Les smart cities et la cybercriminalité : enjeux sociaux, politiques et sécuritaires des communes suisses

Auteur
Diego Sebastian Sanchez Gould, étudiant du MAS LCE
Thématique
Cybercriminalité et nouvelle technologie

Selon les prévisions des Nations Unies, deux tiers de la population mondiale habitera dans des villes d’ici 2050 1Nations unies, Département des affaires économiques et sociales. UN.ORG [en ligne]. 16.05.2018. [Consulté le 10.09.2021].  Disponible à l’adresse :  https://www.un.org/development/desa/fr/news/population/2018-world-urbanization-prospects.html . Ceci signifie que, dans les décennies à venir, les centres urbains devront faire face à un nombre croissant de problèmes liés à la production de biens et de matières premières, à l’approvisionnement en énergie, aux émissions de CO2 et même à la consolidation des services de santé et de sécurité à tous ceux qui vivent dans ces centres surpeuplés.

Dans ce contexte, et depuis une dizaine d’années déjà, un nouveau concept de développement des villes et des territoires a vu le jour. Lesdites villes intelligentes (smart cities) sont nées dans le but de créer des villes durables sur le plan économique, social et environnemental.

Il s’agit donc de villes dans lesquelles les technologies de l’information et de la communication (TIC) sont utilisées dans le but de les doter d’infrastructures qui garantiraient un développement durable, une utilisation plus efficace des ressources disponibles et une amélioration de la qualité de vie des citoyens 2Ville intelligente. Wikipédia : l’encyclopédie libre [en ligne]. Dernière modification de la page le 16.08.2021 à 21:46. [Consulté le 10.09.2021]. Disponible à l’adresse : https://fr.wikipedia.org/wiki/Ville_intelligente .

Ainsi, une ville intelligente exploite différents sous-systèmes afin d’être considérée comme telle. Par exemple :

  • Un sous-système de production et distribution d’énergie développés par les habitants eux-mêmes (communautés d’autoconsommation) 3Yverdon-les-Bains Energies. Yverdon-energies.ch [en ligne]. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.yverdon-energies.ch/professionnels/produits/electricite/optisolar-communaute-dautoconsommation-pro/ , une mise en place de réseaux intelligents interconnectés (smart grids) 4Confédération suisse, Office fédérale de l’énergie. bfe.admin.ch [en ligne]. Dernière modification 19.07.2021. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.bfe.admin.ch/bfe/fr/home/versorgung/stromversorgung/stromnetze/smart-grids.html , une mesure intelligente des données de consommation d’énergie de chaque utilisateur (smart metering) 5Ref. 4 effectuée à distance et en temps réel ;
  • Un sous-système d’infrastructures, avec des bâtiments domotiques respectueux de l’environnement, ainsi que des sous-systèmes de mobilité qui mettent à disposition des bornes de recharge publiques et privées pour les voitures et les vélos électriques 6TCS – Bornes de recharge publiques. TCS.ch [en ligne]. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.tcs.ch/fr/tests-conseils/conseils/mobilite-electrique/bornes-recharges-publiques.php ;
  • Un sous-système de capteurs intelligents ayant comme fonction la collecte d’absolument toutes les données produites pour alimenter les autres sous-systèmes et qui seront traitées et contrôlées par des TIC ;
  • Finalement, un sous-système humain, qui est, sans doute, la partie fondamentale d’une ville intelligente. Sans la participation active des citoyens, il n’est pas possible de mener à bien ces initiatives.

Les villes intelligentes offrent donc des énormes avantages pour les gestionnaires des administrations, leur permettant d’améliorer la définition et le contrôle des politiques publiques, ainsi que l’offre des services adaptés aux habitants.

La sécurité de l’information et les cyber-risques

Le projet d’un smart world n’est pas entièrement sans risque. Dans un rapport récent du Centre for Government Insigh de Deloitte, cette firme met en avant l’énorme problème de la gestion et de la protection des données qui concernent les villes intelligentes et dévoile comment les différentes plateformes reliées augmentent les risques de cyberattaques.

Selon les auteurs du rapport, «(…) la gouvernance des données peut être un problème épineux pour les villes, car elles doivent se demander si les données sont internes ou externes, si elles sont transactionnelles ou personnalisées, si les données transactionnelles sont collectées via des dispositifs IoT 7Internet of Things, en français Internet des Objets et comment les données sont stockées, archivées, dupliquées et détruites. En outre, en raison de l’absence de normes et de politiques communes, de nombreuses villes expérimentent avec de nouveaux fournisseurs et produits, ce qui crée des problèmes d’interopérabilité et d’intégration sur le terrain et exacerbe les cyber-risques.» 8PANDEY, Piyush, GOLDEN, Deborah, PEASLEY, Sean, KELKAR, Mahesh, 2019. Making smart cities cybersecure. Deloitte.fr [en ligne]. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www2.deloitte.fr/formulaire/telechargement/making-smart-cities-cybersecure .

