Après chaque incident de sécurité, la communauté nationale, et plus particulièrement, celle des experts en cybersécurité s’interroge pour savoir ce qui n’a pas fonctionné et pour en tirer les enseignements. L’objectif de ce bilan sera de renforcer la cyber résilience des infrastructures à caractère vitale.
En effet, alors que tous les regards étaient braqués sur la Seine et la cérémonie d’ouverture de JO Paris 2024, des infrastructures ferroviaires ont été sabotées, à des points névralgiques des réseaux. Ces sabotages ont entraîné une paralysie des trains et une situation chaotique dans les grandes gares.
Les enquêtes judiciaires et administratives identifieront, il faut l’espérer, les auteurs des sabotages, les sources de renseignements sur l’information sensible des points névralgiques et les responsabilités à divers niveaux.
L’analyse des risque ISO 27005 et la méthode EBIOS auraient-elles permis d’éviter le sabotage des lignes TGV pendant les JO Paris 2024?
Obligations réglementaires des opérateurs d’importance vitale.
Avant de répondre à cette question, interrogeons nous sur les obligations réglementaires des opérateurs comme la SNCF.
Depuis 2006, le dispositif secteur d’activité d’importance vitale (SAIV) en place pose le cadre des obligations des opérateurs jugés indispensables à la survie de la Nation. Ces opérateurs doivent se protéger contre les actes malveillants (terrorisme, sabotage, cyberattaques) et les risques naturels, technologiques, sanitaires.
En 2013, l’article 22 de la loi de programmation militaire a complété le dispositif en imposant aux opérateurs d’importance vitale (OIV) de renforcer la sécurité des systèmes d’information critiques, dénommés systèmes d’information d’importance vitale (SIIV).
Et parmi les règles imposées, figurent la gouvernance et le pilotage de la sécurité, l’identification et la maîtrise des risques, la maîtrise des systèmes d’information, la gestion des incidents et la protection des systèmes d’information.
La SNCF est, me semble-t-il, classée parmi les opérateurs d’importance vitale.
Les normes d’analyses des risques
Incontestablement l’ISO 27005, qui fait partie de la famille des normes ISO/IEC 27000, dédiées à la gestion de la sécurité de l’information, me semble être un bon outil.
Il existe d’autres méthodes, comme :
. EBIOS Risk Manager ( (Expression des Besoins et Identification des Objets de Sécurité), développée par l’Agence Nationale de la Sécurité des Systèmes de l’Information (ANSSI) en France. C’est aussi un cadre structuré pour la gestion des risques en matière de sécurité de l’information
. OCTAVE (Operationnaly Critical Threat, Asset and Vulnerability Evaluation) développé par le CERT (Computer Emergency Response Team) de l’Université Carnegie Mellon.
. COBIT (Control Objectives for Infrastructures and Related technologies) qui traite plus de la gouvernance et de la gestion de l’information.
. NIST SP 800-30 qui est le « Guide for conducting Risk Assessment) de l’Institut des Normes et de la Technologie (NIST) des Etats-Unis
. FAIR (Factor Analysis of Information Risks) qui est un modèle quantitatif pour évaluer les risques de la sécurité de l’information en termes financiers.
La combinaison de deux au moins de ces normes permet de couvrir les aspects physiques et informationnels de la gestion des risques.
Approche combinée ISO 27005 & EBIOS Risk Manager de l’analyse des risques
Une approche combinée de la norme ISO 27005 et de la méthode EBIOS Risk Manager me semble appropriée au cas de la gestion des risques des lignes TGV. Elle se décompose en sept (7) points, décrits ci-dessous.
1 – Contexte et cadrage
Il s’agit de définir le contexte, les critères d’évaluation des risques et des limites du système de l’information et d’identifier les objectifs et les parties prenantes.
Quels sont les enjeux et contraintes spécifiques à la SNCF?
2 – Etudier les sources de risques
Il s’agit d’identifier les sources de menaces potentielles notamment en faisant la cartographie des parties prenantes malveillantes.
Définir les profils des attaquants potentiels et leurs motivations.
3 – Identifier les risques et les scenarios
Les actifs critiques seront listés, si possible de manière exhaustive.
Construire des scenarios d’attaques en tenant compte des menaces et des vulnérabilités identifiées.
Evaluer les impacts potentiels de chaque scenario sur les actifs identifiés.
4 – Evaluer les risques
Il s’agit d’évaluer la probabilité de réalisation de chaque scénario et la gravité des impacts associés, puis de classer les risques en fonction de leur criticité.
Hiérarchiser en conséquence les actions de traitement des risques.
5 – Traiter les risques
Il s’agit ici de concevoir les mesures de sécurité et de mettre en œuvre des plans d’action pour traiter les risques en choisissant des options parmi l’acceptation, la réduction, l’évitement ou le transfert des risques.
Accepter un risque peut être une option préférable à la réduction du risque, si les coûts de réparation ou de dédommagement des clients sont acceptables, comparés aux coûts de réduction du risque.
6 – Communiquer sur les risques
Il s’agit d’assurer une communication efficace sur les risques et les décisions prises à destination des parties prenantes concernées.
La formation des personnels en est un axe prioritaire.
7- Bâtir un plan de continuité
A partir des tests de résilience, faits des simulations des scenarios et de l’amélioration de la résilience des infrastructures, l’Organisation doit construire un plan de continuité d’activité (PCA) ou d’un plan de reprise d’activité (PRA) en cas d’interruption du service, suite à un sabotage par exemple.
Comment les technologies de l’information peuvent contribuer à la maîtrise des risques ?
Les technologies de l’information sont très utilisées dans la maîtrise des risques, même si je recommande fortement de renforcer en parallèle la résilience des personnels. On peut citer, liste non exhaustive :
1 – Collecte de données par une surveillance en temps réel et une analyse des logs, journaux d’évènements pour identifier des comportements suspects ou des incidents de sécurité.
ex. capteur IoT, Caméras de sécurité
2 – Détection des intrusions pour identifier et réagir aux accès non autorisés.
3 – Plateforme de gestion des incidents avec des outils d’alerte et de coordination des actions.
En guise de conclusion
Ainsi le renforcement du cadre réglementaire, une approche collaborative qui favorise l’implication des diverses parties prenantes et une plus grande capacité d’adaptation sont les atouts pour sécuriser les lignes et les services pour les clients de la SNCF.
Pour aller plus loin, vous pouvez nous contacter. Nous nous ferons un plaisir de vous accompagner dans la sécurisation de vos infrastructures, services et systèmes d’information.