Gestion des risques et résilience : Entretien avec Paul Gwynn, président du Comité de la cybersécurité
La cybersécurité est essentielle à la résilience des transports en Commun.
À mesure que les entreprises de transport public modernisent leurs activités pour les rendre plus efficaces, elles doivent également les rendre plus sûres.
En effet, tout système automatisé ou élément d’infrastructure numérique, de la billettique à la signalisation ferroviaire, est vulnérable aux cyberattaques.
Dans ce contexte, des mesures efficaces en matière de cybersécurité constituent le fondement d’une exploitation sûre des transports en commun.
Paul Gwynn
Président du Comité de la cybersécurité de l'UITP
Que fait l’UITP ?
Le Comité de la cybersécurité de l’UITP rassemble des experts et des professionnels de l’ensemble du secteur.
Ce comité s’efforce de sensibiliser les acteurs concernés et de fournir des recommandations sur les meilleures pratiques en matière de gouvernance de la cybersécurité et de conception axée sur la sécurité, ainsi que de renforcer les capacités indispensables en matière de cybersécurité pour le secteur des transports publics.
La dernière publication en date s’intitule « Cybersécurité pour les petites et moyennes autorités de transport public » ; elle a été mise à la disposition exclusive des Membres de l’UITP en février 2024.
Cette publication présente le sujet aux opérateurs disposant d’une expérience et de ressources limitées.
Il présente les quatre objectifs clés indispensables à une stratégie de cybersécurité efficace, ainsi que les différentes approches requises pour les technologies de l’information (TI) et les technologies opérationnelles (TO), en fournissant des exemples concrets du point de vue d’un responsable de la sécurité informatique et d’un responsable de la sécurité des technologies opérationnelles.
Afin d’évoquer l’importance de la cybersécurité dans les transports en Commun (TC) et le rôle joué par l’UITP, nous nous sommes entretenus avec Paul Gwynn, président du Comité de la cybersécurité de l’UITP.
Entretien avec Paul Gwynn, président du Comité de la cybersécurité
Q : Comment le Comité de la cybersécurité a-t-il vu le jour ?
Paul Gwynn : En 2016, le Policy Board a sollicité l’avis du Comité ITSI sur la manière d’aborder la cybersécurité. Nous avons travaillé sur un premier rapport qui a donné lieu aux mesures à prendre : La cybersécurité dans le Transport en Commun (TC), qui traitait des premières étapes à suivre, des mesures à prendre, des ressources disponibles et des principaux Standards du secteur des transports publics. Mais le monde a évolué en six ans, et nous souhaitons donc le mettre à jour cette année.
À la suite des mesures à mettre en œuvre, la cybersécurité a été identifiée comme un sujet important et il nous a été demandé de mettre en place un groupe de travail au sein du Comité de la sécurité (Security Committee). Très rapidement, la Cybersécurité est devenue un sujet brûlant et nous avons reçu de nombreuses demandes concernant des problèmes complexes, allant de la sécurité physique et technique aux vulnérabilités des systèmes de vidéosurveillance et des communications radio. Et nous avons constaté que les gens étaient vraiment mal informés en matière de Cybersécurité.
Paul Gwynn
Président du Comité de la cybersécurité de l'UITP
Renforcer la résilience
Q : En quoi ce Comité a-t-il un impact ?
Paul Gwynn : En publiant des documents contenant des lignes directrices et des exemples de bonnes pratiques, nous avons un impact considérable. Par exemple, notre rapport sur les exigences en matière de Cybersécurité dans les appels d’offres a déjà été utilisé dans le cadre d’appels d’offres publics à travers le monde. Un article à paraître, qui, selon moi, devrait rencontrer un vif succès auprès des opérateurs, explore les outils de gestion des risques destinés tant aux petits qu’aux grands opérateurs. Dans cet article, nous souhaitons apporter des réponses concrètes sur la manière dont les opérateurs peuvent procéder à des évaluations des risques sur leurs systèmes.
Par ailleurs, nous sommes fortement impliqués dans des activités de plaidoyer et de sensibilisation, notamment dans le cadre de notre collaboration avec l’APTA en Amérique du Nord et de nos relations naissantes avec l’ENISA, l’Agence européenne de la Cybersécurité. Nous échangeons des informations et les invitons à nos réunions de Comité afin d’avoir une vision plus large du monde de la cybersécurité.
Il s’agit également de sensibiliser les membres et de répondre aux questions au sein d’autres comités de l’UITP. En effet, si vous débutez dans le domaine de la Cybersécurité, il existe de nombreuses normes auxquelles vous pouvez vous référer, mais il est souvent difficile de comprendre comment elles s’appliquent aux différents modes de Transport en Commun (TC). Bon nombre de nos rapports expliquent comment ces principes directeurs peuvent être mis en pratique.
Paul Gwynn
Président du Comité de la cybersécurité de l'UITP
Menaces et risques
Q : Quels sont les risques liés à une cybersécurité insuffisante dans le Transport en Commun (TC) ?
Paul Gwynn : En d’autres termes, vous risquez de subir une interruption de service. Par exemple, les données qui font fonctionner votre système de billettique pourraient être bloquées par une attaque par déni de service distribué (DDoS). Et alors, personne ne peut recharger sa carte et vous n’avez plus de recettes. Ou bien, si votre système de gestion des effectifs tombe en panne, les conducteurs ne connaissent plus leurs horaires, et du coup, les trains ne circulent plus et les bus ne quittent pas le dépôt. Ce sont des problèmes simples aux conséquences considérables.
