![\"La](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/indus-2020-ferroviaire-1-menaces-1024x576.jpg\" "\\"Image")
<\/p>\n<\/p>\n
C\u2019est l\u2019histoire d\u2019une r\u00e9volution industrielle qui en rencontre une autre : le monde ferroviaire n\u2019\u00e9chappe pas \u00e0 la transformation num\u00e9rique. Billets \u00e9lectroniques, wifi \u00e0 bord\u2026 Les b\u00e9n\u00e9fices pour l\u2019exp\u00e9rience voyageur sont \u00e9vidents, mais la mutation est aussi industrielle, \u00e0 l\u2019\u00e9chelle d\u2019infrastructures de taille nationale. Avec \u00e0 la cl\u00e9, de nouveaux leviers d\u2019excellence op\u00e9rationnelle, mais aussi leur lot de risques corollaires \u2013 au premier rang desquels la menace cyber. Tour d\u2019horizon de la cybers\u00e9curit\u00e9 ferroviaire \u00e0 l'heure de la num\u00e9risation du r\u00e9seau ferr\u00e9.<\/strong><\/p>\n Quand on \u00e9voque la transformation num\u00e9rique du secteur ferroviaire, on pense billets \u00e9lectroniques ou connectivit\u00e9 \u00e0 bord. Mais l\u2019innovation gagne toutes les couches d\u2019un syst\u00e8me informatique ferroviaire chaque jour plus connect\u00e9. Internet des objets, cloud ou edge computing, automatisation, robotisation et intelligence artificielle\u2026 Autant de ruptures technologiques qui font basculer l\u2019industrie ferroviaire dans une nouvelle \u00e8re.<\/p>\n <\/p>\n Pour Franck Bourguet<\/strong>, Vice-Pr\u00e9sident Engineering Stormshield, les opportunit\u00e9s du num\u00e9rique dans le ferroviaire se distribuent dans trois grandes cat\u00e9gories. Parmi elles, l\u2019excellence op\u00e9rationnelle<\/strong> occupe une place de choix\u00a0: \u00ab\u00a0l\u2019une des promesses du ferroviaire 2.0 est de proposer des solutions qui permettent d\u2019augmenter la capacit\u00e9 des r\u00e9seaux actuels, en exploitant au mieux les infrastructures disponibles<\/em>\u00a0\u00bb. On parle ici d\u2019optimiser le service rendu en am\u00e9liorant la fr\u00e9quence et la ponctualit\u00e9 des trains, tout en assurant le niveau de s\u00e9curit\u00e9 fonctionnelle requis, voire en l\u2019am\u00e9liorant. Autre volet majeur, celui de la s\u00e9curit\u00e9 du passager<\/strong>\u00a0: les nouveaux outils, tels la vid\u00e9oprotection ou les capteurs IIoT (Industrial Internet of Things<\/em>) int\u00e9gr\u00e9s aux syst\u00e8mes de contr\u00f4le et de supervision, apportent une visibilit\u00e9 in\u00e9dite dans les trains et les stations. Enfin, l\u2019exp\u00e9rience voyageur<\/strong> est augment\u00e9e, notamment gr\u00e2ce aux services embarqu\u00e9s ou en gare avec les \u00e9crans d\u2019information, de divertissement, ou la num\u00e9risation du titre de transport.<\/p>\n Saisir ces opportunit\u00e9s exige des op\u00e9rateurs de d\u00e9ployer de nouvelles capacit\u00e9s de connectivit\u00e9 dans les syst\u00e8mes informatiques de transports ferroviaires, dans les syst\u00e8mes de contr\u00f4le ferroviaires ou encore au niveau de la supervision ferroviaire. Ainsi que dans les stations et les trains : protocoles IP, Wi-Fi, normes GPRS, 4G LTE\u2026 Elles permettent par exemple au train d\u2019interagir avec le centre de contr\u00f4le, dans le cadre des communications sol \/ bord. Et ces technologies ne sont pas seulement l\u2019apanage des nouveaux \u00e9quipements : elles rendent d\u00e9sormais ouvert (donc communicant, donc intelligent) ce qui \u00e9tait traditionnellement ferm\u00e9.<\/p>\n Quand on s\u2019attaque au monde du transport, on peut vite avoir des effets absolument dramatiques, y compris sur les vies humaines<\/em><\/p>\n Mais ouvrir ses r\u00e9seaux, c\u2019est aussi les rendre vuln\u00e9rables et les exposer aux attaques malfaisantes\u2026 Pour une infrastructure critique comme le rail, le caract\u00e8re crucial de la question n\u2019\u00e9chappera \u00e0 personne\u00a0: \u00ab\u00a0Quand on s\u2019attaque au monde du transport, on peut vite avoir des effets absolument dramatiques, y compris sur les vies humaines<\/em>\u00a0\u00bb, rappelait Guillaume Poupard<\/strong>, Directeur g\u00e9n\u00e9ral de l\u2019ANSSI \u00e0 l\u2019occasion du Forum International de la Cybers\u00e9curit\u00e9 (FIC), \u00e0 Lille en 2017.