Deux facteurs principaux sont soulevés. D’une part, l’aspect de l’intégration de différents dispositifs hétérogènes dans l’infrastructure technologique utilisée est remise en cause, entraînant des vulnérabilités de sécurité cachées dans l’ensemble de l’écosystème d’information. En conséquence de cela, des possibilités d’intrusion dans les systèmes par des cyber délinquants sont permises. D’autre part, la gestion et du traitement des données questionne.

En Suisse, les principes de base de la protection des données sont traités dans l’art. 13 de la Constitution fédérale (CstF) 9Constitution fédérale de la Confédération suisse du 18 avril 1999 (Cst ; RS 101). Confédération Suisse – Fedlex [en ligne] 18.04.1999. Etat au 07.03.2021. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.fedlex.admin.ch/eli/cc/1999/404/fr , dans les art. 28 ss. du Code civil (CC) 10Code civil suisse du 10 décembre 1907 (CC ; RS 210). Confédération Suisse – Fedlex [en ligne]. Etat au 01.01.2021. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.fedlex.admin.ch/eli/cc/24/233_245_233/fr et, plus particulièrement, dans la Loi fédérale sur la protection des données (LPD) 11Loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1). fedlex.admin.ch [en ligne]. 19.06.1992. Version au 01.03.2019. [Consulté le 20.09.2021] Disponible à l’adresse : https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/fr et leur ordonnance d’application (OLPD) 12Ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD ; RS 235.11). fedlex.admin.ch [en ligne]. 14.06.1993. Etat au 16.10.2012. [Consulté le 20.09.2021] Disponible à l’adresse : https://www.fedlex.admin.ch/eli/cc/1993/1962_1962_1962/fr .  

Un guide relatif aux mesures techniques et organisationnelles de la protection des données a été publié en 2015 par le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans le but d’aider à la mise en œuvre des mesures techniques et organisationnelles qui assurent une « protection optimale et appropriée des données personnelles » 13Confédération Suisse, Préposé fédéral à la protection des données et à la transparence. edoeb.admin.ch [en ligne]. 08.2015. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.edoeb.admin.ch/dam/edoeb/fr/dokumente/2018/TOM.pdf.download.pdf/guideTOM_fr_2015.pdf . Le guide touche différents aspects primordiaux, comme les concepts des autorisations, des rôles et la gestion des appareils mobiles, ainsi que le cryptage pour le transport, le stockage, l’archivage et l’évaluation. La simple lecture de ce guide permet de prendre conscience des énormes enjeux juridiques existants dans la récolte massive de données personnelles.

Finalement, dans les dispositions pénales (cf. art. 34 et 35 LPD), des sanctions sont prévues en cas de non-respect intentionnel des obligations de renseigner, de déclarer et de collaborer, ou en cas de violation du devoir de discrétion, et ce, uniquement sur plainte. Toutes les autres actions concernant les atteintes à la personnalité relèvent du juge civil, conformément à l’art. 15 LPD, dans le cadre d’une procédure usuelle de droit civil 14Ref. 9 .

La commune de Rolle et un bain de réalité

Entre le 21 et le 25 d’août 2021, pendant que nous rédigions cet article, différents médias nous apprenaient qu’une commune dans le canton de Vaud avait été victime d’une cyberattaque. Quelques heures plus tard, l’apparition des données soustraites des ordinateurs de cette commune sur le darknet faisait la Une des journaux et les commentaires à la radio et à la télévision s’étaient multipliés.

L’ampleur des répercussions de cette affaire attire l’attention et donne lieu aux questions suivantes :

Est-ce lié au fait que ce soit une commune l’objet de l’intrusion ? Au fait que les données aient été quelques heures après déjà disponibles sur le darknet ? Au fait que la commune avait une méconnaissance totale de la situation ? Ou même au fait que la commune n’avait pas un plan de crise et de communication face à une situation pareille ? Il se pourrait aussi que ce soit même la somme de tous ces éléments ?

Une chose semble certaine : il existe une méconnaissance générale de l’ampleur que les cybermenaces ont pris dans le quotidien de nos vies et ceci depuis quelques années déjà.

