Sécuriser un monde globalisé toujours plus connecté et intelligent

Les nombreuses administrations d’état qui rêvent de faire de leur ville une ville intelligente ne prennent pas suffisamment en compte les meilleures pratiques de sécurité.

Le concept de villes intelligentes suscite la ferveur d’évangélistes, urbanistes, ingénieurs et futurologues. Ce concept intègre un grand nombre de solutions et sous-tend le besoin d’un environnement sûr pour la gestion et le contrôle des accès aux infrastructures de la ville. Il regroupe en un même réseau les systèmes locaux d’information, les outils de gestion des hôpitaux, des écoles, des systèmes de transport et des services de maintien de l’ordre, et utilise des systèmes de contrôle en temps réel, ainsi que des capteurs pour collecter les données concernant les personnes, les processus et les technologies.

Singapour est l’un des rares pays à avoir adopté un standard permettant d’instaurer un langage de développement commun utilisable par les administrations, les agences locales et les urbanistes. De même, en Suisse, l’ISO (International Organization for Standardization) développe un outil (ISO 37120) sous-jacent à une initiative de ville intelligente qui posera les bases à suivre par les autres pays du monde. 

Les villes intelligentes posent souvent des problématiques complexes or les nombreuses administrations d’état qui rêvent de faire de leur ville une ville intelligente ne prennent pas suffisamment en compte les meilleures pratiques de sécurité. De nombreux interlocuteurs majeurs ignorent encore l’étendue des cyber-menaces qu’une ville intelligente représente, surtout concernant les accès à distance et le soutien des systèmes d’infrastructures critiques. Sans oublier que la technologie évolue plus vite que les mesures permettant de la sécuriser.

Avec l’essor des villes intelligentes, il est important de se poser un instant et de réfléchir à la sécurité dès la conception. Et plus spécifiquement de se demander comment assurer la maintenance proactive de tous ces systèmes et réseaux en minimisant les risques. Dans le contexte d’une ville intelligente, les défaillances technologiques peuvent mettre des vies en péril… il suffit d’imaginer une défaillance des feux de signalisation. Plus on connecte de systèmes et plus on déploie de terminaux à dépanner, plus la surface d’attaque s’élargit. Quiconque ayant accès à distance aux systèmes et aux identifiants privilégiés devient une cible de choix des cyber-attaques. L’une des tâches les plus importantes quand on déploie et qu’on intègre plusieurs solutions consiste à s’assurer que l’accès privilégié des salariés et fournisseurs est correctement géré et protégé. Il est important d’utiliser une connexion centralisée pour autoriser l’accès aux systèmes critiques des salariés et des fournisseurs.

L’utilisation de solutions de gestion des accès sécurisés peut permettre aux entreprises d’autoriser les professionnels de la sécurité à contrôler, surveiller et gérer les accès privilégiés des salariés, sous-traitants et fournisseurs tiers autorisés aux systèmes critiques. Les professionnels de la sécurité peuvent aussi instaurer le concept de « moindre privilège » dans leur organisation, qui garantit que les utilisateurs obtiennent le niveau d’accès exact dont ils ont besoin pour faire leur travail (plutôt que de leur accorder le libre accès à tout le réseau), le tout sans sacrifier la productivité.

Ne protéger que les comptes privilégiés n’est que la moitié du chemin, car l’accès à ces comptes est tout aussi important. Pour éliminer les risques associés aux mots de passe partagés ou conservés par défaut, utiliser une solution de gestion des mots de passe d'entreprise permet de stocker et d’attribuer des mots de passe de façon aléatoire vers les systèmes critiques. Des solutions poussent le concept un peu plus loin avec l’injection d’identifiants, qui permet aux professionnels du support d’injecter des identifiants dans un système distant sans jamais les connaître ni les voir. Ainsi, en cas de compromission de mot de passe, comme ceux-ci sont en permanence renouvelés sans jamais être connus de l’utilisateur, il est impossible de les réutiliser pour un même compte. Les meilleurs mots de passe sont ceux que les utilisateurs et fournisseurs privilégiés ignorent et sur lesquels ils n’ont pas de contrôle !

Dans l’actuel monde connecté, il est impératif de suivre de bonnes pratiques de sécurité et de prévoir la sécurité dès la conception afin de réduire le risque d’une cyber-attaque, car la sécurité dépend de la vigilance dont fait preuve quiconque se voit confier des droits d’accès au réseau de l’entreprise.