Analyses des risques et sabotage des lignes TGV

Après chaque incident de sécurité, la communauté des experts en cybersécurité s’interrogent sur ce qui n’a pas fonctionné et pour en tirer les enseignements. L’objectif de ce bilan sera de renforcer la cyber résilience des infrastructures à caractère vitale.
En effet, alors que tous les regards étaient braqués sur la Seine et la cérémonie d’ouverture de JO Paris 2024. Des infrastructures ferroviaires ont été sabotées, à des points névralgiques des réseaux. Ces sabotages ont entraîné une paralysie des trains et une situation chaotique dans les grandes gares.
Les enquêtes judiciaires et administratives identifieront, il faut l’espérer, les auteurs des sabotages, les sources de renseignements sur l’information sensible des points névralgiques et les responsabilités à divers niveaux.
L’analyse des risque ISO 27005 et la méthode EBIOS auraient-elles permis d’éviter le sabotage des lignes TGV pendant les JO Paris 2024?

Obligations réglementaires des opérateurs d’importance vitale.

Tout d’abord et avant de répondre à cette question, interrogeons nous sur les obligations réglementaires des opérateurs comme la SNCF.
Depuis 2006, le dispositif secteur d’activité d’importance vitale (SAIV) impose des obligations des opérateurs jugés indispensables à la survie de la Nation. Ces opérateurs doivent se protéger contre les actes malveillants (terrorisme, sabotage, cyberattaques) et les risques naturels, technologiques, sanitaires.
En 2013, l’article 22 de la loi de programmation militaire a complété le dispositif en imposant aux opérateurs d’importance vitale (OIV) de renforcer la sécurité des systèmes d’information critiques. Ces systèmes sont dénommés des systèmes d’information d’importance vitale (SIIV).
Et parmi les règles imposées, figurent la gouvernance et le pilotage de la sécurité, l’identification et la maîtrise des risques, la maîtrise des systèmes d’information, la gestion des incidents et la protection des systèmes d’information.
La SNCF est classée parmi les opérateurs d’importance vitale.

Les normes d’analyses des risques

Incontestablement l’ISO 27005, qui fait partie de la famille des normes ISO/IEC 27000, dédiées à la gestion de la sécurité de l’information, me semble être un bon outil.

Il existe d’autres méthodes, comme :
. EBIOS Risk Manager ( (Expression des Besoins et Identification des Objets de Sécurité), développée par l’Agence Nationale de la Sécurité des Systèmes de l’Information (ANSSI) en France. C’est aussi un cadre structuré pour la gestion des risques en matière de sécurité de l’information
. NIST SP 800-30 qui est le « Guide for conducting Risk Assessment) de l’Institut des Normes et de la Technologie (NIST) des Etats-Unis
. FAIR (Factor Analysis of Information Risks). C’est un modèle quantitatif pour évaluer les risques de la sécurité de l’information en termes financiers.

La combinaison de deux au moins de ces normes permet de couvrir les aspects physiques et informationnels de la gestion des risques.

Approche combinée ISO 27005 & EBIOS Risk Manager de l’analyse des risques

Une approche combinée de la norme ISO 27005 et de la méthode EBIOS Risk Manager est appropriée au cas de la gestion des risques des lignes TGV. Elle se décompose en sept (7) points, décrits ci-dessous.

1 – Contexte et cadrage

Tout d’abord, il s’agit de définir le contexte, les critères d’évaluation des risques et des limites du système de l’information et d’identifier les objectifs et les parties prenantes.
Quels sont les enjeux et contraintes spécifiques à la SNCF?

2 – Etudier les sources de risques

Ensuite, il s’agit d’identifier les sources de menaces potentielles notamment en faisant la cartographie des parties prenantes malveillantes.
Définir les profils des attaquants potentiels et leurs motivations.

3 – Identifier les risques et les scenarios

Par ailleurs, les actifs critiques seront listés, si possible de manière exhaustive.
Construire des scenarios d’attaques en tenant compte des menaces et des vulnérabilités identifiées.
Evaluer les impacts potentiels de chaque scenario sur les actifs identifiés.

4 – Evaluer les risques

De plus, évaluer la probabilité de réalisation de chaque scénario et la gravité des impacts associés, puis de classer les risques en fonction de leur criticité.
Hiérarchiser en conséquence les actions de traitement des risques.

5 – Traiter les risques

Pour y remédier, concevoir les mesures de sécurité et de mettre en œuvre des plans d’action pour traiter les risques en choisissant des options parmi l’acceptation, la réduction, l’évitement ou le transfert des risques.
Accepter un risque peut être une option préférable à la réduction du risque, si les coûts de réparation ou de dédommagement des clients sont acceptables, comparés aux coûts de réduction du risque.

6 – Communiquer sur les risques

En conséquence, l’Organisation doit assurer une communication efficace sur les risques et les décisions prises à destination des parties prenantes concernées.

La formation des personnels en est un axe prioritaire.

7- Bâtir un plan de continuité

Enfin mettre en place un plan, des tests de résilience, faits des simulations des scenarios et de l’amélioration de la résilience des infrastructures.

L’Organisation doit construire un plan de continuité d’activité (PCA) ou d’un plan de reprise d’activité (PRA) en cas d’interruption du service, suite à un sabotage par exemple.

Comment les technologies de l’information peuvent contribuer à la maîtrise des risques ?

Les technologies de l’information sont très utilisées dans la maîtrise des risques. Je recommande fortement de renforcer en parallèle la résilience des personnels. On peut citer, liste non exhaustive :

1 – Collecte de données par une surveillance en temps réel

2- Analyse de la journalisation des évènements pour identifier des comportements suspects ou des incidents de sécurité.
ex. capteur IoT, Caméras de sécurité

2 – Détection des intrusions pour identifier et réagir aux accès non autorisés.

3 – Plateforme de gestion des incidents avec des outils d’alerte et de coordination des actions.

En guise de conclusion

Ainsi le renforcement du cadre réglementaire, je recommande une approche collaborative qui favorise l’implication des diverses parties prenantes.
Elle sera renforcée par une plus grande capacité d’adaptation pour sécuriser les lignes et les services pour les clients de la SNCF.

Pour aller plus loin, vous pouvez nous contacter.

Nous nous ferons un plaisir de vous accompagner dans la sécurisation de vos infrastructures, services et systèmes d’information.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

L’analyse des risques aurait-elle permis d’éviter le sabotage des lignes de trains à grande vitesse?

Obligations réglementaires des opérateurs d’importance vitale.

Les normes d’analyses des risques