Professional Documents
Culture Documents
LM21 Com AEGIS v5.1
LM21 Com AEGIS v5.1
SECURITE FERROVIAIRE
Résumé Summary
Cette démarche de maîtrise des risques a été élaborée The aim of this risk management process is to integrate
dans le but d’intégrer les exigences liées aux cyber- cyber threats in addition to recognised railway safety
menaces dans le processus de construction de la sécurité analysis.
ferroviaire qui est reconnu actuellement. The method consists of 5 modules : Context, Sources of
La méthode se décompose en 5 modules : Contexte, threat characterization, Strategic scenarios analysis,
Caractérisation des sources de menace, Analyse des Operational scenarios analysis and Defence system
scénarios stratégiques, Analyse des scénarios specification.
opérationnels et Spécification du système de défense. A complete and practical case study has been performed
Un cas pratique de mise en œuvre réelle et complète de la on a CBTC GOA4. The results are conclusive and so the
méthode a été réalisé sur un CBTC GOA4. Le résultat a RATP wants to generalise this process to the overall
été jugé concluant et la RATP souhaite généraliser cette concerned systems.
démarche sur l’ensemble des systèmes concernés.
Contexte Préambule
La numérisation croissante des fonctions de sécurité Afin de bâtir cette méthode, il était important de réaliser un
ferroviaire conjuguée à la multiplication des état des lieux entre la sécurité physique, la sécurité
interconnexions entre systèmes critiques crée des ferroviaire et la cybersécurité, telles qu’elles sont
vulnérabilités potentielles qui pourraient être exploitées par usuellement employées d’une manière générale ainsi qu’à
des acteurs motivés et capables. la RATP. Une comparaison entre ces différentes
Pour contrer ces nouvelles menaces de nombreuses composantes a ainsi été effectuée selon une série de
réflexions et travaux ont été entrepris : Guide de la critères, mettant ainsi en exergue les points de
cybersécurité de l’ANSSI ou encore l’IEC 62443. En convergence et de divergence qui les caractérisent. De
parallèle, l’Etat français met progressivement en place un cette analyse un ensemble de principes fondamentaux ont
cadre réglementaire strict pour tous les secteurs d’activité été tirés et ont guidé la démarche, en particulier
d’importance vitale, avec l’objectif d’aboutir à un véritable l’articulation entre la cybersécurité et la sécurité ferroviaire.
processus d’homologation de la cybersécurité. Parmi les éléments structurants, on doit souligner le choix
De fait, la cybersécurité est devenue aujourd’hui, pour la d’EBIOS NG comme ligne directrice avec :
RATP, une dimension fondamentale de la sécurité globale • le pilotage de l’analyse des risques par les
de ses systèmes ferroviaires, au même titre que la sûreté événements redoutés issus des analyses de
de fonctionnement et la sécurité physique. sécurité ferroviaire ;
La RATP a donc décidé de définir et mettre en œuvre une • le profilage approfondi des sources de menace
véritable stratégie de défense du système de transport – hostiles, nourri des concepts du renseignement
ce qu’aucune méthode actuelle ne propose – qui couvre criminel ;
toutes les Sécurités, en s’appuyant sur ses points forts : • l’expression des objectifs de cybersécurité par des
• une culture systémique bien ancrée ; niveaux de protection inspirés de l’IEC 62443, en
• une maturité très élevée sur la sûreté de complément des SIL de la sécurité ferroviaire ;
fonctionnement (sécurité ferroviaire) ; • l’introduction progressive des différents modèles
• un savoir-faire éprouvé en matière de modélisation du système-cible produits par les analyses de
de la menace et de sécurité physique ; sécurité ferroviaire pour raffiner les scénarios
• un important retour d’expérience sur des analyses d’attaque et transformer les objectifs de
de risque EBIOS (2010) menées sur des systèmes cybersécurité en exigences allouées à des sous-
de transport ; systèmes, composants etc. ou exportées vers
• une forte implication dans des projets de d’autres parties prenantes ;
recherche, des instances de normalisation et des • l’utilisation intensive de bases de connaissance
groupes de travail sur ces sujets. réputées comme CWE ou CAPEC pour modéliser
Le résultat est la méthode AEGIS (Analyse et Evaluation des scénarios aussi détaillés que nécessaire et
Globales des événements et Impacts de Sécurités) dont garantir leur complétude ;
nous présentons ici le volet cyber, appliqué aux systèmes • la définition d’un ensemble de métriques
techniques de transport. Il s’agit d’intégrer les aspects liés permettant d’évaluer toutes les grandeurs
aux cyber-menaces dans le processus de construction de nécessaires à la démonstration de l’atteinte des
la sécurité ferroviaire qui est reconnu actuellement. objectifs de cybersécurité.
