BACnet.
- Diffuser l’information et assurer la mission de centre de savoirfaire de BACnet et BACnet/SC.
 - Former la filière du bâtiment et les professionnels concernés par la technologie BACnet et BACnet/SC.
- Elaborer les documents nécessaires à la compréhension de l’évolution de BACnet à BACnet/SC avec toutes les conséquences.>
- Accompagner la migration de l’énorme parc installé en BACnet en France vers BACnet/SC en assurant le niveau de cybersécurité requis ; en même temps assurer la massification des actions de migration énergétique et réduction d’empreinte carbone du bâtiment participant ainsi la lutte contre le changement climatique engagée pour les bâtiments.

Pour se faire, BACnet France a lancé le Projet Multivendor Cybersécurité  DONNEES SECURISEES 1 – BACnet/SC.

Le projet multi vendeurs (multi marques) DONNEES SECURISEES 1, comme son nom l’indique, est une plateforme physique avec les serveurs BACnet/SC de plusieurs constructeurs ainsi que plusieurs clients pour :
- Tester l’interopérabilité des produits/systèmes BACnet avec BACnet/SC.
- Utiliser la plateforme pour le module BACnet/SC inclus dans la formation payante BACnet dispensée par BACnet France 2024.
- Utiliser le projet pour monter en compétence les membres de BACnet France (constructeurs et intégrateurs systèmes).
- Utiliser le projet pour écrire les scénarios de mise en œuvre de la solution BACnet/SC sur les aspects marketing, technique et processus contractuel (création et utilisation des certificats).
- Produire les documents nécessaires à l’adresse du marché français pour la prescription et les conseils de mise en œuvre, inclus pour la rénovation – migration.
 - Faire savoir au marché français l’expérience constructeurs et intégrateurs de BACnet France pour répondre aux besoins des utilisateurs.

Cette plateforme va être utilisée pour la première fois dans le cadre de la formation BACnet France annoncée pour le 19 Mars 2024. Elle va être dispensée en distanciel par le membre de BACnet France AGILICOM qui est le centre de formation agréé et savoir-faire de BACnet France.

>> Les inscriptions sont ouvertes et pour se faire adressez-vous au Délégué Général de BACnet France - M. Florent TROCHU à l’adresse :
florent.trochu@acr-regulation.com - Tél : 01 45 05 71 22 / 06 84 86 39 52

BACnet France profite de ce moment important de la mise en œuvre du lancement de l’évolution du protocole standardisé ouvert BACnet/SC cyber sécurisé pour vous inviter à rejoindre la communauté BACnet et devenir membre de BACnet France !

Pour se faire, merci de contacter notre Délégué Général M. Florent TROCHU aux coordonnées sus- mentionnées.

Par Jean Daniel Napar, Président BACnet France, Membre ADVISORY BOARD B.I.G. EU

Source et Lien