La cybersécurité dans l’exploitation numérique des bâtiments: entretien avec Dr. Jan Henrik Ziegeldorf

aedifion a fait certifier l'ensemble de ses processusinformatiques et commerciaux selon la norme desécurité de l'information DIN EN ISO/IEC 27001. Cette certification attestequ’aedifion a mis en place et applique un système de gestion performant visantà protéger les informations dans l’ensemble de ses activités. Dr. Jan HenrikZiegeldorf, directeur technique (CTO) d'aedifion, nous en dit plus sur le nouveau système de gestionde la sécurité de l’information et sur l’importance croissante de ce sujet pourle bâtiment de demain.

aedifion est certifiée ISO 27001 depuis décembre 2023. Cela garantit un niveau élevé de sécurité de l’information. Quelles ont été les raisons qui vous ont poussé à entreprendre cette démarche ?

La cybersécurité est un enjeu majeur qu'il ne faut pas prendre à la légère. Le rapport 2024 de l'Office fédéral de la sécurité des technologies de l'information (BSI), par exemple, signale une aggravation des menaces, notamment due à l'utilisation croissante des rançongiciels. La certification ISO 27001 nous fournit un outil efficace pour nous protéger contre ces attaques. Elle couvre l’ensemble de l’organisation, y compris les collaborateurs, qui jouent un rôle clé dans la défense contre les cyberattaques.

Notre système de management constitue également une base solide pour d’autres certifications futures, comme la norme qualité ISO 9001 ou la norme environnementale ISO 14001. Nos employés bénéficient de plans de formation personnalisés et de procédures de signalement clairement définies. Cela permet de renforcer la sérénité au quotidien et de réduire les incertitudes concernant les enjeux de sécurité informatique.

Quelle a été votre démarche pour obtenir la certification ?

La certification s’est déroulée en plusieurs étapes. Dans un premier temps, nous avons élaboré l'ensemble des politiques et documentations nécessaires au système de management de la sécurité de l'information (ISMS). Ensuite, nous avons misé sur des campagnes de sensibilisation ciblées et des formations pour l'ensemble des acteurs concernés : collaborateurs, partenaires et clients. Ce processus a été accompagné par DataGuard, une entreprise SaaS spécialisée dans la protection des données, la sécurité de l’information et la conformité. Un système centralisé et chiffré de gestion des appareils (ordinateurs portables, tablettes, smartphones) garantit un travail hybride sécurisé, que ce soit à distance ou au bureau.

Après six mois de mise en œuvre, l'organisme allemand accrédité Infaz – Institut für Auditierung und Zertifizierung a délivré la certification finale. Afin de garantir le maintien des exigences jusqu’à la prochaine certification dans trois ans, nous réalisons un audit de surveillance chaque année. En tant que membre de l’Alliance pour la cybersécurité de l'Office fédéral de la sécurité des technologies de l'information (BSI), nous souhaitons également contribuer à renforcer la résilience de l’Allemagne face aux cyberattaques.

Quels avantages cette certification apporte-t-elle à vos clients et partenaires ?

Heureusement, ils sont de plus en plus nombreux à se préoccuper de ce sujet. De nombreuses entreprises commencent à auditer leurs prestataires en matière de sécurité informatique. Grâce à la certification ISO 27001, nous pouvons considérablement accélérer ces processus d’audit. Mais cela fonctionne dans les deux sens : nos propres partenaires doivent aussi répondre à certaines exigences en matière de sécurité. Par exemple, lorsque nous louons des serveurs pour notre solution logicielle, nous travaillons uniquement avec des hébergeurs certifiés, basés en Allemagne ou dans l’UE.

« La certification ISO 27001, avec ses normes élevées, offre une excellente base pour exploiter et optimiser les bâtiments de manière sécurisée et efficace dans le cloud. »

La plateforme cloud d’aedifion traite des données provenant des équipements techniques des bâtiments. Certaines de ces données peuvent être sensibles. Comment garantissez-vous leur protection en permanence ?

Notre nouveau système de gestion repose sur les trois principes fondamentaux de la sécurité de l’information : confidentialité, intégrité et disponibilité. La certification prouve que nous respectons pleinement ces principes dans l’ensemble de l’entreprise.

En protégeant les données sensibles contre tout accès non autorisé, nous sécurisons les informations à caractère personnel ou critique. Toutefois, la protection des données ne se limite pas à la sécurité de l’information, elle en est le complément. C’est la raison pour laquelle nous respectons scrupuleusement le Règlement général sur la protection des données (RGPD) de l’UE et la Loi allemande sur la protection des données (Bundesdatenschutzgesetz, BDSG). Par exemple, les données de nos clients sont exclusivement traitées dans des centres de données ou par des prestataires situés en Allemagne ou dans l’UE.

Ce niveau de sécurité est-il également garanti pour les bâtiments optimisés situés hors d’Allemagne ?

Absolument. Le niveau de sécurité informatique que nous avons mis en place est indépendant de l’emplacement géographique du bâtiment concerné. Grâce à la certification ISO 27001, nous offrons à tous nos clients, y compris hors d’Allemagne ou de l’UE, le même niveau élevé de sécurité et de conformité. Chez aedifion, la cybersécurité ne connaît pas de frontières.

‍« Nous recommandons auxpropriétaires et exploitants d’aborder la cybersécurité de manière précoce etproactive. »

Quelles évolutions ou quels défis voyez-vous pour la cybersécurité du bâtiment à venir ? Et quelles recommandations feriez-vous aux propriétaires et exploitants ?

Avec l’électrification croissante et la flexibilité des systèmes, les bâtiments deviennent un élément central du système énergétique futur. En tant que consommateurs et producteurs d’énergie, ils ajustent leur consommation en fonction des besoins du réseau et des prix dynamiques du marché.

Dans le même temps, les investissements dans l’intelligence artificielle se multiplient, permettant notamment de piloter les systèmes du bâtiment en fonction de la météo ou de l’occupation des pièces. Mais tout cela n’est possible qu’avec le cloud. Or, plus les volumes de données et la complexité augmentent, plus les exigences en matière de sécurité deviennent élevées. La norme ISO 27001 constitue ici une base solide, mais il faut aller plus loin.
Nous recommandons donc aux propriétaires et exploitants de :

• remplacer les systèmes obsolètes ;
• prévoir dès le départ les ressources nécessaires ;
• travailler avec des prestataires certifiés ;
• favoriser la sensibilisation et la formation de leurs équipes.

Ne laissons pas la peur nous paralyser : si nous abordons le sujet de manière proactive et restons engagés, nous aurons déjà franchi une étape décisive.