Bien qu’ultra-connectée, la ville intelligente d’aujourd’hui souffre d’un déficit chronique de cybersécurité au niveau de ses équipements de mobilité urbaine. Alors que les acteurs du secteur de la mobilité urbaine sont de plus en plus divers, zoom sur l’augmentation de la fréquence et l’intensité des cyberattaques qui mettent à mal un parc de mobilité connecté, mais vulnérable. Premier papier d’une série d’articles consacrés aux enjeux de cybersécurité dans les villes connectées.
Ce matin de juin 2023, à Olsztyn, en Pologne, la municipalité est sur le pont : les billetteries des transports en commun sont à l’arrêt, la circulation est ralentie sur de nombreux axes de la ville et le système de gestion des feux de circulation fonctionne en mode dégradé. La veille, une cyberattaque a ciblé les infrastructures de transport connectées de cette ville polonaise qui se présente comme l’une des smart cities les plus abouties du pays.
À Olsztyn comme dans d’autres villes dites intelligentes, la mobilité urbaine est une préoccupation de plusieurs acteurs : le parc compte à la fois les opérateurs historiques de transports publics, les startups de mobilité douce ainsi que les moyens de transport privés (dont l’automobile). Connecter l’ensemble de ces services est donc nécessaire pour rendre concrète la multi-modalité. Mais l’un des enjeux majeurs d’aujourd’hui est que la plupart des services de transport sont insuffisamment protégés contre les cyber-menaces. C’est l’une des principales conclusions d’un rapport de l’ENISA, l’agence européenne de la cybersécurité, qui souligne la vulnérabilité de ce secteur face aux cyberattaques.
Les enjeux de la cybersécurité dans la mobilité urbaine
Aujourd’hui, la mobilité urbaine connectée permet notamment d’optimiser les flux de circulation. Un des cas les plus connus est celui de Londres, avec les péages à l’entrée de la ville, mais cela peut aussi concerner les feux de circulation ou autres caméras de vidéosurveillance, qui sont équipés de capteurs intelligents permettant de récolter des données de circulation. L’ensemble de ces services connectés vise en particulier à réduire les effets de congestion et à mieux organiser la circulation lors des moments de pics de circulation.
Les interfaces connectées sont également présentes sur la majorité des services de mobilité douce, au niveau des bornes de prise en charge comme sur les applications qui servent à réserver les équipements, vélos ou trottinettes. Les réseaux connectés offrent alors la possibilité de coordonner les différentes régies de transport entre elles pour faciliter l’interopérabilité des moyens de transport. L’un des axes centraux des politiques urbaines en matière de mobilité concerne ainsi la MaaS (ou mobility-as-a-service).
Ces innovations posent toutefois des défis nouveaux en matière de cybersécurité. Car ville connectée rime souvent avec vulnérabilités. En 2022, les cyberattaques opportunistes visant les infrastructures de transport connectées des villes ont explosé, souligne ainsi l’ENISA. Mais elles ne sont pas les seules : des attaques, également basées sur l’exploitation de brèches de sécurité, peuvent cibler les bornes de partage de vélos ou de trottinettes en accès libre pour siphonner les données personnelles et les informations bancaires des utilisateurs, quand encore d’autres, comme les malwares ou attaques DDoS, ciblent explicitement les services de mobilité urbaine. Dans le secteur des transports, si les vulnérabilités concernent « en particulier les systèmes de technologie de l’information (IT) » comme le souligne l’ENISA, cela ne veut pas pour autant dire que les réseaux OT ne seraient pas visés.
L’arme favorite des cyber-criminels demeure, comme dans d’autres secteurs, le ransomware. Ces attaques ont augmenté de 25% en 2022, note l’agence européenne. Et ce à travers le monde : Allemagne en mai 2017, Danemark en mai 2018 et novembre 2022, Italie en mars 2022, ou encore Pologne en août 2023 ; si les compagnies ferroviaires sont souvent pointées du doigt lorsqu’il est question de cyberattaques dans l’univers du transport, c’est bien tout le secteur qui est concerné.
Rétrospective des cyberattaques ayant affecté la mobilité urbaine
De telles cyberattaques sont potentiellement dramatiques. Une attaque visant les feux de circulation peut, par exemple, conduire à ce que tous les feux passent au vert au même moment, et générer de graves accidents de circulation, comme le prophétise le site spécialisé a/o proptech. Une projection qui n’a pas échappé aux chercheurs de l'université du Michigan. Dès 2014, une équipe réussissait à pirater le flux de données non chiffrées pour contrôler la couleur des feux de circulation, perturbant l’affichage et causant de ce fait des embouteillages. Cette expérience a servi de cas d’école pour que d’autres villes mettent en œuvre un principe de segmentation entre les réseaux reliés aux feux de signalisation et les réseaux généraux des transports des villes.
