KNX Secure

La solution la plus sûre dans la technique modulaire des bâtiments

Global. Secure. Connected

La sécurisation optimale contre l’accès par des tiers

La KNX Association travaille pour que KNX soit la solution la plus sûre du marché de l’automatisation intelligente de l’habitat et des bâtiments.

Raison pour laquelle la technologie KNX répond aux exigences de sécurité les plus sévères suivant la norme de chiffrement AES128 (selon ISO 18033-3, p. ex. chiffrement AES 128 CCM). La technologie KNX Secure est également conforme à la norme EN 50090-3-4, c’est-à-dire qu’elle est capable de neutraliser les attaques de hackers sur l’infrastructure numérique des bâtiments connectés. Le risque de brèches de sécurité informatiques est donc minimisé.


Le développement de KNX Secure a entre autres été axé sur les défis actuels, mais aussi futurs, de la cybersécurité dans l’automatisation des bâtiments. C’est pourquoi KNX Secure opère suivant deux approches différentes :

Principe de base KNX Secure

KNX IP Secure

La communication KNX via IP est protégée. Cette fonction est disponible sur les routeurs KNX IP compatibles KNX Secure.

  • Les télégrammes KNX IP sont chiffrés.
  • Exigence minimale dès lors que KNX IP est utilisé dans un projet.
  • Configuration et intégration du chiffrage Secure via le projet ETS.
KNX IP Secure

« Il n’y a plus aucune raison de ne pas exécuter les installations KNX IP au standard KNX Secure. Les projeteurs électricité doivent maintenant franchir le pas et modifier leurs offres en conséquence. »

KNX Data Secure

La communication KNX via TP est protégée.

  • Les télégrammes KNX communiquant avec les périphériques Secure sont protégés.
  • Tous les appareils KNX à protéger doivent être KNX Secure.
  • Configuration et intégration du chiffrage Secure via le projet ETS
KNX Data Secure
  • Il peut également y avoir certains appareils du réseau qui communiquent avec des appareils non protégés.

  • Les appareils non protégés ne peuvent pas communiquer avec les appareils protégés.

KNX Secure dans le projet

KNX IP Secure et KNX TP

La communication KNX via IP est protégée. Cette fonction est disponible sur les routeurs KNX IP compatibles KNX Secure

  • Seuls les télégrammes KNX IP sont chiffrés.
  • La communication KNX TP peut rester non chiffrée.
KNX IP Secure et KNX TP

Projet avec KNX Data Secure

Naturellement, il est tout à fait possible de réaliser l’ensemble d’un projet avec KNX Data Secure. Cela peut être le cas lorsque les appareils KNX utilisés ne sont pas compatibles IP.

  • Les télégrammes KNX qui communiquent avec les périphériques Secure sont protégés.
  • Tous les appareils KNX à protéger doivent être des appareils KNX Secure.
  • Configuration et intégration du chiffrage Secure via le projet ETS
KNX Data Secure dans le projet
  • Les coupleurs de zone et de ligne doivent aussi être compatibles KNX Secure.

Projet avec KNX IP Secure & KNX Data Secure

Au niveau IP comme au niveau TP, tous les télégrammes KNX communiquant avec les appareils Secure sont chiffrés.

  • Néanmoins, il est possible que la communication entre certains appareils ne soit pas chiffrée.
  • Tous les appareils à protéger sont compatibles avec la norme KNX Secure.
  • Configuration et intégration du chiffrage Secure via le projet ETS
KNX Data Secure et KNX IP Secure dans le projet

Appareils KNX Secure

Coupleur de ligne KNX Secure

Coupleur de ligne compatible KNX Secure avec Code Secure inscrit sur le côté. Ce code peut être chargé directement sur le logiciel ETS via la caméra de l’ordinateur portable.

KNX IP Secure Router von ABB

La plaquette signalétique de l’appareil indique que celui-ci est compatible KNX Secure. Certains appareils peuvent aussi présenter un X.

Actionneur KNX Secure de la marque Feller

À leur tour, les actionneurs KNX sont compatibles avec les télégrammes KNX Secure correspondants.

Routeur KNX IP compatible KNX Secure

Routeur KNX IP compatible KNX Secure avec Code Secure inscrit sur le côté. Ce code peut être chargé directement sur le logiciel ETS via la caméra de l’ordinateur portable.

KNX IP Secure Router von Siemens

D’autres fabricants inscrivent tout simplement un texte sur l’appareil.

KNX Security Check

Avec cet outil de l'association KNX, vous pouvez, en tant que propriétaire d'une installation KNX, vérifier si votre système KNX dans votre maison est protégé contre les accès non autorisés depuis Internet.

L'outil vérifie rapidement et facilement si votre routeur Internet est configuré de manière à ce que d'éventuels accès à vos appareils KNX depuis l'extérieur puissent être utilisés de manière abusive.
Si l'outil constate que votre installation KNX n'est pas suffisamment protégée sous votre adresse IP actuelle, vous recevrez des conseils sur la manière de rendre votre installation plus sûre.

Dans ce cas, vous devez absolument prendre contact avec votre intégrateur de système. Il est l'expert qui peut vous aider à configurer votre installation de manière à ce qu'elle soit protégée contre les attaques provenant d'Internet.

KNX Secure dans la pratique

Vous trouverez plus d'informations à ce sujet dans le guide KNX Swiss pour la Sécurité de l'informatique et de la technique des bâtiments.

