Qualité de villes, le magazine du groupe RATP qui donne à voir LA VILLE AUTREMENT.

Retour au site RATP GROUP

Inspirations

Le cyber contre-attaque

Fragile, la ville numérique ? À l’heure de la digitalisation des services publics et du pilotage en réseau des grandes fonctions urbaines, elle devient une cible de choix pour les hackers.

GettyImages-1128252197_800x450

Baltimore, États-Unis, mai 2019. Une attaque de grande ampleur touche plus de 10 000 ordinateurs de l’administration municipale et ceux de 600 000 particuliers. Les boîtes e-mails sont muettes, les caméras de vidéo-surveillance brouillées, certaines fonctions vitales, comme la gestion de l’eau, perturbées. Les pirates exigent une rançon de 100 000 dollars payables en bitcoins. Le maire refuse de céder et met en place un dispositif d’urgence pour continuer à faire fonctionner les services municipaux mais la ville restera paralysée pendant dix jours et le préjudice financier est aujourd’hui estimé à 18 millions de dollars.
Payer une rançon ou restaurer ses données ? Toutes les villes ne font pas le même choix. La France n’est pas épargnée par ce phénomène. En 2019, selon le groupement Cybermalveillance, plus de 1 200 collectivités ont été victimes de cyberattaques. En mars 2020, les systèmes d’information et les données liées aux élections municipales de Marseille, de Martigues et de la métropole Aix-Marseille-Provence étaient la cible d’attaques touchant au total quelque 300 machines, selon les estimations de l’Agence nationale de la sécurité des systèmes d’information. Le mois suivant, c’était au tour de deux communes du Morbihan d’être visées.

Le scénario est connu. Un simple e-mail suffit pour chiffrer, grâce à un logiciel malveillant (rançongiciel ou ransomware), tout ou partie des données du réseau, les rendant inutilisables. Pour obtenir le mot de passe de chiffrement, la municipalité victime est sommée de payer une rançon. Seule alternative : mettre en place une organisation informatique de fortune, par exemple en demandant aux agents municipaux d’utiliser un accès Internet via un réseau Wi-Fi personnel, puis restaurer les données cryptées, sur la base de sauvegardes, ce qui peut prendre des semaines. Bien sûr, une ville n’est pas une entreprise et ne fera pas faillite en cas d’attaque. Bien sûr, les villes sont, à l’instar d’opérateurs comme le groupe RATP ou la SNCF, soumises à des obligations d’open data et une partie des données qu’elles traitent sont donc accessibles à tous. En cas de cyberattaque, les villes et les grands opérateurs d’infrastructures et de réseaux sont en effet confrontés à des risques majeurs pour la sécurité ou la santé des citoyens.

« La tech doit être un domaine tout aussi désirable que la ville. Il est vital que le groupe RATP soit reconnu comme un opérateur de confiance »

Pierre-Marie Lore
Responsable cybersécurité du groupe RATP

Les villes, qui passent des marchés publics, détiennent des informations sur les entreprises et sur leurs administrés qui peuvent intéresser des tiers. Et plus elles se digitalisent, plus elles doivent être vigilantes. Aujourd’hui, les attaques visent les ordinateurs des mairies, demain elles pourraient cibler les feux de circulation, les luminaires connectés ou les navettes autonomes du réseau de transport public.

Le groupe RATP, pionnier des navettes autonomes, se montre proactif sur ces risques, en promouvant auprès des constructeurs une approche security by design et en réalisant des audits cyber sur les véhicules et sur leur infrastructure de gestion. « Nos enjeux sont avant tout ceux liés à la cyberdéfense des infrastructures critiques ainsi qu’à la protection de la vie privée de nos collaborateurs et de nos usagers, note pour le groupe RATP Pierre-Marie Lore, responsable cybersécurité. Nous sensibilisons donc énormément nos équipes et nos managers à ces questions. »

GettyImages-1175885065_800x450

La riposte des villes commence à s’organiser et elle est souvent collective. Dès 2017, Lyon a créé le premier collectif européen dédié à la cybersécurité des systèmes industriels et urbains. Rennes, qui abrite un pôle d’excellence cyber, accueille chaque année un événement de référence en matière de cybersécurité, la European Cyber Week. Lille a fait du Forum international de cybersécurité un rendez-vous très prisé.

Dans le Morbihan, 60 communes ont intégré une plateforme commune de gestion et de protection des données numériques. D’autres s’appuient sur l’expertise du groupement d’intérêt public Cybermalveillance ou d’associations dédiées, comme Declic. La dynamique est encore insuffisante mais elle est essentielle pour la résilience des villes de demain.

1/2

Près de 1 entreprise française sur 2 se dit inquiète quant à sa capacité à faire face aux cyberrisques

lian-Gracier_400

« Les villes d’aujourd’hui sont déjà exposées, les smart cities le seront davantage. »

Ilan Gracier
White hat, hacker éthique

Après les banques et les entreprises, pourquoi le secteur public est-il la nouvelle cible des hackers ?
Dans les années 2014-2015, les hackers cherchaient surtout à voler des cartes de crédit. Puis ils se sont tournés vers les données de très grandes entreprises, qu’ils pouvaient rançonner. Mais les banques et les grands groupes ont appris à se protéger et ont investi dans la cybersécurité. En revanche, le secteur public dépense encore trop peu d’argent pour protéger ses systèmes d’information et recruter des experts. Le matériel informatique est parfois ancien, donc plus exposé aux attaques. Il est courant, quand on fait l’inventaire des machines, de tomber sur des shadow IT, une poignée d’ordinateurs allumés en permanence, dont on ne sait plus très bien à quoi ils servent, mais que personne ne prend l’initiative de débrancher !

Comment peuvent-elles se protéger ?
Les mieux protégées sont celles… qui ont déjà été attaquées. Les choses bougent lentement. Un peu plus vite à l’échelle des États : Israël a dédié un ministère à la lutte contre la cybercriminalité et fait appel à un réseau
de hackers éthiques bénévoles comme moi pour sensibiliser les municipalités. Pour rester optimiste, je dirais que ces attaques, au niveau des villes, sont plus gênantes que dangereuses. Ce qui va poser de vrais problèmes, demain, c’est la smart city et la multiplication des équipements connectés (parcmètres, caméras, luminaires), qui seront autant de points de fragilité.

Retour au site RATP GROUP