Publié le 25 septembre 2023
Deux ans et demi après son démarrage, le projet européen IMPETUS délivre une plateforme du même nom dédiée à la sécurisation des villes intelligentes. Cette plateforme IMPETUS intègre huit outils mêlant technologies de pointe, considérations éthiques et recommandations opérationnelles à destination des centres de sécurité.
La ville du futur sera numérique, et donc vulnérable. Comment améliorer sa cybersécurité et sa résilience face à tout type d'attaque ? C'est l'objectif du projet européen IMPETUS.
Si les taxis volants n’occupent pas encore l’espace aérien, la ville du futur, intelligente et adaptative, est, elle, déjà une réalité. Un peu plus chaque jour, la technologie vient améliorer le quotidien des citadins et citadines en administrant et pilotant les bâtiments, le mobilier urbain, les réseaux d’eau et d’électricité ou encore les transports. Cette numérisation massive expose les villes intelligentes à des cyberattaques, mais ouvre aussi un nouveau champ d’action en matière de sécurisation. En s’appuyant sur ce tissu urbain d’objets et de services connectés, de nombreuses solutions technologiques peuvent être mises en place afin d’assurer la surveillance et la protection des villes intelligentes.
Démarré en 2021, le projet européen Horizon 2020 baptisé IMPETUS s’est focalisé sur le développement d’une sélection de ces technologies de lutte et de prévention, en cherchant non seulement à lever les barrières opérationnelles, mais également à répondre aux questions éthiques liées à leur implémentation. L’aboutissement de ce projet, deux ans et demi plus tard, tient en une plateforme, baptisée également IMPETUS, qui concilie technologie, éthique, et aide à la décision. Cette plateforme globale pour la sécurisation des villes intelligentes intègre huit outils, associés chacun à une procédure d’action à destination des centres opérationnels de sécurité (Security Operator Center, SOC), ainsi qu’un guide pratique détaillé.
Les outils sélectionnés couvrent un panorama de solutions technologiques agissant à différents niveaux : la détection d’urgences requérant une réponse immédiate, l’identification de menaces potentielles ou émergentes, la gestion de situations de crise, la cyber-protection, et la garantie de l’efficacité opérationnelle. Deux écoles de l’Institut Mines-Télécom ont été impliquées dans le développement de ces outils : IMT Mines Alès pour la détection des bactéries dans l’air (Bacteria Detector), et Télécom SudParis pour l’outil de détection des menaces cyber et de contre-attaque (Cyber Threat Detection and Response). Cette dernière a également piloté l’évaluation éthique des outils, et l’élaboration du guide pratique.
Parmi les outils d’IMPETUS, certains existaient déjà et ont été amenés à des niveaux de maturité supérieurs, mais d’autres étaient complètement nouveaux. C’est le cas de l’outil de sécurisation du risque biologique développé par Sandrine Bayle, chercheuse à IMT Mines Alès, et son équipe. « Notre innovation est d’avoir changé de paradigme par rapport aux autres outils du marché qui se concentrent sur la recherche d’organismes pathogènes connus », explique-t-elle. « Nous sommes partis du principe qu’en cas d’attaque, les responsables libèreraient beaucoup de micro-organismes. Donc nous avons décidé de mesurer la concentration de tous les micro-organismes présents dans l’air et d’évaluer à quel moment cette concentration n’est pas normale et représente un risque potentiel. »
L’outil a ainsi plus de chance de détecter une attaque d’une souche inconnue ou considérée comme non-pathogène en petite concentration. « L’expérience du Covid-19 a montré que pour déstabiliser une ville, il n’y a pas besoin d’atteindre tout le monde. L’organisation fait que quelques personnes malades suffisent à générer des dysfonctionnements, et surtout à créer la panique », ajoute la chercheuse. La mesure de concentrations dans l’air est basée sur le dosage de l’adénosine triphosphate, ATP, une molécule commune à tous les micro-organismes. Le dosage de l’ATP est une méthode couramment utilisée pour faire des diagnostics rapides sur les réseaux d’eau : par exemple, pour vérifier l’été si un système de climatisation est contaminé par la légionnelle. Sandrine Bayle et son équipe ont ensuite travaillé à la définition d’un seuil qui permettrait d’alerter sur la qualité de l’air.
L’opérationnalité de l’outil, et plus généralement de la plateforme IMPETUS, a pu être vérifiée en fin de projet, via deux exercices de mise en situation dans les villes intelligentes d’Oslo et de Padoue. Les membres du consortium ont ainsi testé la plateforme sur un scénario dans lequel différentes alertes (manifestation, présence d’une personne armée dans la foule, attaque terroriste et simulation d’une attaque bactériologique) se déclenchaient successivement sur une durée de deux ou trois heures. L’objectif était de mettre en tension les différents outils et d’observer leur mise en application, notamment leur capacité à prévenir les SOC afin d’enclencher une action.
