Aller au contenu principal
GTB/GTC : l'angle mort de la cybersécurité en entreprise

GTB/GTC : l'angle mort de la cybersécurité en entreprise

Cybersécurité & résilience des SISanté & établissements de soinsFinance, banque & assuranceDéfense & BITDSecteur Public et collectivités3 juin 2026Article

Rubrique : 🔧 Sous le capot Expertise : Cybersécurité · Santé · Secteur public · Défense & BITD Format : Expertise technique accessible Longueur : ~1 500 mots Statut : V1 - à valider

Votre politique de sécurité des systèmes d'information couvre les serveurs, les postes utilisateurs, les accès distants. Mais qui surveille les systèmes qui régulent la température de vos salles machines, pilotent vos contrôles d'accès ou alimentent vos équipements critiques en électricité ? Dans la grande majorité des organisations, la réponse est : personne - du moins, pas les bonnes personnes.

GTB, GTC : deux acronymes pour un même impensé

La GTC (gestion technique centralisée) supervise un lot technique unique : l'éclairage d'un bâtiment, ou sa climatisation. La GTB (gestion technique du bâtiment) est le niveau supérieur : elle intègre l'ensemble des lots - CVC (chauffage, ventilation, climatisation), alimentation électrique, éclairage, contrôle d'accès, ascenseurs, sécurité incendie. Plusieurs GTC peuvent coexister dans un même bâtiment sans être interconnectées ; la GTB, elle, les fédère.

Historiquement, ces systèmes fonctionnaient en vase clos, sur des réseaux dédiés physiquement séparés du reste du système d'information. Cette isolation était leur principale protection. Elle a disparu. Sous la pression de la gestion énergétique, de la maintenance prédictive et de la télésupervision, les automates bâtimentaires sont aujourd'hui connectés au réseau IP de l'entreprise - parfois directement à Internet. Ils communiquent via des protocoles conçus pour la performance, pas pour la sécurité : BACnet/IP, Modbus/TCP, KNX/IP - des protocoles qui font circuler leurs données en clair, sans chiffrement natif, sans authentification forte¹. Un attaquant patient et discret peut intercepter des commandes, forger des ordres, ou prendre le contrôle total d'un automate via une simple interface d'administration laissée accessible avec ses identifiants d'usine.

Le paradoxe du bâtiment intelligent est là : plus il est connecté, plus il est vulnérable.

Des incidents réels, aux conséquences bien réelles

Lappeenranta, Finlande - novembre 2016

Fin octobre 2016, une attaque par déni de service (DDoS - technique consistant à saturer un système jusqu'à le rendre indisponible) frappe les automates de chauffage de deux immeubles résidentiels gérés par la société Valtia à Lappeenranta, dans l'est de la Finlande. Coincés dans une boucle de redémarrage infinie, les systèmes ne parviennent plus à maintenir la chauffe - alors que les températures extérieures sont négatives. L'incident dure près d'une semaine. La résolution a nécessité d'isoler physiquement les automates d'Internet et de basculer en mode manuel. Le PDG de Valtia déclarait alors à la presse que la sécurité des systèmes d'automatisation des bâtiments est "systématiquement négligée lors de leur installation"⁵.

Las Vegas, États-Unis - 2017

Des attaquants compromettent le réseau informatique d'un casino américain en passant par le thermostat connecté de l'aquarium du hall d'entrée. Une fois dans le réseau, ils localisent et exfiltrent la base de données des clients VIP - 10 gigaoctets de données sensibles transités via ce même thermostat. Le cas a été révélé par Nicole Eagan, PDG de la société de cybersécurité Darktrace, lors de la conférence WSJ CEO Council à Londres⁶.

France - tendance documentée sur les collectivités

Des mairies et établissements publics français ont déjà subi des prises de contrôle à distance de leurs systèmes GTB : coupures de chauffage en hiver, dérives volontaires de consignes de température, systèmes de ventilation paralysés¹.

Ces incidents ne sont pas anecdotiques. Dans son Panorama de la cybermenace 2025 (publié le 11 mars 2026), l'ANSSI recense 1 366 incidents confirmés, avec quatre secteurs concentrant 76 % des cas : l'éducation et la recherche (34 %), les ministères et collectivités territoriales (24 %), la santé (10 %) et les télécommunications (9 %)². Les organisations les plus exposées sont précisément celles dont les bâtiments sont les plus critiques.

Le vide organisationnel : entre RSSI et services généraux, personne ne regarde

La GTB/GTC est, dans la plupart des organisations, confiée aux services généraux ou aux directions immobilières. Ces équipes maîtrisent la maintenance, la gestion des contrats, la performance énergétique. Elles n'ont pas été formées à la cybersécurité - et n'ont pas vocation à l'être spontanément. De l'autre côté, la DSI (direction des systèmes d'information) et le RSSI (responsable de la sécurité des systèmes d'information) n'ont généralement pas la main sur ces équipements et n'en connaissent souvent ni l'architecture, ni les accès réseau.

