MAITRISE DES RISQUES LIES AUX ASPECTS DE CYBERSECURITE ET
SECURITE FERROVIAIRE
RISK MANAGEMENT RELATED TO CYBERSECURITY AND RAILWAY SAFETY
Joanna PERES et Jean CAIRE
RATP
56 Rue Roger Salengro
94724 Fontenay-Sous-Bois - France
Résumé
Cette démarche de maîtrise des risques a été élaborée
dans le but d’intégrer les exigences liées aux cyber-
menaces dans le processus de construction de la sécurité
ferroviaire qui est reconnu actuellement.
La méthode se décompose en 5 modules : Contexte,
Caractérisation des sources de menace, Analyse des
scénarios stratégiques, Analyse des scénarios
opérationnels et Spécification du système de défense.
Un cas pratique de mise en œuvre réelle et complète de la
méthode a été réalisé sur un CBTC GOA4. Le résultat a
été jugé concluant et la RATP souhaite généraliser cette
démarche sur l’ensemble des systèmes concernés.
Contexte
La numérisation croissante des fonctions de sécurité
ferroviaire conjuguée à la multiplication des
interconnexions entre systèmes critiques crée des
vulnérabilités potentielles qui pourraient être exploitées par
des acteurs motivés et capables.
Pour contrer ces nouvelles menaces de nombreuses
réflexions et travaux ont été entrepris : Guide de la
cybersécurité de l’ANSSI ou encore l’IEC 62443. En
parallèle, l’Etat français met progressivement en place un
cadre réglementaire strict pour tous les secteurs d’activité
d’importance vitale, avec l’objectif d’aboutir à un véritable
processus d’homologation de la cybersécurité.
De fait, la cybersécurité est devenue aujourd’hui, pour la
RATP, une dimension fondamentale de la sécurité globale
de ses systèmes ferroviaires, au même titre que la sûreté
de fonctionnement et la sécurité physique.
La RATP a donc décidé de définir et mettre en œuvre une
véritable stratégie de défense du système de transport –
ce qu’aucune méthode actuelle ne propose – qui couvre
toutes les Sécurités, en s’appuyant sur ses points forts :
• une culture systémique bien ancrée ;
• une maturité très élevée sur la sûreté de
fonctionnement (sécurité ferroviaire) ;
• un savoir-faire éprouvé en matière de modélisation
de la menace et de sécurité physique ;
• un important retour d’expérience sur des analyses
de risque EBIOS (2010) menées sur des systèmes
de transport ;
• une forte implication dans des projets de
recherche, des instances de normalisation et des
groupes de travail sur ces sujets.
Le résultat est la méthode AEGIS (Analyse et Evaluation
Globales des événements et Impacts de Sécurités) dont
nous présentons ici le volet cyber, appliqué aux systèmes
techniques de transport. Il s’agit d’intégrer les aspects liés
aux cyber-menaces dans le processus de construction de
la sécurité ferroviaire qui est reconnu actuellement.
Véronique DELEBARRE
SafeRiver
9 bis Rue Delerue
92120 Montrouge – France
Summary
The aim of this risk management process is to integrate
cyber threats in addition to recognised railway safety
analysis.
The method consists of 5 modules : Context, Sources of
threat characterization, Strategic scenarios analysis,
Operational scenarios analysis and Defence system
specification.
A complete and practical case study has been performed
on a CBTC GOA4. The results are conclusive and so the
RATP wants to generalise this process to the overall
concerned systems.
Préambule
Afin de bâtir cette méthode, il était important de réaliser un
état des lieux entre la sécurité physique, la sécurité
ferroviaire et la cybersécurité, telles qu’elles sont
usuellement employées d’une manière générale ainsi qu’à
la RATP. Une comparaison entre ces différentes
composantes a ainsi été effectuée selon une série de
critères, mettant ainsi en exergue les points de
convergence et de divergence qui les caractérisent. De
cette analyse un ensemble de principes fondamentaux ont
été tirés et ont guidé la démarche, en particulier
l’articulation entre la cybersécurité et la sécurité ferroviaire.
Parmi les éléments structurants, on doit souligner le choix
d’EBIOS NG comme ligne directrice avec :
• le pilotage de l’analyse des risques par les
événements redoutés issus des analyses de
sécurité ferroviaire ;
• le profilage approfondi des sources de menace
hostiles, nourri des concepts du renseignement
criminel ;
• l’expression des objectifs de cybersécurité par des
niveaux de protection inspirés de l’IEC 62443, en
complément des SIL de la sécurité ferroviaire ;
• l’introduction progressive des différents modèles
du système-cible produits par les analyses de
sécurité ferroviaire pour raffiner les scénarios
d’attaque et transformer les objectifs de
cybersécurité en exigences allouées à des sous-
systèmes, composants etc. ou exportées vers
d’autres parties prenantes ;
• l’utilisation intensive de bases de connaissance
réputées comme CWE ou CAPEC pour modéliser
des scénarios aussi détaillés que nécessaire et
garantir leur complétude ;
• la définition d’un ensemble de métriques
permettant d’évaluer toutes les grandeurs
nécessaires à la démonstration de l’atteinte des
objectifs de cybersécurité.
 Présentation globale de la méthode
La démarche proposée se divise en cinq modules qui
s’inspirent du découpage de la méthode EBIOS NG : les
trois premières étapes sont applicables sur un système de
transport technique générique, tandis que les deux
dernières sont des déclinaisons sur un système de
transport technique particulier avec toutes ses spécificités.
Cette démarche identifie et décrit les activités d’analyse,
d’évaluation et de traitement des risques induits par des
cyber-attaques susceptibles de compromettre la sécurité
ferroviaire du système de transport étudié.
La méthode AEGIS peut être représentée selon la manière
suivante :

