De la Smart City à la Safe City

D’ici 2030, la population mondiale aura dépassé les 8 milliards d’habitants, 55% des humains vivront dans des villes et l’on comptera plus de 40 métropoles d’au moins 10 millions d’habitants.

Face à de tels changements, la Smart City est au cœur de tous les débats. Comment repenser nos espaces, comment repenser la façon dont nous consommons, dont nous nous déplaçons, dont nous cohabitons ? Tant de questions qui nécessitent une profonde remise en question de notre mode de vie actuel.

Quelles sont les caractéristiques de la Smart City ?

Tout d’abord, il est important de rappeler que la notion de Smart City repose principalement sur 4 piliers :

Smart Economy : Bouleverser les business models traditionnels

La Smart City repose sur des plateformes collaboratives et encourage les initiatives basées sur la participation citoyenne. Elle a la capacité à transformer les idées citoyennes en projet innovants pour la ville.

Elle favorise également l’investissement dans les start-ups afin d’encourager l’innovation et permettre d’accélérer le développement des technologies numériques pour la conception urbaine, les bâtiments, l’environnement, l’énergies, la mobilité et les services urbains. Ces technologies reposent en grande partie sur le développement des objet connectés et leur utilisation afin de piloter, contrôler, automatiser, mesurer, etc… un certain nombre d’actions du quotidien.

Elle encourage également l’émergence des nouveaux modes de travail, en proposant des espaces de travail flexibles proches des lieux d’habitations des citoyens. Elle implémente également des espaces dédiés aux travailleurs nomades, ou aux entreprises qui développent des services mutualisés.

Smart Energies : Respecter l’environnement

La Smart City est soucieuse de l’environnement. Elle optimise sa consommation énergétique pour réduire son empreinte carbone. Elle implémente les énergies renouvelables au cœur des villes et développe des réseaux intelligents d’énergie en proposant des nouvelles formes d’architecture pour les réseaux de distribution d’électricité notamment.

Elle a pour objectif de construire des bâtiments à très faible consommation énergétique qui s’intègrent au mieux dans les environnements naturels en intégrant la végétation aux bâtiments ou en généralisant les matériaux biosourcés. Elle adapte également le mobilier urbain pour optimiser sa consommation (dispositifs d’éclairage public intelligents, recycleurs d’eau de pluies, etc…)

Smart Mobility : Partager la route et les airs

Avec l’augmentation de la concentration des Hommes dans les villes, la problématique des transports est une des clés de la Smart City. Elle imagine donc de nouveaux modes de transports basés sur le partage (co-voiturage) en se servant habilement du numérique (géolocalisation, réseaux sociaux…) pour offrir des services d’auto-partage.

Elle cherche également à faciliter la desserte des zones les moins denses, en proposant par exemple des navettes électriques sans conducteurs, ou en développant des démarches de transports collectifs « à la demande ».

Afin de faciliter l’implémentation de ces services, la Smart City propose aux voyageurs des informations facilement accessibles depuis tous supports, des paiements entièrement dématérialisés, mais également une gestion dématérialisée du stationnement.

Smart People : Cohabiter au lieu de coexister

Enfin, pour que tout ceci soit réalisable, la Smart City doit avant tout se reposer sur ses citoyens.

Elle doit donc leur mettre à disposition de nouveaux services et de nouvelles infrastructures pour améliorer leur confort et leur sécurité. Elle doit également faciliter le retour à l’emploi des habitants en s’associant avec des organismes de formation dans les quartiers prioritaires et accompagner la mobilité professionnelle.

Les Smart Cities auront la responsabilité de devenir des écosystèmes évolutifs et ouverts permettant à l’Homme de s’épanouir. Les citoyens devront être à l’origine des initiatives et des propositions.

Parmi ces piliers de la Smart City, nombreux sont les éléments qui reposent sur l’essor du numérique, et notamment sur l’usage de la donnée. En effet, pour piloter et gouverner ces villes du futur, l’enjeu principal est de récupérer un maximum de données et de les agréger dans le but d’automatiser les tâches et de faciliter la prise de décision.

