La sécurité, pierre angulaire des villes intelligentes de demain

Si l'expansion massive des villes présente des avantages évidents, elle peut également générer des difficultés, lorsque l'infrastructure existante doit prendre en charge un nombre croissant d'habitants

L'avènement des communications à distance et le rapprochement géographique des populations sont deux transitions majeures qui ont changé notre société depuis les années 50. Alors qu'Internet nous permet de communiquer partout dans le monde à la vitesse de l'éclair et transforme nos modes de vie ou nos approches de travail, l'urbanisation progresse à un rythme effréné : entre 1950 et 2018, nous sommes passés de 750 millions d'individus habitant en ville à environ 3 milliards.

Le meilleur des deux mondes 

Si l’expansion massive des villes présente des avantages évidents, elle peut également générer des difficultés, lorsque l’infrastructure existante doit prendre en charge un nombre croissant d’habitants. Au fil du développement urbain, une multitude de services et d’indicateurs comme les transports publics, la collecte des déchets, la qualité de l’air ou encore les services de santé peuvent atteindre des seuils critiques.

De son côté, Internet s’adapte facilement à la hausse de la demande, ce qui explique l’ampleur des investissements réalisés en vue de fusionner ces deux transitions sociales. Les initiatives de « villes intelligentes » visent à digitaliser l’infrastructure et les services pour trouver des sources d’efficacité, réduire l’utilisation des ressources, améliorer la précision et, de manière générale, en faire plus avec les capacités existantes des zones urbaines. Selon les prévisions 2019 d’IDC, les investissements liés aux villes intelligentes atteindront 189 milliards de dollars d’ici 2023 et cibleront en priorité l’énergie, la sécurité et les transports.

Les défis de la donnée connectée

Malheureusement, les avantages des réseaux numériques aux villes s’accompagnent obligatoirement des défis et des risques que nous rencontrons en ligne à l’heure actuelle. Beaucoup d’innovations sectorielles reposent aujourd’hui sur des informations utiles extraites de données collectées, qu’il s’agisse des solutions de smart banking déjà disponibles sur le marché ou de bouleversements imminents comme les véhicules autonomes. Mais il faut garder à l’esprit que ces données sont souvent extrêmement sensibles : par conséquent, les vulnérabilités de sécurité qui ont déjà affecté bon nombre d’entreprises pourraient avoir des conséquences catastrophiques à l’échelle d’une ville intelligente.

Dans le cadre du développement des infrastructures de ces nouvelles agglomérations, il est donc vital d’inclure la sécurité dès la première phase du projet. Nous connaissons déjà plusieurs types de cyberattaques susceptibles de compromettre les infrastructures de demain. Les capteurs connectés et intégrés aux appareils IoT (Internet des Objets) génèreront des volumes de données considérables que nous pourrons analyser, comme nous le faisons actuellement pour l’activité sur les réseaux sociaux, les comportements d’achat et la consommation médiatique. Lampadaires transmettant des données sur leur performance à des fins de maintenance prédictive, caméras de sécurité utilisant la vision par machine afin d’alerter le personnel en cas de situations nécessitant une intervention humaine, feux de signalisation s’adaptant en fonction de la qualité de l’air et des flux de trafic pour garder l’atmosphère saine et la circulation fluide... l’IoT joue un rôle clé dans les smart cities.

Comme ces différentes solutions sont fortement interconnectées, il suffit d’exploiter une vulnérabilité de sécurité dans l’un de ces équipements pour compromettre des sections entières du réseau et dérober les données qui y sont stockées. En 2016, il a par exemple été démontré que plus de 500 000 appareils IoT étaient vulnérables au botnet Mirai. Les cybercriminels avaient utilisé ce botnet pour lancer des attaques DDoS (Distributed Denial of Service) sur des serveurs, en demandant des volumes de données importants à une multitude de sources afin d’interrompre leur fonctionnement. Mais dans une ville intelligente, ce type de vulnérabilité pourrait menacer des services essentiels et utilisés au quotidien par les habitants, des transports à l’eau en passant par l’énergie.

Dans la smart city, la sécurité est un choix

Si ces risques sont bien présents, ils ne sont pas inévitables : en les connaissant, il est possible d’agir de manière proactive avant qu’ils ne surviennent. De plus, le secteur informatique s’appuie déjà sur de bonnes pratiques de cybersécurité qu’il serait possible d’adapter aux scénarios d’IoT.

Dans leurs projets de villes intelligentes, les parties prenantes ont intérêt à prendre les mesures clés suivantes : définir les exigences de sécurité (par exemple en adoptant un framework normalisé pour que toutes les parties se mettent d’accord sur les risques et les stratégies d’atténuation associées) ; garantir la sécurité des logiciels, en s’assurant que les applications intégrées aux équipements IoT sont régulièrement testées et mises à jour ; mettre en place une stratégie de gestion des entités, pour éviter d’omettre accidentellement certains appareils connectés dans les mises à jour de sécurité, ce qui peut générer des vulnérabilités exploitables ; ou encore utiliser l’analyse de données pour contribuer au bon fonctionnement de la ville en temps réel.

Les données potentiellement sensibles collectées, analysées et stockées de manière centralisée sont une cible de choix pour les cybercriminels. Par exemple, les données personnelles sur la santé des habitants peuvent contribuer à l’identification de problèmes, à l’allégement de la charge de travail des établissements assurant les soins et à la surveillance de l’évolution globale de la santé des populations. Mais entre les mains d’acteurs malveillants, elles peuvent être utilisées à des fins de fraude ou de chantage. Dans les projets de smart city, il faut donc non seulement s’assurer que la technologie fonctionne correctement, mais aussi qu’elle soit conforme aux règlements sur la confidentialité.

Même si le système est réputé sécurisé, il est toujours possible de mettre en place des mesures pour minimiser le risque de fuites de données. En appliquant le libellé "sensible" aux données sensibles, les systèmes peuvent traiter ces informations avec précaution et les utiliser uniquement lorsqu’ils en ont expressément besoin. De plus, le chiffrement et la pseudonymisation permettent de limiter l’utilité des données lorsque les cybercriminels parviennent à les dérober. Le développement et les tests de plans de reprise d’activité sont également essentiels, car cela permet aux autorités de réagir rapidement et efficacement en cas de problème.

Tous ces conseils reposent sur les leçons apprises à nos dépens au fil des décennies et de l’évolution de la cybersécurité. À l’heure où nous investissons de plus en plus dans les villes intelligentes, nous avons l’opportunité d’utiliser ces enseignements dès le départ. Cela permettra de rendre nos agglomérations plus sûres, plus efficaces et plus saines, tout en développant une relation de confiance avec les habitants. Face à l’ampleur de ces enjeux, nous ne pouvons pas nous permettre de reléguer la sécurité au rang des thématiques secondaires.