CYBERSÉCURITÉ : LES ENJEUX DE LA VILLE AUJOURD’HUI… ET POUR CELA, ELLE DOIT DEVENIR INTELLIGENTE (smart).

Mots clés : cybersécurité, villes, Région wallonne, Baltimore, Atlanta, résilience informatique

Temps de lecture : 10 minutes

Chers lecteurs,

en préambule à cet article, permettez-moi de vous souhaiter de belles et bonnes vacances ! Mais les vacances ne seront à l’ordre du jour de ce Blog. En effet, nous alternerons entre productions originales et analyses d’articles… Comme nous le faisons à l‘habitude. Nous vous souhaitons de belles lectures (pas seulement numériques) sous le parasol !

Pour commencer, nous allons nous attacher à la cybersécurité : un sujet encore rarement abordé dans la gouvernance urbaine et pourTant tellement importante dans les transformations numériques actuelles. Souvent, les responsables municipaux ne s’imaginent guère les enjeux sous-jacents à la protection des données traitées par les villes. Certes, le RGPD a fait prendre conscience de certains risques, mais nombre des villes et communes se sont simplement accommodées d’un DPO (Digital Protection Officer) traitant de l’aval de la question de la protection, mais non de l’amont.

La ville est un bâtiment qu’il faut protéger

Lorsque l’un maire vient demander de rendre leur ville « smart » et au service de leurs habitants et citoyens, ils sont souvent étonnés que je leur demande « quel est votre architecture informatique et réseau ? ». Force est de constater que cette question déstabilise quelque peu. Pourtant, j’explique toujours que si on ne veut pas de vol dans une maison, il ne sert à rien de mettre en place un système antivol et de ne pas mettre de fenêtre dans les baies grandes ouvertes. Pour les données sensibles des villes, il en va de même. Je me souviens d’ailleurs de cette expérience extraordinaire où un lecteur d’empreintes digitales sécurisé pour encoder la biométrie des passeports qui était raccordé à un ordinateur fonctionnant sur… Windows 98 ! #Amazing. Donc oui, une ville est comme un bâtiment, il faut le sécuriser physiquement et de manière logicielle, les deux vont de pair.

Ransomware, piratages, … je vous l’avais dit

Les informations sur les Ransomware deviennent aujourd’hui courantes au travers des expériences du NHS, National Health Service en Angleterre (2017) et qui a coûté la bagatelle de 100.000.000 de dollars et continue aujourd’hui à créer des dommages collatéraux dans les systèmes (Chris Bruneau, 2018) en précisant que selon les estimations du ministère britannique de la Santé et des Affaires sociales, les dommages causés par l’attaque s’élevaient à environ 25 millions de dollars, mais la majeure partie des coûts a été occasionnée par environ 94 millions de dollars liés à l’assistance informatique et à la restauration des données et des systèmes.

Dans le même ordre d’idées, la ville d’Atlanta a été affectée par un Ransomware en 2018 (Samsam). Le maire de la ville, prévoyant, avait fait couvrir par une assurance ce type de risque alors que le(s) hacker(s) demandaient ,selon un rapport de WXIA qui est affilié à Atlanta NBC  (Sean GALLAGHER, 2018), un paiement de 6 800 dollars pour déverrouiller chaque ordinateur ou de 51 000 dollars pour fournir toutes les clés aux systèmes affectés.

Dans ce cas-ci, Microsoft, la ville et le FBI ont dû travailler de concert pour régler le problème.

Mais cela ne se passe pas toujours aussi bien et c’est le cas de Baltimore qui n’a pas contracté d’assurance couvrant les risques d’hacking et qui est bloquée depuis le 3 mai 2019 par le Ransomware « RobbinHood » et la plupart des réseaux de Baltimore City ont été fermés suite à une attaque de Ransomware qui a détruit des serveurs de messagerie et d’autres systèmes dans plusieurs départements de la ville en date du 7 mai.

