BACnet/SC (BACnet Secure Connect)

Environ 25 millions d'appareils échangent actuellement leurs données via BACnet, dont la première version a été publiée en 1995. La norme de communication multi-constructeurs dispose depuis peu de sa propre infrastructure de sécurité et est ainsi prête à répondre aux exigences de la numérisation.

Réseaux fermés et longs cycles d'innovation - au départ, la domotique avait des exigences de sécurité opérationnelle très différentes de celles des technologies de l'information (TI). Mais les technologies Internet, la convergence de l'informatique et de la domotique (GA) ainsi que les applications basées sur le cloud exigent un niveau élevé de protection pour les communications - comme la restriction d'accès, l'authentification, l'autorisation et le cryptage.

Minimiser les risques

A cela s'ajoute la stratégie KRITIS du gouvernement fédéral. Elle s'est fixé pour objectif de protéger les infrastructures critiques qui fournissent à l'État, à l'économie et à la société des biens ou des services essentiels. Qu'il s'agisse d'un aéroport, d'une usine chimique ou d'un immeuble communal, de plus en plus d'exploitants d'AG doivent prouver qu'ils peuvent garantir la sécurité de l'approvisionnement. Cela concerne également les réseaux BACnet qui, jusqu'à présent, ne pouvaient être sécurisés qu'à grands frais. Avec BACnet Secure Connect (BACnet/SC), il existe désormais une technologie permettant d'établir des connexions de communication sécurisées avec relativement peu d'efforts. La sécurité des réseaux et des informations dans le domaine de l'automatisation des bâtiments sera également assurée à l'avenir par ce qui est habituel dans le domaine de l'informatique.

Pour mener à bien ce processus, certains défis doivent être surmontés. Ainsi, la conscience de la sécurité dans l'automatisation des bâtiments est loin d'être aussi développée que dans l'informatique. En parcourant Internet à la recherche de réseaux BACnet non sécurisés, on trouve rapidement - et souvent - ce que l'on cherche. En même temps, il n'est pas facile de confier la gestion technique des bâtiments à une administration informatique expérimentée en matière de sécurité sans mettre en péril la garantie des fabricants d'appareils. Il faut donc trouver des moyens pragmatiques pour mettre en œuvre la nouvelle norme de manière à ce que les opérateurs puissent l'utiliser sans problème. En conséquence, elle utilise désormais plusieurs mécanismes qui ont fait leurs preuves dans le domaine des technologies de l'information.

Du hub au nœud

Tout d'abord, la topologie du réseau change visiblement avec BACnet/SC. Jusqu'à présent, l'établissement initial de la connexion dans BACnet s'effectuait à l'aide de broadcasts, parfois avec le soutien de ce que l'on appelle les BACnet Broadcast Management Devices (BBMD) - une méthode qui n'est pas courante dans l'informatique. C'est pourquoi une autre approche a été choisie pour la configuration : Chaque réseau est doté d'un point central, appelé hub. Il contrôle le trafic de données entre un nombre quelconque de nœuds (terminaux). Il se charge également de l'analyse du trafic afin de déterminer si les informations doivent être transmises à un seul ou à tous les nœuds. Il est également possible d'établir une connexion directe entre deux nœuds.

En même temps, BACnet/SC comprend un mécanisme de basculement qui garantit que le système reste opérationnel même si le concentrateur tombe en panne ou est éteint pour maintenance. Cette nouvelle topologie simplifie considérablement la configuration, la mise en service et la gestion. Parallèlement, les BBMD et leur configuration deviennent superflus.

Cryptage et certificats

Pour la transmission sécurisée des données, on utilise TCP (Transmission Control Protocol) avec WebSocket - deux mécanismes fiables basés sur le protocole Internet IP, qui est presque universellement utilisé dans l'informatique. TCP/IP remplace la couche de protocole réseau UDP (User Data Protocol) utilisée jusqu'à présent par BACnet et TLS est utilisé pour une communication protégée contre les écoutes et les falsifications. TLS (Transport Layer Security) est également très répandu dans l'informatique en tant que base pour l'accès sécurisé au Web (https).

En ce qui concerne le cryptage, il convient de noter qu'une procédure doit être mise en place à l'échelle de l'entreprise pour les certificats numériques nécessaires. Les autorités de certification et d'enregistrement responsables de l'Internet dans le cadre des infrastructures à clé publique ne sont pas prédéfinies dans BACnet/SC. Cela permet à un opérateur de GA de tenir compte de ses propres structures de réseau.