Selon les statistiques du Centre national pour la cybersécurité (NCSC), 378 cyber-incidents ont été signalés en moyenne par semaine en Suisse depuis le début de l’année en cours et « il s’agit surtout de cas qui n’ont pas causé de dégâts, car les auteurs des annonces ont reconnu rapidement les dangers» 15Statistiques cybersécurité – Confédération Suisse, Centre nationale pour la cybersécurité. NCSC.admin.ch [en ligne]. 10.10.2021 [Consulté le 10.10.2021]. Disponible à l’adresse : https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/aktuelle-zahlen.html . Il est clair qu’aux chiffres mentionnés, il faut ajouter les cas sans dégâts qui n’ont jamais été dénoncés, ainsi que les situations qui ont fini par produire de soustractions de données et qui, afin d’éviter des répercussions avec, comme conséquence, une détérioration d’image, n’ont jamais été dénoncés par les victimes.

Il est légitime donc de se demander quelles sont les mesures à prendre pour éviter d’être victime d’une attaque et comment les communes se préparent pour dissuader les cyberdélinquants et pour les empêcher de pénétrer dans leurs systèmes ? Comment les villes et les communes vont faire pour concilier un futur de plus en plus connecté avec la protection des données de ses citoyens et avec la protection de ses infrastructures critiques ?

Jusqu’à aujourd’hui, les communes, en général, n’avaient pas d’informaticiens ou des départements informatiques préparés pour d’autres activités que l’installation des logiciels, le fonctionnement de différents périphériques, l’identification des causes des dysfonctionnements et pannes des ordinateurs et du réseau, etc. Dans certains cas, ce sont même des services effectués par des tiers et selon des mandats spécifiques.

Afin de nous faire une idée plus claire sur la stratégie numérique des communes et les budgets alloués à la sécurité informatique, nous avons mené une recherche documentaire sur les différents sites web des communes vaudoises et nous avons pu constater :

  • Un manque d’information sur la stratégie numérique ou de cybersécurité déployé par les communes ;
  • La partie des budgets allouée à l’informatique n’est pas très conséquente ;
  • Les amortissements des parcs informatiques représentent une grande partie de leurs budgets ;
  • Le budget des ressources humaines dans l’informatique est trop faible pour garantir un niveau de compétences et un nombre d’effectifs nécessaires à la sécurité des systèmes informatiques.

Ce qui est intéressant à analyser dans l’affaire de cyber piratage à la commune de Rolle, est que, paradoxalement, le Canton de Vaud est l’un des cantons qui a fait le plus d’efforts dans ces dernières années pour mettre en place un dispositif de diminution des risques relatifs à la sécurité de l’information et à la cybersécurité. Avec une stratégie en deux étapes qui a commencé en 2009, le canton a déjà investi (et a prévu de continuer le faire) plusieurs millions de francs « afin de renforcer la sécurité des systèmes d’information de l’administration en apportant une attention particulière à la protection des données personnelles, sensibiliser les utilisateurs en renforçant leur rôle de « firewall humain », consolider l’architecture technique et la gestion des identités numériques et leurs accès ainsi que à améliorer les capacités de détection et de réaction du centre opérationnel de sécurité » 16Etat de Vaud, 2019. L’Etat intensifie sa lutte contre les cyberrisques pour offrir à la population un environnement numérique de confiance. VD.CH [en ligne]. 26.08.2019. [Consulte le 10.09.2021]. Disponible à l’adresse : https://www.vd.ch/toutes-les-autorites/departements/departement-des-infrastructures-et-des-ressources-humaines-dirh/direction-generale-du-numerique-et-des-systemes-dinformation-dgnsi/actualites/news/11964i-letat-intensifie-sa-lutte-contre-les-cyberrisques-pour-offrir-a-la-population-un-environneme/ .

Par ailleurs, il faut signaler aussi que le canton est pionnier dans l’établissement d’une loi garantissant la protection des données collectées et traitées par les différents organismes cantonaux et communaux. Cette loi donne aux habitants la garantie de respect et de surveillance des informations personnelles qui leur appartiennent et qui sont dans les mains de l’Etat 17Loi sur la protection des données personnelles du Canton de Vaud du 11 septembre 2007 (LPrD ; BLV 172.65). 11.09.2007. Version au 01.10.2018. [Consulté le 10.09.2021]. Disponible à l’adresse : https://prestations.vd.ch/pub/blv-publication/actes/consolide/172.65?key=1543934892528&id=cf9df545-13f7-4106-a95b-9b3ab8fa8b01 . Mais encore une fois, nous pouvons nous questionner sur le niveau de conscientisation des élus et des autorités des communes et des villes de la responsabilité zlégale des données de leurs citoyens.  

