Le concept de villes intelligentes fortement connectées et pilotées par Internet, hérissées d’appareils photo numériques et de capteurs, aurait peut-être été le rêve de grandes entreprises de technologie comme Google et Amazon cherchant à recâbler l’infrastructure urbaine à leur propre image, mais la communauté du renseignement Five Eyes, y compris les signaux australiens Direction, vient de lancer un nouvel avertissement sérieux sur les risques majeurs que posent désormais les technologies comme l’Internet des objets (IoT) et la 5G.

Dans un mise à jour majeure des conseils précédemment destinés au déploiement de la 5G réseaux, les agences Five Eyes disent maintenant à tout le monde, des grands transporteurs aux maires des villes et aux opérateurs de traitement des eaux usées, de revoir sérieusement la notion fortement pompée de connecter tout depuis les poubelles aux feux de circulation sur le net.

« L’intégration des services publics dans un environnement connecté peut accroître l’efficacité et la résilience de l’infrastructure qui soutient la vie quotidienne de nos communautés. Cependant, les communautés qui envisagent de devenir des «villes intelligentes» devraient évaluer et atténuer en profondeur le risque de cybersécurité qui accompagne cette intégration », ont déclaré les cyber-agences Five Eyes, dont l’Australie, dans un communiqué conjoint publiant de nouvelles directives.

Bien que cela puisse sembler assez bon sens et assez convivial, le nouveau guide conjoint, Cybersecurity Best Practices for Smart Cities, est en fait le coup de sifflet de la cour d’école que les tsars de la cybersécurité se méfient du nombre de nouvelles menaces puissantes introduites en connectant des réseaux autrefois discrets qui ont poursuivi leur propres protocoles propriétaires pour communiquer.

Les organismes qui publient le guide sont l’Australian Cyber ​​Security Center (ACSC), l’US Cybersecurity and Infrastructure Security Agency (CISA), l’US National Security Agency (NSA), le US Federal Bureau of Investigation (FBI), le United Kingdom National Cyber ​​Security Center (NCSC UK), le Centre canadien pour la cybersécurité (CCCS) et le New Zealand National Cyber ​​Security Centre (NCSC NZ). Autrement dit toute la bande.

La CISA américaine semble particulièrement concernée.

« L’initiative des communautés connectées (CCI) représente un changement d’orientation de la CISA, passant du soutien exclusif à la sécurité et à la résilience des réseaux 5G à l’examen complet des technologies dans lesquelles ces réseaux sont censés permettre », a déclaré la CISA dans son avis.

« L’intégration d’un plus grand nombre de systèmes d’infrastructure auparavant séparés dans un environnement de réseau unique élargit la surface d’attaque numérique, augmentant les possibilités pour les acteurs de la menace d’exploiter avec succès une vulnérabilité pour un accès initial, de se déplacer latéralement sur les réseaux et de provoquer des perturbations en cascade et intersectorielles de l’infrastructure. opérations. »

La publication des conseils et des orientations ajoute également une nouvelle dimension à la récente vague d’attaques d’anxiété liées à la sécurité nationale concernant la prolifération de caméras vidéo numériques bon marché et compatibles Internet en provenance de Chine, comme Hikvision, qui ont fait surface cette année.

Le géant chinois des télécommunications Huawei a également été exclu de la participation à la construction du réseau national à large bande australien et au déploiement national de la 5G.

« Les technologies des villes intelligentes offrent des opportunités pour des communautés plus innovantes et durables, mais elles élargissent également la surface d’attaque et les risques pour notre sécurité et nos infrastructures critiques », a déclaré Abigail Bradshaw, responsable du Centre australien de cybersécurité.

«Ces conseils aident les communautés avant-gardistes à intégrer en toute sécurité les nouvelles technologies dans les infrastructures existantes, garantissant la résilience et la protection des données, des systèmes et des infrastructures interconnectées dont nous avons besoin pour notre vie quotidienne et nos activités.»

Les risques énumérés dans les directives incluent une dépendance excessive à l’égard des fournisseurs pour se procurer et intégrer du matériel et des logiciels qui relient les opérations d’infrastructure via des connexions de données.

« Les fournisseurs de TIC fournissant des technologies de ville intelligente doivent adopter une approche holistique de la sécurité en adhérant à des pratiques de développement sécurisées dès la conception et sécurisées par défaut. Les produits logiciels développés conformément à ces pratiques réduisent la charge des juridictions locales aux ressources limitées et augmentent la base de cybersécurité sur les réseaux de villes intelligentes.

Le recours à des fournisseurs uniques pour les déploiements de villes intelligentes est également appelé.

« Le risque d’un seul fournisseur de ville intelligente pourrait être beaucoup plus élevé que dans d’autres chaînes d’approvisionnement ou opérations d’infrastructure TIC, étant donné les interdépendances accrues entre les technologies et les services de base ou vitaux », indique l’avertissement Smart Cities.

« Les organisations doivent examiner attentivement les risques de chaque fournisseur pour éviter d’exposer les citoyens, les entreprises et les communautés à la fois à du matériel et des logiciels potentiellement peu fiables et à l’exploitation délibérée des vulnérabilités de la chaîne d’approvisionnement en tant que vecteur d’attaque. » Un prototype de ville intelligente très médiatisé est le Sidewalk Labs de Google, qui cible les propriétaires de bâtiments commerciaux, les opérateurs de parking, les concepteurs et architectes de bâtiments et les fournisseurs d’énergie et de CVC.

Google avait fortement vanté un développement urbain au bord de l’eau à Toronto comme son projet phare Smart City qui comprenait une série de technologies d’automatisation et augmentées pour aider à réduire les émissions de carbone, mais a réduit l’entreprise en 2020 en invoquant les pressions du COVID.