Résultat : les systèmes GTB/GTC sont hors périmètre des audits de sécurité, absents des PSSI (politiques de sécurité des systèmes d'information), ignorés des PCA/PRA (plans de continuité et de reprise d'activité), invisibles des SOC (centres opérationnels de sécurité). Ils fonctionnent souvent avec des mots de passe d'usine non modifiés, des firmwares jamais mis à jour, des interfaces de télémaintenance exposées sans VPN ni authentification forte¹.

Un point de vigilance supplémentaire, souvent négligé : les contrats de maintenance tiers. Le technicien du prestataire CVC dispose souvent d'un accès direct au réseau bâtimentaire - non encadré, non tracé, non révoqué en fin de contrat.

Ce que dit la réglementation - et ce qu'elle ne dit pas encore

Le droit de retrait des salariés

Le Code du travail (article L4131-1) reconnaît à tout salarié le droit de se retirer d'une situation de travail dont il a un motif raisonnable de penser qu'elle présente un "danger grave et imminent" pour sa vie ou sa santé. Ce droit ne requiert pas l'accord préalable de l'employeur. Des conditions thermiques extrêmes - absence totale de chauffage en plein hiver - peuvent constituer un tel motif¹¹. En cas de cyberattaque neutralisant le CVC, l'employeur qui ne prend pas de mesures correctives engage sa responsabilité civile et pénale.

NIS2 et la Loi Résilience

La directive européenne NIS2 (UE 2022/2555) prévoit explicitement l'inclusion des systèmes GTB dès lors qu'ils "impactent une activité essentielle"¹. En France, sa transposition prend la forme de la Loi Résilience (adoptée en première lecture au Sénat le 12 mars 2025, en cours d'examen à l'Assemblée nationale en 2026). Les entités essentielles et importantes - entre 15 000 et 18 000 organisations françaises selon l'ANSSI - auront l'obligation de déclarer tout incident majeur sous 24 heures¹⁴. Les sanctions prévues atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.

Le Cyber Resilience Act

Ce règlement européen, qui s'appliquera progressivement d'ici 2027, impose aux fabricants d'équipements connectés - dont les composants GTB/GTC - d'intégrer la sécurité dès la conception : sans identifiants par défaut, avec des mécanismes de mise à jour vérifiés et documentés¹³.

La question assurantielle

Un point de vigilance contractuel souvent ignoré : l'assurance cyber standard couvre les dommages immatériels et numériques, mais exclut généralement les dommages physiques consécutifs à une attaque - matériel endommagé, blessure, incendie. Si la GTB est compromise et provoque un dégât matériel, c'est la multirisque professionnelle qui est censée prendre le relais - à condition que le contrat le prévoie explicitement¹². Une zone grise contractuelle que peu d'organisations ont anticipée.

Normes et bonnes pratiques : ce qui existe pour agir

Le cadre normatif existe. Il est peu connu des équipes qui en ont le plus besoin.

L'IEC 62443 est la norme internationale de référence pour la cybersécurité des systèmes d'automatisation industrielle - applicable directement aux GTB/GTC. Elle définit des niveaux de sécurité (SL1 à SL4) et un modèle structuré par zones et conduits¹³. L'ANSSI publie depuis 2025 deux documents directement applicables : la "Méthode de classification" (ANSSI-PA-107, mars 2025)³ et les "Mesures détaillées" (ANSSI-PA-108, novembre 2025)⁴, ce dernier introduisant pour la première fois des correspondances explicites avec l'IEC 62443. Ces guides sont accessibles librement sur cyber.gouv.fr.

Un vecteur de choix dans un contexte de guerre hybride

Une dernière dimension mérite d'être nommée, même si elle est rarement évoquée dans les PSSI : les systèmes GTB/GTC présentent des caractéristiques particulièrement attractives pour des acteurs cherchant à déstabiliser des organisations sans s'exposer.

Contrairement à un ransomware - qui s'affiche immédiatement sur les écrans et déclenche des procédures de crise rodées -, une manipulation de la GTB commence par ressembler à une panne. Le chauffage qui tombe, c'est d'abord le prestataire CVC qu'on appelle, pas le RSSI. Ce délai de diagnostic est précieux pour un attaquant. Et les équipes qui gèrent ces systèmes - les services généraux - n'ont précisément pas de réflexe cyber.

Ensuite, une attaque GTB n'a pas vocation à être revendiquée. Elle ne cherche pas à extorquer - elle cherche à désorganiser, à créer de l'inconfort, à éroder la confiance. Rendre un bâtiment invivable (par le froid, l'obscurité, le blocage des accès) produit des effets politiques et sociaux sans laisser de traces cyber évidentes. Pour une collectivité locale, l'impact est direct sur la relation élue-citoyen ou élu-citoyen : des administrés qui ont froid dans leur mairie ou leur école ne cherchent pas une cyberattaque derrière - ils interpellent leur maire. L'attribution à un acteur malveillant est quasi impossible sans une investigation forensique très spécialisée sur des équipements OT, compétence rare même à l'ANSSI.

