Les enjeux de Cybersécurité autour de la Smart City (1/2)

Cloud & Next-Gen IT Security

Publié le

La Smart City, une réponse possible aux enjeux de notre époque

« Une ville intelligente et durable est une ville novatrice qui utilise les nouvelles technologies pour améliorer la qualité de vie, l’efficacité des services urbains ainsi que la compétitivité, tout en respectant les besoins des générations actuelles et futures dans les domaines social et environnemental. »,  Institution spécialisée des Nations Unies pour les Technologies de l’Information et de la Communication.

Augmentation de la population urbaine, urgence écologique et transition énergétique, contraintes sur les finances publiques, besoin de réinventer le lien entre le service public et l’usager, augmentation du confort de vie des habitants, etc. : toutes ces problématiques sont autant de défis que la Smart City pourrait contribuer à adresser et qui poussent les collectivités à investir dans cette direction.

Afin de répondre à ces enjeux d’aujourd’hui et de demain, la Smart City va devoir créer une synergie entre différents domaines tels que la gestion intelligente du trafic, le développement de nouveaux modes de transports, l’optimisation de la consommation d’énergie et de la gestion des déchets, la protection des biens et des services, la domotique etc.

Tous ces services pourront être fédérés autour d’un centre de contrôle unique qui assurera une liaison montante et descendante donnant la possibilité de collecter des informations sur l’état des services et/ou d’agir directement sur l’infrastructure.

 

Une nouvelle cible pour les cyber attaquants

De nombreuses villes en France et dans le monde, se sont emparées du sujet Smart City pour faire face aux défis énoncés précédemment : de grandes métropoles bien sûr, mais également des villes de tailles plus modestes.

En parallèle de ces initiatives, il devient de plus en plus fréquent d’observer des attaques d’origine cyber cibler des villes. A titre d’illustration, en 2019, 22 municipalités américaines ont été victimes de cyberattaques. Les pertes se chiffrent en millions. Le gouverneur de Louisiane est allé jusqu’à décréter l’état d’urgence à la suite d‘attaques contre plusieurs villes de son Etat. Mais ces attaques ne se limitent pas aux Etats-Unis, comme peuvent en témoigner les attaques en France sur les villes de Sarrebourg (Moselle), Sequedin (Nord), Huez (Oisans), La Croix-Valmer (Var) ou encore de Nuits-Saint-Gorges (Côtes-d’Or).

Ainsi, la question est désormais de savoir pourquoi les Smart Cities présentent un nouveau terrain de jeu pour les Cyber Attaques et comment s’en protéger.

 

La Smart City induit un changement de paradigme

Mener un projet Smart City nécessite de modifier les façons habituelles de procéder par la mise en place d’un système d’information d’un nouveau genre, mêlant de nombreuses problématiques et générant de nouveaux risques en matière de CyberSécurité.

 

Une architecture complexe

La ville intelligente est en partie caractérisée par la structure nouvelle de son architecture. Son système d’information atypique compile à la fois les contraintes d’un système d’information de gestion, celles d’un système d’information industriel et celles d’un système d’information IoT.

Ainsi, son SI de gestion aura une propension à collecter et traiter un grand nombre de données alors que son SI industriel aura la caractéristique d’être en prise directe sur le monde physique : gestion de l’eau, des feux de circulation, de la signalisation routière variable, de bornes rétractables, de l’éclairage intelligent, pilotage de voitures autonomes, etc. et la conciliation des enjeux de ces deux mondes n’est pas chose facile : là où le monde industriel met traditionnellement l’accent sur la disponibilité, le monde IT se concentrera sur l’intégrité et la confidentialité des informations et des traitements, considérant par ailleurs que la Smart City renforcera la dimension informatique et numérique existante des systèmes industriels.

De plus, il faut considérer la raison d’être d’un système d’information IoT qui est de collecter des données au plus près de leurs sources, par le déploiement d’objets connectés, multiples points d’entrée sur le SI dans des environnements potentiellement hostiles. Par conséquent, ces objets seront exposés unitairement à des attaques physiques contre lesquelles il n’était pas nécessaire ou plus facile auparavant de se prémunir (ex : accès physique à un port série ou USB, remplacement de la mémoire flash, etc.).

Enfin, les systèmes qui composent la Smart City doivent être en capacité d’évoluer rapidement de manière à bénéficier des innovations des acteurs du marché. L’enjeu est de réussir à construire un SI flexible en capacité de pouvoir répondre à des usages encore non identifiés à l’heure actuelle tout en prévoyant des systèmes capables d’être maintenus dans le temps, à l’échelle d’une ville intelligente construite pour des dizaines d’années.

