La KNX Association travaille pour que KNX soit la solution la plus sûre du marché de l’automatisation intelligente de l’habitat et des bâtiments.

Raison pour laquelle la technologie KNX répond aux exigences de sécurité les plus sévères suivant la norme de chiffrement AES128 (selon ISO 18033-3, p. ex. chiffrement AES 128 CCM). La technologie KNX Secure est également conforme à la norme EN 50090-3-4, c’est-à-dire qu’elle est capable de neutraliser les attaques de hackers sur l’infrastructure numérique des bâtiments connectés. Le risque de brèches de sécurité informatiques est donc minimisé.

Le développement de KNX Secure a entre autres été axé sur les défis actuels, mais aussi futurs, de la cybersécurité dans l’automatisation des bâtiments. C’est pourquoi KNX Secure opère suivant deux approches différentes :

Il n’y a plus aucune raison de ne pas exécuter les installations KNX IP au standard KNX Secure. Les projeteurs électricité doivent maintenant franchir le pas et modifier leurs offres en conséquence.

« Smart home and building solutions. Global. Secure. Connected. » Tel est le slogan de la technologie KNX. Une technologie globale, sécurisée et quand même réseautée. Néanmoins, ce cocktail ne fonctionne que si certains points fondamentaux sont respectés. Les projeteurs sont donc appelés à projeter et à deviser leurs installations de technique des bâtiments de sorte à ce qu’elles offrent tous les éléments de cybersécurité réalisables aujourd’hui.

L’effet de la pression au niveau des coûts

Face à l’augmentation des coûts liés à l’entretien de plusieurs infrastructures réseau indépendantes dans les bâtiments, les clients exigent de plus en plus le recours à un seul réseau IP. Tous les services nécessaires sont ainsi gérés dans la même infrastructure IP et doivent être conformes aux prescriptions de cybersécurité de ce réseau. Ce qui permet au service informatique d’assurer la gestion du réseau à une seule adresse et de gérer les certificats de cybersécurité.

Des règles du jeu fondamentales

Pour que les services informatiques autorisent l’intégration des appareils d’automatisation des bâtiments sur un réseau IP, quelques règles doivent être respectées : les périphériques doivent être « compatibles IP » , c’est-à-dire qu’ils doivent par exemple prendre en charge l’attribution d’adresses IP dynamiques (DHCP). La résolution de noms (DNS) doit également être prise en charge, et la communication ne peut plus être basée sur une connexion en broadcast.

D’un autre côté, le service informatique veille à ce que les accès venant de l’extérieur soient sécurisés pour qu’ils assurent l’accès à distance nécessaire à la télémaintenance. Il veille également à ce que l’ensemble du bâtiment dispose de connexions réseau en quantité suffisante pour raccorder des périphériques par câble, et d’une bonne couverture par des points d’accès Wi-Fi. Dans ce domaine, il est impératif d’appliquer les mêmes règles aux centrales techniques.

Et lorsqu’un bâtiment appartient à une dénommée « infrastructure critique », les exigences en matière de cybersécurité sont encore plus sévères. En règle générale, le service informatique impose à ces types d’ouvrages des prescriptions plus strictes. Celles-ci peuvent aller jusqu’à des vérifications individuelles ou des renseignements écrits fournis par les fabricants pour certains mécanismes de cybersécurité.

Les missions concrètes des projeteurs électricité et des intégrateurs

Lorsqu’il commence son étude, le projeteur (en technique des bâtiments) doit rencontrer la maîtrise d’ouvrage et son service informatique pour définir les conditions cadres : concept d’adresses IP, règles de sélection du matériel, des routeurs et des mots de passe, y compris leur administration, etc. Qui dispose d’un accès et qui le gère ? Le VPN peut être une solution, car il n’y aura sûrement plus de ports ouverts ! En outre, le concept doit également tenir compte des phases du projet telles que la construction, l’exploitation et la maintenance. Et il faut définir KNX IP Secure comme la nouvelle norme en matière de transfert d’informations KNX aux infrastructures IP.

Le logiciel ETS : une aide inestimable

Les intégrateurs KNX n’ont plus qu’à deviser et configurer l’ensemble de la communication IP de KNX via les routeurs KNX IP Secure. Ces derniers encryptent les télégrammes sur le réseau IP et sécurisent l’installation contre les cyberattaques provenant de l’extérieur. Grâce au logiciel ETS (Engineering Tool Software) et à un mot de passe de projet défini initialement, l’implémentation de KNX Secure au niveau IP est un jeu d’enfant. Il va sans dire que la gestion du mot de passe doit être très rigoureuse.

KNX via IP, avec la sécurité en prime

Tout routeur KNX IP Secure possède un certificat imprimé par le fabricant sur une étiquette (amovible). Cette clé unique dans le monde est intégrée au pool de certificats enregistré sous « Sécurité » dans le logiciel ETS, et de là elle est générée en arrière-plan par ETS. Si l’appareil ne possède plus de certificat, il ne doit être utilisé que sur des installations non protégées. Dans la gestion de ces « étiquettes », la précaution est donc de mise. Et on a tout intérêt à définir la procédure correspondante ! Si les étiquettes manquent, il faudra dans le pire des cas demander l’échange du matériel.

Et s’il n’y a aucun problème de certificat, il suffira d’activer le mode Secure sur chaque périphérique, et la communication IP sera sécurisée une fois l’adressage des périphériques et la transmission des paramètres réalisés. Le « trousseau de clés » pourra être exporté d’ETS à tout moment et importé sur des périphériques non configurables sur ETS, comme par exemple les visualisations.

Le passage au câble vert sur demande

Dans une deuxième phase, et si les caractéristiques du projet l’exigent, la communication avec KNX Data Secure peut être rendue encore plus sûre via le câble Twisted Pair vert. Dans une maison individuelle, ce point sera moins crucial que dans un hôtel, par exemple.

Le guide de KNX Swiss nous en dit plus à ce sujet et fournit conseils et astuces pour les projets.