Sécurité

Une ville intelligente doit aussi être une ville sûre. L’utilisation de technologies de l’information et de dispositifs en réseau élargit considérablement la marge de manœuvre d’attaquants éventuels. Les municipalités sont déjà la cible de cyberattaques et d’attaques par des rançongiciels. Par conséquent, la sécurité numérique sera un enjeu énorme pour les municipalités à l’avenir.

L’intégration de la sécurité dès la conception est essentielle pour que les villes intelligentes puissent relever ces défis. Il faudra donc placer la notion de sécurité au premier plan de toutes les étapes du cycle de vie de la technologie : sélection, exploitation, maintenance et élimination de la technologie.

Pourquoi les technologies des villes intelligentes soulèvent-elles des défis de sécurité?

Comme la plupart des organisations, les municipalités d’aujourd’hui utilisent des outils informatiques pour fournir des services et gérer leurs opérations. En conséquence, les municipalités sont confrontées aux mêmes problèmes de sécurité que tous les autres utilisateurs de ces technologies : des vulnérabilités et des bogues qui ouvrent une porte aux cyberattaquants si aucun correctif n’est apporté, des erreurs internes et de mauvais acteurs. La ville intelligente élargit la marge de manœuvre des attaquants externes et complique la gestion de la sécurité interne. La raison en est que la ville intelligente utilise davantage de systèmes, que ces derniers sont récents ou proviennent de tiers, et qu’ils doivent tous être gérés et comportent leurs propres défis en matière de sécurité.

Ces derniers comprennent le vol de données et d’identité, la vulnérabilité des systèmes et les cyberattaques sur les terminaux de l’Internet des objets (IdO), les attaques par interposition, les mises à jour logicielles frauduleuses, la cryptanalyse, les attaques de protocole et de jetons d’authentification, l’interférence des signaux par brouillage ou par destruction de balises, l’usurpation d’identité et la compromission de la confidentialité géographique, notamment par GPS, WiFi et Bluetooth. Par exemple, dans le secteur des soins de santé — un exemple parmi d’autres dans le cas d’une ville intelligente —, les technologies peuvent poser des problèmes d’interopérabilité et d’intégration, surtout si la fourniture de logiciels et de services est assurée par un tiers. Cela peut menacer l’intégrité des données, compromettre les communications privées et les dossiers médicaux électroniques, et entraver la circulation des données de santé.

Comment les municipalités pilotant des projets de ville intelligente devraient-elles aborder la sécurité dans leur approvisionnement?

Lorsque vient le temps d’acquérir des technologies de ville intelligente, les municipalités doivent garder la sécurité à l’esprit dès l’étape de la conception et à chaque étape de cette dernière et du processus d’approvisionnement. Ces technologies doivent être assujetties aux politiques de sécurité de la municipalité, et ce processus doit lui-même être adapté pour faire face aux risques que font peser ces technologies en matière de sécurité. Les pratiques de sécurité habituelles comprendront : • La protection des renseignements personnels et de la vie privée — Cela inclut le masquage par cryptage (DES, RSA ou AES pour les réseaux de capteurs) des données personnelles à l’étape de la conception, le hachage (lien et verrouillage), la cryptographie minimaliste et la vie privée différentielle. • L’utilisation de technologies de sécurité — Systèmes de détection des intrusions sur toutes les technologies existant avant la nouvelle conception. Une protection supplémentaire comprend l’installation d’un antivirus et de pare-feu, des mises à jour logicielles pour corriger les vulnérabilités et les failles de sécurité, l’utilisation de signatures numériques et des interfaces de programmation sécurisées. • Le développement d’outils d’évaluation des incidences sur la sécurité — Les listes de contrôle et autres outils de ce type permettent d’évaluer à un stade précoce les incidences des technologies des villes intelligentes sur la sécurité et la vie privée. Les termes à inclure dans la liste de contrôle peuvent être la sécurisation des données et des communications, la protection standard des données et de l’identité, le niveau d’authentification et son processus, l’élimination des points faibles, le calendrier de mise à jour des microprogrammes, les protocoles en cas d’infractions à la sécurité, etc. • La rédaction de politiques de sécurité humaine — De nombreuses cyberattaques exploitent la crédulité humaine. Dans ce contexte, la sécurité devient la responsabilité de chacun. La formation, les politiques d’accès et le recours aux authentifiants permettront de pallier les vulnérabilités de sécurité qu’aucun logiciel ne peut corriger. • Une préférence pour les logiciels libres — Tous les logiciels présentent des vulnérabilités de sécurité. Les logiciels libres ont l’avantage de pouvoir être examinés et améliorés par une communauté de pairs, et la qualité des logiciels s’améliore au fur et à mesure que la collaboration s’étend. En revanche, les systèmes à source fermée dépendent de l’analyse de sécurité de leur éditeur, ce qui peut s’avérer lent et coûteux.

Ressources

Guides et trousses

Canadian Centre for Cyber Security Cyber Centre Learning Hub

  • Grâce à un programme standard et des solutions personnalisées, le Carrefour de l’apprentissage (CA) est une source fiable de formation à la sécurité informatique et cybernétique du gouvernement canadien. Il existe deux filières de formation professionnelle, la sécurité des communications et la cybersécurité, chacune offrant son propre apprentissage complet de programmes de sécurité et de pratiques exemplaires. Bien que le CA repose sur les politiques et directives fédérales, les gouvernements municipaux et les institutions publiques du Canada y sont admissibles et ont la priorité pour les offres de cours. Ces possibilités d’apprentissage peuvent également être adaptées pour répondre à un contexte et à des exigences spécifiques.

Center for Internet Security, “Cybersecurity Best Practices”.

  • Le Center for Internet Security a élaboré une liste de 140 lignes directrices sur les configurations de sécurité à l’échelle mondiale.

  • La Fondation pour la sécurité de l’IdO fournit un cadre et un questionnaire de conformité à la sécurité de l’IdO. Le cadre de conformité couvre les exigences de sécurité et les processus d’orientation de l’IdO, tandis que le questionnaire de conformité est une liste de contrôle sous forme de chiffrier pour soutenir et documenter les conceptions de sécurité.

  • L’association GSM fournit des listes de contrôle pour l’évaluation de la confidentialité et de la sécurité de l’IdO à l’intention des fournisseurs et des vendeurs afin de documenter le processus de conception des produits de l’IdO.

  • En 2016, le gouvernement indien a publié un cadre modèle comprenant 30 exigences de cybersécurité pour une ville intelligente. Ces exigences couvrent différents niveaux ou couches de sécurité dans les villes intelligentes (applications, données, communications et capteurs).

Sécurité publique Canada

  • Principes fondamentaux de cybersécurité à l’intention du milieu des infrastructures essentielles du Canada.

  • Principes de prévention contre les attaques par déni de service.

  • Sécurité informatique et systèmes de contrôle industriel (SCI) : pratiques exemplaires recommandées.

LSNetwork, Best Practices and Guides on IoT security in Smart Cities.

Bell - Best Practices and Guides on IoT security in Smart Cities.

Insightaas – Privacy and Security in the Internet of Things Era: IoTCC Best Practices Guidance.

IoT Security Foundation – Secure Design Best Practice Guides.

CSA – Cyber Security Guidelines for Smart City Technology Adoption.

Articles

Ann Cavoukian and Mark Dixon, “Privacy and Security by Design: An Enterprise Architecture Approach”

  • Ce document de 2013 sur l’approche fondamentale de l’intégration conceptuelle de la sécurité pour les technologies de l’IdO en expose les principes de base pour les étapes de conception, de construction, de test et de maintenance de l’architecture d’entreprise.

Mohamad Hasbini et al., "Smart Cities Cyber Crisis Management"

  • Les auteurs discutent de la sécurisation des villes intelligentes, des 15 éléments qui ne devraient pas échouer dans ces villes (soins de santé, identité, eau, transports, énergie, drones, déchets, etc.) et des mesures proactives à prendre pour éviter les cyberattaques et les rançongiciels. Les auteurs détaillent des stratégies pour atténuer et gérer toute cybercrise, le cas échéant, en recourant à des mesures comme la préparation, la détection, la réponse, l’enquête, le confinement, la remédiation, etc.

  • En ce qui concerne les attaques basées sur l’IdO, l’Autorité canadienne pour les enregistrements Internet a créé une Passerelle domestique sécurisée qui aide à rendre sécuritaires les foyers connectés.

  • Le Deloitte Centre for Government Insights a produit un rapport intitulé « Making Smart Cities Cybersecure », lequel résume les sources systémiques de vulnérabilité en matière de sécurité pour les villes intelligentes et propose des solutions politiques pour résoudre ces problèmes.

Canadian Centre for Cyber Security: An Introduction to the Cyber Threat Environment

  • Ce document vise à décrire les concepts communs des cybermenaces au Canada et à fournir des connaissances de base sur ce sujet. Une cybermenace y est définie comme toute activité visant à compromettre la sécurité d’un système d’information en altérant la disponibilité, l’intégrité ou la confidentialité du système ou des informations qu’il contient. Le document présente les différentes motivations et la sophistication des acteurs de ces cybermenaces et fournit une liste partielle des outils et techniques couramment utilisés par ces acteurs. Les auteurs ont également créé un guide à l’intention des gouvernements locaux qui souhaitent en savoir plus sur le développement de logiciels mobiles et les nouvelles approches contractuelles modulaires.

World Economic Forum: Why 2020 Is a Turning Point For Cybersecurity

  • Cet article du Forum économique mondial laisse entendre qu’il est urgent de faire progresser la cybersécurité alors que les pays sont de plus en plus numérisés et recueillent plus de données que jamais. Il aborde ensuite les différentes façons dont les cyberrisques vont apparaître et les moyens par lesquels les dirigeants peuvent s’adapter et choisir parmi trois catégories de stratégies pour répondre aux besoins en matière de cybersécurité : technologie, stratégie commerciale, et géopolitique et coopération.

National Research Council of Canada (NRC): Cybersecurity

  • Le CNRC mène des recherches sur la cybersécurité et offre des services techniques et consultatifs pour faire face aux cybermenaces qui pèsent sur les infrastructures publiques et l’exploitation des services. Ses compétences de base couvrent une variété de domaines technologiques et il est en mesure d’appliquer son expertise aux systèmes publics. Il fait également partie d’un Consortium de collaboration en matière de cybersécurité (ICC-CNRC) basé au Nouveau-Brunswick, lequel mène des recherches sur la cybersécurité en mettant l’accent sur la protection des infrastructures critiques, la domotique et les villes intelligentes, et les réseaux intelligents.

Global Public Policy Institute (GPPI): Advancing Cybersecurity Capacity Building

  • Ce rapport du GGPI définit le renforcement des capacités en matière de cybersécurité (RCC) comme un ensemble d’initiatives qui permettent aux individus, aux communautés et aux gouvernements de tirer profit des investissements dans les technologies numériques. Le rapport plaide en faveur d’une approche fondée sur des principes et présente des principes directeurs qui peuvent fournir des indications sur l’élargissement du RCC, la cybersécurité semblant généralement n’être envisagée qu’après l’expansion rapide de la connectivité. Le rapport énonce chaque principe directeur, fait état du statu quo actuel et formule un certain nombre de recommandations pour chaque principe.

IoTSecurity2018 – Enhancing IoT Security.

ENISA

  • Good Practices for Security of Internet of Things in the context of Smart Manufacturing. • Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures.

  1. HKCERT – IoT Security Best Practice Guidelines, January 2020.

Autres lectures

Mass Framingham, “Smart Cities Initiatives Forecast to Drive $189 Billion in Spending in 2023, According to a New Smart Cities Spending Guide from IDC”

Maryam Farsi et al, Digital Twin Technologies and Smart Cities, pages 130 - 147

Adel Elmaghraby et al, “Cyber security challenges in Smart Cities: Safety, security and privacy”,Sciencedirect.

Bell, “How to Overcome IoT Security Concerns”

LSNetwork, [“Smart Planning our Smart Cities”](https://static1.squarespace.com/static/546bbd2ae4b077803c592197/t/5b2bbd44aa4a9970b3cff95f/1529593163251/CUIPublication.SmartPlanningOurSmartCities.June2018.pdf}

Last updated