Numérique / Territoires

TRIP de Printemps 2025 - Atelier CyberIoT, bientôt le final ? Avril 2025

Comment sécuriser le dernier maillon du capteur à l'antenne ? Au TRIP d’automne 2023, quatre collectivités engagées dans le déploiement de l’Internet des objets (IoT) pour les territoires durables et connectés avaient dressé un premier État de l’art de la cybersécurité dans l’IoT, aux côtés de l’ARCEP et de l’Alliance pour la confiance numérique. 

Initié début 2023, le groupe de travail interne à l’Avicca rassemblait alors quatre collectivités et deux industriels partenaires : La Fibre 59-62, la ville de Rennes, SIEL TE et le SIPPEREC, d’une part, Nomosense et Nokia, d’autre part. 

Résultats : des exemples de piratages ou problèmes techniques assez divers :

  • Hacking des feux de circulations, usine d’eau de Floride, pipeline…
  • Capteur prévu pour 10 ans qui émet sans arrêt et tombe en panne au bout 1,5 ans !
  • Capteur qui émet sans arrêt et sature la gateway
  • Capteur dont l’identifiant permet d’accéder à ses spécificités techniques, etc.

Et en réponse, peu de solutions spécifiques, malgré l’interpellation de l’ANSSI, de Cybermalveillance.gouv.fr ou du Clusif.

Pour autant, ces travaux se sont prolongés au sein du Comité stratégique de filière « Infrastructures numériques » essentiellement avec les industriels, en partenariat avec InfraNum. Car les problèmes soulevés dès l’origine restent en suspens : il ne faudrait pas que le déploiement de capteurs dans nos territoires constitue une nouvelle voie de cyberattaque. Il ne faudrait pas que ça rende nos systèmes d’information plus vulnérables. Pire, il ne faudrait pas que ça fragilise des infrastructures essentielles telles que la distribution de l’eau, la circulation routière, le chauffage urbain ou la qualité de l’air dans nos bâtiments, etc.

Concrètement, InfraNum et l’Avicca ont mené depuis plusieurs mois une série d’entretiens, orientés essentiellement vers les AMO (Artelia, ON-X), opérateurs (Orange), intégrateurs (Sogetrel, Equans), éditeurs de plateforme (Eridanis, Synox) et équipementiers (Lacroix,  Watteco, Tektelic, Birdz). Pour en tirer les premiers enseignements, l’Avicca propose un atelier sur le sujet durant le colloque TRIP de Printemps, en partenariat avec InfraNum et Déclic.

Agnès Le Meil, Directrice des études InfraNum viendra accompagnée de quelques-uns des membres de la fédération pour exposer la méthode de travail, les questions posées, les réponses et quelques anecdotes. 

Jérôme Lamache, Directeur Services numériques aux territoires de Manche Numérique, conclura les échanges en évoquant ce sujet émergent dans les OPSN, réunis au sein de Déclic.

Rappelons que notre objectif commun est d’aboutir à une fiche synthétique sur :

  • comment s’initie la stratégie cyberIoT, avec qui ?
  • quelles en sont les principales étapes, les points clés ?
  • quelles clauses précises intégrer dans les cahiers des charges ?
  • à quel niveau se situent les risques d’attaque ?
  • quel coût supplémentaire prévoir pour la cyber ?
  • quelles recommandations pour les partenaires du projet ?

 

Rendez-vous à l’atelier intitulé « CyberIoT : ressemblances et différences avec la SSI (sécurité du système d’information) », le mercredi 14 mai entre 10h45 et 12h15, à l’Institut Pasteur (75015), uniquement en présentiel.