Comment protéger les villes de l'épreuve des cyberattaques

#ForumZéroCarbone Paris - Sécuriser la ville des menaces cyber, protéger les infrastructures

C'était un lendemain de fête, plus précisément le 26 décembre 2020... La Ville de La Rochelle a subi ce jour-là une cyberattaque de son système d'information. « Nous ne savions pas au départ quelle était l'étendue des dégâts. Aussi avons-nous fait le choix, sur les recommandations de la gendarmerie, de tout couper. Et tout couper, cela signifie une ville, une agglomération, une administration, qui sont 'à plat' », se souvient Marie Nédellec, adjointe à la Ville de La Rochelle et conseillère communautaire déléguée à la communication institutionnelle, la transformation numérique et les systèmes d'information. Pendant plusieurs jours, des services tels que le chauffage dans certains bâtiments de la ville, l'accès aux parkings souterrains, le service de délivrance de permis d'inhumer étaient « hors service ». Avec, en face, la peur de voir des données divulguées et l'incompréhension des habitants...

Un scénario qui est loin d'être isolé. Car les assauts contre les collectivités se multiplient : le groupement d'intérêt public Acyma a enregistré une hausse de 50 % de signalements de ces cyberattaques en 2020, par rapport à 2019. En grande partie, la menace provient de « ransomewares », autrement dit, des logiciels malveillants qui bloquent l'accès à l'ordinateur ou aux fichiers en les chiffrant et qui réclament un paiement pour en ouvrir à nouveau l'accès. La menace plane d'ailleurs sur toutes les collectivités, des petites aux plus grandes.

A Paris, où la Ville utilise plus d'un millier d'applications pour ses quelques 300 métiers, l'enjeu est proprement « titanesque », souligne Antoine Guillou, adjoint à la Mairie de Paris en charge des ressources humaines, du dialogue social et de la qualité du service public. « Compte tenu de la criticité d'un certain nombre de services, nous sommes obligés de nous prémunir au maximum contre tout type de menace. Et de nous préparer, si jamais une attaque venait à percer nos défenses, à pouvoir fonctionner de manière dégradée - ce qui est compliqué... », dit-il.

Muscler la protection

Mais pour se protéger, les défis sont énormes. D'abord, dans un grand système d'information, identifier une menace le jour même où elle survient consiste à « chercher une aiguille dans une botte de foin », estime Guillaume Doyen, professeur en cybersécurité à l'IMT Atlantique, spécialisé dans la sécurité de très grands systèmes. Une tâche d'autant plus ardue « si l'on a recours à des prestataires et qu'on est en mode boîte noire, en quelque sorte », ajoute-t-il. Tout l'enjeu, selon lui, est d'être capable d'avoir « un temps de réaction très court et une vraie fiabilité de détection ». Et trouver, en outre, « la cause racine » parmi les milliers d'alertes qui peuvent se déclencher lorsqu'une attaque a lieu. Bonne nouvelle, les chercheurs planchent sur des solutions de type « architectures hautement distribuées, qui ont pour objectif de faire face à ces problématiques », assure-t-il, pour ajouter : « nous travaillons de plus en plus à automatiser les systèmes de détection, de réaction, de mitigation et de retour à la normale. » De fait, dans des infrastructures critiques de smart city, qui sont « des systèmes de systèmes très complexes, souligne-t-il, il n'est plus possible de donner toutes les clés à l'opérateur humain. Il a un vrai rôle à jouer, certes, mais à la hauteur de ce qu'il peut faire. »

Autre piste, pour Philippe Rondel, architecte sécurité au sein de Checkpoint Software, un fournisseur de solutions de sécurité, « séparer les systèmes critiques, sur lesquels il faut apporter une sécurité appropriée et différenciée, des autres systèmes. » Mais encore faut-il définir ce qui, pour une collectivité locale, est un système critique... « Le plus critique comprend la distribution de l'eau, la circulation, la collecte des déchets, la gestion des cimetières, les services sociaux ... », abonde Antoine Guillou. Toutefois, « certains systèmes, dans l'immédiat, peuvent ne pas apparaître aussi critiques que d'autres, mais le deviennent s'ils sont incapacités pendant longtemps », nuance-t-il.

Les objets connectés, le maillon faible

Parmi les maillons faibles de la smart city qui inquiètent tout particulièrement figurent les objets connectés. « On a l'impression de revenir à l'informatique d'il y a 15 ans, avec, par exemple, des mots de passe uniques, ou les mêmes certificats sur tous les objets », relève ainsi Philippe Rondel. Souvent, « autant le logiciel de surface a été créé récemment, autant celui de fond l'a été il y a des années et contient en conséquence énormément de vulnérabilités », poursuit-il. Le mot d'ordre, dans tous les cas, est de mettre régulièrement tous ces outils à jour. Ce qui est plus compliqué lorsqu'on souscrit à un service complet auprès d'une société extérieure... « Dans cette démarche, les organisations doivent s'assurer du niveau de sécurité qui est délivré, de même que de la capacité à mettre à jour », prévient-il. Pour sa part, Guillaume Doyen note que « si vous êtes l'opérateur de votre infrastructure, vous êtes responsable de la mise à jour de votre système d'information et cette opération n'est pas triviale. »

Des pistes pour muscler la protection existent donc. Reste que dans la bataille contre le fléau des cyberattaques, l'une des réponses, à plus long terme, réside sans doute dans la sécurité par conception, selon Guillaume Doyen. Enfin, les collectivités qui ont été victimes de pirates en tirent quelques leçons. « Lorsqu'on fait le choix d'un outil, il ne faut pas uniquement se fonder sur la capacité technique, mais aussi sur la relation avec ce prestataire, qui implique réactivité et agilité », note Marie Nédellec, qui s'interroge en outre sur les questions de souveraineté numérique dans le choix des logiciels d'infrastructure. « Nous avons développé notre propre data center pour avoir la maîtrise du stockage de nos données », indique à cet égard Antoine Guillou. Sans oublier la formation du personnel... « Chaque agent peut être une porte d'entrée, d'où la nécessité de sensibiliser l'ensemble des effectifs », conclut l'élu.

6 mn

Partager :