Le secteur du ferroviaire, aujourd’hui plus que stratégique dans une société aux transports mondialisés, demeure pourtant fortement exposé au risque cyber. Les attaques sont protéiformes, inattendues et peuvent engendrer des conséquences désastreuses. Face à cela, quelle réponse européenne est mise en place ?
L’industrie ferroviaire : un rôle de 1ᵉʳ plan en Europe
Avec des chiffres qui dépassent les 472 milliards de passagers-kilomètres, 216 000 km de voies ferrées actives et 430 milliards de tonnes-kilomètres pour le transport de marchandises, l’industrie ferroviaire joue un rôle de premier plan en Europe. Ce rôle l’oblige à se conformer aux lois et réglementations en matière de cybersécurité, aux normes internationales et aux meilleures pratiques en matière de protection des clients et des employés.
En plus de son cœur de ses activités historiques, ce secteur diversifie son offre. C’est le cas du groupe SNCF qui, avec plus de 20 000 km de fibres optiques, envisage de développer des partenariats au niveau européen afin de devenir un acteur majeur de télécoms. Cependant, le domaine ferroviaire attise des convoitises et des intentions aux visées imprévisibles. Selon une étude IBM, les cyberattaques contre les systèmes de contrôle automatisés industriels ont augmenté de plus de 600 % entre 2012 et 2014 et les spécialistes considèrent les réseaux ferroviaires comme des cibles potentielles de cyberattaques. Le doublement du marché de la cybersécurité ferroviaire, qui passera de 6 milliards de dollars en 2019 à 12,6 milliards de dollars d’ici à 2027, est parlant.
La digitalisation du secteur offre néanmoins de nouvelles vulnérabilités
Depuis plusieurs années, des bouleversements majeurs s’opèrent dans le monde ferroviaire. On assiste à une digitalisation, une automatisation et une transformation accélérée du modèle économique de ce secteur, poussées par la nécessité d’amélioration de l’expérience utilisateur (UX). Les usagers ont besoin de nouveaux services digitaux : enregistrement automatique de passagers lors de l’embarquement ou du débarquement, Wifi HD, service multimédia… A cela s’ajoutent des plateformes de MaaS (Mobility as a Service), des interconnexions avec des systèmes externes et multimodaux ainsi qu’une ouverture du secteur à la concurrence.
Pour répondre à ces attentes, les systèmes informatiques d’entreprise dits IT (Information Technology) doivent s’interfacer avec des systèmes industriels d’exploitation ferroviaire dits OT (Operational Technology), autrefois cloisonnés. Aux systèmes OT traditionnels sont venus s’adjoindre d’autres composantes IoT formant un écosystème d’IIoT (Industrial Internet of Things). Cela soulève des problématiques de cybersécurité intrinsèques aux systèmes, protocoles d’échanges, outils, solutions et services mis en œuvre auxquels le secteur ferroviaire doit faire face.
La complexité du système ferroviaire et la multiplicité de composants de ses écosystèmes (cf. Figure 1) préfigurent des potentiels vecteurs d’attaques. En effet, les nouvelles menaces sont protéiformes tant la surface d’exposition aux cyberattaques est diverse et en constante augmentation. Bien que l’avènement de l’IIoT fasse exploser la surface d’exposition aux cyberattaques, il n’est pas envisageable de s’en détourner. L’IIoT fera, et durablement, partie de l’écosystème du secteur. Les tendances actuelles le confirment : les transports font partie des grands pôles qui domineront le marché de l’IIoT, estimé à 1 000 milliards de dollars d’ici à 2026.
Des menaces protéiformes
L’exposition grandissante aux menaces est également accentuée par la disparité des systèmes de communication et le contexte multimodal. Comme ailleurs, les menaces proviennent de sources diverses : cybercriminels avec une motivation financière, activistes et groupes à motivation politique, agents et mouvements parrainés par des États, terroristes, employés mécontents ou licenciés ayant accès aux systèmes… Des risques multiformes dont la matérialisation pourrait avoir des impacts sur plusieurs plans (opérationnel, financier, réputationnel, juridique, humain, conformité RGPD, etc.).
Les notions de « security-first », « zero-trust », « security-by-design » ne doivent pas rester des concepts, mais irriguer opérationnellement l’ensemble du secteur ferroviaire, et de bout-en-bout. Le renforcement des politiques d’accès, les cloisonnements et la ségrégation des environnements, le chiffrement de certaines informations sensibles, les plans de reprise ou de continuité informatique, pour ne citer que ces quelques exemples, sont les incontournables pour une industrie ferroviaire sûre. Une redistribution des responsabilités ainsi qu’une séparation des systèmes et des infrastructures ferroviaires s’imposent de facto ; ce qui a forcément des impacts sur les systèmes informatiques.
