Ncsc publie des lignes directrices intelligentes sur la sécurité de la ville

Le National Cyber Security Centre (NCSC) du Royaume-Uni a publié de nouvelles lignes directrices sur la sécurisation des infrastructures intelligentes des villes afin d’aider les autorités locales et la communauté de la sécurité à mieux faire connaître et comprendre ce qui doit se passer pour assurer la sécurité des lieux connectés.

Le code contient un ensemble de principes informatiques de base pour aider les propriétaires de risques, les DSI, les cyber-architectes et les ingénieurs, et d’autres membres du personnel opérationnel à rendre leurs projets et systèmes de ville intelligente à la fois plus faciles à gérer et résistants aux cyberattaques.

Ces systèmes pourraient comprendre les feux de circulation, la vidéosurveillance, la gestion des déchets, l’éclairage public, le stationnement, les transports publics, les soins de santé et sociaux et les services d’urgence.

« Les systèmes sur lesquels ces fonctions et services reposent seront le déplacement, le traitement et le stockage de données sensibles, ainsi que le contrôle de la technologie opérationnelle essentielle », a déclaré le NCSC.

« Malheureusement, cela fait de ces systèmes une cible attrayante pour un éventail d’acteurs de la menace. Un lieu connecté sera un écosystème en évolution, comprenant une gamme de systèmes qui échangent des données, ce qui ne fera qu’ajouter d’autres risques.

« Si les systèmes connectés sont compromis, les conséquences pourraient avoir un impact sur les citoyens locaux. Les répercussions peuvent aller des atteintes à la vie privée à la perturbation ou à la défaillance de fonctions critiques. Cela pourrait avoir des effets destructeurs, ce qui, dans certains cas, pourrait mettre en danger les citoyens locaux.

« Il pourrait également y avoir des impacts sur les autorités locales qui sont attaquées. Il peut s’agir notamment d’une perte de réputation qui pourrait avoir une incidence sur la participation des citoyens ou des répercussions financières d’une attaque.

Dans Computer Weekly aujourd’hui, le ministre du Numérique Matt Warman a déclaré: « Les technologies émergentes changent notre façon de penser nos villes. De la 5G ultrafast et gigabit à large bande à l’Internet des objets (IoT) dispositifs et capteurs, l’innovation numérique est le déclenchement d’une révolution dans la conception urbaine et la planification à travers le Royaume-Uni.

« De nouveaux « lieux connectés » – tels que ceux envisagés par le plan Smart City de Sunderland et le programme numérique de Newcastle – sont en cours d’utilisation d’infrastructures et d’appareils connectés à Internet pour rendre les communautés et les services plus efficaces, plus sûrs et plus respectueux de l’environnement. Ils peuvent aller de villes intelligentes entières à des endroits contenus tels que les parcs ou les ports et ils ne se trouvent pas seulement dans les zones urbaines non plus », at-il dit.

Warman a expliqué qu’il est important d’avoir des freins et contrepoids en place pour atténuer les risques potentiels de tels projets.

« Les principes expliquent comment les lieux connectés peuvent être conçus pour protéger les données, être résilients, évolutifs, moins exposés aux risques et soutenus par une surveillance réseau suffisante. Ils décrivent également comment les privilèges et l’accès au système, les chaînes d’approvisionnement et les incidents devraient être gérés », a-t-il déclaré.

« L’objectif est d’aider les concepteurs, les propriétaires et les gestionnaires de systèmes à avoir les outils dont ils ont besoin pour faire des choix bien informés en matière de cybersécurité. J’exhorte les dirigeants locaux et les concepteurs de villes intelligentes à suivre les conseils.

Les directives complètes de la CCSN peuvent être téléchargées pour être lues en entier à partir de son site Web, et sont divisées en trois sections couvrant la conception, la mise en œuvre et la gestion intelligentes de la ville, qui entrent toutes en jeu différents facteurs de cyberrisque.

Mark Jackson, conseiller national de Cisco en matière de cybersécurité pour le Royaume-Uni et l’Irlande, a déclaré: « La complexité du marché des villes intelligentes, avec plusieurs fabricants d’appareils et fournisseurs informatiques en jeu, pourrait très facilement présenter des problèmes de cybersécurité qui sapent ces efforts. Les principes de la NCSC sont l’un des éléments les plus sophistiqués des lignes directrices dirigées par le gouvernement publiées en Europe à ce jour.

« Les orientations établies pour les lieux connectés s’alignent généralement sur les meilleures pratiques en matière de cybersécurité pour les environnements d’entreprise, mais elles représentent également les défis liés à la connexion de différents systèmes au sein de notre infrastructure essentielle nationale.

« Avec DCMS [the Department for Digital, Culture, Media and Sport] également l’intention de mettre en œuvre une législation sur la sécurité des appareils intelligents, ce qui est révélateur d’une stratégie gouvernementale plus large visant à niveler la sécurité de l’IoT dans l’ensemble.

« Cela permettra à de nouvelles initiatives dans le domaine des lieux connectés et des villes intelligentes de prendre de l’ampleur à travers le Royaume-Uni – avec la cybersécurité dans la phase de conception et de construction. À mesure que les restrictions de verrouillage s’assoupliront et que les gens retourneront sur les lieux de travail et les centres-villes, ils ont besoin de l’assurance que leur identité numérique et leurs données sont protégées à mesure que le monde entier devient plus connecté. Ces principes directeurs sont un moyen d’aider les gouvernements locaux à réaliser cette vision », a déclaré M. Jackson.

Tom Van de Wiele, consultant en cybersécurité de F-Secure, a déclaré : « Les villes intelligentes rendent la vie plus efficace et sont là depuis un certain temps, mais ellesrisques pour la vie privée et la sécurité.

« En fin de compte, il existe un risque réel de préjudice de la part de réseaux non sécurisés qui partagent des données provenant de capteurs et d’outils d’analyse. Le degré élevé de connectivité dans ces technologies signifie qu’un attaquant pourrait, potentiellement, prendre des mesures malveillantes dans tout le Royaume-Uni avec facilité si les mesures de sécurité appropriées telles que la ségrégation des réseaux et les processus de repli ne sont pas appliquées ou correctement testées.

« Un État-nation, un groupe criminel organisé sérieux ou des assaillants qui souhaitent nuire à des infrastructures nationales essentielles sans pertes directes en vies humains pourraient créer d’innombrables quantités de chaos. Les acteurs de la menace à la recherche d’abuser des réseaux de villes intelligentes et de ses modèles de prise de décision sont vraiment des menaces viables, et il n’est pas loin de ce que nous avons vu se produire à l’usine d’eau de Floride hack en Février. Les possibilités d’attaque sont relativement infinies.

« Il est donc important de trouver le juste équilibre entre l’efficacité, la protection de la vie privée et la sécurité, il n’est donc pas surprenant que la CCSN établira des lignes directrices pour mettre la main sur certains des risques », a-t-il ajouté.