Outre les cyberattaques visant directement le système de mobilité urbaine, les tentatives de sabotages ou de détournement de services de mobilités partagées constituent aussi une menace bien réelle qui ne concerne pas que les métropoles mondiales ! Entre 2019 et 2022, la France a ainsi connu son lot de malveillances visant les transports de plus petites métropoles, comme ce fut le cas à Sarrebourg (Moselle), Sequedin (Nord), Huez (Oisans), La Croix-Valmer (Var) ou encore à Nuits-Saint-Georges (Côtes-d’Or). L’un des derniers exemples en date concerne cette fois-ci une métropole plus importante : le service Île-de-France Mobilités, victime d’un piratage ayant conduit au siphonnage de 4 000 adresses email et mots de passe d’utilisateurs, comme le rapporte L’Usine Digitale.
Et ce type de cyberattaque prend encore une autre dimension dès lors qu’elle cible une mégapole. Au mois d’avril 2023, la régie des transports de l’Uttar Pradesh, un État du nord de l’Inde, signale une cyberattaque ciblant son système d’émission de tickets. Bloqué pendant 10 jours, le système ne permet pas aux usagers de régler leurs tickets et la municipalité se voit privée d’une part substantielle de ses revenus, rapporte le site CNBC. Au mois d’août 2023, c’est l’un des terminaux de gestion des trains de la municipalité de Chicago qui fait l’objet d’une attaque paralysant le réseau pendant plusieurs heures. En plus de la perturbation du fonctionnement du système, le groupe de cyber-criminels Akira a revendiqué le vol de 85 gigas de données sensibles.
Autre type de risque : la compromission des systèmes de navigation ou de stationnement. Sur ces derniers, les bornes de rechargement des véhicules constituent des cibles de choix pour des intrusions. Comment, dès lors, mieux protéger les infrastructures de transport de la Smart City ?
Comment sécuriser la mobilité des villes connectées ?
L’hétérogénéité des équipements et des acteurs est un obstacle majeur pour le déploiement d’une stratégie de cybersécurité harmonieuse, notait Khobeib Ben Boubaker, Head of Industrial Security Business Line Stormshield, dès 2021, dans un précédent papier sur la protection de la smart city. À cela s’ajoute la diversité des normes et des référentiels de sécurité (SRI2, RGPD, en attendant l’application de NIS2…).
Toutefois, des stratégies existent déjà en matière de cyber-défense des villes connectées, dans la lignée de l’approche d’une défense en profondeur. La cartographie précise et exhaustive des différents systèmes et équipements liés à la question de la mobilité urbaine est une première étape qui permet de réunir tous les acteurs concernés. L’installation de différents niveaux de sécurité (gestion des droits d’accès physiques et numériques, authentification à multi-facteurs, segmentation des réseaux, gestion des sauvegardes, chiffrement des données…) en découlera par la suite. L’utilisation de solutions de cybersécurité certifiées ou qualifiées, en lien avec les recommandations de l’ANSSI en France, permet également de se mettre en conformité avec les réglementations européennes, comme le RGPD relatif à la protection des données personnelles et la directive SRI2 relative à la cyber-résilience.
L’approche d’une cybersécurité de la ville d’aujourd’hui et de demain peut désormais aller jusqu’à embarquer des solutions de sécurité directement dans les équipements de la mobilité urbaine. Attention à bien prendre en compte les particularités de ces environnements, souvent contraints, comme la température, l’humidité ou encore la poussière. Faire appel à des solutions de sécurité adaptées est la seule manière de protection efficacement ces équipements, loin des baies informatiques. Ces solutions, interopérables, devront remonter le plus de données possibles directement depuis le terrain. Des données qui seront ensuite analysées depuis un SOC, dont le rôle sera de lire les événements de sécurité des différents systèmes d’informations des transports locaux, et d’y identifier des potentiels débordements, dysfonctionnements ou menaces.
Mais cette une mobilité urbaine plus sécurisée ne pourra être réellement effective qu’avec une collaboration efficace entre acteurs de la cybersécurité, industriels et collectivités. La ville de demain est déjà mobile et connectée ; ne reste plus qu’à la rendre sécurisée.