Pour faciliter la mise en œuvre dans les réseaux existants, les mécanismes de sécurité ont été définis comme une couche de liaison de données supplémentaire dans BACnet. De plus, la nouvelle norme est rétrocompatible dans sa révision 22 actuelle. Cela présente l'avantage que l'équipement déjà en place peut en principe communiquer avec les nouveaux appareils BACnet/SC via des routeurs appropriés. La sécurité de l'investissement est donc assurée.

Commencez dès maintenant !

Mais il apparaît déjà que les premiers fabricants commercialisent les équipements nécessaires pour rendre un réseau BACnet compatible SC. Attendre n'est donc pas une option. Au contraire, les opérateurs doivent agir dès maintenant, car la sécurité n'est pas assurée uniquement par la mise en place ou l'ajout d'équipements compatibles BACnet/SC sur un réseau. Il faut d'abord créer une conscience de la sécurité pour toutes les personnes impliquées dans un réseau BACnet.

Les opérateurs doivent également se familiariser avec les détails de la révision 22 afin de planifier la transition : que signifie passer de l'UDP à l'IP avec TLS ? D'un point de vue technique, que faut-il faire pour que la transition se fasse en douceur ? Des équipements ou des faisceaux supplémentaires sont-ils nécessaires ? Que faut-il faire pour créer des certificats numériques, les signer et les charger sur les appareils de terrain ? Quels sont les outils disponibles pour la transition ? Où peut-on tirer profit des mécanismes de l'informatique existante ?

En ce qui concerne la nouvelle gamme de produits, BACnet/SC est une technologie que la plupart des fabricants d'AG mettront en œuvre à l'avenir. Les petites entreprises peuvent être plus rapides à proposer de nouveaux produits sur le marché que les grandes. Il peut également être intéressant de rechercher les fabricants qui ont participé à la révision actuelle. Il peut également être utile pour les gestionnaires d'immeubles de demander des conseils lors de formations générales ou spécifiques à l'entreprise. C'est ainsi que l'on parviendra à appliquer BACnet/SC avec succès dans son propre immeuble.

MBS est en tête

En ce qui concerne la nouvelle gamme de produits, BACnet/SC est une technologie que la plupart des fabricants d'AG mettront en œuvre à l'avenir. MBS GmbH, qui a activement contribué à la révision 22, met progressivement à niveau ses produits. L'année dernière, en collaboration avec Delta Controls, elle a mis à disposition de tous les fabricants un environnement de test gratuit pour la communication sécurisée avec BACnet/SC. Il s'agissait de la première coopération allemande à proposer la transmission de données cryptées via Internet pour un réseau de test distribué.

BACeye/SC, le célèbre logiciel de diagnostic réseau, est désormais disponible et simplifie considérablement la mise en service, la maintenance, le diagnostic et la réparation des réseaux d'automatisation des bâtiments. BACeye/SC combine les caractéristiques de l'outil éprouvé BACeye 2.0 avec les fonctionnalités complètes de BACnet/SC - telles que la restriction d'accès, l'authentification, l'autorisation et le cryptage. Il peut être utilisé dans des environnements de communication protégés et permet une navigation cryptée. Ce type de produit contribuera à la réussite de l'application de BACnet/SC dans votre propre propriété.

Invitation au Plugfest virtuel avec BACnet/SC

Un environnement de test pour la communication sécurisée avec BACnet/SC, mis en place à l'initiative de Delta Controls avec MBS GmbH, est désormais disponible pour tous les fabricants. "Nous vous invitons à vous connecter gratuitement à notre plate-forme virtuelle", explique Dusko Lukanic-Simpson, directeur général de Delta Controls Germany GmbH à Leinfelden-Echterdingen. 

L'objectif est d'établir une communication multi-fournisseurs afin de démontrer aux opérateurs immobiliers que l'échange de données avec BACnet/SC fonctionne bien et en toute sécurité. L'impulsion pour cette collaboration a été donnée par l'application cohérente de la nouvelle infrastructure de sécurité : Delta Controls a d'abord relié des installations de test de son propre système de gestion d'immeubles enteliWEB à BACnet/SC sur ses différents sites d'entreprise. L'étape suivante a consisté à les connecter aux produits de MBS GmbH, dont les routeurs universels UBR 01, les passerelles et les logiciels sont également déjà équipés de BACnet/SC. 

Les deux pionniers de BACnet/SC accueillent tout fabricant qui souhaite les accompagner dans cette voie et mettent volontiers leur réseau à disposition. "Il existe désormais un réseau BACnet/SC qui peut être utilisé comme système de test pour la communication sécurisée des données, quel que soit le site", souligne Nils-Gunnar Fritz, directeur général de MBS GmbH à Krefeld. 

Vers le Plugfest ⟩