Ces mises en situation ont également permis de faire le point sur les données collectées par chaque outil, et leur conformité au regard du cadre légal et technique. « Aujourd’hui, dès qu’une nouvelle technologie apparait, nous devons nous interroger sur les conséquences éthiques de sa mise en place. Il est indispensable de créer ou de faire évoluer nos outils avec des briques technologiques qui respectent les contraintes légales en termes d’éthique et de respect de la vie privée », souligne Nesrine Kaaniche. Chercheuse à Télécom SudParis, elle a eu la charge d’un groupe de travail transverse sur l’identification et la gestion des risques liés notamment à la collecte des données personnelles par les outils d’IMPETUS.
« Dès le début du projet, nous avions identifié les outils traitant des données sensibles et les règlementations qui s’appliqueraient dessus », complète la chercheuse. Toutes les technologies d’IMPETUS ont ainsi été soumises à une analyse d’impact sur la protection des données (Privacy Impact Assessment, PIA), une bonne pratique validée par l’Agence de l’Union européenne pour la cybersécurité (ENISA), assurant de manière uniforme que les données de vie privée soient traitées respectueusement.
Les données collectées par certains outils, comme le détecteur d’armes à feu basé sur des caméras connectées, sont effectivement sensibles : « Ces caméras filment en permanence mais nous avons fait en sorte que les images ne soient consultées et conservées que lorsqu’une arme à feu est détectée », argumente Nesrine Kaaniche. « De même, pour l’outil de détection sur les réseaux sociaux, les données identifiantes sont anonymisées et conservées de façon chiffrée. » En portant ce sujet transverse, la chercheuse a été consultée tout le long du projet par les acteurs du consortium en charge de développer un outil : « Grâce à cela, au moment des simulations, nous étions plus sur une phase de validation que sur une phase de mise en conformité. In fine, tous les outils ont respecté les normes fixées. »
En cours de projet, convaincu par le travail réalisé sur les questions d’éthique et de vie privée, le coordinateur scientifique et technique d’IMPETUS a confié à Télécom SudParis la réalisation d’analyses similaires sur les aspects cybersécurité et opérationnels des outils. Le résultat de ces travaux se présente sous la forme d’un guide pratique en ligne, appelé Practioners Guides, à destination des utilisateurs de la plateforme IMPETUS (opérationnels, politiciens, etc.). « Sintef [ndlr : l’organisation coordinatrice du projet] a initié l’idée d’une plateforme en ligne sur laquelle intégrer tous les résultats du projet. Les partenaires du projet pouvaient entrer eux-mêmes les informations et nous en avons récupéré l’animation », relate Joaquin Garcia-Alfaro, chercheur à Télécom SudParis et en charge du pilotage du Practioners Guides.
La plateforme constitue une véritable mine d’informations sur les enjeux globaux et les règlementations qui s’appliquent ; chaque outil y est présenté avec un contexte d’usage, ses enjeux propres, les données sensibles pouvant être collectées et des recommandations. Au-delà de la documentation, le site héberge également des ressources vidéos et des webinaires.
Maintenant que le projet IMPETUS est terminé, une analyse des forces et faiblesses de chaque solution a été proposée sur le site internet du projet, et chacun des membres du consortium va poursuivre dans le développement de ses outils. « De notre côté, nous allons continuer à améliorer notre système de détection pour d’autres applications que les risques d’attaques terroristes massives, par exemple dans les usines agroalimentaires ou dans les lieux de traitement de déchets, afin d’évaluer si le personnel doit se protéger », projette Sandrine Bayle. Le Practioners Guides constitue quant à lui un legs précieux que Télécom SudParis aimerait conserver. « Il a été discuté de publier l’ensemble du contenu relatif au projet IMPETUS dans un ouvrage, sous la forme d’une collection d’articles », déclare Joaquin Garcia-Alfaro. « Quoiqu’il en soit, notre souhait est de garder cet espace, voire même de le faire évoluer, pourquoi pas en l’alimentant avec les résultats de futurs projets. »
Le projet IMPETUS a été lancé le 1er septembre 2020 et s’est achevé le 28 février 2023. Il a bénéficié d’un financement de l’Union européenne (accord 883286) de 8 millions d’euros répartis entre 18 partenaires du consortium de recherche, en France, Italie, Espagne, Belgique, Suisse, Pays-Bas, Croatie, Norvège, Roumanie, Estonie et Israël. Les résultats complets d’IMPETUS sont disponibles sur le site web du projet : https://www.impetus-project.org
Quèsaco l’edge computing ?