Cybersécurité et BIM : tout sur les risques liés à la transition numérique de la construction

Cadre juridique, contractuel et normatif

Mardi 20 Novembre 2018

6252 lectures

Le BIM offre de multiples apports pour la construction d'un immeuble, sa réhabilitation, sa gestion et même sa démolition/reconstruction. Les données alimentant la maquette 3D servent à l'optimisation de l'ensemble de ces processus, générant des gains de productivité donc de coûts.

Ces data représentent aussi des risques nouveaux ou d'une intensité sans commune mesure avec le passé. C'est notamment le cas en matière de cybersécurité. Face à ce nouvel environnement, il convient de prendre en compte ces risques, en les prévenant comme en les traitant.

Pour éclairer ce sujet, HEXABIM a interrogé Mme Clotilde ZUCCHI – Directeur Département Branches Spécialisées du groupe SMA, qui propose une garantie contre les cyber-risques des données chantier, et Maître David Richard du cabinet Lex Terra Avocat.

Maître David Richard - Lex Terra Avocat

La cybersécurité vous paraît-elle prise en compte par les professionnels BIM ?

Oui, il me semble. Le BIM appartient au monde des nouvelles technologies au moins autant qu'à celui de la construction, et dans cet environnement la cybersécurité est un élément à part entière, en particulier à l'heure d'un tournant majeur en matière de protection des données personnelles. Souvent d'ailleurs, les contrats de BIM Manager abordent cet aspect en faisant de cet acteur le garant contre les cyber-risques.

Le sujet est également pris en compte dans certaines chartes BIM. Celle de la Société du Grand Paris est un bon exemple en la matière, puisque non seulement le sujet est abordé, mais elle définit en plus ces propres exigences en référence à la politique de sécurité des systèmes d'information de l'État.

Cela signifie-t-il que les risques sont totalement traités ?

La réponse est ici moins évidente. D'abord, le cyber-risque demeure un sujet encore nouveau, et c'est particulièrement vrai en présence du BIM, qui est un processus relativement récent, numérique par principe et collaboratif, faisant qu'il existe indiscutablement une part d'inconnue sur l'évaluation de ces menaces.

Ensuite, il y a la question de l'effectivité des mesures prises pour traiter le risque de cybercriminalité. Prévoir un espace contractuel visant cette problématique et imposer des obligations précises à certains acteurs sécurisent grandement un projet. Reste à savoir si les mesures mises en place sont adaptées à l'opération concernée, et si elles se traduisent concrètement par un gain effectif de sécurité.

On a justement le sentiment que le cœur du problème tient à l'évaluation du risque ?

Certainement. L'évaluation du risque possède une grande importance. On imagine par exemple sans peine, qu'en présence d'une prison construite en BIM, des gens travaillant à un projet d'évasion ne se contenteraient pas de consulter Google Earth, donnant dans ce contexte une valeur particulière à la maquette.

Le traitement du risque nécessite aussi de l'expertise, d'autant que plusieurs options sont envisageables : une garantie assurantielle du type de celle de la SMA (voir ci-dessous), la mise en place de process ou équipements dédiés ou encore des actions de formation ou de management.

À terme, en BIM comme dans d'autres secteurs, une solution cybersécurité « de base » intégrant de l'assurance s'imposera sans doute, avec un système de complément « individualisé » en présence de risques spéciaux, étant précisé que le coût de ces mesures sera aussi une variable de taille dans les choix opérés par les acteurs, et en premier lieu le Maître de l'Ouvrage.

Il est également probable que des labels ou des certifications propres aux bâtiments connectés se développent mettant l'accent sur la prévention.

D'une façon générale, quelles sont les incidences juridiques d'une cyberattaque ?

Même en se limitant au cyber-risque proprement dit, ces incidences peuvent être très nombreuses. Sans être exhaustif, on peut citer la gestion des obligations contractuelles vis-à-vis de ses donneurs d'ordre concernant l'exécution de la mission principale - devenue impossible du fait de l'indisponibilité des systèmes, et bien entendu le respect des obligations relatives à la cybersécurité. De même, seraient impactées la relation avec les sous-traitants informatiques et les partenaires – par exemple en BIM les entreprises mettant à disposition des données.

