Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Global Security Mag : Le Magazine Trimestriel sur la Sécurité, le stockage, la dématérialisation...

Global Security Mag est un magazine trimestriel sur le thème de la sécurité logique et physique publié et diffusé à 5.000 exemplaires.
Notre revue est une source d’information indispensable à tous les acteurs de la filière sécurité. Elle est destinée à tous les professionnels de la sécurité informatique et physique : RSSI, Risk Manager, DSI, Administrateurs Réseaux, etc. dans les entreprises et administrations de toute taille...
Notre publication propose un résumé de tous les articles en anglais.
Le magazine est aussi diffusé en version PDF.

Contactez-nous

Smart Cities : de nouveaux services assortis de nouveaux dangers !

septembre 2023 par Marc Jacob

Pour sa nouvelle conférence le CLUSIF avait choisi le thème des Smart Cities. Cette session animée par Marie-Odile Crinon autour de Bernard Débauche, chef de produit marketing de Systancia, le Dr Paul-Henri Richard de l‘Université de Troyes, Bertrand Blaise Président de la commission Smart Territoir d’Infranum et Jean-Luc Sallaberry Chef du Département Numérique de la Fédération nationale des collectivités concédantes et régies (FNCCR) et Axel Saint-Charles Directeur des SI de la ville de Noisy-Le-Grand. Pour tous les intervenants si les Smart Cities vont se développer elles vont aussi drainer leurs lots de menaces à l’aune de l’augmentation de la surface d’attaque.

Marie-Odile Crinon

La nouvelle conférence du Clusif avait pour thème les Smart Cities. Marie-Odile Crinon a introduit le sujet en citant un certain nombre de villes qui ont été piratées avec des données diffusées dans le Cloud, des interruptions de services comme la cantine, le sport... ainsi elle a donné des exemples de villes piratées comme Lille, ou encore Moscou et son tramway, la Pologne et son tram dont l’attaque avait généré des blessés... le risque change de stature avec une connexion sur des sites industriels.

Bernard Débauche, chef de produit marketing de Systancia

Sécurité des SmartCities : le Zero Trust s’impose

Bernard Débauche, chef de produit marketing de Systancia a traité des politiques et technologies de sécurité IT et OT au services de la cybersécurité de la Smart Cities. En préambule, il a expliqué que la Smart Cities touche de nombreux domaine du citoyen, la voirie, la santé, les déchets, le télétravail, l’énergie, l’eau... elle entraîne une hétérogénéité des systèmes connectés avec une volumétrie énorme des actifs à protéger. Les risques sont variés du fait de l’extension des surfaces d’attaques, mais aussi de l’utilisation de nombreux systèmes d’IA. Sans compter que la cyber Résilience Act induit une séparation des systèmes et le déploiement de solution incluant de la sécurité by design. Dans ce cadre, il faut protéger en amont mais aussi détecter et répondre aux incidents. C’est la surface d’attaque qui détermine ce que l’on veut protéger et ce l’on doit protéger dépend de son architecture. Ainsi, la politique Zero Trust s’applique bien en prenant en compte la sécurité physique, numérique et sociale. Elle induit une amélioration de la sécurité de l’identité. L’Anssi propose une approche d’accès juste à temps et qui est retiré lorsque la session est terminée. De plus, l’accès est fourni en fonction du contexte et du comportement des utilisateurs avec des droits différenciés. Elle offre en outre une segmentation des réseaux pour éviter les déplacements latéraux. Ainsi, l’identité est la pierre angulaire du Zero Trust. Aux États-Unis, il existe des modèles de maturité qui sont très avancés. Le Zero Trust doit devenir intrinsèque pour les infrastructures par exemple afin de réduire les attaques en brute force. L’ANSSI recommande de mettre l’accent sur la gestion des identités et des accès à privilèges et de s’appuyer sur des fournisseurs d’identité voir que les collectivités deviennent leur propre fournisseur d’identité.

Pour conclure il estime que la politique Zero Trust est adaptée au Smart Cities de même que les solutions cyber IT et OT. Cette protection passe par une bonne gestion des identités.

Dr Paul-Henri Richard

Smart Cities vers la ville idéale ?