Conclusion

Les actes récents de cyber piratage ne représentent que la partie visible d’un iceberg, ceux qui prennent un statut public et qui sont vécus comme une nouveauté désagréable. La réalité est qu’il existe en Suisse un besoin urgent de définition d’une stratégie commune entre la Confédération, les cantons et les communes pour se préparer à faire face à cet nouvel immense champ d’action de la criminalité que représente le cyberespace.

Outre l’investissement dans la sécurisation des systèmes d’information et la formation des collaborateurs à tous les niveaux, il est clair que l’articulation et la coordination entre les différents niveaux de l’Etat présentent un terrain d’enjeux politiques complexe. La Confédération, les cantons et les communes ont donc un travail très important à entreprendre, ensemble, afin de concilier le respect de la souveraineté et l’autonomie à chaque niveau, avec le bénéfice de la protection des données et de la sauvegarde du droit du respect à la vie privée de ses habitants, ainsi que la protection de ces infrastructures critiques.

Bibliographie supplémentaire

de FRÉMINVILLE, M., 2019. La cybersécurité et les décideurs – sécurité des données et confiance numérique. Great Britain : ISTE Editions Ltd.

GHERNAOUTI, S., 2019. Cybersécurité – Analyser les risques, mettre en œuvre les solutions. 6e éd. Malakoff : Dunod.

Sites web consultés

ANTONOFF, L., 2021. Des pirates informatiques ont fait chanter Rolle. 24Heures [en ligne].  20.08.2021. [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.24heures.ch/des-pirates-informatiques-ont-fait-chanter-rolle-316332648167

BESSON, R., 2021. Après Rolle, le canton de Vaud réfléchit à aider les communes tout en respectant leur souveraineté. La Liberté [en ligne]. 02.09.2021. [Consulté le 03.10.2021]. Disponible à l’adresse : https://www.laliberte.ch/news/regions/vaud/la-confiance-numerique-est-cruciale-617099?up=true

BRUMAGHIN, E., MARSHALLET, J., ZOBEC, A., 2021. Vice Society Leverages PrintNightmare In Ransomware Attacks. Talosintelligence.com [en ligne]. 12.08.2021. [Consulté le 08.09.2021]. Disponible à l’adresse : https://blog.talosintelligence.com/2021/08/vice-society-ransomware-printnightmare.html

SEYDTAGHIA, A., 2021. Nouvelles révélations sur le piratage massif subi par Rolle. Le Temps [en ligne] 29.08.2021. [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/nouvelles-revelations-piratage-massif-subi-rolle

SEYDTAGHIA, A., 2021. Comment j’enquête sur le piratage de Rolle. Le Temps [en ligne]. 06.09.2021. [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/jenquete-piratage-rolle?utm_source=mail&utm_medium=share&utm_campaign=article

SEYDTAGHIA, A., 2021. Le piratage de Rolle est beaucoup plus grave qu’annoncé. Le Temps [en ligne]. 25.08.2021.  [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/exclusif-piratage-rolle-beaucoup-plus-grave-quannonce?utm_source=mail&utm_medium=share&utm_campaign=article

SEYDTAGHIA, A., 2021. Après le piratage massif, Rolle admet sa « naïveté ». Le Temps [en ligne]. 26.08.2021. [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/apres-piratage-massif-rolle-admet-naivete

SEYDTAGHIA, A., 2021. « On a tout fait à l’arrache » : récit d’une soirée entre les habitants de Rolle et la municipalité piratée. Le Temps [en ligne]. 29.09.2021. [Consulté le 30.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/on-larrache-recit-dune-soiree-entre-habitants-rolle-municipalite-piratee

SEYDTAGHIA, A., 2021. Cyberattaque à Rolle : un signal d’alarme pour les communes suisses. Le Temps [en ligne]. 24.08.2021. [Consulté le 02.09.2021]. Disponible à l’adresse : https://www.letemps.ch/opinions/cyberattaque-rolle-un-signal-dalarme-communes-suisses?utm_source=mail&utm_medium=share&utm_campaign=article

SEYDTAGHIA, A., 2021. La Suisse est négligente face aux cyberattaques, alerte Berne. Le Temps [en ligne]. 23.08.2021. [Consulté le 02.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/suisse-negligente-face-aux-cyberattaques-alerte-berne

WIETLISBACH, O., SCHURTER, D., 2021. Rolle a été piratée par des hackers, données volées sur le darknet. Watson.ch [en ligne]. 21.08.2021. [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.watson.ch/fr/suisse/vaud/323755680-vaud-rolle-a-ete-piratee-par-des-hackers-donnees-volees-sur-le-darknet