Pour être résilient en cas d'attaque Cyber, l'écosystème du transport ferroviaire doit innover et collaborer

Rompus aux risques liés à la sureté de fonctionnement, les opérateurs et les constructeurs ferroviaires doivent désormais intégrer la cybersécurité à tous les niveaux et sur l'ensemble du cycle de vie

Imaginons Paris dans un futur proche, un lundi à 8h. La ligne du RER A et la ligne 1 du métro sont à l’arrêt total depuis une trentaine de minutes. Excédées par cette attente interminable sur les quais et l’absence d’informations précises, de nombreuses personnes remontent à « la surface » pour trouver un bus ou un taxi afin de se rendre à leur travail. En quelques minutes, les quartiers des principales gares Réseau Express Régional de la capitale sont paralysés. Des usagers traversent dans tous les sens tandis que les embouteillages grossissent au fil des minutes.

Ce scénario, qui pourrait être le résultat d’une cyberattaque, est redouté par tous les pays, car l’impact serait majeur : la ligne A du RER et la ligne 1 du métro enregistrent chaque jour 2 millions de voyageurs. Or, le secteur des transports faisant partie des 10 secteurs les plus ciblés par les attaques cyber (Rapport IBM Security X-Force Threat Intelligence Index 2022), ce type de scénario pourrait être loin d’être fictif.

A la différence d’autres secteurs industriels (usines, dépôts, etc.), les effets d’une attaque cyber sur un système ferroviaire sont immédiatement perceptibles et ont un impact direct pour le public qu’il soit usager des transports ou non.

De par son importance vitale pour l’économie, la sécurité et la cybersécurité du transport ferroviaire ont été considérablement renforcées par les États et notamment la France sous l’impulsion de l’ANSSI. Comme d’autres industries, ce secteur a dû améliorer sa résilience, car la généralisation des composants électroniques et des technologies de l’information, tant au niveau des infrastructures que des matériels roulants (et en particulier pour la partie contrôle-commande), fait apparaître de nouveaux risques.

Deux types d’acteurs aux singularités et aux contraintes spécifiques

Pour simplifier, ce secteur est organisé autour de deux types d’acteurs, les opérateurs (comme la SNCF, la RATP), les constructeurs de matériels roulants (Alstom, Siemens…) et leurs fournisseurs. Il est également organisé autour de trois principaux marchés : Grandes lignes (Mainline), Métro/RER/Tram (Urban), Transport Marchandise.

Chaque acteur et marché a des singularités et des exigences spécifiques. Ainsi, la principale contrainte des Grandes lignes est l’interopérabilité puisque ces lignes sont ouvertes à divers opérateurs qui utilisent des trains de différents constructeurs. Les opérateurs doivent aussi protéger les équipements installés tout le long des grandes lignes. Autant d’environnements ouverts difficiles à surveiller et à sécuriser. 

De son côté, l’Urban doit maximiser l’usage des voies sans altérer la sécurité des usagers. N’étant pas contraints par l’interopérabilité, ces opérateurs font appel à différents constructeurs avec des architectures propriétaires.

Mais, quel que soit le marché, les opérateurs font aujourd’hui appel à des systèmes d’information de plus en plus informatisés et standardisés, qu’ils soient de maintenance ou de contrôle-commande, au sol comme à bord. Par ailleurs, le transport ferroviaire intègre de nombreux systèmes de confort ou de divertissement embarqués dont la vocation est d’améliorer l’expérience de voyage pour les clients.

Le CBTC (Communication Based Train Control) est l’organe central qui optimise l’utilisation des trains sur les voies. Il a beaucoup évolué au fil du temps, passant d’une solution reposant sur des feux de signalisation à des systèmes complexes, intelligents, rendant les métros (et bientôt les trains) autonomes capables de piloter seuls les aiguillages des voies ferrées. Ces systèmes, qui sont en fait des systèmes de systèmes, utilisent de nombreux réseaux et technologies (internes et externes, communication, géolocalisation, administration, maintenance, audiovisuel, sécurité…) qui s’empilent et augmentent la surface d’attaque.

Opérateurs et Constructeurs : des enjeux différents mais non dissociés

Dans ce contexte, quels sont les enjeux cyber pour les opérateurs et les constructeurs ? Ils sont différents, mais pas dissociés. Pour les opérateurs, la complexité opérationnelle se situe au niveau de :

  • l’intégration de divers systèmes débarqués et embarqués (en particulier le CBTC)
  • l’optimisation de la maintenance
  • l’organisation de la billetterie et de l’affichage en gare pour les usagers
  • la gestion des bâtiments (aération des tunnels, escalators dans les gares), etc.

Tous ces systèmes étant interconnectés, il suffit qu’un seul soit défaillant pour qu’il y ait des impacts majeurs sur le trafic. Mais identifier et mettre à jour tous les équipements embarqués sur une rame de métro est complexe, d’autant plus que la période d’intervention est très courte sur les rames de métro (la nuit pendant quelques heures).