Figure 1. Représentation schématique de la méthode AEGIS

 Présentation détaillée de la méthode avec
un cas pratique • [QUI] La catégorie des hostiles qui peuvent
générer des menaces sur le STT (cf. Figure 2). Ils
Un cas pratique de mise en œuvre réelle et complète de la
sont subdivisés en deux familles : les hostiles
méthode, a été réalisé sur un CBTC GOA4. Les résultats
permanents existant indépendamment du STT, et
de chaque module sont présentés pour des exemples
les hostiles contingents ayant une relation
ciblés d’application.
particulière avec le STT.
• [POURQUOI] L’état final recherché (EFR) qui est
1. Module 1 : Contexte
la situation souhaitée par l’hostile à l’issue de
Dans le cadre de cette étude, il faut expliciter :
l’opération : gain financier, notoriété, monopole
• le périmètre : Système Technique de Transport
économique…
(STT) d’un CBTC GOA4 (Glossaire cf. Figure 8);
• [QUOI] L’objectif stratégique, c’est-à-dire le but
• les objectifs :
d’attaque sur le système cible, à savoir le STT
 Obtenir une meilleure maîtrise globale des
dans notre étude.
risques pour ce STT ;
• [COMMENT] Les modes d’action que l’hostile peut
 Compléter les analyses de sécurité
appliquer sur le système cible pour atteindre son
ferroviaire relatives au STT d’un CBTC
objectif stratégique tels que la prise de contrôle du
GOA4, en y introduisant des compléments
système, l’attaque physique (sabotage…), la
relatifs à des scénarios liés à des cyber-
subversion d’administrateurs, le vol de données
attaques ou intrusions externes dans les
techniques ou encore le leurre des fonctions de
systèmes d’information ;
contrôle-commande.
• les limites : Seuls les scénarios pouvant avoir un
• L’intérêt exprime l’effort que la source de menace
impact sur la sécurité ferroviaire sont étudiés ;
est prête à mobiliser sur la cible dans le but
• les référentiels applicables : IGI 6600, IEC 62443
d’atteindre son EFR en termes de moyens
et EBIOS NG;
(intensité et durée) et de prise de risque. Il est
• les bases de connaissances retenues : Base des
mesuré sur une échelle à quatre niveaux : Vital,
sources de menace (propriétaire), CAPEC, CWE
Stratégique, Important, Marginal (une description
et CVE.
détaillée est présentée en Annexe a).
• Les capacités cyber : Les deux facteurs les plus
importants pour concevoir puis réaliser une
2. Module 2 : Caractérisation des sources de menace cyberattaque sont la connaissance du
Pour déterminer les sources de menace pertinentes, il faut fonctionnement du processeur et l’accès à une
identifier celles qui sont plausibles dans le périmètre et le interface avec un composant du processeur. Ainsi,
contexte de l’étude, puis les caractériser en déterminant cinq classes croissantes (C I à C V cf. Annexe b)
un ensemble de six facteurs : ont été définies permettant de hiérarchiser tous les
agresseurs du script-kiddy à la super puissance
étatique.