L’internet des objets a rendu possible un grand nombre d’évolutions, mais dans un monde automatisé, sans intervention de l’humain, ou presque, la question de la sécurité, et plus particulièrement de la cybersécurité prend de l’importance.

Pourquoi la Smart City est-elle si vulnérable ?

Augmentation de la surface d’attaque

L’augmentation exponentielle du nombre d’objets connectés (estimé à 28 milliards en 2020 selon le cabinet d’études IDC) représente une nouvelle surface d’attaque considérable.

Voitures autonomes, bâtiments connectés, internet des objets (ampoules, alarmes, caméras de surveillance) sont autant de nouvelles cibles facilement exploitables par les hackers.

Pourquoi les objets connectés sont-ils particulièrement vulnérables ?

  • Il s’agit d’objets généralement conçus pour réaliser des tâches simples, ils disposent d’une faible puissance de calcul et leurs composants sont relativement limités
  • Ces équipements sont très variés (capacités, moyens de connexion, système d’exploitation…) ce qui rend leur gestion difficile (notamment en matière de surveillance et de mise à jour…)
  • Leur fonctionnement est principalement basé sur l’autonomie (pas de pilotage centralisé)
  • Par définition, les objets connectés sont connectés à internet ou à un réseau d’entreprise ou particulier. Ils sont donc joignables à distance, et peuvent également donner accès à d’autres ressources informatiques qui y sont connectées.

Les attaquants ont d’ores et déjà su exploiter ces failles pour en tirer profit.

Le 21 octobre 2016 par exemple, de nombreux sites sont devenus inaccessibles aux Etats-Unis (dont Amazon, Netflix, PayPal et Twitter) en raison d’une attaque par déni de service (DDoS). La particularité de cette attaque vient du fait que le nombre important de requête à l’origine de l’indisponibilité des serveurs provenait d’objets connectés piratés.

Le malware (baptisé Mirai) à l’origine de l’attaque s’était infiltré dans des centaines de milliers d’objets connectés (caméra de surveillance, réfrigérateurs, enregistreurs vidéos, etc…) avant d’utiliser leur puissance de calcul pour déclencher son attaque.

L’explosion du nombre d’objets connectés peut donc être vu comme une arme supplémentaire pour les hackers qui pourraient, par leurs biais, augmenter considérablement leur force de frappe.

Manque de ressources humaines compétentes

Il existe également un véritable manque de talents compétents en matière de cybersécurité. La question de la sécurité doit donc se poser dès maintenant, car les municipalités de demain n’auront probablement pas les ressources pour adresser le sujet de la cybersécurité.

En effet, de nombreuses études mettent en avant les difficultés à recruter dans ce secteur. Pour exemple, en 2016, en France, seuls 1200 des 6000 postes ouverts auraient été pourvus.

A l’échelle du monde le constat est le même : Le « Center for Cyber Safety and Education » et l’« International Systems Security Certification Consortium » estiment qu’il manquera 1,8 millions de salariés qualifiés en cybersécurité d’ici 2022 (étude réalisé auprès de 19000 experts) mais comment expliquer ce manque de compétences ?

Tout d’abord, il est important de rappeler que les formations en cybersécurité sont relativement longues car elles nécessitent de disposer de nombreux prérequis en programmation, en architecture, en technologies des réseaux, etc…

Il est également difficile de recruter les enseignants pour proposer ces formations. Dans un marché extrêmement tendu, ou les talents se font rares, le recrutement de ce type de profil peut vite représenter un coût considérable.

La cybersécurité est également un domaine qui dispose d’une image relativement négative. Loin d’encourager les vocations, l’image du « geek » solitaire qui passe ses nuits devant des lignes de code prédomine encore.