Parfois, cela peut simplement être agaçant et embarrassant, par exemple lorsque des pirates informatiques modifient les messages affichés sur les panneaux. Mais surtout, cela peut constituer un réel danger pour la vie. Par exemple, les attaques visant les systèmes OT peuvent avoir des répercussions sur des systèmes critiques pour la sécurité, tels que la signalisation ferroviaire. Ce n’est pas impossible.
Une étude de cas tirée des mesures à prendre
Un pirate informatique provoque des perturbations dans le réseau de tramways de Łódź, en Pologne
En 2008, à Łódź, en Pologne, un individu a modifié une télécommande de télévision afin de pirater le réseau de tramways, prenant ainsi le contrôle d’un tramway et des systèmes d’aiguillage.
Au cours de cet incident, quatre tramways ont déraillé et plusieurs autres ont dû effectuer un arrêt d’urgence, faisant douze blessés.
Pour mener à bien cette opération, le pirate informatique a utilisé des informations accessibles à tous et s’est introduit dans des dépôts de tramways afin de se procurer les informations et le matériel nécessaires.
Attaques, violations de sécurité et incidents
Q : Pourquoi quelqu’un s’en prendrait-il à un organisme de transport public ?
Paul Gwynn : Les motivations sont diverses. On parle à propos de pirates informatiques malveillants et de ceux qui utilisent des ransomwares pour extorquer de l’argent, ou encore de groupes politiques susceptibles de prendre le contrôle de nos systèmes d’information. Mais vous avez aussi des employés mécontents. Nous constatons de plus en plus souvent des cyberattaques menées par des acteurs étatiques.
Très souvent, les réseaux de Transport en Commun (TC) sont attaqués non pas parce qu’ils sont pris pour cible, mais parce qu’ils sont vulnérables. Chaque jour, des centaines de cyberattaques visent les systèmes, et des personnes cherchent à s’y introduire. Jusqu’à présent, nous avons eu beaucoup de chance que le secteur des transports publics n’ait pas été la cible d’attaques délibérées.
Mais la cybersécurité ne protège pas seulement contre les attaques externes. Le facteur humain est la principale cause des violations de données. Le fait est que tout le monde fait des erreurs. 85 % de toutes les violations de données sont dues à une erreur humaine. C’est un hasard. En réalité, une grande partie de notre travail porte sur la formation, la sensibilisation et les tests.
- 85 % de toutes les violations de données sont dues à une erreur humaine
- Selon les statistiques de l’ENISA, les attaques DDoS représentent 53 % des attaques au Portugal
- Selon l’ENISA, les ransomwares représentent 19 % des attaques au Portugal
Recommandations en matière de cybersécurité
Q : Quels conseils donneriez-vous aux opérateurs et aux autorités qui souhaitent numériser leurs activités tout en garantissant leur sécurité ?
Paul Gwynn : En fin de compte, les organisations doivent comprendre et gérer les risques auxquels elles sont exposées. Cela passe tout d’abord par un audit de l’ensemble de votre système, puis par la réalisation d’analyses de risques. Vous devez donner la priorité aux risques les plus élevés pour votre système et mettre en place des mesures d’atténuation afin de contrôler et de gérer ces risques. Par exemple, en mettant en place des procédures internes, en organisant la formation de votre personnel, en segmentant vos réseaux et en modernisant vos équipements informatiques. En réalité, à propos de ce dont nous parlons ici, c’est de la cybersécurité intégrée dès la conception.
Pour garantir sa sécurité, votre système doit faire l’objet d’une surveillance continue. Tout au long de la durée de vie du système, de nombreux changements auront lieu. Et chaque fois qu’un changement intervient, il faut procéder à une analyse d’impact pour déterminer les conséquences de ce changement. La cybersécurité n’est pas une tâche que l’on accomplit une seule fois. C’est un processus qui dure toute la vie.
Paul Gwynn
Président du Comité de la cybersécurité de l'UITP
L’avenir du Comité
Q : Quel est l’avenir du Comité de la cybersécurité ?
Paul Gwynn : Avec l’Académie de formation, nous avons déjà organisé cinq ou six cours de formation différents. La cybersécurité est un domaine relativement nouveau pour la plupart des opérateurs et des autorités, ce qui rend difficile le recrutement des personnes compétentes. À cette fin, nous souhaitons mettre en place un diplôme de l’UITP destiné à former le personnel à la Cybersécurité.
Nous savons que de nombreux opérateurs recrutent en interne. Souvent, il ne s’agit pas de personnes ayant une formation en Cybersécurité, mais simplement de personnes qui s’intéressent à ce domaine ou qui ont la capacité d’enquêter. Nous pensons qu’un diplôme de l’UITP en cybersécurité peut être utile à nos membres et offrir aux personnes intéressées de belles perspectives d’emploi.
La nouvelle publication
La cybersécurité pour les petites et moyennes entreprises d’exploitants des transports publics
Q : Pour finir, que pouvez-vous nous dire à propos de la nouvelle publication de votre comité, intitulée « Cybersécurité pour les exploitants des transports publics de petite et moyenne taille » ?
Paul Gwynn : Cet article est à propos du développement de systèmes technologiques opérationnels destinés à lutter contre les menaces nouvelles et émergentes. Il se passe actuellement beaucoup de choses dans le domaine de la Transformation numérique ; nous voulons donc nous assurer que les gens prennent conscience de leur vulnérabilité. En résumé, c’est formidable de disposer de ce nouvel environnement numérique et de vouloir échanger des données librement, mais vous devez être conscient des cybermenaces potentielles auxquelles vous vous exposez en agissant ainsi.
Le rapport présente ces menaces aux opérateurs disposant d’une expérience ou de ressources limitées, ainsi que les mesures qu’ils peuvent prendre pour commencer à y remédier. Il met en avant les standards et les bonnes pratiques pertinentes, dans une approche claire et concrète.