Saga Smart City #2 : les nouveaux enjeux de la cybersécurité dans la ville intelligente

La Smart City, ville intelligente et connectée, collectera un nombre extrêmement important de données qui régiront chaque aspect de la vie urbaine. Leur protection et par ricochet, celle des bâtiments, des infrastructures, des véhicules et des personnes, nécessitera une cybersécurité appropriée.

La donnée – véritable carburant 3.0 – est un élément central des Smart Cities. Dans la ville de demain, elle permettra de contrôler et d’optimiser tout ce qui se passe sur son territoire, depuis la circulation des voitures autonomes jusqu’au bon fonctionnement des bâtiments intelligents. Si cette nouvelle donne numérique a pour objectif premier de faciliter la vie des citoyens, elle présente également des risques pour leur sécurité ainsi que pour celle des états, des organisations et des acteurs économiques.

Le monde numérique est vulnérable

L’hyper-digitalisation de la Smart City pourrait en effet apporter de nouvelles opportunités aux cybercriminels : bâtiments intelligents, plateformes digitales, objets connectés et voitures autonomes seront autant de nouveaux points d’entrée pour les hackers, avec le risque que des immeubles, des entreprises ou des quartiers entiers se fassent voler leurs données. En piratant les serveurs informatiques, des hackers pourraient ainsi déverrouiller portes, parkings et ascenseurs pour prendre le contrôle d’un bâtiment et s’y introduire physiquement dans le but de commettre des actes malveillants.

Bâtiments intelligents, plateformes digitales, objets connectés et voitures autonomes seront autant de nouveaux points d’entrée pour les hackers.

En France, les OIV (Opérateurs d’importance Vitale) – qui regroupent aussi bien les opérateurs de télécommunication, les fournisseurs d’énergie, les hôpitaux, les grandes banques ou encore les régies de transport – sont un peu moins exposés à ces risques car déjà soumis à une réglementation contraignante en matière de cybersécurité par la loi de programmation militaire. Néanmoins, une cyberattaque réussie sur l’un d’entre eux aurait des conséquences désastreuses.  

Une protection adaptée

Ces risques sont déjà réels. En 2017, des pirates avaient pénétrés dans le système d’alerte de la ville de Dallas, semant la panique en déclenchant 156 sirènes d’urgence. La même année, des hackers avaient utilisé un ransomware (un logiciel d’extorsion de fonds) pour verrouiller toutes les serrures des portes d’un hôtel dans les Alpes, enfermant tous les clients dans leurs chambres et demandant une rançon pour les libérer.

Trouver une réponse appropriée à ces menaces est devenu un enjeu crucial. En France, c’est l’ANNSI (Agence nationale de la sécurité des systèmes d’information), intégrée au Secrétariat Général de la Défense et de la Sécurité Nationale, qui est en charge de la cybersécurité sur tout le territoire. Elle a notamment pour missions d’anticiper les menaces et de détecter les attaques potentielles.

Au niveau mondial, la Smart Buildings Alliance – une organisation internationale qui regroupe 250 acteurs de la ville intelligente – ainsi que l’Institut National des Normes et de la Technologie américains ont tous deux émis une série de recommandations pour protéger les infrastructures de la Smart City. Parmi ces recommandations : une  sécurisation renforcée des capteurs et des composants connectés ainsi que des informations à la source grâce au cryptage, une protection des identités numériques en synchronisant les autorisations d’accès, ou encore un renforcement des moyens de dissuasion en punissant plus lourdement les cybercriminels.

Par ailleurs, plusieurs villes dans le monde, dont notamment New York, ont déjà établi des protocoles strictes incluant l’utilisation de systèmes biométriques certifiés, le recours systématique à la cryptographie pour protéger les données et le renforcement des politiques de confidentialité numériques.

Le rôle essentiel de l’humain

Toutes ces technologies ne doivent pas faire oublier pour autant que la Smart City aura aussi besoin de femmes et d’hommes pour se protéger efficacement. En effet, derrière les machines, il faudra toujours des personnels pour détecter une anomalie, s’assurer qu’une infrastructure connectée est accessible uniquement aux bonnes personnes, vérifier qu’un système automatisé n’a pas été hacké et que des voleurs n’en profitent pas pour s’introduire dans un bâtiment. Demain, les agents de sécurité privée seront donc toujours en première ligne pour assurer la surveillance des sites qui leur sont confiés, même si ceux-ci sont automatisés.

Les sociétés de sécurité privée doivent prendre la mesure de ces nouveaux enjeux de sécurisation des villes intelligentes et notamment ce que cela implique en termes de formation des personnels. Avec la Smart City, c’est en effet tout un nouveau pan de métiers connectés qui vont naître ou évoluer au sein de la sécurité privée.