Les villes intelligentes doivent être cyber‑intelligentes | WeLiveSecurity

Les villes intelligentes doivent être cyber‑intelligentes

Alors que les villes se tournent vers l'IdO pour résoudre des problèmes urbains de longue date, quels sont les risques de négliger la cybersécurité lors de la planification?

Alors que les villes se tournent vers l’IdO pour résoudre des problèmes urbains de longue date, quels sont les risques de négliger la cybersécurité lors de la planification?

Vous avez probablement entendu parler des « villes intelligentes » ou « villes connectées ». Ces expressions font référence à des villes faisant une utilisation intensive des technologies de l’information et de la communication (TIC) pour surveiller l’énergie, les services publics et les infrastructures de transport afin d’entraîner des économies de coûts, de réduire l’impact environnemental et d’accélérer la résolution des problèmes.

Les avantages sont évidents. Si un lampadaire tombe en panne et qu’il peut vous le dire, vous pouvez le remplacer plus rapidement. Si vous pouvez contrôler la circulation plus efficacement, vous réduirez le smog et le bruit, ainsi que le temps de déplacement global. Si vous pouvez lier le CA/chauffage à la température ambiante d’une manière fine, vous pouvez réduire la consommation d’énergie et le gaspillage. Si vous pouvez suivre la circulation en temps réel, vous pouvez planifier les meilleurs itinéraires pour les véhicules d’intervention d’urgence.

La plupart des gouvernements nationaux se sont engagés à respecter l’Accord de Paris et doivent donc atteindre des objectifs de réduction des émissions de carbone. Ces objectifs sont nécessairement transmis aux niveaux régional et municipal, et la mise en œuvre de technologies intelligentes dans les zones urbaines a un rôle important à jouer dans la réalisation de ces objectifs. Cependant, lorsqu’il existe des réseaux complexes, interconnectés et contrôlés par ordinateur de milliers de capteurs et de dispositifs de l’Internet des Objets (IdO), toutes sortes de signaux d’alarme commencent à retentir dans l’esprit des praticiens de la cybersécurité.

Les chercheurs d’ESET ont analysé des logiciels malveillants (par exemple ici et ici) qui ont très probablement été utilisés dans plusieurs attaques contre l’industrie de l’énergie et qui ont finalement causé des pannes de courant. Ce genre de perturbation a des effets majeurs sur la vie des gens, et le pouvoir intermittent ou peu fiable ne met pas longtemps à causer des problèmes. Les aliments et les médicaments commencent à se décomposer rapidement à mesure que la réfrigération et les congélateurs se réchauffent. Les hôpitaux doivent réduire leur consommation d’énergie à l’essentiel. Les pompes à essence ne fonctionnent pas (pas plus que les stations de charge intelligentes des véhicules), les systèmes de feux de circulation s’éteignent, les bâtiments commencent à surchauffer ou à surrefroidir. L’éclairage public ne fonctionne plus. Le paiement électronique ne fonctionne pas, les salaires peuvent ne pas être payés, les distributeurs automatiques ne distribuent pas d’argent liquide. Vous ne pouvez pas recharger votre téléphone ou votre ordinateur portable. Votre pompe à insuline ne se recharge pas, votre appareil CPAP (pression positive continue des voies respiratoires) ne fonctionnera pas, pas plus que vos systèmes de surveillance à distance, vos caméras de sécurité – ou votre machine à café ! Il ne faut pas grand-chose pour comprendre que dans ces circonstances, le chaos s’installe rapidement.

On peut aussi imaginer des attaques plus subtiles que les pannes totales d’électricité. Il y a eu au moins deux cas importants de logiciels illicites d’extraction de monnaie cryptographique sur des systèmes de contrôle de centrales nucléaires compromis. L’extraction par cryptominage est incroyablement gourmande en énergie et a donc un impact environnemental élevé – en plus du coût et du potentiel de causer des problèmes de distribution de l’électricité comme décrit ci-dessus. Ce ne sont pas seulement les entreprises qui sont touchées par de telles attaques. Dans de nombreux cas (la plupart peut-être?), les dispositifs IdO ne sont pas bien sécurisés et leurs vulnérabilités peuvent conduire à une attaque où il y a peu d’atténuation possible à l’initiative des utilisateurs. L’année dernière, une opération à grande échelle a été découverte en utilisant des routeurs Internet à domicile pour extraire la cryptomonnaie. Là où il y a de l’argent à gagner, et facilement – étant donné la vulnérabilité des systèmes – il y aura une exploitation criminelle.

Les compteurs intelligents sont une aubaine pour les entreprises de services publics ainsi que pour les consommateurs et les entreprises, car ils permettent un suivi précis de la consommation des services publics, mais leur compromis peut permettre le vol d’électricité, de gaz ou d’eau. Peut-être pire encore – de tels compteurs peuvent aussi indiquer combien d’électricité produite est injectée dans le réseau (pensez à l’énergie solaire sur le toit) et le reste du réseau dépend de sa précision pour assurer un équilibrage de charge et une production appropriés. Comme c’est souvent le cas pour les défaillances en matière de sécurité, ce sont les événements imprévus qui peuvent avoir les conséquences les plus dévastatrices.

L’Union européenne (UE) a été très active dans la mise en œuvre des technologies des villes intelligentes, parmi d’autres projets axés sur l’IdO, dont beaucoup ont été mis en place dans le cadre de son programme de recherche et d’innovation appelé Horizon 2020. La portée de ces projets varie, mais bon nombre d’entre eux ont de vastes répercussions sur les secteurs qu’ils touchent – villes et société intelligentes, agriculture, soins de santé, gestion des océans et de l’eau, alimentation, fabrication, et bien d’autres aspects de la vie.

Certains de ces projets sont régis par des conseils de mission qui servent à guider et à conseiller la mise en œuvre des projets. (Par souci de transparence, je dois vous avouer que j’étais l’un des 550 candidats au Conseil de mission pour des villes climatiquement neutres et intelligentes, mais je n’ai pas obtenu de siège, il y en avait 15 disponibles.)

Les conseils d’administration sont composés de membres travaillant dans un large éventail de disciplines, et nous devons espérer que la cybersécurité sera au premier plan de leurs préoccupations, bien qu’elle soit à peine mentionnée dans les mémoires des conseils.

En fin de compte, la mise en œuvre de technologies susceptibles d’améliorer la qualité de vie et de réduire l’impact sur l’environnement comportera d’énormes avantages. D’autre part, nous ne devons jamais oublier les risques que comporte le fait de ne pas tenir compte de la sécurité de ces technologies.

Discussion