Un petit déjeuner (virtuel) de l’Observatoire du Forum International de la Cybersécurité consacré aux rapports entre innovation et sécurité, s’est tenu le 3 mars. Cette rencontre était consacrée aux territoires connectés, smart cities et smart buildings.
« Quand on parle de territoire connecté, on se doit forcément de se poser la question de la résilience : quand on introduit un objet ou un usage nouveau dans un espace, ne va-t-il pas être le maillon faible, provoquer une régression ? Cette réflexion doit responsabiliser tous ceux qui doivent coopérer autour des espaces connectés ». En introduction du petit déjeuner virtuel organisé par l’Observatoire du FIC en partenariat avec Alliancy, le Général Watin-Augouard, fondateur du Forum International de la Cybersécurité, a pointé l’étendue de la problématique cyber quand on aborde le sujet des territoires connectés, qu’ils soient « smart cities » ou « smart countries » (les campagnes connectées), voir même seulement « smart buildings ».
@FIC_eu aujourd’hui smart building smart city# au programme de L’observatoire FIC animé par @sylvainfievet d’@Alliancy_lemag. J’ai rappelé en ouverture qu’il n’y avait pas que les villes. Vive nos campagnes connectées! pic.twitter.com/kxZbE1hCYQ
— Watin-Augouard (@augouard) March 3, 2021
Une fois n’est pas coutume, l’Observatoire n’avait pas réuni des experts de la cybersécurité autour de la table virtuelle. Objectif : donner la parole à ceux qui innovent en faveur de ces territoires connectés et cherchent à en libérer les usages… et les interroger sur leur rapport à la sécurité.
Quelle gouvernance pour des écosystèmes de plus en plus complexe ? Quelles responsabilités entre les acteurs qui interviennent dans la chaîne ? Et quel équilibre entre recherche d’innovation et garantie de confiance pour les usagers des territoires ? Ces questions étaient au cœur du débat animé par Sylvain Fievet, directeur de la publication d’Alliancy.
Enthousiasme pour l’innovation et la data
« Nous avons enquêté sur la maturité des métropoles française sur ces sujets, en partenariat avec Syntec Numérique » a souligné Philippe Sajhau, VP et Metropolitan Program Leader d’IBM, ainsi qu’ancien élu local, avant de préciser « leurs 4 drivers majeurs sont l’inclusion en premier, c’est-à-dire créer un numérique inclusif et favoriser l’inclusion par le numérique ; puis la réduction de la pollution et de la consommation d’énergie ; ensuite, l’objectif est l’amélioration des services fournis aux usagers. L’attractivité économique, longtemps citée en numéro un, n’est donc plus le seul « Graal ». ». Pour illustrer concrètement ces innovations recherchées par les territoires, le spécialiste a décrit un cas d’usage à Stockholm en Suède, où une plateforme de recueil des données transverses permet de coordonner les travaux dans la ville, afin d’éviter qu’une rue soit éventrée, encore et encore, par les initiatives des différents services publics ou privés.
Cet enthousiasme renforcé depuis quelques années pour travailler la data et innover rapidement avec, est confirmé par Mathieu Lafarge, Directeur de la Stratégie et de l’Observatoire de la Communauté urbaine Grand Paris Seine & Oise. Pour lui, les territoires ne sont pas encore les rois de l’innovation et des nouveaux usages, mais l’envie est bien là. Cependant, ce n’est pas sans conséquence, affirme le responsable.
« Quels risques vont poser les énormes de masse de données produites par le territoire et nos liens avec nos partenaires territoriaux avec qui nous échangeons sur de nouveaux usages de proximité ? La cybersécurité doit venir à tous les niveaux de cette réflexion, mais ne doit pas être un frein à l’enthousiasme autour de la data. Il ne faut surtout pas décourager cet élan naissant. Il faut définir comment mieux présenter la question, ce que signifie l’utilisation de la donnée, sa valorisation, en même temps que sa protection. Au sein des organisations, il n’y a pas encore de réflexion prospective sur les sujets de sécurité les plus transverses et complexe. Il manque clairement une réflexion à 360 degré sur le risque cyber, au côté de l’approche très technique déjà en place. » épingle-t-il.