Figure 2. Catégorie des hostiles

Ce profilage détaillé permet alors de quantifier le degré de La mise en application concrète de ce module est illustrée
menace qui représente chacun des hostiles afin de dans la Table 2 ci-dessous.
sélectionner ceux qui sont intéressants dans le cadre de
l’étude : Pour l’ensemble de l’étude, nous avons obtenu pour cette
caractérisation des sources de menaces :
CAPACITES
Degré de menace  11 instances en M1  17 instances en M4
CI C II C III C IV CV
Vital M2 M3 M4 M5 M∞  11 instances en M2  8 instances en M5
INTERET

Stratégique M2 M3 M4 M5 M5
 23 instances en M3  1 instance en M∞
Important M1 M2 M3 M4 M5
Marginal M1 M1 M2 M3 M3

Table 1. Echelle des degrés de menace

Objectif
Mode d'action Degré Impact
Hostile EFR stratégique/ Intérêt Capacité
Catégorie préférentiel /STT de sécurité
[QUI] [POURQUOI] STT STT cyber
[COMMENT] menace ferroviaire
[QUOI]
Action physique Hors
Stratégique NA NA
(cinétique) périmètre
Usurpation et prise
Destruction/ de contrôle du
Tuer des Stratégique IV M5 OUI
Subversion de sous-système de
gens contrôle/commande
la société
capacité
Subversion de du
Stratégique M4 OUI
Dictatorial

personnes subverti
ETATS

>=III
Usurpation et prise
de contrôle du
Stratégique IV M5 OUI
sous-système de
contrôle/commande
Obtenir de
capacité
Gain financier l'argent par
Subversion de du
chantage Stratégique M4 OUI
personnes subverti
>=III
Action physique Hors
Stratégique NA NA
(cinétique) périmètre
Usurpation et prise
Dégrader ou
de contrôle du OUI
Pression arrêter la Important III M3
sous-système de (collatéral)
production
contrôle/commande
Usurpation et prise
Corrompre
Cyber-milice
HACKERS

Déstabilisation de contrôle du OUI

les
de l'opérateur/ sous-système Important III M3 (effet de
informations
Revendication d'informations panique)
voyageurs
voyageurs
Espionnage Voler des
industriel et informations
Usurpation et vol de
vol de ou de la Stratégique III M4 NON
données
propriété propriété
intellectuelle intellectuelle