Mais la cybersécurité n’est pas qu’une affaire technique, et les impacts ne seront pas toujours limités sur les systèmes informatiques. « Quand on s’attaque au monde du transport, on peut vite avoir des effets absolument dramatiques, y compris sur les vies humaines », rappelait Guillaume Poupard, ancien Directeur Général de l’ANSSI à la veille du Forum International pour la Cybersécurité de 2017.
Pour contrecarrer des menaces qui s’internationalisent, les entreprises du secteur ferroviaire doivent se doter, avec l’appui de l’Union européenne, d’outils de Cyber-Intelligence et apporter une réponse globale. Outre garantir leur sécurité, leur compétitivité, le développement durable de leurs activités, l’objectif est aussi de veiller à leur souveraineté, celle de leurs États et de l’Europe. L’Agence de l’Union européenne pour les chemins de fer (ERA) considère la sûreté et la sécurité des infrastructures, des personnes et des biens comme partie intégrante de l’ADN de l’industrie ferroviaire. La résilience et la conscience permanente de risques sont, par essence, dans son modèle de culture.
Toutefois, la prise de conscience des risques nouveaux liés aux NTIC et l’intégration native de la cybersécurité dans tout type de projet reste à développer. Beaucoup d’entreprises subissent des cyberattaques aux conséquences parfois désastreuses. Il reste encore du chemin à faire pour la sensibilisation et la prise au sérieux des fameuses théories de la dinde inductiviste de Bertrand Russell et celle du Cygne noir de Nassim Taleb, non seulement au sein des entreprises, mais de certains pays européens.
En Europe, la directive NIS pour répondre aux enjeux d’avenir
Cependant, un changement semble s’opérer. En décembre 2020, la Commission européenne a présenté sa stratégie en matière de cybersécurité pour la décennie, laquelle a pour ambition de « façonner l’avenir numérique de l’Europe ». La directive NIS2 qui en a découlé, étend la directive NIS originelle afin de garantir un niveau commun en matière de cybersécurité, en tenant compte de l’interdépendance croissante entre sécurité intérieure et sécurité extérieure. NIS2 reprend les quatre axes de cybersécurité de NIS (gouvernance, protection, défense, résilience) et les renforce en y ajoutant des exigences de sécurité avec l’approche par les risques. NIS2 vise l’amélioration de la coopération transfrontalière, gage de confiance accrue entre États membres et de cohérence renforcée du marché intérieur.
Pour Claire Landais, ancienne Secrétaire Générale de la Défense et de la Sécurité Nationale (SGDSN), et Guillaume Poupard, le risque numérique est une responsabilité partagée. La prise de conscience doit bien s’étendre à l’échelle européenne. Il est clair que le ferroviaire, en raison de sa ramification européenne, revêt une importance de premier ordre sur le plan de la cybersécurité et de la sécurité globale en Europe.
D’autres batailles se livrent sur un autre terrain, comme celui des normes de cybersécurité à adopter. La conjonction des forces européennes est plus que nécessaire pour éviter d’être soumis à l’influence extérieure. Comme l’indique le rapport du Sénat de juillet 2017, les stratégies de certaines nations telles que la Chine, font de la normalisation un instrument de politique commerciale. Dans son rapport d’avril 2021 relatif à l’autonomie stratégique numérique de l’UE, l’Agence ENISA érige la résilience, la souveraineté technologique et le leadership comme piliers de la nouvelle stratégie de cybersécurité de l’UE. Cette dernière ne peut se faire sans le développement d’une stratégie plus active de positionnement dans les travaux de normalisation, les organisations et le développement des solutions qui seront mises en place autour des thématiques de la cybersécurité ferroviaire.
La bataille de la normalisation
La France, avec le groupe SNCF et ses champions Alstom et Thalès, doit user de toute son influence et jouer un rôle de premier plan. Bien qu’occupant encore une bonne place au sein de ces instances de normalisation, elle court le risque d’une forte distanciation par les pays en tête et un dépassement par ceux qui, il n’y a pas si longtemps, étaient encore loin derrière elle en termes d’influence.
Dans le domaine ferroviaire, l’UE a su, jusqu’ici, faire valoir son leadership. La cybersécurité ferroviaire sera-t-elle alignée avec l’ambition de l’Europe d’être en capacité de se procurer des produits et des services conçus pour répondre aux besoins et aux valeurs spécifiques de l’UE ? Il devient primordial pour l’UE de se doter d’un arsenal défensif et offensif commun, aussi bien au niveau stratégique, tactique et opérationnel. En tout cas, c’est l’ambition affichée des conclusions de la rencontre du Conseil européen d’octobre 2018 : avoir une infrastructure digitale de classe mondiale et une approche commune en cybersécurité à l’horizon 2025. Et les challenges sont de taille.
François Nguilla Kooh
Pour aller plus loin :