Précédent
Lilian Planche
Référent Cybersécurité Rail
Published on 18 septembre 2019

Temps de lecture : 4 min

La cybersécurité : un enjeu crucial pour les acteurs de l’industrie et des transports

De plus en plus exposés aux risques numériques, nos clients, autorités organisatrices des transports et exploitants de systèmes de transports, ont pris conscience de l’importance de se prémunir contre les cyberattaques, mais ne savent pas toujours quelle démarche entreprendre…

Cybersécurité : un enjeu crucial pour les acteurs de l'industrie et des transports

- Crédits : tashka2000 - Thinkstock

La cybersécurité se définit comme l’ensemble des mesures de protection, techniques et non techniques, qui permettent à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité, la confidentialité, ou les preuves associées (identité, authenticité, traçabilité), des données stockées, traitées ou transmises. Dès 2008, le livre blanc sur la défense et la sécurité nationale a établi que la cybersécurité est un enjeu majeur. Les cyberattaques se sont fortement intensifiées. Des groupes organisés, mais aussi des Etats, contribuent directement à cette évolution en diffusant volontairement ou involontairement des outils qui peuvent être étudiés, modifiés, réutilisés et combinés.

Bien que la cybersécurité soit souvent réduite à sa composante technique, il est crucial de l’appréhender comme une démarche globale qui ne dépend pas seulement de mesures techniques mais, pour une part égale, de mesures organisationnelles : sensibilisation, formation, procédures, organisation, politique… Il faut également souligner que la cybersécurité ne consiste pas à appliquer à tous, de manière indiscriminée, des mesures contraignantes. Il s’agit d’une approche réfléchie qui, en fonction des enjeux, permet de trouver le juste équilibre entre protection et contrainte. Il faut garder à l’esprit que la sécurité absolue n’existe pas, et se préparer avec soin aux conséquences d’une attaque réussie. Quelques grands principes doivent guider toute démarche en matière de cybersécurité. On peut notamment citer :

  • La sécurité à la source (secure by design), il s’agit de s’assurer que, dès les premières étapes de la réflexion sur un nouveau projet, la cybersécurité est déjà au cœur des préoccupations.
  • La défense en profondeur, qui repose sur la superposition de couches de sécurité permettant, selon la détermination et les moyens des attaquants, de les dissuader, ou au moins de ralentir leur progression jusqu’aux zones les plus critiques.
  • La cyber-résilience : la capacité d’une organisation à minimiser les impacts d’une attaque sur son activité nécessite une organisation de l’activité qui permette d’assurer la continuité et le retour à un fonctionnement nominal après une attaque.

L'industrie, un secteur sensible aux cybermenaces

Les systèmes industriels sont exposés à ces risques même lorsqu’ils ne sont pas connectés à Internet. Apparu en 2010, le ver informatique Stuxnet a réussi à détruire un grand nombre de centrifugeuses dans un centre iranien d’enrichissement d’uranium, alors que le réseau informatique de ce site était physiquement isolé du reste du monde. Cette attaque est la preuve tangible que nos pires craintes sur la sécurité des installations sensibles peuvent se matérialiser. On pourrait également parler des pompes endommagées dans des stations d’épuration aux Etats-Unis en 2011, des coupures d’électricité en Ukraine en 2015 et 2016, des arrêts d’exploitation de pipeline aux Etats-Unis en 2018... Ce ne sont malheureusement pas les exemples qui manquent.

Les systèmes industriels sont donc tout autant concernés par les enjeux de la cybersécurité, et probablement même davantage, que les autres systèmes d’information. En effet, les industries ont intégré le numérique au fur et à mesure des évolutions technologiques, sans vision globale, parfois sans expertise technique suffisante dans les technologies de l’information, en interconnectant des systèmes hétérogènes avec comme soucis majeurs la productivité, l’efficacité et la sûreté, mais rarement la sécurité. Il revient donc aux directions générales des entreprises concernées de prendre la mesure des enjeux et d’assumer des politiques volontaristes visant à renforcer la sécurité des systèmes industriels en attribuant les moyens matériels, financiers, organisationnels et humains nécessaires.

Pour aider les acteurs de l’industrie, peu familiers avec les méthodologies et les techniques de gestion de la cybersécurité qui sont plus répandues dans les domaines de l’informatique traditionnelle ou de la banque, les organismes de normalisation et de standardisation se sont penchés sur les spécificités de la cybersécurité industrielle. Leurs efforts ont abouti, à partir de 2009, à la publication des premiers volumes d’un ensemble de documents techniques de référence : l’IEC 62443. Certains composants de cette norme sont encore en cours de rédaction mais les principaux concepts sont maintenant bien établis : politique de sécurité, menaces, risques, mesures de sécurité, maturité, zones de sécurité, niveaux de sécurité… et servent de socles aux approches propres à chaque métier spécifique. On peut noter également le travail de vulgarisation de l’ANSSI (autorité nationale en matière de cybersécurité et de cyberdéfense), avec la publication de guides dédiés qui permettent d’accéder facilement à l’analyse et à la définition des principales mesures nécessaires.

De la nécessité d'une démarche globale

Dans le domaine des transports ferroviaires, en 2009, un adolescent ingénieux et inconscient a fait dérailler un tramway à Lodz (Pologne). Cet incident a démontré la vulnérabilité du système d’aiguillage alors que de nombreux acteurs de cette industrie considéraient encore que les mesures mises en œuvre dans le cadre de la prévention des risques identifiés par les analyses de sûreté de fonctionnement suffisaient à protéger ces systèmes. Que ce soit au niveau international, européen ou national, le domaine des transports ferroviaires est désormais identifié comme un secteur critique de l’activité d’un Etat. A ce titre, il fait l’objet d’un ensemble de mesures spécifiques qui viennent compléter les bonnes pratiques applicables à tout système d’information, et plus particulièrement aux systèmes industriels. Si les réglementations sont déjà bien établies, les efforts en termes de recherche et de normalisation doivent encore être poursuivis. Au niveau européen, on peut noter que le groupe de travail CENELEC WG26 a été constitué en vue de définir une approche cohérente de la gestion de la sécurité des systèmes ferroviaires ou encore, dans le cadre du programme Shift²Rail, le projet CYRail, qui regroupe les opérateurs, gestionnaires d’infrastructure, fournisseurs et intégrateurs, pour réfléchir sur les menaces, l'évaluation des risques, la détection, les contre-mesures et les mécanismes de résilience à appliquer dans le contexte ferroviaire. Tous ces efforts n’ont pas encore abouti à l’établissement de normes dédiées, ni à l’intégration de ces problématiques dans les standards du métier, ce qui aurait le mérite d’offrir une démarche globale couvrant aussi bien la sûreté de fonctionnement que la cybersécurité. Il reste donc encore difficile pour des spécialistes du transport, d’appréhender facilement ces problématiques.

De par son expérience sur de nombreux projets pour des opérateurs d’infrastructures critiques, Egis est à même d’aborder la cybersécurité selon une approche globale, tout en intégrant les spécificités des métiers du transport. Nous pouvons accompagner un exploitant dans le cadre d’une démarche globale visant à faire un état de lieu de son réseau en matière de cybersécurité. En fonction de la maturité de nos clients, nous intégrons cette problématique au sein de chacun de nos projets. Pour les clients qui le souhaitent, nous proposons également d’accompagner leur démarche d’homologation en apportant, là encore, notre expertise métier dans son déroulement.

Commentaires
0 commentaire