Table 2. Exemples de profils d’hostiles

3. Module 3 : Analyse des scénarios stratégiques sont exprimés sous la forme d’un mode d’action appliqué à
Lorsque les sources de menace sont sélectionnées, on un composant particulier, tel que défini par les choix de
cherche à identifier les scénarios qui permettraient à conception du système. Ceci est illustré en Figure 3 avec
l’attaquant d’atteindre son EFR, en fonction des modes le cas de la collision par rattrapage, provoquée par une
d’action qu’il peut raisonnablement exécuter compte tenu situation de survitesse qui ne sera pas sanctionnée.
de sa connaissance du STT ainsi que de ses opportunités L’exemple présenté est simple, mais d’autres scénarios
d’accès au système. Dans le cadre de l’étude, on se limite peuvent être plus complexes et mettre en jeu des situations
aux scénarios qui compromettent la sécurité ferroviaire, les latentes qui peuvent ensuite être activées. On peut
buts des scénarios d’attaque sont donc définis sous la constater que certains événements redoutés sont d’ordre 1
forme d’accidents ferroviaires. en regard de l’atteinte de l’objectif. Par exemple, la
L’approche utilisée est complète car elle utilise comme corruption d’un message réputé sûr tel que le message de
point d’entrée les analyses de sécurité ferroviaire réputées limite d’autorisation de mouvement (MAL) permet non
exhaustives et les prolonge en recherchant tous les états seulement de provoquer une survitesse ou un
cybernétiques du système (appelées situations dangereuse dépassement de point d’arrêt mais inhibera également la
cyber) susceptibles de provoquer une situation dangereuse fonction qui sanctionne la situation dangereuse, puisque
de sécurité ferroviaire. Cette analyse repose sur un principe c’est sur la base des données du message que la détection
systématique de dysfonction de la sécurité : l’attaquant doit est faite.
créer cette situation ET inhiber la protection qui permet du Lorsque les scénarios sont identifiés et analysés, on
point de vue de la sécurité ferroviaire de garantir l’atteinte enrichit le tableau des hostiles afin de caractériser les
d’un état sûr. Autrement dit, il doit provoquer ladite situation scénarios de menace et attaques ainsi que les niveaux
tout en leurrant les mécanismes de détection ou en inhibant cibles de sécurité (SL-T) (cf. Table 3). La correspondance
les mécanismes de protection. Pour modéliser les options entre les degrés de menace et les SL-T est fournie en
possibles, on développe un arbre d’attaque depuis la Annexe c.
situation dangereuse étudiée de sécurité ferroviaire jusqu’à Ainsi, pour notre étude, nous avons obtenus 915
l’obtention des événements redoutés cybernétiques qui scénarios stratégiques possibles pour le STT.
Légende :
Collision par rattrapage
Accident de sécurité
ferroviaire

Situation dangereuse de
sécurité ferroviaire
…
Survitesse d’un train Situation dangereuse de
(Non développé dans cet exemple)
cybersécurité

Evénement redouté de
cybersécurité

Survitesse non sanctionnée

(Non développé dans cet
exemple)

Survitesse Survitesse provoquée

naturelle

Localisation utilisée Survitesse provoquée MAL du train

pour respecter la MAL TSP modifiée
directement sur le RS modifiée
modifiée

Corrompre le Dysfonction du Corrompre

Corrompre Corrompre les Usurper la Corrompre les Corrompre des Usurper du
Corrompre le calcul message MAL traitement de la les gabarits
l’odométrie messages commande paramètres messages TSP rôle de
de la MAL du train transmis au train de TSP (ZC ou de vitesse
CC balises de traction train de l’ATS vers ZC l’opérateur
ZC vers CC ATS) (CC)

Corrompre le message
Corrompre le suivi des
de localisation CC vers
trains sur le ZC
ZC

Figure 3. Chemin d’attaque : Collision par rattrapage provoquée par une survitesse

Objectif Mode d’action Degré Niveau

Scénario
Hostile stratégique préférentiel de ER cyber cible de
stratégique
/STT /STT menace sécurité
Dysfonction du traitement de
SL-4
Usurpation et la TSP (ZC ou ATS)
Provoquer
prise de contrôle Corrompre les gabarits de
Etat une SL-4
Tuer des gens du STT pour M5 vitesse (CC)
dictatorial collision par
provoquer un Corrompre le message MAL
rattrapage
accident transmis au train (ZC vers SL-4
CC)
Réussir une opération de
Collecte et Révéler une rétro-ingénierie d’un SL-3
Laboratoire Démontrer ses
analyse M3 faille dans composant SIL4
académique performances
d’informations le système Réaliser la cryptanalyse du
SL-3
protocole CBTC
Table 3. Exemples de scénarios stratégiques
4. Module 4 : Analyse des scénarios opérationnels
Dans le module M4, on cherche à identifier les scénarios
d’attaque opérationnels qui permettent à l’attaquant de
provoquer les ER cyber nécessaires. Pour cela, il faut
projeter les scénarios stratégiques, obtenus au module
précédent, sur l’architecture de conception générale.
Dans le cas de cette étude pratique, 915 scénarios
stratégiques complets ont été analysés dans le module 3,
mais étant donné que l’on considère les ER cyber (on en
dénombre 70), seuls 70 cas sont à traiter.
Chaque scénario est alors décomposé en une séquence de
tactiques qui est construite à partir du modèle générique
proposé par l’ODNI US : Préparation, Engagement,
Manœuvre, Effet. La démarche est illustrée sur l’exemple
de la corruption du message MAL transmis du ZC vers le
CC (cf. Figure 4). La progression spatio-temporelle du
scénario détermine les différentes actions que doit réaliser
l’hostile sur certains organes du système pour entraîner in
fine l’ER cyber et en exploiter les effets. Cette démarche
produit entre autres une liste des composants
d’architecture générale qui sont critiques pour la
cybersécurité. En regard de chaque action, il est alors
possible de spécifier des exigences fonctionnelles (SR) (cf.
Figure 5).

