Global. Secure. Connected
La KNX Association travaille pour que KNX soit la solution la plus sûre du marché de l’automatisation intelligente de l’habitat et des bâtiments.
Raison pour laquelle la technologie KNX répond aux exigences de sécurité les plus sévères suivant la norme de chiffrement AES128 (selon ISO 18033-3, p. ex. chiffrement AES 128 CCM). La technologie KNX Secure est également conforme à la norme EN 50090-3-4, c’est-à-dire qu’elle est capable de neutraliser les attaques de hackers sur l’infrastructure numérique des bâtiments connectés. Le risque de brèches de sécurité informatiques est donc minimisé.
Le développement de KNX Secure a entre autres été axé sur les défis actuels, mais aussi futurs, de la cybersécurité dans l’automatisation des bâtiments. C’est pourquoi KNX Secure opère suivant deux approches différentes :
La communication KNX via IP est protégée. Cette fonction est disponible sur les routeurs KNX IP compatibles KNX Secure.
« Il n’y a plus aucune raison de ne pas exécuter les installations KNX IP au standard KNX Secure. Les projeteurs électricité doivent maintenant franchir le pas et modifier leurs offres en conséquence. »
La communication KNX via TP est protégée.
La communication KNX via IP est protégée. Cette fonction est disponible sur les routeurs KNX IP compatibles KNX Secure
Naturellement, il est tout à fait possible de réaliser l’ensemble d’un projet avec KNX Data Secure. Cela peut être le cas lorsque les appareils KNX utilisés ne sont pas compatibles IP.
Au niveau IP comme au niveau TP, tous les télégrammes KNX communiquant avec les appareils Secure sont chiffrés.
Coupleur de ligne compatible KNX Secure avec Code Secure inscrit sur le côté. Ce code peut être chargé directement sur le logiciel ETS via la caméra de l’ordinateur portable.
La plaquette signalétique de l’appareil indique que celui-ci est compatible KNX Secure. Certains appareils peuvent aussi présenter un X.
À leur tour, les actionneurs KNX sont compatibles avec les télégrammes KNX Secure correspondants.
Routeur KNX IP compatible KNX Secure avec Code Secure inscrit sur le côté. Ce code peut être chargé directement sur le logiciel ETS via la caméra de l’ordinateur portable.
D’autres fabricants inscrivent tout simplement un texte sur l’appareil.
Vous trouverez plus d'informations à ce sujet dans le guide KNX Swiss pour la Sécurité de l'informatique et de la technique des bâtiments.
Il n’y a plus aucune raison de ne pas exécuter les installations KNX IP au standard KNX Secure. Les projeteurs électricité doivent maintenant franchir le pas et modifier leurs offres en conséquence.
« Smart home and building solutions. Global. Secure. Connected. » Tel est le slogan de la technologie KNX. Une technologie globale, sécurisée et quand même réseautée. Néanmoins, ce cocktail ne fonctionne que si certains points fondamentaux sont respectés. Les projeteurs sont donc appelés à projeter et à deviser leurs installations de technique des bâtiments de sorte à ce qu’elles offrent tous les éléments de cybersécurité réalisables aujourd’hui.
L’effet de la pression au niveau des coûts
Face à l’augmentation des coûts liés à l’entretien de plusieurs infrastructures réseau indépendantes dans les bâtiments, les clients exigent de plus en plus le recours à un seul réseau IP. Tous les services nécessaires sont ainsi gérés dans la même infrastructure IP et doivent être conformes aux prescriptions de cybersécurité de ce réseau. Ce qui permet au service informatique d’assurer la gestion du réseau à une seule adresse et de gérer les certificats de cybersécurité.
Des règles du jeu fondamentales
Pour que les services informatiques autorisent l’intégration des appareils d’automatisation des bâtiments sur un réseau IP, quelques règles doivent être respectées : les périphériques doivent être « compatibles IP » , c’est-à-dire qu’ils doivent par exemple prendre en charge l’attribution d’adresses IP dynamiques (DHCP). La résolution de noms (DNS) doit également être prise en charge, et la communication ne peut plus être basée sur une connexion en broadcast.
D’un autre côté, le service informatique veille à ce que les accès venant de l’extérieur soient sécurisés pour qu’ils assurent l’accès à distance nécessaire à la télémaintenance. Il veille également à ce que l’ensemble du bâtiment dispose de connexions réseau en quantité suffisante pour raccorder des périphériques par câble, et d’une bonne couverture par des points d’accès Wi-Fi. Dans ce domaine, il est impératif d’appliquer les mêmes règles aux centrales techniques.
Et lorsqu’un bâtiment appartient à une dénommée « infrastructure critique », les exigences en matière de cybersécurité sont encore plus sévères. En règle générale, le service informatique impose à ces types d’ouvrages des prescriptions plus strictes. Celles-ci peuvent aller jusqu’à des vérifications individuelles ou des renseignements écrits fournis par les fabricants pour certains mécanismes de cybersécurité.
Les missions concrètes des projeteurs électricité et des intégrateurs
Lorsqu’il commence son étude, le projeteur (en technique des bâtiments) doit rencontrer la maîtrise d’ouvrage et son service informatique pour définir les conditions cadres : concept d’adresses IP, règles de sélection du matériel, des routeurs et des mots de passe, y compris leur administration, etc. Qui dispose d’un accès et qui le gère ? Le VPN peut être une solution, car il n’y aura sûrement plus de ports ouverts ! En outre, le concept doit également tenir compte des phases du projet telles que la construction, l’exploitation et la maintenance. Et il faut définir KNX IP Secure comme la nouvelle norme en matière de transfert d’informations KNX aux infrastructures IP.
Le logiciel ETS : une aide inestimable
Les intégrateurs KNX n’ont plus qu’à deviser et configurer l’ensemble de la communication IP de KNX via les routeurs KNX IP Secure. Ces derniers encryptent les télégrammes sur le réseau IP et sécurisent l’installation contre les cyberattaques provenant de l’extérieur. Grâce au logiciel ETS (Engineering Tool Software) et à un mot de passe de projet défini initialement, l’implémentation de KNX Secure au niveau IP est un jeu d’enfant. Il va sans dire que la gestion du mot de passe doit être très rigoureuse.
KNX via IP, avec la sécurité en prime
Tout routeur KNX IP Secure possède un certificat imprimé par le fabricant sur une étiquette (amovible). Cette clé unique dans le monde est intégrée au pool de certificats enregistré sous « Sécurité » dans le logiciel ETS, et de là elle est générée en arrière-plan par ETS. Si l’appareil ne possède plus de certificat, il ne doit être utilisé que sur des installations non protégées. Dans la gestion de ces « étiquettes », la précaution est donc de mise. Et on a tout intérêt à définir la procédure correspondante ! Si les étiquettes manquent, il faudra dans le pire des cas demander l’échange du matériel.
Et s’il n’y a aucun problème de certificat, il suffira d’activer le mode Secure sur chaque périphérique, et la communication IP sera sécurisée une fois l’adressage des périphériques et la transmission des paramètres réalisés. Le « trousseau de clés » pourra être exporté d’ETS à tout moment et importé sur des périphériques non configurables sur ETS, comme par exemple les visualisations.
Le passage au câble vert sur demande
Dans une deuxième phase, et si les caractéristiques du projet l’exigent, la communication avec KNX Data Secure peut être rendue encore plus sûre via le câble Twisted Pair vert. Dans une maison individuelle, ce point sera moins crucial que dans un hôtel, par exemple.
Le guide de KNX Swiss nous en dit plus à ce sujet et fournit conseils et astuces pour les projets.