La gestion des matériels roulants anciens est également un enjeu déterminant pour les opérateurs, car les trains imaginés dans les années 90 n’ont pas été pensés dans une logique cyber. 

L’ANSSI et l’UE imposent aux opérateurs, par voies réglementaires, le respect d’exigences de sécurité strictes qui ont des impacts directs sur la conception et la maintenance des systèmes fournis par les constructeurs. Par conséquent, la maturité des fournisseurs en termes de sécurité et la gestion des clés cryptographiques notamment, représentent des défis majeurs pour les constructeurs qui multiplient les composants intelligents dans leurs équipements.

Une réponse technique via une « cloudification » des systèmes

En s’appuyant sur la norme industrielle IEC 62443, en passe d’être adoptée très largement dans les architectures ferroviaires, les opérateurs et les constructeurs peuvent renforcer leur politique de cybersécurité. Cette norme préconise en effet de mettre en place un découpage en zones (tous les éléments ayant le même niveau de criticité) et en conduits (interface entre une zone et une autre). C’est une première étape vers le modèle de sécurité Zero Trust qui consiste à garantir qu’une application est utilisée par un utilisateur autorisé pendant une période valide et sous certaines conditions d’utilisation.

Comme l’IT, les acteurs ferroviaires vont évoluer vers une « cloudification » (déplacement de l’infrastructure interne vers le Cloud public ou hybride) des systèmes, d’une part pour réduire les coûts d’investissement (CAPEX), mais aussi pour tenir compte des risques cyber qui ne cessent d’augmenter. Pour les opérateurs, qui ont principalement des enjeux de performances opérationnelles et économiques, le Cloud renforcera leur efficience sur les deux tableaux. Concernant les enjeux organisationnels associés à la maintenance, le passage vers le Cloud leur permettra à titre d’exemple d’améliorer la gestion des patchs en facilitant notamment les phases de tests dans des environnements virtualisés.

Côté constructeurs, le Cloud va s’imposer de lui-même par l’adoption généralisée des nouvelles technologies (Zero trust, réseaux 5G, IOT, …). La virtualisation leur permet déjà de réduire les coûts pour reproduire des environnements clients. La containerisation de leurs architectures renforcera la résilience des systèmes en cas d’attaques.

Mais la technologie ne peut pas tout … des collaborations étroites entre acteurs s’avèrent indispensables et surtout, un nouveau type d’acteur s’invite autour de la table.

Alors que constructeurs et opérateurs sont plutôt autonomes en termes de sécurité dans le développement des systèmes (côté constructeur) et l’intégration dans les environnements de production (côté opérateur) ; la gestion des vulnérabilités des équipements et des logiciels, la détection des alertes et la réponse aux incidents sont au moins trois domaines qui rapprocheront opérationnellement constructeurs et opérateurs tant ils sont liés pour limiter efficacement les impacts d’une attaque Cyber.

Mais ce rapprochement se heurte aux limites d’une sécurité opérationnelle efficiente. En effet, comment assurer la priorisation de dizaines de milliers de vulnérabilités portées sur des milliers d’équipements et logiciels ? Comment qualifier en temps réel une alerte issue d’un sous-système industriel qui n'est pas fourni par le constructeur et inconnu de l’opérateur ? Comment répondre en temps réel aux incidents de sécurité sur des systèmes de systèmes complexes et imbriqués ?

Parce que les opérateurs et les constructeurs ne sont pas des spécialistes de la sécurité opérationnelle ou parfois par obligation réglementaire, l’appui d’un acteur spécialisé de la sécurité s’impose pour contribuer au maintien en condition de sécurité des systèmes.

Cet acteur spécialisé, à titre d’exemple, saura intégrer et exploiter les briques de protection pour maintenir en temps réel la cartographie des environnements industriels (OT) et alerter en cas d’ajout inopiné ou de perte suspecte d’un équipement. Pour limiter les erreurs humaines et gérer l’étendue des réseaux, l’automatisation est le facteur clé. L’acteur de sécurité aura la mission, côté opérateur, d’automatiser l’analyse de centaines de milliers d’événements de sécurité par seconde et de détecter des situations critiques pertinentes. Mais pour proposer des réponses les plus automatisées et contextualisées possibles face à un incident, l’automatisation aidée par l’intelligence artificielle requerra l’appui de compétences des constructeurs, pour garantir une remédiation dans les meilleurs délais.

En conclusion, dans un contexte où la menace cyber est protéiforme et de plus en plus sophistiquée, opérateurs et constructeurs doivent développer des stratégies de sécurité innovantes et mettre en œuvre les meilleures pratiques de sécurité (Cloudification et paradigme Zero Trust notamment). Les opérateurs devront choisir un spécialiste de la sécurité IT et OT pour assurer le maintien en condition de sécurité des systèmes complexes qui lui-même, devra collaborer avec les constructeurs pour garantir la réponse la plus adaptée et la plus rapide aux incidents. Il y a peu de secteurs économiques qui imposeront ce triumvirat mais c’est assurément le prix à payer pour garantir la sécurité des usagers et éviter la désorganisation des villes et des états.