Image
Article-Maxime-Tricoire-HUB-Institute-Smart-City-cybersécurity

Menace sur la ville : la cybersécurité à l’heure de la Smart City

Par : Maxime Tricoire
13 juin 2019
Temps de lecture : 5 min
Chapo

Impossibilité de payer ses impôts, registre des ventes immobilières à l’arrêt… ce ne sont là que quelques-uns des problèmes que rencontre la ville de Baltimore depuis près d’un mois. En cause : une cyberattaque, rendue possible par un système d’exploitation obsolète, qui a obligé la municipalité à mettre hors réseau plus de 10 000 postes informatiques pour enrayer l’infection. À l’heure où les projets de Smart City se multiplient, la cybersécurité s’impose donc comme une nécessité absolue.

Body

A l’horizon 2030, le monde comptera plus de 8 milliards d’habitants, dont près de 55% vivront dans des zones urbaines. Une quarantaine de métropoles accueilleront plus de 10 millions d’habitants. Pour répondre à ces enjeux démographiques et économiques, les villes s’engagent dans la Smart City : Mobilités intelligentes, meilleure gestion de l’énergie, nouvelles manières de consommer… ce sont autant de promesses rendues possibles par la montée en puissance de l’IoT grâce à la 5G. Selon Huawei en effet, il y aura à l’horizon 2020 près d’un million d’objets connectés au mètre carré. Dans le cas d’une ville comme Paris, cela représenterait plus de 38 objets intelligents par habitant !

« La sécurité d’un système informatique est reflétée par son device le plus vulnérable » - Garry Kasparov

Sans sécurisation de ces objets, la Smart City pourrait rapidement virer au cauchemar. Les objets connectés sont régulièrement pointés du doigt à cause des nombreuses portes d’entrée qu’ils constituent pour quiconque souhaiterait s’introduire frauduleusement dans les infrastructures de la ville. Introduction qui serait facilité par l’interconnexion des donnés, notamment grâce aux API, permettant ainsi une propagation exponentiel du malware en un temps record..

La Smart City serait alors à la merci du hacker, qui pourrait la contrôler à sa guise. Dans son étude « The Dangers of Smart City Hacking », IBM X-Force Red évoque quelques possibilités de hacking qui pourraient grandement mettre à mal les Smart Cities :

  • Hacking des services de prévention des désastres : en prenant le contrôle des systèmes de détection de catastrophe, les cyberterroristes pourrait très facilement simuler une catastrophe et amener à une évacuation de la ville. A contrario, désactiver ces senseurs pourraient amener à une catastrophe sans précédent.
     
  • Hacking des infrastructures routières : la prise de contrôle des véhicules automatiques et des infrastructures routières si elle est souvent évoquée dans les films catastrophes, pourrait bien devenir une réalité. Une situation qui pourrait par exemple paralyser les services d’urgences.
     
  • Hacking des fermes intelligentes : en manipulant les capteurs implantés dans les fermes connectées, les hackers pourraient à leur guise détruire les productions ou les empoisonner. Une situation qui pourrait déboucher sur une grave crise sanitaire.

Smart-city mais surtout Safe-city

Si une prise de conscience en matière de cybersécurité a eu lieu dans le secteur de l’entreprise (notamment à cause du coût des attaques informatiques), les infrastructures locales restent globalement vulnérables, et sont aujourd’hui de plus en plus la proie de tentatives d’intrusion.

Cette fragilité peut s’expliquer à la fois par un manque de moyens technologiques et financiers, mais également par un manque de moyens humains. Selon le "Center for Cyber Safety and Education" et l’"International Systems Security Certification Consortium", près d’1,8 million d’emplois dans la cybersécurité ne seront pas pourvus d’ici 2022, faute de candidats.

Pour Jean-Paul Pinte, expert en cybersécurité auprès du CEPOL, c’est justement ce côté humain qui fait défaut à la cybersécurité des Smart Cities. "Si la smart city doit être cybersecurity by design, l’humain doit aussi être remis au centre des processus. De victime, il peut devenir acteur défensif. » explique le spécialiste qui insiste également sur la vulnérabilité potentielle que représente l’humain pour les infrastructures informatiques. En effet, de nombreux cas de hacking peuvent directement être imputé au manque de vigilance des salariés (“arnaque au président”, phishing, installation de ransomware (logiciel malveillant entrainant un cryptage des données de l’ordinateur…)

Il est cependant important de noter que ces enjeux de sécurité sont aujourd’hui pris à bras le corps par les Nations. La Chine, l’un des pays les plus avancés en termes de Smart City, a par exemple promulgué en novembre 2017 une lois ambitieuse dans le domaine de la cybersécurité. Cette dernière prévoit notamment de forts investissements de l’Etat en matière de défense des infrastructures nationales. Elle contraint également les entreprises étrangères à héberger en Chine les données personnelles des citoyens chinois avec lesquels elles interagissent. Une mesure qui fait sens, puisque le principe d’Open Data et de partenariat avec ces entreprises privées est au cœur de la Smart City.

L’Europe a elle aussi jeté de solides bases en matière de cybersécurité, en partie grâce au RGPD. En effet, si le règlement vise prioritairement à réguler la collecte et l’utilisation des données personnelles, il a aussi contraint les entreprises à auditer leurs systèmes informatiques et, ainsi, à combler de potentielles failles de sécurité. "L’Europe, grâce à ses talents et à sa technicité est très bien placée en matière de cyberdéfense. […] Le RGPD est une barrière possible aux problèmes de sécurité, mais reste trop contraignant pour les entreprises. À mon sens, des technologies telles que la blockchain seront plus adaptées aux enjeux de cybersécurité. " estime Jean-Paul Pinte.

Quelques pistes pour la sécurisation de la Smart City

Pour l’association « Securing Smart Cities », la sécurisation des villes intelligentes doit passer par la mise en place de 3 grands chantiers :

  • Choisir les bonnes technologies : cœur des infrastructures, les technologies doivent nativement intégrer les notions de sécurité (authentification sécurisée, contrôles des utilisations…) et de Privacy by design tout en permettant l’interopérabilité avec les autres maillons de la chaîne. Ces technologies doivent également être mises à jour régulièrement.
     
  • Tester pour sécuriser : à l’instar des géants du web qui simulent régulièrement des intrusions dans leurs systèmes, les infrastructures de la Smart City doivent être régulièrement testées pour déceler de potentielles failles de sécurité. Ces tests sont aussi l’occasion de mettre en place des process à déclencher en cas d’intrusion.
     
  • Repenser l’organisation : historiquement très silotées, les équipes territoriales doivent gagner en agilité pour acquérir une vue transversale des projets sur lesquels ils travaillent.  Ce chantier est d’autant plus important que les niveaux de décisions entre ville, communauté de communes et métropole se complexifient.

HUB Smart City Forum