Demain, pourra-t-on vraiment protéger la smart city ?

Smart City & IoT : la cybersécurité au cœur de la ville intelligente | Stormshield

La ville de demain promet de faciliter les démarches en ligne, fluidifier le trafic et optimiser sa consommation énergétique. Mais chaque nouveau service numérique est aussi une opportunité supplémentaire pour un cyber-criminel d'en prendre le contrôle ou de siphonner les données collectées. Alors, quels risques cyber et quelles protections pour la smart city ?

 

En proposant toujours plus de services numérisés, les villes intelligentes deviennent toujours plus connectées… mais aussi plus exposées aux risques cyber. L’actualité regorge d’exemples de collectivités victimes de ransomwares, avec le spectre de voir une partie ou la totalité de leurs services paralysés. Plus que jamais, la cybersécurité est un enjeu prioritaire des collectivités, et encore plus des villes connectées.

 

Les collectivités, cibles des cyberattaques

La Rochelle et Angers en France, Francfort en Allemagne, New York aux États-Unis et tout récemment Liège en Belgique... ces derniers mois, la liste des villes touchées par une cyberattaque ressemble à un inventaire à la Prévert. Depuis le précédent très médiatique de la ville de Baltimore, aux États-Unis, victime en 2019 d’une attaque par ransomware qui lui aurait coûté 18 millions de dollars, le phénomène prend de l’ampleur. Si bien qu’aujourd’hui, n’importe quelle collectivité peut voir ses activités ralenties, bloquées… ou altérées.

En 2019, 1 220 collectivités françaises ont été victimes de cyberattaques, un chiffre qui a augmenté de 72% en 2020 selon le rapport d’activité 2020 de la plateforme Cybermalveillance.gouv.fr. « Les collectivités possèdent des données qui ont beaucoup de valeur pour les hackers, comme celles de l'État civil, explique Jérôme Notin, directeur général de Cybermalveillance.gouv.fr, dans une interview au Journal du net. La date et le lieu de naissance ainsi que l'adresse d'une personne peuvent permettre de faire des faux papiers, ou d'accéder ensuite à d'autres comptes en ligne des victimes, qui peuvent être sécurisés par des questions secrètes demandant ce genre d'informations. » De quoi inciter l'ANSSI à publier l’an dernier un guide pour sensibiliser entreprises et collectivités au sujet. Mais la menace n'est pas écartée et les villes intelligentes représentent une nouvelle opportunité pour les attaquants.

 

Villes connectées, villes de vulnérabilités ?

La Smart City est un terme générique qui rassemble différents domaines et différents acteurs. Avec l’ambition d’adresser les grands enjeux des villes de demain (transition énergétique, démographie galopante, gestion des ressources, santé...) en s'appuyant sur les nouvelles technologies, que détaillent Jocelyn Zindy, Directeur Commercial Cybersécurité et Grégory Coustou, Chief Technology Officer au sein d’Eiffage Energie Systèmes. « Au niveau physique, les capteurs sont utilisés dans la Smart City pour optimiser la gestion des collectes de déchets, détecter des crues, gérer les places de stationnement ou des bornes de recharge de véhicules. Les caméras de surveillance sont un autre allié précieux dans cet environnement urbain. Historiquement utilisées pour de la vidéo-surveillance, leurs cas d’usages se sont multipliés : lecture des plaques d’immatriculation, analyse des comportements humains, analyse des dangers, détection d’objets isolés, gestion d’allocation dynamique de la voirie, source d’informations pour les navettes autonomes. Et d’un autre côté, au niveau numérique, les nouvelles architectures d’Edge computing permettent de traiter l’ensemble des données au plus proche de là où elles sont générées et d’utiliser des technologies d’intelligence artificielle comme le machine learning. Cela représente un gain dans le dimensionnement des infrastructures centralisées et également sur la maintenance. Des plateformes informatiques permettent enfin une gestion centralisée de ces systèmes interconnectés et assistent les agents de la voirie dans les opérations de maintenance. »

Ces villes connectées sont donc une zone de convergence de différents systèmes d’informations issus d’acteurs très variés, avec différentes briques technologiques (5G, IoT, Edge, IA), différents équipements (mobilier urbain, feux de signalisation, éclairage public, capteurs...) et différentes interfaces (applications mobiles, échanges de données entre SI comme le parcours citoyen) qui élargissent considérablement la surface d’attaque d’une Smart City. Pour le dire autrement, la Smart City cumule les hétérogénéités.

