Cybersécurité : Comment sécuriser un écosystème ferroviaire de plus en plus connecté
Revue Routes et transports automne-hiver 2022-2023 : Décarbonation : transformation des transports, propulsion vertes | Article de Grégory Lemaire et Louis-Philippe Desjardins - Deloitte
Avec une croissance pré-pandémique à des niveaux records, le transport ferroviaire des passagers et des marchandises au Canada est à un point d’inflexion en matière d’investissements financiers et technologiques. Les trains à haute fréquence, la modernisation du transport des marchandises et l’expansion rapide du transport urbain offrent aux consommateurs et aux entreprises des chemins de fer plus sûrs, plus écologiques, plus sécuritaires et plus efficaces. En même temps, la convergence des technologies opérationnelles (TO) avec les technologies informatiques (TI) et l’Internet des objets (IoT) ouvrent la voie à un nombre accru de cyberattaques. Ces attaques demandent un rehaussement de la vigilance et des investissements en cybersécurité de la part des opérateurs ferroviaires afin d’atténuer la menace croissante.
Explorer les cyberrisques : sur les rails du numérique
Les Canadiens choisissent le transport ferroviaire en raison de l’évitement du trafic, des préoccupations environnementales, de la fiabilité et de la rentabilité, qui le rendent essentiel pour notre économie. Cependant, en tant que passagers, nous ne réalisons pas toujours les cyber défis auxquels nos transporteurs sont confrontés. Pour illustrer ces défis, prenons l’exemple d’un voyage typique entre Montréal et Toronto.
Aujourd’hui, les passagers peuvent acheter un billet et sélectionner un siège via une application web ou mobile. Le jour du départ, lorsqu’ils entrent dans la Gare Centrale, ils peuvent utiliser le Wifi, consulter les horaires d’arrivée et de départ des trains grâce à leurs applications et à la signalisation numérique, et accéder au train de leur choix grâce à leur billet numérique. Une fois dans le train, ils peuvent utiliser le Wifi à bord, vérifier l’heure des correspondances, se divertir avec leurs services préférés de musique ou de films en diffusion en continu et réserver leur Uber du dernier kilomètre à temps pour leur arrivée à la station Union à Toronto.
À l’avenir, des options sans contact encore plus perfectionnées pour les paiements en gare et à bord seront monnaie courante. Le voyage invisible qui les a conduits à destination est soutenu non seulement par la technologie opérationnelle (TO), mais aussi par une dépendance croissante et convergente à l’informatique traditionnelle (TI) et à l’internet des objets (IoT). Cette nouvelle infrastructure TO-TI-IoT doit être conçue, mise en œuvre et réalisée avec la sécurité physique et cybernétique comme impératif non négociable.
Principaux incidents cybernétiques ferroviaires
La numérisation et l’hyperconnectivité augmentent à la fois la surface d’attaque et le paysage de cybermenace. Récemment, en Amérique du Nord, il a été constaté une augmentation des cyberattaques perpétrées par des nations étrangères. En janvier 2018, une importante agence régionale de transport public au Canada a subi une cyberattaque au cours de laquelle un virus a infecté des ordinateurs. En octobre 2021, un important fournisseur de transport public canadien a subi une attaque par rançongiciel, mais cette cyberattaque n’a pas entraîné de violation de la vie privée ni compromis les systèmes de sécurité. Par le passé, des cas d’interférence à distance avec les systèmes opérationnels (TO) de transport ferroviaire ont provoqué des perturbations majeures. Plus récemment, dans le cadre du conflit entre l’Ukraine et la Russie, des cyberactivistes ont piraté les opérations ferroviaires afin de ralentir considérablement la circulation des trains. Cela démontre clairement que les attaques directes et indirectes peuvent compromettre les opérations et la sécurité des principaux chemins de fer au Canada.
Construire un écosystème ferroviaire plus sûr : investissements et priorités
Pour améliorer la sécurité des passagers, l’adoption de lignes directrices telles que la Stratégie sur la cybersécurité des véhicules de Transports Canada et la Loi sur la sécurité ferroviaire est essentielle à mesure que l’infrastructure continue d’évoluer. D’un point de vue économique, le Forum économique mondial indique que, grâce à la numérisation et à la convergence des technologies, l’industrie de la logistique pourrait réaliser une valeur potentielle estimée à 4 000 milliards de dollars US d’ici 2025. En conséquence, les dépenses et les investissements du marché de la cybersécurité ferroviaire (tant pour les passagers que pour le fret) devraient passer de 6,7 milliards de dollars américains en 2022 à 12,6 milliards de dollars US en 2028, avec un TCAC estimé à 11,1 % entre 2022 et 2028, démontrant l’intention de l’industrie ferroviaire de sécuriser correctement ses infrastructures critiques.
Nous entrons donc dans une période charnière, faite d’opportunités et de menaces. Les nouveaux systèmes convergents To-TI-IoT en cours d’élaboration ouvriront la porte à de nombreuses améliorations, mais pourront également présenter des vulnérabilités s’ils ne sont pas élaborés de manière sécurisée dès la conception. Traditionnellement, les systèmes opérationnels, qui font référence au matériel et aux logiciels qui facilitent le contrôle et la surveillance de l’infrastructure ferroviaire (tels que les limiteurs de vitesse et le freinage, les outils du conducteur, la gestion du contrôle des trains, les systèmes de contrôle automatiques des trains, la signalisation, le contrôleur embarqué des véhicules, les systèmes d’exploitation automatique des trains), sont segmentés du réseau informatique et utilisent des protocoles industriels et des logiciels personnalisés, les rendant plus difficiles à attaquer. Aujourd’hui, à mesure qu’ils évoluent, les environnements TO sont de plus en plus interconnectés et une mauvaise segmentation du réseau pourrait permettre à des acteurs malveillants de s’introduire dans les systèmes vulnérables et de se déplacer latéralement vers des infrastructures critiques.