Retrouvez le replay du petit-déjeuner du 3 mars « Smart building: quand l’innovation en sécurité libère les nouveaux usages » :
Cybersécurité : un décalage entre le discours et les actes
Un état de fait confirmé par Philippe Sajhau : « Christophe Bechu, maire d’Angers, le disait récemment : « il n’y a pas assez d’effort sur la cybersécurité. Angers a attaqué au même titre que d’autres villes… Elles ont été rançonnées. La prise de conscience amenée avec le RGPD n’est pas encore allé jusqu’au bout, les villes n’ont pas pris en compte un risque tout simplement criminel, au-delà du risque des « data sensibles ». Il faut bien comprendre qu’aujourd’hui, le décalage est de plus en plus marqué entre un numérique qui a tout rendu transverse, alors que les élus ont, eux, des portefeuilles très verticaux ».
De son côté, Stéphane Gervais, VP Exécutif Innovation Stratégique & Smart Data pour l’industriel français Lacroix, pointe un décalage entre la sensibilisation à la cybersécurité, qui se voit aujourd’hui dans les discours, et la réalité quotidienne des projets menées sur les territoires. « Quand on discute avec des territoires pour amener des produits connectés et innovants tout le monde est d’accord pour dire qu’il faut un excellent niveau de sécurité. Mais quand on s’adresse aux territoires pour la mise en œuvre opérationnelle, nous sommes confrontés à un fossé : nous sommes seulement poussés vers la DSI qui pourtant n’a pas les compétences métiers pour comprendre exactement le lien à faire entre nouveaux usages et sécurité ».
Et le directeur d’innovation de se rappeler d’une expérience précise : « Sur nos capteurs de data déployés sur les réseaux d’eau, des déploiements ont été arrêté il y a quelques années car les services techniques des régies ne voulaient pas passer à des mots de passe individuels pour les objets connectés concernés… Le changement d’habitude demandé était trop important dans leur perception. La montée en maturité se fait lentement. Il y a donc une vraie question sur le niveau de cybersécurité qui sera réellement accepté par les opérateurs et les utilisateurs, sur toute la chaine, du capteur à l’usager. »
Projets silotés, gouvernance inappropriée, ressources limitées
Le problème de répartition des responsabilités et d’une vision harmonieuse dans la gouvernance des projets, intégrant la sécurité, fait également converger tous les acteurs. Il donne l’impression que dans les territoires connectés, le nombre d’intervenants sur les projets fait que la sécurité, qui devrait être l’affaire de tous, devient en réalité l’affaire de personne.
« On voit des exemples très concret sur des appels d’offres. Nous y avons été confrontés pour l’émergence d’un quartier intelligent, avec une approche innovante… mais tellement silotée ! Chaque lot confié à un opérateur différent, sans aucun lien prévu pour anticiper la cybersécurité. Cela rend extrêmement complexe le fait de gérer le sujet « by design ». » illustre ainsi Uri Roy Schmalbach Schlie, Head of Cities, Airports and Transport pour Siemens Smart Infrastructure. Il souligne que des projets ambitieux sont cependant parfois menés, par exemple pour assurer la sécurité des infrastructures du Grand Paris. De quoi faire naître une vision globale, mais en creux c’est également une occasion manquée : « La cybersécurité est vu comme un projet à part. Les responsables n’arrivent pas à influencer les processus d’ingénierie, d’achats, d’exécution des projets à la source »
Alors comment faire bouger les lignes ? La dernière partie du débat s’est concentrée sur plusieurs leviers d’action à prioriser. En premier lieu, le fait de systématiquement lier les discours sur l’innovation des territoires connectés avec le sujet de la confiance des usagers. De quoi convaincre que le jeu en vaut la chandelle, en termes de coûts face aux risques encourus.
« Le manque de ressources à consacrer à ces sujets est une problématique permanentes pour les territoires et les collectivités. La priorité est donc d’identifier ce qu’il est possible de mutualiser. Il faut aller chercher des moyens communs pour déployer les bonnes actions. Cela se fait de plus en plus dans le secteur privé, il faut parvenir à le généraliser aussi avec les territoires » a enjoint pour sa part Uri Roy Schmalbach Schlie.
Et Stéphane Gervais de conclure : « La smart city n’a de toute façon pas d’avenir sans cybersécurité. Mais il faut que tout le monde se rende compte que le sujet sera moins sur le choix technologique que sur le choix de se faire accompagner pour améliorer la gouvernance des projets ».