La 5G est la cinquième génération de communications mobiles. Les dirigeants locaux de communes et d’intercommunalités peuvent y voir des solutions innovantes de services urbains : eau, environnement et prévention des risques, éclairage, gestion des déchets, transports et mobilité, voirie et stationnement, efficacité énergétique des bâtiments… Ils ont surtout un devoir de vigilance et d’exemplarité face à l’amplification des menaces cyber résultant de cette technologie.

La ville connectée, une solution technologique à haut risque.

Pour l’Agence nationale des fréquences, la 5G présente la particularité d’intégrer des cas d’usages, contrairement à la 4G. Cela signifie que la 5G permettra le développement des services de télémédecine, de la réalité virtuelle, des voitures autonomes, de l’agriculture connectée, mais aussi des caméras de sécurité, le tout via votre smartphone.

Or, la dématérialisation des réseaux filaires, remplacés par la 5G, et le développement de logiciels pour faire fonctionner des objets connectés multiplient les points de contact pour acheminer le trafic, fragilisant ainsi toute l’infrastructure 5G.

Contrôler la cybersécurité tout au long de la chaîne est périlleux, et une seule zone non sécurisée peut en compromettre d’autres parties du réseau, surtout si la 5G devient une infrastructure critique pour les gouvernements et les grandes entreprises. C’est le cas dans une ville connectée où la 5G pourrait permettre la gestion des réseaux d’énergie et d’eau, des systèmes de santé, des transports, etc… Elle pourrait alors devenir une cible pour acteurs malveillants.

D’ici 2030, on peut donc envisager une cyberattaque de grande ampleur qui pourrait temporairement paralyser l’économie activités d’un pays ou d’un groupe de pays, voire les déstabiliser politiquement [1]. Cette attaque pourrait être menée par d’autres pays ou par des hackers autonomes ou des coalitions. Cela devrait conduire les acteurs publics et privés, même l’opinion publique, à chercher des alternatives pour sécuriser les réseaux.

Quels risques cyber pour les citoyens ?

La 5G entraîne une dépendance à l’hyper-connectivité : imaginez une seule seconde qu’un piratage, un hameçonnage ou un rançongiciel frappe le système de distribution de l’eau et les feux de circulation sur votre commune. Vous voilà à la fois coupé d’une ressource essentielle et mis en danger dans le trafic.

Le premier risque est celui de la perturbation du système connecté. Mais les dégâts sont bien plus larges qu’il n’y paraît.

La captation de données des citoyens ou dans l’espace public n’est pas anodine, c’est d’ailleurs ce qui a conduit la CNIL et le Conseil d’Etat à empêcher la société JC Decaux de pister les piétons sur le parvis de La Défense à Paris.

En effet, le deuxième risque d’un développement de villes connectées est la menace sur la confidentialité de nos activités en tant que citoyens. Les données captées sont techniques (identifiants SSID et adresses MAC des points d’accès) mais concernent potentiellement des données de connexion à des sites Web, mots de passe de messagerie, adresses de courrier électronique, échanges de courriels révélant notamment des informations sensibles sur l’orientation sexuelle, l’appartenance politique ou la santé des personnes.

L’altération ou la destruction des infrastructures réseaux qui fondent la ville connectée mettent en péril son intégrité. Les machines à voter sont utilisées sur le territoire national depuis 2004, leur piratage pourrait remettre en question la sincérité du vote et ruiner la confiance des citoyens dans ces équipements. Alors que la France se dote d’une carte d’identité numérique, sa sécurisation devrait simultanément s’enrichir d’une formation aux cyber-risques spécifiques aux collectivités territoriales.

Vous l’avez compris, plus un Etat s’engage sur la voie du numérique, plus il attise le cybercrime ! [2].

Il existe d’autres conséquences indirectes mais néanmoins critiques d’un défaut de gouvernance des données de la ville connectée. La désorganisation du plan de circulation (par exemple à cause de Waze [3]) et l’endommagement des chaussées sont déjà constatés dans plusieurs villes de France.

Mais surtout, souhaitons-nous que la police soit assurée dans l’espace public comme dans un centre commercial par des prestataires privés comme c’est le cas à Londres et New York ? La ville connectée est-elle souhaitable ? Quelle est sa valeur ajoutée pour les citoyens ? L’accroissement de l’illectronisme et ses conséquences sur l’accès aux droits et à la justice se font déjà ressentir. Que restera-t-il de la démocratie locale ?

Comment mobiliser les élus locaux et gérer les risques numériques ?

Pour que la transformation numérique de la cité se fasse en confiance, les communes et intercommunalités doivent montrer qu’elles ont anticipé les risques cyber en se renforçant sur le plan technique, organisationnel, humain et juridique. Le développement du télétravail en raison de la crise sanitaire mondiale de Covid-19, les a probablement amenées à effectuer des choix stratégiques et budgétaires.

Sur le plan juridique, c’est un audit des clauses contractuelles des marchés de prestations informatiques qu’il faut mener. Concernant le facteur humain, qui reste le maillon faible de la cybersécurité en organisation, seule une véritable politique de sécurité des systèmes d’information et de protection des données sensibiliseront efficacement les agents. Enfin, un plan de réponse sur incident (outil de gestion du risque réalisé) est vital pour permettre la continuité et la reprise d’activité.

L’intercommunalité est un échelon pertinent pour la mise en place d’un dispositif financier d’accompagnement pour une gouvernance partagée entre les communes.

Elle offre aussi la mutualisation des ressources au profit des communes plus petites qui ne sont pas exclus des dispositifs numériques dans un souci d’équité territoriale.

Il existe déjà plusieurs syndicats mixtes numériques [4].

Nathalie Devillier Docteur en Droit