Si la cybercriminalité suit avant tout un but lucratif, la valeur des données du ferroviaire se pose en termes de sécurité. Quel que soit le domaine, (signalisation, poste d’aiguillage informatique…) le virage de la digitalisation prit les systèmes de technologie opérationnelle (OT) et de technologie de l’information (IT), se pose désormais la question de la sécurité des données. Un véritable enjeu qui, il y a encore deux ans, ne se posait pas ou à peine. « Il y a 1 an nous avons vu poindre des choses, un peu hors sujet qui émanaient de l’IT » indique Pierre-Henri Bougeant, Responsable digitalisation chez Vossloh. Si les grands acteurs du ferroviaire se sont emparés du sujet, ces derniers comme nombre de sociétés estiment encore aujourd’hui que le meilleur moyen est d’isoler leur réseau (Air Gap). « En 2022, des attaques simultanées sur deux gros points névralgiques de la Deutsche Bahn ont mis à mal ce système de défense qui, s’il n’est pas raccordé à internet est tout de même sur le réseau national… donc attaquable ». Un événement similaire a touché le réseau ferroviaire de la Pologne a été victime d’une cyberattaque bloquant pour l’occasion une ligne complète, simplement en envoyant des ondes radio afin de brouiller système radio de contrôle d’un train…
PUBLICITÉ
Des attaques, qui ont eu l’avantage de pointer du doigt une faille et de faire prendre conscience aux entreprises l’importance de sécuriser les éventuelles portes d’accès. De fait, elles affichent une volonté de mieux comprendre comment la cybersécurité est gérée. « Aujourd’hui les entreprises cherchent à comprendre comment ne pas créer de porte d’entrée quel que soit le serveur ». Une montée en maturité des acteurs qui se ressent dans les appels d’offres. « Ces deux ou trois dernières années, la cybersécurité devient quasiment un standard. Il faut apporter un minimum de réponses cohérentes à ces questions pour avoir des chances d’être retenus ». Reste que la multiplicité des canaux de données, des systèmes, des connexions, etc. offre autant de portes d’entrées aux hackers. Afin de prévenir d’éventuelles intrusions, nombre d’entreprises ont ainsi mis en place des entités (Red Team) afin de pénétrer leur propre système et ceux de leur sous-traitant. Une stratégie efficace pour éprouver le niveau de sécurité. « Si notre Red Team arrive à pénétrer nos systèmes, une alerte est envoyée en fonction du niveau de l’attaque. Ce qui nous permet à nos développeurs d’ajuster notre niveau de contrôle ». Une pratique baptisée « zéro trust » qui considère que tous les systèmes peuvent être attaqués. « En cybersécurité, par définition tous les systèmes peuvent être attaqués. Donc nous réfléchissons ces derniers par rapport à cette approche ». Un travail doit donc être fait pour que la cybersécurité soit pensée en amont, en étant directement intégrée au sein des processus de développement. « Pour nous, la cybersécurité n’est pas le résultat d’un audit, mais est une démarche qui vise à déterminer dès le départ, la création de failles ». Une approche proactive qui permet non seulement de limiter les vulnérabilités, mais aussi d’assurer une résilience optimale face aux hackers. « Nous n’attendons pas que l’on pénètre chez nous, pour vérifier si la porte est bien fermée. Nous essayons de la fermer avant de partir ». Toutefois, le nombre de portes d’entrées est difficilement visible dans son ensemble, tant les acteurs sont nombreux.
Deux nouveaux cadres
En octobre dernier s’est tenu une conférence sur la cybersécurité dans les chemins de fer. À l’initiative de l’Agence de l’Union européenne pour les chemins de fer (ERA) et l’Agence de l’Union européenne pour la cybersécurité (ENISA) elle a été l’occasion de mettre en avant le paysage des menaces pesant sur le secteur ferroviaire. En effet, selon le dernier rapport sur le paysage des menaces de l’ENISA, le secteur des transports est le deuxième le plus visé par les cyberattaques en 2024. Une situation qui souligne la nécessité de renforcer la cybersécurité pour protéger les infrastructures critiques. Face à la diversité des attaques, les échanges ont mis en avant les besoins d’une coopération avancée et des efforts communs à mettre en œuvre pour anticiper et contrer les menaces évolutives. Pour répondre aux exigences de conformité (qui sont de plus en plus strictes), l’introduction de la directive NIS 2 et du Cyber Resilience Act (CRA), redéfinissent le paysage de la cybersécurité pour les opérateurs ferroviaires.
En octobre dernier s’est tenu une conférence sur la cybersécurité dans les chemins de fer. À l’initiative de l’Agence de l’Union européenne pour les chemins de fer (ERA) et l’Agence de l’Union européenne pour la cybersécurité (ENISA) elle a été l’occasion de mettre en avant le paysage des menaces pesant sur le secteur ferroviaire. En effet, selon le dernier rapport sur le paysage des menaces de l’ENISA, le secteur des transports est le deuxième le plus visé par les cyberattaques en 2024. Une situation qui souligne la nécessité de renforcer la cybersécurité pour protéger les infrastructures critiques. Face à la diversité des attaques, les échanges ont mis en avant les besoins d’une coopération avancée et des efforts communs à mettre en œuvre pour anticiper et contrer les menaces évolutives. Pour répondre aux exigences de conformité (qui sont de plus en plus strictes), l’introduction de la directive NIS 2 et du Cyber Resilience Act (CRA), redéfinissent le paysage de la cybersécurité pour les opérateurs ferroviaires.
Un travail collaboratif
Si une entreprise peut gérer sa cybersécurité seule, la norme ISO/IEC 27001 encourage fortement une approche systématique et collaborative. Dans cette optique, Vossloh s’est adjoint les services de la start-up Cervello, spécialiste en la matière, qui rassemble des experts du ferroviaire et de la cybersécurité. Disposant d’une vision systémique à 360°, elle a prouvé lors d’une conférence organisée par Vossloh, qu’il était assez simple de pénétrer un système ferroviaire et de faire ce que bon lui semble, allant même jusqu’à compromettre l’aspect sécuritaire (safety) des systèmes critiques de signalisation. « Ils sont en capacité de vérifier que toutes les portes d’accès soient bien fermées. Ce qui est la clé dans une approche cohérente, car c’est par la plus petite zone de sécurité qui peut tout tomber tout un réseau ». Des mesures efficaces qui doivent, comme dans de nombreux domaines, tenir compte d’une escalade technologique de la part des hackers. « Nous n’avons pas la capacité d’être toujours affûté face aux menaces cyber. C’est pourquoi notre Red Team est un partenaire externe ».
Un partage nécessaire
La cybersécurité étant l’affaire de tous, les clients de Vossloh essaient de leur côté de pénétrer les systèmes du fabricant. Une coopération entre les acteurs indispensables qui permet d’établir un Rex à condition d’échanger sur le sujet, pourtant il existe encore des freins à ce partage d’information. « Il faut que les acteurs du ferroviaire partagent leur expérience, le type de hack subit, afin que la connaissance et l’apprentissage acquis sur le terrain profitent à tous ». Si les cyberattaques ne sont pas légion sur les réseaux pour bloquer une voie (incendie, vols de câbles faisant autant de dégâts), qui représente une perte financière, le risque est marginal. En revanche, celui-ci subsiste notamment dans la signalisation avec un impact potentiel sur les usagers. « Il faut être là pour empêcher que ce risque de disponibilité de voie arrive, quoi qu’il en coûte ».
Texte Frédéric Burguière
