Safe city : "La question n'est pas de savoir si on va être attaqué mais quand"

La safe city – comme son nom l'indique – privilégie la sécurité. Elle repose cependant sur une multitude de solutions numériques et notamment d'objets connectés dont la sécurité laisse trop souvent à désirer. A l'instar de l'arroseur arrosé, la safe city nous rend-elle vulnérables ?

Baltimore, 7 mai 2019. Des pirates informatiques paralysent tous les services administratifs de la ville. Pendant deux longs mois, le paiement des amendes ou des impôts locaux est impossible, quelque 1 500 ventes immobilières sont suspendues. Aucune facture d'eau n'est émise puisque les compteurs intelligents sont eux aussi bloqués. La municipalité doit fonctionner sans serveurs ni mails. Le Préjudice sera estimé à 16 000 000 €, sans compter les citoyens de Baltimore dont les données personnelles, notamment bancaires, ont été aspirées ou les agences immobilières au chômage.
Johannesburg, juillet 2019. Près de 250 000 d’habitants sont privés d’électricité. Le réseau City Power, chargé d'alimenter la plus grande ville d’Afrique du Sud est à son tour victime d'une attaque cyber.

Scénarios exceptionnels ou lointains ? Assurément non.  
En France, Angers, Annecy, La Rochelle, Vincennes, Alfortville, Bondy, le Conseil départemental d‘Eure-et-Loir, Charleville-Mézières, Mitry-Mory, la Région Grand Est, Sarrebourg, l’agglomération du Grand Cognac… toutes ont déjà été attaquées. Dans la nuit du 27 au 28 décembre 2020, des cybercriminels cryptent l'ensemble des données de la ville d'Annecy. En mars 2020, Marseille et la métropole Aix-Marseille-Provence sont victimes de piratage juste avant les élections municipales. Dans un communiqué, la métropole évoquait une « cyberattaque inédite par son ampleur ».

La vulnérabilité des systèmes connectés n'est pourtant pas un sujet récent.

En 2014 déjà, le magazine Envoyé Spécial faisait pirater le stationnement et les lampadaires du boulevard connecté de Nice.

Aujourd'hui, le déploiement croissant et l'interconnexion de solutions numériques sur le territoire urbain et dans les services publics des collectivités rend la question plus cruciale encore car – il faut le souligner - plus un réseau est complexe, plus il est fragile.

Un véritable déficit de culture du risque

"La question n'est pas de savoir si l'on va se faire attaquer mais quand" affirme, lapidaire, Axel Dreyfus, fondateur de l'école 2600, l'établissement de cybersécurité implanté à Saint Quentin en Yvelines.

Il souligne le déficit de culture en matière de cybersécurité (et pas seulement au sein des collectivités territoriales) comme celui de spécialistes en la matière : "Rien que pour les secteurs relevant de la sécurité nationale et de la vie économique, il manque 75 000 professionnels en France." Il souligne également que la nature même des objets connectés les rend vulnérables, en raison notamment de systèmes d'exploitation obsolètes et de défaut de mise à jour. Shodan.io, moteur de recherche des (innombrables) objets connectés dans le monde est, à cet égard, fort prisé des hackers.

Gaël Musquet souligne lui aussi un véritable déficit de la culture du risque en France. La double compétence de l'expert - à la fois hacker et météorologue - prend tout son sens quand il explique : "La cybersécurité, comme pour les catastrophes naturelles, doit fonctionner selon la trilogie Informer / Former / Alerter afin d'éviter les situations de déni ou de sidération". Il faut donc s'informer en apprenant des erreurs du passé pour identifier les failles et les capacités de résilience. Former en réalisant des exercices grandeur nature comme pour les risques sismiques. Alerter via un réseau de communication secondaire affranchi du numérique comme les radio-amateurs, avec des interlocuteurs identifiés capables de juguler la désinformation et les mouvements de panique.

Dans la course à l'innovation et à la "smartitude" que se livrent villes et territoires, la sécurité passe trop souvent au second plan.

Il est impératif pourtant de structurer une véritable stratégie de défense. Un dispositif idéal de prévention des attaques cyber repose sur au moins deux piliers résume Axel Dreyfus :

-       un Security operation center (SOC), tour de contrôle centralisant en continu toutes les données des objets connectés

-       et un Computer Security Incident Response Team (CSIRT ou CERT), centre d'alerte et de réponse aux incidents de sécurité, en somme les pompiers chargés d'éteindre l'incendie et d'en identifier les causes.

Un dispositif onéreux et sur le pied de guerre H24 certes, mais faute de précautions, la safe city pourrait cruellement trahir ses promesses de fluidité et de sérénité.