Figure 4. Scénarios opérationnels pour la corruption du message de localisation ZC vers CC

Figure 5. Attribution des exigences fonctionnelles (SR) pour la première étape

5. Module 5 : Spécification du système de défense
Remarque : Nous ne pouvons pas présenter des résultats
détaillés pour ce module en raison de leur caractère
confidentiel.
Ce dernier module est réalisé lorsqu’une architecture
technique a été proposée par le systémier, ou à partir
d’une architecture existante. L’activité clé est l’analyse
«cybersécurité» de l’architecture technique en considérant
les trois strates : physique, cybernétique et anthropique ;
en particulier la première décrit la localisation des
équipements dans des locaux et zones, et la dernière
définit l’organisation mise en place en relation de la
Politique de cybersécurité de l’opérateur.
La première étape consiste à projeter sur cette
architecture technique les scénarios opérationnels du
module précédent afin de déterminer tous les chemins
d’attaque concrets en tenant compte des différentes
catégories d’hostiles (cf. Figure 6).
Figure 6. Projection sur une architecture technique des scénarios opérationnels
Figure 7. Exemples de techniques d’attaque
La deuxième étape vise à déterminer les techniques
d’attaque réellement mise en œuvre modélisés à l’aide de
la base de connaissances CAPEC. Pour ce faire, une
analyse exhaustive des vulnérabilités est menée sur
l’ensemble des nœuds constituant le chemin d’attaque à
partir de la base de connaissance CWE.
La description de l’architecture technique du STT met en
évidence 5 catégories de nœuds : les
capteurs/actionneurs, les automates, les équipements de
supervision, les pupitres opérateurs et les équipements de
communication.
Chaque nœud est subdivisé en 4 composantes : Produit,
Interfaces et canaux, Données persistantes et Processus
exécuté.
Une correspondance complète entre les modèles
CAPEC/CWE et les composantes génériques des nœuds
a été développée. Des exemples de techniques d’attaque
sont présentés en Figure 7.
Les bases de connaissances identifient des mesures de
réduction de risques (MRR) pour chaque CAPEC et CWE.
La troisième étape correspond à l’implémentation des SR
du module 4 par des MRR.
Pour obtenir un système de défense globale du STT, il est
nécessaire :
 de comparer ces MRR avec celles issues des
analyses de la sécurité ferroviaire afin de les
mutualiser et/ou de les compléter ;
 de les combiner avec des mesures de sécurité
physique ;
 de leur adjoindre des mesures
organisationnelles.
L’ensemble intégré de ces MRR détermine le niveau réel
de sécurité du STT (SL-A) et par conséquent le niveau de
risque résiduel.
Finalement, les SL-A et les SL-T spécifiés au module 3
sont comparés (matrices d’acceptabilité, vérification que les
scores atteints pour les SL-A sont suffisants pour atteindre
les niveaux fixés par les SL-T) pour garantir la satisfaction
des objectifs de sécurités. En cas d’écart, les scénarios
concernés devront faire l’objet d’une nouvelle analyse
jusqu’à l’obtention du niveau de sécurités adéquats.
CONCLUSION
Cette démarche AEGIS a permis d’obtenir pas à pas une
maîtrise des risques beaucoup plus globale
qu’auparavant. En effet, les relations d’interdépendances
existant entre la sécurité ferroviaires et la cybersécurité
sont dorénavant clairement identifiées et traitées. Il existe
une meilleure traçabilité entre le risque et son traitement,
et la cotation entre le risque et sa mesure de réduction est
davantage ajustée par rapport à la menace réelle.
La mise en œuvre de cette méthode de maîtrise des
risques de cybersécurité, associée aux études de sécurité
sur un CBTC GOA4 du dernier trimestre 2017 jusqu’au
troisième trimestre 2018 (les résultats détaillés sont
confidentiels) a été jugée concluante. La RATP souhaite
dorénavant procéder à la généralisation de son application
sur l’ensemble de ses systèmes concernés.
Par ailleurs, une réflexion est en cours sur la possibilité de
développer des outils d’aide à la mise en œuvre de cette
méthode, notamment concernant l’utilisation des bases de
connaissances.
Figure 8. Structure d’un CBTC GOA4
Références :
 ANSI/ISA 62443, 2018, Security for industrial
automation and control systems Part 3.3 System
security requirements and security levels
 ANSSI, 2018, EBIOS-NG (non encore publié)
 IEEE, 2004, 1474-1 IEEE Standard for
Communications- Based Train Control (CBTC)
Performance and Functional Requirements
 Mitre, 2018, ATT@CK, http://attack.mitre.org
 Mitre, 2017, Common Attack Pattern Enumeration
and Classification version 2.11, http://capec.mitre.org
 Mitre, 2018, Common Weaknesses Enumeration
version 3.1, http://cwe.mitre.org
 NF, 2007, EN 62290 Applications ferroviaires -
Systèmes de contrôle/commande et de gestion des
transports guidés urbains
 NSA, 2018, NSA/CSS Technical Cyber Threat
Framework version 1
 SGDSN, 2014, Instruction Générale Interministérielle
n° 6600 Relative à la sécurité des Secteurs d’Activité
d’Importance Vitale
 US ODNI, 2018, Cyber Threat Framework(version 4)
Glossaire :
 ATS : Automatic Train Supervision.
 CBTC : Communications-Based Train Control (cf.
Figure 8).
 GOA4 : Grade Of Automation, level 4 : CBTC
totalement automatique (sans conducteur ni
personnel à bord cf. Figure 8).
 CC : Carbone Controller (au bord).
 Cybersécurité : il s’agit de la composante de la
sécurité relative aux cyber-attaques.
 MAL : Movement Authority Limit..
 MAV : Moyens Audio Visuels.
 NOC : Network Operations Center.
 OCC : Operation Control Center.
 RS : Rolling Stock.
 Sécurité ferroviaire : on désigne par ce terme la
sécurité au sens de la sûreté de fonctionnement
(Fiabilité Maintenabilité Disponibilité Sécurité). Elle
est relative à des événements accidentels et donc
involontaires.
 Sécurité physique : il s’agit de la composante de la
sécurité relative aux actes matériels/physiques de
malveillance.
 TSP : Temporary Speed Profile.
 ZC : Zone Controller (au sol).
Annexes :

