BACnet Secure Connect

BACnet/SC vise à renforcer la sécurité de l’automatisation du bâtiment grâce au chiffrement, aux certificats et à une nouvelle architecture réseau. Les professeurs Dr. Olivier Steiger et Dr. Sebastian Obermeier, tous deux à la Haute école de Lucerne, expliquent pourquoi le sujet devient pressant, où se situent les pièges et pourquoi même le meilleur standard ne suffit pas sans savoir-faire.

Auteur: Markus Back

Photos: Marc Schoeffel

Quelle était la motivation initiale derrière le développement de BACnet Secure Connect ?

Prof. Dr Olivier Steiger : Pendant de nombreuses années, BACnet/IP a été le standard dans l’automatisation des bâtiments. Mais en l’absence de chiffrement et d’authentification, le système était comparable à un livre ouvert : on pouvait non seulement observer le trafic, mais aussi intervenir. Avec son chiffrement TLS et l’authentification sécurisée des acteurs, BACnet/SC traite exactement ce point de vulnérabilité. En outre, des points faibles hérités des versions précédentes ont été corrigés, en particulier l’obligation de recourir aux broadcasts dans BACnet/IP. Ceci facilite considérablement la gestion.

Prof. Dr Sebastian Obermeier : Du point de vue IT, les broadcasts sont problématiques : ils surchargent les réseaux, présentent des risques et rendent difficile l’intégration dans le cloud. BACnet/SC opte pour une architecture hub‑and‑spoke, qui permet une communication prévisible, contrôlable et compatible avec les pare-feu. La démarche ayant conduit à BACnet/SC reposait sur deux axes : renforcer la sécurité et établir une base d’architecture adaptée aux besoins futurs.

Quelles sont les principales différences entre BACnet/IP et BACnet/SC ?

Olivier Steiger : Nous avons déjà évoqué la disparition des broadcasts, mais d’autres différences essentielles sont à souligner. Alors que BACnet/IP transmet les données en clair, BACnet/SC les chiffre de manière fiable et permet en outre l’authentification des nœuds du réseau. Chaque appareil doit ainsi se présenter avec un certificat valide avant de pouvoir communiquer. C’est une rupture nette avec la pratique antérieure, où le simple fait de brancher un appareil suffisait pour l’intégrer au réseau. Enfin, BACnet/SC repose sur TCP plutôt que sur UDP, ce qui rend la communication orientée connexion, et donc plus fiable.

Sebastian Obermeier : Ce changement est déterminant en matière de pare-feu. Avec UDP, il faut ouvrir largement les règles stateless pour laisser passer les réponses entrantes. Avec TCP, ce risque disparaît, car la communication est orientée connexion : les échanges sont identifiés et peuvent être autorisés de manière contrôlée. Pour l’intégration dans des environnements IT modernes, c’est un avantage majeur.

Quels défis se posent autour de la gestion des certificats dans la pratique ?

Sebastian Obermeier : Les certificats sont à la fois une contrainte et une nécessité. Ils instaurent la confiance, mais doivent être gérés sur toute leur durée de vie : création, distribution, renouvellement, révocation. Cela exige des processus clairs et une infrastructure de gestion de clés. Dans l’IT classique, cela fait partie des standards établis, mais dans l’automatisation du bâtiment, cette culture est encore émergente. Sans responsabilités définies et procédures documentées, le système devient vite ingérable. La difficulté est donc de déterminer : qui gère quoi, et à quel moment ?

Olivier Steiger : La situation se complique encore dans les environnements multi-constructeurs. Chaque fabricant applique sa propre logique, mais au final c’est l’exploitant qui doit assurer la cohérence et maintenir le système. Comme il n’existe pas encore de lignes directrices et de bonnes pratiques transversales, nous travaillons précisément sur ce sujet, afin d’éviter que chaque projet ne doive repartir de zéro.

 

Nouvelle complexité pour les installateurs et les exploitants

Quels sont les pièges fréquents lors de la mise en service de BACnet/SC ?

Olivier Steiger : Le premier écueil est presque trivial : il est souvent difficile de déterminer qui est responsable de quoi. Qui gère les certificats ? Qui définit les clés ? Qui assure les mises à jour ? Sans une définition claire des rôles et des processus, le système ne peut pas fonctionner. Ces points doivent être établis bien avant la mise en service du bâtiment et des installations.

Sebastian Obermeier : Un exemple issu de notre laboratoire montre à quel point le sujet est sensible : des étudiants devaient configurer une chaîne de certificats. Une seule case non activée dans la procédure a suffi pour bloquer tous les accès, et l’appareil n’a été récupérable qu’après un reset matériel. C’est instructif sur le plan pédagogique, mais en exploitation réelle, ce serait dramatique. La sécurité implique toujours un effort initial, et même de petites négligences peuvent avoir de grandes conséquences.