Pour que l’industrie ferroviaire canadienne soit compétitive, nous devons donc entrer prudemment dans l’ère de l’Internet des objets orientée vers le consommateur, du rail autonome, de l’intelligence artificielle (IA) et de la technologie 5G. Le remplacement de la technologie actuelle GSM-R et 4G jouera un rôle crucial pour fournir une surveillance précise des trains et des infrastructures en temps réel. Pour les passagers, cela signifie des informations rapides et fiables en temps réel sur les fermetures de trains, les retards, les achats de billets sans papier, etc. Pour le personnel du transport ferroviaire, les informations acheminées par la 5G, telles que les données de capteurs de systèmes critiques, faciliteront la prise de décision et amélioreront la sécurité et la fiabilité du réseau. L’évolution et la mise en œuvre des changements susmentionnés nécessiteront de la prévoyance et un engagement envers la sécurité des infrastructures et des passagers. La vision d’un système sûr et cybersécurisé doit être au premier plan de la stratégie de conception des infrastructures ferroviaires de demain.
Figure 1 Défis de la sécurisation des infrastructure
Figure 2 Cadre de gouvernance, sûreté, vigilance et résilience
Construire un écosystème robuste : L’avenir des chemins de fer
Les consommateurs s’attendent à de plus en plus de commodités et de rapidité dans leur vie quotidienne. Pour le transport public et les chemins de fer de passagers, cela signifie que les entreprises devront évoluer et s’adapter pour rester en tête dans cette nouvelle ère d’innovation passionnante. Pour les voyageurs individuels, la transformation numérique impliquera des paiements sans contact, la disponibilité du Wifi, la réduction des retards des trains, des informations en temps réel et des systèmes de divertissement à bord. Les entreprises et les consommateurs pourront aussi bénéficier de l’amélioration de la sécurité par un contrôle ferroviaire de plus en plus surveillé et automatisé. L’intelligence artificielle (IA) permettra d’analyser d’énormes quantités de données provenant de capteurs embarqués et de sources externes afin de réduire les erreurs humaines. Ce sera aussi l’un des facteurs qui contribueront à réduire les coûts d’exploitation et à améliorer la planification et la maintenance. Dans ce nouvel environnement, les régulateurs devront également s’adapter afin d’utiliser pleinement les nouvelles capacités technologiques. Les réglementations actuelles qui exigent une inspection manuelle devront être ajustées, car la technologie peut offrir des solutions d’inspection plus rapides, plus sûres et plus précises. Toutes ces avancées dans les années à venir permettront d’apporter des changements positifs et de rester compétitif dans le secteur des transports ferroviaires, qui évolue rapidement et en permanence. Dans ce contexte, la sécurisation des réseaux ferroviaires doit être une priorité. Les considérations doivent inclure :
- Établir un modèle de gouvernance clair en matière de cybersécurité.
- Réaliser l’inventaire des actifs technologiques actuels, ainsi que les profils de risque associés.
- Combler les écarts traditionnels entre l’écosystème TI et TO.
- Adopter des nouvelles stratégies de sécurité telles que la Confiance Zéro.
En conclusion
Historiquement, alors que de nombreuses industries et secteurs étaient la cible de cyberattaques, les infrastructures ferroviaires n’étaient pas considérées comme une cible de choix, principalement en raison de l’isolement entre les systèmes informatiques (TI) et les systèmes opérationnels (TO) dans son écosystème. À mesure que les chemins de fer évoluent vers un écosystème interconnecté, la cybersécurité devient une considération primordiale pour protéger cette infrastructure nationale essentielle. Dans un contexte de cybermenaces accrues, les organisations doivent rehausser leur vigilance et faire des investissements importants en matière de cybersécurité pour combattre le nombre croissant d’attaques sur les infrastructures critiques. Ceci permettra au voyageur d’aujourd’hui et de demain de se déplacer en toute confiance, sachant que sa sécurité sera assurée et que ses données personnelles seront protégées.
Deloitte offre des services dans les domaines de l’audit et de la certification, de la consultation, des conseils financiers, des conseils en gestion des risques, de la fiscalité et d’autres services connexes à de nombreuses sociétés ouvertes et fermées dans différents secteurs. Deloitte sert quatre entreprises sur cinq du palmarès Fortune Global 500MD par l’intermédiaire de son réseau mondial de cabinets membres dans plus de 150 pays et territoires, qui offre les compétences de renommée mondiale, le savoir et les services dont les clients ont besoin pour surmonter les défis d’entreprise les plus complexes. Deloitte S.E.N.C.R.L./s.r.l., société à responsabilité limitée constituée en vertu des lois de l’Ontario, est le cabinet membre canadien de Deloitte Touche Tohmatsu Limited. Deloitte désigne une ou plusieurs entités parmi Deloitte Touche Tohmatsu Limited, société fermée à responsabilité limitée par garanties du Royaume-Uni, ainsi que son réseau de cabinets membres dont chacun constitue une entité juridique distincte et indépendante. Pour une description détaillée de la structure juridique de Deloitte Touche Tohmatsu Limited et de ses sociétés membres,.
Visitez le site web à www.deloitte.com/ca/apropos.