Projets d’AB : comment bien maîtriser le stade de l’étude

Il n’y a plus aucune raison de ne pas exécuter les installations KNX IP au standard KNX Secure. Les projeteurs électricité doivent maintenant franchir le pas et modifier leurs offres en conséquence.

« Smart home and building solutions. Global. Secure. Connected. » Tel est le slogan de la technologie KNX. Une technologie globale, sécurisée et quand même réseautée. Néanmoins, ce cocktail ne fonctionne que si certains points fondamentaux sont respectés. Les projeteurs sont donc appelés à projeter et à deviser leurs installations de technique des bâtiments de sorte à ce qu’elles offrent tous les éléments de cybersécurité réalisables aujourd’hui.


L’effet de la pression au niveau des coûts

Face à l’augmentation des coûts liés à l’entretien de plusieurs infrastructures réseau indépendantes dans les bâtiments, les clients exigent de plus en plus le recours à un seul réseau IP. Tous les services nécessaires sont ainsi gérés dans la même infrastructure IP et doivent être conformes aux prescriptions de cybersécurité de ce réseau. Ce qui permet au service informatique d’assurer la gestion du réseau à une seule adresse et de gérer les certificats de cybersécurité.

Des règles du jeu fondamentales

Pour que les services informatiques autorisent l’intégration des appareils d’automatisation des bâtiments sur un réseau IP, quelques règles doivent être respectées : les périphériques doivent être « compatibles IP » , c’est-à-dire qu’ils doivent par exemple prendre en charge l’attribution d’adresses IP dynamiques (DHCP). La résolution de noms (DNS) doit également être prise en charge, et la communication ne peut plus être basée sur une connexion en broadcast.

D’un autre côté, le service informatique veille à ce que les accès venant de l’extérieur soient sécurisés pour qu’ils assurent l’accès à distance nécessaire à la télémaintenance. Il veille également à ce que l’ensemble du bâtiment dispose de connexions réseau en quantité suffisante pour raccorder des périphériques par câble, et d’une bonne couverture par des points d’accès Wi-Fi. Dans ce domaine, il est impératif d’appliquer les mêmes règles aux centrales techniques.

Et lorsqu’un bâtiment appartient à une dénommée « infrastructure critique », les exigences en matière de cybersécurité sont encore plus sévères. En règle générale, le service informatique impose à ces types d’ouvrages des prescriptions plus strictes. Celles-ci peuvent aller jusqu’à des vérifications individuelles ou des renseignements écrits fournis par les fabricants pour certains mécanismes de cybersécurité.

Les missions concrètes des projeteurs électricité et des intégrateurs

Lorsqu’il commence son étude, le projeteur (en technique des bâtiments) doit rencontrer la maîtrise d’ouvrage et son service informatique pour définir les conditions cadres : concept d’adresses IP, règles de sélection du matériel, des routeurs et des mots de passe, y compris leur administration, etc. Qui dispose d’un accès et qui le gère ? Le VPN peut être une solution, car il n’y aura sûrement plus de ports ouverts ! En outre, le concept doit également tenir compte des phases du projet telles que la construction, l’exploitation et la maintenance. Et il faut définir KNX IP Secure comme la nouvelle norme en matière de transfert d’informations KNX aux infrastructures IP.

Le logiciel ETS : une aide inestimable

Les intégrateurs KNX n’ont plus qu’à deviser et configurer l’ensemble de la communication IP de KNX via les routeurs KNX IP Secure. Ces derniers encryptent les télégrammes sur le réseau IP et sécurisent l’installation contre les cyberattaques provenant de l’extérieur. Grâce au logiciel ETS (Engineering Tool Software) et à un mot de passe de projet défini initialement, l’implémentation de KNX Secure au niveau IP est un jeu d’enfant. Il va sans dire que la gestion du mot de passe doit être très rigoureuse.

KNX via IP, avec la sécurité en prime

Tout routeur KNX IP Secure possède un certificat imprimé par le fabricant sur une étiquette (amovible). Cette clé unique dans le monde est intégrée au pool de certificats enregistré sous « Sécurité » dans le logiciel ETS, et de là elle est générée en arrière-plan par ETS. Si l’appareil ne possède plus de certificat, il ne doit être utilisé que sur des installations non protégées. Dans la gestion de ces « étiquettes », la précaution est donc de mise. Et on a tout intérêt à définir la procédure correspondante ! Si les étiquettes manquent, il faudra dans le pire des cas demander l’échange du matériel.

Et s’il n’y a aucun problème de certificat, il suffira d’activer le mode Secure sur chaque périphérique, et la communication IP sera sécurisée une fois l’adressage des périphériques et la transmission des paramètres réalisés. Le « trousseau de clés » pourra être exporté d’ETS à tout moment et importé sur des périphériques non configurables sur ETS, comme par exemple les visualisations.

Le passage au câble vert sur demande

Dans une deuxième phase, et si les caractéristiques du projet l’exigent, la communication avec KNX Data Secure peut être rendue encore plus sûre via le câble Twisted Pair vert. Dans une maison individuelle, ce point sera moins crucial que dans un hôtel, par exemple.

Le guide de KNX Swiss nous en dit plus à ce sujet et fournit conseils et astuces pour les projets.

Datenschutzhinweis

Die KNX Swiss nimmt die aktuellen Vorgaben der Datenschutzrichtlinien ernst. Diese Webseite nutzt externe Komponenten, wie z.B. Karten oder Analysewerkzeuge welche dazu genutzt werden können, Ihnen die Karten bei unseren Partnern darzustellen und Daten über Ihr Verhalten zu sammeln. Datenschutzinformationen

Notwendige Cookies werden immer geladen