Quel est l’impact sur l’exploitation et le facility management au quotidien ?

Olivier Steiger : À court terme, cela complique les choses. Nombre de responsables techniques et de facility managers viennent du monde électrotechnique et ont peu d’expérience en cybersécurité. La gestion de certificats, des clés et des processus de sécurité représente pour eux un domaine nouveau, ce qui alourdit les opérations plutôt que de les simplifier. À plus long terme, l’espoir est que des outils automatisés et des procédures standardisées se développent pour faciliter ces tâches. Mais ces solutions en sont encore à leurs débuts.

Sebastian Obermeier : Les premiers outils de gestion automatisée des certificats commencent à apparaître. Certains fabricants expérimentent des solutions visant à simplifier le renouvellement et la distribution. Lorsque le marché aura atteint une masse critique, des solutions professionnelles plus complètes suivront, ce qui facilitera nettement le travail des exploitants.

Une coexistence parallèle de BACnet/IP et BACnet/SC est-elle possible ?

Olivier Steiger : Oui, c’est même la situation la plus fréquente aujourd’hui. De nombreuses installations existantes fonctionnent en BACnet/IP, tandis que les extensions ou modernisations passent à BACnet/SC. Techniquement, cela fonctionne, mais l’intégration se révèle souvent plus complexe que prévu. Même des spécialistes de fabricants, venus nous assister, ont parfois besoin de temps pour obtenir un fonctionnement stable. Cela s’explique par le fait que l’on dispose encore de peu de retours d’expérience dans ce domaine.

Sebastian Obermeier : D’un point de vue sécurité, un système est intrinsèquement limité par son élément le moins robuste : c’est lui qui fixe le niveau de protection effectif. Si l’on conserve des composants anciens non sécurisés, le risque demeure. Une migration progressive est judicieuse, par exemple étage par étage lors de rénovations. Mais à moyen terme, une transition complète vers BACnet/SC sera incontournable.

 

Planification, interfaces IT et état du marché

Quels points les planificateurs et intégrateurs doivent-ils prendre en compte lorsqu’un projet exige BACnet/SC ?

Olivier Steiger : Ils doivent définir très tôt l’architecture réseau et anticiper des aspects tels que la gestion des certificats, des clés et les procédures de mise à jour. Ces questions doivent être traitées dès la phase de conception, et non reportées à l’exploitant une fois l’installation en service. L’intégrateur doit également être en mesure d’expliquer clairement à l’exploitant les processus qui l’attendent.

Sebastian Obermeier : BACnet/SC n’est qu’un élément d’une stratégie de sécurité globale, ce n’est pas une solution miracle. Les planificateurs doivent donc travailler en étroite collaboration avec les responsables de la sécurité IT et définir précisément les interfaces. Considérer BACnet/SC de manière isolée serait une approche trop limitée.

Dans quelle mesure BACnet/SC s’intègre-t-il aux concepts modernes de cybersécurité ?

Sebastian Obermeier : Très bien, notamment grâce à des approches telles que le Zero Trust, où aucun paquet de données n’est accepté sans vérification préalable. Il en va de même pour les interfaces OT/IT, qui peuvent être intégrées de manière sécurisée jusqu’au cloud grâce à BACnet/SC.

Olivier Steiger : Un autre aspect prend également de l’importance dans la branche : le reporting de durabilité. Les exploitants de grands portefeuilles immobiliers doivent être en mesure de fournir leurs données de consommation et d’énergie à tout moment.

BACnet/SC devient ainsi un facilitateur pour le smart building et le green building, en garantissant une communication fiable et sécurisée.

Où en est la diffusion de BACnet/SC sur le marché ?

Olivier Steiger : BACnet est déjà un standard établi dans les grands projets. BACnet/SC est défini dans la révision actuelle et les premiers produits sont disponibles, mais la mise en œuvre pratique en est encore à ses débuts. Beaucoup d’installations fonctionnent toujours en BACnet/IP et certains pensent qu’il suffit de sécuriser le réseau IT autour pour être protégés.

C’est trompeur : on obtient alors un système non sécurisé dans une enveloppe sécurisée. Si cette enveloppe est compromise, l’ensemble devient vulnérable.

Sebastian Obermeier : De plus, BACnet/SC doit être explicitement exigé dans les appels d’offres. Si ce n’est pas le cas, on continuera à livrer des équipements BACnet/IP classiques. Le standard, à lui seul, ne change rien : il faut une volonté affirmée d’élever le niveau de sécurité.

 

Formation, recherche et perspectives

Quels sont les besoins en formation et quelles offres existent aujourd’hui ?

