La smart city, une voie royale pour les cybercriminels

L’utilisation intensive des données et des capteurs pour l’optimisation des infrastructures et des services est l’une des caractéristiques fondamentales de la smart city, au sein de laquelle réseaux haut débit de type fibre optique et réseaux bas débit plus adaptés à l’IoT comme « LoRa » cohabitent. Une configuration qui offre une surface d’attaque élargie pour les cybercriminels.

« Au fur et mesure que les villes s’informatisent en tant que smart cities, au niveau des transports, des déchets, du chauffage, ou encore de la signalisation, le risque cyber change complètement de statut. En effet, comme on connecte des systèmes industriels, il devient beaucoup plus fort », remarque Marie-Odile Crinon, présidente et fondatrice du cabinet de conseil MRC2, administratrice et membre du comité de programme du Clusif.

Mais des solutions appliquées aujourd’hui dans l’IT et l’OT peuvent aussi servir à protéger la smart city. « Son périmètre de sécurité dépassant le périmètre de sécurité classique d’une entreprise, cela nécessite une autre approche et le Zero Trust peut être la bonne voie. Dans ce contexte, la gestion des accès des personnes et des équipements est très importante et l’identité devint la pierre angulaire dans le sens où l’accès est géré entre une identité et une ressource. Il est possible pour les collectivités de s’appuyer sur des fournisseurs d’identité ou de l’être elles-mêmes sur leur territoire et cela peut devenir une opportunité pour développer de nouveaux services », explique Bernard Debauche, chief product marketing de Systancia.

Selon Jean-Luc Sallaberry, responsable du département numérique de la FNCCR (Fédération nationale des collectivités concédantes et régies), le risque pour une collectivité réside dans le non-fonctionnement : « Dans certaines collectivités attaquées, toute l’activité a été réduite à zéro. Ce qui engendre un autre risque, la détérioration de la relation avec le citoyen et par conséquent la dégradation de l’image de la collectivité, de l’élu et du service. » Voilà deux ans, la FNCCR a réalisé une étude sur la sécurité des smart cities. Il en ressort que les conséquences sur l’image et l’impact psychologique d’une cyberattaque peuvent être très fortes pour la collectivité.

La fédération a mis en place un groupe de travail sur la cybersécurité, qui fait remonter des préconisations, y compris législatives et institutionnelles. « Nous avons proposé à l’Anssi de créer un CSIRT de filière car selon notre étude, la complexité des services urbains les rend spécifiques en matière de cybersécurité. Les réseaux ne sont en effet pas les mêmes, ils utilisent énormément de technologies différentes. L’Anssi n’a pas souhaité créer un CSIRT national mais je pense que nous allons continuer à pousser ce scénario. Nous discutons avec les régions porteuses de CSIRT régionaux à la façon de positionner ce CSIRT national pour les collectivités par rapport à leurs propres activités », souligne Jean-Luc Sallaberry. La FNCCR préconise également la mutualisation des RSSI pour les territoires ruraux ne disposant pas de budget pour recruter, ainsi que la création de l’équivalent d’un Service départemental d’incendie et de secours (SDIS) qui serait dédié à la cybersécurité.

Une politique data driven à Noisy-le-Grand

Dès 2008, la ville de Noisy-le-Grand (Seine-Saint-Denis) a mis en place un réseau de vidéosurveillance, passant de 8 à 220 caméras en 2020. La même année, elle a commencé des expérimentations sur l’optimisation de l’éclairage public, aujourd’hui généralisée. Entre 2018 et 2020, elle a développé un SIG, devenu incontournable. Et c’est en 2020 que la commune a défini une stratégie de la data, étape importante de sa trajectoire vers la ville intelligente.

Récemment, la ville a été lauréate, avec son projet Recital, de l’appel à projet de France 2030 « Territoires intelligents et durables » et de son volet intelligence artificielle. Objectif de ce projet : d’une part réduire au plus vite la consommation énergétique de 200 bâtiments en suivant en temps réel la consommation, en augmentant par l’IA les recommandations d’usages faites aux gestionnaires des bâtiments et en détectant les aberrations de comportement. D’autre part, coupler ces informations à un outil d’optimisation des travaux de rénovation et de leur impact thermique, afin de réduire au plus la consommation et l’impact CO2.

En matière de cybersécurité, la prise de conscience date de 2017. « L’arrivée du ransomware Wanacry a été la première secousse. Nous avons alors effectué un audit de sécurité du SI, décidé de recruter un RSSI (il faudra trois ans pour y parvenir) et pris des mesures de sensibilisation à la cybersécurité, ce qui, au début, n’a pas été simple au niveau des élus », raconte Axel Saint-Charles, DSI de la commune de Noisy-le-Grand.

L’augmentation des cyberattaques depuis 2020 a amplifié cette prise de conscience. « En décembre 2020, j’ai convaincu ma direction générale de mettre en place une task force ‘cybersécurité’, enclenchée dès 2021 via un dispositif de renforcement technique intégrant l’XDR (Extended Detection and Response), la sécurisation du serveur de mail, des accès à privilège revus, l’actualisation de la politique de mots de passe, l’authentification multifacteur sur les postes de télétravail… Nous avons également déployé un logiciel d’aide à la formation au phishing pour embarquer les agents », précise Axel Saint-Charles.

En 2021 toujours, un nouveau dispositif renforcé est élaboré dans le cadre du plan France Relance de la cybersécurité auquel la ville de Noisy-Le-Grand est éligible. Il comprend notamment un audit opérationnel complet, un plan d’action sécurité, une PSSI (Politique de sécurité du ou des systèmes d’information) officielle et une charte revisitée tenant compte du télétravail et des usages cloud et mobiles.

« C’était dense et ce n’est pas terminé. Lorsqu’un un projet est finalisé, je me demande quelle nouvelle menace nous allons engendrer par ce biais. C’est presque sans fin… Maintenant, la nouvelle inconnue est probablement l’IoT, – la chaîne qui va du capteur à la data. C’est un nouveau défi et il génère forcément de nouvelles préoccupations en matière de cybersécurité », conclut Axel Saint-Charles.