<\/p>\n <\/p>\n Parce qu\u2019ils exigent disponibilit\u00e9, accessibilit\u00e9 et s\u00e9curit\u00e9 accrues, les syst\u00e8mes informatiques de transports ferroviaires se doivent d\u2019\u00eatre solides et r\u00e9silients<\/a> pour faire face aux cyberattaques. Quels sont les crit\u00e8res qui rendent l\u2019infrastructure du rail vuln\u00e9rable\u00a0?<\/p>\n Franck Bourguet distingue plusieurs types de risques<\/a>. C\u00f4t\u00e9 syst\u00e8mes d\u2019aide \u00e0 la conduite et de contr\u00f4le, parce qu\u2019ils sont d\u00e9sormais connect\u00e9s et communicants, leurs vuln\u00e9rabilit\u00e9s offrent de nouvelles surfaces d\u2019attaque. L\u2019exploitation de ces failles peut avoir de lourdes cons\u00e9quences \u2013 jusqu\u2019\u00e0 la prise de contr\u00f4le du train.<\/p>\n Autre domaine \u00e0 surveiller, la billettique et les risques financiers associ\u00e9s. Tr\u00e8s expos\u00e9s, ces syst\u00e8mes informatiques ferroviaires ont des probl\u00e9matiques finalement proches de celles des sites web, comme la s\u00e9curisation du paiement ou la validit\u00e9 du titre de transport.<\/p>\n Enfin, la s\u00e9curit\u00e9 et le confort des passagers peuvent \u00eatre les cibles d\u2019attaques malveillantes. Franck Bourguet d\u00e9veloppe un scenario qui met en \u00e9vidence le caract\u00e8re critique de certaines fonctions, avec le cas des trains sans personnel\u00a0: \u00ab\u00a0bloquer la capacit\u00e9 d\u2019un train \u00e0 communiquer avec son centre de contr\u00f4le ou avec ses passagers, par exemple au milieu d\u2019un tunnel, peut provoquer des mouvements de panique \u00e9normes<\/em>\u00a0\u00bb, illustre l\u2019expert. Moins dramatique mais toujours d\u00e9sastreux en termes d\u2019image, la prise de contr\u00f4le des syst\u00e8mes d\u2019informations et de divertissement, \u00e0 bord ou en station.<\/p>\n Enfin, les technologies issues de l\u2019industrie 4.0 appliqu\u00e9es au domaine ferroviaire cr\u00e9ent des risques nouveaux<\/strong>. Citons le cas des maintenances pr\u00e9dictives, connect\u00e9es et pr\u00e9visionnelles qui se d\u00e9veloppent \u00e0 toute allure, port\u00e9e par les progr\u00e8s de l\u2019intelligence artificielle\u00a0: \u00ab\u00a0en rendant indisponibles les syst\u00e8mes de supervision technique, ou en falsifiant leurs donn\u00e9es, on peut courir le risque de d\u00e9gradations d\u2019\u00e9quipement, de services non rendus, voire d\u2019accidents<\/em>\u00a0\u00bb, illustre Franck Bourguet.<\/p>\n <\/p>\n Les cyber-attaquants ont bien identifi\u00e9 ce large spectre de nuisances. D\u2019apr\u00e8s le rapport The Cyberthreat Handbook<\/em> publi\u00e9 en octobre 2019 par Thales et l\u2019entreprise de cyber intelligence Verint, le transport est le quatri\u00e8me secteur le plus attaqu\u00e9 par les pirates informatiques \u2013 apr\u00e8s le secteur de la D\u00e9fense, le secteur financier et l\u2019\u00e9nergie.<\/p>\n \u00c0 petite \u00e9chelle, on citera l\u2019exemple de ce script-kiddie de 14 ans qui r\u00e9ussissait \u00e0 prendre le contr\u00f4le du r\u00e9seau de tram de Lodz<\/a> en Pologne en 2008, avec une simple commande de t\u00e9l\u00e9vision alt\u00e9r\u00e9e. Un bidouillage qui avait provoqu\u00e9 le d\u00e9raillement de quatre trains et 12 bless\u00e9s. Puis passage \u00e0 plus grande \u00e9chelle en 2015, au CeBIT de Hanovre o\u00f9 une simulation avait reconstitu\u00e9 une infrastructure type (flux de vid\u00e9osurveillance, interfaces de contr\u00f4le, planification horaire\u2026) pour estimer la typologie et l\u2019intensit\u00e9 des actes malveillants. Sur une p\u00e9riode de 6\u00a0semaines, les chercheurs ont enregistr\u00e9 un total de 2\u00a0745\u00a0267\u00a0attaques, dont 10% avaient partiellement pris le contr\u00f4le du syst\u00e8me.