 

Le paradoxe de l’interopérabilité

Par ailleurs, une démarche Smart City se veut inclusive afin de tirer parti des forces de l’ensemble des acteurs du territoire. Cela induit de gérer des systèmes hétérogènes, mêlant nouvelles et anciennes briques technologiques, et de maitriser l’ouverture de son SI.

La polymorphie des Smart City complexifie la définition de politiques de sécurité globales. Leurs mises en œuvre évoluent parallèlement au développement de nouvelles technologies, rendant obsolètes, ou inapplicables, les politiques de sécurité d’une autre génération. Cette problématique est déjà présente dans le monde industriel depuis des années, où les contraintes opérationnelles font qu’il est parfois impossible de faire évoluer des systèmes devenus vulnérables.

Au-delà de la politique de sécurité, si l’interopérabilité entre des systèmes multigénérationnels permet de développer de nouvelles fonctionnalités créatrices de valeur pour l’usager, elle implique aussi l’utilisation de protocoles disparates pouvant induire des failles de sécurité. Une approche de « sécurité by design » consisterait à identifier le besoin actuel et ses évolutions potentielles, afin d’être capable de proposer un cahier des charges intégrant à la fois les réponses concrètes au besoin fonctionnel mais aussi les clauses de sécurité minimales permettant de déployer le service avec un niveau de confiance satisfaisant. Toutefois, ceci est susceptible de s’opposer au principe d’inclusivité de la Smart City.

 

L’importance de la donnée

Un enjeu opérationnel et politique

L’information remontée du terrain est d’une importance prégnante parce qu’elle permet de piloter la Smart City : aide aux prises de décisions, communication d’informations aux citoyens, planification d’événements, et évaluation des politiques publiques. Si la donnée en elle-même n’est pas forcément critique, cela n’est plus vrai lorsqu’elle est agrégée dans un ensemble plus large. Des erreurs dans la collecte ou le traitement de la donnée pourront à la fois provoquer des dysfonctionnements opérationnels dans les services ou des choix inadaptées à la conjoncture.

Par ailleurs, la construction de la Smart City est faite par couche. Progressivement, de nouveaux services apparaissent et se développent. Historiquement silotés, la tendance est à la recherche de synergies entre les différents services pour créer toujours plus de valeur ajoutée pour l’usager. Ces interconnexions grandissantes et cette superposition induisent une complexité telle qu’en cas de panne, il existe un risque, si l’on n’y prend pas garde, de voir l’ensemble de l’infrastructure s’écrouler, par propagation de l’erreur, ou parce que chaque service est devenu dépendant des autres.

La sécurité: une demande qui émane des citoyens eux-mêmes

Elabe et Wavestone ont réalisé une enquête qualifiant l’importance de la donnée dans les services publics de demain, et sur les enjeux auxquels devront faire face les parties prenantes de tels projets.

Parmi ces enjeux réside l’utilisation qui est faite de la donnée à caractère personnel de l’usager. Globalement, les citoyens sont favorables à l’idée de la transformation numérique des services publics, et à fortiori à la Smart City en tant que service public, mais restent soucieux de la finalité des traitements de leurs données.

Cependant, une part non négligeable de la population, soit entre 30% et 50% n’est pas favorable à la cession de ses données même si cela pourrait permettre de faire des économies, gagner du temps ou réduire son empreinte carbone. Cela pourrait être dû au fait que 76% de la population interrogée estime que l’administration n’est pas apte aujourd’hui à assurer la sécurité des données qu’elle collecte.

Le succès de la Smart City réside donc aussi dans la capacité des parties prenantes à rassurer les usagers sur l’usage et la protection de leurs données.

Ainsi, nous avons vu que la Smart City induisait un changement de paradigme qui, associé aux fortes attentes du grand public sur la sécurité de ses données, nécessitait d’adapter son approche. En effet, à mesure que la Smart City se développe, l’activité urbaine devient de plus en plus dépendante de ses services, accroissant d’une part ses besoins de sécurité, mais aussi l’intérêt que lui porte les cyber attaquants. Fort de ces constats, l’enjeu sera donc d’identifier quelle démarche mettre en œuvre pour prendre en compte les risques de Cyber Sécurité et, à défaut de les supprimer totalement, les réduire. Nous vous en parlerons dans un second article.