Puis le Dr Paul-Henri Richard a traité de la résilience des villes connectés avec comme titre : « les villes intelligentes et sûres ? De la promesse à la réalité des territoires connectés ». Les villes d’aujourd’hui sont un héritage du passé dans leur conception. Il faut donc prendre en compte leur limite. En France près de 80% des citoyens habitent dans des villes. Pourtant dans le passé ce n’était pas comme cela. Churchill disait en son temps « façonnons nos bâtiments puis ce sont eux qui nous façonnent ». A chaque génération de ville correspondant à des nouvelles manières d’appréhender le monde... dans la conception des villes, on a toujours voulu chercher à faire la ville idéale et souvent utopique. Cette volonté se poursuit aujourd’hui avec il y a quelques temps la conception de Brasilia ou Germania... en Arabie Saoudite on veut concevoir en 2030 une ville idéale « The Line » avec zéro émission, zéro problème de sécurité... qui va s’étendre sur 170 km toutefois elle crée des problèmes de concentration de contrôle sociale et d’écologie... En Europe on s’est lancé dans des centres de supervision avec des contrôles commandé center par silos : la santé, les services de secours...

Concernant les villes on va vers le toujours plus avec l’amélioration de la gestion de la mobilité de la qualité de vie, de l’environnement, la prévention des risques majeurs... ainsi on est dans une logique de marketing territorial. En effet, le fait d’être connecté permet aux villes d’obtenir des points dans les classements. Aujourd’hui, les défis sont nombreux en particulier ceux lié à la cyber sécurité, mais aussi les problèmes d’info obésité qui peuvent freiner les décisions. Sans compter que l’augmentation de la surface d’attaque mais aussi les problèmes de gouvernance des donnés. Les villes sont aussi confrontées aux problèmes d’assurance cyber qui est relativement onéreuse. Il propose de mettre des politiques qui intègrent la gestion des risques et la segmentation. En revanche les applications de l’informatique et de l’IA sont nombreuses comme la gestion des fuites d’eau, la collecte des déchets...

Marie-Odile Crinon et Bertrand Blaise Président de la commission Smart Territoir d’Infranum et Jean-Luc Sallaberry Chef du Département Numérique de la Fédération nationale des collectivités concédantes et régies (FNCCR)

Puis une table ronde a été organisée entre Bertrand Blaise Président de la commission Smart Territoir d’Infranum et Jean-Luc Sallaberry Chef du Département Numérique de la Fédération nationale des collectivités concédantes et régies (FNCCR) animée par Marie-Odile Crinon.
Jean-Luc Salaberry explique que la FNCCR est une association regroupant plus de 600 collectivités territoriales et établissements publics de coopération, spécialisés dans les services publics d’électricité, de gaz, d’eau et d’assainissement, de communications électroniques, de valorisation des déchets, que ces services soient délégués (en concession) ou gérés directement (en régie). Elle aide au développement des usages numériques. Effectivement, les collectivités se sont penchées sur le déploiement de la fibre sur tout le territoire explique- t-il. Dans le passé le réseau fibre a été déployé en péréquation alors que le déploiement de la fibre est total de péréquation. Ainsi, on se retrouve avec des villes où les collectivités sont propriétaires de tous les réseaux sauf ceux de la fibre. Aujourd’hui on essaie de faire que les villes soient propriétaires de leur propre réseau de fibre. Il faudra encore une dizaine d’année pour y arriver.

Pour les offreurs Bertrand Blaise explique que les Smart Cities sont portées par des modifications réglementaires comme la décarbonisation par exemple. Ainsi la question à se poser avant toute chose est quel est l’état de mon réseau et qu’est-ce que je peux faire pour me servir de l’existant. Le but est de trouver la bonne adéquation entre les réseaux et les usages. Il y a aussi un arbitrage à faire entre l’augmentation de la surface d’attaques et la mise en place de nouveaux services.
Dans le cadre de la cybersécurité, un travail est fait pour la prendre en compte. En premier lieu, on fait un audit du dispositif sur lequel on va travailler afin de le faire sur une structure saine. En général, il essaie de travailler avec des fournisseurs plutôt français. Lors du déploiement, des analyses de risques sont réalisées. On fait un cloisonnement et ontravaille sur la protection des données. Aujourd’hui, la souveraineté est à la base de toutes les réflexions.