Cette image est même très largement relayée dans les films ou les séries télévisées et risque de repousser les jeunes en quête d’un métier épanouissant.

Enfin, la cybersécurité reste avant tout un sujet d’expert qui est quasiment incompréhensible aux yeux des non-initiés, ce qui rend difficile la compréhension des différents métiers de la sécurité, de ses enjeux, etc…

Les Smart Cities auront pourtant grandement besoin de ces experts, il faut donc inverser la tendance.

Quels sont les principaux risques liés à la Smart City ?

La surutilisation d’objets connectés dans notre quotidien présente dès lors de nombreux risques, tant pour les citoyens, que pour le bon fonctionnement de la ville en elle-même :

1 – Déni de service sur des installations critiques

Le déni de service pourrait représenter la plus grande menace dans un monde entièrement connecté.

En effet, comme expliqué précédemment avec le malware Mirai, une attaque par déni de service est une attaque informatique ayant pour but de rendre indisponible un service, ou d’empêcher des utilisateurs d’un service de l’utiliser.

Appliqué au concept de la Smart City, les conséquences peuvent être dramatiques. Imaginez un acte malveillant visant à rendre indisponible l’ensemble des services de communications, les services de transports, les appareils médicaux, les réseaux d’éclairage, etc…

Une ville entièrement connectée pourrait donc être totalement « à l’arrêt » en cas d’attaque majeure.

La volonté d’un monde toujours plus connecté crée en effet le problème de la dépendance aux ressources informatiques. Si l’ensemble des ordinateurs, réseaux et autres ressources ne sont plus accessible, plus aucun service ne pourra être fournit.

Electricité, transports, informations, etc… sont autant de services qui ont toujours disposé d’une forte résilience, mais l’accélération de la transformation numérique et l’interconnexion de tous ces réseaux les ont rendus plus fragile que jamais.

2 – Prise de contrôle à distance d’installations publiques ou privées

Le second risque majeur lié à la forte augmentation des objets connectés est la prise de contrôle à distance.

En effet, si le niveau de sécurité n’est pas suffisant, il est relativement simple pour un hacker de pénétrer dans un objet connecté, puis dans un réseau, puis dans un autre réseau et ainsi de suite.

Les objets connectés étant par définition connectés entre eux, si un seul est vulnérable, ils le sont tous au sein d’un même réseau.

Les failles se trouvent même la où nous ne les attendons pas. Deux ingénieurs en sécurité (Charlie Miller et Chris Valasek) ont réussi en 2015, à pirater le tableau de bord d’une voiture de la marque Jeep, puis progressivement à en prendre le contrôle allant jusqu’à pouvoir, depuis un ordinateur, conduire entièrement le véhicule (accélérer, freiner, tourner le volant, etc…)

3 – Fuite massive de données à caractère personnel des citoyens

Les consommateurs se sentent de plus en plus concernés par la protection de leurs données à caractère personnel, ils ne souhaitent plus les exposer et veulent des garanties en matière de sécurité.

Dans un monde connecté qui reposera essentiellement sur la donnée, la protection des données personnelles des consommateurs/habitants sera essentielle. Pourtant, les objets connectés (si peu protégés) collectent des Téra de données concernant les citoyens (habitudes, consommation, préférences etc…)

La pression règlementaire à ce sujet s’est également accentuée ces dernières années, notamment sous l’impulsion du RGPD (Règlement Général sur la Protection des Données).

L’évolution des usages et l’essor du numérique ont contraints les autorités mondiales à redéfinir les règles en matière de protection des données à caractère personnel. De nombreuses règlementations viennent donc contrôler l’usage de ces données par les entreprises, organisation ou collectivités.

L’enjeu réglementaire sera donc également très présent dans la Smart City qui, comme décrit précédemment, repose essentiellement sur la collecte et l’utilisation de ces données.

Comment sécuriser la Smart City ?