 

Hétérogénéité des équipements

La Smart City doit compter avec son parc existant. Et donc faire avec des installations de générations différentes, avec des technologies différentes, ce qui complique la mise en place d’une politique de sécurité globale. « Il faut adapter à la fois les mesures techniques, donc les solutions de sécurité à mettre en place, et les mesures organisationnelles, en fonction du contexte, du système d’information, de la génération des équipements et des briques technologiques utilisées », pointe Khobeib Ben Boubaker, Head of Industrial Security Business Line Stormshield.

Des équipements bien souvent à risque, car situés dans la ville, au regard de tous, et donc plus facilement accessibles : feux de signalisation, réseau d’eau, de gaz et d’électricité... « Quand on est dans un système d’information bureautique classique, on sait que la salle serveur est à tel endroit, qu’elle est sécurisée par badge et que l’on ne peut pas y accéder, poursuit Khobeib Ben Boubaker. Dans les environnements Smart City, on peut accéder aux équipements assez facilement. Il y a donc un enjeu fort d’accessibilité aux équipements et de sûreté. »

 

Hétérogénéité des objectifs

La Smart City intègre des systèmes d’information indépendants qui doivent s’interconnecter. C’est là que les choses se compliquent en matière de cybersécurité. « Il faut mettre en place une politique de sécurité globale puis l’adapter à chacun des SI », souligne Khobeib Ben Boubaker.

En outre, la Smart City fait intervenir plusieurs périmètres de réseaux : IT et OT. Or, ils n’ont pas les mêmes enjeux. « Pour l’IT, l’enjeu principal concerne la confidentialité de la donnée. Et dans l’OT, c’est s’assurer que le service est disponible en continu. Les priorités ne sont pas les mêmes, les règles seront donc différentes dans la sécurité à mettre en œuvre, fait valoir Khobeib Ben Boubaker. Cela suppose une gouvernance globale adaptée à chaque sous-système. » Un enjeu au cœur des enjeux de cybersécurité du monde industriel.

 

Hétérogénéité des acteurs

Rien que sur le sujet de la mobilité, par exemple, se mêlent acteurs historiques, opérateurs de mobilité douce (trottinettes ou vélos), éditeurs de logiciels ou de solutions cloud et services de l’État. Difficile de s’accorder sur une approche globale dans ces conditions.

« Dans la Smart City, on ne peut pas mettre la cybersécurité partout de la même manière. Il faut comprendre le fonctionnement du système et ses enjeux pour déterminer ce qui est critique et ce qui ne l’est pas. Pour ça, il faut pouvoir travailler à la fois avec les gens du métier et les gens de la cybersécurité », avertit Khobeib Ben Boubaker.

 

Hétérogénéité des référentiels

Cette pluralité des acteurs aboutit à un maelstrom de référentiels. « Ce que nous remarquons de projet en projet, c’est qu’il n’y a pas d’harmonie : une fois, telle topologie de communication ou telle technologie sera utilisée, une autre fois, ce sera une autre, note Khobeib Ben Boubaker. Parfois, c’est bien documenté et on pourra apporter le bon niveau de sécurité. D’autres fois, ce n’est pas normalisé. Le premier travail de la Smart City est donc d’harmoniser les référentiels. »

