ISO 19650-5 : sécurité de l’information

La numérisation de la construction à travers la méthodologie BIM (Building Information Modeling) a considérablement amélioré l’efficacité, mais elle a également accru les risques. La norme ISO 19650-5 — standard international traitant spécifiquement de la sécurité de l’information dans les environnements BIM — a précisément pour objectif de protéger les informations sensibles, les infrastructures critiques et les actifs stratégiques.

Contrairement à d’autres référentiels imposant des contrôles rigides, l’ISO 19650-5 adopte une approche fondée sur la proportionnalité : les mesures de sécurité doivent être adaptées au niveau de risque réel de chaque actif. Protéger une centrale nucléaire n’implique pas les mêmes exigences que sécuriser un immeuble résidentiel. Cette approche évite une bureaucratie excessive sans compromettre la sécurité.

La norme s’applique à tout actif construit — bâtiments, infrastructures, réseaux — dont les informations pourraient compromettre la sécurité publique si elles étaient divulguées. Les garanties qu’elle impose couvrent l’ensemble du cycle de vie de l’actif : de la planification et la conception à la construction, l’exploitation et la maintenance.

L’ISO 19650-5 repose sur quatre concepts clés :

• Évaluation de la sensibilité : toutes les données BIM ne sont pas critiques. La norme établit des critères de classification afin de prioriser les efforts en fonction du niveau de sensibilité des informations.
• Évaluation des risques : identification des menaces potentielles (cyberattaques, sabotages, terrorisme), des vulnérabilités de l’actif et de l’impact d’une éventuelle faille de sécurité.
• Contrôle d’accès structuré : gestion des autorisations, utilisation d’environnements communs de données sécurisés (CDE), protocoles d’échange et traçabilité des versions.
• Attribution des responsabilités : définition claire des rôles des propriétaires, équipes projet, responsables sécurité et gestionnaires de l’information.

L’ISO 19650-5 s’intègre dans la série ISO 19650 (qui couvre les principes généraux, la phase de livraison et la phase d’exploitation) et s’aligne avec des cadres de cybersécurité tels que l’ISO/IEC 27001. Cela permet aux organisations d’intégrer la sécurité BIM dans leur stratégie globale de protection des données.

Prenons un exemple concret : un aéroport modélisé en BIM contient des plans structurels, des systèmes électriques, des itinéraires d’évacuation et des protocoles de sécurité. Si ces informations étaient divulguées, elles pourraient faciliter une attaque. L’ISO 19650-5 définit comment identifier ces données critiques, restreindre leur accès et contrôler leur diffusion afin de réduire les risques.

Pour en savoir plus, consultez nos analyses des parties 1, 2, 3 et 4 de cette norme :

ISO 19650-1 pour le BIM, principes fondamentaux

ISO 19650-2 pour le BIM, approfondissement des principes fondamentaux

ISO 19650-3 : gestion de l’information en phase d’exploitation

ISO 19650-4 : échange d’information en méthodologie BIM

Par Eduardo Hernández García, modeleur structure senior au Département d’Architecture d’Amusement Logic