 Annexe a : Intérêt de l’hostile pour le STT

Intérêt Description
Si la source de menace considère que sa survie est en jeu ou si elle est en mesure de risquer sa
Vital
vie pour atteindre l’Etat Final Recherché. L’intérêt vital est souvent lié à des situations de crise.
Si la source de menace considère qu’attaquer la cible sert directement un Etat Final Recherché
Stratégique
qui est de nature « avantage stratégique ou compétitif »
Important Si la cible permet d’obtenir un gain financier ou un avantage intéressant.
Marginal Si le gain que peut en attendre la source de menace est faible.

 Annexe b : Capacités cyber de l’hostile

Classe Description
Externes : Adversaires qui emploient des outils et malware développés par des sociétés de service, la
communauté open source ou le Dark Web avec un savoir-faire limité et des modes opératoires élémentaires.
CI
Individus isolés – millier de $ / Objectifs : pénétration ludique de systèmes – vol opportuniste
d’informations
 script kiddies, hacktivistes ordinaires
Externes : Adversaires externes plus expérimentés qui ont la capacité de développer leurs propres outils ou
d’améliorer des outils disponibles mais se limitent à des vulnérabilités connues sur des composants sur étagère. Ils
ont aussi une bonne connaissance des manipulations psychologiques, notamment sur Internet.

