Cyber sécurité : serrure de la Smart City

J’ai participé cette semaine à une table ronde organisée par Alliancy et FIC sur la question de la cybersécurité dans les territoires aux cotés de Siemens, du groupe Lacroix, du FIC et de la communauté urbaine Grand Paris Seine & Oise.

Quelque chose se passe dans le domaine de la cybersécurité.

Multiplication par 4 des évènements déclarés en 2020 et 57% des entreprises confirmant avoir été concernées par une cyber attaque. On constate un glissement de l’activité de cybersécurité vers la ‘criminalité’ organisée et non plus seulement animée par des ‘hackers’ isolés.

Au-delà, des administrations publiques ont été ciblées : les villes de Vincennes, La Rochelle, Marseille en 2020 et plus récemment les villes d’Angers, de Houille… mais aussi les hôpitaux de Ville franche et de Dax qui ont dû repasser aux papiers pour gérer leurs urgences notamment.

Profitant de la pression dû à la pandémie, souvent à la non-préparation des employés sur ce sujet ou à l’obsolescence des outils, les actions liées aux paiements de rançon se sont multipliées. Je citerai le Maire de la ville de Aulnoyes-Aymeris à qui une rançon de 150 000 € à été demandée pour décrypter les données de la ville bloquée.

La numérisation des villes a dématérialisé les processus et ouvert le système d’information vers l’extérieur, ne serait ce que par les ‘courriels’ des habitants mais de plus en plus par l’internet des objets et les systèmes et structures critiques qui sont devenus numériques. Nous avons lu dans la presse les accès au système de gestion de l’eau en Californie notamment.

La Cybersécurité devient aujourd’hui la ‘serrure des Smart territoires’, car si nous ne sommes pas capables collectivement de fermer cette serrure avec la bonne clé, ce sont les projets autour de la donnée, le développement de nouveaux usages, la dématérialisation totale des actes administratifs qui s’en trouvent exposer. Et nous savons que l’objectif unique que nous partageons d’aller vers une ville plus durable, zéro carbone et mieux vivable passera par l’usage du numérique utilisé au mieux et de façon la plus frugale et sure.

Les collectivités sont-elles préparées ?

Le déploiement du numérique, qui s’est amplifié en 2020 (une région par exemple nous indiquait qu’ils sont passés de 10 à 2000 personnes connectés à distance de façon régulière) et par la maturité des déploiements de nouveaux usages a fait surgir cette menace au premier plan.

La mise en œuvre de la ‘RGPD’, l’exigence légale d’ouverture des données en ‘Open Data’ ont commencé à sensibiliser les élus et le personnel des collectivités sur l’importance de la donnée, sa protection au sens des données sensibles et le changement de paradigme qu’elle implique dans des organisations bâties sur des silos et des missions verticales portées par les Vice-Présidents ou les Adjoints élus.

La crainte des incidents ou accidents cyber sécurité restaient limités, leur passage à un mode ‘rançonnage’ va sensibiliser les élus sur le phénomène qui concerne le blocage de la ville et non seulement le risque de voir des données sensibles exposer en dehors du système d’information de la collectivité.

Comment peut-on diminuer le risque ?

Des innovations, par exemple autour de la Blockchain vont aider à contribuer à réduire ces risques. Par exemple IBM aide des opérateurs de réseau électrique à s’assurer de la traçabilité de toute personne qui intervient en maintenance ou mise à jour de logiciels dans les nœuds du réseau pour s’assurer que seules les personnes certifiées par l’entreprise n’y ont eu accès.

Par ailleurs, il devient nécessaire de ‘sensibiliser’ les employés de la collectivité sur ce risque comme nous le faisons dans nos entreprises par une certification et un cours de 1H sur le sujet.

Nous devons aussi aider les collectivités à faire des ‘exercices’ de fonctionnement en mode dégradé et donc de définir des plans de redémarrage de l’activité.

Nous revenons aussi au sujet de pouvoir s’appuyer sur un responsable sécurité. Comme la loi l’a imposé pour un responsable de la donnée (DPO) et sous réserve que nous trouvions le bon niveau de mutualisation à la Métropole, ou auprès du syndicat intercommunaux techniques pour disposer de la bonne compétence à un cout accessible car partagé.

Il faut aussi regarder les nouveaux projets.Les appels d’offres devraient contenir la question de la cybersécurité dans les critères de choix et au-delà il faut mettre en œuvre pour ce qui existe déjà une politique que nous déployons chez IBM avec notre écosystème de partenaires ‘protéger – détecter et agir’.

Enfin, la question du budget reste critique. Dans les entreprises les budgets cyberssécurité sont prévus d’augmenter. Une étude portée par ‘Kaspersky éditeur de solutions’ indique qu’ils peuvent atteindre jusqu’à 23 % du budget informatique dans de petites entreprises, somme ‘colossale’ dans les budgets informatiques des collectivités.

Que pouvons-nous faire ?

Le traitement de la question de la cybersécurité devient nécessaire. Ne pas la traiter au niveau du risque d’occurrence réel pourrait stopper l’amélioration des services et le développement de nouveaux usages par le numérique dû à une perte de confiance dans la résilience de la collectivité.

Les collectivités ont su traiter la question de la protection des données qui n’était pas un sujet facile, elles sauront faire face à ce nouveau sujet.

La question qu’il est important de se poser, après les oppositions à la 5G, la crainte qui pourrait suivre à une attaque cyber qui paralyserait la ville, le risque de fuite de données personnelles, les questions liées à l’inclusion et les objections qui se développent autour du ‘cout écologique du numérique’ est celle d’une évaluation réaliste de ces externalités négatives devant les avancées et améliorations apportées par leur mise en œuvre.