Smart City : les clés de la ville aux mains des pirates

Le marché de la Smart City devrait représenter 165 milliards d’euros en France d’ici à 2022 selon une étude de Cisco. Un rapport du ministère du Logement et l’habitat durable paru en 2016 précise que la moitié (49 %) des investissements concerne les bâtiments et les usages, 17 % la conception urbaine et l’environnement, 15 % la mobilité, 10 % l’énergie et les réseaux et 9 % pour le reste.

C’est dans cette poignée de pour cent que l’on trouve notamment la sécurité des flux… Comme d’autres technologies qui ne sont pas encore arrivées à maturité, la protection des échanges est rarement une priorité. Dans bien des cas, elle n’est pas même intégrée dès les premières lignes d’un projet.

Or, tous les concepteurs de smart City vont devoir rapidement changer leurs méthodes de travail. Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrera en application. Validé en 2016, il renforce la protection des citoyens et accentue par conséquent les obligations de toutes les entreprises. Quelles que soient leur taille et leur activité, elles doivent dès à présent s’organiser pour être en conformité.

Si un piratage informatique du réseau informatique d’une Smart City entraîne une fuite de données à caractère personnel, le gérant devra en effet avertir la CNIL sous 72 heures. Cette notification devra être faite dès que l’intrusion malveillante aura été constatée. Passé ce délai ou si il n’avertit pas cet organisme, le gestionnaire de ce réseau devra s’acquitter d’une amende. L’article 83.6 du RGPD précise que cette sanction peut atteindre jusqu’à 4 % du chiffre d’affaires mondial annuel (pour un grand groupe).

Coupure d’eau

Pour l’instant, ces villes intelligentes n’ont pas encore été réellement impactées. Mais des indices montrent que des attaques devraient se multiplier au fur et à mesure de leur développement. Des pirates ont déjà infecté des réseaux électriques, des systèmes d’alerte de Dallas, le réseau du tramway à San Francisco…

Demain, on peut imaginer, différents services paralysés par des cybercriminels qui auront infecté un réseau informatique avec un ransomware (virus chiffrant toutes les données d’un serveur ou d’ordinateurs) et exigeront le paiement d’une rançon pour tout débloquer. Un scénario de film de science-fiction ? Pas vraiment, le niveau de sécurité de ces réseaux et des objets connectés est tellement faible, voire inexistant, qu’il pourrait vite devenir une triste réalité…

Selon l’ANSSI (Agence nationale de sécurité des systèmes d’information) il faut focaliser les efforts de sécurisation sur les objets connectés de type actionneurs, qui ont des conséquences physiques sur la ville (gestion de l’eau, électricité, transports…). Mais il faut surtout en revenir aux règles fondamentales. Et la première d’entre elles est d’intégrer la sécurité dès le début d’un projet, car « c’est très compliqué de l’intégrer plus tard », rappelle Hervé Debar, Directeur du département RST à Télécom SudParis.

Le chiffrement des communications de la smart City et le cloisonnement des données sont également prioritaires. Comme pour le réseau d’une entreprise, il est indispensable de faire un audit du système informatique. C’est ce qu’a fait Singapour, l’une des smart cities les plus avancées, en 2012 dans 11 secteurs dont les infrastructures sont jugées cruciales (transports, énergie, télécoms, finance…). Même si cet exemple est à part, il s’agit d’une ville État où tout est centralisé, il doit servir de référence en France.

Par Philippe Richard