Smart city : intégrer la cybersécurité dès la conception

La smart city interconnecte des dizaines de milliers de capteurs et de multiples systèmes d’information : transports, parkings, eau et assainissement, gestion des déchets, éclairage… Objectifs : fournir des services automatisés, sans cesse mieux adaptés aux besoins des citoyens, et optimiser la gestion de la collectivité. Mais attention ! Une ville entièrement connectée pourrait être totalement à l’arrêt en cas d’attaque majeure. Car si le niveau de sécurité n’est pas suffisant, il est relativement simple pour un hacker de pénétrer dans un objet connecté (IOT), puis dans un réseau, puis dans un autre réseau et ainsi de suite. Et si l’ensemble des ordinateurs, réseaux et ressources ne sont plus accessibles, plus aucun service ne pourra être fourni. Qu’il s’agisse de bâtiments intelligents, plateformes digitales, objets connectés ou voitures autonomes tous seront autant de nouveaux points d’entrée pour les hackers, avec le risque que des immeubles, des entreprises ou des quartiers entiers se fassent voler leurs données. Les IOT sont en effet des portes d’entrée insoupçonnées  : en avril 2018, des cybercriminels sont passés par un thermomètre d’aquarium d’un casino pour mettre un pied dans le réseau et accéder à la base de ses données. L’identité du casino n’a pas été révélée. Mais le cas est loin d’être isolé. Beaucoup d’objets connectés, des thermostats, des frigos, des systèmes de climatisation, ou des dispositifs comme Alexa (un assistant personnel développé par Amazon, NDLR) étendent la surface d’attaque.

Effectuer des tests réguliers

Seule solution : intégrer la sécurité à tous niveaux, le plus en amont possible, afin d’éviter des scénarios catastrophes qui n’ont rien à envier à la science-fiction. Comme à Dallas (Texas) où, un hacker ayant déclenché l’ensemble des sirènes d’alerte une nuit d’avril 2017, des milliers de personnes ont appelé le standard d’urgence, qui s’est retrouvé saturé.

Bâtiments intelligents, IOT… autant de points d’entrée pour les hackers.

Comme la ville intelligente ne peut fonctionner que grâce à une multitude de données (les big data), un des premiers enjeux sera de les protéger. Le choix des technologies est donc la phase la plus importante pour assurer le bon niveau de sécurité. Il convient de ne pas se focaliser uniquement sur les fonctionnalités qu’elles apportent, au risque de créer de nouvelles vulnérabilités au sein des infrastructures de la collectivité. Chaque solution devra intégrer la sécurité dès sa conception : chiffrement de toutes les communications, filaires ou non, authentification pour accéder aux fonctions de tous les systèmes, mises à jour automatiques, activation par défaut des seules fonctionnalités de base, mécanismes d’audit des systèmes et de surveillance des journaux d’événements… La ville devra aussi effectuer des tests réguliers pour vérifier la conformité aux exigences de sécurité ou l’absence d’intrusion. Par ailleurs, la transversalité étant essentielle pour la sécurité, il faudra structurer une interconnexion sécurisée des systèmes d’information des établissements publics et privés. Pensée pour le citoyen, la ville intelligente est aussi vulnérable par lui : smartphones, enceintes, caméras et autres objets personnels connectés seront autant de portes dérobées vers le système d’information public. La collectivité devra donc prévoir une charte de sécurité pour la population. Et, quoiqu’il en soit, la sécurisation des smart cities n’est jamais acquise ; il faut l’évaluer en permanence, pour effectuer des mises à jour dès que c’est nécessaire.