Jean-Luc Salaberry explique que les risques touchent en premier lieu le bon fonctionnement des services, le second concerne la rupture d’activité avec tous les citoyens. Le troisième risque est la situation politique, sans compter les problèmes d’image à la fois de la ville et des hommes politiques qui les dirigent. L’enjeu des Smart Cities est de décloisonner alors que la cybersécurité doit cloisonner tous les services pour les sécuriser. Il rappelle que la plupart des collectivités sont à la fois urbaines et rurales. Ainsi, il y a des spécificités dans toutes les villes mêmes s’il y a un tronc commun comme la gestion de l’eau, de la cantine.... Par contre, il y a des spécificités du fait de la géographie. A la fédération, on fait remonter les bonnes pratiques afin de les analyser et en faire bénéficier l’ensemble des adhérents. La fédération modélise des données suite aux retours d’expérience. La fédération a un groupe de travail sur la cybersécurité avec un club des RSSI. Sur le Plan France 2030, il apprécie l’incitation à pratiquer des audits par contre pour les CSIRT il préfèrerait qu’il y ait des CSIRT dédiés aux collectivités locales. Actuellement, Jean-Luc Salaberry discute avec les CSIRT régionaux pour qu’il y ait un CSIRT national collectivités. Pour les collectivités rurales, il préconise une mutualisation des RSSI. De plus en cas de crise quasiment rien n’est prévu, il faudrait que d’un point de vue parlementaire qu’il y ait un service de secours à l’image des SDIS pour les catastrophes naturelles. Ainsi si l’ANSSI ne peut pas organiser un service de protection des collectivités il est nécessaire que les collectivités s’organisent et mettent ce genre de service en place.

Bertrand Blaise considère que le marché se structure et on arrive à passer à l’échelle. On a aujourd’hui des retours d’expérience. De fait, des analyses sont faites qui permet d’améliorer le niveau global de sécurité.

Axel Saint-Charles Directeur des SI de la ville de Noisy-Le-Grand

Noisy-Le-Grand : un exemple de Smart Cities efficace

Pour conclure, Axel Saint-Charles Directeur des SI de la ville de Noisy-Le-Grand. Au fur et à mesure cette ville a déployé de plus en plus de services connectés. Des 2005 suite aux événements la décision a été prise de mettre de la vidéo surveillance. Ainsi, la ville a mis en place un réseau fibre pour la ville. Ainsi 80 bâtiments ont été connectés avec un Wifi public via les bâtiments publics. Puis entre 2008 et 2020, la ville est passé de 8 à 220 caméras. Dans le même temps, Axel Saint-Charles a déployé un SIG dans lequel il a intégré des données petit à petit. Dans un premier temps des 2008 une expérience a été menée sur l’éclairage public après plusieurs expérimentations elle est passé au LED avec un retour sur investissement intéressant. Puis la ville a mené une nouvelle expérimentation sur le pilotage à distance de l’éclairage public qui est en cours. Puis, il a étudié les projets de Smart Cities dans d’autres villes plus avancées avec par exemple, la vidéosurveillance à Nice.

Suite à cela, Axel Saint-Charles a analysé le SI de sa ville. Il s’est aperçu que le SI décisionnel était peu développé de même pour la culture du pilotage. Il y avait comme dans toutes collectivités une organisation en silos par type de services étendus aux citoyens alors qu’il n’y avait qu’une DSI. Dans le passé une ville était connectée parce qu’elle avait déployé de la fibre actuellement une Smart City compte son nombre de capteurs. Ainsi en 2020 il a défini une stratégie de la donnée. La ville a recruté un directeur de la donnée et de la ville intelligente. Il a mis en place une plateforme centralisée de la donnée de pilotage et ouverte. Il s’est aidé de l’IA comme d’un levier. Il a fait les premiers pas vers l’Open Data. Il a commencé à faire une culture de la donnée qui est diffusée auprès de tous les collaborateurs.

Aujourd’hui, il a monté le projet RÉCITAL qui est un outil stratégique empreint d’IA en lien avec la transition écologique. RECITAL permet entre autre de mieux gérer les projets de rénovation des bâtiments.

Dans ce cadre la cybersécurité qui a commencé depuis 2017. Il y a quelques années il a pu procéder au recrutement d’un RSSI. Puis avec le Covid et l’amplification des attaques une Task Force a été créée. Il a fait un audit et monté un plan d’action cybersécurité. Il a créé une PSSI officielle qui a été diffusée. Une charte en en cours de revisite à l’aune du télétravail et des usages Cloud et mobile.


Voir les articles précédents

    

Voir les articles suivants