Aux États-Unis, une attaque ciblant un système de thermostats intelligents a paralysé un immeuble de bureaux. En exploitant des failles sur des équipements connectés insuffisamment sécurisés, les attaquants ont pris le contrôle de la température, perturbant durablement l’activité des équipes. Bien qu’aucune donnée n’ait été volée, l’incident a révélé l’absence de suivi des actifs connectés et les risques opérationnels associés. L’entreprise a dû engager des mesures correctives coûteuses pour reprendre le contrôle et renforcer la sécurité de ses systèmes.

Les Building Management Systems (BMS), systèmes centralisés qui orchestrent l’invisible dans les immeubles modernes - chauffage, ventilation, climatisation, éclairage, ascenseurs, contrôle d’accès ou capteurs critiques - sont devenus des cibles faciles et lucratives. Conçus à une époque où la cybersécurité n’était pas une priorité, ils accumulent des failles : protocoles non chiffrés, mots de passe d’usine inchangés, correctifs difficiles à appliquer sans rupture opérationnelle.

Leur intégration croissante avec des dispositifs IoT et des plateformes cloud ouvre de nouveaux points d’entrée pour les cybercriminels. Des études récentes montrent que dans un large échantillon de systèmes de gestion de bâtiments, jusqu’à 75 % présentent des vulnérabilités déjà exploitées en conditions réelles, 51 % étant exposés directement à Internet dans des configurations risquées. Dans certains échantillons historiques, près de 40 % des bâtiments intelligents ont déjà été touchés par des attaques de malware, soulignant l’ampleur du risque.

Quand le smart building devient un cheval de Troie

Au cœur des villes connectées, les bâtiments intelligents constituent une infrastructure critique, à la fois physique et numérique. Leur sécurité ne peut être réduite à un simple enjeu technique : elle conditionne directement la résilience urbaine et la continuité des services essentiels. Chaque capteur, caméra ou thermostat constitue un point d’accès potentiel vers des systèmes critiques, souvent connectés aux mêmes réseaux que les serveurs financiers ou de production, sans segmentation stricte. Lorsqu’un BMS est compromis, c’est toute l’efficacité opérationnelle et la sécurité des occupants qui est menacée.

Pour sécuriser un bâtiment intelligent, il est essentiel de répertorier tous les équipements connectés – capteurs, automates, systèmes anciens – et de surveiller en permanence leur fonctionnement pour détecter toute anomalie ou comportement suspect. La combinaison des technologies informatiques (IT) et opérationnelles (OT), associée à la micro‑segmentation du réseau, permet d’isoler chaque équipement ou zone critique. Ainsi, si un système est compromis, l’incident reste localisé et n’affecte pas l’ensemble des services. Enfin, l’utilisation d’outils d’analyse avancée des menaces permet d’anticiper les attaques avant qu’elles ne se produisent et d’agir en amont pour protéger les services essentiels de la collectivité.

L’aspect organisationnel est tout aussi déterminant. Les BMS appartiennent souvent au propriétaire du bâtiment, sont exploités par un facility manager et desservent des locataires sur lesquels la collectivité n’a pas de contrôle direct en matière de sécurité. L’absence d’inventaire précis et à jour des dispositifs constitue une faille majeure pouvant amplifier l’impact d’une attaque. La gouvernance, la documentation et la coordination entre toutes les parties prenantes deviennent alors des leviers essentiels pour réduire le risque et renforcer la résilience des infrastructures.

Vers des bâtiments intelligents sûrs et résilients

Certaines collectivités françaises commencent à intégrer la cybersécurité dès la conception de leurs projets urbains connectés, reconnaissant que protéger les services numériques est un levier de résilience territoriale. À cet égard, la Métropole du Grand Paris a lancé en 2025 un programme d’accompagnement en cybersécurité à destination de ses 130 communes, conduit en partenariat avec le Campus Cyber dans le cadre de CYBIAH (Cyber et IA Hub).

Ces initiatives reposent sur des principes clairs : sécurité dès la conception (security-by-design), surveillance proactive des dispositifs et intégration de la cybersécurité dans la gouvernance urbaine et les processus décisionnels. Elles montrent que la protection des infrastructures connectées n’est plus un luxe, mais un impératif pour garantir la continuité des services municipaux et la confiance des citoyens.

Dans le contexte de la directive NIS2 et de la multiplication des attaques ciblant des infrastructures critiques, la cybersécurité des bâtiments intelligents devient un impératif réglementaire et opérationnel pour les collectivités. À terme, la résilience des bâtiments pourra aussi devenir un critère de valorisation immobilière, comparable aux labels environnementaux ou de confort tels que LEED ou WELL, tout en constituant un facteur de confiance pour les usagers et les citoyens.