Baltimore n’a aucune assurance pour couvrir le coût d’une cyberattaque. Ainsi, le coût du nettoyage du Ransomware, qui dépassera de loin les 70 000 USD demandés par les opérateurs de Ransomware, sera entièrement à la charge des citoyens de Baltimore et ce n’est pas comme si la ville n’avait pas été prévenue. Le responsable de la sécurité de l’information de Baltimore a averti de la nécessité d’une telle politique lors des audiences budgétaires de l’année dernière (Sean GALLAGHER, 2019). Mais le budget final n’incluait pas de fonds pour cette politique, ni pour financer une formation accrue en matière de sécurité pour les employés de la ville ni pour d’autres investissements stratégiques faisant partie du plan stratégique du maire pour l’infrastructure de technologie de l’information de la ville. Le résultat aujourd’hui est catastrophique avec une perte sèche pour la ville incapable de facturer ses services à la population (eau,  électricité   …) et sans compter, comme pour Altanta et le NHS, des impacts à plus long terme de fichiers corrompus. Dans le cas de Baltimore, les outils papier redeviennent la norme avec tout le risque de doublons, pertes de données, etc.

Dans une déclaration du 17 mai, le maire Young montre son désarroi face à l’ampleur du désastre :

« Je ne suis pas en mesure de vous fournir une chronologie exacte du moment où tous les systèmes seront restaurés. Comme toute grande entreprise, nous avons des milliers de systèmes et d’applications. Notre objectif est de rétablir les services essentiels en ligne, de manière à faire de la sécurité l’une de nos principales priorités tout au long de ce processus. Vous pouvez constater que des services partiels commencent à se restaurer en quelques semaines, alors que certains de nos systèmes les plus complexes peuvent prendre des mois dans le processus de récupération… nous avons engagé des experts en cybersécurité de l’industrie, qui travaillent avec nous tous les jours, 24 heures sur 24, 7 jours sur 7. Certains efforts de restauration requièrent également de reconstruire certains systèmes pour nous assurer que, lorsque nous restaurons les fonctions de l’entreprise, nous le faisons de manière sécurisée. »

Quid chez nous ? En toute sincérité, je pense que les communes et villes wallonnes (mais aussi françaises, hors grandes agglomérations) sont toutes à l’ère de la pierre face au Hacking. Pire, même les services de la police fédérale seraient dans l’incapacité de répondre à un Ransomware vu le peu d’effectifs disponibles. Je pense que nous devrons attendre une première attaque pour que les responsables politiques de tous niveaux prennent conscience de la situation. Mais vous, nous, moi, comme simples citoyens somment également concernés : le plan de numérisation lancé par Alexander de Croo, VP et ministre des finances, en charge de la numérisation, est ambitieux et pertinent (dématérialisation des documents, certification …). Le processus est rondement mené par de très bons informaticiens belges (parmi les meilleures formations en Europe) qui proposent l’implémentation d’une Blockchain pour crypter les données sensibles entre l’État, les villes et le citoyen… mais c’est comme un bâtiment, il peut être très bien conçu, mais sans fondation, il ne tient pas.

Les enjeux

Les villes wallonnes doivent prendre la question de la cybersécurité à bras le corps. Ce qui se passe actuellement aux USA est significatif. Et cette prise en charge nécessite la mise en place d’une stratégie en plusieurs points :

  • Repenser l’architecture informatique des villes pour les rendre plus résilientes.
  • Investir dans des services informatiques performants et attachés directement au bourgmestre.
  • Investir dans la formation du personnel pour éviter d’ouvrir des portes aux hackers.
  • S’assurer par les compagnies en cas de problèmes.

Somme toute des choses simples dans un principe de prévoir – assumer – guérir. De plus, l’enjeu temporel est fondamental comme le démontre la catastrophe de Baltimore. Plus vite la ville réagit aux Hacks, plus vite elle réduit le coût. De nouveau, prenons l’analogie d’un bâtiment : en milieu sismique, si le bâtiment est parasismique, il accusera le choc du tremblement, mais sera très vite opérationnel. S’il n’est pas conçu comme tel, il s’effondre. Et même s’il n’y a pas de victimes, il faudra attendre la reconstruction du bâtiment pour retravailler… mais au-delà, il en va de la vie des gens et le service à la population.

En conclusion, pourquoi avoir écrit cet article ? Parce que jusqu’à aujourd’hui, à chaque fois que je parle de cette problématique auprès des villes, je suis trop souvent regardé comme un extraterrestre – geeks- alarmiste ! Pourtant… avant la tempête la mer est calme.

Pascal SIMOENS, Urbaniste et architecte, data Curator

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s