Quelques personnes – dizaines de milliers de $ / Objectifs : vol d’informations confidentielles – nuisance

C II par motif idéologique – arnaques
 hackers ou hacktivistes organisés (e.g. anonymous), cyber-milices autonome, organisations criminelles, SSII
commanditées, journalistes (par équivalence)
Internes : Utilisateurs du système-cible qui possèdent une bonne compréhension fonctionnelle mais pas de
connaissances techniques poussées.
Externes : Adversaires très organisés qui disposent d’outils et de malware non répertoriés, capables de rechercher
et découvrir des vulnérabilités inédites, puis de développer des codes pour les exploiter. Ils disposent de véritables
capacités de renseignement humain, planifient rigoureusement leurs opérations et maîtrisent une large gamme de
techniques pour pénétrer puis se maintenir dans les systèmes ciblés, y compris par des moyens significatifs
d’ingérence physique ou humaine, tout en maintenant le niveau de furtivité requis pour mener leurs opérations à
terme.
Leurs moyens financiers permettent de mandater des tiers très compétents (laboratoires, officines etc.) pour tout ou
C III partie des opérations.

Dizaines de personnes – centaines de milliers de $ / Objectifs : vol d’information confidentielles – fraudes –

subversion par malware (pour des rançons)
 cyber-milices soutenues par un état, officines spécialisées, organisations criminelles transnationales, grandes
entreprises (avec un mandataire), laboratoires (avec accès au système cible)
Internes : Administrateurs de composants critiques du système, possèdent une bonne connaissance fonctionnelle
et une expertise technique du système
Externe : Adversaires étatique ou para-étatique, possédant de fortes compétences techniques et une grande
maîtrise opérationnelle sur les trois plans physique, cybernétique et anthropique, pour des besoins de
renseignement ou des opérations offensives. Ils disposent d’équipes de professionnels pour rechercher des
vulnérabilités et développer des vecteurs d’attaque sophistiqués qui les exploiteront. Ils sont capables de préparer
et d’exécuter des opérations clandestines sur des infrastructures critiques. Ils peuvent aussi mandater des tiers, y
compris des organisations de classe III.
C IV
Centaines de personnes – millions de $ / Objectifs : désorganisation de grande ampleur – vol
d’informations stratégiques
 services de renseignement d’un état voyou, organisation non étatique de taille exceptionnelle
Internes : Super-administrateurs contrôlant un domaine critique du système-cible avec des privilèges sur des
fonctions de cybersécurité. Développeurs des matériels ou logiciels du système
Externes : Superpuissances possédant les capacités de renseignement et d’action leur permettant de subvertir le
processus d’acquisition d’une infrastructure critique, en phase de conception, de développement ou de distribution,
en implantant discrètement dans certains composants matériels ou logiciels des vulnérabilités qu’ils pourront
exploiter en phase opérationnelle pour prendre le contrôle du système ou provoquer son dysfonctionnement.
CV
Milliers de personnes – centaines de millions de $ / Objectifs : usurpation et piégeage d’infrastructures
critiques – attaque directe de services vitaux
 services de renseignement ou unités militaires
Internes : Combinaison des équipes de développement et de validation (non retenu)
 Annexe c : Correspondance entre les degrés de menace et les SL-T

SL-T Définition IEC 62 443 Proposition pour le contexte du STT

SL-0 Non défini ; inférieur au niveau 1 Non applicable
Protection contre des violations usuelles ou Protection en regard d’un degré de menace
SL-1
opportunistes M1
Protection contre des malveillances utilisant des Protection en regard d’un degré de menace
SL-2
moyens simples M2
Protection contre des malveillances utilisant des
SL-3 Protection en regard d’un degré de menace M3
moyens sophistiqués
Protection contre des malveillances utilisant des Protection en regard d’un degré de menace
SL-4
ressources très étendues M4 ou plus