Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Villes du futur, villes durables

Alerte sur la vulnérabilité informatique de la smart city

Publié le 08/11/2019 • Par Gabriel Thierry • dans : France, Innovations et Territoires

smart-city-cybersecurite-hack-une
Tierney - Adobestock
Avec l’émergence de la ville intelligente, les collectivités vont devoir redoubler de vigilance sur leur sécurité informatique. Les responsables de la sécurité des systèmes d’information des collectivités sont en première ligne. Hiérarchisation des menaces ou plan de maintenance adapté : les professionnels ont des réponses aux vulnérabilités numériques.

Ma Gazette

Sélectionnez vos thèmes et créez votre newsletter personnalisée

Cet article fait partie du dossier

Ville sûre

Piloter automatiquement les feux rouges pour mieux réguler la circulation décelée par des capteurs dans la chaussée ? Pourquoi pas. Mais encore faut-il être certain de la sécurité informatique de cet équipement sensible. Que se passera-t-il le jour où les feux tricolores d’une commune seront mis hors service par une personne malveillante ou un cryptolocker (1) ayant infecté le centre de contrôle ? Avec la montée en puissance de la ville numérique, la question de la sécurité informatique se pose encore plus crûment. Les collectivités jouent gros, que ce soit en termes de crédit auprès des habitants ou de dommages réels. Les responsables de la sécurité des systèmes d’information (RSSI) sont en première ligne face à ces menaces croissantes. « La protection de la signalisation ? C’est dans le top de notre hiérarchie des risques », indique ainsi Bruno Caudal, RSSI de la ville de Vannes (53 200 hab. Morbihan).

A Marseille (862 200 hab.), c’est la numérisation des chaufferies des écoles qui a été regardée de près il y a deux ans par le service de sécurité informatique de Jérôme Poggi. La perte de contrôle d’un tel équipement pourrait avoir de sérieuses conséquences, de l’absence de chauffage en hiver à une fournaise l’été. Un type d’incident à anticiper, d’autant plus que le protocole de communication utilisé permet un accès sans authentification. « Nous avons donc isolé chaque chaufferie afin de les sécuriser » par un contrôle physique des accès, explique Jérôme Poggi.
L’informatique industrielle inquiète les spécialistes. « La plupart de ces équipements regorgent de failles de sécurité facilement exploitables par des pirates, analyse Bruno Caudal. Les industriels privilégient des solutions clés en main faciles à utiliser et à déployer. » Absence de chiffrement des flux de communication, de cloisonnement du réseau, faiblesse des mots de passe, complexité des mises à jour ou manque de protection physique compliquent la tâche des professionnels.

Scénario catastrophe

Bornes qui interdisent l’accès à des rues, parcmètres, distributeurs de billets… Au-delà des très sensibles caméras de vidéosurveillance, de nombreux équipements jusqu’ici isolés sont peu à peu connectés aux réseaux informatiques des communes. Afin d’éviter un scénario catastrophe, « il faut maîtriser son patrimoine grâce à un plan de maintenance et de sécurité adapté, préconise Jean-Noël Olivier, adjoint à la directrice générale du numérique et des systèmes d’information de Bordeaux métropole [28 communes, 783 100 hab.]. C’est une gouvernance assez classique dans l’informatique, mais qui est encore peu pratiquée sur les équipements urbains. »

La multiplication des objets connectés fait croître la surface d’attaque. A la métropole de Toulon (12 communes, 431 700 hab.), on met en avant le chiffrement du flux de communication des capteurs de crue, depuis 2016, pour éviter tout incident sur cet équipement. « Des personnes malveillantes peuvent lancer de fausses alertes qui désorganiseraient nos services », note Hervé Stassinos, vice-président délégué au numérique. Pour son nouveau système de clés numériques destiné aux écoles, Marseille a, quant à elle, mis en place « un serveur informatique dédié et restreint le nombre de personnes pouvant y accéder », détaille Jérôme Poggi. Pilotées à distance, ces clés doivent simplifier la gestion des accès en accordant des droits rechargeables sur des terminaux placés dans chaque établissement scolaire. Avec ces objets connectés qui déportent le calcul dans le cloud, « il va être de plus en plus nécessaire de s’interroger sur les méthodes de collecte des données et sur la qualité de la sous-traitance », alerte Damien Alexandre. Ce professionnel, chargé de l’espace consacré aux collectivités au Clusif, une association dédiée à la sécurité informatique, remarque que la sous-traitance, « parfois en cascade sur des projets complexes, peut constituer le maillon faible ».

Sensibles données

Mais ces vulnérabilités ne se limitent pas aux objets technologiques. La cybersécurité est également une question juridique, organisationnelle et humaine. Exemple avec l’open data et la question des données personnelles. Parfois rudimentaires, les mécanismes d’anonymisation employés peuvent être contournés par des traitements capables de ré-identifier des personnes. « Le responsable de la sécurité des systèmes d’information ou le délégué à la protection des données sont souvent vus comme des briseurs de rêves, observe Damien Alexandre. La tentation peut alors être forte de ne pas les associer à des projets innovants. » Au risque de ne pas identifier une faille de sécurité ou un problème de respect du RGPD (règlement général sur la protection des données). C’est ainsi qu’un professionnel de la sécurité d’une collectivité de l’Ouest de la France a découvert dans la presse le lancement d’un smart service de bancs connectés dans sa ville…

« La sécurité de nos objets connectés est également physique »

Patrick Chambet, responsable de la sécurité des systèmes d’information de la ville et de la métropole de Nice (49 communes, 538 800 hab.)

Patrick CHAMBET, responsable de la cybersécurité à la Métropole Nice Côte d'Azur« La smart city, c’est avant tout un flux d’information, qui part de milliers de capteurs installés sur le territoire vers des applications. Pour sécuriser ce nouvel écosystème, nous avons tout d’abord mis en place un critère de sécurité systématique dans nos marchés publics. Ensuite, nous travaillons sur les capteurs. Il y avait peu de sécurité, jusqu’ici, dans les objets connectés. La prise de conscience a été tardive alors que ces derniers sont souvent utilisés comme relais dans des attaques ou piratés. Il y a quatre ans, nous avons effectué une expérimentation d’installation de capteurs dans la chaussée calculant les places de parking disponibles. Ces capteurs, noyés dans l’enrobé, ne pouvaient pas être mis à jour, ce qui constituait pour nous une vulnérabilité inquiétante. La sécurité de nos objets connectés passe également par une sécurité physique. Ils doivent être inaccessibles – en haut d’un mât, dans une armoire urbaine fermée à clé… – avec, pour les plus sensibles, des capteurs d’ouverture. Enfin, nous prévoyons, dans notre procédure d’installation, de reconfigurer le mot de passe, dont la déclinaison par défaut est souvent testée par les pirates. Nous adaptons nos mesures de sécurité en fonction de la criticité des capteurs pour éviter un coût beaucoup trop important. Et nous avons mis en place des procédures de contrôle de cohérence des données. Elles nous permettent de bloquer des valeurs non conformes pour des objets connectés moins critiques, comme ceux du bruit ou de la pollution. »

Cet article est en relation avec les dossiers

Notes

Note 01 Logiciel malveillant de type cheval de Troie. Retour au texte

Réagir à cet article
Prochain Webinaire

Covid : nouveaux enjeux, nouvelles mobilités

de La Rédaction de la Gazette des communes avec le soutien de la MNT

--
jours
--
heures
--
minutes
marche online

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

Alerte sur la vulnérabilité informatique de la smart city

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement