Avec qui initier sa stratégie de sécurisation des capteurs et antennes des territoires durables et connectés (TDC) ? Quelles en sont les étapes, les points clés ? À quel niveau se situent les réels risques d’attaque ? Existe-t-il des clauses spécifiques à intégrer dès les cahiers des charges ? Quelles recommandations pour les nombreux partenaires du projet ? Quel coût supplémentaire prévoir ? Initié début 2023, le groupe de travail interne à l’Avicca a souhaité répondre à ces questions grâce aux retours d’expérience de quatre collectivités et deux industriels partenaires : La Fibre 59-62, la ville de Rennes, le SIEL TE et le SIPPEREC, d’une part, Nomosense et Nokia, d’autre part.
Travaux du Comité stratégique de filière (CSF)
Au TRIP d’automne 2023, ces collectivités déjà bien engagées dans les déploiements des TDC ont présenté l’état de l’art de la cybersécurité pour l’internet des objets. En parallèle, l’Arcep et l’Alliance pour la confiance numérique ont partagé leurs réflexions. Cette dynamique a permis de convaincre le CSF « Infrastructures numériques » d’approfondir ces travaux avec l’ensemble des industriels de la filière InfraNum.
Car les problèmes soulevés dès l’origine restaient en suspens : il conviendrait que le déploiement de capteurs ne constitue pas une nouvelle voie de cyberattaque. Il ne faudrait pas non plus que cela rende les systèmes d’information plus vulnérables. Pire, il faut éviter à tout prix que cela fragilise des infrastructures essentielles telles que la distribution de l’eau, la circulation routière, le chauffage urbain, la qualité de l’air dans les bâtiments publics...
Malheureusement, les contre-exemples ne manquent pas : hacking des feux de circulations, piratage d’une usine d’eau en Floride, messages inappropriés sur les panneaux d'affichage électronique…
Quelques limites des dispositifs techniques ont également été pointées : capteur prévu pour 10 ans qui émet sans arrêt et tombe en panne au bout de 1,5 ans, saturation des Gateway par des émissions de données inutiles, identifiants des équipements trop visibles et permettant d’accéder à ses spécificités, facilitant ainsi son hacking…
Fiche pédagogique de synthèse
Concrètement, InfraNum et l’Avicca ont mené durant plusieurs mois une série d’entretiens, orientés essentiellement vers les AMO (Artelia, ON-X), opérateurs (Orange), intégrateurs (Sogetrel, Equans), éditeurs de plateforme (Eridanis, Synox) et équipementiers (Lacroix, Watteco, Tektelic, Birdz). Puis ces entretiens se sont prolongés auprès de collectivités membres de l’Avicca ayant un retour d’expérience documenté de ce type de problèmes.
Résultats : la publication d’une fiche de synthèse qui comporte près d’une dizaine de recommandations à mettre en œuvre dès l'origine du projet et à ne pas oublier de suivre tout au long de sa vie. De bonnes nouvelles : pas de trou méthodologique, des normes et standards existants, des pratiques transposables et un avantage aux structures de mutualisation. Mais aussi de moins bonnes : une diversité des acteurs entrainant une dilution des responsabilités, des règlementations peu stabilisées pour les TDC, des surcouts avérés et des vulnérabilités organisationnelles et humaines persistantes.
Tout ne peut sans doute pas être anticipé ; il y aura toujours des risques et des attaques, mais une bonne politique cyber permet de détecter, retarder, limiter les impacts, de réagir de manière proportionnée.
Les travaux sont presque achevés. Cet atelier offre à l’ensemble de l’écosystème et plus particulièrement aux collectivités membres de l’Avicca, l’opportunité de faire une relecture collective du document final et de le confronter aux différents projets en cours et en préparation. En pratique, la fiche résumée sera envoyée sous embargo à chacun des participants quelques jours avant la session. Cet atelier est réservé aux adhérents.