Les villes ont donc tout intérêt à être vigilantes… et à bien lire les petites lignes ! « L’analyse des clauses contractuelles des marchés en cours et à venir est une priorité, note le Guide Cybersécurité publié par l’AMF en novembre 2020. Il est impératif d’identifier dans les contrats de prestation ou de sous-traitance quels pourraient être les manques ou les faiblesses en matière de sécurité numérique. Il n’est pas rare de constater que les clauses contractuelles vont à l’encontre des objectifs de sécurité de la collectivité ou que tout simplement aucune clause ne permet de garantir une bonne sécurité (délai de retour à la normale, sauvegarde/restauration, réversibilité…). »

Dans le cas où la ville recourt à une gestion déléguée, mieux vaut définir dans le cahier des charges les conditions de gestion du système d’information en général (et des données personnelles en particulier).

 

Hétérogénéité des normes

Au niveau conformité, la Smart City doit intégrer différentes normes et réglementations tant au niveau national qu’au niveau européen :

  • le RGPD pour les données personnelles ;
  • la directive NIS pour certaines dimensions liées aux OSE (opérateurs de services essentiels) ;
  • la loi de programmation militaire en France pour les opérateurs d’importance vitale (OIV) autour des sujets comme l’énergie, l’eau, la gestion des déchets, la santé, les transports etc. ;
  • ou encore le RGS pour l’administration française…

Quant à la question de la responsabilité, elle est partagée. La délégation de gestion d’une compétence n’implique pas de transfert de responsabilité. « Le délégant et le délégataire sont conjointement responsables de la sécurité en général. Il est alors fortement conseillé de préciser dans la convention les clauses explicites et expresses rappelant la répartition des responsabilités et obligations entre les deux partenaires », préconise l’AMF.

D’autant que les services connectés des villes peuvent concerner des éléments sensibles, comme les réseaux énergétiques (électrique, gazier, eau) ou les hôpitaux. Dans tous les cas, la ville doit veiller à définir des modèles de clauses contractuelles à inclure dans ses futurs contrats en s’aidant, pour leur rédaction, du juridique et du technique.

 

Intégrer la sécurité dès la conception des Smart Cities

En devenant intelligentes et interconnectées, les villes sont plus exposées aux cybermenaces, avec des conséquences bien réelles pour les administrés. « Si on n'a pas intégré la sécurité dès la conception, il peut y avoir de vrais drames avec des conséquences physiques, pointe Jérôme Notin, toujours dans le Journal du Net. Par exemple, si on bloque les feux rouges ou qu'on utilise les ampoules connectées de la ville pour mener des attaques par déni de service (DDoS) et faire tomber d'autres réseaux. Nous n'avons pour l'instant pas de cas connus de ce type en France. Les fabricants de ces systèmes portent aussi une part de responsabilité, car ils n'intègrent pas toujours le principe de security-by-design pour sortir rapidement leurs produits. » Avec les nouvelles technologies, la Smart City fait face à de nouvelles vulnérabilités. « La gestion de la donnée est aujourd’hui un point stratégique de la Smart City, comme l’était la maîtrise du réseau il y a 10 ans », insiste  Grégory Coustou.

 

La cybersécurité doit être embarquée dès le départ et vivre tout au long du projet, pour en finir avec l’approche « add-on » où l’on rajoute des couches de cybersécurité pour colmater des brèches a posteriori

Khobeib Ben Boubaker, Head of Industrial Security Business Line Stormshield

 

La cybersécurité d’une Smart City doit donc anticiper son évolution au fil du temps. Pour cela, il n’y a qu’une méthode : prendre en compte la cybersécurité à toutes les étapes d’un projet Smart City, dès la phase d’idéation. « À l’instant où le projet démarre, il faut prendre en compte l’évolutivité du SI et penser aux enjeux et aux utilisations de demain. La cybersécurité doit être embarquée dès le départ et vivre tout au long du projet, pour en finir avec l’approche « add-on » où l’on rajoute des couches de cybersécurité pour colmater des brèches a posteriori », déplore Khobeib Ben Boubaker. « La cybersécurité est un point de vigilance à tous les niveaux et commence dès le niveau des capteurs, complète Jocelyn Zindy. Le choix des équipements est donc primordial puisque la sécurité intervient sur chaque équipement communicant, sur l’infrastructure réseau et système, sur les centres d’exploitation (postes clients, mobiles, tablette…) mais également sur les utilisateurs (habitude, sensibilisation etc…) ».