Olivier Steiger : Certains fabricants proposent des formations, mais celles-ci restent souvent limitées à leurs propres solutions. Il manque encore un cadre transversal couvrant les environnements multi-constructeurs. C’est précisément l’objet d’un projet de recherche en cours : établir une recommandation qui attribue des rôles clairs à chacun, du planificateur à l’intégrateur, jusqu’au facility manager.

Sebastian Obermeier : Beaucoup d’acteurs de la branche ont peu de contact avec la cybersécurité. Les compétences de base des professionnels de l’électricité portent sur l’installation électrique, alors que l’automatisation sécurisée du bâtiment exige des connaissances supplémentaires dans le domaine IT. Des formations fondamentales ciblées seront donc indispensables dans de nombreux cas.

Sur quoi portent vos recherches actuelles ?

Olivier Steiger : En collaboration avec le Cyber Defense Campus d’Armasuisse, nous étudions actuellement la cybersécurité dans l’automatisation du bâtiment. Nous examinons concrètement les risques que représentent les protocoles non sécurisés en situation réelle, ainsi que les processus nécessaires pour renforcer la sécurité. À l’avenir, nous porterons également notre attention sur les compteurs intelligents et les installations photovoltaïques, car il s’agit de systèmes largement déployés et donc particulièrement sensibles du point de vue de la sécurité.

Sebastian Obermeier : Un autre domaine de recherche concerne la sécurité post-quantique. Aujourd’hui, BACnet/SC n’est pas résistant aux attaques menées à l’aide d’ordinateurs quantiques. Même si ces attaques ne sont pas encore une réalité opérationnelle, nous souhaitons être prêts. C’est pourquoi nous étudions dans nos laboratoires l’intégration optimale d’algorithmes post-quantiques et de méthodes de distribution quantique des clés.

 

 

À propos du Prof. Dr Sebastian Obermeier

Professeur en cybersécurité industrielle à la Haute école de Lucerne (HSLU), Sebastian Obermeier est expert des systèmes de contrôle et des réseaux OT dans les domaines de l’énergie, du bâtiment et de l’industrie. Son travail porte principalement sur la sécurisation des protocoles de communication, la protection des infrastructures critiques et l’application de concepts de cybersécurité tels que Zero Trust dans des environnements opérationnels. Avant de rejoindre la recherche appliquée, il a travaillé plusieurs années dans le conseil en sécurité informatique. Il est aujourd’hui actif dans des projets nationaux et européens visant à renforcer la sécurité des systèmes d’automatisation et à développer des méthodologies et outils adaptés aux besoins des exploitants.

À propos du Prof. Dr Olivier Steiger

Professeur en systèmes énergétiques à la Haute école de Lucerne (HSLU), Olivier Steiger est spécialisé dans l’automatisation du bâtiment, les réseaux d’énergie et les architectures de gestion technique intégrée. Ingénieur de formation, il travaille depuis de nombreuses années sur l’optimisation énergétique des infrastructures et la mise en place de systèmes de pilotage intelligents. Il coordonne également plusieurs projets de recherche appliquée portant sur la numérisation des installations, l’intégration des énergies renouvelables et la gestion de données dans le bâtiment. Ses activités s’étendent à la formation continue et à l’accompagnement de collectivités, bureaux d’ingénieurs et exploitants dans la transition vers des bâtiments plus performants et interopérables.

Ces articles pourraient également vous intéresser

Une photo de quatre personnes dont deux présentant fièrement un contrat.
Remise solennelle (de gauche à droite) : Andrej Golob, CEO Alltron AG, Felix Kamer, Director Digital Power, Huawei Technologies Switzerland AG, Karin Madliger, responsable commercialisation & distribution Alltron & Jamei, groupe Competec, ainsi que Richard Pimper, Vice-President & CTO Huawei Digital Power WEU. (Image : Alltron)

Titre traduit : Alltron remporte un contrat de distribution pour Huawei Digital Power

MBG à l’origine d’une grande première à Genève

Prof. Dr. Caroline Karmann au Forum Romand de l’Éclairage et de la domotique, FRED
La présentation introductive a été réalisée par Caroline Karmann

FRED : Partie 1 - Infos importantes sur l’éclairage

Configurateur photovoltaïque Sonepar

Le configurateur PV de Sonepar – pour une estimation des coûts simple

Panneaux photovoltaïques installés en façade
10 % des besoins en électricité de la Suisse pourront être couverts par des PV en façade

Document de transition pour la planification et la méthode de preuve en protection incendie

Voir tous les articles

Mentions légales

Text: Markus Back

Source de l'image: Marc Schoeffel

Informations

www.hslu.ch

Autres articles

Voir tous les articles

Veröffentlicht am:

Aperçu du site