On peut imaginer aussi un volet social avec certains salariés, puisque nombre de cybercrimes comportent un volet interne (imprudence, négligence voire malveillance), et la responsabilité des dirigeants de l'entreprise. En présence de données personnelles au sein du BIM, se pose la question du respect de la réglementation et des sanctions qui y sont associées provenant des autorités de tutelles, sanctions y compris financières.

Enfin, la victime d'une cyberattaque devra gérer le suivi de l'action pénale à l'encontre des auteurs des faits délictueux. In fine, l'expérience s'apparente assurément à une véritable épreuve.

Mme Clotilde ZUCCHI - Groupe SMA

Que proposez-vous pour les risques numériques liés à un chantier de construction ?

Notre connaissance détaillée de l'ensemble des phases d'un projet de construction, notre suivi de l'évolution de l'ensemble des métiers liés au BTP dont la transformation numérique du bâtiment, ainsi que notre maitrise des risques liés à l'utilisation des nouvelles technologies, nous a permis de mettre en exergue le fait que les risques numériques liés à un chantier ne pouvaient être correctement adressés qu'à travers une convention d'assurance spécifique attachée à un contrat TRC.

Les contrats TRC ayant pour vocation de protéger le chantier de l'ensemble des évènements susceptibles de l'arrêter ou de le retarder grandement, c'est tout naturellement que nous avons inclus la dimension des risques numériques au sein de nos contrats TRC. C'est la façon la plus efficace de permettre la poursuite de la construction d'un ouvrage en cas d'indisponibilité des systèmes d'informations ou des données numériques du chantier, et de protéger l'ensemble des intervenants à un chantier.

Quels sont exactement les risques couverts dans ce cadre ?

Nous couvrons les risques de cyber attaques, d'erreurs humaines et de pannes concernant les données numériques du chantier, et les systèmes d'information permettant de les mettre en commun. Cette mise en commun des données à tous les intervenants peut passer par de simples échanges informatiques, ou par des plateformes d'échanges hébergées localement ou sur le cloud ; ou prendre la forme d'une maquette numérique mise en place en BIM. Nous souhaitons protéger l'ensemble des données numériques d'un chantier, quelle que soit la façon dont elles sont échangées ou travaillées.

Au-delà des risques couverts, notre contrat donne également accès à une plateforme d'assistance et de gestion de crise 24 h/24 et 7j/7, permettant à l'assuré de qualifier les attaques et les risques encourus, et de l'accompagner dans la limitation et la réparation des dégâts.

Concrètement, comment cela se passe-t-il en cas d'une cyberattaque ?

Nous conseillons à nos assurés de débrancher les ordinateurs concernés du réseau et d'appeler immédiatement la plateforme d'assistance, quand bien même l'assuré dispose d'un service informatique capable d'intervenir, afin de déterminer les premières mesures à prendre pour éviter que l'attaque ne se répande ou ne s'enfonce davantage dans le cœur des systèmes informatiques.

L'expérience montre qu'à tenter de résoudre seule une attaque, certaines entreprises ont permis au virus de s'implanter encore davantage dans un système informatique dont il devient quasiment impossible de le déloger.

Immédiatement après, nos experts travaillent, en coordination avec l'assuré, sur les solutions de remédiation à mettre en place.
L'appel à la plateforme donne lieu, en parallèle, à une déclaration de sinistre à partir de laquelle nous prenons attache avec l'assuré, afin de déterminer, au cas par cas, la meilleure conduite à tenir.

Nous indemniserons l'assuré des frais de décontamination, des frais de reconstitution des données, des frais de notification auprès des tiers, des frais de gestion de crise, et sur accord express de notre part, des rançons qu'il aurait été indispensable de supporter.

Mots-clés :