Un des premiers enjeux de la Smart City en matière de sécurité, sera donc de pouvoir assurer la disponibilité, la confidentialité et l’intégrité de toutes ces données, mais comment s’y prendre ?

Tout d’abord, il faut traiter le volet technologique. Les Smart Cities doivent apprendre à maîtriser les solutions qu’elles utilisent, ce qui nécessite notamment de comprendre leurs vulnérabilités et d’être en capacité de les réduire.

L’association « Securing Smart Cities » a publié un ensemble de recommandations visant à informer les collectivités des bonnes pratiques à suivre dans le cadre de la transformation numérique des villes (gestion du trafic routier, des feux rouges, des parkings, de la santé publique ou encore des systèmes de transports).

Tout d’abord, pour des chantiers de telle envergure, le choix des technologies est la phase la plus importante pour assurer le bon niveau de sécurité.

Les organisations qui se focalisent uniquement sur les fonctionnalités désirées risquent de créer des nouvelles vulnérabilités au sein de leurs infrastructure.

Chaque solution utilisée dans le cadre d’une Smart City devrait intégrer donc les fondamentaux de sécurité suivants :

  • Toutes les communications (avec ou sans fil) font l’objet de chiffrement
  • Tous les systèmes exigent une authentification (nom d’utilisateur et mot de passe) pour accéder aux différentes fonctionnalités
  • Toutes les fonctionnalités ne sont accessibles qu’avec une autorisation
  • Tous les logiciels doivent être mis à jour automatiquement
  • Tous les systèmes doivent disposer de mécanismes permettant de les auditer et de surveiller les journaux d’évènements.
  • Tous les appareils doivent disposer de mécanismes « anti-altération » par des sources non autorisées
  • Seules les fonctionnalités de base doivent être disponibles par défaut, toutes les autres doivent être activées selon les besoins de l’organisation
  • Les solutions doivent proposer une configuration sécurisée par défaut.

Ensuite, la réalisation de tests réguliers de sécurité sur les infrastructures apparaît comme primordiale. En effet, afin d’assurer un bon niveau de sécurité permanent, les organisations devraient réaliser :

  • Des tests de conformité vis-à-vis des exigences en matière de sécurité décrites précédemment
  • Des tests d’intrusion / de pénétration afin de révéler des vulnérabilités qui pourraient être exploitées par des hackers
  • Développer l’usage des certifications. En effet, il paraît nécessaire de mettre en place des autorités de contrôle et de certification qui viendraient apporter de la transparence sur les nombreux produits disponibles sur le marché

Le second volet de la sécurisation des Smart Cities est l’aspect organisationnel.

En effet, les collectivités sont généralement des organisations silotées, qui manquent de transversalité. Les secteurs publics et privés ont souvent des difficultés à travailler de manière collaborative.

La transversalité est pourtant une des clés pour assurer la sécurité d’une organisation. La réussite de la Smart City passera donc par le rapprochement des établissements publics et privés et la capacité à interconnecter leurs systèmes d’informations de manière structurée.

De plus, les ressources compétentes en matière de sécurité étant limitées, il est nécessaire de construire ces villes de demain autour d’une réelle organisation de sécurité, et d’y placer au cœur, le citoyen lambda.

Dans ce monde connecté, chaque utilisateur peut être une source d’entrée pour les attaquants. Smartphones, ordinateurs, enceintes connectées, caméra de surveillance, sont autant de vulnérabilités pour l’ensemble de la ville si ces derniers ne sont pas bien protégés.

L’évolution des technologies a un impact positif fort sur nos modes de vies, mais malgré cela, chaque changement majeur doit impérativement être réfléchi en amont pour ne pas engendrer une perte de contrôle.

La place de l’Homme au cœur de la Smart City devra donc être longuement réfléchi, et parmi les principaux facteurs clés de succès, nul doute qu’on retrouvera la sensibilisation des citoyens à la cybersécurité ainsi que la capacité des collectivités à former des profils compétents.

Auteur : onepoint

beyond the obvious