"Le confort connecté doit aller de pair avec la confiance numérique", insiste ACR

Par   Yousra GOUJA

Actualités
Publié le 1 juillet 2026
© ACR
Yann Plevin, président du syndicat ACR.
CYBER. Radiateurs, pompes à chaleur, GTB, ventilation... Les équipements du bâtiment sont de plus en plus connectés. S’ils permettent de mieux piloter la consommation énergétique, ils représentent aussi un potentiel risque de sécurité. Entretien avec Yann Plevin, président du syndicat ACR.

XPair : Aujourd’hui, quel est le niveau d’équipement en appareils connectés dans les logements et les bâtiments ?

Yann Plevin : Il progresse fortement. Dans le résidentiel, les réseaux de vente sont très larges et les objets connectés deviennent faciles à trouver pour le client final, notamment via les installateurs "smart". Du côté du syndicat ACR, nous suivons surtout les équipements liés à la régulation hydraulique, comme les vannes, moteurs ou solutions de gestion technique. Nous menons régulièrement des enquêtes par familles de produits pour mesurer la taille du marché et suivre les effets des évolutions réglementaires.

Les fabricants sont-ils sensibilisés aux risques cyber ?

Y. P. : Oui, et ils vont devoir l’être encore davantage. Le Cyber Resilience Act, ou CRA, va imposer des exigences de cybersécurité aux produits connectés. Cela concerne aussi bien un babyphone qu’un équipement de gestion technique du bâtiment.

Historiquement, il existait peu de critères clairs pour évaluer le niveau de sécurité d’un produit, sauf dans certains cas où des industriels soumettaient leurs solutions à des tests, notamment avec l’ANSSI (Agence nationale de la sécurité des systèmes d'information). Avec le CRA, la situation change : la cybersécurité devient une exigence de conception, pas un supplément optionnel.

Un radiateur ou une PAC connectée peuvent-ils vraiment devenir une cible ?

Y. P. :  Un produit connecté est un produit qui parle. Il échange des données, parfois via le cloud du fabricant, parfois avec une application mobile ou une box domestique. Cela peut créer une surface d’attaque. Dans une maison, l’enjeu peut être l’accès aux habitudes de vie ou à d’autres appareils.

"On voit apparaître un besoin de double culture : comprendre à la fois le CVC, la GTB et l’informatique."

Dans le tertiaire, la question est encore plus sensible : une GTB peut-elle devenir un point d’entrée vers le système d’information ? Les attaques sont permanentes. Caméras, contrôle d’accès, GTB, chauffage, ventilation : tous ces systèmes reliés au réseau IP peuvent augmenter la surface d’exposition. Le risque vient souvent d’installations mal sécurisées, de ports laissés ouverts ou d’un manque de culture cyber.

Qui est responsable en cas de faille ?

Y. P. : Cela dépend du contexte. Si la faille vient du produit, le fabricant doit la déclarer et proposer un correctif. Mais dans un bâtiment tertiaire, la responsabilité peut être partagée : fabricant, installateur, exploitant, responsable IT, gestionnaire du site... Une faille peut venir d’une mauvaise configuration, d’un mot de passe faible, d’un accès distant mal protégé ou d’une absence de mise à jour.

Les professionnels sont-ils suffisamment formés ?

Y. P. : C’est un point clé ! Il faut former les installateurs et les acteurs du bâtiment aux bonnes pratiques IT : mots de passe, mises à jour, accès à distance, segmentation réseau, protection des données... Aujourd’hui, on voit aussi apparaître un besoin de double culture : comprendre à la fois le CVC, la GTB et l’informatique.

C’est un sujet que nous devons porter avec les écoles, les universités et toute la filière. Il faut expliquer simplement que le confort connecté doit aller avec la confiance numérique. Un radiateur connecté doit chauffer juste, consommer moins, mais aussi protéger ses utilisateurs.


Actualités

Sélection produits