Quels risques introduit le développement d’une ville intelligente ?
Stéphanie Lhomme : Le concept de ville intelligente s’appuie sur l’idée que l’échange et l’analyse des données informatiques peuvent améliorer la gestion des infrastructures urbaines. La cité devient un lieu où des milliers d’appareils, ainsi que des bases de données privées et publiques, communiquent en permanence. La multiplication du nombre de machines et de systèmes reliés à différents réseaux, tout comme le volume grandissant d’informations échangées, décuple les risques d’attaques informatiques. En outre, à mesure que les interconnexions entre les composants s’intensifient, les conséquences d’un piratage deviennent plus graves et plus difficiles à maîtriser.
Quelles mesures peuvent réduire ces risques d’attaques ?
S.L. : Evidemment, le risque zéro n’existe pas. Compte tenu de la masse d’informations transmises, la foule d’équipements installés, et de la multitude de réseaux interconnectés, tout contrôler est impossible. À ce point, l’analyse et la prévention du risque dépassent les dimensions purement techniques. Avant tout, les acteurs privés et publics doivent réfléchir ensemble aux informations et aux actifs les plus sensibles, ceux qu’il convient de sécuriser au mieux. Cet inventaire pertinent demeure un exercice rare. En parallèle, il est nécessaire d’identifier les sources d’attaques potentielles : qui s’attaquerait à quoi ? Pourquoi et comment ? Un nombre croissant de piratages arrivent par une entreprise tierce, un fournisseur ou un sous-traitant par exemple, connecté au réseau de la cible principale. Ces sociétés sont souvent plus petites. Leurs systèmes peuvent être plus faciles à pénétrer. La détection des comportements suspects (« behavior based detection » en anglais) constitue aussi un outil préventif intéressant. Un usage illicite d’un appareil entraine généralement une modification de son fonctionnement. Localiser des transactions de données inhabituelles revient ainsi à repérer de potentielles infiltrations ou attaques.
S.L. : Les sensibilités et les actions demeurent hétérogènes. Plusieurs de nos clients sont déjà très conscients de ces problèmes et mêmes sources de proposition. Nous les assistons dans plusieurs activités : le recensement de leurs actifs clés, l’évaluation des risques auxquelles ceux-ci sont exposés, et la veille liée à ces menaces. Autre point capital, nous travaillons à des plans de gestion de crise. La possibilité d’un incident n’est jamais totalement écartée, il faut donc se préparer à cette situation. A l’opposé, certains pensent encore que la sécurité informatique concerne seulement les techniciens. C’est sans doute la plus grave des erreurs. La maîtrise de la technologie et le recours aux experts restent cruciaux, mais il est essentiel de commencer par une démarche plus large. Cette prise de conscience résulte encore trop souvent d’une attaque. D’un point de vue technique, Wal-Mart et Target, deux entreprises américaines victimes de pirates, étaient bien protégées. Elles avaient investi des millions dans ce domaine. Les événements ont montré que ce n’était pas suffisant.
