Selon un rapport de Forrester Research, partout dans le monde, le niveau de sécurité des objets connectés des smart cities est alarmant, et il faut de sérieux changements pour éviter une exploitation généralisée de leurs vulnérabilités. Mais, ce qui fait surtout défaut, c’est le manque de compréhension des responsables de ces systèmes et le non-respect des meilleures pratiques de sécurité, pourtant bien connues, comme la gestion centralisée, la visibilité du réseau et la limitation des surfaces d'attaque. Selon Merritt Maxim et Salvatore Schiano, les chercheurs de Forrester, auteurs du rapport intitulé « Making Smart Cities Safe And Secure » (Sécuriser les villes intelligentes), le défi est de taille.
Par défaut, la surface d'attaque d'une ville intelligente est énorme, étant donné la quantité de matériels connectés à Internet. Ce qui signifie qu’il y a toujours quelque part un appareil potentiellement vulnérable. De plus, du fait de leur éparpillement géographique, il est difficile de les protéger contre tous les types d'accès. Pire encore, certains systèmes hérités sont parfois impossibles à gérer et à mettre à jour pour mieux les sécuriser. Selon le rapport, les technologies plus anciennes n’offrent souvent aucune possibilité de mise à jour directe à distance, même pour corriger des vulnérabilités considérées comme sérieuses. L'accès physique à certains types d'appareils demeure également un défi de taille. Le rapport donne l'exemple d'usines de traitement des eaux usées situées dans des endroits éloignés en Australie, sabotées par un entrepreneur qui a accédé directement aux systèmes SCADA.
Peur sur la ville
Outre le risque de compromettre les systèmes de contrôle, l'insécurité généralisée de l’IoT des villes connectées rend très suspectes les vastes quantités de données qu'il génère. Des dispositifs mal configurés pourraient recueillir plus d'informations qu'ils ne sont censés le faire, y compris des informations personnellement identifiables, ce qui pourrait enfreindre les réglementations en matière de confidentialité. De plus, les données recueillies sont analysées afin de recueillir des informations utiles sur des sujets comme les habitudes de stationnement, le débit d'eau et la consommation d'électricité, et des informations inexactes ou compromises peuvent gravement entamer la valeur de la technologie des villes intelligentes pour un utilisateur donné. « La nécessité d'inventorier, de classer et de cartographier les flux de données dans l'environnement IT confère plus de maturité aux équipes de sécurité. Cela leur permet aussi de mieux évaluer les risques et l'impact sur la vie privée, pour assurer une protection appropriée », indique le rapport. « Dans l’environnement des technologies opérationnelles (OT), ils sont encore plus en retard », précise encore le rapport.
Pourtant, même si, selon les données de Forrester, la planification et la mise en œuvre de l’IoT ont doublé entre 2017 et 2018, peu de chose ont été faites sur le plan de la sécurité. Entre 2014 et 2019, le rapport décompte 13 cyberattaques contre les environnements IoT de villes connectés ayant entraîné de graves conséquences, comme des pannes d'électricité généralises, des infections par des ransomwares d’ordinateurs des hôpitaux et des interruptions des services d'urgence. Cependant, selon Forrester, il est possible d’améliorer les choses. Une surveillance attentive des logs permettrait aux administrateurs de distinguer les situations normales des situations suspectes sur leurs réseaux. La cartographie des actifs et la centralisation des fonctionnalités du plan de contrôle peuvent aussi compliquer l’ajout de dispositifs malveillants par des acteurs mal intentionnés dans un réseau urbain intelligent ou les empêcher de prendre le contrôle des objets les moins sécurisés. Enfin, les alertes intelligentes - qui fournissent des informations contextuelles, en faisant la différence entre « un système qui vient d'être mis en service et souffre d’une mauvaise connectivité » et « une personne qui tente de manipuler le système » - pourraient aider les villes à mieux réagir aux menaces de sécurité quand elles surviennent.