Présentation globale de la méthode
La démarche proposée se divise en cinq modules qui Cette démarche identifie et décrit les activités d’analyse,
s’inspirent du découpage de la méthode EBIOS NG : les d’évaluation et de traitement des risques induits par des
trois premières étapes sont applicables sur un système de cyber-attaques susceptibles de compromettre la sécurité
transport technique générique, tandis que les deux ferroviaire du système de transport étudié.
dernières sont des déclinaisons sur un système de La méthode AEGIS peut être représentée selon la manière
transport technique particulier avec toutes ses spécificités. suivante :
Stratégique M2 M3 M4 M5 M5
23 instances en M3 1 instance en M∞
Important M1 M2 M3 M4 M5
Marginal M1 M1 M2 M3 M3
Objectif
Mode d'action Degré Impact
Hostile EFR stratégique/ Intérêt Capacité
Catégorie préférentiel /STT de sécurité
[QUI] [POURQUOI] STT STT cyber
[COMMENT] menace ferroviaire
[QUOI]
Action physique Hors
Stratégique NA NA
(cinétique) périmètre
Usurpation et prise
Destruction/ de contrôle du
Tuer des Stratégique IV M5 OUI
Subversion de sous-système de
gens contrôle/commande
la société
capacité
Subversion de du
Stratégique M4 OUI
Dictatorial
personnes subverti
ETATS
>=III
Usurpation et prise
de contrôle du
Stratégique IV M5 OUI
sous-système de
contrôle/commande
Obtenir de
capacité
Gain financier l'argent par
Subversion de du
chantage Stratégique M4 OUI
personnes subverti
>=III
Action physique Hors
Stratégique NA NA
(cinétique) périmètre
Usurpation et prise
Dégrader ou
de contrôle du OUI
Pression arrêter la Important III M3
sous-système de (collatéral)
production
contrôle/commande
Usurpation et prise
Corrompre
Cyber-milice
HACKERS
Situation dangereuse de
sécurité ferroviaire
…
Survitesse d’un train Situation dangereuse de
(Non développé dans cet exemple)
cybersécurité
Evénement redouté de
cybersécurité
Corrompre le message
Corrompre le suivi des
de localisation CC vers
trains sur le ZC
ZC
Figure 3. Chemin d’attaque : Collision par rattrapage provoquée par une survitesse
Glossaire :
CONCLUSION ATS : Automatic Train Supervision.
Cette démarche AEGIS a permis d’obtenir pas à pas une CBTC : Communications-Based Train Control (cf.
maîtrise des risques beaucoup plus globale Figure 8).
qu’auparavant. En effet, les relations d’interdépendances GOA4 : Grade Of Automation, level 4 : CBTC
existant entre la sécurité ferroviaires et la cybersécurité totalement automatique (sans conducteur ni
sont dorénavant clairement identifiées et traitées. Il existe personnel à bord cf. Figure 8).
une meilleure traçabilité entre le risque et son traitement, CC : Carbone Controller (au bord).
et la cotation entre le risque et sa mesure de réduction est Cybersécurité : il s’agit de la composante de la
davantage ajustée par rapport à la menace réelle. sécurité relative aux cyber-attaques.
La mise en œuvre de cette méthode de maîtrise des MAL : Movement Authority Limit..
risques de cybersécurité, associée aux études de sécurité
MAV : Moyens Audio Visuels.
sur un CBTC GOA4 du dernier trimestre 2017 jusqu’au
NOC : Network Operations Center.
troisième trimestre 2018 (les résultats détaillés sont
confidentiels) a été jugée concluante. La RATP souhaite OCC : Operation Control Center.
dorénavant procéder à la généralisation de son application RS : Rolling Stock.
sur l’ensemble de ses systèmes concernés. Sécurité ferroviaire : on désigne par ce terme la
Par ailleurs, une réflexion est en cours sur la possibilité de sécurité au sens de la sûreté de fonctionnement
développer des outils d’aide à la mise en œuvre de cette (Fiabilité Maintenabilité Disponibilité Sécurité). Elle
méthode, notamment concernant l’utilisation des bases de est relative à des événements accidentels et donc
connaissances. involontaires.
Sécurité physique : il s’agit de la composante de la
sécurité relative aux actes matériels/physiques de
malveillance.
TSP : Temporary Speed Profile.
ZC : Zone Controller (au sol).
Intérêt Description
Si la source de menace considère que sa survie est en jeu ou si elle est en mesure de risquer sa
Vital
vie pour atteindre l’Etat Final Recherché. L’intérêt vital est souvent lié à des situations de crise.
Si la source de menace considère qu’attaquer la cible sert directement un Etat Final Recherché
Stratégique
qui est de nature « avantage stratégique ou compétitif »
Important Si la cible permet d’obtenir un gain financier ou un avantage intéressant.
Marginal Si le gain que peut en attendre la source de menace est faible.
Classe Description
Externes : Adversaires qui emploient des outils et malware développés par des sociétés de service, la
communauté open source ou le Dark Web avec un savoir-faire limité et des modes opératoires élémentaires.
CI
Individus isolés – millier de $ / Objectifs : pénétration ludique de systèmes – vol opportuniste
d’informations
script kiddies, hacktivistes ordinaires
Externes : Adversaires externes plus expérimentés qui ont la capacité de développer leurs propres outils ou
d’améliorer des outils disponibles mais se limitent à des vulnérabilités connues sur des composants sur étagère. Ils
ont aussi une bonne connaissance des manipulations psychologiques, notamment sur Internet.