 

La Smart City a besoin d’une cybersécurité sur-mesure

Certaines initiatives montrent la voie. La communauté d’agglomérations de Saint-Quentin-en-Yvelines expérimente ainsi une solution de cybersécurité sur son éclairage public, via le projet de recherche Paclido qui vise à mieux sécuriser les objets connectés. L’idée est à la fois de protéger "physiquement" les installations, mais aussi de sécuriser l’échange de données. « Avec Paclido, une intelligence artificielle peut détecter les cyberattaques. Elle a appris le fonctionnement normal de l’éclairage et sait reconnaître une anomalie, explique Guillaume Séraphine, référent du projet à l’agglomération de Saint-Quentin-en-Yvelines, dans Smart City Mag. La cryptographie vient ajouter une couche de sécurité en chiffrant les données. C’est important de sécuriser notre internet des objets, car demain, s’il est relié à notre système d’information, il ne devra pas représenter une faille. »

La cybersécurité de la Smart City s’inscrit dans le temps long, avec un périmètre en constante évolution. Ces villes connectées ont donc besoin d’une approche particulière qui consiste à :

  • Installer différents niveaux de sécurité : chiffrement des données, firewall, authentification, gestion des droits d’accès…
  • Mettre des solutions souveraines, adaptées aux réglementations souveraines, car implique des solutions publiques de l’État, pour garantir aussi l’autonomie technologique que l’on met en œuvre,
  • Avoir une gouvernance cyber globale, avec la mise en place d’un SOC dans la ville qui va administrer les événements de sécurité des différents SI et identifier s’il n’y a pas de débordements entre ces systèmes,
  • Segmenter les systèmes, Tous les systèmes d’informations étant interconnectés, il est crucial de les cloisonner pour éviter des rebonds de corruption d’un système à un autre. « Parfois le point d’entrée n’est pas le système cible, et la multiplication des objets connectés ouvrent encore plus de portes d’entrée pour accéder à un système et des données critiques », avertit Khobeib Ben Boubaker.
  • Avoir une cartographie des équipements et du SI. « On ne peut pas sécuriser un SI qu’on ne connaît pas, il faut avoir une vision claire de ce qui est à sécuriser et des équipements qui seront ajoutés », insiste Khobeib Ben Boubaker.
  • S’assurer de l’interopérabilité des solutions entre elles pour augmenter le niveau de sécurité.
  • Doter les contrats de la ville de clauses contractuelles de cybersécurité rappelant la répartition des responsabilités et obligations entre les partenaires.

 

Les promesses de la Smart City sont nombreuses, tant en termes de qualité de vie que de respect de l’environnement. Des promesses qui ne pourront pas se réaliser sereinement sans une cybersécurité efficace.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Au cœur de la Smart City, les Smart Building échangent en continu toutes sortes de données – parfois au détriment de toute notion de sécurité. Assurer la cybersécurité d’un bâtiment intelligent représente donc un défi de taille. Mais pas insurmontable.
Performance, modularité, continuité de service… Grâce à leurs fonctionnalités essentielles, les firewalls Stormshield répondent à tous les besoins de protection des réseaux de la Smart City, qu’ils soient IT ou OT.

À propos de l'auteur

mm
Vincent Nicaise
Responsable des partenariats et de l'écosystème industriels

Fort d'une déjà longue expérience pro., Vincent navigue dans l'univers cyber avec une vraie appétence commerciale, marketing et technique. Passionné de street-art, de poulpe et de cybersécurité (pas forcément dans cet ordre), il est en charge des partenariats avec l’ensemble de l’écosystème cyber industriel. Tout un programme.