Tout le dossier Tout le dossier
-
Architecture
L'espace public sous haute protection
-
Ville du futur
Lyon et Barcelone main dans la main pour lutter contre le terrorisme
-
Ville du futur
Alerte sur la vulnérabilité informatique de la smart city
-
Ville du futur
L'authentification sécurisée, gage de sérieux des consultations de démocratie participative
Alerte sur la vulnérabilité informatique de la smart city
Avec l'émergence de la ville intelligente, les collectivités vont devoir redoubler de vigilance sur leur sécurité informatique. Les responsables de la sécurité des systèmes d'information des collectivités sont en première ligne sur cette question.
Gabriel Thierry
Piloter automatiquement les feux rouges pour mieux réguler la circulation décelée par des capteurs dans la chaussée ? Pourquoi pas. Mais encore faut-il être certain de la sécurité informatique de cet équipement sensible. Que se passera-t-il le jour où les feux tricolores d'une commune seront mis hors service par une personne malveillante ou un cryptolocker (*) ayant infecté le centre de contrôle ? Avec la montée en puissance de la ville numérique, la question de la sécurité informatique se pose encore plus crûment.
Les collectivités jouent gros, que ce soit en termes de crédit auprès des habitants ou de dommages réels. Les responsables de la sécurité des systèmes d'information (RSSI) sont en première ligne face à ces menaces croissantes. « La protection de la signalisation ? C'est dans le top de notre hiérarchie des risques », indique ainsi Bruno Caudal, RSSI de la ville de Vannes.
A Marseille, c'est la numérisation des chaufferies des écoles qui a été regardée de près il y a deux ans par le service de sécurité informatique de Jérôme Poggi. La perte de contrôle d'un tel équipement pourrait avoir de sérieuses conséquences, de l'absence de chauffage en hiver à une fournaise l'été. Un type d'incident à anticiper, d'autant plus que le protocole de communication utilisé permet un accès sans authentification. « Nous avons donc isolé chaque chaufferie afin de les sécuriser » par un contrôle physique des accès, explique Jérôme Poggi.
L'informatique industrielle inquiète les spécialistes. « La plupart de ces équipements regorgent de failles de sécurité facilement exploitables par des pirates, analyse Bruno Caudal. Les industriels privilégient des solutions clés en main faciles à utiliser et à déployer. » Absence de chiffrement des flux de communication, de cloisonnement du réseau, faiblesse des mots de passe, complexité des mises à jour ou manque de protection physique compliquent la tâche des professionnels.
Scénario catastrophe
Bornes qui interdisent l'accès à des rues, parcmètres, distributeurs de billets… Au-delà des très sensibles caméras de vidéosurveillance, de nombreux équipements jusqu'ici isolés sont peu à peu connectés aux réseaux informatiques des communes. Afin d'éviter un scénario catastrophe, « il faut maîtriser son patrimoine grâce à un plan de maintenance et de sécurité adapté, préconise Jean-Noël Olivier, adjoint à la directrice générale du numérique et des systèmes d'infor mation de Bordeaux métropole (Gironde). C'est une gouvernance assez classique dans l'informatique, mais qui est encore peu pratiquée sur les équipements urbains. » La multiplication des objets connectés fait croître la surface d'attaque. A la métropole de Toulon (Var), on met en avant le chiffrement du flux de communication des capteurs de crue, depuis 2016, pour éviter tout incident sur cet équipement. « Des personnes malveillantes peuvent lancer de fausses alertes qui désorganiseraient nos services », note Hervé Stassinos , vice-président délégué au numérique. Pour son nouveau système de clés numériques destiné aux écoles, Marseille a, quant à elle, mis en place « un serveur informatique dédié et restreint le nombre de personnes pouvant y accéder », détaille Jérôme Poggi. Pilotées à distance, ces clés doivent simplifier la gestion des accès en accordant des droits rechargeables sur des terminaux placés dans chaque établissement scolaire.
Avec ces objets connectés qui déportent le calcul dans le cloud, « il va être de plus en plus nécessaire de s'interroger sur les méthodes de collecte des données et sur la qualité de la sous-traitance », alerte Damien Alexandre. Ce professionnel, chargé de l'espace consacré aux collectivités au Clusif, une association dédiée à la sécurité informatique, remarque que la sous-traitance, « parfois en cascade sur des projets complexes, peut constituer le maillon faible ».
12 000 sondes logicielles ont été installées dans les postes informatiques et les serveurs du réseau informatique de la métropole de Bordeaux. Une mission confiée à la start-up locale Tehtris. Ce radar, en place depuis deux ans, doit permettre de bloquer les menaces informatiques.
Sensibles données
Mais ces vulnérabilités ne se limitent pas aux objets technologiques. La cybersécurité est également une question juridique, organisationnelle et humaine. Exemple avec l'open data et la question des données personnelles. Parfois rudimentaires, les mécanismes d'anonymisation employés peuvent être contournés par des traitements capables de ré-identifier des personnes. « Le responsable de la sécurité des systèmes d'information ou le délégué à la protection des données sont souvent vus comme des briseurs de rêves, observe Damien Alexandre. La tentation peut alors être forte de ne pas les associer à des projets innovants. » Au risque de ne pas identifier une faille de sécurité ou un problème de respect du RGPD (règlement général sur la protection des données). C'est ainsi qu'un professionnel de la sécurité d'une collectivité de l'Ouest de la France a découvert dans la presse le lancement d'un smart service de bancs connectés dans sa ville…
(*) Logiciel malveillant de type cheval de Troie.
« La sécurité de nos objets connectés est également physique », Patrick Chambet, responsable de la sécurité des systèmes d'information de la ville et de la métropole de Nice
« La smart city, c'est avant tout un flux d'information, qui part de milliers de capteurs installés sur le territoire vers des applications. Pour sécuriser ce nouvel écosystème, nous avons tout d'abord mis en place un critère de sécurité systématique dans nos marchés publics. Ensuite, nous travaillons sur les capteurs. Il y avait peu de sécurité, jusqu'ici, dans les objets connectés. La prise de conscience a été tardive alors que ces derniers sont souvent utilisés comme relais dans des attaques ou piratés. Il y a quatre ans, nous avons effectué une expérimentation d'installation de capteurs dans la chaussée calculant les places de parking disponibles. Ces capteurs, noyés dans l'enrobé, ne pouvaient pas être mis à jour, ce qui constituait pour nous une vulnérabilité inquiétante. La sécurité de nos objets connectés passe également par une sécurité physique. Ils doivent être inaccessibles - en haut d'un mât, dans une armoire urbaine fermée à clé… - avec, pour les plus sensibles, des capteurs d'ouverture.
Enfin, nous prévoyons, dans notre procédure d'installation, de reconfigurer le mot de passe, dont la déclinaison par défaut est souvent testée par les pirates. Nous adaptons nos mesures de sécurité en fonction de la criticité des capteurs pour éviter un coût beaucoup trop important. Et nous avons mis en place des procédures de contrôle de cohérence des données. Elles nous permettent de bloquer des valeurs non conformes pour des objets connectés moins critiques, comme ceux du bruit ou de la pollution. »
PARCOURIR LE DOSSIER