<\/p>\n Alors, quelles sont les m\u00e9thodes de pr\u00e9dilection des hackers\u00a0? L\u2019attaque par d\u00e9ni de service (DDoS attack<\/em>) demeure un classique\u00a0: \u00ab\u00a0il est parfois plus facile de bloquer la communication que de p\u00e9n\u00e9trer un syst\u00e8me<\/em>\u00a0\u00bb, remarque Franck Bourguet. Un ran\u00e7ongiciel qui se propage \u00e0 la faveur d\u2019une d\u00e9faillance humaine (phishing<\/em> et pi\u00e8ces-jointes pi\u00e9g\u00e9es), voil\u00e0 une autre configuration d\u2019attaque fr\u00e9quente, facile \u00e0 mettre en \u0153uvre et dont les d\u00e9g\u00e2ts peuvent \u00eatre cons\u00e9quents. Deutsche\u00a0Bahn, la compagnie des chemins de fer allemands, a \u00e9t\u00e9 victime du tristement c\u00e9l\u00e8bre Wannacry<\/a> en mai\u00a02017. Le ransomware<\/em> a ainsi infect\u00e9 450\u00a0ordinateurs, touchant les syst\u00e8mes d\u2019information passagers, distributeurs de tickets et les r\u00e9seaux de vid\u00e9osurveillance. Encore exemple en novembre\u00a02016, o\u00f9 la compagnie de transport de San Francisco a \u00e9t\u00e9 victime d\u2019un ransomware<\/a>, bloquant les distributeurs de tickets pendant 48\u00a0heures. La compagnie SF Muni fut alors contrainte de d\u00e9sactiver ses barri\u00e8res et d\u2019ouvrir les transports, entra\u00eenant de lourdes pertes financi\u00e8res.<\/p>\n <\/p>\n On aura compris l\u2019importance du \u00ab\u00a0legacy<\/em>\u00a0\u00bb dans l\u2019industrie ferroviaire, ce patrimoine (syst\u00e8mes informatiques, \u00e9quipements\u2026) issu d\u2019un pass\u00e9 o\u00f9 le num\u00e9rique \u00e9tait balbutiant, voire inexistant, et qui est encore en fonctionnement. Et \u00e0 l\u2019heure o\u00f9 celui-ci devient intelligent, la croyance selon laquelle ces \u00e9quipements con\u00e7us pour des environnements non connect\u00e9s seraient prot\u00e9g\u00e9s devient d\u00e8s lors obsol\u00e8te.<\/p>\n Pour Franck Bourguet, certains protocoles propri\u00e9taires n\u2019int\u00e8grent pas dans leur conception un moyen de s\u00e9curiser les donn\u00e9es qu\u2019ils transportent. Et cette correction est impossible \u00e0 apporter sans un retrofit<\/em> et un investissement important. Toutefois, des solutions de cybers\u00e9curit\u00e9 existent<\/strong>, ajoutant une couche de protection firewall, avec une capacit\u00e9 de chiffrement ou de filtrage et d\u2019analyses protocolaires, capables de valider la conformit\u00e9 des \u00e9changes.<\/p>\n Autre point de vigilance\u00a0: outre les r\u00e9seaux, la protection des postes de travail et des diff\u00e9rents \u00e9quipements est fondamentale, afin de les prot\u00e9ger des attaques locales, des codes ou des logiciels malveillants. Dans un contexte industriel<\/a>, on parle ici de postes de contr\u00f4les, de capteurs, d\u2019actionneurs ou autres automates autonomes. Ainsi, si le r\u00e9seau est corrompu, des solutions existent pour bloquer l\u2019attaque qui ciblerait \u00e9galement ces \u00e9quipements industriels.<\/p>\n La protection des donn\u00e9es constitue aussi un axe \u00e0 travailler\u00a0: \u00e0 l\u2019heure o\u00f9 la RATP ouvre son laboratoire d\u2019intelligence artificielle \u00e0 Ch\u00e2telet-Les-Halles, on soulignera les enjeux de confidentialit\u00e9 autour des vid\u00e9os capt\u00e9es dans les trains ou en gare, ainsi que l\u2019usage d\u2019internet et du cloud pour faire circuler les donn\u00e9es qui nourrissent les algorithmes. Enjeux auxquels les solutions de chiffrement peuvent apporter des r\u00e9ponses adapt\u00e9es.<\/p>\n <\/p>\nLes promesses du monde ferroviaire 2.0<\/h2>\n
Guillaume Poupard,<\/strong> Directeur g\u00e9n\u00e9ral de l\u2019ANSSI<\/pre>\n<\/blockquote>\n
Pourquoi le ferroviaire est vuln\u00e9rable aux cyberattaques<\/h2>\n
De quels risques parle-t-on\u00a0?<\/h2>\n
Cybers\u00e9curit\u00e9 ferroviaire\u00a0: des r\u00e9ponses gradu\u00e9es, \u00e0 plusieurs niveaux<\/h2>\n