Enfin, cette action s'exerce entièrement à distance. Rendre un lieu invivable par d'autres moyens - menaces physiques, sabotage matériel - nécessite une présence sur place, avec les risques que cela comporte pour l'auteur. Une attaque GTB ne nécessite qu'un accès réseau et un mot de passe par défaut jamais changé. L'asymétrie entre le coût de l'attaque et l'ampleur de ses effets est considérable.

Cette réalité est théorisée dans les analyses sur la conflictualité hybride, notamment dans les travaux du SGDSN (Secrétariat général de la défense et de la sécurité nationale) et les rapports sénatoriaux sur la résilience des infrastructures critiques. Elle n'est pas encore intégrée dans les pratiques de la grande majorité des organisations françaises.

Ce que vous pouvez faire dès maintenant

La GTB/GTC n'est plus une boîte noire réservée aux services techniques. C'est une surface d'attaque critique, qui relève pleinement de la responsabilité des équipes cyber - et qui engage la continuité opérationnelle, la sécurité des personnes, et la conformité réglementaire.

La bonne nouvelle : il n'est pas nécessaire de tout refaire. Un audit ciblé, réalisé en deux semaines, permet de cartographier les expositions réelles, d'identifier les accès non sécurisés, et de produire une feuille de route de mise en conformité priorisée - sans immobiliser les équipes ni perturber l'exploitation.

Alto France propose un Audit cyber bâtimentaire (GTB/GTC) en 15 jours, décliné selon votre secteur et vos contraintes réglementaires :

🏥 Hôpitaux et établissements de soin Pour intégrer la GTB dans votre programme CaRE (Cybersécurité accélération et Résilience des Établissements) et répondre aux exigences de l'ANS (Agence du numérique en santé). → Voir l'offre Audit cyber bâtimentaire - Santé

🏛️ Collectivités publiques Pour anticiper la Loi Résilience (transposition NIS2) sur vos bâtiments communaux, intercommunaux et établissements scolaires. → Voir l'offre Audit cyber bâtimentaire - Collectivités

🛡️ PME de la défense / BITD Pour sécuriser vos sites industriels dans le respect des exigences LPM (loi de programmation militaire) et des arrêtés sectoriels OIV (opérateurs d'importance vitale). → Voir l'offre Audit cyber bâtimentaire - Défense/BITD

Sources

  1. Sysdream, Cybersécurité des bâtiments : la GTB sous pression réglementaire, septembre 2025 - sysdream.com
  2. ANSSI, Panorama de la cybermenace 2025, 11 mars 2026 - cyber.gouv.fr
  3. ANSSI, La cybersécurité des systèmes industriels - Méthode de classification (ANSSI-PA-107), mars 2025 - cyber.gouv.fr
  4. ANSSI, La cybersécurité des systèmes industriels - Mesures détaillées (ANSSI-PA-108), novembre 2025 - cyber.gouv.fr
  5. Bleeping Computer / Security Ledger / Yle-FICORA, DDoS attack halts heating in Finland, novembre 2016 - bleepingcomputer.com
  6. The Hacker News / Business Insider, Casino Hacked Through Its Internet-Connected Fish Tank Thermometer, avril 2018 - thehackernews.com
  7. Healthcare Data Institute, Une première analyse de l'impact des cyberattaques sur les établissements de soin, juillet 2023 - healthcaredatainstitute.com
  8. L'Informaticien, L'attaque va coûter 7 millions d'euros à l'hôpital de Corbeil-Essonnes, septembre 2022 - linformaticien.com
  9. Banque des Territoires / Cour des comptes, Les cyberattaques ciblent de plus en plus les collectivités, juin 2025 - banquedesterritoires.fr
  10. Annales françaises d'anesthésie et de réanimation, Exemple de calcul du coût de fonctionnement d'un bloc opératoire avec la SSPI, 2014 (validé par l'ENCC/ATIH) - sciencedirect.com
  11. Code du travail, article L4131-1, droit de retrait - legifrance.gouv.fr
  12. Assurup.com, Assurance cyber risques : 8 exclusions à connaître, avril 2026 - assurup.com
  13. BYCYB, Cybersécurité IIoT et conformité (CRA, IEC 62443 et recommandations de l'ANSSI), avril 2026 - bycyb.com
  14. NIS-2-directive.com, Transposition in France, mars 2026 - nis-2-directive.com

Partager cet article

LinkedInTwitterFacebook

Articles récents

Découvrez nos dernières actualités

Découvrir